Ebook MCSE Dif 70 216 PDF

Copyright©2003 Júlio Battisti
Copyright©2003 by Axcel Books do Brasil Editora Ltda.
Nenhuma parte desta publicação poderá ser reproduzida sem autorização prévia e escrita de Axcel
Books do Brasil Editora.
Editora de Produção: Gisella Narcisi

Editor Responsável: Ricardo Reinprecht
Projeto Gráfico: Axcel Books
Equipe Axcel: Alberto Baptista Garcia, Carlos Alberto Sá Ferreira,
Fagner Silva Henrique e Ingo Bertelli.
Certificação Microsoft: Guia de Estudos Para o MCSE – Exame 70-216
Júlio Battisti
ISBN: 85-7323-198-X
Os originais de livros enviados para avaliação pela Editora serão destruídos depois de analisados.
Não será feita sua devolução em nenhuma hipótese.
Os conceitos emitidos nesta obra são de inteira responsabilidade do Autor.
Axcel Books do Brasil Editora
Av. Paris, 571 – Bonsucesso

21041-020 – Rio de Janeiro – RJ
Tel.: (21) 2564-0085 – Fax: (21) 2564-1607
E-mail: editora@axcel.com.br
Visite nossa Home Page:
http://www.axcel.com.br
ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

Manual de Estudos - Exame 70-216 - Autor: Júlio Battisti - www.juliobattisti.com.br
Segurança no Windows XP - Básico
Nota sobre direitos autorais:

Este ebook é de autoria de Júlio Battisti, sendo comercializado diretamente através do site
www.juliobattisti.com.br ou através do site de leilões Mercado Livre:
www.mercadolivre.com.br, pelo usuário GROZA. Nenhum outro usuário, pessoa ou site
está autorizado a vender este ebook.
Ao adquirir este ebook você tem o direito de lê-lo na tela do seu computador e de imprimir
quantas cópias desejar. É vetada a distribuição deste arquivo, mediante cópia ou qualquer
outro meio de reprodução, para outras pessoas. Se você recebeu este ebook através do e-
mail ou via ftp de algum site da Internet, ou através de um CD de Revista, saiba que
você está com uma cópia pirata, não autorizada. A utilização de uma cópia pirata, não
autorizada, é crime de Violação de Direitos Autorais, sujeita a pena de Cadeia. Denuncie
o site ou revista que está disponibilizando a cópia, através do e-mail
webmaster@juliobattisti.com.br
O valor cobrado por este arquivo é praticamente simbólico, pelas horas e horas de trabalho
que ele representa. Novos cursos somente podem ser desenvolvidos graças a honestidade de
pessoas que adquirem o arquivo do curso e não o distribuem livremente para outras pessoas.
Se você recebeu uma cópia deste arquivo sem tê-la adquirido diretamente com o autor, seja
honesto, entre em contato com o autor, através do e-mail webmaster@juliobattisti.com.br,
para regularizar esta cópia. Ao regularizar a sua cópia você irá remunerar, mediante uma
pequena quantia, o trabalho do autor e incentivar que novos trabalhos sejam disponibilizados.
SE VOCÊ RECEBEU UMA CÓPIA DESTE E-BOOK EM UM CD

DE REVISTA, SE ACHO EM UM SITE DA INTERNET OU
BAIXOU VIA KAZAA OU VIA E-MULE, SAIBA QUE VOCÊ
ESTÁ DE POSSE DE UMA CÓPIA PIRATA. DENUNCIE OS
RESPONSÁVEIS E EU PAGAREI R$ 100,00 PARA O AUTOR
DA DENÚNCIA.
NÃO COLABORE COM A PIRATARIA, POIS É CRIME.
PIRATARIA É CRIME, COM PENA DE CADEIA. EU

AGRADEÇO PELA SUA HONESTIDADE. SE VOCÊ COMPROU
UMA CÓPIA DESTE CURSO, DIRETAMENTE COM O AUTOR,
NÃO DISTRIBUA CÓPIAS PARA OUTRAS PESSOAS. SE
VOCÊ RECEBEU UMA CÓPIA ILEGAL DESTE ARQUIVO,
NÃO ADQUIRIDA DIRETAMENTE COM O AUTOR JÚLIO
BATTISTI, ENTRE EM CONTATO E REGULARIZE A SUA
CÓPIA.
Autor: Júlio Cesar Fabris Battisti

Site: www.juliobattisti.com.br
É proibido usar este material em treinamentos ou em sala de aula. Página 2 de 290
É proibido usar este material em treinamentos ou em sala de aula.

AGRADECIMENTOS
Escrever um manual detalhado para o Exame 70-216 parece fácil diante do momento de parar e
escrever algumas palavras de agradecimento. Sempre fica o medo de ter esquecido de alguém, já
que são tantas as pessoas que, direta ou indiretamente, contribuem para que um trabalho como
este se torne realidade.
Ninguém conseguiria concluir um trabalho deste porte sem a ajuda, o incentivo e, principalmen-
te, a confiança de muitas pessoas. Inicialmente, queria registrar o meu agradecimento pelo convi-
te e pela confiança do amigo e editor Ricardo. Principalmente pela sua insistência e confiança no
meu trabalho, em momentos em que eu estive não tão animado como de costume. Em seguida, a
equipe da Axcel que mais uma vez aposta em um trabalho de minha autoria, passando pelos cole-
gas de produção, edição, arte gráfica, revisão, enfim, uma equipe trabalhando muito para que
mais este livro chegue às mãos do amigo leitor.
A minha esposa Lu, pelo carinho, amor, dedicação, companheirismo e tolerância. Por tantas e
tantas horas que ela teve que passar sozinha e eu, em frente ao computador. Pelos domingos em
que ficamos em casa ao invés de sairmos. Mas ela sabe que isso tudo faz parte de um projeto de
vida de longo prazo e que muitos resultados já estão presentes em nosso dia-a-dia. Dividir o mari-
do com os livros, com o trabalho na Receita Federal, com dois sites na Internet e com uma rede de
computadores em casa realmente não é uma tarefa fácil. Apenas com muito, mas muito mesmo,
Amor e carinho. Querida Lu, o teu Amor e carinho apenas me dão mais e mais força para seguir na
luta, sempre na busca de um trabalho melhor, mais simples e mais útil para o amigo leitor. Que
Deus te ilumine e ajude a realizar todos os teus sonhos.
A dona Lucy, minha mãe, por sempre me apoiar e ser uma grande admiradora e incentivadora de
tudo o que faço. Por ter me dado como primeiro presente um livro, despertando em mim uma pai-
xão ardente de leitor, daqueles que sempre compra mais livros do que realmente pode ler. Por ter
muito orgulho do meu trabalho e por entender as vezes em que fico algumas semanas sem poder
visitá-la em minha terra natal, o nosso bom e velho Boqueirão do Leão.
Aos amigos lá do Boqueirão do Leão. Não cito nomes para não cometer a injustiça de esquecer de
alguém. Agradeço imensamente pelos momentos de lazer, de calma e serenidade, quando nos re-
unimos para jogar uma bocha, tomar uma cerveja ou simplesmente para conversar. Saibam que
estão todos em meu coração. Está muito perto o dia em que poderemos passar mais tempo juntos,
simplesmente conversando e tomando um chimarrão.

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216
A meu Pai, em memória, pelo jeito simples e pacato, que me ensinou a parar e refletir nos momen-
tos difíceis. Aos meus irmãos, agradeço pelos bons momentos que juntos passamos.
Aos leitores, que leram os outros livros de minha autoria e sempre entram em contato via e-mail,
para solucionar dúvidas, enviar sugestões, críticas e elogios. Agradeço a todos. Este retorno é mui-
to importante, é um grande motivador. Aos leitores que enviam e-mail com dúvidas e sugestões
sobre o meu e sobre Certificações. A todos o meu mais sincero agradecimento.
A Deus por nos dar a inteligência e a determinação na busca de cada vez fazer as coisas de uma ma-
neira melhor e mais simples, com o objetivo de ajudar mais e mais pessoas. E que o grande criador
e arquiteto de tudo o que existe, permita-me ainda muitos trabalhos, permita-me sempre ajudar
mais e mais pessoas a alcançar seus objetivos e a aprender um pouco mais sobre cada um dos as-
suntos sobre os quais escrevo.
IV ¥ C ERTIFICAÇÕES M ICROSOFT

SOBRE O AUTOR
Júlio Battisti é profissional certificado da Microsoft, tendo sido aprovado em 25 Exames da Micro-
soft, com os quais obteve certificações como: MCP, MCP+I, MCSE 2000, MCSE+I, MCDBA 2000,
MCT e MCSD. É Técnico da Receita Federal, na Delegacia de Santa Maria – RS, e é autor de oito li-
vros, todos publicados pela Axcel Books . Também é autor de artigos sobre TI, Carreira, Trabalho,
Vida e Felicidade, publicados no site do autor: www.juliobattisti.com.br. Atua como instrutor de
cursos de informática tanto na Secretaria da Receita Federal como para turmas em Universidades
e outros cursos. Colunista de diversos sites da Internet e da revista Developers Magazine. Você
pode entrar em contato com o autor pelo e-mail: webmaster@juliobattisti.com.br.


SUMÁRIO
Introdução ....................................................1
Uma Visão Geral Sobre Certificações Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Uma Visão Geral do Programa de Certificação da Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Artigo: O Profissional Atual = um Ser Humano Completo . . . . . . . . . . . . . . . . . . . . . . . . . 4
O Programa de Certificação Microsoft Certified Systems Engineer – MCSE . . . . . . . . . . . . . . 13
Tópicos Para o Exame 70-216 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Tópicos Para o Exame 70-216, Segundo o Guia de Estudos da Microsoft . . . . . . . . . . . . . 17
O Programa de Certificação Microsoft Certified Systems Administrator – MCSA . . . . . . . . . . 20
Requisitos Para Obter a Certificação MCSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Quem Deveria Ler Este Livro? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Uma Visão Geral do Conteúdo Do Livro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Pré-requisitos Para o Livro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
É Hora de Começar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Sugestão de Plano de Estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Capítulo 1 – Fundamentos de Redes Baseadas no

Windows 2000 Server e no Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Fundamentos em: Redes de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
No Princípio, um Modelo Centralizado Baseado no Mainframe. . . . . . . . . . . . . . . . . . . . 29
Morte ao Mainframe, Viva a Descentralização!!! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Modelo de Aplicações em DUAS Camadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Aplicações em TRÊS Camadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Aplicações em Quatro Camadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
O Júlio Ficou Louco ou Estamos Voltando ao Mainframe? . . . . . . . . . . . . . . . . . . . . . . . . 39
Onde Entra o Windows 2000 Server NestA História? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
O Conceito de Diretórios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Senhas Demais!!! Por Favor, Alguém me Ajude! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Um Diretório Único Para Todas As Aplicações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Redes Baseadas em Workgroups x Redes Baseadas em Diretórios . . . . . . . . . . . . . . . . . . . . . . 48
Domínios e Workgroups (Grupos de Trabalho). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Domínios, Árvores de Domínios e Unidades Organizacionais – Conceitos . . . . . . . . . . . . . . . 52
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Árvore de Domínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Unidades Organizacionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Unidades Organizacionais em Detalhes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Relações de Confiança e Florestas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Como Eram as Relações de Confiança na Época do NT Server 4.0? . . . . . . . . . . . . . . . . . 60
E Como são as Relações de Confiança no Windows 2000 Server? . . . . . . . . . . . . . . . . . . 62
Outros Tipos de Relações de Confiança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Servidores de Catálogo Global (Global Catalogs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Principais Funções Desempenhadas por um Servidor de Catálogo Global . . . . . . . . . . . . 67
Replicação de Informações Entre os Servidor de Catálogo Global . . . . . . . . . . . . . . . . . . 68
Sites, Replicação do Active Directory e Estrutura Física da Rede . . . . . . . . . . . . . . . . . . . . . . . 69
Introdução e Definição de Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Para que o Active Directory Utiliza Sites? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Definição de Sites Utilizando Sub-redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
A Relação Entre Sites e Domínios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Replicação no Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Replicação Dentro do Mesmo Site – Intra-site Replication . . . . . . . . . . . . . . . . . . . . . . . . 73
Replicação Entre Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Schema do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Como os Objetos do Active Directory são Definidos no Schema . . . . . . . . . . . . . . . . . . . 76
Como o Schema é Armazenado no Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Cache do Schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Capítulo 2 – O Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Um Visão Geral do Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configurações do Protocolo TCP/IP Para um Computador em Rede . . . . . . . . . . . . . . . . 83
Sistema de Numeração Binário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Como Converter Decimal Para Binário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Operador E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Como o TCP/IP Usa a Máscara de Sub-rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Como o TCP/IP Usa a Máscara de Sub-rede e o Roteador. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Endereçamento IP – Classes de Endereços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Redes Classe A. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Redes Classe B. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Redes Classe C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Redes Classe D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Redes Classe E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Endereços Especiais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
O Papel do Roteador em uma Rede de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Explicando Roteamento – um Exemplo Prático. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Mais um Exemplo de Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Tabelas de Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
O Conceito de Sub-redes – Subnetting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
O que tem que ser Alterado Para Fazer a Divisão em Sub-redes (Subnetting) . . . . . . . . . 119
Como Listar as Faixas de Endereços Dentro de Cada Sub-rede . . . . . . . . . . . . . . . . . . . . 124
Usando Comandos Para Detecção de Problemas na Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Resumo, Não Esqueça e Questões de Teste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
VIII ¥ C ERTIFICAÇÕES M ICROSOFT


SUMÁRIO
Capítulo 3 – Implementação e Administração do DNS . . . . . . . . . . . . . . . . . 139

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
DNS – Conceitos Teóricos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Entendendo os Elementos que Compõem o DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Entendendo Como Funcionam as Pesquisas do DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Entendendo o Conceito de Zonas e Domínios no DNS. . . . . . . . . . . . . . . . . . . . . . . . . . 154
Replicação de Dados e Transferência de Zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Ferramentas de Administração e Implementação do DNS . . . . . . . . . . . . . . . . . . . . . . . 157
Implementação e Administração do DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Instalação do DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Instalando o DNS: Para Instalar o DNS Siga os Passos Indicados a Seguir. . . . . . . . . . . . 158
Criando, Administrando e Configurando Zonas no DNS . . . . . . . . . . . . . . . . . . . . . . . . 160
Trabalhando com Registros do DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Zonas de Pesquisa Inversa – Reverse Lookup Zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Criando Registros em uma Zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Configurando as Propriedades de uma Zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Configurando as Propriedades do Servidor DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Atribuir Prioridades a Sub-Redes Locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Criando Zonas Secundárias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Integração do DNS com o Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Configurando um Servidor DNS Somente Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Configurações e Considerações sobre a Configuração do DNS nos Clientes . . . . . . . . . 211
Comandos Para Trabalhar com o DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Alguns Detalhes que Você não Pode Esquecer Para o Exame . . . . . . . . . . . . . . . . . . . . . . . . . 218
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Capítulo 4 – Implementação e Administração do DHCP . . . . . . . . . . . . . . . . 223

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Fundamentação Teórica do DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
O que é o DHCP – Dynamic Host Configuration Protocol? . . . . . . . . . . . . . . . . . . . . . . 224
Termos Utilizados no DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Como o DHCP Funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Clientes Suportados Pelo DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Um Recurso de Nome Esquisito APIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Entendendo o Funcionamento do Processo de Concessão (Lease Process)
de Endereços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Implementação e Administração do DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Instalação do DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Instalando o DHCP: Para Instalar o DHCP Siga os Passos Indicados. . . . . . . . . . . . . . . . 240
Autorizando o Servidor DHCP no Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Entendendo e Projetando Escopos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Criando, Administrando e Configurando Escopos no DHCP . . . . . . . . . . . . . . . . . . . . . 247
Configurando as Opções do Escopo e Criando Reservas . . . . . . . . . . . . . . . . . . . . . . . . . 253
Configurando Propriedades do Escopo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Configurando Propriedades do Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Gerenciando a Base de Dados do Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Opções do Comando Ipconfig Relacionadas ao DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Administração do Servidor DHCP Através da Linha de Comando . . . . . . . . . . . . . . . . . 266
C ERTIFICAÇÕES M ICROSOFT ¥ IX

DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Conclusão e Dicas Não Esqueça . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Capítulo 5 – Implementação e Administração do WINS. . . . . . . . . . . . . . . . . 273

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Entendendo o que é e Como Funciona o WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Algumas Características do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Como Saber se Ainda Devo Utilizar o WINS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Como Funciona o WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Implementação e Administração do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Instalando o WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
O Console de Administração do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Gerenciando a Base de Dados do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Configurando Opções do Servidor WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Replicação no WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
A Base de Dados do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Outras Opções de Administração do Console WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Conclusão e Dicas Não Esqueça . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Capítulo 6 – Configurando o Acesso Remoto com o RRAS . . . . . . . . . . . . . . . 305

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Serviço de Acesso Remoto – Fundamentação Teórica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Visão Geral Sobre o Acesso Remoto do Windows 2000 Server – RRAS . . . . . . . . . . . . . . 308
O Servidor RRAS Como Servidor de Conexões Dial-up . . . . . . . . . . . . . . . . . . . . . . . . . . 312
O Servidor RRAS Como Servidor de Conexões VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Protocolos Utilizados Para Conexões do Tipo Dial-up . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Protocolos Utilizados Para Conexões do Tipo VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Métodos de Autenticação no Servidor de Acesso Remoto . . . . . . . . . . . . . . . . . . . . . . . . 322
Habilitação e Configuração do Acesso Remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Habilitando o Servidor de Acesso Remoto – RRAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Configurações do Servidor de Acesso Remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
O Conceito de DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Configurando Políticas de Acesso Remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Configurações de Acesso Remoto nas Propriedades da Conta do Usuário . . . . . . . . . . . 362
Criando Uma Política de Acesso Remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configurando uma Política de Acesso Remoto – RemotE Access Profile. . . . . . . . . . . . . 369
Dicas Não Esqueça e Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Capítulo 7 – ICS, NAT e Certificados Digitais . . . . . . . . . . . . . . . . . . . . . . . . . 383

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Internet Connection Sharing (ICS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Mudanças que são Efetuadas Quando o ICS é Habilitado . . . . . . . . . . . . . . . . . . . . . . . . 385
Configurando os Clientes da Rede Interna, Para Usar o ICS . . . . . . . . . . . . . . . . . . . . . . 387
Mais Algumas Observações importantes Sobre o IC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Comparando ICS e NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Habilitando o ICS no Computador Conectado à Internet. . . . . . . . . . . . . . . . . . . . . . . . 392
Configurando os Clientes da Rede Para Utilizar o ICS. . . . . . . . . . . . . . . . . . . . . . . . . . . 396
X ¥ C ERTIFICAÇÕES M ICROSOFT

SUMÁRIO
Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

Entendendo Como Funciona o NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
OS COMPONENTES DO NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Um Pouco de Planejamento Antes de Habilitar o NAT . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Habilitando o NAT no Servidor RRAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configurando o NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Configurações Adicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Microsoft Certificate Services e PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Uma Introdução Sobre Certificados e PKI – Public Key Infrastructure . . . . . . . . . . . . . . 420
Um Pouco Sobre Certificados Digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Certificados e Autoridades de Certificação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Os Diferentes Tipos de Autoridades CertificadorAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Instalando uma Autoridade Certificadora Corporativa Root. . . . . . . . . . . . . . . . . . . . . . 431
Emitindo e Revogando Certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Utilizando o seu Navegador Para a Gerenciar Certificados . . . . . . . . . . . . . . . . . . . . . . . 440
Verificando a Lista de Certificados Pendentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Mapeando Certificados com Contas do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 442
Verificando as Informações Contidas em um Certificado . . . . . . . . . . . . . . . . . . . . . . . . 445
Revogando Certificados e Gerenciando a Lista de Certificados Revogados . . . . . . . . . . 446
Renovando o Certificado da Autoridade Certificadora . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Fazendo o Backup e o Restore da Base de Dados da Autoridade Certificadora . . . . . . . . 448
Criptografia no Windows 2000 Server e o Agente de Recuperação . . . . . . . . . . . . . . . . . . . . 449
Criptografia – Definições e Conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Garantindo a Recuperação dos Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Criptografando Arquivos e Pastas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Operações com Arquivos Criptografados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Descriptografando Arquivos e Pastas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Alterando a Diretiva de Recuperação do Computador Local. . . . . . . . . . . . . . . . . . . . . . 462
Recomendações Sobre a Criptografia de Pastas e Arquivos . . . . . . . . . . . . . . . . . . . . . . . 464
O Comando Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Resumo e Dicas “Não Esqueça” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Capítulo 8 – Roteamento com o RRAS e o Protocolo IPSec . . . . . . . . . . . . . . . 471

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Roteamento e Protocolos Dinâmicos de Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Definindo Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Tabelas de Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Como Funcionam os Protocolos de Roteamento Dinâmico . . . . . . . . . . . . . . . . . . . . . . 477
Routing Information Protocol – RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Uma Introdução ao RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Um Estudo Comparativo Entre RIP v1 e RIP v2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Instalando e Configurando o RIP no Windows 2000 Server . . . . . . . . . . . . . . . . . . . . . . 482
Open Shortest Path First – OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Uma Introdução ao OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Operação do Protocolo OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Instalando e Configurando o OSPF no Windows 2000 Server . . . . . . . . . . . . . . . . . . . . 498
Demand-Dial Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
C ERTIFICAÇÕES M ICROSOFT ¥ XI

Uma Introdução ao Roteamento de Discagem por Demanda . . . . . . . . . . . . . . . . . . . . . 509

Habilitando e Configurando o Roteamento de Discagem por Demanda . . . . . . . . . . . . 512
Algumas Observações Finais Sobre os Tipos de Conexões . . . . . . . . . . . . . . . . . . . . . . . . 519
O Protocolo IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Uma Introdução ao Protocolo IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
Configuração Baseada em Diretivas de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
Uma Maneira Mais Simples de Fornecer Proteção dos Dados . . . . . . . . . . . . . . . . . . . . . 521
Características e Componentes do Protocolo IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Criando uma Política de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Dicas do Que você não Pode Esquecer Para o Exame . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Capítulo 9 – Protocolos, Desempenho e Monitoração da Rede . . . . . . . . . . . 533

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Instalação e Configuração do Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Instalação e Configuração do Protocolo IPX/SPX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Utilizando os Serviços de Integração Entre Novell e Windows Server 2003 . . . . . . . . . . 545
Instalando e Configurando o Protocol NWLInk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Entendendo o Client Services for Netware (CSNW) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Monitoração do Desempenho dos Serviços de Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Monitoração de Desempenho – Conceitos Básicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Utilização do Console Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
Monitorando o Processador e a Memória do seu Servidor. . . . . . . . . . . . . . . . . . . . . . . . 559
Contadores a Serem Monitorados para os Serviços de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Principais Contadores do Objeto DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Principais Contadores do Objeto Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
Principais Contadores do Objeto Servidor do WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Principais Contadores do Objeto Total de RAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
Capítulo 10 – Resumo Final e Dicas de Sites com Material de Estudo . . . . . . 569

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Resumo Para o Exame 70-216 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Fundamentos de Redes Baseadas no Windows 2000 e no Active Directory . . . . . . . . . . 571
Fundamentos do Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
O que Você Não Pode Esquecer Sobre o DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
O que Você Não Pode Esquecer Sobre o DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
O Que Você Não Pode Esquecer Sobre o WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
O que Você Não Pode Esquecer Sobre o Acesso Remoto com o RRAS. . . . . . . . . . . . . . . 601
O que Você Não Pode Esquecer Sobre o NAT, ICS e Certificados Digitais . . . . . . . . . . . 610
O que Você Não Pode Esquecer Sobre o Roteamento no RRAS . . . . . . . . . . . . . . . . . . . . 622
Sites Com Excelentes Informações sobre Certificações e sobre o Exame 70-216 . . . . . . . . 637
Capítulo 11 – Simulado Para o Exame 70-216 . . . . . . . . . . . . . . . . . . . . . . . . 639

Simulado Para o Exame 70-216 – 60 Questões – Respostas – Comentários . . . . . . . . . . . . . . 640
Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691
XII ¥ C ERTIFICAÇÕES M ICROSOFT


INTRODUÇÃO

UMA VISÃO GERAL SOBRE CERTIFICAÇÕES MICROSOFT

Nesta introdução, vou apresentar uma visão geral sobre o programa de Certificação da Microsoft.
Vou iniciar o capítulo falando sobre as diferentes opções de certificação para profissionais que tra-
balham com a administração e gerência de redes baseadas no Windows 2000 Server. Em seguida,
vou apresentar mais detalhes sobre a certificação “Microsoft Certified Systems Engineer – MCSE”,
do qual faz parte o exame 70-216 (objeto de estudo deste livro e obrigatório para o candidato que
quer obter a certificação MCSE). Também tratarei da Certificação Microsoft Certified Professional
– MCP que é uma certificação, digamos, mais “light”. Para obter o MCP basta que você seja apro-
vado em um único exame de produto Microsoft, como por exemplo, o exame 70-210 (Windows
2000 Professional), exame 70-215 (Administração do Windows 2000 Server) ou outro exame
qualquer de produto Microsoft, não necessariamente do Windows 2000.
Em seguida, apresento uma visão geral do livro, do conteúdo, dos pré-requisitos necessários para
acompanhamento do conteúdo e outros detalhes importantes.
Os objetivos e conteúdos que fazem parte do exame são definidos pela própria Microsoft. O Exa-
me 70-216 tem a seguinte denominação oficial: “Exam 70-216: Implementing and Administering
a Microsoft Windows 2000 Network Infrastructure”.
O exame inclui uma série de tópicos relacionados ao uso do Windows 2000 Server para implemen-
tação e administração de uma infra-estrutura de rede de grande porte. Entenda-se como uma rede
de grande porte, uma rede formada por escritórios em diversas localidades. Cada localidade com
uma rede local e essas diversas redes locais conectadas através de links de WAN. Neste cenário,
existe uma série de serviços que dão suporte e permitem a conexão e troca de informações através da
rede: DNS, WINS, DHCP, RRAS e assim por diante. Estes são justamente os serviços abordados neste
livro. Por isso, segundo a Microsoft, no site oficial do exame 70-216 (http://www.microsoft.com/tra-
incert/exams/70-216.asp), este exame é indicado para candidatos que tem experiência de, pelo me-
nos, um ano, na implementação/administração/gerência de redes de grande porte.
A experiência é recomendada, não e obrigatória. Assim, o candidato não terá que comprovar a ex-
periência prática para poder fazer exame. Embora a experiência não seja obrigatória (no sentido
de ter que ser comprovada), é altamente recomendada, pois somente com uma boa experiência
prática na implementação/administração/gerência de redes de grande porte, o candidato terá
mais chances de ser aprovado neste exame.
O exame 70-216 é, sem dúvidas, um dos exames mais difíceis no caminho do candidato ao MCSE no
Windows 2000. Em uma escala de 1 a 5, eu diria que este tem um nível de dificuldade 4,5. Quem já fez
o exame 70-215 (Administração do Windows 2000 Server), poderá comparar o nível de dificuldade
dos exames, pois classifico o 70-215 com nível de dificuldade 3, na escala de 1 a 5. As maiores dificul-
dades dos candidatos são em questões relacionadas com o TCP/IP (Capítulo 2), DNS (Capítulo 3),
acesso remoto (Capítulo 7) e NAT (Capítulo 8).
2 ¥ C ERTIFICAÇÕES M ICROSOFT

INTRODUÇÃO
O exame 70-216é recomendado para candidatos que trabalham na administração e/ou gerência
de redes de porte médio ou grande, as quais utilizam o Windows 2000 Server nos servidores e o
Windows 2000 Professional ou Windows XP nas estações de trabalho da rede. É recomendado,
porém não obrigatório, que você tenha, no mínimo, um ano de experiência trabalhando em uma
rede com as seguintes características:
l Entre 200 e 26.000 usuários.
l Entre 5 e 500 localizações físicas: diferentes redes em diferentes localidades/escritórios da

empresa.
l Compartilhamento de arquivos e impressoras.
l Servidores de banco de dados e de mensagens.
l Servidores Web baseados no IIS.
l Proxy Server ou Firewall.
l Servidor de Acesso Discado – RRAS.
l Gerenciamento de estações de trabalho (GPOs).
Ao passar no exame 70-216 você obtém a certificação MCP, caso ainda não seja um MCP. O exa-
me 70-216 também é um exame obrigatório (Core) para a certificação MCSE – 2000. Este exame
também pode ser utilizado como eletivo para as certificações MCDBA em SQL Server 2000 e
MCSA no Windows 2000 Server.
Este é um exame (como o próprio título sugere) que aborda diretamente a instalação, configura-
ção e administração de uma série de serviços relacionados com a rede em si. O candidato deve do-
minar a administração de serviços tais como: Domain Naming System – DNS, Dynamic Host
Configuration Protocol – DHCP, Windows Internet Naming Services – WIINS, Routing and Re-
mote Access Services – RRAS e assim por diante. Para entender estes serviços é fundamental enten-
der os fundamentos do protocolo TCP/IP (Capítulo 2).
Uma dúvida que muitos candidatos tem é se realmente a experiência prática é necessária. Este as-
sunto posso falar com base em uma boa experiência pessoal. Fui aprovado em 25 Exames de Certi-
ficação da Microsoft, com os quais obtive as seguintes certificações: MCP, MCP+I, MCSE,
MCSE+I, MCDBA, MCSD e MCT (quando este livro for publicado já terei feito mais dois exames,
para aumentar um pouco mais esta estatística). Para obter esta valiosa “sopa de letrinhas” posso
garantir que a experiência prática foi de grande importância. Trabalho como Gerente do Ambien-
te Cliente-Servidor na Delegacia da Receita Federal de Santa Maria – RS. Durante muito tempo
atuei como Administrador de Rede, em uma rede baseada, primeiro, em clientes com Windows
9x e servidores com NT Server 4.0; depois com clientes baseados no Windows 2000 Professional e
servidores com Windows 2000 Server. Posso garantir que a experiência prática ajuda muito na
hora dos exames, pois surgem questões que só a vivência prática é capaz de ajudar a resolver.
C ERTIFICAÇÕES M ICROSOFT ¥ 3

UMA VISÃO GERAL DO PROGRAMA DE

CERTIFICAÇÃO DA MICROSOFT
A Microsoft tem um amplo e variado Programa de Certificação, do qual fazem parte certificações
para diferentes perfis de profissionais. Por exemplo, existe uma certificação para Engenheiros de
Sistemas – MCSE, outra para Administradores de Banco de Dados – MCDBA, outras duas para de-
senvolvedores de aplicativos – MCSD e MCAD, outra para Administradores de Rede – MCSA, ou-
tra para Instrutores Certificados – MCT e assim por diante.
O Programa de Certificação é a maneira que a Microsoft tem para verificar as habilidades dos can-
didatos na utilização, projeto e implementação de tecnologias Microsoft nas redes das empresas e
para o desenvolvimento de aplicações.
Muitos leitores me questionam sobre o real valor das certificações. Esta é uma questão realmente
difícil de responder. As certificações atestam a capacidade técnica do candidato ao emprego em
uma área de atuação. Porém, as qualificações técnicas são apenas uma das habilidades necessárias
para que o candidato se coloque bem no mercado. Hoje em dia são muitos os requisitos, e a maio-
ria deles não técnicos, que se exigem de um profissional. A seguir, coloco uma cópia do artigo “O
Profissional Atual = um Ser Humano Completo”, de minha autoria, que foi publicado no site da
Revista Developers Magazine (www.developers.com.br), e esteve na página principal do site por
quase 6 meses. Neste artigo, abordo justamente as múltiplas aptidões que o profissional atual
deve dominar para se colocar bem no mercado de trabalho.
ARTIGO: O PROFISSIONAL ATUAL = UM SER HUMANO COMPLETO

Estamos vivendo a “era da informação, da velocidade e da orientação para resultados”. Muitas vezes, fi-
camos atônitos com a rapidez com que as mudanças acontecem. Já não basta mais sermos especialistas
em informática. Precisamos “entender do negócio”, senão como poderemos aplicar nossos conhecimentos
em benefício da empresa, ou em outras palavras: gerar resultados?
Muitos consultores e autores bem-sucedidos de livros de negócios e carreira dizem que estamos viven-
do a era dos multi-especialistas. Precisamos entender de muitos assuntos: administração, finanças, in-
formática, outros idiomas, pessoas (esta talvez seja a aptidão mais importante e mais difícil), trabalho
em equipe, etc.
Como dominar tantas competências e, ao mesmo tempo, conciliar família, amigos, atividades físicas e
a pressão da empresa por resultados cada vez melhores e em menor tempo? Com certeza não é fácil,
mas é possível crescer profissionalmente e, principalmente, com ética, sem abrir mão de uma vida pes-
soal com qualidade. Conhecimentos técnicos são e sempre serão indispensáveis.

INTRODUÇÃO
Lembra do tempo em que era só pegar o diploma, esperar uma proposta de emprego, trabalhar por “uns
30 anos” na mesma empresa e se aposentar? Essa época simplesmente acabou. Hoje temos que nos man-
ter em um estado de aprendizagem contínuo e o mais difícil: temos que aprender a aprender. Educação e
aprendizagem não é algo que tem data para terminar em um momento determinado, como logo após a fa-
culdade ou uma pós-graduação. Para que o profissional possa manter-se no mercado é necessário estudar
sempre, mantendo-se atualizado com as mudanças tecnológicas, aprendendo a utilizar as novas ferramen-
tas, aprimorando o conhecimento de outros idiomas e assuntos.
Precisamos conhecer uma infinidade de assuntos, dentro os quais poderia destacar os seguintes: conheci-
mentos sobre finanças e investimentos, noções básicas sobre contabilidade e economia, matemática finan-
ceira, um ou mais idiomas estrangeiros; (preferencialmente inglês e espanhol), bom domínio da gramática
e das técnicas de redação, administração, marketing, gerência de projetos, trabalho em equipe e orienta-
ção para resultados.
Somente o estudo eficaz e continuado é capaz de garantir o domínio de tantos assuntos. Por isso devemos
nos preocupar, em primeiro lugar, em melhorar o nosso rendimento nos estudos.
Aliás, o princípio de educação pela vida inteira não é nenhuma novidade dos tempos modernos. Os gre-
gos já defendiam um modelo de educação conhecido como “paideia”, em que um dos pilares deste mo-
delo era uma educação diferenciada e continuada, mesmo após a idade adulta. Em resumo: educação e
estudo durante a vida inteira. O primeiro dilema: mais estudo demanda mais tempo.
Para exemplificar o dilema de arranjar tempo para estudar tudo o que julgamos necessário ou “que nos di-
zem” ser necessário, vou utilizar o exemplo da pessoa que eu melhor conheço neste mundo: “eu mesmo”.
Em primeiro lugar, você precisa entender que não dá para estudar tudo o que acha ser importante ou o que
nos dizem (jornais, revistas e sites da moda) ser indispensável para uma carreira de sucesso. Devemos ser
capazes de definir prioridades e segui-las à risca.
Durante muito tempo, comprei muito mais livros do que poderia ler. Cheguei a ter mais de 30 livros esperan-
do na fila. Constantemente, me preocupava pelo fato de não conseguir ler e estudar todos os assuntos que
eu julgava importantes. Uma simples pausa para assistir a um jogo de futebol na televisão era motivo para
consciência pesada por não ter aproveitado melhor meu tempo. Onde é que já se viu perder um jogo do
meu Grêmio?
Neste período, acabei me afastando dos amigos, da família e até minha esposa queixava-se, com a mais ab-
soluta razão, de que eu quase não ficava com ela. Muitas vezes eu me preocupava mais em ler um livro, do
que em fazer uma análise sobre seu conteúdo e sobre o valor daquela leitura para mim como ser humano e
para a minha carreira profissional. O importante era diminuir a fila de livros não lidos, mesmo que isso signifi-
casse cada vez menos horas de sono, menos horas de lazer e de atividades físicas. Pouco importava se minha
qualidade de vida estava péssima e piorando dia a dia.
Talvez o amigo leitor jamais tenha chegado a esse ponto, mas não é difícil concluir que não dá pra estu-
dar tudo. O simples fato de o estudo ter se tornado uma carga muito pesada, mais uma obrigação do que
um prazer, fez com que meu rendimento e meu humor descessem a níveis preocupantes.

Não dá para aprender tudo ao mesmo tempo: Windows XP, Windows 2000, Linux, Novell, UNIX, VB,
Delphi, Java, JavaScript, ASP, ASP.NET, C, C++, C#, XML, segurança, finanças, economia, administra-
ção, fazer um MBA, uma pós... e, se você ainda estiver vivo, quem sabe, uma cirurgia de ponte de safena.
Estudo e aperfeiçoamento contínuos são fundamentais sim, porém de forma organizada e, principalmente,
planejada. O foco deve estar na aplicação dos conhecimentos adquiridos. Jamais no conhecimento por si
só. Conhecimento não é poder, ação, sim é poder. Conhecimento não é o que faz a diferença, o que faz a
diferença é o que você faz com o conhecimento que tem. Não se esqueça dos seguintes princípios básicos:
definição de prioridades e foco na aplicação dos conhecimentos.
Parece, e é, o óbvio. Se cada vez temos mais assuntos para estudar, mais aptidões para desenvolver e me-
nos tempo para tudo isso é fundamental que formemos uma base bem sólida para enfrentar os desafios atu-
ais e os que ainda estão por vir. Como “base sólida”, considero o domínio de algumas técnicas vital para
que o profissional possa manter o seu desempenho em níveis sempre elevados e ainda ter tempo para viver,
para curtir a família, o lazer e os amigos. Vamos falar um pouco sobre alguns tópicos que considero vitais.
ADMINISTRAÇÃO DO TEMPO
Saber administrar de maneira racional o “escasso” tempo que dispomos é de fundamental importância.
Muitas pessoas queixam-se de que não tem tempo para nada, mas se observarmos com mais atenção vere-
mos que, mesmo que o dia tivesse as “tão sonhadas 48 horas”, essas pessoas não conseguiriam concluir as
suas tarefas, pelo simples motivo de que não administram corretamente o tempo. Estamos sem controle do
nosso tempo quando acumulamos mais informações do que podemos absorver, quando trabalhamos de
olho no relógio, querendo cumprir uma carga de trabalho irreal, quando levamos uma vida sedentária com
a desculpa que não temos tempo para praticar uma atividade física ou quando enchemos nossa agenda
com atividades e compromissos que sabemos que não seremos capazes de cumprir.
Nos endereços a seguir, você encontra uma série de artigos meus sobre administração do tempo:
http://www.gabaritando.com.br/colunas/0310_batisti.asp
http://www.gabaritando.com.br/colunas/batisti_brigar_tempo2_27_01.asp
http://www.gabaritando.com.br/colunas/batisti_brigar_tempo3_1.asp
SERÁS ORGANIZADO E NÃO PROCRASTINARÁS
Não é um mandamento mas deve ser encarado como tal. Sabe aquele história que “na minha bagunça eu me
acho”? O profissional dos dias atuais tem que ser organizado, quer seja no trabalho, quer seja na sua vida
pessoal. No final de cada ano, fazer um planejamento para o ano seguinte não faz mal a ninguém. No plane-
jamento é importante incluir quais novos conhecimentos você deseja adquirir, onde você irá aplicar estes co-
nhecimentos (lembre sempre: conhecimento sem ação não tem valor algum), as novas aptidões que

INTRODUÇÃO
deseja desenvolver e, principalmente, quais os objetivos deseja alcançar. Parece incrível, mas muitas pes-
soas, no meio da correria, não tem a noção exata de quais são seus objetivos. Como diz um ditado oriental:
“de que adianta correr se você está no caminho errado”? Outra “praga”, que deve ser combatida com vee-
mência, é a procrastinação, o popular “empurrar com a barriga”. Deixar para depois, começar amanhã
ou quem sabe na semana que vem? Nada disso. Quanto antes iniciarmos nossas tarefas, com mais tranqüi-
lidade e qualidade poderemos completá-las, sem apuros e improvisações.
TRABALHO EM EQUIPE E DELEGAÇÃO DE TAREFAS
Você é admitido na empresa e é mais do que normal que no seu primeiro emprego, seja alocado para reali-
zar algumas tarefas operacionais. Mas como todo mundo, você quer evoluir, crescer, ser promovido. É na-
tural que venha a ocupar, com o passar do tempo, um cargo de gerência. Quem sabe um dia será diretor,
depois vice-presidente e, porque não, presidente. Não importa o cargo que você ocupa, é fundamental que
saiba trabalhar em equipe, em outras palavras: “colaboração e cooperação”. Isso não significa que não
deva existir competição, porém em doses saudáveis. Mas o fato é que somente o trabalho em equipe é ca-
paz de obter os resultados exigidos atualmente. Pela milionésima vez, vou citar o exemplo do time de fute-
bol formado por 11 craques, porém sem espírito de equipe, onde cada um quer aparecer mais do que o ou-
tro. Com certeza este time será derrotado por uma equipe formada por 11 jogadores medianos, porém
com forte espírito de equipe, onde todos colaboram na busca de um objetivo comum. Na medida que você
vai ocupando cargos com características mais gerenciais do que operacionais, a delegação de tarefas tor-
na-se um instrumento indispensável. Se você chefia uma equipe é fundamental que confie nela. Com isso é
possível delegar tarefas e manter um nível de acompanhamento racional; pois de nada adianta delegar
uma tarefa e depois acompanhar, passo a passo a execução. No endereço a seguir, você encontra um arti-
go meu sobre delegação de tarefas:
http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=322
NÃO BASTA SER COMPETENTE, OS OUTROS TEM

QUE SABER QUE VOCÊ É COMPETENTE
É importante que as pessoas saibam que você é um profissional competente, ético e em que assuntos você
pode ser considerado uma referência. Não é uma questão de ser metido ou se achar o máximo. Devemos
cuidar da nossa carreira da mesma maneira que cuidamos de uma empresa. Tom Peters, na excelente série
de livros “Reinventando o Trabalho”, editora Campus, defende que o profissional deve cuidar da divulga-
ção do seu talento e habilidades, como se estivesse fazendo a divulgação do produto de uma empresa – ele
denomina esta empresa de Você SA. Peters ainda defende a idéia de que devemos cuidar desde os aspec-
tos básicos com uma boa aparência, boa educação, até questões mais avançadas como fazer uma au-
to-avaliação do tipo: “qual o valor da marca – seu nome – para o mercado de trabalho”. A idéia básica é
que você se torne um profissional que as empresas necessitem e que seja capaz de fazer o seu marketing
pessoal com eficiência.

Outra palavra que está bastante em moda é “netwoking”. Esta palavra é utilizada para fazer referência à
nossa rede de relacionamentos profissionais. Diversos autores são unânimes em afirmar que não deve-
mos nos descuidar da nossa rede de relacionamentos. De preferência, devemos ampliá-la para incluir
contato com profissionais das mais diversas áreas. Manter nossa lista de telefones e endereços de e-mail
em dia é de fundamental importância. Muitas vezes uma oportunidade surge na empresa onde um dos
seus contatos/amigos está trabalhando. É natural e ético que o seu contato/amigo indique você para
ocupar a vaga. Existem empresas que dão prêmios em dinheiro para funcionários que indicam conheci-
dos que sejam aprovados e admitidos para ocupar uma vaga na empresa. A simples indicação não ga-
rante o emprego, pois o candidato deverá passar pelo processo de avaliação da empresa. Além disso, se
você não for competente, o seu amigo/contato não irá indicá-lo, pois ele não quer ser responsável pela
admissão de uma pessoa sem as competências exigidas pela empresa ou pela indicação de um candida-
to que certamente será reprovado.
É HORA DE CONSTRUIR UMA CARREIRA DE SUCESSO

Agora que você já conhece os fundamentos necessários para criar uma carreira de sucesso, tais como ad-
ministrar bem o tempo e a sua lista de contatos, ser organizado e ter objetivos bem claros, é hora de constru-
ir uma carreira sólida e de sucesso.
Parece óbvio, mas devo reforçar a idéia de que o profissional de TI, quer seja em nível operacional, geren-
cial ou executivo, deve ter sólidos conhecimentos técnicos. Um ponto importante a destacar é que “conheci-
mentos técnicos” significa o domínio de algumas tecnologias essenciais e não, necessariamente, de produ-
tos específicos. Este é um erro que tenho observado, inclusive, em diversos cursos universitários para a
formação de profissionais de TI, ou seja, ao invés de ensinar tecnologia, ensinam a utilizar determinados
produtos. Claro que existem alguns produtos específicos que, devido a grande aceitação no mercado, de-
vem ser dominados pelo profissional de TI. A seguir, coloco uma lista das tecnologias e alguns produtos es-
pecíficos que considero essenciais que o profissional domine:
l Sistemas operacionais, principalmente Windows (9x, 2000, NT e XP), Linux e UNIX.

l Redes de computadores (conceitos, arquiteturas, dispositivos de hardware, etc.).
l TCP-IP e tecnologias relacionadas.
l Orientação a objetos (para desenvolvedores e analistas de sistema).
l Princípios de análise e projeto de software.
l Segurança (criptografia, firewall, gerenciamento, VPN, PKI, certificados digitais, etc.).
l Banco de dados (modelo relacional, administração, integração com a Web, etc.).
l Gerência de projetos.
l No mínimo uma ferramenta/linguagem de desenvolvimento.
l Internet (arquitetura, utilização, modelo de desenvolvimento para Web em três ou mais camadas).

INTRODUÇÃO
Pode parecer muita coisa, mas o domínio destes assuntos segue uma ordem natural e até intuitiva, mesmo
nos atuais dias de correria. A maioria dos profissionais de TI iniciou sua carreira aprendendo a utilizar
um sistema operacional. Em seguida, muito provavelmente, passou a estudar os princípios básicos de ló-
gica de programação e uma linguagem para testar os conceitos aprendidos. Em seguida, chegou o mo-
mento de aprender a utilizar algumas ferramentas, como por exemplo um redator de textos e uma plani-
lha de cálculos. E assim os conhecimentos vão sendo adquiridos um a um. O problema está na
velocidade com que novas tecnologias e produtos são lançados. Não adianta nos queixarmos, a atitude
correta é nos adaptarmos.
No início da Revolução Industrial, quando foram criados os primeiros teares, muitos empregados ficaram
revoltados, com medo de perder o emprego. Outros procuraram entender a mudança, aprendendo a ope-
rar as novas máquinas. Estes últimos souberam se adaptar a uma situação de mudança e mantiveram seus
empregos. Penso que a atitude correta é exatamente esta, ou seja, o profissional de TI precisa adaptar-se ao
ritmo em que vivemos. É simplesmente uma questão de adaptar-se ou ficar para trás. Quero aqui, mais uma
vez, tocar no ponto central, o qual me levou a escrever este artigo: “é possível acompanhar o ritmo das mu-
danças, mantendo-se atualizado, sem perder em qualidade de vida e convívio com a família e os amigos”.
Um aspecto bastante valorizado pelas empresas são as certificações oficiais. Cada empresa tem o seu pró-
prio programa de certificação. Por exemplo, a certificação mais valorizada da Microsoft é o título de MCSE
– Microsoft Certified Systems Engineer. As certificações da Cisco, IBM, Sun e Oracle também são bastante
valorizadas no mercado. A certificação serve como uma espécie de atestado, o qual é um indicativo das
qualificações do profissional em um determinado produto ou tecnologia.
Aquele profissional que trabalhava exclusivamente fechado na sala de processamento de dados, sem um
contato mais direto com o restante da empresa, apenas realizando tarefas estritamente técnicas, não existe
mais. Hoje a empresa quer um profissional completo, ou seja, um ser humano completo.
A Tecnologia da Informação é fundamental como suporte para todas as atividades de uma empresa. Para
que a TI possa atender as expectativas da empresa, dos funcionários e dos clientes, é fundamental que os
profissionais de TI conheçam a empresa, os funcionários, os processos, os produtos, os clientes e o merca-
do. Em outras palavras: conheça o negócio. Por isso que, além dos conhecimentos técnicos, são importan-
tes os conhecimentos já citados anteriormente, tais como: finanças, administração, marketing, contabilida-
de, economia, etc.
A alma de uma empresa é formada por pessoas, idéias e objetivos claros e definidos. Para que as pessoas
possam colocar suas idéias na busca de seus objetivos pessoais e na busca dos objetivos da empresa é fun-
damental que todos tenham boa capacidade de relacionamento inter e intra pessoal. A empresa espera
que o profissional seja ético, honesto, que tenha espírito de equipe. Neste ponto a alta direção e os executi-
vos da empresa desempenham um papel fundamental na criação de um bom ambiente de trabalho. A em-
presa tem que saber que os funcionários não a ajudarão a alcançar seus objetivos se, a empresa não aju-
dar o funcionário a realizar seus próprios sonhos.
Um bom ambiente de trabalho inclui uma estrutura sem grandes burocracias com infinitos níveis hierár-
quicos, com dezenas de formulários a serem preenchidos, os quais só atrapalham quem quer trabalhar

e produzir. É um ambiente onde a criatividade é sempre incentivada e não sufocada por normas sem senti-
do; uma política de remuneração justa e transparente; desafios constantes e direitos iguais para todos. São
pequenas coisas que podem começar a minar o ambiente de trabalho. Pequenas regalias para a alta admi-
nistração, ineficiência na comunicação interna, etc.
Dentro deste novo ambiente, o profissional deve ser capaz de se expressar com naturalidade e eficiência.
O domínio da gramática e das técnicas de redação e comunicação é fundamental para que você possa ex-
por suas idéias com clareza. Passamos uma parcela considerável do nosso tempo respondendo e-mails,
elaborando memorandos, relatórios, notas técnicas e os mais variados tipos de documentos. O profissional
que domina as técnicas de redação tem maiores chances de se destacar e ser lembrado para promoções.
Além da comunicação escrita, também é de grande importância a habilidade para fazer apresentações,
quer seja para um público interno (colegas de trabalho, chefes, etc.), quer seja para um público externo (cli-
entes, fornecedores, etc.).
Todo este “arsenal” de conhecimentos e aptidões de nada adianta se você não for “orientado para resulta-
dos”. Em outras palavras: a empresa não paga você para trabalhar 8 horas ou para realizar determinadas
tarefas ou para ter determinados conhecimentos; você é pago para ação, para obter resultados.
Para que você possa obter os resultados esperados pela empresa, são fundamentais três “Cs”: conhecimen-
to, contribuição e comprometimento. Sobre a importância dos conhecimentos e do trabalho em equipe
(contribuição) já falamos. Mas tudo isso não adianta se você não estiver comprometido com suas idéias,
projetos e objetivos, estes alinhados com os objetivos da empresa. Comprometer-se é buscar os resultados,
dando o máximo de si. Quando um projeto está com problemas, se você não estiver comprometido com o
sucesso do projeto, começará a buscar desculpas que justifiquem o “possível fracasso”, ao invés de traba-
lhar intensamente na busca de soluções. O profissional dos dias atuais tem que estar comprometido com os
objetivos da empresa e também com seus objetivos pessoais, a isso chamo de ética pessoal e profissional.
Esta é uma questão de postura do profissional. Para detalhes sobre este tópico consulte o meu artigo “Ven-
cer é uma questão de postura”, disponível no endereço a seguir:
http://www.gabaritando.com.br/colunas/Batisti_postura01_04_03.asp
A VIDA NÃO É SOMENTE TRABALHO

Leia esta pequena história.
Uma vez um mestre fez uma experiência com seus alunos. Pegou um vaso e encheu-o com pedras grandes.
Depois, ergueu o vaso e perguntou aos alunos: o vaso está cheio?
A turma se dividiu, com alguns dizendo que sim e outros que não. O mestre então, pegou algumas pedras
pequenas e colocou-as no vaso. As pedras pequenas se encaixaram entre as grandes, e o mestre ergueu o
vaso, novamente, perguntando: o vaso está cheio?
Desta vez a maioria dos alunos respondeu que sim. O mestre, então, pegou um saco de areia e despejou
dentro do vaso. Depois, repetiu a pergunta.

INTRODUÇÃO
A grande maioria respondeu que sim. O mestre, então, pegou uma jarra de água, derramou no vaso, e per-
guntou: o vaso está cheio?
A turma finalmente chegou a um consenso. Todos responderam que sim. Então o mestre falou: Este vaso
é como a nossa vida. Se eu tivesse colocado as pedras pequenas, a areia ou a água em primeiro lugar,
não haveria espaço para as pedras grandes. As pedras grandes na nossa vida são: família, amigos,
carreira, trabalho, fé, lazer e saúde. É fundamental que não descuidemos delas. Não podemos perder
muito tempo com coisas sem importância (as pedras pequenas), pois corremos o risco de não haver es-
paço para as coisas que realmente são importantes (as pedras grandes).
Para mim, foi vital entender que a carreira é importante sim, principalmente em tempos de alta rotatividade
e de busca por profissionais cada vez mais qualificados. Mas não é tudo. Uma carreira de sucesso é susten-
tada por muitos pilares e, sem dúvida, família, lazer, amigos e saúde física e mental são alguns dos que têm
maior importância.
Reservar um tempo para a família, programar horas de lazer ou de bate-papo com os amigos e realizar ati-
vidades físicas não podem, de maneira alguma, ser consideradas atividades que nos “roubam tempo”. Às
vezes, é importante uma simples parada para não fazer nada e refletir sobre a vida. A partir do momento
em que conseguimos equilibrar esses aspectos, passamos a ver as coisas com mais clareza e a produzir
mais e melhor.
PLANEJAMENTO E ORGANIZAÇÃO – MAIS UM LEMBRETE

Também não podemos descuidar de dois princípios básicos para uma carreira de sucesso: organização e
planejamento. A cada fim de ano planejo minha carreira para os 365 dias que vão começar e sempre pen-
so nos seguintes aspectos: novos conhecimentos que desejo adquirir e aonde vou aplicá-los, provas e exa-
mes de certificação que desejo fazer, projetos que pretendo implementar na minha empresa e projetos pes-
soais que quero desenvolver (como escrever livros e artigos, ministrar palestras e treinamentos).
O planejamento precisa ser feito de maneira consciente. Não adianta planejar uma carga de atividades que
com certeza você não terá como cumprir. Também é importante ter consciência de que nem sempre as coisas
saem conforme o planejado. É preciso ter criatividade e flexibilidade para contornar e solucionar imprevistos.
Melhorar a capacidade de organização e de gerenciamento do tempo, também é um aspecto importante.

Muitas vezes me pegava navegando na Internet horas a fio, saltando de um portal para o outro, maravilha-
do com a quantidade de informações, mas não chegava a ler sequer um artigo. Na verdade, nem mesmo
lembrava do assunto que me levou a acessar a Internet. É claro que a Internet é imprescindível, porém deve-
mos saber utilizá-la a nosso favor, sem nos perdermos na imensidão de informações disponíveis.
Tomar café, assistir TV, ler um jornal a caminho do serviço, outro no avião, assinar um monte de revistas; são
sintomas do que Richard Saul Wurman descreve como ansiedade de informação, no excelente livro com este
mesmo título. Segundo o autor: “informação é aquilo que reduz a incerteza, a causa profunda da ansiedade.
A ansiedade da informação acontece quando você sabe o que quer, mas não sabe como chegar lá”.

No começo é difícil. Diversas vezes, em meio a uma atividade de lazer, batia aquela “dor na consciência”
e eu pensava que deveria estar estudando ou terminando um trabalho qualquer. Porém, com o tempo, co-
mecei a perceber a importância dessas atividades.
Posso usar o meu exemplo pessoal para mostrar o quanto é importante não descuidar das “pedras gran-
des” que fazem parte da nossa vida. Em 2001, consegui publicar dois livros (SQL Server 2000 Administra-
ção e Desenvolvimento – Curso Completo e ASP.NET, Uma Nova Revolução na Criação de Sites e Aplica-
ções Web, ambos pela Axcel Books), em 2002 mais um livro (Windows XP Home & Professional pela Axcel
Books), criei e consegui tornar conhecido o meu site (www.juliobattisti.com.br) e viajei o Brasil inteiro minis-
trando treinamentos em diversas áreas, consegui estudar vários assuntos que julguei prioritários e fui apro-
vado em oito exames de certificação da Microsoft. Isso não significou que tive que esquecer do lazer e da
família ou dos amigos.
Ainda não “zerei” a fila de livros que tenho para ler, nem dediquei todo o tempo que julgo necessário para
minha vida pessoal, mas confesso que já consigo passar um domingo inteiro na beira da piscina, no clube,
sem ficar com a consciência pesada. Este ano também tive momentos maravilhosos com minha família e
meus amigos. Sinto-me mais leve e produzindo mais do que antes; consigo valorizar coisas que antes pas-
savam despercebidas. Até voltei a brincar com crianças, o que antes eu achava algo irritante e sem graça.
O caso era realmente sério!
REFERÊNCIAS BIBLIOGRÁFICAS
l Dawson, Roger. 13 Segredos para o Sucesso Profissional. Editora Futura.
l Figueiredo, José Carlos. Como Anda Sua Carreira. Editora Infinito.
l Jensen, Bill. Simplicidade. Editora Campus.
l Kundtz, Dr. David. A Essencial Arte de Parar. Editora Sextante.
l Levy, Pierry. A Conexão Planetária. Editora 34.
l Minarelli, José Augusto. Empregabilidade. Editora Gente.
l Oliveira, Marco A. E Agora José? Editora SENAC.
l Peters, Tom. Série Reinventando o Trabalho. Editora Campus.
l Siegel, David. Futurize Sua Empresa. Editora Futura.
l Shinyashiki, Roberto. Você, a Alma do Negócio. Editora Gente.
l Sterneberg, Robert J. Inteligência Para o Sucesso Pessoal. Editora Campus.
l Wurman, Richard Saul. Ansiedade de Informação. Cultura Editores Associados.
Autor: Julio Battisti

Site: www.juliobattisti.com.br e www.certificacoes.com.br
Email: webmaster@juliobattisti.com.br
Biografia: Julio Battisti é MCP, MCP+I, MCT, MCSE 2000, MCSE+I, MCDBA, MCSD e autor de cinco livros
já publicados pela Axcel Books do Brasil.

INTRODUÇÃO
Este artigo reforça o meu ponto de vista de que os conhecimentos técnicos continuam sendo im-
portantes, porém as empresas esperam muito mais do que apenas conhecimentos técnicos. Ao
obter uma ou mais certificações da Microsoft, você está comprovando os seus conhecimentos téc-
nicos e o domínio das tecnologias relacionadas aos exames de certificação.
Conforme já descrito anteriormente, o exame 70-216 é obrigatório para quem quer obter a certifi-
cação MCSE, e também conta como eletivo para as certificações MCSA e MCDBA. A seguir, apresen-
tarei alguns detalhes sobre a certificação MCSE, que é a certificação indicada para profissionais que,
além de administrar redes baseadas no Windows XP e no Windows 2000 Server, também são res-
ponsáveis pelo planejamento, gerenciamento, implementação e expansão das respectivas redes.
Informações completas sobre os diversos programas de certificação da Microsoft podem ser en-
contradas nos seguintes endereços:
l www.certificacoes.com.br
l www.microsoft.com/traincert
l www.microsoft.com/brasil/certifique
l www.cramsession.com
l www.examnotes.net
l www.timaster.com.br (coluna Certificado de Garantia, de minha autoria).
l www.certcities.com
l www.certportal.com
l www.mcmcse.com
l www.2000tutor.com
l www.mcpmag.com
l www.msexpert.com
O PROGRAMA DE CERTIFICAÇÃO MICROSOFT

CERTIFIED SYSTEMS ENGINEER – MCSE
Com a chegada do Windows 2000, foram anunciadas mudanças na certificação Microsoft. Va-
mos tratar dos caminhos para a atualização da certificação MCSE – Microsoft Certified Systems
Engineer – para Windows 2000.
Os exames para o Windows NT 4.0 (Server e Workstation) continuaram disponíveis somente até
31 de dezembro de 2000, quando foram então retirados. Porém, quem já possuia a certificação

MCSE para o Windows NT 4.0 teve até 31 de dezembro de 2001 para fazer os exames do Windows
2000. Depois a Microsoft voltou atrás novamente e manteve o título de MCSE para quem já era
certificado no NT 4.0, porém com a distinção de versão: o candidato é MCSE NT 4.0 ou MCSE
2000 ou MCSE 2003.
O candidato a obter a certificação MCSE para o Windows 2000 deve passar em cinco exames con-
siderados obrigatórios, são os chamados Core Exams. O candidato deve passar, obrigatoriamente
nos quatro exames:
l Exam 70-210: Install, Configuring and Administering Windows 2000 Professional ou Exam
70-270: Installing, Configuring and Administering Microsoft Windows XP Professional.
l Exam 70-215: Install, Configuring and Administering Windows 2000 Server ou Exam 70-275:
Installing, Configuring.
l Exam 70-216: Implementing and Administering Windows 2000 Infrastructure.
l Exam 70-217: Implementing and Administering Windows 2000 Directory Services.
O candidato deve selecionar um dos exames de cada item, nos casos em que existem duas opções.
Por exemplo, o candidato deve selecionar ou o Exame 70-210 ou o Exame 70-270.
O candidato também deve passar em um exame de Design, no qual são testadas sua habilidade
em projetar soluções de redes baseadas no Windows 2000 Server. O candidato deve passar em um
dos seguintes exames, a sua escolha:
l Exam 70-219: Designing Windows 2000 Directory Services Infrastructure.

l Exam 70-220: Designing Security for a Windows 2000 Network.
l Exam 70-221: Designing a Windows 2000 Network Infrastructure.
l Exam 70-226: Designing Highly Available Web Solutions with Microsoft Windows 2000 Ser-
ver Technologies.
Com isso, o candidato terá finalizado todos os chamados “Core Exams”. Mas ainda ficarão faltan-
do os chamados “Exames Eletivos” para a obtenção do MCSE. Todo candidato deve passar em
pelo menos dois exames eletivos.
O candidato deve escolher dois dentre os seguintes exames:
l Exam 70-019: Designing and Implementing Data Warehouses with Microsoft SQL Server™ 7.0.
l Exam70-028: Administering Microsoft SQL Server 7.0.
l Exam 70-029: Designing and Implementing Databases with Microsoft SQL Server 7.0.

INTRODUÇÃO
l Exam 70-056: Implementing and Supporting Web Sites Using Microsoft Site Server 3.0.
l Exam 70-080: Implementing and Supporting Microsoft Internet Explorer 5.0 by Using the Mi-
crosoft Internet Explorer Administration Kit.
l Exam 70-081: Implementing and Supporting Microsoft Exchange Server 5.5.
l Exam 70-085: Implementing and Supporting Microsoft SNA Server 4.0.
l Exam 70-086: Implementing and Supporting Microsoft Systems Management Server 2.0.
l Exam 70-088: Implementing and Supporting Microsoft Proxy Server 2.0.
l Exam 70-214: Implementing and Administering Security in a Microsoft Windows 2000 Network.
l Exam 70-218: Managing a Microsoft Windows 2000 Network Environment.
l Exam 70-219: Designing a Microsoft Windows 2000 Directory Services Infrastructure.
l Exam 70-220: Designing Security for a Microsoft Windows 2000 Network.
l Exam 70-221: Designing a Microsoft Windows 2000 Network Infrastructure.
l Exam 70-222: Migrating from Microsoft Windows NT 4.0 to Microsoft Windows 2000.
l Exam 70-223: Installing, Configuring, and Administering Microsoft Clustering Services by
Using Microsoft Windows 2000 Advanced Server.
l Exam 70-224: Installing, Configuring, and Administering Microsoft Exchange 2000 Server.
l Exam 70-225: Designing and Deploying a Messaging Infrastructure with Microsoft Exchange
2000 Server.
l Exam 70-226: Designing Highly Available Web Solutions with Microsoft Windows 2000 Ser-
ver Technologies.
l Exam 70-227: Installing, Configuring, and Administering Microsoft Internet Security and
Acceleration (ISA) Server 2000 Enterprise Edition.
l Exam 70-228: Installing, Configuring, and Administering Microsoft SQL Server 2000 Enterpri-
se Edition.
l Exam 70-229: Designing and Implementing Databases with Microsoft SQL Server 2000 Enter-
prise Edition.
l Exam 70-230: Designing and Implementing Solutions with Microsoft BizTalk® Server 2000
Enterprise Edition.
l Exam 70-232: Implementing and Maintaining Highly Available Web Solutions with Micro-
soft Windows 2000 Server Technologies and Microsoft Application Center 2000.
l Exam 70-234: Designing and Implementing Solutions with Microsoft Commerce Server
2000 Course.
l Exam 70-244: Supporting and Maintaining a Microsoft Windows NT Server 4.0 Network.

Os exames a seguir ainda contam como eletivos (caso você já tenha sido aprovado em um deles),
porém não estão mais disponíveis, ou seja, não é possível se inscrever para fazer um destes:
l Exam 70-013: Implementing and Supporting Microsoft SNA Server 3.0.

l Exam 70-018: Implementing and Supporting Microsoft Systems Management Server 1.2.
l Exam 70-026: System Administration for Microsoft SQL Server 6.5.
l Exam 70-027: Implementing a Database Design on Microsoft SQL Server 6.5.
l Exam 70-059: Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0.
l Exam 70-076: Implementing and Supporting Microsoft Exchange Server 5.
l Exam 70-078: Implementing and Supporting Microsoft Proxy Server 1.0.
l Exam 70-079: Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the
Internet Explorer Administration Kit.
l Exam 70-087: Implementing and Supporting Microsoft Internet Information Server 4.0.
ALGUMAS OBSERVAÇÕES SOBRE OS EXAMS PARA O MCSE 2000
Os exames básicos (Core) que também podem ser usados como exames eletivos só podem ser com-
putados um vez para cada certificação. Em outras palavras, se um candidato receber crédito por
um exame básico não receberá crédito pelo mesmo exame como eletivo na mesma certificação.
Traduzindo a nota da Microsoft através de um exemplo: o exame 70-219 pode ser utilizado como
um exame obrigatório e também como um exame eletivo. Se você passar no exame 70-219, so-
mente poderá utilizá-lo como Core ou como eletivo e não contando para os dois casos. Se você
utilizar o exame 70-219, por exemplo, como Core, terá que passar em outros dois eletivos, pois
este não contará também como eletivo.
Os “trios” de exames indicados a seguir, contam como um único exame. Assim, se você passar nos
exames 70-026, 70-028, ou 70-228, somente um valerá como exame eletivo, isto é, você terá que
passar em mais um exame eletivo. A seguir, descrevo os grupos de exames que contam como um
só, em termos de exames eletivos para o MCSE 2000:
l Exames 70-026, 70-028, ou 70-228.

l Exames 70-027, 70-029, ou 70-229.
l Exames 70-076, 70-081, ou 70-224.
l Exames 70-078, 70-088, ou 70-227.

INTRODUÇÃO
Uma vez aprovado nos dois exames eletivos, você será um MCSE certificado para Windows 2000.
Eu, particularmente, aconselho que você faça os testes do SQL Server 2000 caso queira obter tam-
bém a certificação MCDBA – Microsoft Certified Database Administrator.
Resumindo, o candidato terá de fazer um total de sete exames: cinco obrigatórios e dois eletivos.
Se um exame contar como obrigatório, não contará também como eletivo.
Você pode obter uma relação dos treinamentos oficiais da Microsoft, relativos a cada exame, no
seguinte endereço: http://www.microsoft.com/brasil/certifique/certificacao/mcse/mcsecurso.asp.
TÓPICOS PARA O EXAME 70-216

Vamos apresentar o programa oficial da Microsoft para o exame 70-216 – Implementing and
Administering a Microsoft Windows 2000 Network Infrastructure.
Os tópicos descritos a seguir, são baseados no programa oficial da Microsoft, constante no seguin-
te endereço:
http://www.microsoft.com/traincert/exams/70-216.asp
Este livro aborda este programa, mais conceitos teóricos e exemplos práticos que julgo importan-
tes para o candidato que está encarando o desafio do exame 70-216. Um desafio difícil, que exige
estudo e muita dedicação, mas sem dúvidas um desafio possível de ser vencido.
TÓPICOS PARA O EXAME 70-216, SEGUNDO O GUIA DE ESTUDOS DA MICROSOFT

Os tópicos apresentados a seguir são baseados no guia oficial para o exame 70-216, o qual pode
ser acessado (em inglês), no seguinte endereço: http://www.microsoft.com/traincert/exams/
70-216.asp. Quando você estiver se preparando para o exame, consulte este endereço regular-
mente, pois podem ser feitas mudanças nos tópicos que fazem parte do exame, conforme aviso con-
tido no site da Microsoft.
“This preparation guide was published March 04, 2002, and is subject to change at any time wit-
hout prior notice and at Microsoft’s sole discretion.”
1. Installing, Configuring, Managing, Monitoring, and Troubleshooting DNS in a Windows

2000 Network Infrastructure:
Install, configure, and troubleshoot DNS.

Install the DNS Server service.

Configure a root name server.

Configure zones.
Configure a caching-only server.
Configure a DNS client.
Configure zones for dynamic updates.
Test the DNS Server service.
Implement a delegated zone for DNS.
Manually create DNS resource records.
Manage and monitor DNS.
Este tópico envolve o entendimento do que é o DNS, a sua integração com o Active Direc-
tory, como instalar e configurar o DNS e como resolver problemas relacionados com o
DNS. Para entender o DNS é preciso entender os princípios básicos do TCP/IP (Capítulo
2). O DNS será abordado no Capítulo 3.
2. Installing, Configuring, Managing, Monitoring, and Troubleshooting DHCP in a Win-

dows 2000 Network Infrastructure:
Install, configure, and troubleshoot DHCP.

Install the DHCP Server service.
Create and manage DHCP scopes, superscopes, and multicast scopes.
Configure DHCP for DNS integration.
Authorize a DHCP server in Active Directory™.
Manage and monitor DHCP.
O Serviço DHCP é utilizado para automatizar a configuração dos parâmetros do protocolo

TCP/IP em estações de trabalho e também em servidores (que não necessitem de um IP
fixo) da rede. O DHCP será tratado no Capítulo 4.
3. Configuring, Managing, Monitoring, and Troubleshooting Remote Access in a Windows

2000 Network Infrastructure:
Configure and troubleshoot remote access.

Configure inbound connections.
Create a remote access policy.
Configure a remote access profile.
Configure a virtual private network (VPN).
Configure multilink connections.
Configure Routing and Remote Access for DHCP Integration.
Manage and monitor remote access:
Configure remote access security.
Configure authentication protocols.
Configure encryption protocols.
Create a remote access policy.

INTRODUÇÃO
O RRAS – Serviço de Acesso Remoto é importante e muito utilizado pelas empresas. Tem
como função básica permitir a conexão dos dispositivos móveis (notebooks, PDAs, etc.)
com a rede, normalmente usando um acesso discado. O RRAS será tratado no Capítulo 6.
4. Installing, Configuring, Managing, Monitoring, and Troubleshooting Network Protocols

in a Windows 2000 Network Infrastructure.
Install, configure, and troubleshoot network protocols.

Install and configure TCP/IP.
Install the NWLink protocol.
Configure network bindings.
Configure TCP/IP packet filters.
Configure and troubleshoot network protocol security.
Manage and monitor network traffic.
Configure and troubleshoot IPSec.
Enable IPSec.
Configure IPSec for transport mode.
Configure IPSec for tunnel mode.
Customize IPSec policies and rules.
Manage and monitor IPSec.
Este tópico aborda, basicamente, as cofigurações dos protocolos de rede (TCP/IP, NWLink,
etc.) e do protocolo IPSec. Estes assuntos serão abordados nos Capítulos 7 e 10.
5. Installing, Configuring, Managing, Monitoring, and Troubleshooting WINS in a Win-

dows 2000 Network Infrastructure:
Install, configure, and troubleshoot WINS.

Configure WINS replication.
Configure NetBIOS name resolution.
Manage and monitor WINS.
Este tópico testa os conhecimentos do candidato em relação ao serviço WINS (Capítulo 5).
6. Installing, Configuring, Managing, Monitoring, and Troubleshooting IP Routing in a

Windows 2000 Network Infrastructure:
Install, configure, and troubleshoot IP routing protocols.

Update a Windows 2000-based routing table by means of static routes.
Implement Demand-Dial Routing.
Manage and monitor IP routing.
Manage and monitor border routing.
Manage and monitor internal routing.
Manage and monitor IP routing protocols.
Este tópico testa conhecimentos de TCP/IP e dos princípios básicos de roteamente, envol-
vendo o serviço de Roteamento do Windows 2000 Server (Capítulo 6).

7. Installing, Configuring, and Troubleshooting Network Address Translation (NAT):
Install Internet Connection Sharing.

Install NAT.
Configure NAT properties.
Configure NAT interfaces.
O Network Address Translation é utilizado para permitir que um grande número de compu-
tadores tenham conexão com a Internet, utilizando um número reduzido de endereços IP
válidos. Será abordado no Capítulo 8.
8. Installing, Configuring, Managing, Monitoring, and Troubleshooting Certificate Services:
Install and configure Certificate Authority (CA).

Issue and revoke certificates.
Remove the Encrypting File System (EFS) recovery keys.
Trata sobre Certificados Digitais e a criptografia no Windows 2000 Server. Estes tópicos se-
rão abordados no Capítulo 9.
O PROGRAMA DE CERTIFICAÇÃO MICROSOFT CERTIFIED

SYSTEMS ADMINISTRATOR – MCSA
A Microsoft, em seu site, define a certificação MCSA da maneira descrita a seguir:
“A certificação de Microsoft Certified Systems Administrator (MCSA) em Microsoft Windows® 2000 foi de-
senvolvida para profissionais que implementam, gerenciam e solucionam problemas em sistemas basea-
dos no Windows 2000, incluindo o Windows .NET Server.
O Windows .NET Server foi renomeado e lançado em Abril – 2003 como Windows Ser-
ver 2003. Para um curso completo sobre Windows Server 2003 consulte o meu livro: “Cur-
so Completo de Windows Server 2003”, publicado pela editora Axcel Books (www.ax-
cel.com.br).
As responsabilidades de implementação incluem a instalação e a configuração de componentes de siste-

mas. As responsabilidades de gerenciamento incluem a administração e o suporte a sistemas.
Como a credencial de MCSA em Microsoft Windows 2000 atende às suas necessidades...

INTRODUÇÃO
A demanda por profissionais de administração de rede tem crescido de modo significativo, e os candida-
tos, assim como a indústria, demonstraram que é necessária uma certificação para esse tipo de função.
Estudos mostram que administradores de rede/projetistas têm muito mais oportunidades de crescimento em
empresas de TI que a maioria das outras categorias profissionais.
A credencial de MCSA em Windows 2000 oferece a profissionais de TI uma vantagem competitiva no

ambiente empresarial em constante transformação, atestando a experiência específica necessária para
a função de administrador de rede e sistemas. A certificação fornece aos empregadores um meio de iden-
tificar indivíduos qualificados com o conjunto de capacitações apropriadas para desempenhar o traba-
lho com êxito.
A certificação de MCSA em Windows 2000 é apropriada para...
Administradores de rede
Engenheiros de rede
Profissionais de tecnologia da informação
Administradores de sistemas de informação
Técnicos de rede
Especialistas em suporte técnico
Um ambiente de computação típico da credencial de MCSA...
A credencial de MCSA em Windows 2000 foi desenvolvida para profissionais de TI que trabalham no am-
biente de computação tipicamente complexo das organizações de médio a grande porte. Um candidato à
credencial de MCSA em Windows 2000 deve ter de 6 a 12 meses de experiência na administração de sis-
temas operacionais de clientes e de rede em ambientes com as seguintes características:
Suporte para 200 a 26.000 ou mais usuários.

Suporte para dois a 100 locais físicos.
Serviços e recursos típicos de rede incluem envio e recebimento de mensagens, banco de dados, arquivos e im-
pressão, servidor proxy ou firewall, Internet e intranet, acesso remoto e gerenciamento de computador cliente.
A conectividade precisa incluir a conexão de filiais e usuários individuais em locais remotos com a rede cor-
porativa e a conexão de redes corporativas com a Internet.”
Eu diria que a diferença básica entre o MCSE e o MCSA é que o MCSE é um profissional responsá-
vel por planejar, projetar e também implementar uma infra-estrutura de rede baseada no Win-
dows 2000 Server. Já o MCSA trabalha somente com a parte de implementação/administração da
infra-estrutura de rede projetada pelo MCSE. Quem já tem a certificação MCSE, pode obter a certi-
ficação MCSA apenas passando em mais um exame: 70-218 – Gerenciando um ambiente de rede
baseado no Windows 2000 Server. Para detalhes sobre este exame consulte o meu artigo “Como
passar no exame MCSA – 70-218”, no seguinte endereço:
http://www.timaster.com.br/revista/colunistas/ler_colunas_emp.asp?cod=674

REQUISITOS PARA OBTER A CERTIFICAÇÃO MCSA

Candidatos na certificação MCSA em Windows 2000 têm que passar emtrês exames obrigatórios
e um exame eletivo. A seguir, os exames que fazem parte de cada grupo.
Exames obrigatórios para a certificação MCSA:
1. Um exame de Sistema Operacional Cliente. Você deve selecionar um dos dois exames:
Exam 70-210: Installing, Configuring, and Administering Microsoft Windows 2000
Professional.
Exam 70-270: Installing, Configuring, and Administering Microsoft Windows XP
Professional.
2. Dois exames de Sistema Operacional de Rede. Os dois exames a seguir são obrigatórios, isto
é, o candidato a MCSA deve passar em ambos:
Exam 70-215: Installing, Configuring, and Administering Microsoft Windows 2000 Server.
Exam 70-218: Managing a Microsoft Windows 2000 Network Environment.
3. Um exame eletivo. Selecione um dos exames da lista:
Exam 70-028: Administering Microsoft SQL Server 7.0.
Exam 70-081: Implementing and Supporting Microsoft Exchange Server 5.5.
Exam 70-086: Implementing and Supporting Microsoft Systems Management Server 2.0.
Exam 70-088: Implementing and Supporting Microsoft Proxy Server 2.0.
Exam 70-214: Implementing and Administering Security in a Microsoft Windows 2000
Network.
Exam 70-216: Implementing and Administering a Microsoft Windows 2000 Network
Infrastructure.
Exam 70-224: Installing, Configuring, and Administering Microsoft Exchange 2000 Server.
Exam 70-227: Installing, Configuring, and Administering Microsoft Internet Security and
Acceleration (ISA) Server 2000, Enterprise Edition.
Exam 70-228: Installing, Configuring, and Administering Microsoft SQL Server 2000
Enterprise Edition.
Exam 70-244: Supporting and Maintaining a Microsoft Windows NT Server 4.0 Network.
Alternativa aos exames eletivos citados acima: a combinação de certificações conforme descrito a
seguir podem substituir um exame eletivo MCSA.
l CompTIA A+ and CompTIA Network+.

l CompTIA A+ and CompTIA Server+.

INTRODUÇÃO
QUEM DEVERIA LER ESTE LIVRO?

Candidatos ao Exame de Certificação 70-216: Implementing and Administering a Microsoft
Windows 2000 Network Infrastructure. Este é o principal objetivo deste livro: ser um manual de
estudo para os candidatos que irão fazer o exame 70-216.
Usuários interessados nos assuntos abordados também poderão se beneficiar do texto deste livro,
mesmo que não tenham a intenção de fazer o exame 70-216. Conceitos como os princípios de
TCP/IP, DNS e Roteamento, implemenatação prática do DNS, WINS, DHCP, RRAS e outros servi-
ços, são úteis e necessários ao dia-a-dia do administrador de rede.
UMA VISÃO GERAL DO CONTEÚDO DO LIVRO

A seguir, apresento um breve resumo do conteúdo de cada capítulo do livro.
Introdução – Apresentação do Livro. Descrição do programa de Certificação da Microsoft.
Capítulo 1 – Redes Baseadas no Windows 2000 Server: Redes baseadas no Windows 2000 Server,
Active Directory e domínios, Diferentes tipos de servidores.Visão geral dos serviços de rede. Resu-
mo e dicas não esqueça.
Capítulo 2 – O Protocolo TCP/IP: Visão geral do TCP/IP, Número IP e máscara de sub-rede, Ende-
reçamento IP. Roteamento. Comandos para trabalhar com o TCP/IP. Configurando o TCP/IP. Re-
sumo e dicas não esqueça.
Capítulo 3 – DNS: Visão Geral do DNS e resolução de nomes. Funções do DNS em uma rede Win-
dows 2000. Instalação e configuração do DNS. Criação de zonas diretas e reversas. Tipos de servi-
dores e configurações. Resumo e dicas não esqueça.
Capítulo 4 – DHCP: Introdução e função do DHCP. Funcionamento do DHCP. Instalação e confi-

guração do DHCP. Criação e ativação de Escopos. Reserva de endereços. Outras configurações do
DHCP. Gerenciando a base de dados do DHCP. Resumo e dicas não esqueça.
Capítulo 5 – WINS: Introdução e função do WINS. Funcionamento do WINS. Instalação e configuração

do WINS. Replicação no WINS. Gerenciando a base de dados do WINS. Resumo e dicas não esqueça.
Capítulo 6 – Neste capítulo você aprenderá a configurar um servidor com o Windows 2000 Server
para exercer o papel de Servidor de Acesso Remoto (Remote Access Server – RAS). No Windows
2000 Server o serviço de acesso remoto é conhecido como RRAS – Routing and Remote Access Ser-
vice (Serviço de Roteamento e Acesso Remoto).
Capítulo 7 – Neste capítulo você aprenderá sobre recursos importantes para a conexão do Windows
2000 Server em Rede. Falarei sobre o ICS, sobre o uso do NAT com RRAS e sobre Certificados Digitais.

Capítulo 8 – Agora que você já conhece o que é o serviço RRAS, é hora de aprender sobre a outra
função do RRAS, ou seja, o “R” de Roteamento. Este será um capítulo sobre Roteamento. No final
do Capítulo falarei sobre o protocolo IPSec.
Capítulo 9 – Este será o tradicional capítulo do tipo “Assuntos Diversos”. Falarei sobre protocolos
e monitoração de desempenho, dentre outros assuntos.
Capítulo 10 – Neste capítulo eu apresento um resumo na forma de rápidos lembretes, sobre os

principais pontos que você deve lembrar para o Exame 70-216. O objetivo é lembrar o amigo lei-
tor sobre os pontos mais importantes. Em caso de dúvidas sobre um ou mais pontos citados, você
deve voltar ao respectivo capítulo e revisar o conteúdo com mais detalhes.
Capítulo 11 – Simulado para o Exame 70-216: 60 Questões com respostas, comentários e dicas de
mais fontes de estudo.
PRÉ-REQUISITOS PARA O LIVRO

Neste manual, não serão apresentados os conceitos básicos de administração e uso das ferramen-
tas administrativas do Windows 2000 Server. Este tópicos são cobrados nos exames 70-210 (Win-
dows 2000 Professional) e 70-215 (Administração do Windows 2000 Server).
Esta é uma seqüência, natural, ou seja, o candidato ao MCSE deve fazer os exames na seguinte ordem:
1. Exame 70-210 ou 70-270

2. Exame 70-215
3. Exame 70-216
4. Exame 70-217
5. Um dos exames de Design
6. Um exame eletivo
7. Mais um exame eletivo
Em resumo, os conceitos do exame 70-215, isto é, a utilização da interface do Windows 2000 Ser-
ver, o uso dos consoles de administração, o conceito de Active Directory, usuários, grupos de
usuários, pastas e impressoras compartilhadas, permissões de compartilhamento e permissões
NTFS, partições, volumes e assim por diante (todos abordados no Exame 70-215) já devem ser de
conhecimento do candidato para acompanhar as lições deste livro. Repito, este é um Manual de
Estudos para o Exame 70-216 e aborda, especificamente, os tópicos deste exame.
É HORA DE COMEÇAR
Feitas as devidas apresentações e esclarecimentos, é hora de iniciar o estudo para o exame 70-216.
Embora este seja um exame com um nível de dificuldade maior do que o 70-210 e o 70-215 é per-

INTRODUÇÃO
feitamente possível passar neste exame. Sugiro que você estude este manual, além dos materiais
que indicarei ao longo dos capítulos do livro e das consultas às referências indicadas nos endere-
ços da Internet, que apresentarei ao longo do livro. Em cada capítulo você encontra questões prá-
ticas, comentadas e no final do livro um simulado completo, com 60 questões.
SUGESTÃO DE PLANO DE ESTUDO

Vamos supor que você disponha de três semanas para se preparar para o exame 70-216. Você pre-
cisa passar neste exame para obter a certificação MCSE (contando que você já passou nos demais
exames necessários para essa certificação: 71-210, 70-215 e assim por diante).
Para isso você está disposto a estudar quatro horas por dia, durante 20 dias. Com isso você terá um
total de 80 horas de estudo. A questão é a seguinte: “Com o tempo disponível é possível passar
neste exame”? A resposta é um sonoro sim. Eu até diria que você tem tempo de sobra. Para tal, su-
giro o seguinte programa de estudo:
Material: Este livro.
Tempo de estudo: Cerca de 30 horas.
Resumos: Disponíveis nos sites www.cramsession.com e www.examnotes.net: 10 horas.

Simulado dos sites indicados no Anexo A: 20 horas.
Revisão do livro e dos resumos: 10 horas.
Revisão final: Principalmente dos simulados, dos resumos, para ser feita na véspera do exa-
me: 10 horas.
Total: 80 horas.
Para enviar as suas críticas e sugestões, basta entrar em contato através do e-mail: webmaster@ju-
liobattisti.com.br. Desejo a todos uma boa leitura e sucesso no exame 70-216.
JÚLIO BATTISTI,
MCP, MCP+I, MCSE NT 4, MCSE 2000, MCSE+I, MCSA, MCDBA e MCSD.


Capítulo 1
Fundamentos de Redes Baseadas no
Windows 2000 Server e no Active Directory

INTRODUÇÃO
Este capítulo apresenta os fundamentos teóricos sobre os quais será desenvolvido o restante do li-
vro. Neste capítulo mostrarei como é formada uma infra-estrutura de rede baseada no Windows
2000 Server.
Vou iniciar com a apresentação do que vem a ser uma rede de computadores baseada no modelo
Cliente/Servidor, onde o Windows 2000 Server é o sistema operacional utilizado nos servidores.
Também apresentarei os conceitos (provavelmente já conhecidos por muitos dos amigos leito-
res) de LAN e WAN, e apresentarei diferentes cenários de interligação de redes.
Seguindo a exposição teórica, falarei com um pouco mais de detalhes sobre o conceito de uma
rede baseada no modelo Cliente/Servidor. Aqui é importante não confundirmos o conceito de
uma rede Cliente/Servidor, com os modelos de desenvolvimento de aplicações, no qual temos os
modelos em 2 camadas (conhecido como Cliente/Servidor) e o modelo Web, baseado em 3 ou
mais camadas, embora estes conceitos tenha estreitos laços de ligação.
Uma vez apresentados os conceitos básicos sobre redes de computadores, você aprenderá qual o
papel do Windows 2000 Server em uma rede, que diferentes funções um servidor baseado no
Windows 2000 Server pode exercer e quais os serviços mais comuns que o Windows 2000 Server
pode prestar na rede.
O entendimento dos diferentes papéis que um servidor baseado no Windows 2000 Server pode
exercer é de fundamental importância para que você possa planejar e implementar uma in-
fra-estrutura de rede baseada no Windows 2000 Server, a qual atenda a requisitos de desempenho,
disponibilidade e segurança.
Na segunda parte do capítulo, você aprenderá sobre o Active Directory. Iniciarei apresentando os
conceitos básicos sobre Grupos de Trabalho (Workgroups), Diretórios e Domínios, conceitos es-
tes (principalmente o conceito de Diretório), que serão detalhados logo em seguida, e você poderá
aprender um pouco mais sobre o Active Directory e seus diversos elementos.
Mostrarei o que exatamente é um diretório, afinal hoje encontramos múltiplos diretórios na rede
da empresa. Também mostrarei os problemas advindos do fato de se ter múltiplos diretórios e de
como isto cria problemas para o desenvolvimento de aplicações e para a intergração dos sistemas
informatizados de uma empresa.
Em seguida, vou fazer uma introdução ao Active Directory no Windows 2000 Server. Mostrarei o
seu papel em uma rede com servidores baseados no Windows 2000 Server e o que deve ser feito
para que o Active Directory seja instalado em um servidor, tornando o servidor um DC.
Feitas as devidas apresentações e conceituações é hora de apresentar os elementos que compõem

e mantêm em funcionamento o Active Directory. Vou iniciar pelos elementos individuais, apre-
sentando conceitos tais como:

Capítulo 1 – Fundamentos de Redes Baseadas no Windows 2000 Server e no Active Directory
l Domínios
l Árvores
l Florestas
l Relações de confiança
l Objetos do Active Directory
l Unidades Organizacionais
l Schema
Estes elementos compõem a chamada estrutura lógica do Active Directory, ou seja, a maneira
como o Active Directory é apresentado ao Administrador e aos usuários, quando estes utilizam as
ferramentas de administração e pesquisa do Active Directory.
A estrutura lógica pode ser diferente (e normalmente é) da estrutura física. A estrutura física deter-
mina onde são armazenadas as informações sobre o Active Directory, como as informações são
sincronizadas entre os diferentes DCs do domínio (chamamos este processo de replicação). Tam-
bém serão apresentados e explicados os conceitos de sites, replicação intersites e intra-sites.
Acredite amigo leitor, pode parecer um pouco “chato” tanta teoria sobre o Active Directory. Mas
posso garantir que conhecendo os conceitos apresentados neste capítulo, será muito mais fácil
planejar, implementar e administrar uma infra-estrutura de rede baseada no Windows 2000 Ser-
ver e no Active Directory. Também será muito mais fácil entender os demais serviços de rede
(DNS, DHCP, WINS, RRAS e assim por diante), que serão descritos nos demais capítulos do livro –
aí sim, a parte prática, baseada nos conceitos teóricos, aqui apresentados.
FUNDAMENTOS EM: REDES DE COMPUTADORES

Pré-Requisitos: Nenhum
Metodologia: Apresentação dos conceitos básicos de redes.
NO PRINCÍPIO, UM MODELO CENTRALIZADO BASEADO NO MAINFRAME

Todos sabem que a evolução em informática é bastante rápida. Sempre estão surgindo novos con-
ceitos, programas e serviços. Há algumas décadas, quando a informática começou a ser utilizada
para automatizar tarefas administrativas nas empresas, o modelo dominante era um modelo ba-
seado nos computadores de grande porte, os chamados Mainframes.

Durante a década de 70 e até a metade da década de 80 este foi o modelo dominante, sem nenhum
concorrente para ameaçá-lo. Os programas e os dados ficavam armazenados nos computadores
de grande porte. Para acessar estes computadores eram utilizados (na prática sabemos que ainda
hoje este modelo é bastante utilizado, mas isso é discussão para daqui a pouco) os chamados ter-
minais burros (embora hoje o acesso aos sistemas do mainframe seja feito através de programas
emuladores de terminal, instalados nas estações de trabalho da rede). Para falar um pouco mais
sobre este modelo, considere o diagrama da Figura 1.1.
Terminal “burro”
Linha de dados
Modem Multiplexer
Mainframe
Figura 1.1 O modelo baseado no Mainframe e no acesso via terminais “burros”.
O Mainframe é um equipamente extremamente caro, na casa dos milhões de dólares. Normal-

mente uma empresa prestadora de serviços de informática compra o Mainframe e hospeda, neste
equipamento, os sistemas e os dados de diversas empresas. O Mainframe é um equipamente que
precisa de instalações adequadas, nas quais existe controle de temperatura, umidade do ar, ali-
mentação elétrica estabilizada e assim por diante.
Os aplicativos e dados ficam armazenados no Mainframe. Vamos supor que a empresa X é a dona
do Mainframe, no qual estão hospedados aplicativos e dados da empreza Y. Para ter acesso a estes
dados, a empresa Y contrata uma linha de dados (que até o início da década de 90, aqui no Brasil,
apresenava velocidades da ordem de 1 ou 2 kbps). Na sede da empresa, a linha de dados é conecta-
da a um modem, o qual era conectado com um equipamente chamado MUX. O papel do MUX é
permitir que mais de um terminal burro possa se comunicar com o Mainframe, usando uma única
linha de dados. Os terminais burros eram ligados ao equipamento MUX, diretamente através de
cabos padrão para este tipo de ligação.

Com isso os terminais são, na prática, uma extensão da console do Mainframe, o qual permite que
vários terminais estejam conectados simultaneamente, inclusive acessando diferentes sistemas.
Este modelo ainda é muito utilizado, embora novos elementos tenham sido introduzidos. Por
exemplo, os terminais burros foram praticamente extintos. Agora o terminal é simplesmente um
software emulador de terminal, que fica instalado em um computador ligado em rede. Mas mui-
tos dos sistemas e dados empresariais, utilizados hoje em dia ainda estão hospedados no Mainfra-
me. Pegue a lista dos dez maiores bancos brasileiros (públicos ou privados) e, no mínimo, cinco
deles, ainda tem grande parte dos dados no Mainframe. Um dos bancos do qual sou correntista
mantém os dados no Mainframe. Quando eu acesso meu extrato via Internet, com toda seguran-
ça, usando Certificado Digital, com uma interface gráfica (tudo muito moderno) estou na verda-
de acessando dados que estão no Mainframe. Tem alguma coisa de errado com isso? Nada de erra-
do. Conforme você mesmo poderá concluir ao final deste tópico, o modelo baseado no
Mainframe tem muitas vantagens que foram desprezadas na década de 90, mas que hoje são mais
valorizadas do que nunca.
Destaco algumas, entre estas inúmeras vantagens, a seguir:
l Gerenciamento e Administração centralizada: Como os programas e os dados ficam instalados

no Mainframe, fica mais fácil fazer o gerenciamento deste ambiente. A partir de um único lo-
cal o Administrador pode instalar novos sistemas, atualizar as versões dos sistemas já existen-
tes, gerenciar o espaço utilizado em disco, gerenciar as operações de Backup/Restore, atualiza-
ções do sistema operacional e configurações de segurança.
l Ambiente mais seguro: Com o gerenciamento centralizado é mais fácil manter o ambiente se-
guro, uma vez que um número menor de pessoas tem acesso ao ambiente. A segurança física
também fica mais fácil de ser mantida, pois existe um único local a ser protegido.
l Facilidade para atualização dos sistemas: Como os sistemas são instalados em um único local,
centralizadamente – no Mainframe – fica muito simplificada a tarefa de instalar novos sistemas e
fazer atualizações nos sistemas já existentes. Por exemplo, quando você precisa atualizar um
novo sistema, é só instalar a nova versão do sistema no Mainframe e pronto. A próxima vez que
o usuário fizer a conexão com o Mainframe, já terão acesso à versão atualizada, sem que o siste-
ma tenha que ser atualizado em cada um dos terminais que irão acessar a aplicação. Isso elimina
grande parte do trabalho de administração, implementação e suporte a aplicações.
Claro que este modelo não era (e não é ainda hoje) somente vantagens. Pois se assim fosse, não
teriam surgidos novos modelos, com propostas de descentralização como foi o caso do modelo
Cliente/Servidor (o qual descreverei logo a seguir). Dentre as principais desvantagens do Ma-
inframe, podemos destacar as seguintes:
l O custo é elevado, ou pelo menos as pessoas achavam que o custo era elevado, até descobri-
rem o chamado TCO – Total Cost Ownership, do modelo Cliente/Servidor. Mais adiante,
quando for apresentado o modelo Cliente/Servidor, você entenderá melhor o “que” de iro-
nia nesta frase.

l As linhas de comunicação no Brasil apresentavam problemas seríssimos de desempenho e cus-

tavam verdadeiras fortunas (não que hoje esteja uma maravilha, mas convenhamos que me-
lhorou bastante). Além disso, a dependência da linha de comunicação era completa, ou seja,
quando a linha ficasse fora do ar (o que acontecia com uma freqüência espantosa no início dos
anos 90), ninguém tinha acesso aos sistemas.
l Na maioria dos casos, os sistemas e dados da empresa eram administrados por terceiros. O fato
de os dados vitais para o funcionamento da empresa estarem sob a guarda de terceiros come-
çou a ser questionado. As empresas não tinham nenhuma garantia concreta de como estes da-
dos estavam sendo manipulados, quem tinha acesso aos dados e aos logs de auditoria de acesso
aos dados. Neste momento começa surgir um movimento pró descentralização dos dados, em
favor de “trazer” os dados para servidores dentro da empresa ou sob o controle da empresa.
Logo a seguir descrevo este e outros motivos que foram as grandes promessas do modelo Clien-
te/Servidor, modelo este que “seria” o paraíso (permitam-me um sorriso irônico) comparado
com o modelo centralizado, baseado no Mainframe.
MORTE AO MAINFRAME, VIVA A DESCENTRALIZAÇÃO!!!

Normalmente, quando começa a surgir um movimento de mudança, este apresenta característi-
cas contrárias/antagônicas aos princípios do modelo vigente. Foi mais ou menos o que aconteceu
com o modelo Cliente/Servidor, em relação ao modelo baseado no Mainframe.
No final da década de 80, início dos anos 90, os computadores padrão PC já eram uma realidade.
Com o aumento das vendas, os custos começaram a baixar e mais e mais empresas começaram a
comprar computadores padrão PC. O próximo estágio neste processo foi, naturalmente, a ligação
destes computadores em rede para troca de informações. Desde as primeiras redes, baseadas em
cabos coaxiais, até as modernas redes, baseadas em cabeamento estruturados e potentes Switchs
de 100 MB ou de 1GB, o computador padrão PC continua sendo amplamente utilizado.
A idéia básica do modelo Cliente/Servidor era uma descentralização dos dados e dos aplicativos,
trazendo os dados para servidores localizados na rede local onde os dados fossem necessários e os
aplicativos instalados nos computadores da rede. Este movimento de um computador de grande
porte – Mainframe, em direção a servidores de menor porte – servidores de rede local, ficou co-
nhecido como Downsizing, que eu me atrevo a traduzir como “Redução de Tamanho”.
A seguir apresento um diagrama para ilustrar o modelo Cliente/Servidor. Depois faço alguns
comentários para salientar os elementos deste modelo e em seguida comento as vantagens e
desvantagens.
No diagrama da Figura 1.2 temos um exemplo de uma rede baseada no modelo Cliente/Servidor.

Figura 1.2 Rede baseada no Modelo Cliente/Servidor.
No modelo Cliente/Servidor um ou mais equipamentos de maior capacidade de processamen-

to, atuam como Servidores da rede (aqui você já começa a entender o papel do Windows 2000
Server em uma rede de computadores). Estes equipamentos normalmente ficam reunidos em
uma sala conhecida como “Sala dos Servidores”. São equipamentos com maior poder de proces-
samento (normalmente com dois ou mais processadores) , com grande quantidade de memória
RAM e grande capacidade de armazenamento em disco. Os servidores normalmente rodam um
sistema operacional específico para servidor, como por exemplo:
l Alguma versão do UNIX: AIX, HP-UX, SCO, etc.

l Novell
l Windows NT Server (3.51, 4.0)
l Windows 2000 Server
l Windows Server 2003
Nos servidores ficam os recursos a serem acessados pelas estações de trabalho da rede, como por
exemplo pastas compartilhadas, impressoras compartilhadas, páginas da Intranet da empresa,
aplicações empresariais, bancos de dados, etc. Como o próprio nome sugere, o servidor “serve” re-
cursos e serviços que serão utilizados pelas estações de trabalho da rede, as quais são chamadas de
estações cliente ou simplesmente clientes.
Nas estações de trabalho dos usuários (conhecidas como clientes), são instalados programas,
que fazem acesso a recursos disponibilizados pelos servidores. O exemplo mais típico de aplica-
ção Cliente/Servidor, é uma aplicação desenvolvida em Visual Basic ou Delphi, a qual acessa da-

dos de um servidor SQL Server 2000, instalado em um servidor da rede. No diagrama da Figura
1.2, apresento um exemplo onde estão sendo utilizados três servidores:
l Servidor de arquivos
l Servidor de banco de dados
l Servidor para outras funções (autenticação de usuários, resolução de nomes, Intranet, etc.).
O modelo Cliente/Servidor pareceu, no início, ser uma solução definitiva em substituição ao mo-
delo baseado no Mainframe. Porém os problemas, que não foram poucos, começaram a aparecer,
dentre eles o elevado custo de administração e manutenção de uma rede baseada neste modelo,
conforme descrevo mais adiante. Para entender o porquê deste custo elevado, é preciso falar um
pouco sobre o modelo de aplicações em duas camadas, também conhecido como Cliente/Servi-
dor clássico e todos os seus problemas.
MODELO DE APLICAÇÕES EM DUAS CAMADAS

No início da utilização do modelo Cliente/Servidor, as aplicações foram desenvolvidas utilizan-
do-se um modelo de desenvolvimento em duas camadas. Neste modelo, os programas, normal-
mente desenvolvidos em um ambiente gráfico de desenvolvimento, como o Visual Basic, Delphi
ou Power Builder, são instalados em cada estação de trabalho – Cliente. Este programa acessa da-
dos em um servidor de banco de dados, conforme ilustrado na Figura 1.3.
Banco de dados
No modelo de duas camadas,
toda a “Lógica do negócio”
fica no Cliente. Quando o
programa Cliente é instalado,
São instaladas todas as
regras de acesso ao Banco
de dados.
Cliente Cliente Cliente Cliente Cliente
Figura 1.3 O modelo de desenvolvimento em duas camadas.

Neste modelo, cada programa é instalado na estação de trabalho Cliente. Programa esse que faz
acesso ao banco de dados que fica residente no Servidor de Banco de dados. Na maioria dos casos,
a máquina do cliente é um PC rodando Windows, e a aplicação Cliente é desenvolvida utilizan-
do-se um dos ambientes conhecidos, conforme citado anteriormente. Sendo a aplicação Cliente,
um programa para Windows (na grande maioria dos casos), esta deve ser instalada em cada um
das estações de trabalho da rede. É o processo de instalação normal, para qualquer aplicação Win-
dows. No modelo de duas camadas, a aplicação Cliente é responsável pelas seguintes funções:
l Apresentação: O código que gera a interface visível do programa faz parte da aplicação Cliente.
Todos os formulários, menus e demais elementos visuais, estão contidos no código da aplica-
ção Cliente. Caso sejam necessárias alterações na interface do programa, faz-se necessária a ge-
ração de uma nova versão do programa, e todos as estações de trabalho que têm a versão ante-
rior, devem receber a nova versão, para que o usuário possa ter acesso às alterações da
interface. Aí que começam a surgir os problemas no modelo em duas camadas. Uma simples
alteração de interface, é suficiente para gerar a necessidade de atualizar a aplicação, em cente-
nas ou milhares de estações de trabalho, dependendo do porte da empresa. O gerenciamento
desta tarefa é algo extremamente complexo e oneroso financeiramente.
l Lógica do Negócio: As regras, que definem a maneira como os dados serão acessados e proces-
sados, são conhecidas como “Lógica do Negócio”. Fazem parte da Lógica do Negócio, desde
funções simples de validação da entrada de dados, como o cálculo do dígito verificador de um
CPF, até funções mais complexas, como descontos escalonados para os maiores clientes, de
acordo com o volume da compra. Questões relativas à legislação fiscal e escrita contábil, tam-
bém fazem parte da Lógica do Negócio. Por exemplo, um programa para gerência de Recursos
Humanos, desenvolvido para a legislação dos EUA, não pode ser utilizado, sem modificações,
por uma empresa brasileira. Isso acontece porque a legislação dos EUA é diferente da legislação
brasileira. Em síntese, as regras para o sistema de Recursos Humanos são diferentes. Alterações
nas Regras do Negócio são bastante freqüentes, ainda mais com as repetidas mudanças na le-
gislação do nosso país. Com isso, faz-se necessária a geração de uma nova versão do programa,
cada vez que uma determinada regra muda, ou quando regras forem acrescentadas ou retira-
das. Desta forma, todsa as estações de trabalho que têm a versão anterior devem receber a nova
versão, para que o usuário possa ter acessos às alterações . Agora temos mais um sério problema
no modelo de duas camadas: qualquer alteração nas Regras do Negócio (o que ocorre com fre-
qüência) é suficiente para gerar a necessidade de atualizar a aplicação, em centenas ou milha-
res de computadores. O que já era complicado, piorou um pouco mais.
A outra camada, no modelo de duas camadas, é o banco de dados, o qual fica armazenado no Ser-
vidor de Banco de Dados.
Com a evolução do mercado e as alterações da legislação, mudanças nas regras do negócio são
bastante freqüentes. Com isso o modelo de duas camadas, demonstrou-se de difícil manutenção e
gerenciamento, além de apresentar um TCO – Total Cost Ownership (Custo Total de Proprieda-
de) bastante elevado.

O TCO é uma medida do custo total, anual, para manter uma estação de trabalho conectada a rede,
e funcionando com todos os programas que o usuário necessita atualizados. Este custo leva em con-
ta uma série de fatores, tais como o custo do hardware, o custo das licenças de software, o custo do
desenvolvimento de aplicações na própria empresa, o custo das horas paradas em que o funcioná-
rio não pode utilizar os sistemas por problemas na sua estação de trabalho e assim por diante.
Alguns cálculos chegaram a apontar que o custo para manter um PC em rede, por ano, fica na casa
dos U$ 10.000 (é dólares mesmo).
De fato, este custo é impraticável. Sempre que um determinado modelo apresenta problemas,
aparentemente intransponíveis, a indústria de informática parte para a criação de novos mode-
los. Em busca de soluções para os problemas do modelo de duas camadas, é que surgiu a proposta
do modelo de três camadas, conforme analisaremos a seguir.
Para que você entenda como a evolução partiu do mundo baseado no Mainframe, para uma tenta-
tiva de um mundo baseado completamente no modelo Cliente/Servidor e acabou por chegar a um
modelo misto, vou detalhar o modelo de aplicações Web, baseado em três ou mais camadas.
APLICAÇÕES EM TRÊS CAMADAS

Como evolução do modelo de duas camadas, surge o modelo de três camadas. A idéia básica do
modelo de três camadas, é retirar as Regras do Negócio, da aplicação Cliente e centralizá-las em
um determinado ponto (as aplicações saíram do Mainframe para as estações de trabalho agora co-
meçam a ser centralizadas novamente nos servidores da rede), o qual é chamado de Servidor de
Aplicações. O acesso ao banco de dados é feito através das regras contidas no Servidor de Aplica-
ções. Ao centralizar as Regras do Negócio em um único ponto, fica muito mais fácil a atualização
destas regras, as quais, conforme descrito anteriormente, mudam constantemente. A Figura 1.4,
nos dá uma visão geral do modelo em três camadas.
Todo o acesso do cliente aos dados do Servidor de Banco de Dados, é feito de acordo com as regras
contidas no Servidor de Aplicações. O cliente não tem acesso aos dados do Servidor de Banco de
Dados, sem antes passar pelo Servidor de Aplicações. Com isso, as três camadas são as seguintes:
l Apresentação: Continua no programa instalado no cliente. Alterações na interface do progra-

ma ainda irão gerar a necessidade de atualizar a aplicação em todos as estações de trabalho,
onde a mesma estiver sendo utilizada. Porém, cabe ressaltar que alterações na interface são
menos freqüentes do que alterações nas Regras do Negócio.
l Lógica: São as Regras do Negócio, as quais determinam de que maneira os dados serão utiliza-
dos e manipulados pelas aplicações. Esta camada foi deslocada para o Servidor de Aplicações.
Desta maneira, quando uma Regra do Negócio for alterada, basta atualizá-la no Servidor de
Aplicações. Após a atualização, todos os usuários passarão a ter acesso a nova versão, sem que
seja necessário reinstalar o programa cliente em cada um dos computadores da rede. Vejam
que ao centralizar as Regras do Negócio em um Servidor de Aplicações, estamos facilitando a
tarefa de manter a aplicação atualizada. As coisas estão começando a melhorar.

Figura 1.4 O Modelo de desenvolvimento em três camadas.
l Dados: Nesta camada temos o Servidor de Banco de Dados, no qual reside toda a informação
necessária ao funcionamento da aplicação. Cabe reforçar que os dados somente são acessados
através do Servidor de Aplicação, e não diretamente pela aplicação cliente.
Com a introdução da camada de Lógica, resolvemos o problema de termos que atualizar a aplica-
ção, em centenas ou milhares de estações de trabalho, toda vez que uma Regra do Negócio for al-
terada. Porém continuamos com o problema de atualização da interface da aplicação, cada vez
que sejam necessárias mudanças na Interface. Por isso que surgiram os modelos de n-camadas.
No próximo tópico, vou falar um pouco sobre o modelo de quatro camadas
APLICAÇÕES EM QUATRO CAMADAS

Como uma evolução do modelo de três camadas, surge o modelo de quatro camadas. A idéia básica
deste, é retirar a apresentação do cliente e centralizá-las em um determinado ponto (agora está ain-
da mais parecido com a época do Mainframe, onde a aplicação ficava residente no mainframe e era
acessada via terminal burro, só que agora o terminal não é “tão burro assim” e tem uma interface
gráfica, ou seja, é o nosso navegador), o qual na maioria dos casos é um Servidor Web. Com isso o
próprio cliente deixa de existir como um programa que precisa ser instalado em cada computador
da rede. O acesso à aplicação é feito através de um navegador, como por exemplo, o Internet Explo-
rer ou o Netscape Navigator. A Figura 1.5 nos dá uma visão geral do modelo em quatro camadas.

Figura 1.5 O Modelo de desenvolvimento em quatro camadas.
Para acessar a aplicação, o cliente acessa o endereço da aplicação, utilizando o seu navegador,
como no exemplo a seguir:
http://intranet.minhaempresa.com/sistemas/vendas.aspx.
Todo o acesso do cliente ao banco de dados é feito de acordo com as regras contidas no Servidor de
Aplicações. O cliente não tem acesso ao banco de dados, sem antes passar pelo Servidor de Aplica-
ções. Com isso temos as seguintes camadas:
l Cliente: Neste caso o cliente é o navegador utilizado pelo usuário, quer seja o Internet Explo-
rer, o Netscape Navigator, ou outro navegador qualquer.
l Apresentação: Passa para o Servidor Web. A interface pode ser composta de páginas HTML,
ASP, PHP, Flash ou qualquer outra tecnologia capaz de gerar conteúdo para o navegador. Com
isso, alterações na interface da aplicação são feitas diretamente no Servidor Web, sendo que es-
tas alterações estarão, automaticamente, disponíveis para todos os clientes (parece ou não pa-
rece Mainframe, com o navegador fazendo o papel do terminal de acesso?). Com este modelo
não existe a necessidade de reinstalar a aplicação em todos os computadores da rede. Fica mui-
to mais fácil garantir que todos estão tendo acesso à versão mais atualizada da aplicação. A úni-
ca coisa que o cliente precisa ter instalado na sua máquina é o navegador. Com isso, os custos
de manutenção e atualização de aplicações ficam bastante reduzidos, ou seja, baixa o TCO –
Total Cost Ownership.
l Lógica: São as Regras do Negócio, as quais determinam de que maneira os dados serão utiliza-
dos. Esta camada está no Servidor de Aplicações. Desta maneira, quando uma Regra do Negó-

cio for alterada, basta atualizá-la no Servidor de Aplicações. Após a atualização, todos os usuá-
rios passarão a ter acesso a nova versão, sem que seja necessário reinstalar o programa em cada
estação de trabalho da rede. Vejam que, ao centralizar as Regras do Negócio em um Servidor de
Aplicações, estamos facilitando a tarefa de manter a aplicação atualizada.
l Dados: Nesta camada temos o Servidor de Banco de Dados, no qual reside toda a informação
necessária ao funcionamento da aplicação.
Com o deslocamento da camada de apresentação para um Servidor Web, resolvemos o problema

de termos que atualizar a aplicação, em centenas ou milhares de computadores, cada vez que uma
a interface precisar de alterações. Neste ponto, a atualização das aplicações é uma tarefa mais ge-
renciável, muito diferente do que acontecia no caso do modelo em duas camadas.
Os Servidores de Aplicação, Web e Banco de Dados, não precisam necessariamente ser servidores
separados, isto é, uma máquina para fazer o papel de cada um dos servidores. O conceito de servi-
dor de Aplicação, Servidor Web ou Servidor de Banco de Dados é um conceito relacionado com a
função que o servidor desempenha. Podemos ter, em um mesmo equipamento, um Servidor de
Aplicações, um Servidor Web e um Servidor de Banco de Dados. Claro que questões de desempe-
nho devem ser levadas em consideração.
Também podemos ter a funcionalidade do Servidor de Aplicações distribuída através de vários

servidores, com cada servidor tendo alguns componentes que formam parte das funcionalida-
des da aplicação. Este modelo, onde temos componentes em diversos equipamentos, é conheci-
do como Modelo de Aplicações Distribuídas. Também podemos colocar os componentes em
mais do que um servidor para obter um melhor desempenho, ou redundância, no caso de um
servidor falhar.
O JÚLIO FICOU LOUCO OU ESTAMOS VOLTANDO AO MAINFRAME?

Amigo leitor, nem uma, nem outra. Você deve estar utilizando os seguintes passos de raciocínio,
baseado no texto que acabou de ler:
1. Na época do Mainframe, os aplicativos e os dados ficavam no Mainframe. O acesso era feito

através de terminais, conhecidos como terminais burros. A administração era feita centra-
lizadamente, o que facilitava a atualização e manutenção das aplicações.
2. No modelo Cliente/Servidor clássico, a aplicação e a lógica ficava no programa instala-

do na estação de trabalho Cliente e os dados no Servidor de Banco de Dados. Isso gera di-
ficuldades para atualização das aplicações e um elevado custo para manter este modelo
funcionando.
3. A nova tendência é portar as aplicações para um modelo de n camadas, onde as aplicações,

a lógica e os dados ficam em Servidores (de Aplicações, Web e de Banco de Dados) e o acesso
é feito através de um navegador.

4. Puxa, mas o modelo em n camadas é praticamente o mesmo modelo do Mainframe, com

aplicações e dados no servidor, administração centralizada e redução no custo de proprie-
dade (TCO) em relação ao modelo Cliente/Servidor tradicional? É isso mesmo, este modelo
é muito próximo do modelo do Mainframe, porém com todas as vantagens da evolução da
informática nestas últimas décadas, tais como interfaces gráficas, programas mais podero-
sos e por aí vai.
Na prática, o que está em uso nas empresas é um modelo misto, onde algumas aplicações rodam
no PC do usuário e outras são acessadas através da rede, e rodam nos servidores da rede da empre-
sa. O que se busca é o “melhor dos dois mundos”, ou seja, os recursos sofisticados e aplicações po-
tentes com interfaces ricas do modelo Cliente/Servidor, com a facilidade e baixo custo do modelo
centralizado da época do Mainframe.
Posso citar o exemplo de um dos bancos com os quais trabalho. Quando vou ao banco renovar
um seguro ou tratar algum assunto diretamente com o gerente, vejo que ele tem na sua estação de
trabalho aplicativos de produção do dia-a-dia, tais como o Microsoft Word, Microsoft Excel, um
aplicativo de cálculos e análise de crédito e assim por diante. Este mesmo gerente utiliza o site da
empresa para fornecer informações. Ele também utiliza a Intranet da empresa para se manter atu-
alizado. Além disso, ele utiliza alguns sistemas que ainda residem no bom e velho mainframe. Por
exemplo, quando eu peço que ele faça uma alteração no meu endereço de correspondência, ele
acessa a famosa telinha verde, de um programa emulador de terminal, que acessa uma aplicação
que está no Mainframe da empresa.
Este caminho me parece muito mais sensato, ou seja, não precisa ser um ou outro modelo, mas
sim o melhor dos dois mundos.
Agora que você já sabe sobre os modelos de redes e de desenvolvimento de aplicações utilizados
nas empresas, é hora de falar sobre o papel do Windows 2000 Server nestas redes.
ONDE ENTRA O WINDOWS 2000 SERVER NESTA HISTÓRIA?

O Windows 2000 Server foi projetado para ser o sistema operacional dos servidores da rede
da empresa. Como sistema operacional para servidor, é capaz de ser configurado para de-
sempenhar diferentes tipos de funções, desde um simples servidor de arquivos e de impres-
são, até um sofisticado servidor de acesso remoto, com Firewall de proteção contra ataques
vindos da Internet. O que define o papel que um servidor baseado no Windows 2000 Server
irá desempenhar é, basicamente, a configuração, os serviços e softwares instalados e confi-
gurados no servidor.
A seguir descrevo os principais papéis que um servidor com o Windows 2000 Server pode desem-
penhar na rede da empresa:

l Controlador de domínio: Conhecido resumidamente como DC – Domain Controler, é um ser-

vidor onde está instalado o Active Directory. Nos DCs fica uma cópia do banco de dados com
diversas informações da rede (o banco de dados do Active Directory), tais como nomes de
usuários, senhas, nomes de grupos, lista de membros de cada grupo, contas de computadores,
políticas de segurança do domínio e assim por diante. Na segunda parte deste capítulo, apre-
sentarei mais alguns detalhes sobre os elementos que compõem o Active Directory.
l Servidor de arquivos e impressoras: Este é um dos usos mais comuns para um servidor de rede.
Os arquivos ficam gravados em pastas compartilhadas no servidor e podem ser acessados por
qualquer computador da rede, desde que o usuário tenha as devidas permissões de acesso. O
mesmo é válido em relação as impressoras. Posso ter, por exemplo, uma impressora laser colo-
rida, de alto desempenho e qualidade, instalada e compartilhada em um servidor.
l Servidor DNS, WINS e DHCP: O DNS (Capítulo 3) e o WINS (Capítulo 5) são serviços para reso-
lução de nomes em uma rede. O DNS é que faz a tradução de um endereço como por exemplo
www.juliobattisti.com.br, para o respectivo endereço IP. O WINS é utilizado por questões de
compatibilidades com as versões do Windows mais antigas, tais como Windows 95, 98 ou Me.
O serviço DHCP (Capítulo 4) é utilizado para fazer a configuração automática do protocolo
TCP/IP nas estações de trabalho da rede.
l Servidor Web: Com o Internet Information Services 6.0 – IIS 6.0 o Windows 2000 Server pode
atuar como um poderoso Servidor Web, disponibilizando serviços de hospedagem de páginas
(HTTP), cópia de arquivos (FTP) e hospedagem de aplicações baseadas em tecnologias como
ASP ou tecnologias mais atuais, como Web Services e ASP.NET. Você pode utilizar o Windows
2000 Server e o IIS 6.0 para criar um Servidor Web para a Intranet da empresa ou para suportar
o site da empresa na Internet. Com o Windows 2000 Server Data Center Edition e a tecnologia
de Cluster, você pode utilizar o Windows 2000 Server para criar sites que suportam elevado nú-
mero de acessos e grande número de usuários simultaneamente. Como exemplo basta citar o
site da Microsoft (www.microsoft.com), um dos mais visitados da Internet, o qual é grande
parte baseado no Windows 2000 Server (algumas áreas, no momento em que escrevo este li-
vro, já foram migradas para o Windows Server 2003).
l Servidor de Banco de Dados: Neste caso, temos um servidor com o Windows 2000 Server e o
SQL Server 2000 instalados ou um outro banco de dados qualquer, tal como o ORACLE ou DB2
da IBM, só para citar os mais conhecidos. O SQL Server 2000 é o Servidor de Banco de Dados re-
lacionais da Microsoft. Oferece funcionalidades avançadas como replicação de dados, stored
procedures, acesso a diferentes fontes de dados, múltiplas instâncias em um único servidor,
mecanismo de segurança refinado e integrado com o Windows 2000, transações distribuídas,
etc. Podemos acessar os dados de um servidor SQL Server 2000, no formato XML, utilizando
um navegador, através do protocolo HTTP. O SQL Server 2000 é projetado para ser instalado
no Windows 2000 Server ou NT Server 4.0.
Para maiores informações sobre o SQL Server 2000, consulte as seguintes fontes:
http://www.microsoft.com/sql

Livro: “SQL Server 2000 Administração e Desenvolvimento: Curso Completo”, de minha au-
toria, publicado pela editora Axcel Books (www.axcel.com.br).
l Servidor de e-mail: Neste caso além do Windows 2000 Server deve ser instalado o Exchange Ser-
ver 2000. O Exchange Server 2000 é um servidor de mensagens e correio eletrônico, além de
uma plataforma para desenvolvimento de aplicações do Workflow. Cada vez mais o Exchange
vem ganhando mercado de concorrentes como o Lotus Notes da IBM e o Novel Groupwise da
Novel. O Exchange 2000 é completamente integrado com o Active Directory do Windows 2000
Server ou Windows 2000 Server, o que facilita a criação e manutenção de contas de usuários. O
suporte ao padrão de dados XML também foi introduzido nesta versão do Exchange. Maiores in-
formações sobre Exchange podem ser encontradas nos seguintes endereços:
http://www.microsoft.com/exchange
http://www.swynk.com
l Servidor de comunicação e acesso remoto: O Windows 2000 Server oferece o serviço RRAS –
Routing and Remote Access Service (Capítulo 7), o qual permite que o Windows 2000 Server
atue como um servidor de acesso remoto, para o qual usuários com notebooks ou outros dispo-
sitivos, equipados com modem, podem discar e se conectar à rede da empresa, tendo acesso
aos recursos da rede, como se estivessem conectados localmente.
A seguir descrevo outros produtos da Microsoft que podem ser instalados em um servidor baseado
no Windows 2000 Server e que fazem com que o servidor assuma diferentes papéis e funções na
rede da empresa:
l BizTalk Server 2000

Este talvez seja um dos produtos da Microsoft, menos conhecidos. Porém considero um pro-
duto fundamental, principalmente para os profissionais que estão envolvidos em um proje-
to para a consolidação das aplicações da empresa. Com a consolidação do comércio eletrôni-
co, principalmente do chamado B2B – Business to Business, que é o comércio entre empre-
sas, cada vez faz-se mais necessária a integração entre sistemas de informação de diferentes
empresas. Um dos maiores problemas é que estes diferentes sistemas de informação utilizam
diferentes formatos de dados (a repetição da palavra “diferentes” é proposital, para enfatizar
o conceito que está sendo exposto). Durante muito tempo, uma das soluções adotadas foi o
EDI – Exchange Data Interchange. Porém o EDI apresenta algumas limitações, além de um
custo elevado. Com o advento da Internet e do padrão XML, a troca de informações entre
empresas tem migrado para soluções onde o XML é o formato universalmente aceito, o que
facilita a troca de informações. O Biztalk Server 2000 é a solução da Microsoft que facilita a
criação, desde o modelo conceitual até a implementação, de aplicações baseadas em XML,
para troca de informações entre diferentes empresas ou entre diferentes sistemas dentro da
mesma empresa. Maiores informações e uma versão de avaliação para download podem ser
encontradas no seguinte endereço:
http://www.microsoft.com/biztalk

l Commerce Server 2000

O Commerce Server trabalha em conjunto com o IIS. Na verdade o Commerce Server facilita a
criação e o gerenciamento de um site para comércio eletrônico, quer seja B2C – Business to
Consumer, quer seja B2B – Business to Business. Através de uma série de modelos prontos e
através da utilização de assistentes, podemos rapidamente criar um site para comércio eletrô-
nico. Após a criação, é possível personalizar o site de acordo com as necessidades da empresa.
Pode trabalhar integrado com os demais servidores .NET. Por exemplo, você pode utilizar o
SQL Server 2000 para armazenar informações sobre o catálogo de produtos, preços e estoque.
Maiores informações e uma versão de avaliação para download podem ser encontradas no se-
guinte endereço:
http://www.microsoft.com/commerceserver
l Application Center 2000

O Application Center 2000 é a ferramenta da Microsoft para a implementação e gerencia-
mento de Web sites que deverão suportar uma elevada carga de acesso, com um grande nú-
mero de acessos simultâneos. Também oferece ferramentas para a distribuição de um site
entre diversos servidores, com o objetivo de distribuir a carga entre diversos equipamen-
tos. Com o uso do Application Center fica mais fácil realizar tarefas como, por exemplo,
manter sincronizado o conteúdo dos diversos servidores, bem como fazer o gerenciamento
e a distribuição de cargas.
l Host Integration Server 2000
Esta é a nova versão do antigo SNA Server da Microsoft, só que com o nome alterado. O Host
Integration Server possibilita a integração de redes Windows com outros ambientes, como por
exemplo, Mainframes baseados na arquitetura SNA da IBM. Esta é mais uma ferramenta que
comprova que hoje as empresas procuram utilizar o melhor dos dois mundos (Mainframe e
Cliente/Servidor), integrando as aplicações Cliente/Servidor com as aplicações no Mainframe.
guinte endereço:
http://www.microsoft.com/hiserver
l Internet Security and Acceleration Server 2000

De certa maneira é o sucessor do Proxy Server 2.0 da Microsoft, com algumas melhorias. É utili-
zado para conectar a rede local da empresa, de uma maneira segura, à Internet, funcionando
como um Firewall de proteção. Suas funções básicas são: Firewall, Cache de páginas.
guinte endereço:
http://www.microsoft.com/isaserver

l Mobile Information 2001 Server

O Framework .NET (que faz parte do Windows 2000 Server) não foi concebido apenas para o
desenvolvimento de aplicações que serão acessadas através de PCs ligados em rede ou compu-
tadores tradicionais. Com o Framework .NET, a Microsoft pretende fornecer uma sólida plata-
forma de desenvolvimento, também para os diversos dispositivos móveis existentes, tais
como telefones celulares, assistentes pessoais, Palm Pilots, etc. Dentro desta estratégia, o Mo-
bile Information 2001 Server desempenha um papel fundamental, fornecendo suporte ao pro-
tocolo WAP 1.1. Usando o Mobile Information 2001 Server é possível, por exemplo, fazer com
que as suas mensagens do Exchange sejam convertidas para o formato que possam ser lidas
por um celular ou qualquer outro dispositivo habilitado ao protocolo WAP.
guinte endereço:
http://www.microsoft.com/servers/miserver/default.htm
O CONCEITO DE DIRETÓRIOS
Na primeira parte deste capítulo fiz um histórico dos modelos de redes e aplicações desde a época do
Mainframe (que continua mais vivo do que nunca), passando pelo modelo Cliente/Servidor tradicio-
nal, até chegar ao modelo Web, baseado no desenvolvimento de aplicações em três ou mais camadas.
Cada fase deixou suas características “impressas” na rede da empresa, no conjunto de aplicações
que é utilizado para manter a empresa funcionando. O que ocorre é que, hoje, na prática, existem
na empresa, ao mesmo tempo, aplicações rodando no Mainframe, aplicações Cliente/Servidor
tradicionais e aplicações baseadas no modelo Web.
A Figura 1.6 ilustra bem este “mix” de aplicações, no qual um usuário, a partir da sua estação de
trabalho, acessa aplicações em diferentes ambientes, para realizar o seu trabalho diário.
Você pode pensar que dificilmente isso aconteceria na prática. É justamente o contrário. Esta é a
situação na qual encontram-se a maioria das empresas, ou seja: uma variedade de aplicações não
integradas, em diferentes plataformas e modelos. Falando de uma maneira mais simples, uma
verdadeira “salada-de-fruta”, ou de outras formas: salada de aplições e modelos.
No exemplo descrito na Figura 1.6, o usuário, para realizar o seu trabalho diário, tem que acessar
aplicações e serviços em diferentes plataformas e modelos:
l No Mainframe: Alguns sistemas da empresa (muitas vezes a maioria dos sistemas) ainda estão
no Mainframe, com acesso através de aplicativos emuladores de Terminal, instalados na esta-
ção de trabalho do usuário. Estes aplicativos mantém a interface a caractere, típica da época
do Mainframe. A tão famosa telinha preta com letras verdes. Por exemplo, pode ser que o sis-
tema de RH (controle de férias, curriculum, treinamentos, etc) ainda esteja no Mainframe.

Figura 1.6 Aplicações em diferentes ambientes e baseadas em diferentes modelos.
l Em aplicações Cliente/Servidor de duas camadas: À medida em que houve uma migração do

Mainframe em direção ao Cliente/Servidor, muitas aplicações do Mainframe foram substituí-
das por aplicações Cliente/Servidor tradicionais, conforme descrito anteriormente. Por exem-
plo, podemos ter uma situação onde o sistema de vendas foi migrado do Mainframe para uma
aplicação cliente/Servidor de duas camadas. Os dados estão em um ou mais servidores da rede
e a aplicação cliente é instalada na estação de trabalho dos usuários do sistema.
l Sistema de e-mail e Intranet da empresa: É praticamente impossível que a sua empresa não te-
nha um sistema de email instalado. Com isso você utiliza mais um aplicativo (o cliente de
e-mail), para acessar o seu correio eletrônico. Você também utiliza o navegador para acessar a
Intranet da empresa. Se a sua empresa já evolui bastante no uso da Tecnologia da Informação,
é provável que você use o navegador para acessar o Portal Corporativo da empresa.
l Além desta variedade de aplicações você também precisa ter acesso aos recursos básicos da
rede, tais como pastas e impressoras compartilhadas. Para ter acesso a estes recursos você deve
estar identificado na rede, para que o servidor, onde estão os recursos a serem acessados, libe-
rare o acesso, dependendo de você ter ou não as permissões adequadas. O seu nome de usuário
na rede e a respectiva senha devem estar cadastrados em uma base de dados. Logo, você desco-
brirá que base é esta.
Bem, apresentado o provável ambiente atual no qual encontra-se a rede da sua empresa, vou sali-
entar um dos principais problemas deste ambiente, diretamente relacionado ao conceito de dire-
tório e também com o Active Directory.

SENHAS DEMAIS!!! POR FAVOR, ALGUÉM ME AJUDE!

No cenário descrito anteriormente, onde o usuário tem que acessar sistemas em diferentes ambi-
entes, é necessário um logon e senha para cada ambiente. Por exemplo, no sistema de grande por-
te o logon pode ser a matrícula do funcionário e uma senha por ele escolhida. Na rede, o logon é a
primeira parte do seu email, por exemplo jsilva, e uma senha. No sistema de e-mail mais uma se-
nha. Em cada aplicação Cliente/Servidor mais uma senha e assim por diante.
Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a cada 30 dias e não
é permitido repetir as últimas cinco senhas. A da rede expira a cada 60 dias e o usuário não pode
repetir as últimas 13. A do e-mail expira a cada 45 dias e não pode se repetir as últimas dez. A do
sistema xyz expira a cada 40 dias e ele não pode repetir as últimas seis. Meu Deus, você deve estar
pensando, a estas alturas, o nosso usuário já deve estar “maluco”.
Na verdade, maluco ele não está, mas acaba fazendo algo pior do que estivesse maluco: ou selecio-
na senhas que facilmente são descobertas ou anota as senhas e guarda o papel na gaveta. A culpa é
do usuário? Obviamente que não, mas sim de um ambiente onde existem múltiplas aplicações,
com uma senha diferente para cada uma.
Mas espere aí um pouco. O que tem a ver este monte de senha com o conceito de Diretório.
Tem muito a ver. Observe que em cada ambiente existe um banco de dados para cadastro do
nome do usuário, senha e outras informações, como por exemplo seção, matrícula e assim por
diante. Este banco de dados com informações sobre os usuários da rede é um exemplo típico
de Diretório.
Então no Mainframe, onde existe um cadastro de usuários, senhas e perfil de acesso de cada usuá-
rio, existe um diretório. Na rede, onde existe um cadastro de usuários, senha, nome, seção, matrí-
cula, etc., temos mais um diretório. No sistema de email, onde está cadastrado o e-mail do usuá-
rio, senha, grupos, etc., temos um terceiro diretório e assim por diante. Observe que, para cada
diretório (o que implica cadastro em um determinado sistema), o usuário tem uma senha.
Então um diretório nada mais é do que um cadastro, ou melhor ainda, um banco de dados com
informações sobre usuários, senhas e outros elementos necessários ao funcionamento de um sis-
tema, quer seja um conjunto de aplicações no Mainframe, um grupo de servidores da rede local, o
sistema de e-mail ou outro sistema qualquer.
Saindo do mundo da computação, uma lista telefônica com o cadastro do nome do usuário, tele-
fone e endereço é um exemplo típico de diretório. O termo Diretório não é muito conhecido para
nós, no idioma Português. Talvez um termo mais adequado fosse cadastro, banco de dados do sis-
tema ou algo parecido. Mas o termo já é consagrado no inglês e acabou sendo adotado também no
português (não sei se oficialmente, mas na prática, pelos profissionais de TI).
O Active Directory, introduzido inicialmente com o Windows 2000 Server e agora presente no
Windows 2003 Server, é também um exemplo típico de diretório. No Active Directory, ficam gra-

vadas informações sobre contas de usuários, senhas, grupos de usuários, membros de cada grupo,
contas de computadores, informações sobre o domínio, relações de confiança, unidades organi-
zacionais, enfim, todas as informações necessárias ao funcionamento de uma rede baseada no
Windows 2000 Server.
No decorrer deste capítulo você aprenderá em detalhes sobre os diversos elementos do Active Di-
rectory, tais como unidades organizacionais, sites, relações de confiança e assim por diante.
UM DIRETÓRIO ÚNICO PARA TODAS AS APLICAÇÕES

Porém o projeto do Active Directory é bem mais ambicioso do que simplesmente ser mais
um diretório para conter informações dos elementos de uma rede baseada no Windows
2000 Server. Foi projetado para tornar-se, com o tempo, o único diretório necessário na
rede da empresa.
Mas como seria esta migração da situação atual, caótica, com múltiplos diretórios e senhas,
para uma situação mais gerenciável, com um único diretório e senha: O TÃO SONHADO
LOGON ÚNICO??
A proposta da Microsoft é que, aos poucos, as aplicações sejam integradas com o Active Directory.
O que seria uma aplicação Integrada com o Active Directory? Seria uma aplicação que, ao invés de
ter o seu próprio cadastro de usuários, senhas e grupos (seu próprio diretório), fosse capaz de aces-
sar as contas e grupos do Active Directory e atribuir permissões de acesso diretamente às contas e
grupos do Active Directory. Por exemplo, vamos supor que você utilize o Exchange 2000 como
servidor de e-mail. Este é um exemplo de aplicação que já é integrada com o Active Directory. Ao
instalar o Exchange 2000, este é capaz de acessar a base de usuários do Active Directory e você
pode criar contas de e-mail para os usuários do Active Directory. Com isso quando o usuário faz o
logon na rede, ele também está sendo autenticado com o Exchange e poderá ter acesso a sua caixa
de correio sem ter que fornecer um login e senha novamente.
Chegará o dia do logon único quando todas as aplicações forem ou diretamente integradas com o
Active Directory, ou forem capazes de acessar a base de usuários do Active Directory e atribuir per-
missões de acesso aos usuários e grupos do Active Directory. Esta abordagem de um diretório úni-
co tem inúmeras vantagens. A mais saliente é o logon único. Outra vantagem é o fato de que atua-
lizações feitas no diretório já são refletidas, automaticamente, em todas as aplicações, uma vez
que o diretório é único.
Quando o diretório não é único, as alterações devem ser feitas em todos os diretórios, senão fica-
rão desatualizadas. Vamos voltar um pouco ao ambiente de múltiplos diretórios. Vamos supor
que um usuário foi transferido de setor e o seu número de telefone foi atualizado no diretório do
Mainframe. Se este número não for também atualizado (e isto tem que ser feito pelo administra-

dor de cada sistema) em todos os demais diretórios, corre-se o risco de alguém pesquisar um dos
diretórios que não foi atualizado e obter o número de telefone antigo. Agora considere essa situa-
ção em uma empresa grande, onde estão em uso cinco, seis ou mais diretórios diferentes e multi-
plique isso por 4 ou 5 mil funcionários, você terá uma idéia do problema que é manter sempre
atualizados os diversos diretórios em uso na empresa.
Por isso que a proposta do diretório único é interessante e muito bem vinda (embora não seja uma
idéia nova). É claro que não se faz a migração de um ambiente baseado em vários diretórios para
um ambiente de diretório único, da noite para o dia. É um trabalho longo, que envolve um inven-
tário das aplicações em uso. Uma análise do que é prioritário, do que pode ser integrado e do que
deverá ser reescrito e assim por diante. Mas é um trabalho que vale a pena, sob risco de chegar-se a
um ambiente caótico, com inúmeros diretórios, ambiente este praticamente impossível de geren-
ciar ou gerenciável a um custo muito elevado.
REDES BASEADAS EM WORKGROUPS x REDES

BASEADAS EM DIRETÓRIOS
Neste item mostrarei as diferenças entre uma rede baseada no modelo de workgroup e uma rede
baseada no modelo de diretórios.
Você entenderá porque uma rede baseada no conceito de workgroup (Grupo de Trabalho) so-
mente é indicada para redes muito pequenas, entre cinco e dez usuários. E porque para redes mai-
ores seria praticamente impossível administrar um modelo de redes baseado em Grupos de Traba-
lho ao invés de domínios.
DOMÍNIOS E WORKGROUPS (GRUPOS DE TRABALHO)

Um rede baseada no Windows 2000 Server pode ser criada utilizando-se dois conceitos diferentes,
dependendo da maneira como os Servidores Windows 2000 Server são configurados. Os servido-
res podem ser configurados para fazerem parte de um Domínio ou de um Grupo de Trabalho,
mais comumente chamado de Workgroup, termo que utilizarei de agora em diante.
ENTENDENDO O FUNCIONAMENTO DE UMA REDE BASEADA NO MODELO DE WORKGROUPS
Em uma rede baseada no modelo de Workgroups, cada servidor é independente do outro. Em ou-
tras palavras, os servidores do Workgroup não compartilham uma lista de usuários, grupos, polí-
ticas de segurança e outras informações. Cada servidor tem a sua própria lista de usuários e grupos
e sua própria política de segurança, conforme indicado no diagrama da Figura 1.7.

Figura 1.7 Uma rede baseada no conceito de Workgroup.
O diagrama demonstra uma rede baseada no modelo de Workgroup. No exemplo da Figura 1.7 te-
mos três servidores, onde cada servidor tem a sua própria base de usuários, senhas e grupos. Confor-
me pode ser visto no diagrama, as bases estão diferentes, existem contas de usuários que foram cria-
das em um servidor mas não foram criadas nos demais. Por exemplo, a conta paulo somente existe
no Servidor 01, a conta mauro só existe no Servidor 02 e a conta cassia só existe no servidor 03.
Agora imagine o usuário paulo utilizando a sua própria estação de trabalho. Ele tenta acessar um re-
curso (por exemplo uma pasta compartilhada) no Servidor 01. Uma janela de logon é exibida. Ele for-
nece o seu nome de usuário e senha e o acesso (desde que ele tenha as devidas permissões) é liberado.
Agora este mesmo usuário – paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela
de logon é exibida e ele fornece o seu nome de usuáro e senha. O acesso é negado, com uma men-
sagem de usuário ou senha inválida. O usuário não entende o que está acontecendo. Isso acontece
porque o usuário paulo somente está cadastrado no Servidor 01; para o Servidor 02 e para o Servi-
dor 03 é como se o usuáro paulo não existisse (usuário inválido). Para que o usuário paulo possa
acessar recursos dos Servidores 02 e 03, o administrador deveria criar uma conta chamada “paulo”
nestes dois servidores.
Mas a “confusão” pode ser maior ainda. Imagine que o usuário paulo foi cadastrado pelo adminis-
trador com a conta paulo e senha: abc123de. Muito bem, o administrador fez o cadastro do usuá-
rio paulo nos três servidores: Servidor 01, Servidor 02 e Servidor 03. Agora, cerca de 30 dias depois,
o usuário paulo resolveu alterar a sua senha. Vamos supor que ele estava conectado ao Servidor
01, quando fez a alteração da sua senha para: xyz123kj. Agora o usuário paulo está na situação in-
dicada a seguir:

Servidor Usuário Senha

Servidor 01 paulo xyz123kj
Servidor 02 paulo abc123de
Servidor 03 paulo abc123de
Na concepção do usuário, a partir de agora vale a nova senha, independentemente do servidor

que ele esteja acessando. Pois para o usuário interessa o recurso que ele está acessando. Para o
usuário não interessa se o recurso está no Servidor 01, 02 ou outro servidor qualquer. Agora vamos
ver o que acontece com o usuário.
O usuário paulo está utilizando a sua estação de trabalho. Ele tenta acessar um recurso (por
exemplo uma pasta compartilhada) no Servidor 01. Uma janela de logon é exibida. Ele for-
nece o seu nome de usuário e a nova senha e o acesso (desde que ele tenha as devidas per-
missões) é liberado.
Agora este mesmo usuário – paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela
de logon é exibida e ele fornece o seu nome de usuáro e senha. O acesso é negado, com uma men-
sagem de falha na autenticação. Aí o usuário fica pensando: mas como é possível, eu recém tro-
quei a senha. Ele trocou a senha no Servidor 01. Para os demais servidores continua valendo a se-
nha antiga. A única maneira de ele conseguir alterar a senha é fazendo o logon com a senha antiga
e alterando para a nova senha. Agora imagine o problema em uma rede de grandes proporções,
com dezenas de servidores e milhares de funcionários. Fica fácil concluir que o modelo de Work-
group ficaria insustentável, impossível de ser implementado na prática.
Eu somente recomendaria modelo de Workgroup para redes pequenas, com um único servidor e
com um número de, no máximo, dez usuários.
ENTENDENDO O FUNCIONAMENTO DE UMA REDE BASEADA

NOS CONCEITOS DE DIRETÓRIOS E DOMÍNIOS
Agora vou apresentar o modelo de rede baseado em um diretório. Vamos iniciar considerando o
diagrama da Figura 1.8.
No modelo baseado em diretório, temos uma base de usuários única, ou seja, todos os servido-
res da rede compartilham a mesma base de usuários e as mesmas políticas de segurança. O que
acontece, na prática, não é que exista uma única base, armazenada em um determinado servi-
dor, e todos os demais servidores acessem esta base. Não, não é isso. O que ocorre na prática, é
que todos os servidores contém uma cópia da base de informações do diretório. Alterações efe-
tuadas em um dos servidores são repassadas (o termo técnico é replicadas) para os demais ser-
vidores da rede, para que todos fiquem com uma cópia idêntica da base de dados do diretório.

Figura 1.8 Uma rede baseada no conceito de Diretório - Domínio.
O que caracteriza uma rede baseada em diretório é o fato de todos os servidores terem acesso a
mesma base de dados, ou seja, todos compartilham o mesmo diretório. Mais adiante será apre-
sentado o conceito de domínio, floresta, relação de confiança, etc. Estes são outros elementos
relacionados com o diretório e que permitem a criação de redes de grande extensão geográfica,
como por exemplo redes de uma grande empresa com escritórios no mundo inteiro (Microsoft,
IBM, HP, etc.).
No modelo baseado em diretório, a vida do administrador fica bem mais “tranqüila”. Vamos su-
por que o usuário paulo queira acessar um recurso em um dos servidores da rede. Sem problemas,
qualquer servidor tem uma cópia da base de dados do diretório. Com isso a conta do usuário pau-
lo estará disponível em qualquer servidor. Com isso ele poderá acessar recursos em qualquer um
destes servidores. Mas se o usuário paulo alterar a sua senha? Isso será feito na cópia do banco de
dados do diretório de um dos servidores, correto? Correto, porém em pouco tempo esta alteração
será replicada para todos os demais servidores e a senha do usuário paulo estará sincronizada em
todos os servidores.
O modelo baseado em diretórios (e no conceito de domínios, florestas, etc.) é bem mais fácil para
administrar e permite a implementação de redes de grandes proporções, tanto geográficas quanto
em números de usuários. Na empresa onde eu trabalho, temos uma rede baseada no Active Direc-
tory. A rede se estende por todos os estados do território nacional e tem cerca de 22.000 usuários.
Uma rede e tanto. Seria literalmente impossível manter uma rede destas proporções sem utilizar o
modelo baseado em diretórios.

DOMÍNIOS, ÁRVORES DE DOMÍNIOS E UNIDADES

ORGANIZACIONAIS – CONCEITOS
Agora que você já conhece bem a diferença entre um modelo de rede baseada em workgroup e ou-
tro de rede baseada em diretório, é hora de avançar um pouco mais e nos aproximar da terminolo-
gia do Active Directory. Neste item, vou apresentar o conceito de diretório. Não um conceito for-
mal, mas sim como este é utilizado em redes baseadas no Active Directory e no Windows 2000
Server (ou Windows 2000 Server).
No Windows 2000 Server, o conjunto de servidores, estações de trabalho, bem como as informa-
ções do diretório é que formam uma unidade conhecida como domínio. Todos os servidores que
contém uma cópia da base de dados do Active Directory, fazem parte do domínio e são conheci-
dos como Controladores de Domínio – DC, do termo inglês Domain Controller. As estações de
trabalho podem ser configuradas para fazer parte do domínio. No caso de estações de trabalho
com o NT Workstation 4.0, Windows 2000 Professional ou Windows XP Professional, cada esta-
ção de trabalho que faz parte do domínio, tem uma conta de computador criada no domínio. A
conta de computador tem o mesmo nome do computador. Por exemplo, a estação de trabalho
micro-cont-001, tem uma conta de computador, na base de dados do Active Directory, com o
nome de micro-cont-001.
Um domínio pode também ser definido com um limite administrativo e de segurança. Este é um
limite administrativo, pois as contas de administrador tem permissões de acesso em todos os re-
cursos do domínio, mas não em recursos de outros domínios (a não ser que estas permissões se-
jam atribuídas pelo administrador do outro domínio). É um limite de segurança porque cada do-
mínio tem definições de políticas de segurança que se aplicam as contas de usuários e demais
recursos dentro de domínio e não a outros domínios. Portanto, diferentes domínios podem ter di-
ferentes políticas e configurações de segurança. Por exemplo, no domínio A, posso ter uma políti-
ca de segurança que define um tamanho mínimo de senha com oito caracteres. Esta política será
válida para todas as contas de usuário do domínio A. Um segundo domínio B pode ter uma políti-
ca de segurança diferente, a qual define um tamanho mínimo de senha de 12 caracteres. Esta polí-
tica será válida para todas as contas de usuários do domínio B.
Um domínio é simplesmente um agrupamento lógico de contas e recursos, os quais comparti-

lham políticas de segurança. As informações sobre os diversos elementos do domínio (contas de
usuários, contas de computador, grupos de usuários, políticas de segurança, etc.), estão contidas
no banco de dados do Active Directory.
Em um domínio baseado no Active Directory e no Windows 2000 Server é possível ter dois tipos
de servidores Windows 2000 Server:
l Controladores de Domínio (DC – Domain Controllers)

l Servidores Membro (Member Servers).

Falarei um pouco mais sobre Controladores de Domínio e Servidores Membro no final deste tópico.
A criação de contas de usuários, grupos de usuários e outros elementos do Active Directory, bem
como alterações nas contas de usuários, nas políticas de segurança e em outros elementos do Acti-
ve Directory podem ser feitas em qualquer um dos Controladores de Domínio. Uma alteração fei-
ta em um DC será automaticamente repassadas (o termo técnico é “replicada”) para os demais
DCs. Por isso se você cria uma conta para o usuário jsilva e cadastra uma senha para este usuário,
essa conta passa a ser válida em todo o domínio, sendo que o usuário jsilva pode receber permis-
sões para acessar recursos e serviços em qualquer servidor do domínio, seja em um Controlador
de Domínio ou em um Servidor Membro.
Por isso que o domínio transmite a idéia de um agrupamento lógico de contas de usuários e gru-
pos, bem como de políticas de segurança, uma vez que todo o Domínio compartilha a mesma lista
de Usuários, Grupos e políticas de segurança. A criação de domínios facilita enormemente a ad-
ministração de uma rede baseada no Windows 2000 Server, sendo altamente recomendada para
qualquer rede de maior porte. Estas redes devem ser criadas com base em um ou mais domínios
(dependendo do porte da rede).
Nos Member Servers (Servidores Membros) podem ser criadas contas de usuários e grupos, as
quais somente serão válidas no Member Server onde forem criadas. Embora isso seja tecnicamen-
te possível, essa é uma prática não recomendada, uma vez que isso dificulta enormemente a admi-
nistração do domínio. Você pode atribuir permissões para os recursos de um Servidor Membro, à
contas de usuários e grupos do domínio, sem a necessidade de criar esses usuários ou grupos local-
mente. Por exemplo, um usuário jsilva, que pertence ao domínio, pode receber permissões de
acesso em uma pasta compartilhada de um Member Server. Com isso você pode concluir que um
Member Server é um servidor que, embora não mantenha uma cópia da lista de usuários e grupos
do Active Directory, tem acesso a essa lista. Com isso podem ser atribuídas permissões nos recur-
sos do Servidor Membro (tais como pastas compartilhadas, impressoras, etc.) para as contas e gru-
pos do domínio.
Em um domínio todos os Controladores de Domínio compartilham uma lista de usuários, grupos

e políticas de segurança, além de algumas outras características que falarei no tópico sobre o Acti-
ve Directory. Além disso, alterações feitas em um dos Controladores de Domínio são automatica-
mente replicadas para os demais.
Os DCs também são responsáveis por fazer a autenticação dos usuários na rede. Por exemplo, va-
mos supor que o usuário jsilva utiliza uma estação de trabalho com o Windows XP Professional
instalado. Esta estação foi configurada para fazer parte do domínio. Quando o usuário jsilva liga a
estação de trabalho e o Windows é inicializado, é apresentada a tela de logon para que ele forneça
o seu nome de usuário e senha. O Windows precisa verificar se o nome de usuário e senha estão
corretos. O Windows tenta localizar um DC na rede. É no DC que a verificação é feita, comparan-
do as informações digitadas pelo usuário, com as informações da base de dados do Active Direc-
tory. Se as informações estão OK o logon é liberado, o usuário é autenticado e a área de trabalho

do Windows é exibida. A partir deste momento, toda vez que o usuário tentar acessar um recurso
do domínio, será apresentada a sua autenticação, para provar a identidade do usuário para a rede.
Isso evita que o usuário tenha que entrar com o seu logon e senha cada vez que for acessar um re-
curso em um servidor diferente (que é justamente o que acontece no modelo baseado em Work-
group, conforme descrito anteriormente).
Como os Servidores Membro não têm uma cópia da lista de usuários e grupos, estes não efetuam a
autenticação de logon dos usuários e também não armazenam informações sobre as políticas de
segurança para o domínio – as quais também são conhecidas por GPO – Group Polices Objects.
Estações de trabalho com o Windows XP Home não podem ser configuradas para fazer parte de um
domínio. Estações de trabalho com o Windows 95/98/Me podem ser configuradas para fazer par-
te de um domínio. Para ter acesso a maioria dos recursos do Active Directory, também é preciso ins-
talar o Active Directory Client, nas estações de trabalho com o Windows 95/98/Me. Uma estação
de trabalho com o NT Workstation 4.0 também pode ser configurada para fazer parte de um domí-
nio baseado no Active Directory e no Windows 2000 Server.
Quando os servidores Windows 2000 Server são configurados para trabalhar com um Work-
group, não existe o conceito de domínio e nem de Controlador de Domínio. Cada servidor man-
tém uma lista separada para contas de usuários, grupos e políticas de segurança. Com isso se um
usuário precisa acessar recursos em três servidores, por exemplo, será necessário criar uma conta
para esse usuário nos três servidores diferentes. Um Workgroup somente é recomendado para re-
des extremamente pequenas, normalmente com um único servidor Windows 2000 Server e não
mais do que dez estações clientes, conforme descrito anteriormente.
ACTIVE DIRECTORY
Lembro de já ter escrito a seguinte frase, em um dos meus livros anteriores, se não me engano no
meu primeiro livro “Série Curso Básico & Rápido Microsoft Windows 2000 Server”:
“O Active Directory é, sem dúvidas, a mudança mais significativa incluída no Windows 2000 Server.”
Mas, de uma maneira simples, o que é o Active Directory ?
“O Active Directory é o serviço de diretórios do Windows 2000 Server. Um Serviço de Diretóri-

os é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, manten-
do informações sobre estes dispositivos (contas de usuários, grupos, computadores, recursos,
políticas de segurança, etc.) em um banco de dados e torna estes recursos disponíveis para
usuários e aplicações.”
Pode parecer que o Active Directory é, na verdade, um banco de dados. Mas não é só isso. Além do
banco de dados com informações sobre os elementos (tecnicamente conhecidos como objetos)

que compõem o domínio, o Active Directory também disponibiliza uma série de serviços que exe-
cutam as seguintes funções:
l Replicação entre os Controladores de domínio.

l Autenticação.
l Pesquisa de objetos na base de dados.
l Interface de programação para acesso aos objetos do diretório.
Pela descrição formal, é possível inferir que o Active Directory é um serviço de rede, no qual ficam
armazenadas informações sobre dados dos usuários, impressoras, servidores, grupos de usuários,
computadores e políticas de segurança. Cada um desses elementos são conhecidos como objetos.
O Active Directory além de armazenar uma série de informações sobre os objetos disponíveis na
rede (contas de usuários, grupos de usuários, servidores, computadores, etc.), torna fácil para o
administrador localizar e fazer alterações nos objetos existentes, bem como criar novos objetos ou
excluir objetos que não sejam mais necessários. Em resumo, com o conjunto de serviços ofereci-
dos pelo Active Directory, a administração da rede fica bem mais fácil.
Os recursos de segurança são integrados com o Active Directory através do mecanismo de logon e
autenticação. Todo usuário tem que fazer o logon (informar o seu nome de usuário e senha) para
ter acesso aos recursos da rede. Durante o logon, o Active Directory verifica se as informações for-
necidas pelo usuário estão corretas e então libera o acesso aos recursos para os quais o usuário tem
permissão de acesso.
Os recursos disponíveis através do Active Directory são organizados de uma maneira hierárquica,
através do uso de domínios. Uma rede, na qual o Active Directory está instalado, pode ser forma-
da por um ou mais domínios. Com a utilização do Active Directory um usuário somente precisa
estar cadastrado em um único domínio, sendo que este usuário pode receber permissões para
acessar recursos em qualquer um dos domínios.
A utilização do Active Directory simplifica em muito a administração, pois fornece um local cen-
tralizado, através do qual todos os recursos da rede podem ser administrados. Todos os Controla-
dores de Domínio têm o Active Directory instalado. A maneira de criar um domínio é instalar o
Active Directory em um Member Server e informar que este é o primeiro Controlador de Domí-
nio. Depois de criado o domínio, o administrador pode criar DCs adicionais, simplesmente insta-
lando o Active Directory em um ou mais servidores.
O Active Directory utiliza o DNS (Capítulo 3) como serviço de nomeação de servidores e recursos e
de resolução de nomes. Por isso que um dos pré-requisitos para que o Active Directory possa ser ins-
talado e funcionar perfeitamente é que o DNS deve estar instalado e corretamente configurado.
No Windows 2000 Server, o assistente de instalação do Active Directory é capaz de instalar e con-
figurar o DNS, caso não encontre um servidor DNS adequadamente configurado na rede.

O agrupamento de objetos em um ou mais domínios permite que a rede de computadores reflita a

organização da sua empresa. Para que um usuário cadastrado em um domínio receber permissões
para acessar recursos em outros domínios, o Windows 2000 Server cria e mantém relações de con-
fiança entre os diversos domínios. As relações de confiança são bidirecionais e transitivas. Isso sig-
nifica se o domínio A confia no domínio B, o qual por sua vez confia em um domínio C, então o
domínio A também confia no domínio C. Isso é bastante diferente do que acontecia até o NT Ser-
ver 4.0, uma vez que as relações de confiança tinham que ser criadas e mantidas pelos administra-
dores dos domínios, uma a uma. Era um trabalho e tanto, o que dificultava a implementação de
relações de confiança em uma rede com muitos domínios.
Todo domínio têm as seguintes características:
l Todos os objetos de uma rede (contas de usuários, grupos, impressoras, políticas de segurança,
etc.) fazem parte de um único domínio. Cada domínio somente armazena informações sobre
os objetos do próprio domínio.
l Cada domínio tem suas próprias políticas de segurança.
ÁRVORE DE DOMÍNIOS
Quando existem diversos domínios ligados através de relações de confiança, criadas e mantidas
automaticamente pelo Active Directory, temos uma Árvore de Domínios. Uma árvore nada mais
é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows 2000 Ser-
ver, os quais “compartilham um espaço de nome.”
Vou explicar em detalhes o que significa a expressão “compartilham um espaço de nome”. Primei-
ramente observe a Figura 1.9.
microsoft.com
vendas.microsoft.com suporte.microsoft.com
sistema.vendas.microsoft.com windows.suporte.microsoft.com
office.vendas.microsoft.com office.suporte.microsoft.com
Figura 1.9 Todos os domínios de uma árvore compartilham um espaço de nomes em comum.

Observe que é exibida uma árvore com sete domínios. Mas o que significa mesmo “compartilham
um espaço de nome”?
Observe que o domínio inicial é microsoft.com. Os domínios seguintes são: vendas.micro-

soft.com e suporte.microsoft.com. Quando é formada uma hierarquia de domínios, compartilhar
um espaço de nomes, significa que os nomes dos objetos-filho (de segundo nível, por exemplo:
vendas.microsoft.com e suporte.microsoft.com) contêm o nome do objet- pai (microsoft.com).
Por exemplo, vendas.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia,
você pode observar que este fato continua verdadeiro. Por exemplo o objeto-filho sistemas.ven-
das.microsoft.com contém o nome do objeto-pai vendas.microsoft.com.
Com isso uma árvore de diretórios deste tipo forma um espaço de nomes contínuo, onde o nome
do objeto-filho sempre contém o nome do objeto-pai.
UNIDADES ORGANIZACIONAIS
Você pode ainda dividir um domínio em “Unidades Organizacionais”. Uma Unidade Organiza-
cional é uma divisão que pode ser utilizada para organizar os objetos de um determinado domí-
nio em um agrupamento lógico para efeitos de administração. Isso resolve uma série de proble-
mas que existiam em redes baseadas no NT Server 4.0. No Windows NT Server 4.0, se um usuário
fosse adicionado ao grupo Administradores (grupo com poderes totais sobre qualquer recurso do
domínio), ele poderia executar qualquer ação em qualquer servidor do domínio. Com a utilização
de Unidades Organizacionais, é possível restringir os direitos administrativos apenas em nível da
unidade organizacional, sem que com isso o usuário tenha poderes sobre todos os demais objetos
do domínio.
Cada domínio pode implementar a sua hierarquia de unidades organizacionais, independente-

mente dos demais domínios, isto é, os diversos domínios que formam uma árvore, não precisam
ter a mesma estrutura hierárquica de unidades organizacionais.
No exemplo da Figura 1.9, o domínio vendas.microsoft.com poderia ter uma estrutura hie-
rárquica de unidades organizacionais, projetada para atender as necessidades do domínio
vendas. Essa estrutura poderia ser completamente diferente da estrutura de unidades organi-
zacionais do domínio suporte.microsoft.com, a qual será projetada para atender as necessi-
dades do domínio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma
que a árvore de domínios e a organização dos domínios em uma hierarquia de unidades or-
ganizacionais possa atender perfeitamente as necessidades da empresa e as particularidades
de cada domínio em questão. A utilização de unidades organizacionais não é obrigatória,
porém altamente recomendada.
Utilize Unidades Organizacionais quando:

l Você quiser representar a estrutura funcional ou geográfica da sua companhia em um domínio.

Sem a utilização de unidades organizacionais, todas as contas de usuários são mantidas e exibi-
das em uma única lista, independente da localização, departamento ou função do usuário.
l Você quiser delegar tarefas administrativas sem para isso ter que dar poderes administrativos
em todo o domínio. Com o uso de unidades organizacionais, você pode dar permissões para
um usuário somente em nível da unidade organizacional.
l Você quiser facilitar e melhor acomodar alterações na estrutura da sua companhia. Por
exemplo, é muito mais fácil mover contas de usuários entre unidades organizacionais do que
entre domínios.
A seguir apresenta o conceito de Unidades Organizacionais, em detalhes.
UNIDADES ORGANIZACIONAIS EM DETALHES

O conceito de Unidade Organizacional foi introduzido no Windows 2000 Server, juntamente
com o Active Directory e veio para solucionar um problema sério de administração existente no
Windows NT Server 4.0.
Com o NT Server 4.0, não havia como atribuir permissões de acesso apenas a uma parte do domí-
nio. Ou você atribuía permissões de administrador no domínio inteiro ou não tinha como atri-
buir permissões de administrador para um usuário apenas para parte dos recursos do domínio.
Imagine uma empresa que tem uma rede, com filiais em todos os estados brasileiros. Por questões
de simplicidade vamos supor que a rede é composta de seis domínios, sendo que em cada domí-
nio estão as filiais de quatro ou mais estados. Vamos supor que um dos domínios seja composto
pelas redes das filiais do RS, SC, PR e SP. Com o NT Server 4.0, você não teria como definir que um
usuário tivesse permissões de administrador somente nos servidores da filial do RS. Uma vez que
você atribuía permissões de administrador, o usuário teria estas permissões em todos os recursos
do domínio. No nosso exemplo, o usuário seria administrador nos servidores das filiais do RS, SC,
PR e SP, ou seja, em todos os servidores do domínio.
Esta situação gerava inconvenientes (e noites de sono perdidas) muito sérios. Era comum a situa-
ção onde um domínio tinha dez ou mais contas de usuários com permissão de administrador.
Ora, eram dez ou mais contas com permissões total em todos os servidores do domínio. Nada bom.
Com a disponibilidade de unidades organizacionais, a partir do Windows 2000 Server, este

problema foi minimizado. Agora você pode criar, dentro do domínio, várias unidades organi-
zacionais. Em seguida, você desloca para dentro de cada unidade organizacional, as contas de
usuários, grupos e computadores, de acordo com critérios geográficos ou funcionais. Em se-
guida você pode delegar tarefas administrativas em nível de unidade organizacional (OU –
Organizational Unit).

Vamos considerar o exemplo anterior, onde tínhamos um domínio formado pelas redes das filiais
do RS, SC, PR e SP. Neste exemplo, o administrador do domínio poderia criar quatro unidades or-
ganizacionais:
l RS
l SC
l PR
l SP
Em seguida, ele move as contas de usuários e computadores e contas de grupos para as respectivas
OUs. O último passo é atribuir permissões de administração em cada OU. Por exemplo, para o
administrador da filial do RS, seriam delegadas permissões de administração na OU RS, para o ad-
ministrador da filial de SC, permissões de administração na OU SC e assim por diante. O diagrama
da Figura 1.10 ilustra a divisão de um domínio em OUs, onde foram criadas três.OUs: RS, SC e PR.
Figura 1.10 Divisão de um domínio em OUs.
No diagrama está representada a divisão do domínio regiao-01.abc.com.br em OUs. Dentro de

uma OU é possível criar outras OUs. Por exemplo, dentro da Unidade Organizacional RS, o admi-
nistrador poderia criar outras unidades organizacionais, tais como: usuários, grupos e computa-
dores. Em seguida, todas as contas de usuários da filial do RS seriam deslocadas para a OU Usuári-
os, dentro da OU RS; todas as contas dos computadores da filial do RS seriam deslocadas para a OU
Computadores, dentro da OU RS e assim por diante.

Observem que, basicamente, a utilização de OUs facilita a descentralização das tarefas adminis-
trativas, através da delegação de tarefas para porções específicas de um domínio (OU). A utiliza-
ção de OUs também desempenha um papel importante no gerenciamento das políticas de segu-
rança, através do uso de Group Polices Objects (GPOs), conforme mostrarei no Capítulo 18.
RELAÇÕES DE CONFIANÇA E FLORESTAS

É através do uso de relações de confiança entre domínios, que é possível o usuário de um domí-
nio fazer o logon com sua conta de usuário e senha, mesmo utilizando um computador de um
outro domínio. Por exemplo, o usuário jsilva está cadastrado no domínio A e viaja para a filial
da empresa, que pertence ao domínio B. O usuário jsilva está utilizando um computador que faz
parte do domínio B. Durante o processo de logon ele informa o seu nome de usuário, senha e se-
leciona o domínio no qual quer fazer o logon (no exemplo o domínio A) e consegue fazer o lo-
gon normalmente.
Como foi possível ao domínio B (mais especificamente a um DC do domínio B), verificar as cre-
denciais do usuário (logon e senha) e permitir o logon? Isso foi possível graças ao mecanismo de
relações de confiança existente no Windows 2000 Server, o qual é muito diferente do que aconte-
cia no Windows NT Server 4.0. Neste item apresentarei em mais detalhes, o mecanismo de rela-
ções de confiança entre domínios no Windows 2000 Server.
COMO ERAM AS RELAÇÕES DE CONFIANÇA NA ÉPOCA DO NT SERVER 4.0?

As relações de confiança no NT Server 4.0 são definidas por três características principais:
l São unilaterais: Se o domínio A confia no domínio B, isso não significa que o domínio B confia
no domínio A automaticamente. Para que haja essa confiança recíproca é preciso criar duas re-
lações de confiança: uma para definir que o domínio A confia no domínio B e outra para defi-
nir que o domínio B confia no domínio A. A Figura 1.11, da ajuda do Windows 2000 Server,
ilustra este conceito.
Neste exemplo Dom A confia em Dom B. Isso significa que as contas do Dom B são “visíveis”
no Dom A, ou seja, é possível atribuir permissões de acesso para as contas do Dom B, para
acessar recursos do Dom A. O contrário não é verdadeiro, ou seja, não é possível atribuir per-
missões de acesso para as contas do Dom A, para acessar recursos do domínio B. Para que isso
fosse possível teria que ser criada mais uma relação de confiança, agora com o Dom B “confi-
ando” nas contas do Dom A. Isso tudo acontece porque as relações de confiança no NT Ser-
ver 4.0 são unilaterais.

DOM A DOM B
Direction of Access
Direction of Trust
Trusting (Resource) Trusted (Account)

Domain Domain
Figura 1.11 Relação de confiança unilateral.
l Não são transitivas: Se o Dom A confia no Dom B e o Dom B confia no domínio C, isso não
implica que o Dom A também confia no Dom C. Para que o Dom A confie no Dom C, uma
relação de confiança entre os dois domínios tem que ser manualmente criada pelo admi-
nistrador.
l Devem ser criadas manualmente pelos administradores: As relações de confiança não são cria-
das automaticamente e devem ser criadas pelos administradores de cada domínio. O processo
é bem trabalhoso. Para que o Dom A possa confiar no Dom B, primeiro o administrador do
Dom B tem que fazer uma configuração “dizendo” que ele aceita que o Dom A confie no Dom
B. O próximo passo é o administrador do Dom A estabelecer a relação de confiança com o Dom
B. Para que o Dom B também possa confiar no Dom A, todo o processo (só que na direção in-
versa) tem que ser repetido.
Para uma rede com dez domínios, para que todos possam confiar em todos os outros, são necessá-
rias 90 relações de confiança. O número de relações de confiança, com base no número de domí-
nios, pode ser calculada pela fórmula a seguir:
n*(n-1)
onde n é o número de domínios.
Para dez domínios teremos:
10*(10-1)
10*9
90
A Figura 1.12, obtida do Resource Kit do Windows 2000 Server, mostra como seria uma árvore de do-
mínios no NT Server 4.0, onde foram implementadas relações de confianças entre todos os domínios:

Explicit Two-Way
Trust Relationships
Between Domains in
Windows NT 4.0
Figura 1.12 Relações de confiança unidirecionais, não transitivas do NT Server 4.0.
E COMO SÃO AS RELAÇÕES DE CONFIANÇA NO WINDOWS 2000 SERVER?

No Windows 2000 Server, as relações de confiança são criadas automaticamente entre os do-
mínios de uma árvore de domínios. As relações são bi-direcionais, ou seja, se o Dom A confia
no Dom B, isso significa que o Dom B também confia no Dom A. As relações de confiança são
transitivas, ou seja se o Dom A confia no Dom B, o qual confia no Dom C, então Dom A tam-
bém confia no Dom C e vice-versa. A Figura 1.13 ilustra as relações de confiança no Win-
dows 2000 Server.
Automatic Transitive
Two-Way
Trust Relationships
Between Domains in
Windows 2000
Figura 1.13 Relações de confiança bidirecionais e transitivas do Windows 2000 Server.

OUTROS TIPOS DE RELAÇÕES DE CONFIANÇA

As relações de confiança criadas automaticamente, entre os domínios de uma árvore no Windows
2000 Server, apresentam as características descritas anteriormente: automaticamente criadas, bi-
direcionais e transitivas.
Porém existem situações em que pode ser necessária a criação de outros tipos de relações de con-
fiança. Por exemplo, pode ser necessária a criação de uma relação de confiança entre um dos do-
mínios da sua rede, com um domínio baseado no Windows NT Server da rede de um fornecedor
ou parceiro de negócio. Ou pode ser necessária a criação de uma relação de confiança entre um
domínio da sua rede (baseado no Windows 2000 Server) com um domínio da rede de outra em-
presa, também baseado no Windows 2000 Server. Neste caso você teria que criar uma relação de
confiança com um domínio em outra árvore de domínios. A seguir vou analisar e exemplificar os
tipos de relações de confiança que existem.
TIPOS PADRÃO DE RELAÇÕES DE CONFIANÇA

Existem dois tipos padrão de relação de confiança, conforme descrito a seguir:
l Transitiva bidirecional entre um Domínio pai e um Domínio filho: Quando o administrador

cria um domínio filho, uma relação de confiança bi-direcional e transitiva é criada, automati-
camente, pelo assistente de instalação do Active Directory. Por exemplo, se você tem um do-
mínio root chamado abc.com e cria um domínio filho chamado vendas.abc.com, o assistente
de instalação do Active Directory, automaticamente cria, durante a criação do domínio ven-
das.abc.com, uma relação de confiança bidirecional e transitiva entre os dominios: abc.com e
vendas.abc.com.
l Transitiva bidirecional entre uma árvore de domínios e o domínio root de uma floresta: Você
pode juntar várias árvores de domínios para formar um floresta. Este tipo de relação de con-
fiança é automaticamente criado, quando você cria um novo domínio em uma floresta já exis-
tente. A relação é estabelecida.
OUTROS TIPOS DE RELAÇÕES DE CONFIANÇA

Existem outros tipos padrão de relação de confiança, conforme descrito a seguir:
l Externa, não transitiva, unidirecional ou bidirecional: Este tipo de relacionamento é criado

com um domínio externo, baseado no Windows NT Server 4.0 ou com um domínio baseado
no Windows 2000 Server ou Windows Server 2003, localizado em outra floresta. Se o domínio
for baseado no NT Server 4.0 a relação será unidirecional, caso contrário será bidirecional.
O exemplo da Figura 1.14 ilustra bem as situações onde pode ser criada uma relação de confi-
ança deste tipo:

Forest 1 Forest 2
Domain A
Domain 1 Domain G
Domain B
Domain D Domain 2 Domain H
Domain C Domain E Domain 3
Wiindows NT 4.0
Domain
Figura 1.14 Relações de confiança externas – unidirecional ou bi-direcional.
l Realm, transitiva ou não transitiva, unidirecional ou bidirecional: Este tipo de relação é criado
entre um domínio baseado no Windows 2000 Server e outros domínios, também baseados no
protocolo Kerberos, como por exemplo o UNIX. O protocolo Kerberos é um padrão de fato que
fornece, dentre outros, serviços de autenticação em um domínio do Windows 2000 Server ou
Windows Server 2003. Outros sistemas operacionais também utilizam o Kerberos. Este tipo de
relacionamento poderia ser utilizado, por exemplo, para que as contas de um domínio basea-
do no UNIX, pudessem receber permissões de acesso em recursos de um domínio baseado no
l Entre florestas, transitiva, unidirecional ou bidirecional: Este tipo de relacionamento é criado
entre os domínios root de duas florestas. Pode ser do tipo unidirecional ou bi-direcional. Se for
do tipo bidirecional, os usuários de uma floresta podem acessar recursos nos domínios da ou-
tra floresta e vice-versa. Um exemplo prático de uso deste tipo de relação de confiança seria
quando é feita a fusão de duas empresas e você precisa permitir que os usuários de uma empre-
sa possam acessar recursos nos servidores da rede da outra empresa e vice-versa.
l Shortcut, transitiva, unidirecional ou bidirecional: Este tipo de relação de confiança é utiliza-
do para melhorar o tempo de logon entre dois domínios, em uma floresta. Considere o exem-
plo da Figura 1.15.
Neste exemplo foram criadas três relações de confiança do tipo Shortcut:

l Entre os domínios B e D.
l Entre os domínios A e 1.
l Entre os domínios D e 2.

Domain A
Domain 1
Domain B
Domain D Domain 2
Domain C Domain E Domain 3
Figura 1.15 Relações de confiança do tipo Shortcut (atalho).
O principal objetivo deste tipo de relação de confiança é otimizar os tempos de logon. No exem-
plo da Figura 5.13, vou analisar o que acontece quando um usuário do Dom B precisa acessar um
recurso no Dom D. O primeiro passo é autenticar o usuário. Se não houver a relação do tipo Short-
cut entre B e D, o Windows 2000 Server precisa percorrer o caminho de relações de confiança na
árvore (de B para A e de A para D), para poder autenticar o usuáro do domínio D. Já com a relação
do tipo shortcut entre B e D, existe um “caminho” direto entre estes dois domínios, o que diminui
o tempo de logon/autenticação. Quanto mais afastados (quanto maior o caminho e o número de
relações de confiança a ser percorrido), mais será reduzido o tempo de logon entre os domínios, se
o administrador criar uma relação de confiança do tipo Shortcut.
Só faz sentido criar este tipo de relação de confiança, se for comum usuários de um domínio acessa-
rem recursos do outro domínio e se o tempo de logon estiver apresentando tempos muito elevados.
SERVIDORES DE CATÁLOGO GLOBAL (GLOBAL CATALOGS)

Pelo que foi visto até aqui, é possível perceber que o Active Directory no Windows 2000 Server é bas-
tante flexível, permitindo que usuários de um domínio acessem recursos em servidores de outro do-
mínio ou até mesmo outra floresta, sem ter que entrar novamente com o seu login e senha. Para que
isso seja possível, o Active Directory mantém uma base com algumas informações sobre objetos de
todos os domínios. Esta base de informações é mantidas em Controladores de Domínio (DCs), confi-
gurados para atuar como Servidores de Catálogo Global (Global Catalog Servers). Nem todo DC é um
Global Catalog, mas para ser Global Catalog tem que ser um DC, não pode ser um Member Server.
Neste item, vou apresentar informações detalhadas sobre os Servidores de Catálogo Global.
Um Servidor de Catálogo Global armazena uma cópia de todos os objetos do Active Directory, de
todos os domínios em uma ou mais árvores de domínios de uma floresta. No Servidor de Catálogo

Domain
controller
enabled as Domain D
Domain
global catalog
Controler
Domain C
Domain B
Domain A
Full domain partition Full domain partition

for domain A for domain A
Partial domain partition

for domain B

for domain C

for domain D
Figura 1.16 Informações armazenadas em um Servidor de Catálogo Global.
Global, fica uma cópia completa de todos os objetos do próprio domínio do servidor e uma cópia
parcial de todos os objetos dos demais domínios. Esta estrutura é indicada na Figura 1.16.
Observe que um servidor que é DC, mas não está configurado como Servidor de Catálogo Global,
contém uma cópia completa de todos os objetos do seu domínio, mas não tem cópia de objetos de
outros domínios. Já um DC, habilitado como Servidor de Catálogo Global, tem, além da cópia
completa dos objetos do seu próprio domínio, cópias parciais de todos os objetos dos demais do-
mínios. Quando se fala em cópias parciais, significa que o Servidor de Catálogo Global mantém
cópia de todos os objetos, mas não de todos os atributos de cada objeto de outro domínio. Por
exemplo, o Servidor de Catálogo Global tem cópia de todos os usuários de outros domínios, mas
para cada usuário apenas algumas atributos (nome, senha, etc.) são armazenados no Catálogo
Global e não todos os atributos.
Os atributos de cada objeto que são copiados para o Catálogo Global são aqueles atributos mais
utilizados para a realização de pesquisas no Active Directory. Por exemplo, nome do usuário,
nome de compartilhamento, tipo da impressora e assim por diante. A definição de quais atributos
são armazenados no Catálogo Global e quais não são é feita no Schema. Conforme mostrarei mais
adiante o Schema é como se fosse (na prática eu considero que é) a definição da estrutura do ban-
co de dados do Active Directory. Falarei mais sobre Schema no próximo item.
Ao armazenar os atributos mais utilizados no Catálogo Global, o Windows 2000 Server au-
menta o desempenho das pesquisa no Active Directory. Se não houvesse um Catálogo Global,

as pesquisas teriam que percorrer todo o caminho da rede, da origem, até encontrar um servi-
dor (um DC) no domínio de destino, e os resultados teriam que percorrer o caminho inverso.
Em redes maiores, com mais domínios, isso representaria um sério problema de desempenho,
além de gerar um excessivo tráfego de rede. Evidentemente que a manutenção do Catálogo
Global atualizado em todos os Servidor de Catálogo Global, gera tráfego de replicação, mas o
resultado final é um ganho de performance e redução do tráfego de rede, em comparação a se o
Catálogo Global não existisse.
Quando um domínio é criado, com a instalação do primeiro DC do domínio, este DC é automati-

camente configurado com Servidor de Catálogo Global. Os próximos DCs do domínio não serão
automaticamente configurados como Servidor de Catálogo Global, mas você poderá configu-
rá-los posteriormente.
PRINCIPAIS FUNÇÕES DESEMPENHADAS POR UM SERVIDOR DE CATÁLOGO GLOBAL

Um Servidor de Catálogo Global desempenha importantes funções, dentre as quais podemos des-
tacar algumas descritas a seguir.
l Pesquisa de objetos no Active Directory: Com o uso de Servidor de Catálogo Global, o usuário é
capaz de pesquisar objetos em todos os domínios de uma floresta. A velocidade das pesquisas
melhora bastante, uma vez que a pesquisa é feita no Servidor de Catálogo Global mais próxi-
mo do usuário, no seu próprio domínio e não no servidor de destino ou no caso de uma pes-
quisa genérica (por exemplo, pesquisar silva no campo Sobrenome dos objetos usuários) em
todos os servidores de todos os domínios.
l Fornece autenticação para nomes de usuários de outro domínio: O Catálogo Global é utilizado
para a resolução de nomes de usuários (ou de outros objetos do Active Directory), quando o
DC que autenticou o usuário não tem informações sobre a referida conta. Por exemplo, se o
usuário jsilva, do domínio vendas.abc.com, precisa fazer o logon como jsilva@ven-
das.abc.com em um computador pertencente ao domínio prod.abc.com, o DC do domínio
prod.abc.com não será capaz de localizar o usuário jsilva@vendas.abc.com (pois o DC do do-
mínio prod.abc.com tem informações somente sobre os usuários do seu próprio domínio e
não dos demais domínios; estas informações estão nos Servidores de Catálogo Global). O DC
no domínio prod.abc.com irá contatar um Servidor de Catálogo Global para poder completar
o processo de logon do usuário jsilva@venda.abc.com, com sucesso.
l Disponibiliza informações sobre os membros dos grupos universais, em um ambiente com
múltiplos domínios: As informações sobre os membros dos grupos locais são armazenadas
apenas no domínio onde o grupo é criado. Por isso que um grupo local somente pode receber
permissões de acesso aos recursos do domínio onde o grupo foi criado. Já as informações so-
bre os membros dos grupos universais são armazenadas somente nos Servidor de Catálogo
Global. Por isso que recomenda-se que sejam inseridos como membros dos grupos univer-
sais, apenas outros grupos e não usuários individualmente. Se forem inseridos usuários indi-

vidualmente, cada vez que um usuário for adicionado ou excluído de um grupo universal,
todas as informações do grupo universal serão replicadas entre todos os Servidor de Catálogo
Global da floresta. Por exemplo, quando um usuário que pertence a um grupo universal faz o
logon em um domínio configurado para o modo Windows 2000 Nativo ou Windows 2000
Server, o Catálogo Global fornece informações sobre grupos universais aos quais conta do
usuário pertence.
Se não estiver disponível um Servidor de Catálogo Global, o computador no qual o usuário faz
o logon irá utilizar as informações armazenadas no cache do computador, caso o usuário já te-
nha feito um logon anterior neste computador. Se for o primeiro logon do usuário neste com-
putador e não estiver disponível um Servidor de Catálogo Global, o usuário não conseguirá fa-
zer o logon no domínio. Ele conseguirá fazer o logon apenas localmente no computador,
usando uma das contas locais ao invés de uma conta do domínio.
Quando a rede é formada por um único domínio, não é necessário que os usuário obtenham infor-
mações sobre os grupos universais durante o logon, a partir de um Servidor de Catálogo Global.
Isso acontece porque quando existe um único domínio, o Active Directory é capaz de detectar que
não existem outros domínios e que não é necessária uma pesquisa no Catálogo Global (uma vez
que a pesquisa pode ser feita no próprio DC que está autenticando o usuário).
l Validação de referências a objetos em uma floresta: O Catálogo Global é utilizado pelos DCs
para validar referências a objetos de outros domínios de uma floresta. Quando um DC trata
com um objeto, onde um dos seus atributos contém referências a um objeto em outro domínio,
esta referência é validada pelo Catálogo Global. Mais uma vez é importante salientar o papel
dos Servidores de Catálogo Global em melhorar o desempenho do Active Directory. Nesta si-
tuação, se não existisse o Catálogo Global, a validação da referência ao objeto teria que ser feita
por um DC do domínio do objeto referenciado. Só nestas situações (muito comuns na utiliza-
ção diária da rede), imagine quanto tráfego de validação seria gerado através dos links de WAN
da rede. Sem contar também a demora adicional até que a validação fosse feita através da rede,
no domínio de destino e a resposta retornasse.
REPLICAÇÃO DE INFORMAÇÕES ENTRE OS SERVIDOR DE CATÁLOGO GLOBAL

Conforme descrito anteriormente, o Catálago Global contém informações completas sobre todos
os objetos do seu domínio e informações parciais sobre todos os objetos dos demais domínios.
Alterações são efetuadas diariamente em diversos objetos da rede. Por exemplo, usuários são re-
nomeados, novos grupos criados, usuários são adicionados ou retirados de grupos e assim por di-
ante. Todas estas alterações tem que ser replicadas entre os vários Servidores de Catálogo Global
de todos os domínios, para que estes estejam sempre atualizados. A estrutura de replicação do Ca-
tálogo Global é criada e gerenciada automaticamente por um processo do Active Directory, co-

nhecido como Knowledge Consistency Checker (KCC). O KCC é responsável por determinar a
melhor “topologia” de replicação do Global Catalog, de tal maneira que a rede não seja sobrecar-
regada com tráfego excessivo devido à replicação.
Algumas considerações devem ser feitas em relação a replicação dos grupos universais. Os grupos
universais e informações sobre os seus membros estão contidos somente no Catálogo Global,
conforme descrito anteriormente. Grupos Globais e Locais são também listados no Catálogo Glo-
bal, porém no Catálogo Global não são armazenadas informações sobre os membros dos grupos
Globais e Locais. Com isso, o tamanho do Catálogo Global é reduzido, bem como o tráfego de re-
plicação associado com a atualização do Catálogo Global. Para recursos e objetos que sofrerão al-
terações constantes, é aconselhável que você utilize grupos Globais e Locais para a definição de
permissões, pois com isso você reduzirá o tráfego de replicação, comparativamente se você utili-
zasse grupos universais. Como as informações sobre os membros dos grupos universais são arma-
zenadas no Catálogo Global, sempre que houver uma alteração na lista de membros de um grupo
universal, será necessário replicar esta informação para todos os servidores de Catálogo Global de
todos os domínios. Isso justifica a recomendação feita anteriormente, de somente adicionar gru-
pos como membros de grupos universais e não usuários.
Além da replicação do Catálogo Global também temos a replicação do Active Directory, onde al-
terações feitas em um DC, devem ser repassadas para todos os demais DCs do domínio. Porém an-
tes de tratar sobre replicação do Active Directory, você deve entender o conceito de site. Este será
o assunto do próximo item.
SITES, REPLICAÇÃO DO ACTIVE DIRECTORY

E ESTRUTURA FÍSICA DA REDE
INTRODUÇÃO E DEFINIÇÃO DE SITES
Florestas, árvores, domínios e unidades organizacionais representam a divisão lógica do Active
Directory, normalmente definida com base em critérios administrativos, ou seja, visando facilitar
a administração dos recursos e usuários da rede. O Active Directory tem também um elemento co-
nhecido como site, o qual é utilizado para representar a divisão física da rede e é muito importan-
te para a implementação de um sistema de replicação otimizado das informações do Active Direc-
tory entre os diversos DCs de um domínio.
Um site no Active Directory é utilizado para representar a estrutura física da rede da empresa. As
informações sobre a topologia da rede, contidas nos objetos site e link entre sites, são utilizadas
pelo Active Directory para a criação de configurações de replicação otimizadas, sempre procuran-
do reduzir o máximo possível o tráfego através dos links de WAN.

Um site normalmente é definido com uma ou mais redes conectadas por um caminho de alta ve-
locidade. O termo alta velocidade é um pouco vago. Na prática, um site está intimamente ligado a
uma localização física, ou seja, uma ou mais redes locais no mesmo prédio ou em prédios de um
campus, interligadas através de um barramento de 10 MBps, 100 MBps (mais comum hoje em
dia) ou de 1GBps (menos comum para uso na rede local). Asasim, um site é definido por um ende-
reço IP e uma máscara de sub-rede, isto é: por uma rede local (podemos ter mais de um conjunto
IP/máscara de sub-rede no mesmo site). No próximo capítulo você aprenderá que uma rede é defi-
nida pelo número IP da rede (por exemplo 10.10.20.0) e por uma máscara de sub-rede (por exem-
plo 255.255.255.0). Um site é formado por um ou mais conjuntos de número de rede/máscara de
sub-rede. Em outras palavras, um site é um conjunto de uma ou mais redes locais conectadas por
um barramento de alta velocidade.
PARA QUE O ACTIVE DIRECTORY UTILIZA SITES?

A utilização de sites e links entre sites facilita a implementação de várias atividades no Active Di-
rectory, dentre as quais destaco as listadas a seguir:
l Replicação: Esta, sem dúvidas, é a principal utilização dos sites. O Active Directory procura
equilibrar a necessidade de manter os dados atualizados em todos os DCs, com a necessidade
de otimizar o volume de tráfego gerado devido a replicação. A replicação entre os DCs de um
mesmo site ocorre mais freqüentemente do que a replicação entre DCs de sites diferentes. Isso
faz sentido, pois os DCs de um mesmo site estão dentro da mesma rede local, conectados por
um barramento de alta velocidade. Por isso é possível fazer a replicação mais freqüentemente.
Já os DCs de sites diferentes estão conectados através de links de WAN de baixa velocidade
(quando comparada com a velocidade do barramento de uma rede local), por isso a replicação
deve ocorrer em intervalos maiores, para evitar um excesso de tráfego e uma sobrecarga nos
links de WAN da rede. Você também pode atribuir diferentes “custos” para os links entre sites,
de tal maneira que a replicação através de links de baixa velocidade ocorra em intervalos maio-
res do que a replicação através de links de maior velocidade. Todas estas possibilidades de con-
figuração são sempre facilitanto a otimização do tráfego de WAN gerado pela replicação.
l Autenticação: A informação sobre sites auxilia o Active Directory a fazer a autenticação dos
usuários de uma maneira mais rápida e eficiente. Quando o usuário faz o logon no domínio, o
Active Directory primeiro tenta localizar um DC dentro do site definido para a rede do usuário.
Com isso, se houver um DC no site do usuário, na maioria das vezes, este DC será utilizado
para autenticar o logon do usuário no domínio, evitando que tráfego de autenticação seja ge-
rado, desnecessariamente, no link de WAN.
DEFINIÇÃO DE SITES UTILIZANDO SUB-REDES

Conforme descrito anteriormente, para o Active Directory, um site é um grupo de computa-
dores “bem conectados”, onde bem conectado significa conectado através de um barramento

de alta velocidade, tal como uma rede local com barramento de 100 Mbps. Normalmente um
site é associado a uma rede local de um escritório da empresa. Um site é definido por uma ou
mais sub-redes. Uma rede é definida pelo endereço de rede mais a máscara de sub-rede, confor-
me será descrito no Capítulo 2. A Figura 1.17 ilustra a utilização de uma sub-rede para a defini-
ção de um site.
172.16.32.0/19, significa 19 bits para a máscara de sub-rede, é o mesmo que escrever

172.16.32.0/255.255.224.0. Os detalhes sobre TCP/IP serão vistos no Capítulo 2.
Active Directory site
Client
172.16.32.0/19
Figura 1.17 Definição de um site.
No Active Directory, você pode criar objetos do tipo sub-rede e do tipo site, utilizando o console
Active Directory Sites and Services. Após criar objetos do tipo sub-rede, você cria um objeto do
tipo site, associando uma ou mais sub-redes com o objeto site que está sendo criado.
A RELAÇÃO ENTRE SITES E DOMÍNIOS

Conforme descrevi anteriormente, o domínio representa uma das divisões lógicas da rede e do
Active Directory, já sites representam a estrutura física da rede. Com isso é possível ter computa-
dores de diferentes domínios dentro do mesmo site, ou diferentes sites dentro do mesmo domí-
nio e outras combinações possíveis.
Repetindo para fixar bem: “No Active Directory, sites estão relacionados com a estrutura física da
rede, já domínios estão relacionados com a estrutura lógica da rede”. Esta separação traz alguns
benefícios, dentre os quais destaco os indicados a seguir:
l É possível manter o design da estrutura lógica, independente da estrutura física, ou seja, altera-
ções em uma das estruturas não irão implicar, necessariamente, alterações na outra estrutura.
Com isso você pode ter computadores de mais de um domínio no mesmo site ou mais de um
site no mesmo domínio e assim por diante.

l A nomeação dos domínios é absolutamente independente da estrutura física/geográfica da

rede, o que facilita alterações na estrutura física, sem que isso implique em um reestruturação
lógica de toda a rede.
l Você pode instalar DCs de múltiplos domínios no mesmo site ou você pode colocar DCs do
mesmo domínio em diferentes sites ou uma combinação destas duas configurações, conforme
ilustrado na Figura 1.18.
Domain
Multiple sites in a single domain.
Site
Single site with multiple domains.

Figura 1.18 Flexibilidade na definição de sites e domínios.
REPLICAÇÃO NO ACTIVE DIRECTORY

A base de dados do Active Directory, com informações completas sobre todos os objetos do Active
Directory, é armazenada nos DCs do domínio. Alterações podem ser efetuadas em qualquer DC.
Estas alterações devem ser replicadas para todos os demais DCs do domínio, de tal maneira que
todos os DCs estejam sincronizados e com uma cópia idêntica da base de dados do Active Direc-
tory. Este processo ocorre o tempo todo, pois alterações no Active Directory são feitas diariamen-
te. Claro que existe um tempo entre o momento em que uma alteração é feita em um DC, até que
esta alteração tenha sido replicada para todos os demais DCs do domínio. A replicação é um pro-
cesso contínuo.
O Active Directory procura determinar, automaticamente, qual a melhor configuração de repli-

cação, procurando obter o menor tempo possível para atualização dos DCs do domínio, mas ba-
lanceando com o volume de tráfego gerado na rede, de tal maneira que o tráfego gerado pela repli-
cação não venha a sobrecarregar os links de WAN.

As configurações de replcação do Active Directory são feitas, automaticamente, pelo processo co-
nhecido como Knowledge Consistency Checker (KCC), que é um processo que roda em todos os
DCs. O KCC automaticamente identifica as configurações de replicação mais eficientes, com base
nas configurações de sites do Active Directory (estrutura física da rede). Por exemplo, a replicação
entre DCs dentro do mesmo site são feitas mais freqüentemente do que entre DCs de sites diferen-
tes. O KCC regularmente recalcula a topologia de replicação para ajustar o processo para quais-
quer alterações que tenham ocorrido na estrutura física da rede, como a criação de novos sites ou a
inserção de novas sub-redes em um site existente.
REPLICAÇÃO DENTRO DO MESMO SITE – INTRA-SITE REPLICATION

Conforme já descrito anteriormente, o KCC trata a replicação dentro do mesmo site, de uma ma-
neira diferente do que a replicação entre sites. Isso devido a diferença da velocidade de conexão
dentro do mesmo site e entre sites (normalmente conectados através de links de WAN).
O KCC define a topologia de replicação dentro de um mesmo site, no formato de um anel

bidirecional. O KCC forma um anel bidirecional entre os vários DCs dentro de um mesmo site. A
replicação intra-site é otimizada para velocidade e as atualizações feitas em um DC do site são au-
tomaticamente repassadas para os demais DCs, com base em um mecanismo de notificação. As
informações de replicação dentro do site não são compactadas, diferentemente do que acontece
com a replicação entre sites diferentes, onde toda a informação de replicação é compactada antes
de ser enviada através do link de WAN.
COMO O KCC CONFIGURA A REPLICAÇÃO INTRA-SITE
O KCC, rodando em cada DC do site, foi projetado para criar uma topologia de replicação in-
tra-site o mais eficiente possível, baseada em um anel bidirecional. Para criar o anel bidirecional,
o KCC tenta criar pelo menos duas conexões de replicação entre cada DC (para tolerância a falhas,
caso uma das conexões esteja indisponível). O KCC também procura evitar que haja mais do que
três DCs no caminho entre dois servidores quaisquer (tecnicamente dizemos que o KCC procura
evitar que haja mais do que três “hops” entre dois DCs quaisquer). Para evitar mais do que três
hops, a topologia de replicação pode incluir conexões do tipo atalho entre dois DCs. O KCC fica
atualizando a topologia de replicação regularmente, buscando sempre a melhor eficiência e a me-
nor latência (menor intervalo de atualização entre os DCs).
DETERMINANDO QUANDO A REPLICAÇÃO INTRA-SITE OCORRE
Alterações feitas no Active Directory têm um impacto direto nos usuários localizados no pró-
prio site, por isso a replicação intra-site é otimizada para a velocidade (menor tempo de latên-

cia). Por exemplo, quando você altera a senha de um usuário em um DC do site, é importante
que esta alteração seja replicada, rapidamente, para todos os demais DCs do site. A replicação
entre os DCs de um site ocorre automaticamente, com base em um mecanismo de notificação. A
replicação intra-site inicia quando uma alteração é feita em um objeto do Active Directory em
um dos DCs do site. Por padrão, o DC onde foi feita a alteração aguarda 15 segundos e então en-
via uma notificação de atualização para o seu parceiro de replicação mais próximo (o DC que
está mais próximo dele, no anel bidirecional criado pelo KCC). Se o DC onde foi feita a alteração
tiver mais do que um parceiro de replicação, as notificações subseqüentes serão enviadas, por
padrão, em intervalos de 3 segundos. Após receber uma notificação de alteração, um parceiro de
replicação envia uma requisição de atualização do Active Directory para o DC onde foi feita a al-
teração. O DC onde foi feita a alteração responde à requisição feita pelo seu parceiro de replica-
ção, enviando os dados sobre a alteração. O intervalo de 3 segundos entre o envio das notifica-
ções de alteração é importante para evitar que um mesmo DCs receba múltiplas notificações de
alteração, simultaneamente.
Algumas alterações são conhecidas como atualizações críticas. Para as atualizações críticas não é
observado o intervalo de 15 segundos antes que o DC onde houve a alteração envie uma notifica-
ção de alteração. Alterações como bloqueio de contas, alterações nas políticas de bloqueio de con-
tas, alterações nas políticas de senha do domínio e alterações de senha são consideradas atualiza-
ções críticas e devem ser replicadas imediatamente.
REPLICAÇÃO ENTRE SITES

O Active Directory trata a replicação entre sites (intersites) de maneira da replicação dentro do
mesmo site (intrasite), pois a velocidade de conexão entre sites geralmente é bem menor do que
dentro do mesmo site.
O KCC cria a topologia de replicação intersite sempre procurando otimizar a utilização dos links
de WAN. A replicação intersite é configurada com base em um agendamento definido pelo KCC.
As informações de replicação são compactadas antes de serem envidas através dos links de WAN,
para reduzir o tráfego nos links de WAN.
COMO A TOPOLOGIA DE REPLICAÇÃO INTERSITE É CRIADA PELO KCC
A topologia de replicação intersite é criada pelo KCC com base nas informações sobre sites e
links entre sites que o administrador cria. Em cada site, um DC é o responsável pela definição da
topologia de replicação intersite. Este DC é conhecido como “Intersite Topology Generator”. O
tempo de replicação intersite pode ser controlado com base nas informações fornecidas quando
o administrador cria os objetos de links entre sites, utilizando o console Active Directory Sites
and Services.

QUANDO A REPLICAÇÃO INTERSITE OCORRE
Para reduzir a utilização dos links de WAN, a replicação intersite ocorre de acordo com um
agendamento prévio e não instantaneamente (ou com base em notificações de alteração)
como no caso da replicação intra-site. Por padrão, a replicação intersite ocorre, em cada link,
a cada 3 horas (180 minutos). O administrador pode alterar este agendamento para adaptar a
replicação à velocidade dos links de WAN da sua rede. Ele também pode definir em que horá-
rios do dia os links entre sites estarão disponíveis para que a replicação aconteça. Por exem-
plo, para escritórios conectados por links de WAN de baixa velocidade, como por exemplo
64 Kbps, você pode ajustar o link de replicação para estar disponível apenas à noite, após o
expediente. Por padrão, um link está configurado para estar disponível 24 horas por dia, 7
dias por semana.
SCHEMA DO ACTIVE DIRECTORY

A definição de todos os objetos do Active Directory e demais informações está contida no
que é conhecido como Schema do Active Directory. O Active Directory utiliza um modelo de
banco de dados hierárquico, diferente do Modelo Relacional de Dados com o qual estamos
mais habituados (Microsoft Access, SQL Server 2000, ORACLE e assim por diante). Mas, me
permitam esta analogia, o Schema é como se fosse (na verdade é) a definição da estrutura do
banco de dados do Active Directory. Por exemplo, a definição do objeto usuário, quais atri-
butos tem este objeto, o tipo de dados de cada atributo e demais informações sobre o objeto
usuário, estão todas contidas no Schema. A definição de cada objeto, de cada atributo está
contida no Schema.
O Schema contém a definição para todos os objetos do Active Directory. Quando você cria um
novo objeto, as informações fornecidas são validadas com base nas definições contidas no Sche-
ma, antes que o objeto seja salvo na base de dados do Active Directory. Por exemplo, se você pre-
encheu um atributo do tipo número, com valores de texto, o Active Directory não irá gravar o ob-
jeto no Active Directory e uma mensagem de erro será exibida.
O Schema é feito de objetos, classes e atributos. O Schema definido por padrão com o Active Di-
rectory contém um número de classes e atributos, os quais atendem às necessidades da maioria
das empresas. Porém o Schema pode ser modificado, o administrador pode modificar as classes
existentes ou adicionar novas classes ou atributos. Qualquer alteração no Schema deve ser cuida-
dosamente planejada, pois alterações feitas no Schema afetam toda a árvore de domínios. Todos
os domínios de uma floresta tem que utilizar o mesmo Schema, ou seja, não podem ser utilizados
diferentes esquemas para os diferentes domínios de uma floresta.

COMO OS OBJETOS DO ACTIVE DIRECTORY SÃO DEFINIDOS NO SCHEMA

No Schema, uma classe de objetos representa uma categoria de objetos do Active Directory, como
por exemplo contas de usuários, contas de computadores, impressoras ou pastas compartilhadas
publicadas no Active Directory e assim por diante. Na definição de cada classe de objetos do Acti-
ve Directory, está contida uma lista de atributos que pode ser utilizada para descrever um objeto
da referida classe (permitam uma analogia: é como se cada classe fosse uma tabela e os atributos
fossem os campos da tabela). Por exemplo, um objeto usuário contém atributos de nome, senha,
validade da conta, descrição, etc. Quando um novo usuário é criado no Active Directory, o usuá-
rio torna-se uma nova instância da classe User do Schema e as informações que você digita sobre o
usuário, tornam-se instâncias dos atributos definidos na classe user.
COMO O SCHEMA É ARMAZENADO NO ACTIVE DIRECTORY

Cada floresta pode conter um único Schema, ou seja, o Schema tem que ser único ao longo de to-
dos os domínios de uma floresta. O Schema é armazenado nas partições de schema do Active Di-
rectory. A partição de schema do Active Directory e a partição de definição do Active Directory
são replicadas para todos os DCs da floresta. Porém um único DC controla a estrutura do Schema,
DC este conhecido como Schema Master. Assim, somente no DC configurado como Schema Mas-
ter é que o administrador poderá fazer alterações no Schema.
CACHE DO SCHEMA
Cada DC mantém uma cópia do Schema na memória do servidor (bem como uma cópia em dis-
co) para melhorar a performance das operações relacionadas ao Schema, tais como validação de
novos objetos. A versão armazenada no cache do servidor é automaticamente atualizada (em in-
tervalos de tempos definidos) cada vez que o Schema é atualizado (o que não ocorre com freqüên-
cia, na verdade, é muito raro fazer alterações no Schema).
CONCLUSÃO
Neste capítulo, você foi apresentado aos principais conceitos do Active Directory. Este conheci-
mento teórico é fundamental e serve de suporte para todos os demais capítulos deste livro, onde
sempre irei utilizar conceitos apresentados neste capítulo. Entender os fundamentos teóricos do
Active Directory é impressindível. Sem isso você até pode seguir uma receita de bolo, passo a pas-
so, mas dificilmente entenderá exatamente o que está fazendo. Sem isso fica muito difícil inter-
pretar e responder corretamente as questões do exame.

Você aprendeu que o Active Directory, basicamente, é uma base de dados e um conjunto de servi-
ços. Na base de dados do Active Directory estão informações sobre todos os objetos da rede, tais
como: usuários, grupos, computadores, impressoras, servidores, domínios, unidades organizaci-
onais e assim por diante. Os serviços do Active Directory permitem a manutenção, atualização e
replicação desta base de dados, além de fornecer serviços de pesquisa de objetos.
Apresentei o conceito de diretório. Você aprendeu que, até mesmo uma lista telefônica, pode ser
considerada um exemplo de diretório. Você também ficou sabendo que, na prática, existem vári-
os diretórios na rede das empresas. Por isso que o usuário é obrigado a utilizar diferentes senhas
para acessar os diferentes sistemas da empresa. De uma maneira simplificada, para cada diretório
existente na rede, uma senha.
Também falei sobre as diferenças entre uma rede baseada no conceito de Workgroup e uma rede
baseada em diretórios. A rede baseada em Workgroup é difícil de administrar, sendo recomenda-
da somente para pequenas redes, onde existe um único servidor e não mais do que dez estações de
trabalho. Já redes baseadas em diretórios podem crescer e atender a milhares de usuários e deze-
nas, até mesmo centenas ou milhares, de servidores.
Neste momento, mostrei o papel do Windows 2000 Server dentro de uma rede baseada em domíni-
os. Um servidor baseado no Windows 2000 Server pode assumir o papel de DC (Domain Controler
– controlador de domínio). No DC, fica uma cópia integral da base de dados do Active Directory.
Esta base pode sofrer alterações, as quais devem ser replicadas para os demais DCs do domínio.
Em seguida, já tratando sobre o Active Directory, apresentei o conceito de Domínio. Você apren-
deu que um domínio, basicamente, é uma divisão lógica da rede. Um domínio consiste também
em uma divisão administrativa e de segurança.
Um domínio pode conter diversos objetos, tais como usuários, grupos de usuários, contas de
computadores e assim por diante. Todas estas informações ficam armazenadas na base de dados
do Active Directory.
A utilização de unidades organizacionais ajuda a eliminar alguns problemas de administração

existentes no NT Server 4.0. Com o uso de unidades organizacionais é possível fazer uma divisão
lógica do domínio, divisão esta baseada em critérios geográficos ou funcionais. Com o uso de uni-
dades organizacionais é possível delegar permissões administrativas a nível da unidade organiza-
cional e não somente no nível de domínio, como ocorria com o NT Server 4.0.
Você pode dividir a rede da sua empresa em vários domínios, criando assim uma árvore de domí-
nios. Mostrei que dentro da árvore deve ser utilizado um espaço de nomes contínuo, no qual o
nome do objeto-filho deve conter todo o nome do objeto-pai.
Seguindo o estudo do Active Directory, apresentei o importante conceito de Catálogo Global.

Pelo menos um DC de cada domínio atua também como Servidor de Catálogo Global. No DC está
a cópia completa da base de dados do domínio do DC. No Servidor de Catálogo Global está a cópia

completa da base de dados do domínio do servidor de Catálogo Global e uma cópia parcial (so-
mente alguns atributos) da base de dados de todos os demais domínios da floresta. O servidor de
Catálogo Global ajuda a reduzir o tráfego de rede e a agilizar as pesquisas realizadas no Active Di-
rectory. O Administrador pode configurar mais DCs do domínio para que também atuem como
servidores de Catálogo Global.
Outro conceito muito importante é o de relações de confiança. Neste tópico, fiz um pequeno his-
tórico sobre como eram as relações de confiança na época do NT Server 4.0. Você aprendeu que,
no NT Server 4.0, as relações de confiança eram unidirecionais, não transitivas e tinham que ser
criadas e mantidas manualmente pelo administrador. Já no Windows 2000 Server, as relações de
confiança são criadas automaticamente, são transitivas e são bidirecionais.
Em seguida, foi o momento de falar sobre a divisão física do Active Directory e sobre replicação.
Domínios, árvores, florestas, etc., constituem a estrutura e a divisão lógica do Active Directory. O
conceito de sites representa a estrutura e a divisão física do Active Directory. O principal objetivo
de dividir a rede em sites é para que o KCC (serviço do Active Directory responsável por determi-
nar um esquema de replicação otimizado) possa determinar qual o melhor esquema de replicação
a ser utilizado, mantendo um equilíbrio entre o tempo de atualização dos DCs e a quantidade de
informações de replicação a ser gerada nos links de WAN.
Repito, os conceitos teóricos vistos neste capítulo são fundamentais e serão necessários em todos os
demais capítulos do livro. Se você ficou com dúvida sobre um dos conceitos, peço que você volte e
releia o referido conceito. É muito importante que você entenda os diversos elementos que com-
põem o Active Directory, tanto em sua estruturação lógica, quanto em sua estruturação física.

Capítulo 2
O Protocolo TCP/IP

INTRODUÇÃO
O exame 70-216 é um exame de redes, ou melhor, de implementação de uma infra-estrutura de
redes baseada no Windows 2000 Server. Por infra-estrutura de rede entende-se todos os serviços
que permitem o funcionamento da rede. Serviços de resolução de nomes (DNS e WINS), serviço
de configuração automática do protocolo TCP/IP nas estações de trabalho (DHCP), serviço de ro-
teamento e acesso remoto (RRAS), e assim por diante. Todos estes serviços são baseados, traba-
lham diretamente com o protocolo TCP/IP.
A Microsoft demorou um pouco a adotar o TCP/IP como protocolo padrão para os seus produtos
(talvez porque não apostasse em um crescimento tão rápido da Internet). Até o NT Server 4.0, o
TCP/IP não era o protocolo padrão. A partir do Windows 2000 Server é que o TCP/IP é adotado
como protocolo padrão e os serviços relacionados ao TCP/IP tornam-se os serviços padrão do
Windows. Por exemplo, é no Windows 2000 Server que o DNS torna-se o serviço de resolução de
nomes utilizado pelas principais componentes do sistema operacional. O serviço de resolução de
nomes utilizado pelo Active Directory é o DNS.
Este é um capítulo para estudarmos os fundamentos do protocolo TCP/IP. Vou iniciar o capítulo
falando sobre aspectos básicos. Vou apresentar conceitos tais como:
l Número IP
l Máscara de sub-rede
l Default gateway
Em seguida, você aprenderá um pouco sobre cálculos com números binários e como o protocolo
TCP/IP utiliza cálculos binários para determinar se dois computadores estão na mesma rede ou
em redes diferentes.
Também apresentarei o conceito de classes de endereços. Você verá que, por padrão, foram defi-
nidas cinco classes de endereços:
l Classe A
l Classe B
l Classe C
l Classe D
l Classe E
Você também aprenderá sobre o importante conceito de roteamento. Apresentarei a definição de

roteador. Através de exemplos práticos você entenderá como funciona o roteamento entre redes
locais que estão interligadas formando uma WAN. Também falarei sobre tabelas de roteamento.

Capítulo 2 – O Protocolo TCP/IP
O próximo passo é entender o conceito de divisão de uma rede em sub-redes. Você verá que, co-
nhecendo a aritmética binária, fica fácil entender como se faz a divisão em sub-redes e em que si-
tuações práticas é necessária.
Para finalizar o capítulo, mostrarei a parte prática de configuração do protocolo TCP/IP no Windows
2000 Server, bem como alguns comandos básicos relacionados com o TCP/IP. Nos demais capítulos
do livro você aprenderá outros comandos relacionados com o TCP/IP e com serviços específicos.
UM VISÃO GERAL DO PROTOCOLO TCP/IP

Vou iniciar fazendo uma apresentação do protocolo TCP/IP, de tal maneira que o leitor possa en-
tender exatamente o que é o TCP/IP e como é configurada uma rede baseada neste protocolo. Nos
demais tópicos deste item, abordarei os seguintes assuntos:
l O Sistema binário de numeração.

l Conversão de binário para decimal.
l Endereços IP e máscara de sub-rede.
l Classes de redes e endereçamento no protocolo IP.
l Aspectos básicos de roteamento.
l Exemplos avançados de roteamento.
l O conceito de sub-rede.
l Exemplos de divisão de uma rede em sub-redes.
Para que os computadores de uma rede troquem informações é necessário que todos adotem as
mesmas regras para o envio e o recebimento de informações. Este conjunto de regras é conhecido
como Protocolo de Comunicação. Falando de outra maneira podemos afirmar:
“Para que os computadores de uma rede possam trocar informações entre si é necessário que to-
dos estejam utilizando o mesmo protocolo de comunicação”.
No protocolo de comunicação estão definidas todas as regras necessárias para que o computador
de destino “entenda” as informações no formato que foram enviadas pelo computador de ori-
gem. Dois computadores, com protocolos diferentes instalados, não serão capazes de estabelecer
uma comunicação e trocar informações.
Antes da popularização da Internet existiam diferentes protocolos sendo utilizados nas redes das
empresas. Os mais utilizados eram os seguintes:
l TCP/IP
l NETBEUI

l IPX/SPX
l Apple Talk
Se colocarmos dois computadores ligados em rede, um com um protocolo (por exemplo, o

TCP/IP), e o outro com um protocolo diferente (por exemplo NETBEUI), estes dois computadores
não serão capazes de estabelecer comunicação e trocar informações. Por exemplo, o computador
com o protocolo NETBEUI instalado não será capaz de acessar uma pasta ou uma impressora com-
partilhada no computador com o protocolo TCP/IP instalado.
À medida que a Internet começou, dia após dia, a tornar-se mais popular com o aumento exponen-
cial do número de usuários e de servidores ligados em rede, o protocolo TCP/IP passou a tornar-se
um padrão de fato, utilizado não só na Internet, como também nas redes internas das empresas, re-
des estas que começavam a ser conectadas à Internet. Como as redes internas precisavam conec-
tar-se à Internet, tinham que usar o mesmo protocolo da Internet, ou seja, TCP/IP.
Dos principais sistemas operacionais do mercado, o UNIX sempre utilizou o protocolo TCP/IP
como padrão. O Windows dá suporte ao protocolo TCP/IP desde as primeiras versões, porém o
TCP/IP somente tornou-se o protocolo padrão a partir do Windows 2000.
No Windows Server 2003 o TCP/IP é automaticamente instalado e não pode ser desinstalado (esta
é uma das novidades do Windows Server 2003).
Ser o protocolo padrão significa que o TCP/IP será instalado automaticamente durante a instala-
ção do sistema operacional, a não ser que um protocolo diferente seja selecionado. Até mesmo o
sistema operacional Novell, que sempre foi baseado no IPX/SPX como protocolo padrão, passou a
adotar o TCP/IP como padrão a partir da versão 5.0.
O que temos hoje, na prática, é a utilização do protocolo TCP/IP na esmagadora maioria das redes,
sendo a sua adoção cada vez maior. Como não poderia deixar de ser, o TCP/IP é o protocolo pa-
drão do Windows 2000, do Windows XP e também do Windows Server 2003.
Para pequenas redes, não conectadas à Internet, é recomendada a adoção do protocolo NETBEUI,
devido a sua simplicidade de configuração e facilidade de administração. Porém esta é uma situa-
ção muito rara, pois dificilmente teremos uma rede isolada, sem conexão com a Internet ou com par-
ceiros de negócios, como clientes e fornecedores.
Agora passaremos a estudar algumas características do protocolo TCP/IP. Veremos que cada equi-
pamento que faz parte de uma rede baseada no TCP/IP tem alguns parâmetros de configuração
que devem ser definidos, para que o equipamento possa comunicar-se com sucesso na rede e tro-
car informações com os demais equipamentos da rede.

CONFIGURAÇÕES DO PROTOCOLO TCP/IP PARA UM COMPUTADOR EM REDE

Quando utilizamos o protocolo TCP/IP como protocolo de comunicação em uma rede de compu-
tadores, temos alguns parâmetros que devem ser configurados em todos os equipamentos (com-
putadores, servidores, hubs, switchs, impressoras de rede, etc.) que fazem parte da rede. Na Figura
2.1, temos uma visão geral de uma pequena rede baseada no protocolo TCP/IP.
Figura 2.1 Uma rede baseada no protocolo TCP/IP.
No exemplo da Figura 2.1 temos uma rede local para uma pequena empresa. Esta rede local não
está conectada a outras redes ou à Internet. Neste caso, cada computador da rede precisa de, pelo
menos, dois parâmetros do protocolo TCP/IP, configurados:
l Número IP
O número IP é um número no seguinte formato:
x.y.z.w
ou seja, são quatro números separados por ponto. Não podem existir duas máquinas, com o mes-
mo número IP, dentro da mesma rede. Caso você configure, por engano, um novo equipamento
com o mesmo número IP de uma máquina já existente, será gerado um conflito de número IP e
um dos equipamentos, muito provavelmente o novo equipamento que está sendo configurado,
não conseguirá se comunicar com a rede. O valor máximo para cada um dos números (x, y, z ou
w) é 255.

Você entenderá o porquê deste valor máximo, mais adiante quando for explicado o sistema de nu-
meração binário.
Uma parte do número IP (1, 2 ou 3 dos 4 números) é a identificação da rede, a outra parte é a iden-
tificação da máquina dentro da rede. O que define quantos dos quatro números fazem parte da
identificação da rede e quantos fazem parte da identificação da máquina é a máscara de sub-rede
(subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura 2.1:
Número IP: 10.200.150.1

Subrede: 255.255.255.0
As três primeiras partes da máscara de sub-rede (subnet) iguais a 255 indicam que os três primeiros
números representam a identificação da rede e o último número é a identificação do equipamen-
to dentro da rede. Para o nosso exemplo teríamos a rede: 10.200.150.0, ou seja, todos os equipa-
mentos do nosso exemplo fazem parte da rede 10.200.150.0 ou, em outras palavras, o número IP
de todos os equipamentos da rede começam com 10.200.150.
Neste exemplo, onde estou utilizando os três primeiros números para identificar a rede e somente
o quarto número para identificar o equipamento, temos um limite de 254 equipamentos que po-
dem ser ligados nesta rede. Observe que são 254 e não 256, pois o primeiro número, 10.200.150.0,
e o último, 10.200.250.255, não podem ser utilizados como números IP de equipamentos de rede.
O primeiro é o próprio número da rede: 10.200.150.0 e o último é o endereço de broadcast:
10.200.150.255. Ao enviar uma mensagem para o endereço de Broadcast, todas as máquinas da
rede receberão a mensagem.
Com base no exposto é possível apresentar a seguinte definição:
“Para se comunicar em uma rede local, baseada no protocolo TCP/IP, todo equipamento deve ter,
pelo menos, um número IP e uma máscara de sub-rede, sendo que todos os equipamentos da rede
devem ter a mesma máscara de sub-rede.
No exemplo da Figura 2.1, observe que o computador com o IP 10.200.150.7 está com uma más-
cara de sub-rede diferente dos demais: 255.255.0.0. Neste caso é como se o computador com o IP
10.200.150.7 pertencesse a outra rede. Na prática o que irá acontecer é que este computador não
conseguirá se comunicar com os demais computadores da rede, por ter uma máscara de sub-rede
diferente dos demais. Este é um dos erros de configuração mais comuns. Se a máscara de sub-rede
estiver incorreta, ou seja, diferente da máscara dos demais computadores da rede, o computador
com a máscara de sub-rede incorreta não conseguirá comunicar-se na rede.
Na Tabela 2.1, temos alguns exemplos de máscaras de sub-rede e do número máximo de equipa-
mentos em cada uma das respectivas redes.

Tabela 2.1 Exemplos de máscara de sub-rede.
Máscara Número de equipamentos na rede

255.255.255.0 254
255.255.0.0 65.534
255.0.0.0 16.777.214
Quando a rede está isolada, ou seja, não está conectada à Internet ou a outras redes externas, atra-
vés de links de comunicação de dados, apenas o número IP e a máscara de sub-rede são suficientes
para que os computadores possam se comunicar e trocar informações.
A conexão da rede local com outras redes é feita através de linhas de comunicação de dados (mais
conhecidos como links de dados). Para que essa comunicação seja possível é necessário um equi-
pamento capaz de enviar informações para outras redes e receber informações destas redes. O
equipamento utilizado para este fim é o roteador (veja detalhes sobre roteamento mais adiante).
Todo pacote de informações que deve ser enviado para outras redes deve, obrigatoriamente, pas-
sar pelo roteador. Todo pacote de informação que vem de outras redes também deve, obrigatoria-
mente, passar pelo roteador. Como o roteador é um equipamento de rede, este também terá um
número IP. O número IP do roteador deve ser informado em todos os demais equipamentos que
fazem parte da rede, para que estes equipamentos possam se comunicar com os redes externas. O
número IP do roteador é informado no parâmetro conhecido como Default Gateway (Gateway
Padrão). Na prática, quando configuramos o parâmetro Default Gateway, estamos informando o
número IP do roteador.
Quando um computador da rede tenta se comunicar com outros computadores/servidores, o pro-

tocolo TCP/IP faz alguns cálculos utilizando o número IP do computador de origem, a máscara de
sub-rede e o número IP do computador de destino (veremos estes cálculos em detalhes, ainda nes-
te capítulo). Se, após feitas as contas, for concluído que os dois computadores fazem parte da mes-
ma rede, os pacotes de informação são enviados para o barramento da rede local e o computador
de destino captura e processa as informações que lhe foram enviadas. Se, após feitas as contas, for
concluído que o computador de origem e o computador de destino, fazem parte de redes diferen-
tes, os pacotes de informação são enviados para o roteador (número IP configurado como Default
Gateway) é o responsável por achar o caminho (a rota) para a rede de destino.
Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP e co-
nectada a outras redes ou a Internet, devemos configurar, no mínimo, os seguintes parâmetros:
l Número IP
l Default Gateway

Em redes empresarias existem outros parâmetros que precisam ser configurados. Um dos parâme-
tros que deve ser informado é o número IP de um ou mais servidores DNS – Domain Name
System. O DNS é o serviço responsável pela resolução de nomes. Toda a comunicação, em redes
baseadas no protocolo TCP/IP, é feita através do número IP. Por exemplo, quando vamos acessar
um site: http://www.juliobattisti.com.br/, tem que haver uma maneira de encontrar o número IP
do servidor onde fica hospedado o site. O serviço que localiza o número IP associado a um nome é
o DNS. Por isso a necessidade de informarmos o número IP de pelo menos um servidor DNS, pois
sem este serviço de resolução de nomes, muitos recursos da rede estarão indisponíveis.
No Capítulo 3, você aprenderá a instalar, configurar e administrar o DNS.
Existem aplicativos antigos que são baseados em um outro serviço de resolução de nomes conhe-
cido como WINS – Windows Internet Name System. O Windows NT Server 4.0 utilizava intensa-
mente o serviço WINS para a resolução de nomes. A partir do Windows 2000 Server, o serviço uti-
lizado é o DNS, porém podem existir aplicações que ainda dependam do WINS. Nestes casos você
terá que instalar e configurar um servidor WINS na sua rede e configurar o IP deste servidor em to-
dos os equipamentos da rede. No Windows Server 2003, o DNS também é o serviço padrão para a
resolução de nomes.
No Capítulo 5, você aprenderá a instalar, configurar e administrar o WINS.
As configurações do protocolo TCP/IP podem ser definidas manualmente, isto é, configurando

cada um dos equipamentos necessários. Esta é uma solução razoável para pequenas redes, porém
pode ser um problema para redes maiores, com um grande número de equipamentos conectados.
Para redes maiores é recomendado o uso do serviço DHCP – Dynamic Host Configuration Proto-
col. O serviço DHCP pode ser instalado em um servidor com o Windows NT Server 4.0, Windows
2000 Server ou Windows Server 2003. Uma vez disponível e configurado, o serviço DHCP fornece
todos os parâmetros de configuração do protocolo TCP/IP para os equipamentos conectados à
rede. Os parâmetros são fornecidos quando o equipamento é inicializado e podem ser renovados
em períodos definidos pelo administrador. Com o uso do DHCP, uma série de procedimentos de
configuração podem ser automatizados, o que facilita a vida do administrador e elimina uma sé-
rie de erros.
No Capítulo 4, você aprenderá a instalar, configurar e administrar o DHCP.
O uso do DHCP também é muito vantajoso quando são necessárias alterações no número IP dos ser-
vidores DNS ou WINS. Vamos imaginar uma rede com 1.000 computadores e que não utiliza o

DHCP, ou seja, os diversos parâmetros do protocolo TCP/IP são configurados manualmente em cada
computador da rede. Agora vamos imaginar que o número IP do servidor DNS foi alterado. Neste caso
o administrador e a sua equipe técnica terão que fazer a alteração do número IP do servidor DNS em
todas as estações de trabalho da rede. Um serviço e tanto. Se esta mesma rede estiver utilizando o ser-
viço DHCP, bastará alterar o número do servidor DNS, nas configurações do servidor DHCP. O novo
número será fornecido para todas as estações da rede, na próxima vez que a estação for reinicializada.
Muito mais simples e prático e, principalmente, com menor probabilidade de erros.
Você pode verificar, facilmente, as configurações do protocolo TCP/IP que estão definidas para o
seu computador (Windows 2000, Windows XP ou Windows Server 2003). Para isso siga os seguin-
tes passos:
1. Faça o logon.
2. Abra o Prompt de comando: Iniciar –> Todos os Programas –> Acessórios –> Prompt de co-
mando.
3. Na janela do Prompt de comando digite o seguinte comando:
ipconfig/all
e pressione Enter
4. Serão exibidas as diversas configurações do protocolo TCP/IP, conforme indicado a seguir,
no exemplo obtido a partir de um dos meus computadores da rede que eu utilizo em casa.
Configuração de IP do Windows
Nome do host: servidor01

Sufixo DNS primário: groza.com
Tipo de nó: híbrido
Roteamento de IP ativado: não
Proxy WINS ativado: não
Lista de pesquisa de sufixo DNS: groza.com
Adaptador Ethernet conexão local:
Sufixo DNS específico de conexão:

Descrição: Realtek RTL8139 Family PCI Fast Ethernet NIC
Endereço físico: 00-E0-7D-9F-6B-7C
DHCP ativado: Não
Endereço IP: 10.204.123.2
Máscara de sub-rede: 255.255.255.0
Gateway padrão: 10.204.123.100
Servidores DNS: 10.204.123.1
10.204.123.3
Servidor WINS primário: 10.204.123.1

O comando ipconfig exibe informações para as diversas interfaces de rede instaladas – placa de
rede, modem, etc. No exemplo anterior temos uma única interface de rede instalada, a qual é re-
lacionada com uma placa de rede Realtek RTL8139 Family PCI Fast Ethernet NIC. Observe que
temos o número IP para dois servidores DNS e para um servidor WINS. Outra informação im-
portante é o endereço físico, mais conhecido como MAC-Address ou endereço da placa. O
MAC-Address é um número que identifica a placa de rede. Os seis primeiros números/letras são
uma identificação do fabricante e os seis últimos uma identificação da placa. Não existem duas
placas com o mesmo MAC-Address, ou seja, este endereço é único para cada placa de rede.
No exemplo da listagem a seguir, temos um computador com duas interfaces de rede. Uma das in-
terfaces é ligada a placa de rede (Realtek RTL8029(AS) PCI Ethernet Adapter), a qual conecta o
computador a rede local. A outra interface é ligada ao fax-modem (WAN (PPP/SLIP) Interface), o
qual conecta o computador à Internet. Para o protocolo TCP/IP a conexão via fax modem aparece
como se fosse mais uma interface de rede, conforme pode ser conferido na listagem a seguir.
Configuração de IP do Windows
Nome do host: servidor

Sufixo DNS primário: groza.com
Tipo de nó: Híbrida
Roteamento de IP ativado: Não
Proxy WINS ativado: Não
Lista de pesquisa de sufixo DNS: groza.com
Ethernet adaptador conexão de rede local:
Sufixo DNS específico de conexão: groza.com

Descrição: Realtek RTL8029(AS) PCI Ethernet Adapter
Endereço físico: 00-00-21-CE-01-11
DHCP ativado: Não
Endereço IP: 10.204.123.1
Gateway padrão:
Servidor WINS primário: 10.204.123.1
PPP adaptador TERRAPREMIUM:
Sufixo DNS específico de conexão:

Descrição: WAN (PPP/SLIP) Interface
Endereço físico: 00-53-45-00-00-00
DHCP ativado: Não
Endereço IP: 200.176.166.146

Gateway padrão: 200.176.166.146

200.177.250.10
NetBIOS por Tcpip: Desativado
Bem, estes são os aspectos básicos do TCP/IP. A seguir, continuaremos o nosso estudo. Só para
ilustrar a importância destes aspectos básicos, coloco um exemplo de questão típica, envolvendo
os conhecimentos básicos do protocolo TCP/IP, que cai em exames de Certificação da Microsoft e
de outros fabricantes:
Questão: A seguir estão as configurações básicas do TCP/IP de três estações de trabalho: micro01,
micro02 e micro03.
Configurações do micro01:
Número IP: 100.100.100.3
Gateway: 100.100.100.1
Número IP: 100.100.100.4
Gateway: 100.100.100.1
Número IP: 100.100.100.5
Gateway: 100.100.100.2
O micro 02 não está conseguindo comunicar com os demais computadores da rede. Já o micro03
consegue comunicar-se na rede local, porém não consegue se comunicar com nenhum recurso de
outras redes, como por exemplo a Internet. Quais alterações você deve fazer para que todos os com-
putadores se comunique normalmente, tanto na rede local quanto com as redes externas?
a) Altere a máscara de sub-rede do micro02 para 255.255.255.0

Altere o Gateway do micro03 para 100.100.100.1
b) Altere a máscara de sub-rede do micro01 para 255.255.240.0

Altere a máscara de sub-rede do micro03 para 255.255.240.0
c) Altere o Gateway do micro01 para 100.100.100.2

Altere o Gateway do micro02 para 100.100.100.2
d) Altere o Gateway do micro03 para 100.100.100.1
e) Altere a máscara de sub-rede do micro02 para 255.255.255.0 Resposta certa: a

Pelo enunciado, o computador micro02 não consegue comunicar com nenhum outro computador
da rede. Este é um sintoma típico de problema na máscara de sub-rede. É exatamente o caso: o mi-
cro02 está com uma máscara de sub-rede 255.255.240.0, diferente da máscara dos demais
computadores. Por isso, está isolado na rede. Já o micro03 não consegue comunicar-se com ou-
tras redes, mas consegue comunicar-se na rede local. Este é um sintoma de que a configuração do
Default Gateway está incorreta. Por isso a necessidade de alterar a configuração do Gateway do
micro03, para que este utilize a mesma configuração dos demais computadores da rede. Obser-
ve como esta questão testa apenas conhecimentos básicos do TCP/IP, tais como Máscara de
sub-rede e Default Gateway.
SISTEMA DE NUMERAÇÃO BINÁRIO

Neste tópico apresentarei os princípios básicos do sistema de numeração binário. Também mos-
trarei como realizar cálculos simples e conversões de binário para decimal e vice-versa. Feita a
apresentação das operações básicas com números binários, mostrarei como o TCP/IP através de
cálculos binários e, com base na máscara de sub-rede (subnet mask), determina se dois computa-
dores estão na mesma rede ou fazem parte de redes diferentes.
Vou iniciar falando do sistema de numeração decimal, para depois fazer uma analogia ao apresen-
tar o sistema de numeração binário.Todos nós conhecemos o sistema de numeração decimal, no
qual são baseados os números que usamos no nosso dia-a-dia, como por exemplo: 100, 259, 1.450
e assim por diante. Você já parou para pensar por que este sistema de numeração é chamado de
sistema de numeração decimal?
Não? Bem, a resposta é bastante simples. Este sistema é baseado em dez dígitos diferentes, por isso
é chamado de sistema de numeração decimal. Todos os números do sistema de numeração deci-
mal são escritos usando-se uma combinação dos seguintes dez dígitos:
0 1 2 3 4 5 6 7 8 9
Dez dígitos = Sistema de numeração decimal.
Vamos analisar como é determinado o valor de um número do sistema de numeração decimal.

Por exemplo, considere o seguinte número:
4538
O valor deste número é formado, multiplicando-se os dígitos do número, de trás para frente (da
direita para a esquerda), por potências de 10, começando com 100. O último dígito (bem à direita)
é multiplicado por 100, o penúltimo por 101, o próximo por 102 e assim por diante. O valor real do
número é a soma destas multiplicações. Observe o esquema indicado na Figura 2.2 que será bem
mais fácil de entender:

Figura 2.2 Como é obtido o valor de um número no sistema decimal.
Observe que 4538 significa exatamente:
4 milhares (103)
+ 5 centenas (102)
+ 3 dezenas (101)
+ 8 unidades (100)
E assim para números com mais dígitos teríamos potências 104, 105, etc. Observe que, multipli-
cando cada dígito por potências de dez, obtemos o número original. Este princípio aplicado ao
sistema de numeração decimal é válido para qualquer sistema de numeração. Se for o sistema de
numeração Octal (baseado em 8 dígitos), multiplica-se por potências de 8: 80, 81, 82 e assim por di-
ante. Se for o sistema Hexadecimal (baseado em 10 dígitos e 6 letras) multiplica-se por potências
de 16, só que a letra A equivale a 10, já que não tem sentido multiplicar por uma letra, a letra B
equivale a 11 e assim por diante.
Bem, por analogia, se o sistema decimal é baseado em dez dígitos, então o sistema binário deve ser
baseado em dois dígitos? Exatamente. Números no sistema binários são escritos usando-se ape-
nas os dois seguintes dígitos:
0 1
Isso mesmo, números no sistema binário são escritos usando-se apenas zeros e uns, como nos
exemplos a seguir:
01011100
11011110
00011111
Também por analogia, se, no sistema decimal, para obter o valor do número, multiplicamos os
seus dígitos, de trás para frente, por potências de 10, no sistema binário fizemos esta mesma ope-
ração, só que baseada em potências de 2, ou seja: 20, 21, 22, 23, 24 e assim por diante.
Vamos considerar alguns exemplos práticos. Como faço para saber o valor decimal do seguinte
número binário: 11001110?
Vamos utilizar a tabelinha indicada na Figura 2.3 para facilitar os nossos cálculos.

Figura 2.3 Determinando o valor decimal do número binário: 11001110.
O número binário 11001110 equivale ao decimal 206. Observe que onde temos 1 a respectiva po-
tência de 2 é somada; onde temos o zero, a respectiva potência de 2 é anulada por ser multiplicada
por zero. Apenas para fixar um pouco mais este conceito, vamos fazer mais um exemplo de con-
versão de binário para decimal.
Converter o número 11100010 para decimal. A resolução está indicada na Figura 2.4.
Figura 2.4 Determinando o valor decimal do número binário: 11100010.
COMO CONVERTER DECIMAL PARA BINÁRIO

Bem, e se tivéssemos que fazer o contrário, converter o número 234 de decimal para binário, qual
seria o binário equivalente??
Nos exemplos deste tópico vou trabalhar com valores de, no máximo, 255, que são valores que po-
dem ser representados por 8 dígitos binários, ou na linguagem do computador 8 bits, o que equiva-
le exatamente a 1 byte. Por isso que cada um dos quatro números que fazem parte do número IP, so-
mente podem ter um valor máximo de 255, que é um valor que cabe em um byte, ou seja, 8 bits.
Existem muitas regras para fazer esta conversão, eu prefiro utilizar uma bem simples, que descre-
verei a seguir e que serve perfeitamente para o propósito deste tópico.
Vamos voltar ao nosso exemplo, como converter 234 para um binário de 8 dígitos?
Eu começo o raciocínio assim. Primeiro, vamos lembrar o valor de cada dígito:

128 64 32 16 8 4 2 1
Lembrando que estes números representam potências de 2, começando, de trás para frente, com
20, 21, 22 e assim por diante, conforme indicado logo a seguir:
128 64 32 16 8 4 2 1
27 26 25 24 23 22 21 20
Pergunto: 128 cabe em 234? Sim, então o primeiro dígito é 1. Somando 64 a 128 passa de 234?
Não, dá 192, então o segundo dígito também é 1. Somando 32 a 192 passa de 234? Não, dá 224,
então o terceiro dígito também é 1. Somando 16 a 224 passa de 234? Passa, então o quarto dígito é
zero. Somando 8 a 224 passa de 234? Não, da 232, então o quinto dígito é 1. Somando 4 a 232 pas-
sa de 234? Passa, então o sexto dígito é zero. Somando 2 a 232 passa de 234? Não, dá exatamente
234, então o sétimo dígito é 1. Já cheguei ao valor desejado, então todos os demais dígitos são
zero. Com isso, o valor 234 em binário é igual a:
11101011
Para exercitar vamos converter mais um número de decimal para binário. Vamos converter o nú-
mero 144 para decimal.
Pergunto: 128 cabe em 144? Sim, então o primeiro dígito é 1. Somando 64 a 128 passa de 144?
Sim, dá 192, então o segundo dígito é 0. Somando 32 a 128 passa de 144? Sim, dá 160, então o ter-
ceiro dígito também é 0. Somando 16 a 128 passa de 144? Não, dá exatamente 144, então o quarto
dígito é 1. Já cheguei ao valor desejado, então todos os demais dígitos são zero. Com isso, o valor
144 em binário é igual a:
10010000
Bem, agora que você já sabe como converter de decimal para binário, está em condições de apren-
der sobre o operador “E” e como o TCP/IP usa a máscara de sub-rede (subnet mask) e uma opera-
ção “E”, para verificar se duas máquinas estão na mesma rede ou não.
OPERADOR E
Existem diversas operações lógicas que podem ser feitas entre dois dígitos binários, sendo as mais
conhecidas as seguintes: “E”, “OU”, “XOR” e “NOT”.
Para o nosso estudo interessa o operador E. Quando realizamos um “E” entre 2 bits, o resultado so-
mente será 1, se os 2 bits forem iguais a 1. Se pelo menos um dos bits for igual a zero, o resultado
será zero. Na Figura 2.5, temos todos os valores possíveis da operação E entre dois bits.

Figura 2.5 Operador lógico E.
COMO O TCP/IP USA A MÁSCARA DE SUB-REDE

Considere a Figura 2.6, onde mostro a representação de uma rede local, ligada a uma outras redes
através de um roteador.
Figura 2.6 Roteador ligando duas ou mais redes locais.
É apresentada uma rede que usa como máscara de sub-rede 255.255.255.0 (uma rede classe C).
[Ainda não abordamos as classes de redes, o que será feito mais adiante]. A rede é a 10.200.150.0,
ou seja, todos os equipamentos da rede tem as três primeiras partes do número IP iguais a:
10.200.150. Veja que existe uma relação direta entre a máscara de sub-rede a quantas das quatro
partes do número IP são fixas, ou seja, que definem a rede, conforme foi descrito anteriormente.
A rede da Figura 2.6 é uma bastante comum, onde existe um roteador ligado à rede e o roteador
está conectado a um modem, através do qual é feita a conexão da rede local com a rede WAN da
empresa, utilizando uma linha de dados (link de comunicação).

COMO O TCP/IP USA A MÁSCARA DE SUB-REDE E O ROTEADOR

Quando dois computadores tentam trocar informações em uma rede, o TCP/IP precisa, primeiro,
“calcular” se os dois computadores pertencem a mesma rede ou a redes diferentes. Neste caso po-
demos ter duas situações distintas:
l Situação 1: Os dois computadores pertencem a mesma rede: Neste caso, o TCP/IP envia o paco-
te para o barramento da rede local. Todos os computadores recebem o pacote, mas somente o
destinatário do pacote (o destinatário é identificado pelo campo IP de destino, contido no pa-
cote de informações) é que o captura o pacote e passa-o para processamento pelo Windows e
pelo programa de destino. Como é que o computador sabe se ele é ou não o destinatário do pa-
cote? Muito simples, no pacote de informações está contido o endereço IP do destinatário. Em
cada computador, o TCP/IP compara o IP de destinatário do pacote com o IP do computador,
para saber se o pacote é ou não para o respectivo computador.
l Situação 2: Os dois computadores não pertencem a mesma rede: Neste caso, o TCP/IP envia o
pacote para o roteador (endereço do Default Gateway configurado nas propriedades do
TCP/IP) e este se encarrega de fazer o pacote chegar à rede de destino. Mais adiante mostrarei
detalhes sobre como o roteador é capaz de rotear pacotes de informações até redes distantes.
Agora a pergunta que tem a ver com este tópico:
“Como é que o TCP/IP faz para saber se o computador de origem e o computador de destino per-
tencem a mesma rede?”
Vou usar alguns exemplos práticos para explicar como o TCP/IP faz isso.
Exemplo 1: Com base na Figura 2.6, suponha que o computador cujo IP é 10.200.150.5 (origem)
queira enviar pacotes de informações para o computador cujo IP é 10.200.150.8 (destino), ambos
com máscara de sub-rede igual a 255.255.255.0.
O primeiro passo é converter o número IP das duas máquinas e da máscara de sub-rede para binário.
Com base nas regras que vimos anteriormente, teríamos as conversões indicadas na Figura 2.7.
Feitas as conversões para binário, vou mostrar que tipo de cálculos o TCP/IP faz, para determinar
se o computador de origem e o computador de destino estão na mesma rede.
Em primeiro lugar, é feita uma operação “E”, bit a bit, entre o número IP e a máscara de sub-rede
do computador de origem, conforme indicado na Figura 2.8.

Figura 2.7 Convertendo o IP de destino, IP de origem e máscara de sub-rede para binário.
Figura 2.8 Operação “E” entre o número IP de origem e a máscara de sub-rede.
Em seguida é feita uma operação “E”, bit a bit, entre o número IP e a máscara de sub-rede do com-
putador de destino, conforme indicado na Figura 2.9
Figura 2.9 Operação “E” entre o número IP de destino e a máscara de sub-rede.
Agora o TCP/IP compara os resultados das duas operações. Se os dois resultados forem iguais, isto
significa que os dois computadores, origem e destino, pertencem a mesma rede local. Neste caso,
o TCP/IP envia o pacote para o barramento da rede local. Todos os computadores recebem o paco-
te, mas somente o destinatário do pacote é que o captura e passa para processamento pelo Win-
dows e pelo programa de destino. Como é que o computador sabe se é ou não o destinatário do
pacote? Muito simples, no pacote de informações está contido o endereço IP do destinatário. Em
cada computador, o TCP/IP compara o IP de destinatário do pacote com o IP do computador, para
saber se o pacote é ou não para o respectivo computador.
É o que acontece neste exemplo, pois o resultado das duas operações “E” é igual: 10.200.150.0, ou
seja, os dois computadores pertencem à rede: 10.200.150.0.

Como você já deve ter adivinhado, agora vamos a um exemplo, onde os dois computadores não
pertencem a mesma rede, pelo menos devido às configurações do TCP/IP.
Exemplo 2: Suponha que o computador cujo IP é 10.200.150.5 (origem) queira enviar um pacote
de informações para o computador cujo IP é 10.204.150.8 (destino), ambos com máscara de
sub-rede igual a 255.255.255.0.
O primeiro passo é converter o número IP das duas máquinas e da máscara de sub-rede para binário.
Com base nas regras que vimos anteriormente, teríamos as conversões indicadas na Figura 2.10.
Figura 2.10 Convertendo o IP de destino, IP de origem e máscara de sub-rede para binário.
Feitas as conversões para binário, vamos ver que tipo de cálculos o TCP/IP faz para determinar se o
computador de origem e o computador de destino estão na mesma rede.
Em primeiro lugar é feita uma operação “E”, bit a bit, entre o número IP e a máscara de sub-rede do
computador de origem, conforme indicado na Figura 2.11.
Agora é feita uma operação “E”, bit a bit, entre o número IP e a máscara de sub-rede do computa-
dor de destino, conforme indicado na Figura 2.12.

Agora o TCP/IP compara os resultados das duas operações. Neste exemplo, os dois resultados são di-
ferentes: 10.200.150.0 e 10.204.150.0. Nesta situação, o TCP/IP envia o pacote para o roteador (en-
dereço do Default Gateway configurado nas propriedades do TCP/IP) e este se encarrega de fazer o
pacote chegar através do destino. Em outras palavras, o roteador sabe entregar o pacote para a rede
10.204.150.0 ou sabe para quem enviar (um outro roteador), para que este próximo roteador possa
encaminhar o pacote. Este processo continua até que o pacote seja entregue na rede de destino.
Observe que, na Figura 2.12, temos dois computadores que, apesar de estarem fisicamente na
mesma rede, não conseguirão se comunicar devido a um erro de configuração na máscara de
sub-rede de um dos computadores. É o caso dos computador 10.200.150.4 (com máscara de
sub-rede 255.255.250.0). Como este computador está com uma máscara de sub-rede diferente
dos demais computadores da rede (os quais estão com máscara: 255.255.255.0), ao fazer os cálcu-
los, o TCP/IP chega a conclusão que este computador pertence a uma rede diferente, o que faz
com que este não consiga se comunicar com os demais computadores da rede local.
ENDEREÇAMENTO IP – CLASSES DE ENDEREÇOS

Neste item, vou falar sobre o endereçamento IP. Mostrarei que, inicialmente, foram definidas
classes de endereços IP. Porém, devido a uma possível falta de endereços, por causa do grande
crescimento da Internet, novas alternativas tiveram que ser buscadas, sendo uma delas a criação
de uma nova versão do protocolo IP, o IP v6 (versão 6). O Windows Server 2003 dá suporte com-
pleto ao IP v6.
Mostrei anteriormente que a máscara de sub-rede é utilizada para determinar qual “parte” do en-
dereço IP representa o número da rede e qual parte representa o número da máquina dentro da
rede. A máscara de sub-rede também foi utilizada na definição original das classes de endereço IP.
Em cada classe existe um determinado número de redes possíveis e, em cada rede, um número
máximo de máquinas.
Foram definidas cinco classes de endereços, identificadas pelas letras: A, B, C, D e E. Vou iniciar com
uma descrição detalhada de cada classe de endereços e, em seguida, apresento um quadro resumo.

REDES CLASSE A
Esta classe foi definida contendo o primeiro bit do número IP (dos 32 bits, ou seja, quatro núme-
ros de 8 bits) como sendo igual a zero. Com isso, o primeiro número IP somente poderá variar de 1
até 126 (na prática até 127, mas o número 127 é um número reservado, conforme detalharei mais
adiante). Observe, no esquema da Figura 2.13 (explicado anteriormente), que o primeiro bit sen-
do 0, o valor máximo (quando todos os demais bits são iguais a 1) a que se chega é de 127.
Figura 2.13 Redes Classe A – primeiro bit é sempre igual a 0.
O número 127 não é utilizado como rede Classe A, pois é um número especial, reservado para fa-
zer referência ao próprio computador. O número 127.0.0.1 é um número especial, conhecido
como localhost. Assim, sempre que um programa fizer referência a localhost ou ao número
127.0.0.1, estará fazendo referência ao próprio computador onde o programa está instalado.
Por padrão, para a Classe A, foi definida a seguinte máscara de sub-rede: 255.0.0.0. Com esta más-
cara de sub-rede observe que temos 8 bits para o endereço da rede e 24 bits para o endereço das
máquinas dentro da rede. Com base no número de bits para a rede e para as máquinas, podemos
determinar quantas redes Classe A podem existir e qual o número máximo de máquinas por rede.
Para isso utilizamos a fórmula a seguir:
2n– 2.
onde “n” representa o número de bits utilizado para a rede ou para a identificação da máquina
dentro da rede. Vamos aos cálculos.
Número de redes Classe A:
Número de bits para a rede: 7. Como o primeiro bit sempre é zero, este não varia. Por isso sobram 7
bits (8-1) para formar diferentes redes:
27– 2 –> 128 – 2 –> 126 redes Classe A
Número de máquinas (hosts) em uma rede Classe A:
Número de bits para identificar a máquina: 24.
224– 2 –> 128 – 2 – > 16.777.214 máquinas em cada rede Classe A.

Na Classe A, temos apenas um pequeno número de redes disponíveis – 126, porém um grande nú-
mero de máquinas em cada rede – 16.777.214.
Com isso você pode concluir que, este número de máquinas, na prática, jamais será instalado em
uma única rede. Observe que, com este esquema de endereçamento, teríamos poucas redes Classe
A (apenas 126) e com um número muito grande de máquinas em cada rede. Isso causaria desper-
dício de endereços, pois se o endereço de uma rede Classe A fosse disponibilizado para um empre-
sa, esta utilizaria apenas uma pequena parcela dos endereços disponíveis e todos os demais ende-
reços ficariam sem uso.
REDES CLASSE B
Esta classe de rede foi definida contendo os dois primeiros bits do número IP como sendo sempre
iguais a 1 e 0. Com isso o primeiro número do endereço IP somente poderá variar de 128 até 191.
Como o segundo bit é sempre 0, o valor do segundo bit, que é 64, nunca é somado para o primeiro
número IP, com isso o valor máximo fica em: 255-64, que é o 191. Observe, no esquema da Figura
2.14, explicado anteriormente, que o primeiro bit sendo 1 e o segundo sendo 0, o valor máximo
(quando todos os demais bits são iguais a 1) a que se chega é de 191.
Figura 2.14 Redes Classe B – segundo bit é sempre igual a 0.
Por padrão, para a Classe B, foi definida a seguinte máscara de sub-rede: 255.255.0.0. Com esta
máscara de sub-rede observe que temos 16 bits para o endereço da rede e 16 bits para o endereço
das máquinas dentro da rede. Com base no número de bits para a rede e para as máquinas, pode-
mos determinar quantas redes Classe B podem existir e qual o número máximo de máquinas por
rede. Para isso utilizamos a fórmula a seguir:
2n – 2,


Número de redes Classe B:
Número de bits para a rede: 14. Como o primeiro e o segundo bit são sempre 10, fixos, não variam,
sobram 14 bits (16-2) para formar diferentes redes:
214– 2 –> 16.384-2 –> 16.382 redes Classe B
Número de máquinas (hosts) em uma rede Classe B:
216 – 2 –> 65.536-2 –> 65.534 máquinas em cada rede Classe B
Na Classe B, temos um número razoável de redes Classe B, com um bom número de máquinas em
cada rede.
O número máximo de máquinas, por rede Classe B, já está mais próximo da realidade para as redes de
algumas grandes empresas tais como Microsoft, IBM, HP, GM, etc. Mesmo assim, para muitas empre-
sas menores, a utilização de um endereço Classe B representa um grande desperdício de números IP.
REDES CLASSE C
Esta classe foi definida contendo os três primeiros bits do número IP como sendo sempre iguais a
1, 1 e 0. Com isso o primeiro número do endereço IP somente poderá variar de 192 até 223. Como
o terceiro bit é sempre 0, o valor do terceiro bit que é 32 nunca é somado para o primeiro número
IP, com isso o valor máximo fica em: 255-32, que é 223. Observe, no esquema indicado na Figura
2.15, explicado anteriormente, que o primeiro bit sendo 1, o segundo bit sendo 1 e o terceiro bit
sendo 0, o valor máximo (quando todos os demais bits são iguais a 1) a que se chega é de 223.
Figura 2.15 Redes Classe C – terceiro bit é sempre igual a 0.
Por padrão, para a Classe C, foi definida a seguinte máscara de sub-rede: 255.255.255.0. Com esta
máscara de sub-rede observe que temos 24 bits para o endereço da rede e apenas 8 bits para o ende-
reço da máquina dentro da rede. Com base no número de bits para a rede e para as máquinas, po-
demos determinar quantas redes Classe C podem existir e qual o número máximo de máquinas
por rede. Para isso utilizamos a fórmula a seguir:


2n – 2,
Número de redes Classe C:
Número de bits para a rede: 21. Como o primeiro, o segundo e o terceiro bit são sempre 110, ou
seja, fixos, não variam, sobram 21 bits (24-3) para formar diferentes redes:
221 – 2 –> 2.097.152-2 –> 2.097.150 redes Classe C
Número de máquinas (hosts) em uma rede Classe C:
28 – 2 –> 256 – 2 –> 254 máquinas em cada rede Classe C
Observe que, na Classe C, temos um grande número de redes disponível, com, no máximo, 254 má-
quinas em cada rede. É o ideal para empresas de pequeno e médio porte. Mesmo com a Classe C,
pode existir um grande desperdício de endereços. Imagine uma pequena empresa com apenas 20
máquinas em rede. Usando um endereço Classe C, estariam sendo desperdiçados 234 endereços.
REDES CLASSE D
Esta classe foi definida contendo os quatro primeiros bits do número IP como sendo sempre
iguais a 1, 1, 1 e 0. A classe D é uma classe especial, reservada para os chamados endereços de
Multicast.
REDES CLASSE E
Esta classe foi definida contendo os quatro primeiros bits do número IP como sendo sempre
iguais a 1, 1, 1 e 1. A classe E é uma classe especial e está reservada para uso futuro.
Na Figura 2.16, é apresentado um quadro resumo das classes de endereço IP.
Figura 2.16 Quadro resumo das classes de redes.


ENDEREÇOS ESPECIAIS
Existem alguns endereços IP especiais, reservados para funções específicas e que não podem ser
utilizados como endereços de uma máquina da rede. A seguir descrevo estes endereços.
l Endereços da rede 127.0.0.0: Este endereço é utilizado como um aliás (apelido), para fazer refe-
rência a própria máquina. Normalmente é utilizado o endereço 127.0.0.1, o qual é associado
ao nome localhost. Esta associação é feita através do arquivo hosts. No Windows 95/98/Me, o
arquivo hosts está na pasta onde o Windows foi instalado e, no Windows NT/2000/XP/2003,
este arquivo está no seguinte caminho: system32/drivers/etc, dentro da pasta onde o Win-
dows foi instalado.
l Endereço com todos os bits destinados à identificação da máquina, iguais a 0: Um endereço
com zeros em todos os bits de identificação da máquina, representa o endereço da rede. Por
exemplo, vamos supor que você tenha uma rede Classe C. O número IP da máquina pertence a
esta rede é 200.220.150.3. Neste caso, o endereço da rede é: 200.220.150.0, ou seja, zero na par-
te destinada a identificação da máquina. Sendo uma rede Classe C, a máscara de sub-rede é
255.255.255.0.
l Endereço com todos os bits, destinados à identificação da máquina, iguais a 1: Um endereço
com valor 1 em todos os bits de identificação da máquina, representa o endereço de broadcast.
Por exemplo, vamos supor que você tenha uma rede Classe C. A máquina a seguir é uma má-
quina desta rede: 200.220.150.3. Neste caso, o endereço de broadcast desta rede é o seguinte:
200.220.150.255, ou seja, todos os bits da parte destinada à identificação da máquina, iguais a
1. Sendo uma rede Classe C, a máscara de sub-rede é 255.255.255.0. Ao enviar uma mensagem
para o endereço de broadcast, a mensagem é endereçada para todas as máquinas da rede.
O PAPEL DO ROTEADOR EM UMA REDE DE COMPUTADORES

Neste item, vou falar sobre roteamento. Falarei sobre o papel dos roteadores na ligação entre redes
locais (LANs) para formar uma WAN. Mostrarei um exemplo básico de roteamento.
Mostrei anteriormente que a máscara de sub-rede é utilizada para determinar qual “parte” do en-
dereço IP representa o número da Rede e qual parte representa o número da máquina dentro da
rede. A máscara de sub-rede também foi utilizada na definição original das classes de endereço IP.
Em cada classe, existe um determinado número de redes possíveis e, em cada rede, um número
máximo de máquinas. Com base na máscara de sub-rede o protocolo TCP/IP determina se o com-
putador de origem e o de destino estão na mesma rede local. Com base em cálculos binários, o
TCP/IP pode chegar a dois resultados distintos, descritos a seguir.
l O computador de origem e de destino estão na mesma rede local: Neste caso, os dados são en-
viados para o barramento da rede local. Todos os computadores da rede recebem os dados. Ao
receber os dados, cada computador analisa o campo número IP do destinatário. Se o IP do des-


tinatário for igual ao IP do computador, os dados são capturados e processados pelo sistema,
caso contrário são simplesmente descartados. Observe que, com este procedimento, apenas o
computador de destino é que efetivamente processa os dados enviados, os demais computado-
res simplesmente descartam os dados.
l O computador de origem e de destino não estão na mesma rede local: Neste caso, os dados são
enviados para o equipamento com o número IP configurado no parâmetro Default Gateway
(Gateway Padrão). Se após os cálculos baseados na máscara de sub-rede, o TCP/IP chegar a con-
clusão que o computador de destino e o computador de origem não fazem parte da mesma
rede local, os dados são enviados para o Default Gateway, o qual será encarregado de encontrar
um caminho para enviar os dados até o computador de destino. Esse “encontrar o caminho“ é
tecnicamente conhecido como rotear os dados até o destino. O responsável por “rotear” os da-
dos é o equipamento que atua como Default Gateway, o qual é conhecido como Roteador.
Com isso, fica fácil entender o papel do roteador.
“É o responsável por encontrar um caminho entre a rede onde está o computador que enviou
os dados e a rede onde está o computador que irá receber os dados.”
Quando ocorre um problema com o roteador, tornando-o indisponível, você consegue se comu-
nicar normalmente com os demais computadores da rede local, porém não conseguirá comuni-
cação com outras redes de computadores, como por exemplo a Internet.
EXPLICANDO ROTEAMENTO – UM EXEMPLO PRÁTICO

Vou apresentar a explicação sobre como o roteamento funciona, através da análise de um exem-
plo simples. Vamos imaginar a situação de uma empresa que tem a matriz em SP e uma filial no RJ.
O objetivo é conectar a rede local da matriz em SP com a rede local da filial no RJ, para permitir a
troca de mensagens e documentos entre os dois escritórios. Nesta situação, o primeiro passo é
contratar um link de comunicação entre os dois escritórios. Em cada escritório deve ser instalado
um roteador. E finalmente, os roteadores devem ser configurados para que seja possível a troca de
informações entre as duas redes. Na Figura 2.17, apresento a ilustração desta pequena rede de lon-
ga distância (WAN). Em seguida, vou explicar como funciona o roteamento entre as duas redes:.
Nesta pequena rede, temos um exemplo simples de roteamento, mas muito a explicar. Então vamos lá.
Como está configurado o endereçamento das redes locais e dos roteadores?
l Rede de SP: Esta rede utiliza um esquema de endereçamento 10.10.10.0, com máscara de
sub-rede 255.255.255.0. Observe que, embora, teoricamente, seria uma rede Classe A (primei-
ro número na faixa de 1 a 126), está sendo utilizada uma máscara de sub-rede Classe C.
l Rede de RJ: Esta rede utiliza um esquema de endereçamento 10.10.20.0, com máscara de
sub-rede 255.255.255.0. Observe que, embora, teoricamente, seria uma rede Classe A, está sen-
do utilizada uma máscara de sub-rede Classe C.


Figura 2.17 Interligando duas redes locais para formar a WAN da empresa.
l Roteadores: Cada roteador tem duas interfaces. Uma é a chamada interface de LAN (rede lo-
cal), a qual conecta o roteador com a rede local. A outra é a interface de WAN (rede de longa
distância), a qual conecta o roteador com o link de dados. Na interface de rede local, o roteador
deve ter um endereço IP da rede interna. No roteador de SP, o endereço é 10.10.10.1. Não é
obrigatório, mas é um padrão normalmente adotado, utilizar o primeiro endereço da rede para
o roteador. No roteador do RJ, o endereço é 10.10.20.1
l Rede dos roteadores: Para que as interfaces externas dos roteadores possam se comunicar, estes
devem fazer parte de uma mesma rede, isto é, devem compartilhar um esquema de endereça-
mento comum. As interfaces externas dos roteadores (interfaces WAN), fazem parte da rede
10.10.30.0, com máscara de sub-rede 255.255.255.0.
l Na verdade – três redes: Com isso temos, na prática, três redes conforme resumido a seguir:
SP: 10.10.10.0/255.255.255.0
RJ: 10.10.20.0/255.255.255.0
Interfaces WAN dos Roteadores: 10.10.30.0/255.255.255.0
l Na prática, é como se a rede 10.10.30.0 fosse uma “ponte” entre as duas outras redes.
Como é feita a interligação entre as duas redes?
Vou utilizar um exemplo prático, para mostrar como é feito o roteamento entre as duas redes.
Exemplo: Vou analisar como é feito o roteamento, quando um computador da rede em SP, precisa
acessar informações de um computador da rede no RJ. O computador SP-01 (10.10.10.5) precisa aces-
sar um arquivo que está em uma pasta compartilhada do computador RJ-02 (10.10.20.12). Como é
feito o roteamento, de tal maneira que estes dois computadores possam trocar informações?


Acompanhe os passos descritos a seguir:
1. O computador SP-01 é o computador de origem, e o computador RJ-02 é o computador de

destino. A primeira ação do TCP/IP é fazer os cálculos para verificar se os dois computado-
res estão na mesma rede, conforme explicado anteriormente. Os seguintes dados são utili-
zados para realização destes cálculos:
SP-01: 10.10.10.5/255.255.255.0
RJ-02: 10.10.20.12/255.255.255.0
2. Feitos os cálculos, o TCP/IP chega a conclusão de que os dois computadores pertencem a re-
des diferentes: SP-01 pertence a rede 10.10.10.0 e RJ-02 pertence a rede 10.10.20.0.
3. Como os computadores pertencem a redes diferentes, os dados devem ser enviados para o
roteador da rede 10.10.10.0, que é a rede do computador de origem.
4. No roteador de SP, chega o pacote de informações com o IP de destino: 10.10.20.12. O rote-

ador precisa consultar a sua tabela de roteamento e verificar se conhece um caminho para a
rede 10.10.20.0, ou seja, se sabe para quem enviar um pacote de informações, destinado a
rede 10.10.20.0.
5. O roteador de SP tem, em sua tabela de roteamento, a informação de que pacotes para a

rede 10.10.20.0 devem ser encaminhados pela interface 10.10.30.1. É isso que faz, ou seja,
encaminha os pacotes através da interface de WAN: 10.10.30.1.
6. Os pacotes de dados chegam na interface 10.10.30.1 e, são enviados, através do link de co-
municação, para a interface 10.10.30.2, do roteador do RJ.
7. No roteador do RJ, chega o pacote de informações com o IP de destino: 10.10.20.12. O rote-

ador precisa consultar a sua tabela de roteamento e verificar se este conhece um caminho
para a rede 10.10.20.0.
8. O roteador do RJ tem, em sua tabela de roteamento, a informação de que pacotes para a rede
10.10.20.0 devem ser encaminhados pela interface 10.10.20.1, que é a interface que conecta
o roteador à rede local 10.10.20.0. O pacote é enviado, através da interface 10.10.20.1, para o
barramento da rede local. Todos os computadores recebem os pacotes de dados e os descar-
tam, com exceção do computador 10.10.20.12 que é o computador de destino.
9. Para que a resposta possa ir do computador RJ-02 para o computador SP-01, um caminho
precisa ser encontrado, para que os pacotes de dados sejam roteados do RJ para SP (o cami-
nho de volta no nosso exemplo). Para tal, todo o processo é executado novamente, até que
a resposta chegue ao computador SP-01.
10. A chave toda para o processo de roteamento é o software presente nos roteadores, o qual
atua com base em tabelas de roteamento.
O exemplo mostrado na Figura 2.17 é um exemplo simples, onde mostrei como é feito o rotea-
mento entre duas redes ligadas através de um link de WAN. O princípio básico é o mesmo para re-
des maiores até para a maior das redes que é a Internet. A seguir vou analisar mais alguns detalhes
sobre roteamento.


Rede 01: Rede 03:

10.10.10.0 / 255.255.255.0 10.10.30.0 / 255.255.255.0
10.10.10.1
10.10.5.1 10.10.5.2 10.10.30.1
Roteador 01 Roteador 03
10.10.5.3
10.10.20.1 10.10.40.1
Roteador 02
Rede 02: Rede 04:
10.10.20.0 / 255.255.255.0 10.10.40.0 / 255.255.255.0
Figura 2.18 Uma rede com vários roteadores.
MAIS UM EXEMPLO DE ROTEAMENTO

Neste item, vou analisar mais alguns exemplos de roteamento e falar sobre tabela de roteamento.
Exemplo 01: Considere a rede indicada no diagrama da Figura 2.18.
Primeiro alguns comentários sobre a WAN apresentada na Figura 2.18:
l A WAN é formada pela conexão de quatro redes locais, com as seguintes características:
Rede Número da rede Máscara de sub-rede

01 10.10.10.0 255.255.255.0
02 10.10.20.0 255.255.255.0
03 10.10.30.0 255.255.255.0
04 10.10.40.0 255.255.255.0
l Existe uma quinta rede que é a rede formada pelas interfaces de WAN dos roteadores. Esta rede
apresenta as seguintes características:
Rede Número da rede Máscara de sub-rede

Roteadores 10.10.5.0 255.255.255.0
l Existem três roteadores fazendo a conexão das quatro redes existentes. Com as configurações
apresentadas, qualquer rede é capaz de se comunicar com qualquer outra rede da WAN.
l Existem pontos únicos de falha. Por exemplo, se o roteador 03 apresentar problemas, a rede 03
ficará completamente isolada das demais redes. Se o roteador 02 apresentar problemas, as
redes 02 e 04 ficarão isoladas das demais redes e também isoladas entre si.


l As redes 02 e 04 estão diretamente conectadas ao roteador 02. Cada rede, em uma interface de
LAN do roteador. Este pode ser um exemplo de um prédio com duas redes locais, as quais são
conectadas através do roteador. Neste caso, o papel do roteador 02 é conectar as redes 02 e 04
entre si e estas redes com o restante da WAN.
l A interface de conexão do roteador com a rede local utiliza sempre o primeiro número IP da fai-
xa disponível (10.10.10.1, 10.10.20.1 e assim por diante). Não é obrigatório reservar o primei-
ro IP para a interface de LAN do roteador (número este que será configurado como Default Ga-
teway nas estações de trabalho da respectiva rede, conforme descrito anteriormente). Embora
não seja obrigatório é uma convenção comumente utilizada.
Agora que apresentei alguns comentários sobre a rede da Figura 2.18, vamos analisar como será
feito o roteamento entre as diferentes redes.
Primeira análise: Analisar como é feito o roteamento, quando um computador da rede 01, precisa
acessar informações de um computador da rede 03. Por exemplo, o computador 10.10.10.25 da
rede 01 precisa acessar um arquivo que está em uma pasta compartilhada do computador
10.10.30.144 da rede 03. Neste caso, a rede de origem é a rede 10.10.10.0 e a rede de destino é
10.10.30.0. Como é feito o roteamento, de tal maneira que estes dois computadores possam tro-
car informações entre si?
1. O computador 10.10.10.25 é o computador de origem e o computador 10.10.30.144 é o

computador de destino. A primeira ação do TCP/IP é fazer os cálculos para verificar se os
dois computadores estão na mesma rede, conforme explicado no início deste capítulo. Os
seguintes dados são utilizados para realização destes cálculos:
Computador na rede 01: 10.10.10.25/255.255.255.0
2. Feitos os cálculos, o protocolo TCP/IP “chega a conclusão” de que os dois computadores
pertencem a redes diferentes. O computador 10.10.10.25 pertence à rede 10.10.10.0 e o
computador 10.10.30.144 pertence à rede 10.10.30.0.
4. O pacote é enviado para o roteador da rede 10.10.10.0, que está conectado através da inter-
face 10.10.10.1. Neste roteador, pela interface 10.10.10.1, chega o pacote de informações
com o IP de destino: 10.10.30.144. O roteador precisa consultar a sua tabela de roteamento
e verificar se conhece um caminho (uma rota) para a rede 10.10.30.0, ou seja, se sabe para
quem enviar um pacote de informações, destinado a rede 10.10.30.0.
5. O roteador 01 tem, em sua tabela de roteamento, a informação de que pacotes para a rede
10.10.30.0 devem ser encaminhados pela interface de WAN 10.10.5.1. É isso que faz, ou
seja, encaminha os pacotes através da interface de WAN: 10.10.5.1.


6. Os pacotes de dados chegam na interface de WAN 10.10.5.1 e são enviados, através do link
de comunicação, para a interface de WAN 10.10.5.2, do roteador da rede 03.
7. No roteador 03, chega o pacote de informações com o IP de destino: 10.10.30.144. O rotea-
dor precisa consultar a sua tabela de roteamento e verificar se conhece um caminho para a
rede 10.10.30.0.
8. O roteador 03 tem, em sua tabela de roteamento, a informação de que pacotes para a
rede 10.10.30.0 devem ser encaminhados pela interface de LAN 10.10.30.1, que é a in-
terface que conecta o roteador 03 à rede local 10.10.30.0. O pacote é enviado, através da
interface 10.10.30.1, para o barramento da rede local. Todos os computadores recebem
os pacotes de dados e os descartam, com exceção do computador 10.10.30.144 que é o
computador de destino.
9. Para que a resposta possa retornar do computador 10.10.30.144 para o computador
10.10.10.25, um caminho precisa ser encontrado, para que os pacotes de dados sejam rote-
ados da rede 03 para a rede 01 (o caminho de volta no nosso exemplo). Para tal, todo o pro-
cesso é executado novamente, até que a resposta chegue ao computador 10.10.10.25.
10. A chave toda para o processo de roteamento é o software presente nos roteadores, o qual
atua com base em tabelas de roteamento (assunto que será analisado logo a seguir).
Segunda análise: Analisar como é feito o roteamento, quando um computador da rede 03 precisa
acessar informações de um computador da rede 02. Por exemplo, o computador 10.10.30.25 da
rede 03 precisa acessar uma impressora que está compartilhada do computador 10.10.20.144 da
rede 02. Neste caso, a rede de origem é a rede 10.10.30.0 e a rede de destino é 10.10.20.0. Como é
feito o roteamento, de tal maneira que estes dois computadores troquem informações?
1. O computador 10.10.30.25 é o computador de origem e o computador 10.10.20.144 é o

computador de destino. A primeira ação do TCP/IP é fazer os cálculos para verificar se os
dois computadores estão na mesma rede, conforme explicado no início do capítulo. Os se-
guintes dados são utilizados para realização destes cálculos:
2. Feitos os cálculos, o protocolo TCP/IP “chega a conclusão” de que os dois computadores
pertencem a redes diferentes. O computador 10.10.30.25 pertence à rede 10.10.30.0 e o
computador 10.10.20.144 pertence à rede 10.10.20.0.
4. O pacote é enviado para o roteador da rede 10.10.30.0, que está conectado através da inter-
face de LAN 10.10.30.1. Neste roteador, pela interface 10.10.30.1, chega o pacote de infor-
mações com o IP de destino: 10.10.20.144. O roteador precisa consultar a sua tabela de ro-


teamento e verificar se conhece um caminho direto para a rede 10.10.20.0, ou seja, se sabe
para quem enviar um pacote de informações, destinado a rede 10.10.20.0.
5. Não existe um caminho direto para a rede 10.10.20.0. Tudo o que o roteador pode fazer é saber
para quem (para qual roteador) enviar o pacote, quando o destino for a rede 10.10.20.0. Neste
caso, enviará o pacote para outro roteador e não diretamente para a rede 10.10.20.0. O rotea-
dor 03 tem, em sua tabela de roteamento, a informação de que pacotes destinados à rede
10.10.20.0 devem ser encaminhados pela interface de WAN 10.10.5.2. É isso que ele o mesmo,
ou seja, encaminha os pacotes através da interface de WAN 10.10.5.2.
6. Os pacotes de dados chegam na interface de WAN 10.10.5.2 e são enviados, através do link
de comunicação, para a interface de WAN 10.10.5.1 do roteador 01.
7. No roteador 01, chega o pacote de informações com o IP de destino: 10.10.20.144. O rotea-
dor precisa consultar a sua tabela de roteamento e verificar se conhece um caminho para a
rede 10.10.20.0.
8. Na tabela de roteamento do roteador 01, consta a informação que pacotes para a rede
10.10.20.0 devem ser enviados para a interface de WAN 10.10.5.3, do roteador 02. É isso
que este faz, ou seja, roteia (encaminha) o pacote para a interface de WAN 10.10.5.3.
9. O pacote chega à interface de WAN do roteador 02. O roteador 02 tem, em sua tabela de ro-
teamento, a informação de que pacotes para a rede 10.10.20.0 devem ser encaminhados
pela interface de LAN 10.10.20.1, que é a interface que conecta o roteador 02 à rede local
10.10.20.0. O pacote é enviado, através da interface 10.10.20.1, para o barramento da rede
local. Todos os computadores recebem os pacotes de dados e os descartam, com exceção do
computador 10.10.20.144 que é o computador de destino.
10. Para que a resposta retorne do computador 10.10.20.144 para o computador 10.10.30.25,
um caminho precisa ser encontrado, para que os pacotes de dados sejamroteados da rede
02 para a rede 03 (o caminho de volta no nosso exemplo). Para tal, todo o processo é execu-
tado novamente, até que a resposta chegue ao computador 10.10.30.25.
ALGUMAS CONSIDERAÇÕES SOBRE ROTEAMENTO
A chave toda para o processo de roteamento é o software presente nos roteadores, o qual atua com
base em tabelas de roteamento. Ou o roteador sabe entregar o pacote diretamente para a rede de
destino ou sabe para qual roteador enviar. Esse processo continua até que seja possível alcançar a
rede de destino. Claro que, em redes mais complexas, pode haver mais de um caminho entre ori-
gem e destino. Por exemplo, na Internet, pode haver dois ou mais caminhos possíveis entre o
computador de origem e o computador de destino. Quando um arquivo é transmitido entre os
computadores de origem e destino, pode acontecer de alguns pacotes de informação serem envia-
dos por um caminho e outros pacotes por caminhos diferentes. Os pacotes podem, inclusive, che-
gar fora de ordem no destino. O protocolo TCP/IP é o responsável por identificar cada pacote e co-
locá-los na seqüência correta.


Existem também um número máximo de roteadores pelos quais um pacote pode passar, antes de
ser descartado. Normalmente este número é de 16 roteadores. No exemplo da segunda análise, cada
pacote passa por dois roteadores, até sair de um computador na rede 03 e chegar ao computador de
destino na rede 02. Este passar por dois roteadores é tecnicamente conhecido como “ter um cami-
nho de dois hopes”. Um hope significa que passou por um roteador. Diz-se, com isso, que o caminho
máximo de um pacote é de 16 hopes. Isso é feito para evitar que pacotes fiquem circulando indefi-
nidamente na rede e congestionem os links de WAN, podento até chegar a paralisar a rede.
Uma situação que poderia acontecer, por erro nas tabelas de roteamento, é um roteador x mandar
um pacote para o y, o roteador y mandar de volta para o x, o roteador x de volta para y e assim in-
definidamente. Esta situação ocorreria por erros nas tabelas de roteamento. Para evitar que estes
pacotes ficassem circulando indefinidamente na rede, é que foi definido o limite de 16 hopes.
Outro conceito que pode ser encontrado, em relação a roteamento, é o de entrega direta ou entre-
ga indireta. Vamos ainda utilizar o exemplo da rede da Figura 2.18. Quando dois computadores
da mesma rede (por exemplo a rede 10.10.10.0) trocam informações entre si, as informações são
enviadas para o barramento da rede local e o computador de destino captura e processa os dados.
Dizemos que este é um caso de entrega direta. Quando computadores de redes diferentes tentam
se comunicar (por exemplo, um computador da rede 10.10.10.0 e um da rede 10.10.20.0), os pa-
cotes de informação são enviados através dos roteadores da rede, até chegar ao destino. Depois a
resposta percorre o caminho inverso. Este processo é conhecido como entrega indireta.
Agora é hora de apresentar mais alguns detalhes sobre tabelas de roteamento e analisar uma pe-
quena tabela de roteamento que existe em cada computador com o NT 4.0, Windows 2000, Win-
dows XP ou Windows Server 2003 e com o protocolo TCP/IP instalado.
TABELAS DE ROTEAMENTO
Falei anteriormente que toda a funcionalidade do roteador é baseada em tabelas de roteamento.
Quando um pacote chega em uma das interfaces do roteador, este analisa a sua tabela de rotea-
mento, para verificar se contém uma rota para a rede de destino. Pode ser uma rota direta ou então
para qual roteador o pacote deve ser enviado. Este processo continua até que o pacote seja entre-
gue na rede de destino, ou até que o limite de 16 hopes seja atingido.
Na Figura 2.19, apresento um exemplo de uma “mini-tabela” de roteamento.
Cada linha é uma entrada da tabela. Por exemplo, a linha a seguir é que define o Default Gateway
a ser utilizado (conforme explicarei mais adiante):
0.0.0.0 0.0.0.0 200.175.106.54 200.175.106.54 1
Neste tópico, você aprenderá sobre os campos que compõem uma entrada da tabela de roteamen-
to e o significado de cada campo. Também aprenderá a interpretar a tabela de roteamento que
existe em um computador com o Windows Server 2003 e aprenderá alguns detalhes sobre o co-
mando route.


Figura 2.19 Tabela de roteamento.
ENTENDA OS CAMPOS QUE COMPÕEM UMA ENTRADA DE UMA TABELA DE ROTEAMENTO
Uma entrada da tabela de roteamento tem os campos indicados no esquema a seguir e explicados
logo em seguida:
Network ID Network Mask Next Hop Interface Metric

0.0.0.0 0.0.0.0 200.175.106.54 200.175.106.54 1
10.100.100.0 255.255.255.0 10.200.200.4 10.200.200.4 1
l Network ID: Este é o endereço de destino. Pode ser o endereço de uma rede (por exemplo:
10.10.10.0), o endereço de um equipamento da rede, o endereço de uma sub-rede (veja deta-
lhes sobre sub-rede mais adiante) ou o endereço da rota padrão (0.0.0.0). A rota padrão signifi-
ca: “a rota que será utilizada, caso não tenha sido encontrada uma rota específica para o desti-
no”. Por exemplo, se for definida que a rota padrão deve ser enviada pela interface com IP
10.10.5.2 de um determinado roteador, sempre que chegar um pacote, para o qual não existe
uma rota específica para o destino do pacote, este será enviado pela rota padrão que, no exem-
plo, seria a interface 10.10.5.2. Falando de um jeito mais simples: “Se não souber para onde
mandar, mande para a rota padrão”.
l Network Mask: A máscara de sub-rede utilizada para a rede de destino.
l Next Hop: Endereço IP da interface para a qual o pacote deve ser enviado. Considere o exem-
plo a seguir, como sendo uma entrada de um roteador, com uma interface de WAN configura-
da com o IP número 10.200.200.4:
Network ID Network Mask Next Hop Interface Metric

10.100.100.0 255.255.255.0 10.200.200.1 10.200.200.120 1


Esta entrada indica que pacotes enviados para a rede, definida pelos parâmetros 10.100.100.0/
255.255.255.0, deve ser enviada para o gateway 10.200.200.1 e, para chegar a este gateway, os pa-
cotes de informação devem ser enviados pela interface 10.200.200.120. Neste exemplo, esta en-
trada está contida na tabela interna de roteamento de um computador com o Windows Server
2003, cujo número IP é 10.200.200.120 e o default gateway configurado é 10.200.200.1. Neste
caso, quando este computador quiser se comunicar com um computador da rede 10.100.100.0,
será usada a entrada de roteamento descrita neste item. Nesta entrada, está especificado que paco-
tes para a rede 10.100.100.0, com máscara 255.255.255.0, devem ser enviados para o default gate-
way 10.200.200.1 e que este envio deve ser feito através da interface de rede 10.200.200.120, que
no nosso exemplo é a placa de rede do computador. Uma vez que o pacote chega no default gate-
way (na interface de LAN do roteador), o processo de roteamento, até a rede de destino (rede
10.100.100.0), é o processo descrito nas análises anteriores.
l Interface: É a interface através da qual o pacote deve ser enviado. Por exemplo, se você estiver
analisando a tabela de roteamento interna, de um computador com o Windows Server 2003, o
número IP do campo interface será sempre o número IP da placa de rede, a não ser que você te-
nha mais de uma placa de rede instalada.
l Metric: A métrica é um indicativo da distância da rota, entre destino e origem, em termos de

hopes. Conforme descrito anteriormente, pode haver mais de um roteador entre origem e des-
tino. Também pode haver mais de um caminho entre origem e destino. Se for encontrada duas
rotas para um mesmo destino, o roteamento será feito pela rota de menor valor no campo Me-
tric. Um valor menor indica, normalmente, um número menor de hopes (roteadores) entre
origem e destino.
ANALISANDO A TABELA DE ROTEAMENTO DE UM COMPUTADOR COM O WINDOWS 2000 SERVER
Agora que você já conhece os conceitos de tabelas de roteamento e também conhece os campos que
formam uma entrada em uma tabela de roteamento, é hora de analisar as entradas de uma tabela de
roteamento em um computador com o Windows 2000 Server instalado. Ao instalar e configurar o
protocolo TCP/IP, o Windows 2000 Server cria, na memória do servidor, uma tabela de roteamen-
to. Esta tabela é criada, dinamicamente, toda vez que o servidor é inicializado. Ao desligar o servi-
dor, o conteúdo desta tabela será descartado, para ser novamente recriado durante a próxima inici-
alização. A tabela de roteamento é criada com base nas configurações do protocolo TCP/IP. Existem
também a possibilidade de adicionar entradas estáticas. Uma entrada estática fica gravada em disco
e será adicionada à tabela de roteamento durante a inicialização do sistema. Assim, além das entra-
das criadas automaticamente, com base nas configurações do TCP/IP, também podem ser acrescen-
tadas rotas estáticas, criadas com o comando route, o qual descreverei mais adiante.


Para exibir a tabela de roteamento de um servidor com o Windows 2000 Server, abra um Prompt
de comando, digite o comando indicado a seguir e pressione Enter:
route print
Será exibida uma tabela de roteamento, semelhante a indicada na Figura 2.20, onde é exibida a ta-
bela de roteamento para um servidor com o número IP 10.204.200.50.
Figura 2.20 Tabela de roteamento.
Vamos analisar cada uma destas entradas e explicar a função de cada entrada, para que você possa
entender melhor os conceitos de roteamento.
l Rota padrão:
Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 10.204.200.1 10.204.200.50 30
Esta rota é indicada por uma identificação de rede 0.0.0.0 com uma máscara de sub-rede 0.0.0.0.
Quando o TCP/IP tenta encontrar uma rota para um determinado destino, percorre todas as en-
tradas da tabela de roteamento em busca de uma rota específica para a rede de destino. Caso não
seja encontrada uma rota para a rede de destino, será utilizada a rota padrão. Em outras palavras,
se não houver uma rota específica, mande para a rota padrão. Observe que a rota padrão é justa-
mente o default gateway da rede (10.204.200.1), ou seja, a interface de LAN do roteador da rede. O
parâmetro Interface (10.204.200.50) é o número IP da placa de rede do próprio servidor. Em ou-
tras palavras: se não houver uma rota específica manda para a rota padrão, onde o próximo hope
da rede é o 10.204.200.1 (default gateway) e o envio para este hope é feito através da interface
10.204.200.50 (ou seja, a própria placa de rede do servidor).


l Endereço da rede local:

10.204.200.0 255.255.255.0 10.204.200.50 10.204.200.50 30
Esta rota é conhecida como rota da rede local. Basicamente diz o seguinte: “Quando o endereço IP
de destino for um endereço da minha rede local, envia as informações através da minha placa de
rede (observe que tanto o parâmetro Gateway como o parâmetro Interface estão configurados
com o número IP do próprio servidor). Se for para uma das máquinas da minha rede local, manda
através da placa de rede, não precisa enviar para o roteador.
l Local host (endereço local):

10.204.200.50 255.255.255.255 127.0.0.1 127.0.0.1 30
Este endereço faz referência ao próprio servidor. Observe que 10.204.200.50 é o número IP do ser-
vidor que está sendo analisado (no qual executei o comando route print). Esta rota diz que os pro-
gramas do próprio servidor, que enviarem pacotes para o destino 10.204.200.50 (ou seja, envia-
rem pacotes para si mesmo, como no exemplo de dois serviços trocando informações entre si),
devem usar como Gateway o endereço de loopback 127.0.0.1, através da interface de loopback
127.0.0.1. Esta rota é utilizada para agilizar as comunicações que ocorrem entre os componentes
do próprio Windows Server 2003, dentro do mesmo servidor. Ao usar a interface de loopback,
toda a comunicação ocorre em nível de software, ou seja, não é necessário enviar o pacote através
das diversas camadas do protocolo TCP/IP, até que o pacote chegue na camada de enlace (ou seja,
a placa de rede), para depois voltar. Ao invés disso é utilizada a interface de loopback para direcio-
nar os pacotes corretamente. Observe que esta entrada tem como máscara de sub-rede o número
255.255.255.255. Esta máscara indica que a entrada é uma rota para um endereço IP específico
(no caso o próprio IP do servidor) e não uma rota para um endereço de rede.
l Network broadcast (Broadcast de rede):

10.255.255.255 255.255.255.255 10.204.200.50 10.204.200.50 30
Esta rota define o endereço de broadcast da rede. Broadcast significa enviar para todos os compu-
tadores da rede. Quando é utilizado o endereço de broadcast, todos os computadores da rede rece-
bem o pacote e processam o pacote. O broadcast é utilizado por uma série de serviços, como por
exemplo o WINS, para fazer verificações periódicas de nomes, para enviar uma mensagem para
todos os computadores da rede, para obter informações de todos os computadores e assim por di-
ante. Observe que o gateway é o número IP da placa de rede do servidor e a Interface é este mesmo
número, ou seja, para enviar um broadcast para a rede, envie através da placa de rede do servidor,
não há necessidade de utilizar o roteador. Um detalhe interessante é que, por padrão, a maioria
dos roteadores bloqueia o tráfego de broadcast, para evitar congestionamentos nos links de WAN.


l Rede/endereço de loopback:

27.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
Comentei anteriormente que os endereços da rede 127.0.0.0 são endereços especiais, reservados
para fazer referência a “si mesmo”. Quando faço uma referência a 127.0.0.1, estou me referindo
ao servidor no qual estou trabalhando. Esta roda indica, em palavras simples, que para se comuni-
car com a rede de loopback (127.0.0.0/255.0.0.0), utilize “eu mesmo” (127.0.0.1).
l Multicast address (endereço de Multicast):

224.0.0.0 240.0.0.0 10.204.200.50 10.204.200.50 30
O tráfego IP, de uma maneira simples, pode ser de três tipos. Unicast é o tráfego direcionado para
um número IP definido, ou seja, com um destinatário. Broadcast é o tráfego dirigido para todos os
computadores de uma ou mais redes. E Multicast é um tráfego direcionado para um grupo de
computadores, os quais estão configurados e “inscritos” para receber este tipo de tráfego. Um
exemplo prático de utilização do multicast é para uma transmissão de vídeo através da rede. Va-
mos supor que, de uma rede de 1.000 computadores, apenas 30 devem receber um determinado
arquivo de vídeo com um treinamento específico. Se for usado tráfego unicast, serão transmitidas
30 cópias do arquivo de vídeo (o qual já é um arquivo grande), uma cópia para cada destinatário.
Com o uso do multicast, uma única cópia é transmitida através do link de WAN e o tráfego multi-
cast (com base no protocolo IGMP) entrega uma cópia do arquivo apenas para os 30 computado-
res devidamente configurados para receber o tráfego multicast. Esta rota define que o tráfego mul-
ticast deve ser enviado através da interface de rede, que é o número IP da placa de rede do servidor.
Lembrando do Capítulo 2, quando falei sobre classes de endereços, a Classe D é reservada para trá-
fego multicast, com IPs iniciando (o primeiro número) a partir de 224.
l Limited Broadcast (Broadcast Limitado):

255.255.255.255 255.255.255.255 10.204.200.50 10.204.200.50 1
Esta é a rota utilizada para o envio de broadcast limitado. O endereço de broadcast limitado é
formado por todos os 32 bits do endereço IP sendo iguais a 1 (255.255.255.255). Este endereço é
utilizado quando o computador tem que fazer o envio de um broadcast na rede local (envio do
tipo um para todos na rede), porém o computador não conhece o número da rede local (net-
work ID). Você pode perguntar: mas em que situação o computador não conhecerá a identifica-
ção da rede local? Por exemplo, quando você inicializa um computador, configurado para obter
as configurações do TCP/IP a partir de um servidor DHCP (Capítulo 4), a primeira coisa que este
computador precisa fazer é localizar um servidor DHCP na rede e requisitar as configurações do
TCP/IP. Antes de receber as configurações do DHCP, o computador ainda não tem endereço IP e


nem máscara de sub-rede, mas tem que se comunicar com um servidor DHCP. Esta comunica-
ção é feita via broadcast limitado, onde o computador envia um pacote de formato específico
(chamado de DHCP Discover), para tentar descobrir um servidor DHCP na rede. Este pacote é
enviado para todos os computadores. Aquele que for um servidor DHCP irá responder a requisi-
ção do cliente. Aí o processo de configuração do DHCP continua (conforme descreverei no Ca-
pítulo 4), até que o computador esteja com as configurações do TCP/IP definidas, configurações
estas obtidas a partir do servidor DHCP.
Em termos de roteamento, estes são os conceitos necessários ao que será visto neste capítulo.
O CONCEITO DE SUB-REDES – SUBNETTING

No início do capítulo, apresentei o conceito de máscara de sub-rede e de classes de endereços IP.
Você também aprendeu como, através de cálculos binários, o protocolo TCP/IP utiliza a máscara
de sub-rede para determinar se o computador de origem e de destino estão na mesma rede ou em
redes diferentes. Até agora, no exemplos apresentados, utilizei somente as máscara de rede pa-
drão, onde são utilizados 8, 16 ou 204 bits para a máscara de rede, conforme descrito a seguir:
Número de bits Máscara de sub-rede

8 255.0.0.0
16 255.255.0.0
24 255.255.255.0
Por isso que existe uma outra notação, onde a máscara de sub-rede é indicada simplesmente pelo
número de bits utilizados na máscara de su-brede, conforme exemplos a seguir:
Definição da rede Máscara de sub-rede

10.200.100.0/8 255.0.0.0
10.10.10.0/16 255.255.0.0
10.10.10.0/24 255.255.255.0
Porém com este esquema de endereçamento, baseado apenas nas máscaras de sub-rede padrão (8,
16 ou 24 bits), haveria um grande desperdício de números IP. Por exemplo, que empresa no mun-
do precisaria da faixa completa de uma rede Classe A, na qual estão disponíveis mais de 16 mi-
lhões de endereços IP? Vamos, agora, analisar a outra ponta da questão. Imagine, por exemplo,
uma empresa de porte médio, que tem a matriz em São Paulo e mais cinco filiais em outras cidades
do Brasil. Imagine que, em nenhuma das localidades, tenha mais do que 30 equipamentos liga-
dos em rede. Se forem usadas as máscaras de sub-rede padrão, terá que ser definida uma rede Clas-
se C (até 254 computadores, conforme descrito on início do capítulo), para cada localidade.
Observe que estamos reservando 254 números IP para cada localidade (uma rede classe C com
máscara 255.255.255.0), quando na verdade, no máximo, 30 números serão utilizados em cada


localidade. Na prática, um belo desperdício de endereços, mesmo em uma empresa de porte mé-
dio ou pequeno. Observe que, neste exemplo, uma única rede Classe C seria suficiente. Já que são
seis localidades (a matriz mais seis filiais), com um máximo de 30 endereços por localidade, um
total de 254 endereços de uma rede Classe C seria mais do que suficiente. Ainda haveria desperdí-
cio, mas agora bem menor.
A boa notícia é que é possível “dividir” uma rede (qualquer rede) em sub-redes, onde cada
sub-rede fica apenas com uma faixa de números IP de toda a faixa original. Por exemplo, a rede
Classe C 10.100.100.0/255.255.255.0, com 256 números IPs disponívies (na prática são 254 úteis,
descontando o primeiro, que é o número da própria rede, e o último, que o endereço de broadcast,
conforme descrito no início do capítulo), poderia ser dividida em oito sub-redes, com 32 números
IP em cada sub-rede. O esquema a seguir ilustra este conceito:
Rede original: 256 endereços IP disponíveis: 10.100.100.0 –> 10.100.100.255
Divisão da rede em oito sub-redes, onde cada sub-rede fica com 32 endereços IP:
Sub-rede 01: 10.100.100.0 –> 10.100.100.31

Sub-rede 02: 10.100.100.32 –> 10.100.100.63
Sub-rede 03: 10.100.100.64 –> 10.100.100.95
Sub-rede 04: 10.100.100.96 –> 10.100.100.127
Sub-rede 05: 10.100.100.128 –> 10.100.100.159
Sub-rede 06: 10.100.100.160 –> 10.100.100.191
Sub-rede 07: 10.100.100.192 –> 10.100.100.223
Sub-rede 08: 10.100.100.224 –> 10.100.100.255
Para o exemplo da empresa com seis localidades (matriz mais cinco filiais), onde, no máximo, são
necessários trinta endereços IP por localidade, a utilização de uma única rede Classe C, dividida
em oito sub-redes seria a solução ideal. Na prática, a primeira e a última sub-rede são descartadas,
pois o primeiro IP da primeira sub-rede representa o endereço de rede e o último IP da última
sub-rede representa o endereço de broadcast. Com isso restariam, ainda, seis sub-redes. Exata-
mente a quantia necessária para o exemplo proposto. Observe que, ao invés de seis redes Classe C,
bastou uma única rede, subdividida em seis sub-redes. Uma bela economia de endereços. Claro
que se um dos escritórios, ou a matriz, precisasse de mais de 32 endereços IP, um esquema diferen-
te de divisão teria que ser criado.
Entendido o conceito teórico de divisão em sub-redes, resta o trabalho prático:
l O que tem que ser alterado para fazer a divisão em sub-redes (subnetting).
l Como calcular o número de sub-redes e o número de números IP dentro de cada sub-rede.
l Como listar as faixas de endereços dentro de cada sub-rede.
l Exemplos práticos.


Você aprenderá estas etapas através de exemplos práticos. Vou inicialmente mostrar o que tem
que ser alterado para fazer a divisão de uma rede padrão (com máscara de 8, 16 ou 24 bits) em uma
ou mais sub-redes. Em seguida, apresento alguns exemplos de divisão de uma rede em sub-redes.
Mãos à obra.
O QUE TEM QUE SER ALTERADO PARA FAZER

A DIVISÃO EM SUB-REDES (SUBNETTING)
Por padrão são utilizadas máscaras de sub-rede de 8, 16 ou 24 bits, conforme indicado no esquema
a seguir:
Número de bits Máscara de sub-rede

08 255.0.0.0
16 255.255.0.0
24 255.255.255.0
Uma máscara de 8 bits significa que todos os bits do primeiro octeto são iguais a 1; uma máscara
de 16 bits significa que todos os bits do primeiro e do segundo octeto são iguais a 1; uma máscara
de 24 bits significa que todos os bits dos três primeiros octetos são iguais a 1. Este conceito está
ilustrado na Figura 2.21.
Figura 2.21 Máscaras de rede com 8, 16 e 24 bits.
No exemplo da rede com matriz em São Paulo e mais cinco escritórios, vamos utilizar uma rede
Classe C, que será subdividida em seis sub-redes (na prática, oito mas a primeira e a última não são
utilizadas, conforme já descrito anteriormente). Para fazer esta subdivisão, você deve alterar o nú-
mero de bits iguais a 1 na máscara de sub-rede. Por exemplo, ao invés de 24 bits, você terá que uti-
lizar 25, 26, 27 ou um número a ser definido. Bem, já avançamos mais um pouco: “Para fazer a di-
visão de uma rede em sub-redes, é preciso aumentar o número de bits iguais a 1, alterando com
isso a máscara de sub-rede”.
Agora, naturalmente, surge uma nova questão: “Quantos bits?”, ou de uma outra maneira (já pro-
curando induzir o seu raciocínio): “O que define o número de bits a ser utilizados a mais?”.
Bem, esta é uma questão bem mais simples do que pode parecer. No exemplo proposto, precisa-
mos dividir a rede em seis sub-redes, ou seja, o número de sub-redes deve ser, pelo menos, seis.
Sempre lembrando que a primeira e a última sub-rede não são utilizadas. O número de sub-redes é


proporcional ao número de bits que vamos adicionar à máscara de sub-rede já existente. O núme-
ro de rede é dado pela fórmula a seguir, onde ‘n’ é o númeo de bits a mais a serem utilizados para a
máscara de sub-rede:
n
Número de sub-redes = 2 – 2
No nosso exemplo estão disponíveis até 8 bits do último octeto para serem também utilizados na
máscara de sub-rede. Claro que, na prática, não podemos usar os 8 bits, senão ficaríamos com o
endereço de broadcast: 255.255.255.255, como máscara de rede. Além disso, quanto mais bits eu
pegar para a máscara de sub-rede, menos sobrarão para os números IP de cada sub-rede. Por exem-
plo, se eu adicionar mais 1 bit à máscara já existente, ficarei com 25 bits para a máscara e 7 para
números IP. Se eu adicionar mais 2 bits à máscara original de 24 bits, ficarei com 26 bits para a
máscara e somente 6 para números IP e assim por diante. O número de bits que restam para os nú-
meros IP define quantos números IP podem haver em cada sub-rede. A fórmula para determinar o
número de endereços IP dentro de cada sub-rede, é indicada a seguir, onde ‘n’ é o númeo de bits
destinados a parte de host do endereço (32 – bits usados para a máscara):
Número de endereços IP dentro de cada sub-rede = 2n-2
Na Figura 2.22, apresento uma tabela de cálculos para a divisão de sub-redes que será feita no nos-
so exemplo. Observe que, quanto mais bits eu adiciono à máscara de sub-rede, mais sub-redes é
possível obter, porém com um menor número de máquinas em cada sub-rede. Lembrando que,
no nosso exemplo, estamos subdividindo uma rede Classe C 10.100.100.0/255.255.255.0, ou
seja, uma rede com 24 bits para a máscara de sub-rede original.
Figura 2.22 Número de redes e número de hosts em cada rede.
Claro que algumas situações não se aplicam na prática. Por exemplo, usando apenas 1 bit a mais
para a máscara de sub-rede, isto é, 25 bits ao invés de 24. Neste caso, teremos 0 sub-redes dispo-
níveis. Pois com 1 bit é possível criar apenas duas sub-redes, como a primeira e a última são des-
cartadas, conforme descrito anteriormente, na prática as duas sub-redes geradas não poderão
ser utilizadas.


A mesma situação ocorre com o uso de 7 bits a mais para a máscara de sub-rede, ou seja, 31 ao in-
vés de 24. Nesta situação, sobra apenas 1 bit para os endereços IP. Com 1 bit posso ter apenas dois
endereços IP, descontanto o primeiro e o último que não são utilizados, não sobra nenhum ende-
reço IP. As situações intermediárias é que são mais realistas. No nosso exemplo, precisamos divi-
dir a rede Classe C 10.100.100.0/255.255.255.0, em seis sub-redes. De acordo com a tabela da Fi-
gura 2.22, precisamos utilizar 3 bits a mais para obter as seis sub-redes desejadas. Observe que
utilizando 3 bits a mais, ao invés de 24 bits (máscara original), vamos utilizar 27 bits para a másca-
ra de sub-rede. Com isso sobram 5 bits para os números IPs dentro de cada sub-rede, o que dá um
total de 30 números IP por sub-rede (na verdade seriam 32, mas o primeiro e o último não são uti-
lizados). Exatamente o que precisamos.
A próxima questão que pode surgir é como é que fica a máscara de sub-rede, agora que ao invés de
24 bits, estou utilizando 27 bits, conforme ilustrado na Figura 2.23.
Figura 2.23 Máscara de sub-rede com 27 bits.
Para determinar a nova máscara, temos que revisar o valor de cada bit, o que foi visto no início do
capítulo. Da esquerda para a direita, cada bit representa o seguinte valor, respectivamente:
128 64 32 16 8 4 2 1
Como os três primeiros bits do último octeto foram também utilizados para a máscara, estes 3 bits
soman para o valor do último octeto. No nosso exemplo, o último octeto da máscara terá o se-
guinte valor: 128+64+32 = 224. Com isso a nova máscara de sub-rede, máscara esta que será utili-
zada pelas seis sub-redes, é a seguinte: 255.255.255.224. Observe que, ao adicionarmos bits à
máscara de sub-rede, fazemos isso a partir do bit de maior valor, ou seja, o bit mais da esquerda,
com o valor de 128, depois usamos o próximo bit com valor 64 e assim por diante. Na Figura 2.24,
apresento a ilustração de como fica a nova máscara de sub-rede.
Figura 2.24 A nova máscara de sub-rede.
Com o uso de três bits adicionais para a máscara de rede, teremos seis sub-redes disponíveis (uma
para cada escritório) com o máximo de 30 números IP por sub-rede. Exatamente o que precisamos
para o exemplo proposto.
A idéia básica de subnetting é bastante simples. Utiliza-se bits adicionais para a máscara de
sub-rede. Com isso tenho uma divisão da rede original (Classe A, Classe B ou Classe C) em várias
sub-redes, sendo que o número de endereços IP em cada sub-rede é reduzido (por termos utiliza-


dos bits adicionais para a máscara de sub-rede, bits estes que originalmente eram destinados aos
endereços IP). Esta divisão pode ser feita em redes de qualquer uma das Classes padrão A, B ou C.
Por exemplo, por padrão, na Classe A são utilizados 8 bits para a máscara de sub-rede e 24 bits para
hosts. Você pode utilizar, por exemplo, 12 bits para a máscara de sub-rede, restando 20 bits para
endereços de host.
Na Figura 2.25, apresento os cálculos para o número de sub-redes e o número de hosts dentro de
cada sub-rede, apenas para os casos que podem ser utilizados na prática, ou seja, duas ou mais
sub-redes e dois ou mais endereços válidos em cada sub-rede.
Figura 2.25 Número de redes e número de hosts em cada rede – divsão de uma rede Classe C.
Lembrando que a fórmula para calcular o número de sub-redes é:
Número de sub-redes = 2n – 2
onde n é o número de bits a mais utilizados para a máscara de sub-rede.
E a fórmula para calcular o número de endereços IP dentro de cada sub-rede é:
2n – 2
onde n é o número de bits restantes, isto é, não utilizados pela máscara de sub-rede.
Até aqui trabalhei com um exemplo de uma rede Classe C, que está sendo subdividida em várias
sub-redes. Porém também é possível subdividir redes Classe A e Classe B. Lembrando que redes
Classe A utilizam, por padrão, apenas 8 bits para o endereço de rede, já as Classe B, utilizam, por
padrão, 16 bits. Na Figura 2.26, apresento um resumo do número de bits utilizados para a máscara
de sub-rede, por padrão, nas Classes A, B e C.
Figura 2.26 Máscara padrão para as Classes A, B e C.
Para subdividir uma rede Classe A em sub-redes, basta usar bits adicionais para a máscara de
sub-rede. Por padrão são utilizados 8 bits. Se você utilizar 10, 12 ou mais bits, estará criando
sub-redes. O mesmo raciocínio é válido para as redes Classe B, as quais utilizam, por padrão, 16


bits para a máscara de sub-rede. Se você utilizar 18, 20 ou mais bits para a máscara de sub-rede, es-
tará subdividindo a rede Classe B em várias sub-redes.
As fórmulas para cálculo do número de sub-redes e do número de hosts em cada sub-rede são as
mesmas apresentadas anteriormente, independentemente da classe da rede que está sendo divi-
dida em sub-redes.
Na Figura 2.27, apresento uma tabela com o número de sub-redes e o número de hosts em cada
sub-rede, dependendo do número de bits adicionais (além do padrão definido para a classe) utili-
zados para a máscara de sub-rede, para a divisão de uma rede Classe B:
Figura 2.27 Número de redes e número de hosts em cada rede – Classe B.
Observe como o entendimento dos cálculos binários realizados pelo TCP/IP facilita o entendi-
mento de vários assuntos relacionados ao TCP/IP, inclusive o conceito de subnetting. Por padrão,
a classe B utiliza 16 bits para a máscara de sub-rede, ou seja, uma máscara padrão 255.255.0.0.
Agora se utilizarmos 8 bits adicionais (todo o terceiro octeto) para a máscara, teremos todos os bits
do terceiro octeto como sendo iguais a 1, com isso a máscara passa a ser: 255.255.255.0. Este resul-
tado está coerente com a tabela da Figura 2.27. Agora vamos avançar um pouco mais. Ao invés de
8 bits adicionais, vamos utilizar 9, ou seja, todo o terceiro octeto (8 bits) mais o primeiro bit do
quarto octeto. O primeiro bit, o bit bem à esquerda, é o bit de valor mais alto, ou seja, o que vale
128. Ao usar este bit também para a máscara de sub-rede, obtemos a seguinte máscara:
255.255.255.128. Também fecha com a tabela da Figura 2.27. Com isso você pode concluir que o
entendimento da aritemética e da representação binária, facilita muito o estudo do protocolo
TCP/IP e de assuntos relacionados, tais como subnetting e roteamento.
Na Figura 2.28, apresento uma tabela com o número de sub-redes e o número de hosts em cada
sub-rede, dependendo do número de bits adicionais (além do padrão definido para a classe) utili-
zados para a máscara de sub-rede, para a divisão de uma rede Classe A.


Figura 2.28 Número de redes e número de hosts em cada rede – Classe A.
Um fato importante, que eu gostaria de destacar novamente, é que todas as sub-redes (resultantes
da divisão de uma rede) utilizam o mesmo número para a máscara de sub-rede. Por exemplo, na
quarta linha da tabela indicada na Figura 2.28, estou utilizando 5 bits adicionais para a máscara de
sub-rede, o que resulta em 30 sub-redes diferentes, porém todas utilizando como máscara de
sub-rede o seguinte número: 255.248.0.0.
Muito bem, entendido o conceito de divisão em sub-redes e de determinação do número de

sub-redes, do número de hosts em cada sub-rede e de como é formada a nova máscara de sub-rede,
a próxima questão que pode surgir é a seguinte:
“Como listar as faixas de endereços para cada sub-rede? “
Este é exatamente o assunto que vem a seguir.
COMO LISTAR AS FAIXAS DE ENDEREÇOS DENTRO DE CADA SUB-REDE

Vamos entender esta questão através de exemplos práticos.
Exemplo 01: Dividir a seguinte rede Classe C: 129.45.32.0/255.255.255.0. São necessárias, pelo
menos, dez sub-redes. Determinar o seguinte:
a) Quantos bits serão necessários para fazer a divisão e obter pelo menos dez sub-redes?
b) Quantos números IP (hosts) estarão disponíveis em cada sub-rede?
c) Qual a nova máscara de sub-rede?
d) Listar a faixa de endereços de cada sub-rede.


Vamos ao trabalho. Para responder a questão da letra a, você deve lembrar da fórmula:
n
Número de sub-redes = 2 – 2
Você pode ir substituindo n por valores sucessivos, até atingir ou superar o valor de 10. Por exem-
plo, para n=2, a fórmula resulta em 2, para n=3, a fórmula resulta em 6, para n=4 a fórmula resulta
em 14. Bem, está respondida a questão da letra a, temos que utilizar 4 bits do quarto octeto para
fazer parte da máscara de sub-rede.
a) Quantos bits serão necessários para fazer a divisão e obter pelo menos dez sub-redes?
R: 4 bits.
Como utilizei 4 bits do último octeto (além dos 24 bits dos três primeiros octetos, os quais já fazi-
am parte da máscara original), sobraram apenas 4 bits para os endereços IP, ou seja, para os ende-
reços de hosts em cada sub-rede. Tenho que lembrar da seguinte fórmula:
Núm. de endereços IP dentro de cada sub-rede = 2n– 2
substituindo n por 4, vou obter um valor de 14. Com isso já estou em condições de responder a al-
ternativa b.

R: 14.
Como utilizei 4 bits do quarto octeto para fazer a divisão em sub-redes, os quatro primeiros bits fo-
ram definidos igual a 1. Basta somar os respectivos valores, ou seja: 128+64+32+16 = 240. Com os
quatro primeiros bits do quarto octeto sendo iguais a 1, o valor do quarto octeto passa para 240,
com isso já temos condições de responder a alternativa c.

R: 255.255.255.240
É importante lembrar, mais uma vez, que esta será a máscara de sub-rede utilizada por todas as 14
sub-redes.
Esta é a novidade deste item. Como saber de que número até que número vai cada endereço IP.
Esta também é fácil, embora seja novidade. Observe o último bit definido para a máscara. No
nosso exemplo, é o quarto bit do quarto octeto. Qual o valor decimal do quarto bit? 16 (o prime-
iro é 128, o segundo 64, o terceiro 32 e assim por diante, conforme explicado no início do capí-
tulo). O valor do último bit é um indicativo das faixas de variação para este exemplo. Na prática,
temos 16 hosts em cada sub-rede, embora o primeiro e o último não devam ser utilizados, pois o
primeiro é o endereço da própria sub-rede e o último é o endereço de broadcast da sub-rede. Por
isso que ficam 14 hosts por sub-rede, devido ao ‘-2’ na fórmula: o ‘-2’ significa: o primeiro e o úl-


timo. Ao listar as faixas, consideramos os 16 hosts, apenas é importante salienar que o primeiro
e o último não são utilizados. Com isso a primeira sub-rede vai do host 0 até o 15, a segunda
sub-rede do 16 até o 31, a terceira do 32 até o 47 e assim por diante, conforme indicado no esque-
ma a seguir.
Divisão da rede em 14 sub-redes, onde cada sub-rede fica com 16 endereços IP, sendo que a primeira
e a última sub-rede não são utilizadas e o primeiro e o último número IP, dentro de cada sub-rede,
também não são utilizados.
Sub-rede 01 129.45.32.0 –> 129.45.32.15

Sub-rede 02 129.45.32.16 –> 129.45.32.31
Sub-rede 03 129.45.32.32 –> 129.45.32.47
Sub-rede 04 129.45.32.48 –> 129.45.32.63
Sub-rede 05 129.45.32.64 –> 129.45.32.79
Sub-rede 06 129.45.32.80 –> 129.45.32.95
Sub-rede 07 129.45.32.96 –> 129.45.32.111
Sub-rede 08 129.45.32.112 –> 129.45.32.127
Sub-rede 09 129.45.32.128 –> 129.45.32.143
Sub-rede 10 129.45.32.144 –> 129.45.32.159
Sub-rede 11 129.45.32.160 –> 129.45.32.175
Sub-rede 12 129.45.32.176 –> 129.45.32.191
Sub-rede 13 129.45.32.192 –> 129.45.32.207
Sub-rede 14 129.45.32.208 –> 129.45.32.223
Sub-rede 15 129.45.32.224 –> 129.45.32.239
Sub-rede 16 129.45.32.240 –> 129.45.32.255
Vamos a mais um exemplo prático, agora usando uma rede Classe B, que tem, inicialmente, uma
máscara de sub-rede: 255.255.0.0.
Exemplo 02: Dividir a seguinte rede Classe B: 150.100.0.0/255.255.0.0. São necessárias, pelo me-
nos, 20 sub-redes. Determinar o seguinte:
a) Quantos bits serão necessários para fazer a divisão e obter pelo menos 20 sub-redes?
Vamos ao trabalho. Para responder a questão da letra a, você deve lembrar da fórmula:
Núm. de sub-redes = 2n – 2


Você pode ir substituindo n por valores sucessivos, até atingir ou superar o valor de 10. Por exem-
plo, para n=2, a fórmula resulta em 2, para n=3, a fórmula resulta em 6, para n=4 a fórmula resulta
em 14 e para n=5 a fórmula resulta em 30. Bem, está respondida a questão da letra a, temos que
utilizar 5 bits do quarto octeto para fazer parte da máscara de sub-rede. Pois se utilizarmos apenas
4 bits, obteremos somente 14 sub-redes e usando mais de 5 bits, obteremos um número de
sub-redes bem maior do que o necessário.
a) Quantos bits serão necessários para fazer a divisão e obter pelo menos 20 sub-redes?
R: 5 bits.
Como utilizei 5 bits do terceiro octeto (além dos 16 bits dos dois primeiros octetos, os quais já fazi-
am parte da máscara original), sobraram apenas 11 bits (os três restantes do terceiro octeto mais os
8 bits do quarto octeto) para os endereços IP, ou seja, para os endereços de hosts em cada sub-rede.
Tenho que lembrar da seguinte fórmula:
Núm. de endereços IP dentro de cada sub-rede = 2n – 2
substituindo n por 11 (número de bits que restaram para a parte de host), vou obter um valor de
2.046, já descontando o primeiro e o último número, os quais não podem ser utilizados, confor-
me já descrito anteriormente. Com isso já estou em condições de responder a alternativa b.

R: 2.046.
Como utilizei 5 bits do terceiro octeto para fazer a divisão em sub-redes, os cinco primeiros bits fo-
ram definidos igual a 1. Basta somar os respectivos valores, ou seja: 128+64+32+16+8 = 248.
Assim, com os quatro primeiros bits do quarto octeto sendo iguais a 1, o valor do quarto octeto
passa para 248, com isso já temos condições de responder a alternativa c.

R: 255.255.248.0
É importante lembrar, mais uma vez, que esta será a máscara de sub-rede utilizada por todas as 30
sub-redes.
Como saber de que número até que número vai cada endereço IP. Esta também é fácil e o raciocí-
nio é o mesmo utilizado para o exemplo anterior, onde foi feita uma divisão de uma rede Classe C.
Observe o último bit definido para a máscara. No nosso exemplo é o quinto bit do terceiro octeto.
Qual o valor decimal do quinto bit (de qualque octeto)? 8 (o primeiro é 128, o segundo 64, o ter-
ceiro 32, o quarto é 16 e o quinto é 8, conforme explicado no início do capítulo). O valor do últi-
mo bit é um indicativo das faixas de variação para este exemplo. Na prática, temos 2.048 hosts em
cada sub-rede, embora o primeiro e o último não devam ser utilizados, pois o primeiro é o ende-
reço da própria sub-rede e o último é o endereço de broadcast da sub-rede. Por isso que ficam


2.046 hosts por sub-rede, devido ao ‘-2’ na fórmula, que significa o primeiro e o último. Ao listar
as faixas, consideramos o valor do último bit da máscara. No nosso exemplo é o 8. A primeira faixa
vai do zero até um número anterior ao valor do último bit, no caso do 0 ao 7. A seguir, indico a fai-
xa de endereços da primeira sub-rede (sub-rede que não será utilizada na prática, pois descarta-se
a primeira e a última):
Sub-rede 01 150.100.0.1 –> 150.100.7.254
Com isso, todo endereço IP que tiver o terceiro número na faixa entre 0 e 7, será um número IP da
primeira sub-rede, conforme os exemplos a seguir:
150.100.0.25
150.100.3.20
150.100.5.0
150.100.6.244
Observe que os valores de 0 a 7 são definidos no terceiro octeto, que é onde estamos utilizando 5
bits a mais para fazer a divisão em sub-redes.
Qual seria a faixa de endereços IP da próxima sub-rede? Aqui vale o mesmo reciocínio. O último
bit da máscara equivale ao valor 8. Esta é a variação da terceira parte do número IP, que é onde está
sendo feita a divisão em sub-redes. Então, se a primeira foi de 0 até 7, a segunda sub-rede terá valo-
res de 8 a 15 no terceiro octeto, a terceira sub-rede terá valores de 16 a 23 e assim por diante.
Divisão da rede em 32 sub-redes, onde cada sub-rede fica com 2.048 endereços IP, sendo que a pri-
meira e a última sub-rede não são utilizadas e o primeiro e o último número IP, dentro de cada
sub-rede, também não são utilizados:
Sub-rede Primeiro IP Último IP Endereço de broadcast Número

150.100.0.0 150.100.0.1 150.100.7.254 150.100.7.255 1
150.100.8.0 150.100.8.1 150.100.15.254 150.100.15.255 2
150.100.16.0 150.100.16.1 150.100.23.254 150.100.23.255 3
150.100.24.0 150.100.24.1 150.100.31.254 150.100.31.255 4
150.100.32.0 150.100.32.1 150.100.39.254 150.100.39.255 5
150.100.40.0 150.100.40.1 150.100.47.254 150.100.47.255 6
150.100.48.0 150.100.48.1 150.100.55.254 150.100.55.255 7
150.100.56.0 150.100.56.1 150.100.63.254 150.100.63.255 8
150.100.64.0 150.100.64.1 150.100.71.254 150.100.71.255 9
150.100.72.0 150.100.72.1 150.100.79.254 150.100.79.255 10
150.100.80.0 150.100.80.1 150.100.87.254 150.100.87.255 11
150.100.88.0 150.100.88.1 150.100.95.254 150.100.95.255 12
150.100.96.0 150.100.96.1 150.100.103.254 150.100.103.255 13


Sub-rede Primeiro IP Último IP Endereço de broadcast Número

150.100.104.0 150.100.104.1 150.100.111.254 150.100.111.255 14
150.100.112.0 150.100.112.1 150.100.119.254 150.100.119.255 15
150.100.120.0 150.100.120.1 150.100.127.254 150.100.127.255 16
150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17
150.100.136.0 150.100.136.1 150.100.143.254 150.100.143.255 18
150.100.144.0 150.100.144.1 150.100.151.254 150.100.151.255 19
150.100.152.0 150.100.152.1 150.100.159.254 150.100.159.255 20
150.100.160.0 150.100.160.1 150.100.167.254 150.100.167.255 21
150.100.168.0 150.100.168.1 150.100.175.254 150.100.175.255 22
150.100.176.0 150.100.176.1 150.100.183.254 150.100.183.255 23
150.100.184.0 150.100.184.1 150.100.191.254 150.100.191.255 24
150.100.192.0 150.100.192.1 150.100.199.254 150.100.199.255 25
150.100.200.0 150.100.200.1 150.100.207.254 150.100.207.255 26
150.100.208.0 150.100.208.1 150.100.215.254 150.100.215.255 27
150.100.216.0 150.100.216.1 150.100.223.254 150.100.223.255 28
150.100.224.0 150.100.224.1 150.100.231.254 150.100.231.255 29
150.100.232.0 150.100.232.1 150.100.239.254 150.100.239.255 30
150.100.240.0 150.100.240.1 150.100.247.254 150.100.247.255 31
150.100.248.0 150.100.248.1 150.100.255.254 150.100.255.255 32
Com base na tabela apresentada, fica fácil responder em que sub-rede está contido um determina-
do número IP. Por exemplo, considere o número IP 150.100.130.222. Primeiro você observa o ter-
ceiro octeto do número IP (o terceiro, porque é neste octeto que estão os últimos bits que foram
utilizados para a máscara de sub-rede). Consultando a tabela anterior, você observa o valor de 130
para o terceiro octeto corresponde a sub-rede 17, na qual o terceiro octeto varia entre 128 e 135,
conforme indicado a seguir:
150.100.128.0 150.100.128.1 150.100.135.254 150.100.135.255 17
Bem, com isso concluo o nosso estudo sobre dois princípios fundamentais do protocolo TCP/IP:
l Roteamento
l Subnetting (divisão de uma rede em sub-redes).
A seguir, farei um estudo sobre os principais comandos utilizados para detecção e correção de er-
ros com o protocolo TCP/IP.
USANDO COMANDOS PARA DETECÇÃO DE PROBLEMAS NA REDE

Gerenciar uma rede de computadores não é uma tarefa simples. Problemas acontecem e, muitas ve-
zes, detectar as causas destes problemas não é fácil. Existem alguns comandos básicos que podem nos
ajudar a determinar se um servidor está ou não se comunicando com a rede, verificar rapidamente as


configurações de rede, verificar se existem problemas com a resolução de nomes DNS, além de traçar
um mapa de todos os equipamentos existentes no caminho entre dois computadores.
Neste item apresentarei alguns comandos básicos. Alguns comandos serão detalhados em outros
capítulos deste livro. Neste item você aprenderá a utilizar os comandos indicados na Tabela 2.2.
Tabela 2.2 Alguns comandos úteis.
Comando Descrição
Ping É utilizado para testar se um determinado computador está conectado à
rede. Existem diversas opções que alteram o comportamento deste
comando. Para uma listagem completa das opções do comando ping, basta
digitar ping /? e teclar Enter, em uma janela do Prompt de comando.
Tracert Traça um mapa do caminho percorrido por uma pacote de informação,
desde a máquina de origem até a máquina de destino. Para uma listagem
de todas as opções deste comando, digite tracert /? e tecle Enter, em uma
janela do Prompt de comando.
Ipconfig Utilizado para exibir as configurações TCP/IP da máquina. Também pode
ser utilizado para renovar a alocação de um endereço IP, obtido a partir de
um servidor DHCP e para limpar o cache do DNS local.
Nslookup Permite a verificação da resolução de nomes, através do DNS.
Hostname Exibe o nome do computador.
Agora vamos ver alguns exemplos práticos de utilização destes comandos.
Utilizaremos os comandos ping e tracert para verificar problemas de conexão com a rede.
1. Faça o logon como Administrador.
2. Abra um Prompt de comando (Iniciar – Programas – Acessórios – Prompt de comando).
3. Vamos começar fazendo um teste, no qual iremos simular um ping para um servidor que
está com problemas. Digite o seguinte comando:
ping xuxaxico
4. O Windows 2000 Server exibe uma mensagem: Host desconhecido. Esta mensagem indica
que o Windows 2000 Server não conseguiu descobrir o número IP correspondente ao
nome de servidor xuxaxico. Obviamente que o Windows 2000 Server não descobriu, por-
que este servidor simplesmente não existe (a menos que você tenha um servidor com este
nome, o que é pouco provável).
5. Agora vou dar um ping para um servidor que existe (server2 que eu sei que existe na rede na
qual estou trabalhando), porém, está desligado. Utilizei o comando ping server2. Observe
os resultados na Figura 2.29.


Figura 2.29 O servidor server2 existe, porém não está respondendo.
6. Observe que o Windows 2000 Server conseguiu achar o número IP associado com o nome
server2 (10.204.123.2 no nosso exemplo), porém não conseguiu se comunicar com o servi-
dor, conforme indicado pela mensagem: Esgotado o tempo limite do pedido. Por padrão, o
comando ping espera por uma resposta por 1 seg (1000 mili segundos – ms), e por até quatro
pacotes. Podemos mudar este comportamento, utilizando algumas opções do comando
ping.
Por exemplo: ping server2 –n 10 –w 3000
faz com que o Windows 2000 Server tente enviar e receber dez pacotes (–n 10) e espere por
até 3 segundos (–w 3000), a resposta de cada pacote.
7. Agora vou ligar o servidor server2 e dar um ping para este servidor. Utilizando o comando ping
server2, obtive resposta para todos os pacotes enviados, conforme indicado pela Figura 2.30.
Figura 2.30 Comando ping, indicando que server2 está OK.


8. Com isso podemos ver que o comando ping é de grande utilidade para podermos, rapida-
mente, determinar se um determinado computador está ou não com problemas. Caso você
queira apenas verificar se o TCP/IP está corretamente instalado e funcionando, simples-
mente digite o seguinte comando: ping localhost e tecle Enter. O nome localhost é um
“apelido” para o nome da máquina.
9. Podemos utilizar o comando tracert para determinar o caminho que a informação percorre
entre dois computadores quaisquer.
10. Ainda com o Prompt de comando aberto, digite: tracert server2 e tecle Enter. Substitua ser-
ver2 pelo nome de um computador da rede onde você está trabalhando. O Windows 2000
Server exibirá uma listagem com todos os equipamentos entre o seu computador e o com-
putador de destino. Caso ambos estejam na mesma rede é provável que a conexão seja dire-
ta, o que é indicado por apenas o nome do computador de destino.
11. Caso você esteja conectado com a Internet, digite: tracert www.microsoft.com e tecle
Enter. O Windows 2000 Server começa a exibir uma listagem de endereços IP, um em cada
linha. Cada linha indica um equipamento – seja um computador ou roteador – existente
entre o seu computador e o computador onde fica o site da Microsoft. Não se surpreenda se
a listagem chegar a 15 ou mais equipamentos.
12. O comando tracert é muito útil na monitoração de problemas na rede. Muitas vezes não es-
tamos conseguindo comunicação com um determinado servidor em uma rede remota e
podemos pensar que o problema é neste servidor. Na verdade, o problema pode ser em
qualquer um dos equipamentos no caminho entre a nossa rede e o equipamento de desti-
no. Um roteador, que esteja com problemas no caminho, pode ser o suficiente para impe-
dir a conexão, caso não existam caminhos alternativos. O comando tracert é capaz de nos
indicar onde está o problema.
13. Digite exit e tecle Enter, para sair do Prompt de comando.
Para verificar as configurações do TCP/IP, siga os passos indicados a seguir:
3. Digite ipconfig e tecle Enter. O Windows 2000 Server exibe informações sobre o sufixo
DNS, número IP, Subnet mask e Default gateway, conforme indicado na Figura 2.31.
4. Caso você queira um número maior de informações, utilize o comando ipconfig /all e
tecle Enter. O Windows 2000 Server exibe uma série de informações, conforme indica-
do na Figura 2.32.
5. Com o comando ipconfig, podemos rapidamente ter acesso a uma série de informações so-
bre as configurações do TCP/IP e da rede.


Figura 2.31 Utilizando o comando ipconfig.
Figura 2.32 Utilizando o comando ipconfig /all.
Agora vamos ver um exemplo prático de utilização do comando nslookup para pesquisar infor-
mações no servidor DNS.
Para utilizar o comando nslookup, siga os passos indicados a seguir:
3. Podemos utilizar o comando nslookup em dois modos diferentes. No modo direto, digita-
mos o comando e mais alguns parâmetros, e o Windows 2000 Server retorna um determi-
nado resultado. Considere o exemplo da Figura 2.33, onde digitei o seguinte comando


Figura 2.33 Utilizando o comando nslookup, no modo direto.
nslookup server2. O Windows 2000 Server me retorna diversas informações. Nas duas pri-
meiras linhas, é retornado o nome e o endereço IP do servidor DNS pesquisado. Na segunda
linha, é retornado o nome e o endereço IP do servidor server2.
4. Caso tenhamos que fazer várias pesquisas de nome, pode ser mais interessante utilizar o co-
mando nslookup no modo interativo. Neste modo, digite simplesmente nslookup e tecle
Enter. O Windows 2000 Server exibe o nome e o número IP do servidor DNS configurado
como DNS primário, nas propriedades do TCP/IP e abre um prompt indicado pelo sinal de
maior (>), conforme indicado pela Figura 2.34.
Figura 2.34 Utilizando o comando nslookup, no modo interativo.
5. No modo interativo, no prompt >, digite help e tecle Enter, será exibida uma listagem com
os diversos comandos disponíveis no modo interativo.
6. Para achar o endereço IP de um computador da rede, simplesmente digite o nome do com-
putador e tecle Enter.
7. Experimente o comando ls –d caruncho.com (troque caruncho.com pelo nome do seu do-
mínio DNS) e tecle Enter. Este comando irá listar todos os registros DNS do domínio carun-
cho.com, inclusive alguns registros criados pelo Windows 2000 Server para uso interno do
Active Directory.


8. Para sair do modo interativo digite exit e tecle Enter.
9. Para sair do Prompt de comando, digite exit e tecle Enter.
Para verificar o nome do servidor, utilizando o comando hostname, siga os passos indicados a seguir:
3. O comando hostname é extremamente simples. Não tem parâmetros e simplesmente re-

torna o nome do servidor.
4. No Prompt de comando, digite hostname e tecle Enter. O Windows 2000 Server retorna o
nome do servidor.
5. Digite exit e tecle Enter para fechar o Prompt de comando.
RESUMO, NÃO ESQUEÇA E QUESTÕES DE TESTE

Existem alguns pontos fundamentais deste capítulo, os quais gostaria de revisar neste tópico,
pontos estes fundamentais para o exame 70-216:
1. O TCP/IP é um protocolo de comunicação e transporte. É o protocolo utilizado na Internet

e adotado pela quase totalidade das redes das empresas.
2. Para se comunicar em uma rede local, toda estação de trabalho com o protocolo TCP/IP
deve ter, pelo menos, os seguintes parâmetros corretamente configurados:
Número IP
Máscara de sub-rede
3. Para se comunicar com outras redes, além dos parâmetros do item 2, a estação de trabalho
também deve ter configurado o número IP do Default Gateway (Gateway Padrão). Este nú-
mero, normalmente, é o número IP da interface de LAN do roteador.
4. Não pode haver dois equipamentos com o mesmo número IP em uma rede. Isso caracteriza
um conflito de número IP.
5. A máscara de sub-rede define o número de bits que são utilizados para identificar a rede e o
número de bits para identificar o computador dentro da rede.
6. Foram criadas classes padrão de endereços IP: Classe A, Classe B, Classe C, Classe D e Classe
E. Lembre que a Classe D é reservada para o uso de tráfego multicast.
7. O roteamento é feito com base em tabelas de roteamento localizadas nos roteadores da rede.


8. Cada computador tem uma mini-tabela de roteamento interna. Esta tabela pode ser exibi-
da com o comando route print. Todas as entradas desta mini-tabela de roteamento foram
explicadas neste capítulo.
9. É possível dividir uma rede padrão em sub-redes. Para isso basta aumentar o número de bits
utilizados para a máscara de sub-rede.
10. O número de sub-redes obtidas é calculada pela fórmula a seguir, onde ‘n’ indica o número
de bits adicionais, utilizados para a máscara de sub-rede:
Número de sub-redes = 2n – 2
11. O número de endereços IP em cada sub-rede é calculado pela fórmula a seguir, onde ‘n’ in-
dica o número de bits destinados a parte de host, ou seja, os 32 bits do endereço IP menos os
bits utilizados para a máscara de sub-rede. Por exemplo, se você utiliza 26 bits para a másca-
ra de sub-rede, restam 6 bits para endereços IP. Este é o valor de n na fórmula a seguir:
Número de endereços IP dentro de cada sub-rede = 2n – 2
CONCLUSÃO
Este foi um capítulo quase que totalmente teórico. Foram apresentados conceitos importantes
para que o leitor possa entender a parte prática que será apresentada no restante do livro. Por
exemplo, é impossível entender e administrar serviços como o DNS e DHCP, sem conhecer os
princípios básicos do TCP/IP apresentados neste capítulo.
Neste capítulo, tratei de um assunto extremamente importante: o protocolo TCP/IP.
Apresentei os conceitos básicos do protocolo, iniciando pela definição de protocolo e pelo papel
do TCP/IP em uma rede de computadores. Em seguida, falei sobre os parâmetros do TCP/IP que
devem estar configurados em um computador, tais como:
l Número IP
l Default Gateway
l Servidor DNS
Você também aprendeu um pouco sobre sistemas de numeração, mais especificamente sobre o
sistema de numeração decimal e o sistema de numeração binário. Aprendeu a fazer alguns cálcu-
los básicos. Em seguida, mostrei como o TCP/IP utiliza a aritmética binária para determinar se
dois computadores estão na mesma rede ou em redes diferentes.


Continuei o capítulo apresentando os conceitos básicos sobre roteamento e apresentando um

exemplo detalhadamente explicado, com os passos envolvidos no roteamento de informações
entre duas redes distantes, ligadas através de um link de WAN. Também apresentei exemplos
mais avançados de roteamento e falei sobre tabelas de roteamento.
Para encerrar o capítulo falei sobre o conceito de subnetting, ou seja, a divisão de uma rede padrão
em sub-redes. Apresentei como é feita a divisão, através de exemplos práticos.
Sei que um capítulo teórico é sempre, digamos, “mais chato” de acompanhar. Porém tenha certe-
za, amigo leitor, que os conceitos apresentados neste capítulo irão ajudá-lo a entender melhor a
parte prática dos demais capítulos deste livro. Caso tenha ficado alguma dúvida sobre algum con-
ceito deste capítulo, peço que você volte ao ponto onde está a dúvida e leia novamente. É muito
importante que você entenda os conceitos aqui apresentados, antes de seguir adiante.
Esteja preparado para encontrar questões diretamente relacionadas ao protocolo TCP/IP, no Exa-
me 70-216. Por exemplo, pode ser apresentada uma situação onde você tem que determinar o nú-
mero de bits da máscara de sub-rede, com base no número de sub-redes exigidas pelo enunciado
da questão. Tendo o número de bits você poderá determinar a máscara de sub-rede (lembre que a
máscara é a mesma para todas as sub-redes), o número de redes e a faixa de endereços em cada
sub-rede. Dependendo da intenção de quem elabora o exame, podem ser apresentadas questões
mais sutis. Por exemplo, apresento uma rede onde um dos computadores não está conseguindo se
comunicar com os demais computadores da rede. Analisando a máscara de sub-rede apresentada,
você pode perceber que na verdade a rede foi sub-dividida em sub-redes e o computador que não
consegue se comunicar não pertence a mesma sub-rede dos demais computadores, ou seja, é
como se fosse um computador de uma rede diferente. Eu não sei se a equipe que elabora os exames
chegará a este nível de detalhe, mas estando preparado para este tipo de questão, as demais serão,
digamos assim, fáceis.
No último capítulo deste livro você encontra um simulado com 60 questões, com respostas e co-
mentários.



Capítulo 3
IMPLEMENTAÇÃO E
ADMINISTRAÇÃO DO DNS

INTRODUÇÃO
Neste capítulo, você aprenderá a instalar, configurar, administrar e resolver problemas relaciona-
dos com o DNS. DNS é a abreviatura de Domain Name System.
O DNS, basicamente, é um serviço para resolução de nomes. A Internet é completamente depen-

dente do DNS para a resolução de nomes. Toda comunicação usando o protocolo TCP/IP é feita,
na prática, com base no número IP do computador de destino e no número IP do computador de
origem. Por exemplo, quando você digita www.microsoft.com, para acessar o site da Microsoft, o
DNS é que localiza o endereço IP associado com o nome www.microsoft.com. Uma vez feita esta
resolução, a comunicação pode ser estabelecida, com base no endereço IP fornecido pelo DNS. Se
não houver essa resolução, simplesmente não é possível estabelecer a comunicação. Mostrarei
como instalar, configurar e administrar o DNS.
O DNS é, sem dúvidas, um dos serviços sobre o qual os usuários e administradores mais tem dú-
vidas. Neste capítulo, vou ajudá-lo (espero atingir este objetivo) a entender o DNS e a utilizar o
DNS no Windows 2000 Server. Apresentarei os conceitos teóricos sobre os quais se baseia o DNS
e, em seguida, mostrarei como instalar e administrar o DNS. Você verá que o DNS não tem nada
de complicado.
Vou iniciar o capítulo com a apresentação dos fundamentos teóricos do DNS. Vou mostrar o que é
exatamente o DNS, como é montada a estrutura hierárquica de nomes no DNS, o conceito de es-
paço contínuo de nomes. Também mostrarei como o DNS resolve consultas enviadas pelos clien-
tes, utilizando diferentes métodos: o cache do servidor DNS e os métodos de recursão ou intera-
ção. Você entenderá como a natureza distribuída da base de dados do DNS é utilizada na
resolução de nomes. Também falarei sobre o resolver, que é o nome utilizado para indicar o clien-
te DNS instalado nas estações de trabalho da rede.
Nesta parte teórica, além dos métodos de resolução, o ponto principal será entender, com clareza, a
diferença entre zona e domínio. Este é um dos conceitos que mais causa dúvidas aos administrado-
res. Através de exemplos simples, procurarei mostrar as diferenças entre estes dois conceitos.
Em seguida, você aprenderá a executar uma série de tarefas práticas relacionadas ao DNS, como
por exemplo:
l Instalar o DNS.
l Usar o console de administração do DNS.
l Criar zonas primárias diretas e inversas.
l Configurar as propriedades de uma zona.
l Restringir os servidores com permissão de transferir informações de uma zona.
l Configurar as propriedades do servidor DNS.


Capítulo 3 – IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO DNS
l Entender e configurar a atualização dinâmica do DNS.

l Fazer a integração de zonas do DNS com o Active Directory.
l Configurar propriedades avançadas do servidor DNS.
l Entender e implementar o conceito de stub zones.
l Entender e configurar forwarders.
l Configurar a segurança no acesso aos dados do servidor DNS.
DNS – CONCEITOS TEÓRICOS

DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de nomes. Toda
comunicação entre os computadores e demais equipamentos de uma rede baseada no protocolo
TCP/IP (e qual rede não é baseada em TCP/IP?) é feita através do número IP. Número IP do com-
putador de origem e número IP do computador de destino. Porém não seria nada produtivo se os
usuários tivessem que decorar, ou mais realisticamente, consultar uma tabela de números IP toda
vez que tivessem que acessar um recurso da rede. Por exemplo, você digita www.micro-
soft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber
qual o número IP do servidor onde está hospedado o site da Microsoft. Mas alguém tem que fazer
este serviço, pois quando você digita www.microsoft.com/brasil, o protocolo TCP/IP precisa
“descobrir” (o termo técnico é resolver o nome) qual o número IP está associado com o nome digi-
tado. Se não for possível “descobrir” o número IP associado ao nome, não será possível acessar o
recurso desejado.
O papel do DNS é exatamente este: “descobrir” ou, usando o termo técnico, “resolver” um deter-
minado nome, como por exemplo www.microsoft.com. Resolver um nome significa descobrir e
retornar o número IP associado com o nome. Em palavras mais simples, o DNS é um serviço de re-
solução de nomes, ou seja, quando o usuário tenta acessar um determinado recurso da rede usan-
do o nome de um determinado servidor, é o DNS o responsável por localizar e retornar o número
IP associado com o nome utilizado. O DNS é, na verdade, um grande banco de dados distribuído
em milhares de servidores DNS no mundo inteiro, com várias características, as quais descreverei
neste tópico.
O DNS passou a ser o serviço de resolução de nomes padrão a partir do Windows 2000 Server.
Anteriormente, com o NT Server 4.0 e versões anteriores, o serviço padrão para resolução de no-
mes era o WINS – Windows Internet Name Service, o qual será estudado no Capítulo 5. Versões
mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda
são dependentes do WINS, para a realização de determinadas tarefas. O fato de existir dois servi-
ços de resolução de nomes pode deixar o administrador confuso. Cada computador com o Win-
dows instalado (qualquer versão) tem dois nomes, um host name (que é ligado ao DNS) e um
NetBIOS name (que é ligado ao WINS). Na parte prática deste tópico, mostrarei onde são configu-


rados estes nomes que, por padrão, devem ser iguais, ou seja, é aconselhável que você utilize o
mesmo nome para o host name e para o NetBios name.
O DNS é um sistema para nomeação de computadores, equipamentos de rede (tais como roteado-
res, hubs, switchs). Os nomes DNS são organizados de uma maneira hierárquica através da divi-
são da rede em domínios DNS.
O DNS é, na verdade, um grande banco de dados e um conjunto de serviços e funcionalidades,

que permitem a pesquisa neste banco de dados. Por exemplo, quando o usuário digita
www.abc.com.br na barra de endereços do seu navegador, o DNS tem que fazer o trabalho de loca-
lizar e retornar para o navegador do usuário, o número IP associado com o endereço
www.abc.com.br. Quando você tenta acessar uma pasta compartilhada chamada docs, em um ser-
vidor chamado srv-files01.abc.com.br, usando o caminho \\srv-files01.abc.com.br\docs, o DNS
precisa encontrar o númreo IP associado com o nome srv-files01.abc.com.br. Se esta etapa falhar, a
comunicação não será estabelecida e você não poderá acessar a pasta compartilhada docs.
Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se o programa

que você está utilizando perguntasse ao DNS: “DNS, você sabe qual o endereço IP associado com o
nome tal?”. O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS
(dependendo de como foram feitas as configurações do servidor DNS, conforme descreverei mais
adiante). Uma vez encontrado o número IP, o DNS retorna o número IP para o cliente: “Este é o
número IP associado com o nome tal.”
O DNS implementado no Windows 2000 Server e também no Windows Server 2003 é baseado
em padrões definidos por entidades de padronização da Internet, tais como o IETF. Estes docu-
mentos são conhecidos como RFCs – Request for Comments. Você encontra, na Internet, facilmente
a lista de RFCs disponíveis e o assunto relacionado com cada uma. São milhares de RFCs (literal-
mente milhares).
ENTENDENDO OS ELEMENTOS QUE COMPÕEM O DNS

O DNS é baseado em conceitos tais como espaço de nomes e árvore de domínios. Por exemplo, o
espaço de nomes da Internet é um espaço de nomes hierárquico, baseado no DNS. Para entender
melhor estes conceitos, observe o diagrama da Figura 3.1.
Na Figura 3.1, é apresentada uma visão abrevida da estrutura do DNS definida para a Internet. O
principal domínio, o domínio root, o domínio de mais alto nível foi nomeado como sendo um
ponto (.). No segundo nível, foram definidos os chamados “Top-level-domains”. Estes domínios
são bastante conhecidos, sendo os principais descritos na Tabela 3.1.


net com edu mil gov int org
br fr uk
abc
Ethernet
ftp www
abc.com.br
Figura 3.1 Estrutura hierárquica do DNS.
Tabela 3.1 Top-level-domains.
Top-level-domain Descrição
com Organizações comerciais
gov Organizações governamentais
edu Instituições educacionais
org Organizações não-comerciais
net Diversos
mil Instituições militares
Em seguida, a estrutura hierárquica continua aumentando. Por exemplo, dentro do domínio

.com, são criados subdomínios para cada país. Por exemplo: br para o Brasil (.com.br), .fr para a
frança (.com.fr), uk para a Inglaterra (.com.uk) e assim por diante. Observe que o nome completo
de um domínio é o nome do próprio domínio e mais os nomes dos domínios acima dele, no cami-
nho até chegar ao domínio root que é o ponto. Nós normalmente não escrevemos o ponto, mas
não está errado utilizá-lo. Por exemplo, você pode utilizar www.microsoft.com ou www.micro-
soft.com. (com ponto no final mesmo).
No diagrama da Figura 3.1, representei até o domínio de uma empresa chamada abc (abc...), que
foi registrada no subdomínio (.com.br), ou seja: abc.com.br. Este é o domínio DNS da empresa.
Para registrar um domínio .br, utilize o seguinte endereço: www.registro.br.


Todos os equipamentos da rede da empresa abc.com.br farão parte deste domínio. Por exemplo, o
servidor configurado com o nome de host www. O nome completo deste servidor será
www.abc.com.br, ou seja, é com este nome que poderá ser localizado na Internet. O nome com-
pleto do servidor com nome de host FTP será: FTP.abc.com.br, ou seja, é com este nome que este
poderá ser acessado através da Internet. No banco de dados do DNS é que ficará gravada a infor-
mação de qual o endereço IP está associado com www.abc.com.br, qual o endereço IP está associa-
do com FTP.abc.com.br e assim por diante. Mais adiante você verá, passo a passo, como é feita a
resolução de nomes através do DNS.
O nome completo de um computador da rede é conhecido como FQDN – Full Qualifided Domain
Name. Por exemplo, FTP.abc.com.br é um FQDN. FTP (a primeira parte do nome) é o nome de
host e o restante representa o domínio DNS no qual está o computador. A união do nome de host
com o nome de domínio é que forma o FQDN.
Internamente, a empresa abc.com.br poderia criar subdomínios, como por exemplo: vendas.
abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por diante. Dentro de cada um des-
tes subdomínios poderia haver servidores e computadores, como por exemplo: srv01.ven-
das.abc.com.br, srv-pr01.suporte.abc.com.br. Observe que, sempre, um nome de domínio mais
baixo contém o nome completo dos objetos de nível mais alto. Por exemplo, todos os subdomínios
de abc.com.br, obrigatoriamente, contém abc.com.br: vendas.abc.com.br, suporte.abc.com.br,
pesquisa.abc.com.br. Isso é o que define um espaço de nomes contínio.
Dentro de um mesmo nível, os nomes DNS devem ser únicos. Por exemplo, não é possível regis-
trar dois domínios abc.com.br. Porém é possível registrar um domínio abc.com.br e outro
abc.net.br. Dentro do domínio abc.com.br pode haver um servidor chamado srv01. Também
pode haver um servidor srv01 dentro do domínio abc.net.br. O que distingue um do outro é o
nome completo (FQDN), neste caso: srv01.abc.com.br e o outro é srv01.abc.net.br.
Um método antigo, utilizado inicalmente para resolução de nomes era o arquivo hosts. Este arquivo é
um arquivo de texto e contém entradas como as dos exemplos a seguir, uma em cada linha:
10.200.200.3 www.abc.com.br
10.200.200.4 FTP.abc.com.br
10.200.200.18 srv01.abc.com.br srv-files
O arquivo hosts é individual para cada computador da rede e fica gravado na pasta system32\dri-
vers\etc, dentro da pasta onde o Windows 2000 Server está instalado. Este arquivo é um arquivo
de texto e pode ser alterado com o Bloco de notas.
O DNS é formado por uma série de componentes e serviços, os quais atuando em conjunto, tor-
nam possível a tarefa de fazer a resolução de nomes em toda a Internet ou na rede interna da em-
presa. Os componentes do DNS são os seguintes:


l O espaço de nomes DNS: Um espaço de nomes hierárquico e contínuo. Pode ser o espaço de
nomes da Internet ou o espaço de nomes DNS interno, da sua empresa. No Capítulo 6, sobre
planejamento, você aprenderá que pode ser utilizado um espaço de nomes DNS interno, dife-
rente do nome DNS de Internet da empresa ou pode ser utilizado o mesmo espaço de nomes.
Cada uma das abordagens tem vantagens e desvantagens.
l Servidores DNS: Os servidores DNS contêm o banco de dados do DNS com o mapeamento entre os
nomes DNS e o respectivo número IP. Os servidores DNS também são responsáveis por responder
às consultas de nomes enviadas por um ou mais clientes da rede. Você aprenderá mais adiante que
existem diferentes tipos de servidores DNS e diferentes métodos de resolução de nomes.
l Registros do DNS (Resource Records): Os registros são as entradas do banco de dados do DNS. Em
cada entrad,a existe um mapeamento entre um determinado nome e uma informação associada
ao nome. Pode ser desde um simples mapeamento entre um nome e o respectivo endereço IP,
até registros mais sofisticados para a localização de DCs e servidores de e-mail do domínio.
l Clientes DNS: São também conhecidos como resolvers. Por exemplo, uma estação de trabalho
da rede, com o Windows 2000 Professional ou com o Windows XP Professional tem um “resol-
ver” instalado. Este componente de software é responsável por detectar sempre que um pro-
grama precisa de resolução de um nome e repassar esta consulta para um servidor DNS. O ser-
vidor DNS retorna o resultado da consulta, o resultado é retornado para o resolver, o qual
repassa o resultado da consulta para o programa que originou a consulta.
ENTENDENDO COMO FUNCIONAM AS PESQUISAS DO DNS

Imagine um usuário, na sua estação de trabalho, navegando na Internet. Ele tenta acessar o
site www.axcel.com.br. O usuário digita este endereço e tecla Enter. O resolver (cliente do
DNS instalado na estação de trabalho do usuário) detecta que existe a necessidade da resolu-
ção do nome www.axcel.com.br para descobrir o número IP associado com este nome. O re-
solver envia a pesquisa para o servidor DNS configurado como DNS primário, nas proprieda-
des do TCP/IP da estação de trabalho (ou para o DNS informado pelo DHCP, caso a estação de
trabalho esteja obtendo as configurações do TCP/IP, automaticamente, a partir de um servi-
dor DHCP). A mensagem envida pelo resolver, para o servidor DNS, contém três partes de in-
formação, conforme descrito a seguir:
l O nome a ser resolvido; no nosso exemplo: www.axcel.com.br.

l O tipo de pesquisa a ser realizado. Normalmente, é uma pesquisa do tipo “resource record”, ou
seja, um registro associado a um nome, para retornar o respectivo endereço IP. No nosso exem-
plo, a pesquisa seria por um registro do tipo A (você aprenderá sobre os tipos de registros mais
adiante), na qual o resultado da consulta é o número IP associado com o nome que está sendo
pesquisado. É como se o cliente perguntasse para o sevidor DNS: “Você conhece o número IP
associado com o nome www.axcel.com.br?” E o servidor responde: “Sim, conheço. O número


IP associado com o nome www.axcel.com.br é o seguinte...” Também podem ser consultas es-
pecializadas, como por exemplo, para localizar um DC no domínio ou um servidor de autenti-
cação baseado no protocolo Kerberos.
l Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows 2000
Server e Windows Server 2003, a classe será sempre uma classe de Internet (IN), mesmo que o
nome seja referente a um servidor da Intranet da empresa.
Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a primeira vez
que um nome é resolvido, o nome e o respetivo IP são armazenados em memória, no que é conhe-
cido como Cache do cliente DNS, na estação de trabalho que fez a consulta. Na próxima vez que o
nome for utilizado, primeiro o Windows 2000 procura no cache DNS para ver se não existe uma
resolução anterior para o nome em questão. Somente se não houver uma resolução no cache local
do DNS, é que será envida uma consulta para o servidor.
Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do servidor DNS. No
cache do servidor DNS ficam, por um determinado período de tempo, as consultas que foram re-
solvidas pelo servidor DNS anteriormente. Esse processo agiliza a resolução de nomes, evitando
repetidas resoluções do mesmo nome. Se não for encontrada uma resposta no cache do servidor
DNS, o servidor pode tentar resolver a consulta usando as informações da sua base de dados ou
pode enviar a consulta para outros servidores DNS, até que uma resposta seja obtida. A seguir, des-
creverei detalhes deste processo de enviar uma consulta para outros servidores, processo este cha-
mado de recursão.
Em resumo, o processo de resolução de um nome DNS é composto de duas etapas:
1. A consulta inicia no cliente e é passada para o resolver na estação de trabalho do cliente.

Primeiro, o resolver tenta responder a consulta localmente, usando recursos tais como o
cache local do DNS e o arquivo hosts.
2. Se a consulta não puder ser resolvida localmente, o resolver envia a consulta para o servi-
dor DNS, o qual pode utilizar diferentes métodos (descritos mais adiante) para a resolu-
ção da consulta.
A seguir, vou descrever as etapas envolvidas nas diferentes maneiras que o DNS utiliza para “res-
ponder” a uma consulta enviada por um cliente.
Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar a maneira como
o DNS resolve consultas localmente (resolver) e os diferentes métodos de resolução utilizados
pelo servidor DNS.
Inicialmente, considere o diagrama da Figura 3.2, contido na Ajuda do DNS, diagrama este que
apresenta uma visão geral do processo de resolução de nomes do DNS.


DNS Client (resolver) Client-to-server query Server-to-server query

(recursion)
Root
Zones hints file
(Cache.dns)
Other DNS server
DNS Q3
resolver DNS A3
cache server
Web browser Q1 Q2 Q5
URL: www.microsoft.com A1 A2 A5
Q4
A4
DNS server cache

HOSTS file
Figura 3.2 O processo de resolução de nomes do DNS.
No exemplo da Figura 3.2, o cliente está em sua estação de trabalho e tenta acessar o site da Micro-
soft: www.microsoft.com. Ao digitar este endereço no seu navegador e pressionar Enter, o processo
de resolução do nome www.microsoft.com é iniciado. Uma série de etapas são executadas, até que a
resolução aconteça com sucesso ou falhe em definitivo, ou seja, o DNS não consegue resolver o
nome, isto é, não consegue encontrar o número IP associado ao endereço www.microsoft.com.
Primeira etapa: O DNS tenta resolver o nome, usando o resolver local.
Ao digitar o endereço www.microsoft.com e pressionar Enter, o processo de resolução é iniciado.

Inicialmente o endereço é passado para o cliente DNS, na estação de trabalho do usuário. O clien-
te DNS é conhecido como resolver, nome este que utilizarei a partir de agora. O cliente tenta resol-
ver o nome utilizando um dos seguintes recursos:
l O cache DNS local: Sempre que um nome é resolvido com sucesso, o nome e a informação as-
sociada ao nome (normalmente o endereço IP) são mantidos na memória, o que é conhecido
como cache local do DNS. Quando um nome precisa ser resolvido, a primeira coisa que o resol-
ver faz é procurar no cache local. Encontrando no cache local, as informações do cache são uti-
lizadas e a resolução está completa. O cache local torna a resolução mais rápida, uma vez que
nomes já resolvidos podem ser consultados diretamente no cache, ao invés de terem que pas-
sar por todo o processo de resolução via servidor DNS novamente, processo este que você
aprenderá logo a seguir.
l O arquivo hosts: Se não for encontrada a resposta no cache, o resolver consulta as entradas do
arquivos hosts, o qual é um arquivo de texto e fica na pasta onde o Windows 2000 Server foi
instalado, dentro do seguinte caminho: \system32\drivers\etc. O hosts é um arquivo de texto
e pode ser editado com o Bloco de notas. Este arquivo tem entradas no formato indicado a se-
guir, com um númeo IP por linha, podendo haver um ou mais nomes associados com o mes-
mo número IP.


10.200.200.3 www.abc.com.br intranet.abc.com.br

10.200.200.4 FTP.abc.com.br arquivos.abc.com.br
10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas
Se mesmo assim a consulta não for respondida, o resolver envia a consulta para o servidor DNS
configurado nas propriedades do TCP/IP como servidor DNS primário ou configurado via DHCP.
Segunda etapa: Pesquisa no servidor DNS.
Uma vez que a consulta não pode ser resolvida localmente pelo resolver, esta é enviada para o servidor
DNS. Quando a consulta chega no servidor DNS, a primeira coisa que este faz é consultar as zonas para
as quais é uma autoridade (você aprenderá sobre zonas mais adiante). Por exemplo, vamos supor que o
servidor DNS seja o servidor DNS primário para a zona vendas.abc.com.br (diz-se que é a autoridade
para esta zona) e o nome a ser pesquisado é srv01.vendas.abc.com.br. Neste caso, o servidor DNS irá
pesquisar nas informações da zona vendas.abc.com.br (para a qual é a autoridade) e responder a con-
sulta para o cliente. Diz-se que o servidor DNS respondeu com autoridade (authoritatively).
No nosso exemplo (Figura 3.2) não é este o caso, uma vez que o nome pesquisado é www.micro-
soft.com e o servidor DNS não é a autoridade, ou seja, não é o servidor DNS primário para o domí-
no microsoft.com. Neste caso, o servidor DNS irá pesquisar o cache do servidor DNS (não confun-
dir com o cache local do resolver no cliente). À medida que o servidor DNS vai resolvendo nomes,
vai mantendo estas informações em um cache no servidor DNS. As entradas são mantidas em ca-
che por um tempo que pode ser configurado pelo administrador do DNS (conforme você apren-
derá mais adiante). O cache do servidor DNS tem a mesma função do cache local do resolver, ou
seja, agilizar a consulta a nomes que já foram resolvidos previamente. Se for encontrada uma en-
trada no cache do servidor DNS, esta entrada será utilizada pelo servidor DNS para responder a
consulta enviada pelo cliente. e o processo de consulta está completo.
Caso o servidor DNS não possa responder usando informações de uma zona local do DNS e nem
informações contidas no cache do servidor DNS, o processo de pesquisa continua, usando um
processo conhecido como recursão (recursion) para resolver o nome. Agora, o servidor DNS fará
consultas a outros servidores para tentar responder a consulta enviada pelo cliente. O processo de
recursão é ilustrado na Figura 3.3, da Ajuda do DNS. Em seguida, comentarei os passos envolvidos
no processo de recursão.
O servidor DNS irá iniciar o processo de recursão com o auxílio de servidores DNS da Internet.
Para localizar estes servidores, o servidor DNS utiliza as configurações conhecidas como “root
hints”. Root hints nada mais é do que uma lista de servidores DNS e os respectivos endereços IP
dos servidores para o domínio root (representado pelo ponto .) e para os domínios top-level
(.com, .net, gov e assim por diante). Esta lista é criada automaticamente quando o DNS é instala-
do e pode ser acessada através das propriedades do servidor DNS (conforme você aprenderá na
parte prática, mais adiante). Na Figura 3.4, é exibida uma lista de root hints configuradas por pa-
drão, em um servidor DNS.


Other DNS
servers
2
“”
4 3 DNS server
Preferred
DNS server 6 com
DNS server
10
5
8
Microsoft.com
1 DNS server
7
DNS client example.microsoft.com

DNS server
9
Figura 3.3 Resolução de nomes usando recursão.
Figura 3.4 Lista de root hints do servidor DNS.
Com o uso da lista de servidores root hints, o servidor DNS consege localizar (teoricamente) os
servidores DNS responsáveis por quaisquer domínio registrado.
Vamos novamente considerar um exemplo, para entender como o processo de recursão funcio-
na. Imagine que a consulta enviada pelo cliente é para descobrir o endereço IP associado ao nome


srv01.vendas.abc.com. O cliente que fez esta consulta está usando um computador da rede
xyz.com, o qual está configurado para usar, como DNS primário, o DNS da empresa xyz.com.
Primeiro, vamos assumir que o nome não pode ser resolvido localmente no cliente (usando o ca-
che DNS local e o arquivo hosts) e foi enviado para o servidor DNS primário da empresa xyz.com.
Este DNS é dono, é autoridade apenas para o domínio xyz.com e não para vendas.abc.com (lem-
brando sempre que a primeira parte do nome é o nome da máquina, conhecido como nome de
host). Com isso o servidor DNS primário da empresa xyz.com.br irá pesquisar no cache do servi-
dor DNS. Não encontrando a resposta no cache, é iniciado o processo de recursão, com os passos
descritos a seguir:
1. O servidor DNS retira apenas a parte correspondente ao domínio (o nome todo, menos a
primeira parte; no nosso exemplo seria vendas.abc.com, srv01 é o nome de host). Usando a
lista de servidores DNS configurados como root hints, o servidor DNS localiza um servidor
que seja o dono, a autoridade para o domínio root da Internet, representado pelo ponto (o
processo é assim mesmo, de trás para frente).
2. Localizado o servidor responsável pelo domínio root, o servidor DNS da empresa xyz.com
envia uma consulta interativa para o servidor DNS responsável pelo domínio root, pergun-
tando: “Você sabe quem é o servidor DNS responsável pelo domínio .com?”. O servidor
DNS root responde com o endereço IP de um dos servidores DNS responsáveis pelo domí-
nio .com. O servidor DNS root não sabe responder diretamente o nome que está sendo re-
solvido, mas sabe para quem enviar, sabe a quem recorrer. Talvez daí venha o nome do pro-
cesso recursão.
3. O servidor DNS do domínio xyz.com recebe a resposta informando qual o servidor DNS
responsável pelo domínio .com.
4. O servidor DNS do domínio xyz.com envia uma consulta para o servidor DNS responsável
pelo .com (informado no passo 3), perguntando: “Você é a autoridade para abc.com ou sa-
beria informar quem é a autoridade para abc.com?”
5. O servidor DNS responsável pelo .com não é a autoridade por abc.com, mas sabe informar
quem é a autoridade deste domínio. O servidor DNS, responsável pelo .com, retorna para o
servidor DNS do domínio xyz.com, o número IP do servidor DNS responsável pelo domí-
nio abc.com.
6. O servidor DNS do domínio xyz.com recebe a resposta informando o número IP do servi-

dor responsável pelo domínio abc.com.
pelo abc.com (informado no passo 6), perguntando: “Você é a autoridade para ven-
das.abc.com ou saberia informar quem é a autoridade para vendas.abc.com?”
8. O servidor DNS responsável pelo abc.com não é a autoridade para vendas.abc.com, mas
sabe informar quem é a autoridade deste domínio. O servidor DNS resonsável pelo


abc.com retorna para o servidor DNS do domínio xyz.com, o número IP do servidor DNS
responsável pelo domínio vendas.abc.com.
9. O servidor DNS do domínio xyz.com recebe a resposta informando o número IP do servi-

dor responsável pelo domínio vendas.abc.com.
pelo vendas.abc.com (informado no passo 9), perguntando: “Você é a autoridade para ven-
das.abc.com ou saberia informar quem é a autoridade para vendas.abc.com?”
11. O servidor DNS para vendas.abc.com recebe a consulta para resolver o nome srv01.ven-
das.abc.com. Como este servidor é a autoridade para o domínio, ele pesquisa a zona ven-
das.abc.com, encontra o registro para o endereço serv01.vendas.abc.com e retornar esta
informação para o servidor DNS do domínio xyz.com.
12. O servidor DNS do domínio xyz.com recebe a resposta da consulta, faz uma cópia des-
ta resposta no cache do servidor DNS e retorna o resultado para o cliente que originou
a consulta.
13. No cliente, o resolver recebe o resultado da consulta, repassa este resultado para o progra-
ma que gerou a consulta e grava uma cópia dos dados no cache local do DNS.
Evidentemente, que a descrição do processo demora muito mais tempo do que o DNS realmente
leva para resolver um nome usando este método. Claro que a resolução é rápida, senão ficaria pra-
ticamente impossível usar a Internet. Além disso, este método traz algumas vantagens. Durante
esta espécie de “pingue-pongue” entre o servidor DNS e os servidores DNS da Internet, o servidor
DNS da empresa vai obtendo informações sobre os servidores DNS da Internet e grava estas infor-
mações no cache local do servidor DNS. Isso agiliza futuras consultas e reduz, significativamente,
o tempo para a resolução de nomes usando recursão. Estas informações são mantidas na memória
do servidor e com o passar do tempo podem ocupar um espaço considerável da memória. Toda
vez que o serviço DNS for parado e iniciado novamente, estas informações serão excluídas da me-
mória e o processo de cache inicia novamente.
CONSIDERAÇÕES E TIPOS ESPECIAIS DE RESOLUÇÕES
O processo descrito anteriormente termina com o servidor DNS (após ter consultado vários ou-
tros servidores) retornando uma resposta positiva para o cliente, isto é, conseguindo resolver o
nome e retornando a informação associada (normalmente o número IP associado ao nome). Mas
nem sempre a resposta é positiva, muitos outros tipos de resultados podem ocorrer em resposta a
uma consulta, tais como:
l An authoritative answer (resposta com autoridade): Este tipo de resposta é obtido quando o
nome é resolvido diretamente pelo servidor DNS que é a autoridade para o domínio pesquisa-
do. Por exemplo, um usuário da Intranet da sua empresa (abc.com.br) tenta acessar uma pági-


na da intranet da empresa, por exemplo: rh.abc.com.br. Neste caso, a consulta será enviada
para o servidor DNS da empresa, o qual é a autoridade para a zona abc.com.br e responde dire-
tamente à consulta, informando o número IP do servidor rh.abc.com.br. É também uma res-
posta positiva só que com autoridade, ou seja, respondida diretamente pelo servidor DNS que
é a autoridade para o domínio pesquisado.
l A positive answer (resposta positiva): É uma resposta com o resultado para o nome pesquisado,
isto é, o nome pode ser resolvido e uma ou mais informações associadas ao nome são retorna-
das para o cliente.
l A referral answer (uma referência): Este tipo de resposta não contém a resolução do nome pesqui-
sado, mas sim informações e referência a recursos ou outros servidores DNS que podem ser utiliza-
dos para a resolução do nome. Este tipo de resposta será retornado para o cliente se o servidor DNS
não suportar o método de recursão, descrito anteriormente. As informações retornadas por uma
resposta deste tipo são utilizadas pelo cliente para continuar a pesquisa, usando um processo co-
nhecido como interação (o qual será descrito mais adiante). O cliente faz a pesquisa em um servi-
dor DNS e recebe, como resposta, uma referência a outro recurso ou servidor DNS. Agora o cliente
irá interagir com o novo recurso ou servidor, tentando resolver o nome. Este processo pode conti-
nuar até que o nome seja resolvido ou até que uma resposta negativa seja retornada, indicando
que o nome não pode ser resolvido. O processo de interação será descrito mais adiante.
l A negative answer (uma resposta negativa): Esta resposta pode indicar que um dos resultados
foi obtido em resposta à consulta. Um servidor DNS, que é autoridade para o domínio pesqui-
sado, informou que o nome pesquisado não existe neste domínio ou um servidor DNS, que é
autoridade para o domínio pesquisado, informou que o nome pesquisado existe, mas o tipo de
registro não confere.
Uma vez retornada a resposta, o resolver interpreta o resultado da resposta (seja ela positiva ou ne-
gativa) e repassa a resposta para o programa que fez a solicitação para resolução de nome. O resol-
ver armazena o resultado da consulta no cache local do DNS.
O administrador do DNS pode desabilitar o recurso de recursão em um servidor DNS em situações

nas quais os usuários devem estar limitados a utilizar apenas o servidor DNS da Intranet da empre-
sa. Na parte prática, mais adiante, você aprenderá a configurar as propriedads do servidor DNS e
a habilitar ou desabilitar o recurso de recursão.
O servidor DNS também define tempos máximos para determinadas operações. Uma vez atingi-
do o tempo máximo, sem obter uma resposta à consulta, o servidor DNS irá retornar uma res-
posta negativa.
l Intervalo de reenvio de uma consulta recursiva – 3 segundos: Este é o tempo que o DNS espera
antes de enviar novamente uma consulta (caso não tenha recebido uma resposta) feita a um
servidor DNS externo, durante um processo recursivo.


l Intervalo de time-out para um consulta recursiva – 15 segundos: Este é o tempo que o DNS es-
pera antes de determinar que uma consulta recursiva, que foi reenviada falhou.
Estes parâmetros podem ser alterados, conforme você aprenderá na parte prática sobre o DNS,
ainda neste capítulo.
COMO FUNCIONA O PROCESSO DE INTERAÇÃO
O processo de interação é utilizado entre o cliente DNS (resolver) e um ou mais servidores DNS,
quando ocorrerem as condições indicadas a seguir:
l O cliente tenta utilizar o processo de recursão, discutido anteriormente, mas a recursão está
desabilitada no servidor DNS.
l O cliente não solicita o uso de recursão, ao pesquisar o servidor DNS.
l O cliente faz uma consulta ao servidor DNS, informando que é esperada a melhor resposta que
o servidor DNS puder fornecer imediatamente, sem consultar outros servidores DNS.
Quando o processo de interação é utilizado, o servidor DNS responde à consulta do cliente com
base nas informações que o servidor DNS tem sobre o domínio pesquisado. Por exemplo, o servi-
dor DNS da sua rede interna pode receber uma consulta de um cliente tentando resolver o nome
www.abc.com. Se este nome estiver no cache do servidor DNS, este responde positivamente para
o cliente. Se o nome não estiver no cache do servidor DNS, o servidor DNS responde com uma lis-
ta de servidores de referência, que é uma lista de registros do tipo NS e A (você aprenderá sobre os
tipos de registro na parte prática), registros estes que apontam para outros servidores DNS, capa-
zes de resolver o nome pesquisado. O cliente recebe uma lista de servidores DNS para os quais ele
deve enviar a consulta.
Observem a diferença básica entre o processo de recursão e o processo de interação. Na recursão, o

servidor DNS é que entra em contato com outros servidores (root hints), até conseguir resolver o
nome pesquisado. Uma vez resolvido o nome, ele retorna a resposta para o cliente. Já no processo
de interação, se o servidor DNS não consegue resolver o nome, ele retorna uma lista de outros ser-
vidores DNS que talvez possam resolver o nome pesquisado. O cliente recebe esta lista e envia a
consulta para os servidores DNS informados. Este processo (esta interação) continua até que o
nome seja resolvido ou que uma resposta negativa seja recebida pelo cliente, informando que o
nome não pode ser resolvido. Assim, no processo de interação, a cada etapa do processo, o servi-
dor DNS retorna para o cliente, uma lista de servidores DNS a serem pesquisados, até que um dos
servidores responde positivamente (ou negativamente) à consulta feita pelo cliente.
COMO FUNCIONA O CACHE NOS SERVIDORES DNS
O trabalho básico do servidor DNS é responder às consultas enviadas pelos clientes, quer seja uti-
lizando recursão ou interação. À medida em que os nomes vão sendo resolvidos, esta informação


fica armazenada no cache do servidor DNS. Com o uso do cache, futuras consultas a nomes já re-
solvidos podem ser respondidas diretamente a partir do cache, sem ter que utilizar recursão ou in-
teração. O uso do cache agiliza o processo de resolução de nomes e também reduz o tráfego de
rede gerado pelo DNS.
Quando as informações são gravadas no cache do servidor DNS, um parâmetro chamado Ti-
me-To-Live (TTL) é associado com cada informação. Este parâmetro determina quanto tempo a
informação será mantida no cache até ser descartada. O parâmetro TTL é utilizado para que as in-
formações do cache não se tornem desatualizadas e para minimizar a possibilidade de envio de in-
formações desatualizadas em resposta às consultas dos clientes. O valor padrão do parâmetro TTL
é 3.600 segundos (uma hora). Este parâmetro pode ser configurado pelo administrador do DNS,
conforme mostrarei na parte prática, mais adiante.
Por padrão, o DNS utiliza um arquivo chamado Cache.dns, o qual fica gravado na pasta system-
root\System32\Dns, onde systemroot representa a pasta onde o Windows 2000 Server está ins-
talado. Este arquivo não tem a ver com o Cache de nomes do servidor DNS. Neste arquivo, está
contida a lista de servidores root hints (descritos anteriormente). O conteúdo deste arquivo é carre-
gado na memória do servidor, durante a inicialização do serviço do DNS e é utilizado para locali-
zar os servidores root hints da Internet, servidores estes utilizados durante o processo de recursão,
descrito anteriormente.
ENTENDENDO O CONCEITO DE ZONAS E DOMÍNIOS NO DNS

Este é um dos conceitos mais importantes do DNS. É fundamental que você entenda bem o conceito de
zona, qual a relação com domínio (ou é a mesma coisa que domínio?) e, principalmente, qual a relação
de um domínio/zona do DNS com um domínio do Active Directory. É uma relação um-para-um ou
posso ter duas ou mais zonas do DNS dentro do mesmo domínio do Active Directory?
Bem, os conceitos apresentados neste tópico tem o objetivo de esclarecer estas e outras questões
que podem surgir a respeito de domínios, zonas e relação entre Active Directory e DNS.
O DNS permite que um espaço de nomes seja dividido em zonas. Uma zona pode armazenar in-
formações sobre um ou mais domínios DNS. Para cada nome de domínio DNS incluído em uma
zona, a zona torna-se a autoridade de informações para aquele domínio.
QUAL A DIFERENÇA ENTRE ZONAS E DOMÍNIOS NO DNS?
Uma zona é utilizada, inicialmente, como uma base de dados para um único domínio. Quando
uma zona é criada, contém os registros para um único domínio. Outros domínios podem ser adi-
cionados abaixo do domínio que foi utilizado para criar a zona (também chamados de subdomí-
nios). Estes novos domínios podem fazer parte da mesma zona ou de uma outra zona.


Quando um subdomínio é criado, este pode atender uma das seguintes condições:
l Gerenciado e incluído como parte da zona criada quando o domínio pai foi criado.
l Delegado para outra zona, a qual foi especificamente criada para suportar o subdomínio.
Considere o exemplo da Figura 3.5.
Figura 3.5 Entendendo zonas e domínios.
Neste exemplo, quando o domínio abc.com for criado, será criada uma nova zona, a qual conte-
rá todas as informações e registros para o domínio abc.com. Dizemos que o servidor onde esta
zona foi criada é a autoridade para o domínio abc.com. Pode haver a necessidade da criação de
subdomínios, como no exemplo da Figura 3.5: vendas.abc.com. Ao criar o subdomínio ven-
das.abc.com, o administrador pode criá-lo na mesma zona onde estão os dados do domínio
abc.com (neste caso teríamos dois domínios armazenando dados na mesma zona), ou pode
criá-lo em uma nova zona, dentro do mesmo servidor DNS onde está a zona para o domínio
abc.com ou em um outro servidor DNS. No exemplo da figura, o subdomínio vendas.abc.com
foi criado em uma nova zona. Ao criar o subdomínio em uma zona separada, o administrador
DNS terá que criar alguns registros na zona abc.com para fazer referência à zona onde estão as in-
formações do subdomínio vendas.abc.com. Com isso, quando chega a zona abc.com, uma con-
sulta sobre um nome do subdomínio vendas.abc.com, o servidor DNS não sabe responder esta
consulta diretamente, mas sabe referenciar uma outra zona ou servidor capaz de respondê-la.
Se o domínio vendas não tivesse sido criado em uma zona separada, todos os dados para este sub-
domínio seriam gravados e gerenciados na zona abc.com. Nesta caso, a zona abc.com seria a auto-
ridade para o domínio abc.com e também para o subdomínio vendas.abc.com.


Outra questão que pode surgir é qual a relação entre um domínio do DNS e um domínio do Active
Directory. No NT Server 4.0, em que não havia o Active Directory, os conceitos de domínio do NT
Server 4.0 e do DNS eram bem distintos. Já a partir do Windows 2000 Server, com o Active Direc-
tory, os termos tem o mesmo significado, no sentido de que um domínio do Active Directory defi-
ne um domínio do DNS. Planejar o espaço de nomes do DNS é, basicamente, planejar a estrutura
de domínios da árvore de domínios do Active Directory da sua empresa. Esta relação estreita é
confirmada por diversos fatores, tais como o fato de o DNS ser o serviço oficial de resolução de no-
mes, da possibilidade de integrar o DNS com o Active Directory e assim por diante.
REPLICAÇÃO DE DADOS E TRANSFERÊNCIA DE ZONAS

Outro conceito importante é o conceito de zona primária e zona secundária. Quando você cria uma
zona, para ser a base de dados dos registros de um determinado domínio, esta é criada como uma
zona primária. Porém, na prática, um domínio pode ser composto por escritórios em diferentes loca-
lidades, cobrindo grandes distâncias geográficas e conectados por links de WAN de baixa velocidade.
Numa rede de maior porte, ter as informações sobre os registros do DNS em um único servidor
DNS, em uma zona primária neste servidor, não é uma boa alternativa. Esta abordagem irá gerar
tráfego de rede relacionado a resolução de nomes DNS. Por exemplo, toda vez que um usuário de
um dos escritórios onde não existe servidor DNS, precisar resolver um nome, todo o tráfego de re-
solução será transmitido através do link de WAN para a rede onde está o servidor DNS. A resposta
será enviada também através do link de WAN. Outro problema é que se o servidor DNS, onde está
a zona primária, apresentar problemas toda a rede ficará sem o serviço de resolução de nomes, o
que, na prática, significa rede parada.
Para resolver a questão do tráfego excessivo devido à resolução de nomes DNS, nos links de WAN
e para fornecer redundância no caso de falha do servidor DNS onde está a zona primária, é possí-
vel instalar servidores DNS adicionais e criar, nestes servidores, zonas DNS secundárias. Ao criar
uma zona segundária, o DNS copia todos os dados da zona primária para a zona secundária. O
DNS também mantém as zonas secundárias atualizadas com a zona primária, através de um me-
canismo de notificação e cópia das alterações da zona primária para as zonas secundárias.
Alterações, inclusões e exclusões de registros somente podem ser feitos na zona primária, porém,
mesmo que o servidor onde está a zona primária apresente problemas, a resolução de nomes pode
continuar normalmente a partir das zonas secundárias. A possibilidade de criação de zonas secun-
dárias, em servidores DNS de cada localidade, fornece um mecanismo de redundância a falhas no
evendo de o servidor DNS, onde está a zona primária, apresentar problemas. Claro que a sincroni-
zação de informações, entre a zona primária e as zonas secundárias, gera tráfego nos links de
WAN, mas é uma quantidade de tráfego bem menor do que o gerado pela resolução de nomes.
Neste ponto, o DNS do Windows 2000 Server (e do Windows Server 2003) tem uma novidade im-
portante em relação à versões mais antigas, como o NT Server 4.0. É capaz de transferir apenas as


informações que foram alteradas da zona primária para as zonas secundárias e não todo o conteú-
do da zona, a exemplo do que acontecia em versões anteriores do DNS.
Sempre que alterações são feitas na zona primária, o parâmetro número serial (serial number) do
registro SOA – Start of Authority (descrito mais adiante) é incrementado. O DNS compara o valor
do parâmetro serial number entre a zona primária e a zona secundária para determinar se existem
alterações a serem replicadas. As alterações são notificadas pelo servidor onde está a zona primária
para os servidores com as zonas secundárias. Uma vez recebendo a notificação de alterações, os
servidores com as zonas secundárias são responsáveis por puxar (pull) as alterações a partir da
zona primária. É importante reforçar o fato de que no DNS do Windows 2000 Server a transferên-
cia é incremental, ou seja, somente são replicadas as alterações e não todo o conteúdo da zona.
A sincronização entre a zona secundária e a zona primária pode ocorrer em um dos seguintes
cenários:
l Quando o intervalo de atualiação for atingido. De tempos em tempos, os servidores secundários

são notificados. Se não houver nenhuma alteração, não será transmitida nenhuma informação.
l Quando o servidor DNS secundário (onde está a zona secundária) é notificado pelo DNS pri-
mário de que houve alterações na zona primária.
l Quando o serviço DNS é inicializado no servidor DNS secundário.
l Uma transferência pode ser inicializada, manualmente pelo administrador, usando o console
de administração do DNS.
FERRAMENTAS DE ADMINISTRAÇÃO E IMPLEMENTAÇÃO DO DNS

De teoria já foi o suficiente. Agora é hora de partir para os procedimentos práticos de instala-
ção, administração e resolução de problemas do DNS. Para tal, você utiliza uma série de ferra-
mentas e comandos. A seguir descrevo, brevemente, estas ferramentas. Depois, iniciarei a par-
te prática do DNS.
As principais ferramentas para implementação e administração do DNS são as seguintes:
l Console DNS: Este console é instalado quando o serviço DNS é instalado no servidor. Um ata-
lho para este console é criado na opção Administrative Tools (Ferramentas Administrativas).
l Utilitários de linha de comando, tais como nslookup, ping e tracert.
l Log de eventos: Ao instalar o DNS, é criado um novo log, específico para ações relacionadas
com o DNS. Este log é acessado através do console Event Viewer (Visualizador de Eventos).
l Contadores e objetos relacionados ao DNS no console Performance de monitoração do
desempenho.


IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO DNS

Neste tópico, você aprenderá a executar inúmeras tarefas e operações relacionadas ao DNS. Desde
a instalação do serviço, criação de zonas primárias e secundárias, até configurações avançadas do
servidor DNS.
INSTALAÇÃO DO DNS
Por padrão, o DNS não é instalado durante a instalação do Windows 2000 Server. Ao instalar o
Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comuni-
car com um servidor DNS que seja a autoridade para o domínio do qual fará parte o DC. Pode ser
qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente será possí-
vel utilizar servidores DNS no UNIX, se a versão do DNS for a BIND 8.1.2 ou superior.
Se não for possível localizar um servidor DNS, o assistente do Active Directory instala o DNS no
servidor que está sendo promovido a DC. O DNS é instalado como um serviço e configurado para
iniciar automaticamente. A maioria das tarefas de administração do DNS podem ser executadas
com o console DNS, o qual é acessado através do menu Start –> Administrative Tools (Iniciar –>
Ferramentas Administrativas).
Neste item, você aprenderá a instalar o serviço DNS em um servidor. Você verá que a instalação do
DNS é extremamente simples.
Se você tem servidores DNS baseados no NT Server 4.0, você pode fazer a migração destes servi-
dores para o Windows 2000 Server. Todas as configurações do DNS já existentes serão mantidas.
Primeiro deve ser feita a migração dos servidores DNS primários (onde está a zona primária) e de-
pois a dos servidores DNS secundários.
INSTALANDO O DNS: PARA INSTALAR O DNS SIGA OS PASSOS INDICADOS A SEGUIR

1. Faça o logon como administrador ou com uma conta com permissão de administrador.
2. Abra o Painel de Controle: Iniciar –> Painel de Controle.
3. Dê um clique duplo na opção Adicionar ou remover programas.
4. Será exibida a janela Adicionar ou remover programas. Nas opções do lado esquerdo da ja-
nela, dê um clique na opção Adicionar ou Remover Componentes do Windows. Será aber-
to o assistente de componentes do Windows.
5. O DNS é classificado como um serviço de rede. Localize a opção Serviços de Rede e dê um
clique para marcá-la, conforme indicado na Figura 3.6.


Figura 3.6 A opção Serviços de Rede.
6. Clique no botão Detalhes..., para exibir a lista de serviços de redes disponíveis.
7. Será aberta a janela Serviços de rede. Na lista de serviços que é exibida, marque a opção Sis-
tema de nomes de domínio (DNS), conforme indicado na Figura 3.7.
Figura 3.7 Selecionando o DNS para instalação.


8. Dê um clique em OK. Você estará de volta ao assistente de componentes do Windows.
9. Clique em Avançar, para seguir para a próxima etapa do assistente.
O Windows 2000 Server inicia o processo de instalação e emite mensagens sobre o andamento da
instalação. Durante a etapa de cópia dos arquivos você pode ser solicitado a inserir o CD de insta-
lação do Windows 2000 Server no drive, conforme exemplo da Figura 3.8.
Figura 3.8 O assistente solicita o CD de instalação do Windows 2000 Server.
10. Insira o CD do Windows 2000 Server no driver e clique em OK. O assistente continua o pro-
cesso de instalação.
11. A tela final do assistente é exibida com uma mensagem informando que o assistente foi
concluído com sucesso. Clique em Concluir para fechar o assistente.
12. Você estará de volta à janela Adicionar ou remover programas. Feche-a.
Pronto, o DNS foi instalado e está pronto para ser configurado. Não é preciso reinicializar o servi-
dor para que o DNS possa ser utilizado. O DNS é instalado como um serviço e configurado para ser
inicializado automaticamente. O serviço do DNS é configurado para executar no contexto da
conta “Local System”.
Agora é hora de avançarmos um pouco mais. Você aprenderá a criar e a configurar zonas primári-
as e secundárias. Também aprenderá sobre o conceito de zona reversa e aprenderá a criar e a confi-
gurar este tipo de zonas.
CRIANDO, ADMINISTRANDO E CONFIGURANDO ZONAS NO DNS

Conforme descrito anteriormente, as informações sobre o DNS são armazenadas em zonas.
Em uma zona pode haver informações sobre um ou mais domínios. Após a instalação do DNS,
a primeira coisa que o administrador deve fazer é criar uma zona primária direta. Por exemplo,
vamos supor que você está implementando a estrutura de DNS da rede da sua empresa. Você
começa pelo domínio root, que é xyz.com.br. Neste caso, você tem que criar uma zona primá-
ria direta (mais adiante você aprenderá a criar zonas segundárias, aprenderá sobre o conceito


de zona reversa e como criar uma). A zona é chamada primária porque a mesma ainda não
existe e está sendo criada para conter as informações do domínio – no nosso exemplo, o domí-
nio xyz.com.br. Tambémé chamada direta porque conterá informações para resolução de no-
mes para endereço IP, ou seja, fornecido um nome no domínio xyz.com.br, esta zona conterá
informações para retornar o endereço IP associado com o nome. Uma zona reversa, que será
descrita mais adiante, faria o contrário, ou seja, dado um endereço IP, o DNS pesquisa na zona
reversa para encontrar o nome associado ao endereço IP.
As zonas secundárias somente podem ser criadas se já existir uma zona primária. Estas zonas
contêm uma cópia integral dos registros da zona primária e recebem as atualiações efetuadas na
zona primária através do mecanismo de replicação de zonas.
Exemplo: Criar a zona primária direta (Forward Lookup Zone) para conter os registros do domí-
nio xyz.com.br. Para criar esta zona siga os passos indicados a seguir.
2. Abra o console DNS: Iniciar –> Programas –> Ferramentas Administrativas –> DNS.
Será exibido o console DNS. No painel da esquerda, por padrão, estão disponíveis as se-
guintes opções:
Zonas de pesquisa direta
Zonas de pesquisa inversa
O console DNS pode ser utilizado para gerenciar toda a estrutura de DNS da empresa de maneira
centralizada. O administrador pode usar o console DNS para conectar-se com outros servidores e
gerenciar zonas e configurações dos diversos servidores DNS da rede, a partir de um único console
DNS, centralizadamente. Na Figura 3.9, apresento um exemplo onde estou utilizando o console
DNS para gerenciar dois servidores DNS diferentes. Para conectar-se a um servidor DNS remoto
basta clicar com o botão direito do mouse na opção DNS (primeira opção, bem em cima, no painel
da esquerda). No menu de opções que é exibido clique em Conectar-se ao Computador.... Será exi-
bida a janela Selecionar máquina de destino. Clique na opção No seguinte computador. Ao lado
desta opção digite o nome ou o endereço IP do servidor DNS a ser conectado. Clique em OK e pron-
to, agora você pode gerenciar o servidor DNS remotamente. O administrador responsável pelo
DNS pode criar um console personalizado, onde são adicionados os vários servidores DNS pelos
quais ele é responsável.
3. Neste exemplo você utilizará a opção Zonas de pesquisa direta. Clique com o botão direito
do mouse nesta opção.
4. No menu de Opções que é exibido clique em Nova Zona...
5. Será aberto o Assistente para a criação de uma nova zona. A primeira tela do assistente é
apenas informativa. Clique em Avançar para seguir para a próxima etapa do assistente.


Figura 3.9 Gerenciando vários servidores DNS em um único console.
Nesta etapa, você deve informar o tipo de zona a ser criada. Estão disponíveis as opções Integrada ao
Active Directory, Primária padrão e Secundária padrão. Você aprenderá sobre zonas secundárias e
sobre a integração com o Active Directory, mais adiante. Se o servidor que você está utilzando for
um DC, estará disponível a opção Integrada com o Active Directory. Você também aprenderá sobre
esta opção mais adiante e sobre a integração do DNS com o Active Directory. Para o nosso exemplo,
defina as configurações indicadas na Figura 3.10.
6. Clique em Avançar para seguir para a próxima etapa do assistente.
7. Nesta etapa, será solicitado o nome da zona. Digite xyz.com.br no campo Nome da Zona e
clique em Avançar para seguir para a próxima etapa do assistente.
Figura 3.10 Criando uma zona primária, não integrada com o Active Directory.


8. Nesta etapa você define se deseja criar um novo arquivo onde serão gravadas as informa-
ções sobre a zona xyz.com.br ou se deseja usar um arquivo existente. Você pode utilizar um
arquivo existente, caso a zona já existisse anteriormente e houve problemas no servidor.
Neste caso, você poderá recriar a zona e mandar usar o arquivo já existente anteriormente.
Ao fazer isso, todas as informações contidas anteriormente serão recuperadas a partir do ar-
quivo já existente. No nosso exemplo, vamos salvar as informações da zona em um novo
arquivo. Por padrão, para o nome do arquivo, o assistente sugere o nome da zona com a ex-
tensão .dns. O arquivo será criado na pasta systemroot\System32\Dns, onde systemroot
representa a pasta onde está instalado o Windows 2000 Server. Vamos aceitar a opção pa-
drão, conforme indicado na Figura 3.11. Clique em Avançar para seguir para a próxima eta-
pa do assistente.
Figura 3.11 Definindo o nome do arquivo onde serão salvas as informações.
9. Será exibida a tela final do assistente. Se você quiser alterar alguma opção pode utilizar o
botão Voltar. Clique em Concluir para criar a zona primária direta: xyz.com.br, conforme
indicado na Figura 3.12.
Muito bem, a zona xyz.com.br foi criada. Mas criar somente a zona tem pouca (para não dizer ne-
nhuma) utilidade. Uma zona deve conter registros, os quais serão consultados para responder às
consultas enviadas pelos clientes. Este será o nosso próximo estudo, ou seja, estudar os tipos de re-
gistros que podem ser criados em uma zona e quais os procedimentos práticos para criar, editar e
excluir registros.


Figura 3.12 A zona xyz.com.br, recém criada.
TRABALHANDO COM REGISTROS DO DNS

Um banco de dados de um servidor DNS é constituído por uma ou mais zonas, conforme já descri-
to anteriormente. Em cada zona, ficam armazenados os registros do DNS. Os registros armaze-
nam informações de uma maneira estruturada. O DNS do Windows 2000 Server suporta uma sé-
rie de registros. Neste item, vou destacar os principais tipos de registros suportados pelo DNS do
Windows 2000 Server. Na Ajuda do DNS (menu Ajuda do console DNS), você encontra uma refe-
rência completa de todos os registros suportados pelo DNS.
Todos os registros do DNS têm uma estrutura padrão, com um conjunto determinado de campos
de informação. Até podemos fazer a analogia com uma tabela de dados, no modelo relacional de
dados, onde cada registro é determinado por um conjunto de campos de informação.
Os registros do DNS no Windows 2000 Server contmê os seguintes campos de informação:
l Dono (Owner): Indica o nome do domínio DNS no qual o registro se encontra, ou em outras
palavras, o domínio DNS que é dono (owner) do registro. Este é o nome que é exibido no con-
sole DNS.
l Time to Live (TTL): Para a maior parte dos tipos de registro este campo é opcional. Este campo é
utilizado por outros servidores DNS para determinar por quanto tempo o registro será armaza-
nado no cache destes servidores, após o registro ter sido carregado em resposta a uma consulta.
Transcorrido o tempo definido neste campo, o registro é descartado. A maioria dos registros
criados pelo DNS herdam o valor padrão para o TTL que é de uma hora (3.600 segundos). Este
valor é herdado da definição do TTL do registro SOA – Start of Authority, que é o principal re-
gistro de uma zona e define uma série de características de uma zona. Você pode definir indivi-
dualmente, para cada registro, um valor de TTL diferente do valor herdado do registro SOA.
Você também pode definir um valor igual a zero (0) para registros que não devam ser mantidos
no cache dos servidores DNS.
l Class: Contém um texto padrão, indicativo da classe do registro. Por exemplo, um valor igual a
“IN”, indica que o registro pertence à classe Internet, aliás única classe suportada pelo DNS do


Windows 2000 Server. Este campo é obrigatório, embora tenha sempre o mesmo valor no DNS
do Windows 2000 Server.
l Type: Contém um texto padrão, indicativo do tipo do registro. Por exemplo, um tipo igual a
“A” indica um registro que armazena informações de endereço. É o tipo mais comum, onde é
gravado um número IP associado com um nome. Este campo é obrigatório.
l Dados do registro (Record-specific data): Contém os dados do registro. Por exemplo, para um
registro do tipo “A”, conterá o nome e o número IP associado com o nome. É obrigatório.
Agora que você já conhece a estrutura de um registro do DNS, é hora de aprender sobre os princi-
pais tipos de registros. Conforme descrito anteriormente, você encontra uma referência completa
sobre todos os tipos de registros na Ajuda do DNS.
A descrição de alguns dos principais tipos de registros do DNS do Windows 2000 Server é
dada a seguir:
Descrição: Endereço de Host (Host address (A) resource record). É o tipo mais utilizado, faz o ma-
peamento de um nome DNS para um endereço IP versão 4, de 32 bits.
Exemplos:
host1.example.microsoft.com. IN A 127.0.0.1
srv01.abc.com.br IN A 100.100.200.150
srv02.abc.com.br IN A 100.100.200.151
AAAA
Descrição: Endereço de host IPv6 (IPv6 host address (AAAA)). Faz o mapeamento de um nome
DNS para um endereço IP versão 6, de 128 bits.
Exemplo:
ipv6_host1.example.microsoft.com. IN AAAA 4321:0:1:2:3:4:567:89ab
CNAME
Descrição: Canonical name (CNAME). Mapeia um alias (apelido) ou nome DNS alternativo. Por
exemplo, suponha que o site da empresa esteja no servidor srv01.abc.com.br. Porém, na Internet,
os usuários irão utilizar o nome www.abc.com.br. Neste caso, basta criar um alias www que faz re-
ferência ao nome srv01.abc.com.br. Pronto, quando os usuários digitarem www.abc.com.br, es-


tarão acessando, na verdade, o endereço srv01.abc.com.br. Porém para o usuário, tudo ocorre
transparentemente, como se o nome fosse realmente www.abc.com.br.
Exemplo:
www.abc.com.br. CNAME srv01.abc.com.br.
HINFO
Descrição: Host information (HINFO). Utilizado para armazenar informações sobre o hardware
do servidor DNS, tais como tipo de CPU, tipo e versão do sistema operacional e assim por diante.
Estas informações podem ser utilizadas por protocolos como por exemplo o FTP, o qual utiliza
procedimentos diferentes para diferentes sistemas operacionais.
Exemplo:
my-computer-name.example.microsoft.com. HINFO INTEL-386 WIN32
MX
Descrição: Mail exchanger (MX). Fornece informações utilizadas pelos servidores de e-mail, para
o roteamento de mensagens. Cada host definido em um registro MX deve ter um correspondente
registro do tipo A em uma zona válida no servidor DNS.
Exemplo:
example.microsoft.com. MX 10 mailserver1.example.microsoft.com
O número de dois dígitos após o MX é um indicativo da ordem de preferência quando mais de um

registro MX é configurado na mesma zona.
NS
Descrição: É utilizado para relacionar um nome DNS com o seu dono, ou seja, o servidor que é a auto-
ridade para o nome DNS, ou, em outras palavras, o servidor DNS onde está a zona primária do nome.
Exemplo:
example.microsoft.com. IN NS nameserver1.example.microsoft.com


PTR
Descrição: Pointer (PTR). É utilizado em zonas reversas para fazer o mapeamento reverso, ou
seja, o mapeamento de um número IP para um nome. Ao criar um registro do tipo A, em uma
zona direta, você pode criar, automaticamente, o registro PTR associado, se já houver uma zona
reversa configurada.
Exemplo:
10.20.20.10.in-addr.arpa. PTR host.example.microsoft.com.
Logo em seguida você aprenderá sobre zonas reversas.
SOA
Descrição: Start of authority (SOA). É o principal registro, o que define muitas das característias de
uma zona. Contém o nome da zona e o nome do servidor que é a autoridade para a referida zona,
ou seja, o servidor DNS onde está a zona que foi criada originalmente. Contém também a defini-
ção de outras características básicas da zona. É sempre o primeiro registro da zona, pois é criado
durante a criação da zona. Define características tais como o número serial da zona (que é um in-
dicativo se houve ou não alterações na zona; este número é utilizado para controlar a replicação
entre a zona primária e as zonas secundárias), o valor do TTL para os demais registros da zona e as-
sim por diante.
Exemplo:
@ IN SOA nameserver.example.microsoft.com. postmaster.example.microsoft.com. (

1 ; serial number
3600 ; refresh [1h]
600 ; retry [10m]
86400 ; expire [1d]
3600 ) ; min TTL [1h]
Sobre registros do DNS era isso. Agora você aprenderá sobre zonas reversas e aprenderá a criá-las.
Em seguida, aprenderá a criar registros, tanto em uma zona direta, quanto em uma zona reversa.
ZONAS DE PESQUISA INVERSA – REVERSE LOOKUP ZONES

A maioria das consultas para resolução de nomes, realizadas pelos clientes, são consultas diretas –
Forward Lookup. Neste tipo de consulta, o cliente tem um nome DNS e quer pesquisar uma infor-


mação associada com o nome, normalmente um endereço IP. Assim, a resposta esperada é o ende-
reço IP associado com o nome pesquisado.
O DNS também dá suporte às chamadas pesquisas inversas (Reverse Lookup), nas quais o cliente
tem um endereço IP válido e deseja localizar o nome associado com o endereço IP. Vejam que é o
contrário da pesquisa direta (por isso que o nome é pesquisa reversa). Na pesquisa direta, o cliente
tem o nome e deseja localizar o endereço IP associado. Na reversa, o usuário tem o endereço IP e
deseja localizar o nome associado.
Originalmente, o DNS não foi projetado para dar suporte a este tipo de consulta. Pela maneira hi-
erárquica como o DNS está organizado, a única maneira para responder este tipo de consulta, se
fossem utilizadas apenas as zonas diretas, seria pesquisar todos os servidores DNS existentes o que
faria com que o tempo de consulta fosse por demais longo.
Para resolver esta questão, foi criado um domínio especial com o nome de in-addr.arpa. Este do-
mínio faz parte das definições atuais do DNS e foi a maneira encontrada para fornecer a resolução
reversa de nomes, sem que houvesse a necessidade de pesquisar em todos os servidores DNS.
Para criar o espaço de nomes reverso, são criados subdomínios do domínio especial in-addr.arpa. O
nome destes subdomínios é formado pela ordem inversa do número IP da rede. Por exemplo, consi-
dere a rede 100.20.50.0/255.255.255.0. A zona para resolução reversa desta rede seria a seguinte:
50.20.100.in-addr.arpa
Observe que coloquei os números da rede de trás para a frente como um subdomínio do domínio
especial in-addr.arpa. Esta ordem inversa é necessária porque, você deve estar lembrado do tópico
sobre como são resolvidas as consultas do DNS, a resolução é feita de trás para frente. Ao reverter
os números, para formar o subdomínio, quando os números são lidos de trás para a frente, ficam
na ordem certa. Por exemplo, lendo 50.20.100 de trás para frente fica: 100.20.50, ou seja, o núme-
ro da rede na ordem certa.
O uso do domínio in-addr.arpa é aplicado a todas as redes baseadas no protocolo IP versão 4

(IPv4), que utiliza endereços IP de 32 bits, conforme descrito no Capítulo 2.
Os mecanismos de recursão e interação, utilizados para a resolução direta de nomes, também são
utilizados para a resolução reversa.
CRIANDO UMA ZONA REVERSA

A seguir, você aprenderá a criar uma zona reversa. Você criará uma zona reversa para a rede
120.200.35.0/255.255.255.0. A primeira etapa é determinar o nome da zona reversa (na prática
isso não seria necessário, pois o assistente de criação nos dá uma ajuda neste sentido). A determi-
nação do nome da zona reversa é bastante simples:


1. Inverta os octetos que compõem a rede: 35.200.120.

2. O número já invertido é criado com um subdomínio do domínio in-addr.arpa:
35.200.120.in-addr.arpa.
Para criar a zona reversa 35.200.120.in-addr.arpa, siga os passos indicados a seguir:
Será exibido o console DNS. No painel da esquerda, por padrão, estão disponíveis as se-
guintes opções:
• Zonas de pesquisa direta
• Zonas de pesquisa inversa
3. Neste exemplo, você utilizará a opção Zonas de pesquisa inversa. Clique com o botão direi-
to do mouse nesta opção.
4. No menu de opções que é exibido clique em Nova Zona...
5. Será aberto o assistente para a criação de uma nova zona. A primeira tela do assistente é
6. Nesta etapa você deve informar o tipo de zona a ser criada. Estão disponíveis as opções Inte-
grada ao Active Directory, Primária padrão e Secundária padrão. Você aprenderá sobre zonas
secundárias e sobre a integração com o Active Directory, mais adiante. Se o servidor que você
está utilzando for um DC, estará disponível a opção Integrada com o Active Directory. Você
também aprenderá sobre esta opção mais adiante e sobre a integração do DNS com o Active
Directory. Para o nosso exemplo, defina as configurações indicadas na Figura 3.13. Clique
em Avançar para seguir para a próxima etapa do assistente.
7. Nesta etapa, será solicitado que você digite a identificação da rede. Digite a identificação na
ordem normal. O próprio assistente se encarrega de inverter a ordem dos octetos da rede,
para formar o nome da zona reversa. Digite, por exemplo 35.200.120, e o assistente gera o
nome da zona reversa, conforme exemplo da Figura 3.14.
9. Nesta etapa, você define se deseja criar um novo arquivo onde serão gravadas as informa-
ções sobre a 120.200.35.in-addr.arpa ou se deseja usar um arquivo já existente. Você pode
utilizar um arquivo existente, caso a zona já existisse previamente e houve problemas no
servidor DNS. Neste caso, você poderá recriar a zona e mandar usar o arquivo já existente
anteriormente. Ao fazer isso, todas as informações contidas anteriormente serão recupera-
das a partir do arquivo já existente. No nosso exemplo, vamos salvar as informações da
zona em um novo arquivo. Por padrão, para o nome do arquivo, o assistente sugere o nome
da zona com a extensão .dns. O arquivo será criado na pasta systemroot\System32\Dns,
onde systemroot representa a pasta onde está instalado o Windows 2000 Server. Vamos
aceitar esta opção, conforme indicado na Figura 3.15. Clique em Avançar para seguir para a
próxima etapa do assistente.


Figura 3.13 Criando uma zona primária, não integrada com o Active Directory.
Figura 3.14 Geração automática do nome da zona reversa.
10. Será exibida a tela final do assistente. Se você quiser alterar alguma opção pode utilizar o
botão Voltar. Clique em Concluir para criar a zona primária reversa: 120.200.35.
in-addr.arpa.dns, conforme indicado na Figura 3.16.


Figura 3.15 Definindo o nome do arquivo onde serão salvas as informações.
Figura 3.16 A zona 120.200.35.in-addr.arpa.dns, recém criada.
CRIANDO REGISTROS EM UMA ZONA

Muito bem, você já aprendeu a criar uma zona primária e a criar uma zona secundária. Agora é
hora de aprender a criar registros em uma zona do DNS. Neste item, através de um exemplo práti-
co, você aprenderá a verificar e alterar o registro SOA de uma zona direta, o qual é criado automa-
ticamente quando a zona é criada e também aprenderá a criar registros em uma zona.
Para acessar o registro SOA de uma zona, siga os passos indicados a seguir:


3. Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta.
4. Serão exibidas as zonas de pesquisa direta existentes no servidor. Clique com o botão direi-
to do mouse na zona xyz.com.br criada anteriormente. No menu de opções que é exibido,
clique na opção Propriedades.
5. Será exibida a janela de propriedades para a zona xyz.com.br. Clique na guia Início de auto-
ridade (Start of Authority (SOA)). Será exibida a guia com os valores para os campos do re-
gistro SOA, da zona xyz.com.br, conforme indicado na Figura 3.17.
Não posso deixar de registrar os meus mais sinceros e veementes protestos contra a tradução
que é feita. Traduzir Start of Authority por Início de autoridade, pode até ser correto pelo idio-
ma, mas tecnicamente é uma lástima ou algum administrador DNS saberá o que é o Início de au-
toridade? Agora não tem um único administrador DNS que não saberia informar o que é o regis-
tro Start of Authority. Estas questões deviam ser seriamente levadas em consideração na hora de
fazer as traduções.
Figura 3.17 O registro SOA para o domínio xyz.com.br.


Estes são os valores padrão, definidos pelo assistente de criação da zona direta de pesquisa. A se-
guir, descrevo, em detalhes, os campos do registro SOA:
l Número de série: Este campo exibe o número serial do registro SOA. É como se fosse um
número de versão do registro (que na verdade representa uma versão para a zona como
um todo). Cada vez que a zona é alterada, este número tem o seu valor aumentado por
um incremento de 1, indicando que existe uma nova versão da zona. Este número é veri-
ficado periodicamente e comparado com o número serial das zonas secundárias. Se o nú-
mero da zona secundária for menor do que o da zona primária, isso indica que existem al-
terações na zona primária, alterações estas que devem ser replicadas para a zona
secundária. O adminstrador pode clicar no botão Incrementar para, manualmente, au-
mentar o valor deste número, mesmo que não tenha havido alterações na zona primária.
l Servidor primário: Contém o nome do servidor que contém a zona primária, isto é, a có-
pia da zona que pode ser alterada.
l Responsável: O e-mail do responsável pela administração da zona. O endereço de
e-mail utiliza o ponto ao invés do sinal de @. Por exemplo, o email: julio@abc.com é di-
gitado neste campo como julio.abc.com.
l Intervalo de atualização: Define o intervalo para que o DNS verifique se os dados nas
zonas secundárias estão atualizados. Se os dados não estiverem atualizados, o servi-
dor onde está a zona primária irá “notificar” o servidor onde está a zona secundária
que existem alterações. O servidor da zona secundária ira puxar (pull) as alterações
para deixar a zona secundária sincronizada com a zona primária. Somente as altera-
ções serão replicadas e não todo o conteúdo da zona. O valor padrão para novas zo-
nas é 15 minutos.
l Intervalo de repetição: Se o servidor DNS não conseguir atualizar a zona secundária no
tempo especificado no campo Refresh interval, uma nova tentativa será feita no tempo
definido no campo Intervalo de repetição. O valor padrão para novas zonas é 10 minutos.
l Expira após: Determina o tempo que as informações serão mantidas nas zonas secundá-
rias, sem que tenha sido possível fazer uma sincronização com a zona primária. O pa-
drão é 24 horas. Isso significa que, se dentro de um período de 24 horas não for possível
fazer a sincronização de uma zona secundária com a primária, os dados da zona secun-
dária irão expirar e não poderão mais ser utilizados para resolução de nomes. Este parâ-
metro evita que valores desatualizados continuem sendo utilizados nas zonas secundá-
rias em caso de impossibilidade de sincronização com a zona primária.
l Tempo de vida mínimo (padrão): Determina o TTL mínimo para os registros da zona.
Este valor é utilizado quando um registro da zona é acessado por um servidor DNS re-
moto. O servidor DNS que acessou o registro irá mantê-lo em seu cache pelo período de-
finido neste parâmetro. Por exemplo, suponha que você está na sua empresa (abc.com)
e tenta acessar o site da Microsoft – www.microsoft.com. Usando o processo de recur-
são, descrito anteriormente, o servidor da Microsoft responde com o endereço IP associ-


ado ao nome www.microsoft.com. Estas informações ficarão no cache do servidor DNS

da empresa abc.com pelo período definido no parâmetro TTL da zona microsoft.com
do servidor DNS da Microsoft.
Tempo de vida para este registro: Permite que seja definido um TTL específico para o regis-
tro SOA, que pode ser diferente do TTL padrão definido para os demais registros da zona.
6. Após ter feito as alterações desejadas clique em OK para fechar a janela de propriedades
da zona.
Mais adiante você aprenderá sobre as demais propriedades de uma zona.
Para criar novos registros em uma zona, siga os passos indicados a seguir:
3. Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta
se você quiser criar um registro em uma zona direta, ou no sinal de + ao lado da opção Zo-
nas de pesquisa inversa, se você deseja criar um registro em uma zona inversa. Serão exibi-
das as zonas da opção selecionada.
4. Clique com o botão direito do mouse na zona onde você deseja criar o registro. Observe, no
menu que é exibido, que já existem opções diretamente para criar os tipos de registros mais
utilizados:
l Novo Host ..., para criar um registro do tipo A.
l Novo Alias ..., para criar um novo registro do tipo CNAME.
l New Servidor de mensagens ..., para criar um novo registro do tipo MX.
l Outros novos registros..., para criar qualquer tipo de registro, inclusive um dos três tipos
anteriores.
A título de exemplo você irá criar dois novos tipos de registro em uma zona direta: um re-
gistro do tipo A e outro do tipo HINFO.
Estamos clicando com o botão direito do mouse em uma zona de pesquisa direta, onde o registro
será criado.
5. No menu de opções que é exibido clique na opção Novo host...

6. Será exibida a janela Novo Host. Digite o nome e o endereço IP associado, conforme exem-
plo da Figura 3.18. É importante salientar que você deve digitar apenas o host name (pri-
meira parte do nome). O próprio DNS completa o nome (no campo Full qualified domain
name), anexando o nome da zona ao nome de host.


Figura 3.18 Criando um registro do tipo A.
Nesta janela, você também tem a opção “Criar registro de ponteiro associado (PTR)”. Se
você marcar esta opção será criado um registro do tipo PTR na zona inversa corresponden-
te. Esse registro permitirá a resolução inversa, ou seja, dado o número IP será retornado o
nome associado com o número IP.
7. Defina as opções desejadas e clique em Adicionar Host. A janela Novo Host continua aber-
ta. Clique em Concluído para fechá-la.
Pronto, o registro do tipo A foi criado, conforme indicado na Figura 3.19. Agora vamos criar
um registro do tipo HINFO.
8. Clique com o botão direito do mouse na zona de pesquisa direta, onde o registro HINFO
será criado.
Figura 3.19 Registro do tipo A, recém criado.


9. No menu de opções que é exibido clique na opção Outros novos registros...
10. Será exibida a janela Tipo de registro de recurso. Na lista de tipos de registro, clique na op-
ção Informações sobre o host, conforme ilustrado na Figura 3.20.
Figura 3.20 Criando um novo registro do tipo HINFO.
11. Clique no botão Criar registro... Será aberta a janela para você inserir as informações sobre
o registro HINFO. Defina as informações, conforme exemplo da Figura 3.21.
12. Clique em OK. O registro do tipo HINFO será criado e você estará de volta à janela Tipo de
registro de recurso. Clique em Concluído para fechar esta janela.
13. O registro do tipo HINFO já é exibido no console DNS, conforme indicado na Figura
3.22.20. Feche o console do DNS.
Muito bem, agora você já sabe criar zonas diretas e inversas e também aprendeu a criar registros
em uma zona. O próximo passo é aprender a configurar as propriedades de uma zona e as proprie-
dades do servidor DNS.


Figura 3.21 Definindo informações para o registro HINFO.
Figura 3.22 Registro do tipo HINFO, recém criado.
CONFIGURANDO AS PROPRIEDADES DE UMA ZONA

Uma zona do DNS apresenta diversas propriedades que você pode configurar. Por exemplo, você
pode configurar uma zona para aceitar ou não atualizações dinâmicas (novidade disponível a par-
tir do DNS do Windows 2000). Se você habilitar a atualização dinâmica, o DHCP poderá criar re-
gistros automaticamente no DNS para os clientes configurados via DHCP (conforme descreverei
no Capítulo 4).


Neste item, você aprenderá a configurar as propriedades de uma zona do DNS. Antes de ir para a
parte prática, você precisa aprender um pouco mais sobre Atualizações dinâmicas, Expiração e eli-
minação de registros (Scavenging) e sobre segurança no DNS.
ATUALIZAÇÕES DINÂMICAS NO DNS
A possibilidade de atualização dinâmica no DNS passou a estar disponível para o mundo Win-
dows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem dinami-
camente registrar e atualizar seus registros no servidor DNS. Isso reduz a necessidade de o admi-
nistrador manualmente criar entradas e fazer alterações no DNS, sempre que o nome ou número
IP de um computador é alterado.
A atualização dinâmica pode ser habilitada em nível de zona, ou seja, posso ter duas zonas no
mesmo servidor DNS, uma com atualização dinâmica habilitada e outra não. O cliente DNS, na
estação de trabalho do usuário, é capaz de registrar um registro do tipo A (na zona direta) e o regis-
tro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos não tem su-
porte para criação e atualização dinâmica de registros no DNS. O Windows 2000, o Windows XP e
o Windows 2000 Server são as versões do Windows cujo cliente DNS dá suporte à atualização di-
nâmica. A criação dos registros do tipo A e do tipo PTR é feita pelo cliente DHCP, durante a inicia-
lização de um computador com uma destas versões do Windows (2000, XP ou 2003) e é atualiza-
do a cada 24 horas. Mesmo que você use um endereço IP fixo, configurado manualmente, o
cliente DHCP fará o registro dinâmico, a não ser que este seja desabilitado. Os DCs atualizam seus
registros no DNS a cada hora. Esta atualização é controlada pelo serviço Netlogon.
Versões do Windows mais antigas (Windows 95, 98, 3.11, etc.) podem ter suas informações re-
gistradas dinamicamente no DNS. Porém este registro tem que ser feito pelo servidor DHCP.
Neste caso, o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalida-
de e ser capaz de criar registros do tipo A e do tipo PTR para clientes com versões do Windows
onde o cliente DNS não dá suporte a atualização dinâmica. Você aprenderá a configurar o
DHCP no Capítulo 4.
O registro dinâmico é feito utilizando o nome completo do computador. Por exemplo, um com-
putador com nome de host comp01, em um domínio abc.com.br, será registrado como
comp01.abc.com.br. O endereço IP associado ao nome será obtido a partir das configurações do
protocolo TCP/IP, quer tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido
configuradas manualmente. Lembrando que, para versões do Windows mais antigas, somente
quando as configurações são feitas via DHCP é que haverá o registro dinâmico no DNS (se o servi-
dor DHCP estiver configurado para tal).
Uma atualização dinâmica será enviada para o servidor DNS, quando uma das situações a se-
guir ocorrer:


l Um endereço IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma

das conexões de rede do computador.
l Houver uma renovação ou troca de endereço IP obtido a partir do servidor DHCP em qualquer
das conexões de rede. Por exemplo, quando o computador for inicializado (o endereço IP é ob-
tido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.
l Quando for utilizado o comando ipconfig/registerdns para forçar uma atualização do nome
do computador com o servidor DNS.
l Quando o computador é inicializado.
l Quando um member server for promovido a DC.
Algumas regras são aplicadas quando um registro é dinamicamente criado no DNS:
l Quando um cliente tenta criar dinamicamente um novo registro e o registro não existe, o DNS
server cria o novo registro sem problemas.
l Se o registro já existe, porém com um nome diferente e com o mesmo endereço IP, o novo re-
gistro é adicionado e o registro antigo será mantido.
l Se o registro já existe com o mesmo nome, mas com um endereço IP diferente, o registro ante-
rior será sobrescrito com as novas informações.
Somente o servidor onde está a zona DNS primária é que pode fazer as atualizações dinâmicas. Po-
rém, pode acontecer de um cliente estar utilizando um servidor DNS onde está uma zona secun-
dária para o domínio do cliente. Neste caso, a solicitação de atualização é enviada para o servidor
onde está a zona secundária. Este repassa a mensagem de atualização para o servidor DNS onde
está a zona primária. As atualiações são feitas na zona primária. Após ter sido atualizada a zona
primária, o servidor DNS primário envia mensagens para os servidores onde existem zonas secun-
dárias, notificando que novas atualiações estão disponíveis. As alterações são copiadas da zona
primária para todas as zonas secundárias.
Caso o cliente esteja utilizando um servidor DNS que não é autoridade para a zona a ser atuali-
zada dinamicamente, com um servidor DNS somente cache (que será explicado mais adiante),
o servidor que não é autoridade para a zona não irá repassar a mensagem de atualização para
o servidor DNS onde está a zona primária a ser atualizada e, portanto, as atualizações não se-
rão efetuadas.
O DNS faz o registro automático dos registros dos tipos A, PTR e SRV. Este registro é feito pelo servi-
ço Netlogon que roda em todos os DCs. Os registros são atualizados sempre que o serviço Netlo-
gon for inicializado e, depois, automaticamente a cada hora.


Se você fizer alterações no DNS de um controlador de domínio e quiser que estas alterações sejam
enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o serviço Netlo-
gon. Enquanto o serviço Netlogon estiver parado, clientes como Windows 2000, XP Professional
ou Windows 2000 Server continuarão sendo autenticados sem problemas (estes clientes são au-
tenticados pelo protocolo Kerberos), já clientes mais antigos, como o Windows 95 ou 98 (que de-
pendem do serviço Netlogon), não poderão ser autenticados enquanto o serviço Netlogon não ti-
ver sido reinicializado.
EXPIRAÇÃO E ELIMINAÇÃO DE REGISTROS (SCAVENGING)
Os servidores DNS do Windows 2000 Server (a exemplo do DNS do Windows Server 2003) forne-
cem suporte aos recursos de expiração e eliminação. Esses recursos são fornecidos como um meca-
nismo para executar uma limpeza no DNS, com a remoção de registros não atualizados e que po-
dem se acumular nos dados da zona ao longo do tempo. Em outras palavras: lixo.
Com a atualização dinâmica, os registros são automaticamente adicionados às zonas, conforme

descrito anteriormente. Esse registro normalmente acontece durante a inicialização do computa-
dor. No entanto, em alguns casos (como por exemplo em uma queda de energia), não são auto-
maticamente removidos quando os computadores são desligados ou desconectados da rede. Por
exemplo, se um computador registra um registro do tipo A na inicialização e depois é desconecta-
do de maneira inadequada da rede, este registro não é excluído. Em uma rede com muitos usuári-
os e computadores móveis, essa situação pode ocorrer com freqüência.
Se forem deixados sem gerenciamento, a presença de registros não atualizados em dados de zona
poderá causar alguns problemas, como por exemplo:
l Se um grande número de registros não atualizados permanecer em zonas de servidores, pode-

rão eventualmente ocupar o espaço em disco do servidor e provocar longas e desnecessárias
transferências de zonas. Por exemplo, quando uma nova zona secundária for criada, será
transmitida uma grande quantidade de registros que já não são mais necessários.
l Os servidores DNS que tem zonas com registros não atualizados poderão usar informações de-
satualizadas para responder a consultas de clientes, acarretando possíveis problemas de resolu-
ção de nomes na rede.
l O acúmulo de registros não atualizados no servidor DNS pode diminuir seu desempenho e ve-
locidade na resolução de consultas enviadas pelos clientes.
l Em alguns casos, a presença de um registro não atualizado em uma zona pode impedir que um
nome de domínio DNS seja usado por outro computador ou dispositivo de host.


Para resolver esses problemas, o serviço Servidor DNS tem os seguintes recursos:
l Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para
quaisquer registros adicionados dinamicamente às zonas tipo primárias. Além disso, os carim-
bos de data/hora são gravados nas zonas primárias padrão onde os recursos de expiração/eli-
minação estão ativados.
l Para os registros que você adiciona manualmente, é usado um valor de carimbo de data/hora
igual a zero indicando que os mesmos não são afetados pelo processo de expiração e podem
permanecer sem limitação nos dados da zona a menos que você altere seus carimbos de
data/hora ou os exclua.
l A expiração dos registros nos dados locais é baseada em um período de tempo de renovação espe-
cificado, para todas as zonas qualificadas. Somente zonas primárias participam deste processo.
l Eliminação de todos os registros que persistirem além do período de renovação especificado.
Quando um servidor DNS do Windows 2000 Server executa uma operação de eliminação, pode
determinar que os registros expiraram (se não foram atualizados) e removê-los dos dados da zona.
Os servidores podem ser configurados para executar operações de eliminação recorrentes auto-
maticamente ou você pode iniciar uma operação de eliminação imediata no servidor.
Por padrão, o mecanismo de expiração e eliminação está desativado nos servidores DNS no Win-
dows 2000 Server. Este só deve ser ativado quando todos os parâmetros estiverem totalmente enten-
didos, ou seja, quando o administrador entender exatamente o que significa cada parâmetro. Caso
contrário, o servidor poderá ser acidentalmente configurado para excluir registros que não devem
ser excluídos. Se um registro for acidentalmente excluído, não apenas ocorrerá uma falha quando
os usuários tentarem fazer consultas sobre esse registro como qualquer usuário poderá criar o regis-
tro e obter sua propriedade, mesmo em zonas configuradas para atualização segura dinâmica.
O servidor usa o conteúdo do carimbo de data/hora específico de cada registro, junto com outras
propriedades de expiração/eliminação que você pode ajustar ou configurar, para determinar
quando eliminar os registros.
Antes que os recursos de expiração e eliminação do DNS possam ser usados, várias condições de-
vem ser atendidas:
l A eliminação e a expiração devem estar ativadas no servidor DNS e na zona. Por padrão, a expi-
ração e a eliminação dos registros de recursos estão desativadas.
l Os registros de recursos devem ser adicionados dinamicamente às zonas ou manualmente mo-
dificados para serem usados nas operações de expiração e eliminação.
l Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o
protocolo de atualização dinâmica DNS estão sujeitos a expiração e eliminação.


No caso de alterar uma zona de primária padrão para integrada ao Active Directory (conforme
você aprenderá mais adiante), você talvez queira ativar a eliminação de todos os registros de re-
cursos existentes na zona. Para ativar a expiração para todos os registros de recursos existentes
em uma zona, você pode usar o comando AgeAllRecords que está disponível por meio da ferra-
menta de linha de comando dnscmd, o qual será vista na parte final do capítulo.
SEGURANÇA NO ACESSO AO DNS
As zonas do DNS contêm muitas informações sobre a rede da sua empresa e sobre os servidores da
empresa, principalmente nomes e endereços IP. Estas informações podem ser de “grande valor”
para hackers que queiram realizar ataques maliciosos contra a rede da sua empresa. Por isso prote-
ger as informações do DNS é de fundamental importância para a segurança da rede. Quando tra-
tamos sobre segurança no DNS, três pontos devem ser levados em consideração:
l Limitar o número de usuários com permissão de administração do DNS e que podem fazer al-
terações nas zonas do DNS.
l Tomar precauções para que as informações contidas nas zonas do DNS não sejam acessadas
por usuários não autorizados.
l Questões de segurança relacionadas com as atualizações dinâmicas, para evitar que sejam en-
viadas atualizações dinâmicas por usuários/computadores não autorizados.
Você pode definir configurações de segurança para limitar o acesso aos servidores DNS. Por pa-
drão, os grupos Domain Admins (Administradores do domínio), Enterprise Admins (Administra-
dores de empresa), DNS Admins (Administradores do DNS) e o grupo Administrators têrm per-
missão de controle total nos servidores DNS. Você pode retirar as permissões de todos os grupos
deixando apenas as permissões do grupo DNS Admins (e talvez também a do grupo Administra-
tors). Com isso, você pode controlar quais usuários tem acesso para fazer alterações nos servidores
DNS, simplesmente incluindo os usuários que devem administrar o DNS, no grupo DNS Admins.
O grupo DNS Admins é automaticamente criado no Active Directory, quando o DNS é instalado.
Por padrão, o usuário Administrator (Administrador) é membro do grupo DNS Admin. Este grupo
tem permissão de controle total em todos os servidores DNS do domínio. Este grupo também tem
permissão de controle total em todas as zonas do DNS integradas com o Active Directory (você
aprenderá mais sobre a integração do DNS com o Active Directory mais adiante).
Ao configurar as permissões de acesso em um servidor DNS, mantenha o grupo Authenticated Users

(Usuários Autenticados) na lista com permissão de acesso e mantenha as permissões padrão atribuí-
das a este grupo. Se você retirar este grupo, os usuários da rede não conseguirão ler informações no
servidor DNS, ou seja, as consultas dos clientes não serão respondidas. Na prática, é como se o ser-
vidor DNS estivesse desligado.


Você também pode configurar quais servidores DNS poderão conter zonas secundárias e efetuar
transferência de zonas. Ao limitar os servidores que podem conter zonas secundárias, você evita
que alguém de fora da empresa consiga trasferir uma cópia integral das zonas DNS dos servidores
da empresa. Ao transferir uma cópia das zonas DNS, o hacker terá acesso a muitas informações im-
portantes, tais como o número IP de diversos servidores. Estas informações facilitarão o trabalho
do hacker em uma tentativa de invadir a rede da empresa.
Outro controle que é muito importante é em relação a quais clientes terão permissão para incluir re-
gistros dinamicamente no DNS. Sem um controle de quem pode fazer atualiações dinâmicas, um
usuário mal-intencionado poderá registrar uma série de registros falsos ou até mesmo registrar milha-
res de registros em um ataque do tipo “Denial of service”, apenas com o objetivo de paralisar o servi-
dor DNS e com isso os serviços que dependem do DNS. Muitos hackers fazem este tipo de ataque,
mesmo sem obter nenhuma informação valiosa ou vantagem financeira, apenas por prazer, para tes-
tar seus conhecimentos e sua capacidade. Você tem que estar protegido contra este tipo de ataque.
No Windows 2000 Server, você pode fazer com que o DNS somente aceite atualizações dinâmicas en-
viadas por computadores autenticados no domínio. Este tipo de atualização é conhecido como atua-
lização dinâmica segura (Security Dynamic Update). Porém este tipo de atualização somente está dis-
ponível em zonas DNS integradas com o Active Directory. Nestas zonas, você pode definir uma lista
de permissão de acesso (semelhante a uma lista de permissões NTFS em uma pasta). Com isso você
tem um controle bem maior sobre a segurança no acesso às informações das zonas do DNS.
Neste capítulo, você aprenderá a criar uma zona integrada com o Active Directory e a transformar
uma zona primária padrão em uma zona integrada com o Active Directory.
Bem, vamos fazer um exemplo prático, através do qual você irá verificar as propriedades de confi-
guração disponíveis para uma zona do DNS.
Para acessar e configurar as propriedades de uma zona do DNS, siga os passos indicados a seguir:
3. Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta,
se você deseja configurar as propriedades de uma zona direta (ou clique no sinal de + ao
lado da opção Zonas de pesquisa inversa, se você deseja configurar as propriedades de uma
zona inversa). Neste exemplo você irá configurar as propriedades de uma zona direta.
4. Serão exibidas as zonas de pesquisa direta existentes no servidor. Clique com o botão direi-
to do mouse na zona a ser configurada. No menu de opções que é exibido clique na opção
Propriedades.
5. Será exibida a janela de propriedades da zona, com a guia Geral selecionada, conforme in-
dicado na Figura 3.23.


Figura 3.23 A guia geral de propriedades de uma zona direta do DNS.
Nesta guia, é informado o nome da zona e a lista “Permitir atualizações dinâmicas?”, na qual
você pode habilitar ou não as atualizações dinâmicas para a zona que está sendo configurada e
escolher o tipo de atualização dinâmica a ser utilizada. Para desabilitar as atualizações dinâmi-
cas (descritas anteriormente), selecione a opção Não. Esta é a opção padrão quando uma nova
zona é criada pelo administrador DNS. Existe também a opção Sim. Esta opção habilita as atuali-
zações dinâmicas e aceita atualizações dinâmicas mesmo de computadores não autenticados no
domínio, o que pode ser um problema de segurança. Este tipo de atualização é conhecida com
“Atualização dinâmica não segura”. O ideal é aceitar apenas atualizações seguras (enviadas por
computadores autenticados no domínio). Para aceitar apenas atualizações seguras, a zona deve
ser integrada com o Active Directory. Você aprenderá a integrar uma zona com o Active Direc-
tory mais adiante.
5. Clique no botão Duração... Será aberta a janela Duração de zona/propriedades de elimina-

ção, indicada na Figura 3.24.


Figura 3.24 A janela para configurações de duração de zona

e eliminação de registros.
Nesta janela, estão disponíveis as seguintes opções:
l Eliminar registros de recursos fora de uso: Especifica se os registros de recurso não atualizados
devem ser removidos do banco de dados DNS. Quando configurada para propriedades do ser-
vidor (na janela de propriedades do servidor, que apresentarei no próximo item), esta defini-
ção aplica-se como valor padrão para todas as zonas do servidor DNS. Quando configurada em
uma zona específica (exemplo deste item), esta definição aplica-se somente à zona que está
sendo configurada. Marque esta opção para habilitar a eliminação de registros não utilizados
na zona que está sendo configurada.
l Intervalo sem atualização: Fornece um espaço para você selecionar ou digitar um intervalo de
tempo em dias ou em horas. Quando um registro de recurso é atualizado, este não será atualiza-
do novamente até que esse intervalo de tempo tenha decorrido. Quando configurado para pro-
priedades do servidor, este valor aplica-se como o valor padrão para todas as zonas do servidor.
Quando configurado em uma zona específica, este valor aplica-se somente àquela zona que está
sendo configurada. Se esse intervalo for aumentado, pode fazer com que registros de recursos
não atualizados permaneçam no banco de dados DNS por um período de tempo maior.
l Intervalo de atualização: Fornece um espaço para você selecionar ou digitar um intervalo de
tempo em dias ou em horas. Após o intervalo sem atualização expirar, espera-se que os regis-
tros de recurso permaneçam no banco de dados DNS por pelo menos o período de tempo espe-


cificado neste campo. Quando configurado para propriedades do servidor, este valor aplica-se
como o valor padrão para todas as zonas do servidor. Quando configurado em uma zona espe-
cífica, este valor aplica-se somente àquela zona. Este intervalo não deve ser menor que o perío-
do máximo de atualização para quaisquer registros de recurso. Na maioria das redes, esse inter-
valo corresponde ao intervalo de renovação de concessão de endereços IP pelo DHCP. Para
servidores DHCP do Windows 2000 Server, o intervalo de renovação padrão é de quatro dias.
6. Defina as configurações desejadas e clique em OK.
7. A janela Duração de zona/propriedades de eliminação será fechada e você estará de volta à

guia Geral. A guia Início de autoridade (Start of Authority (SOA)) já foi descrita no item so-
bre a criação de zonas primárias. Clique na guia Servidores de nomes. Será exibida a janela
indicada na Figura 3.25.
8. Nesta guia são listados o nome e o número IP dos servidores que são “autoridade” para a
zona. São autoridade o servidor DNS onde está a zona primária e os servidores DNS onde fo-
ram criadas zonas secundárias. É importante lembrar que as alterações somente podem ser
feitas na zona primária, porém qualque servidor que contenha uma cópia da zona primária
(a cópia é chamada de zona secundária) pode responder ”com autoridade” a consultas para
os registros da respectiva zona. Em um dos próximos itens você aprenderá a criar zonas se-
cundárias. Você pode usar o botão Adicionar..., para adicionar um novo servidor, o botão
Editar..., para alterar o nome de um servidor da lista ou o botão Remover para excluir um
Figura 3.25 A guia Servidores de nomes.


dos servidores da lista. Faça as alterações desejadas e clique na guia WINS. Será exibida a ja-
nela indicada na Figura 3.26.
O DNS pode “pedir socorro” ao WINS (caso o WINS esteja instalado) quando o DNS não con-
segue resolver um nome. Na prática, quando for habilitada a integração entre o DNS e o
WINS, primeiro o DNS tenta resolver o nome usando um dos processos descritos anterior-
mente (recursão ou interação). Caso o DNS não consiga resolver o nome, se a integração com
o WINS estiver habilitada, o DNS consulta o WINS como uma tentativa final de resolução do
nome. Se o WINS conseguir resolver o nome, o DNS responde positivamente a consulta para
o cliente, caso contrário o DNS responde negativamente (“não consegui resolver o nome”)
para o cliente. Este processo também é conhecido como “Integração da pesquisa WINS”.
Figura 3.26 A guia WINS.
O suporte ao uso do WINS (Windows Internet Name Service) é fornecido para pesquisar
nomes DNS que não podem ser resolvidos por meio de consulta ao espaço de nomes de do-
mínio DNS. Para executar uma pesquisa WINS, dois tipos de registros de recursos específi-
cos são usados e podem ser ativados para toda zona carregada pelo serviço DNS:
l O registro de recurso WINS, que pode ser ativado para integrar a pesquisa WINS em zo-
nas de pesquisa direta.
l O registro de recurso WINS-R, que pode ser ativado para integrar a pesquisa inversa
WINS em zonas de pesquisa inversa.


O REGISTRO DE RECURSO WINS

Os serviços WINS e DNS são usados para fornecer resolução de nomes para o espaço de no-
mes NetBIOS (Network Basic Input Output System) e o espaço de nomes de domínio DNS,
respectivamente. Embora tanto o DNS quanto o WINS possam fornecer um serviço de no-
mes útil e independente aos clientes, o WINS é principalmente necessário porque fornece
suporte a clientes e programas mais antigos que exigem suporte para nomes NetBIOS.
Os conceitos teóricos e as operações práticas com o WINS serão apresentados no Capítulo 5.
A presença de um registro de recurso WINS é que orienta o serviço DNS a usar o WINS para
pesquisar quaisquer consultas diretas para nomes de host ou nomes que não foram encon-
trados no banco de dados da zona. Essa funcionalidade é particularmente útil no caso de
resolução de nomes exigida por clientes que não reconhecem o WINS (por exemplo,
UNIX) para nomes de computadores não registrados no DNS, como computadores do
Windows 95 ou Windows 98.
COMO A PESQUISA WINS FUNCIONA

Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a con-
sulta usando o processo normal de resolução de nomes no DNS, descrito anteriormente. Se
o servidor, que é autoridade para o nome pesquisado, não puder responder a consulta (ou
seja, o registro não existe na zona pesquisada) e a integração com o WINS estiver ativada, as
seguintes etapas serão executadas:
l O servidor DNS separa a parte host do nome no nome de domínio totalmente qualifica-
do contido na consulta DNS. Apenas para recordar, o parte host do nome é a primeira
parte do nome. Por exemplo, o nome host para srv01.abc.com.br é srv01.
l O servidor então envia uma solicitação de nome NetBIOS para o servidor WINS usando
o nome do host identificado no item anterior.
l Se o servidor WINS puder resolver o nome, retorna o endereço IP associado com o

nome, para o servidor DNS.
l O servidor DNS então retorna essa informação de endereço IP para o cliente.
COMO A PESQUISA INVERSA WINS FUNCIONA

Há também um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser
ativada e adicionada às zonas de pesquisa inversa. No entanto, como o banco de dados
WINS não é indexado por endereço IP, o serviço DNS não pode enviar uma pesquisa de
nome inversa para o WINS obter o nome de um computador a partir de seu endereço IP.


Como o WINS não fornece recursos de pesquisa inversa, o serviço DNS, em vez disso, envia
uma solicitação de status do adaptador do nó diretamente para o endereço IP implicado na
consulta inversa DNS. Quando o servidor DNS obtém o nome NetBIOS a partir da resposta
de status do nó de rede, também anexa o nome de domínio DNS ao nome NetBIOS forneci-
do na resposta de status do nó e encaminha o resultado para o cliente solicitante.
Os registros de recursos WINS e WINS-R são proprietários do serviço DNS fornecido pelo DNS do
Windows 2000 Server e do Windows Server 2003 (e também do Windows NT Server 4.0).
9. Feitas as explicações sobre a integração do DNS com o WINS, é nesta guia que você habilita
ou não a integração para a zona que está sendo configurada. Para ativar a integração com o
WINS, basta marcar a opção Usar pesquisa direta WINS. Ao marcar esta opção, a opção Não
duplicar este registro será habilitada. Esta opção especifica se o servidor DNS replica algum
dado de registro de recurso específico do WINS que usa para outros servidores DNS durante
transferências de zonas. Selecionar esta opção pode ser útil para prevenir falhas de atualiza-
ção de zonas ou erros de dados de zona quando você estiver usando uma combinação de ser-
vidores Microsoft e outros DNS na sua rede para carregar a zona. O próximo passo é inserir o
número IP de um ou mais servidores WINS que serão consultados para a integração do DNS
com o WINS. Basta digitar o número IP do servidor DNS e clicar no botão Adicionar. Você
pode utilizar o botão Remover para excluir um dos endereços IP da lista e os botões Para cima
e Para baixo, para alterar a posição dos servidores na lista.
10. Clique no botão Avançado... Será exibida a janela indicada na Figura 3.27.
Figura 3.27 A janela de configurações avançadas da integração DNS x WINS.
No campo Tempo limite de cache você, deve digitar um valor Time-To-Live (TTL, tempo de vida)
que possa ser utilizado por outros servidores DNS e por alguns clientes DNS para determinar por
quanto tempo devem armazenar informações em cache nesse registro de recurso retornado atra-


vés do uso da integração de pesquisa WINS. O formato de tempo digitado deve ser em dias
(DDDDDD), horas (HH), minutos (MM) e segundos (SS). No campo Tempo limite de pesquisa,
você pode digitar uma quantidade de tempo para controlar por quanto tempo o servidor DNS es-
perará por uma resposta do WINS antes de retornar uma mensagem de erro “nome não encontra-
do” ao solicitante. O formato de tempo que você digita deve ser em dias (DDDDDD), horas (HH),
minutos (MM) e segundos (SS).
11. Defina as opções desejadas na janela de configurações avançadas e clique em OK. Você es-
tará de volta à janela de propriedades da zona.
12. Clique na guia Transferência de zona. Será exibida a janela indicada na Figura 3.28.
Figura 3.28 A guia para configuração de transferência de zonas.
Esta guia tem uma relação direta com a segurança no DNS. Nesta guia, você pode limitar quais ser-
vidores estão autorizados a efetuar uma transferência de uma ou mais zonas primárias do servidor
DNS. Na prática, você está limitando em quais servidores podem ser criadas zonas secundárias das
zonas primárias existentes no servidor DNS. Estas configurações podem ser utilizadas para evitar
que usuários externos possam copiar informações de zonas inteiras. Estas informações seriam de
grande ajuda para um hacker que está com a intenção de invadir a rede da empresa. Limitando os
servidores que podem copiar informações das zonas do servidor DNS, você está fechando mais
uma porta e dificultando mais a vida dos hackers. Por padrão, a opção Permitir transferência de
zona é marcada. Se esta opção estiver marcada, será permitido que sejam criadas zonas secundá-


rias desta zona em outros servidores. Se esta opção for desmarcada, isso impedirá que as informa-
ções nesta zona repliquem para outros servidores. Você também pode definir quais servidoes te-
rão permissão para copiar informações desta zona. As opções disponíveis são as seguintes:
l Para qualquer servidor: Evidentemente que esta é a opção menos segura, ou seja, qual-
quer servidor DNS poderá criar uma zona secundária e copiar todas as informações da
zona que está sendo configurada. Por incrível que pareça, esta é a opção padrão no DNS
do Windows 2000 Server. Já no Windows Server 2003, a opção padrão é somente para
servidores listados na guia Servidores de nome, descrita anteriormente.
l Somente para servidores listados na guia ‘Servidores de nome’: Esta opção especifica
que as transferências de zona só são permitidas a servidores nomeados na guia Servi-
dores de nomes. Essa ação permite a você restringir transferências de zona dessa zona
para uma lista de servidores de nomes para esse domínio. Se você marcar esta opção,
deve informar na lista Servidores de nomes quais os servidores terão permissão para
copiar informações desta zona. Se um servidor tentar copiar informações desta zona,
sem ter as devidas permissões, as informações não serão copiadas e a zona fica marca-
da (no servidor que tentou copiar, não a zona original) com um sinal de erro, confor-
me exemplo da Figura 3.29.
Figura 3.29 Tentativa de copiar uma zona sem permissão.
l Somente para os servidores a seguir: Ao marcar esta opção, você pode especificar uma
lista de servidores os quais estarão autorizados a transferir informações sobre a zona que
está sendo configurada, ou seja, servidores que estarão autorizados a criar zonas secun-
dárias da zona que está sendo configurada. Para inserir servidores na lista basta digitar o
número IP do servidor e clicar no botão Adicionar.
Nesta guia, você também tem o botão Notificar... Ao clicar neste botão será aberta a janela
Notificar, indicada na Figura 3.30.


Figura 3.30 A janela Notificar.
Nesta guia, você define quais servidores devem ser notificados automaticamente sobre as al-
terações efetuadas na zona. Você pode limitar a notificação apenas aos servidores listados na
guia Servidores de nomes ou pode especificar uma lista de servidores a serem notificados.
13. Defina as configurações desejadas na janela Notificar e clique em OK.
14. Você estará de volta à guia Transferências de zona. Defina as configurações desejadas e cli-
que em OK.
Pronto. Sobre configurações das propriedades de uma zona é isso.
CONFIGURANDO AS PROPRIEDADES DO SERVIDOR DNS

No item anterior, você aprendeu a configurar as propriedades de uma zona. Estas configurações afe-
tam apenas a zona que está sendo configurada. Quando você configura as propriedades do servidor
DNS, você está alterando opções que afetam todas as zonas do servidor. Existem algumas proprieada-
des que são relacionadas com a maneira de operação do servidor DNS e não com as configurações de
zonas especificamente. Neste item, você aprenderá a configurar as propriedades do servidor DNS.
Para acessar e configurar as propriedades do servidor DNS, siga os passos indicados a seguir:


3. Será exibido o console DNS. Clique com o botão direito do mouse no nome do servidor
DNS a ser configurado (lembrando que você pode utilizar o console DNS para se conectar e
administrar vários servidores DNS, centralizadamente a partir de um único console). No
menu de opções que é exibido clique em Propriedades.
Será exibida a janela de propriedades do servidor DNS, com a guia Interfaces já selecionada, con-
forme indicado na Figura 3.31.
Figura 3.31 A guia de interfaces.
Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede ins-
talada e pode também ter mais de um endereço IP configurado em uma mesma placa de
rede. Cada endereço IP representa uma interface. Você pode configurar o DNS para respon-
der à consultas enviadas por todas as interfaces (que é a opção padrão) ou apenas à conultas
enviadas através das interfaces que você configurar nesta guia.
4. Para que o DNS responda à consultas enviadas por qualquer interface, certifique-se de que a
opção Em todos os endereços IP esteja selecionada. Para fazer com que o DNS responda ape-
nas à determinadas interfaces, marque a opção Apenas nos seguintes endereços IP e informe
os endereços IP. Para adicionar um novo endereço IP digite o endereço e clique no botão Adi-
cionar. Para remover um endereço IP da lista basta selecioná-lo e clicar no botão Remover.


5. Clique na guia Encaminhadores. Será exibida a janela indicada na Figura 3.32.
Figura 3.32 A guia Encaminhadores.
Aqui é preciso um pouco mais de detalhes sobre o conceito de Forward em um servidor

DNS. Então vamos à teoria do uso de Forwarders (ou se preferirem: Encaminhadores).
Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma
lista selecionada de servidores, conhecidos como encaminhadores. Os servidores usados
na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um
servidor DNS recebe e que não pode responder com base em suas zonas locais. Durante o
processo de encaminhamento, um servidor DNS configurado para usar encaminhadores
(um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmen-
te como um cliente DNS para seus encaminhadores.
BENEFÍCIOS DE USAR ENCAMINHADORES

Os encaminhadores são indicados quando o acesso a servidores DNS remotos é feito atra-
vés de links de WAN de baixa velocidade, como uma rede local com um barramente de alta
velocidade (10 MBps ou, mais comum hoje em dia, 100 MBps) à Internet por intermédio de
uma conexão de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir
o tráfego de WAN relacionado a resolução de nomes DNS, das seguintes maneiras:


l Reduz o número de consultas gerais enviadas através do link de WAN, por exemplo, seu
servidor DNS tem uma conexão dial-up de custo elevado e lenta com um provedor de
serviços da Internet (ISP, Internet service provider). Quando o servidor DNS usado
como um encaminhador da sua rede interna recebe uma consulta para um nome remo-
to na Internet, pode entrar em contato direto com servidores remotos na Internet. Este
servidor pode repetir consultas adicionais até determinar o servidor autorizado para o
nome que está sendo consultado. Após encontrar o servidor autorizado, o encaminha-
dor entra em contato e recebe uma resposta completa.
Outra opção que pode reduzir o tráfego é usar um servidor DNS na Internet como um
encaminhador. Antes de decidir sobre essa configuração, obtenha permissão para usar
um servidor DNS da Internet como seu encaminhador designado, como um servidor
gerenciado pelo seu ISP. Nessa configuração, todas as consultas são enviadas ao servi-
dor DNS configurado na lista de Forwareders e este só retorna a resposta de volta para o
cliente. Observe que todo o tráfego de resolução fica entre o servidor configurado como
Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor
DNS configurado como Forward, é transmitida somente a consulta (do servidor interno
para o Forward) e a resposta à consulta (do servidor Forward para o servidor DNS inter-
no). Cada consulta representa um único percurso de ida e volta através do link de WAN,
deixando todo o tráfego de resolução entre o Forward e a Internet.
l Compartilhar resultados remotos na sua rede local. Os encaminhadores fornecem um
modo de compartilhar informações sobre nomes remotos com um grupo de servidores
DNS localizados na mesma área. Por exemplo, pressuponha que sua organização tenha
diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie
consultas através de um firewall e para a Internet, todos os servidores DNS são configu-
rados para encaminhar consultas para um único servidor DNS (localizado no firewall) o
qual, por sua vez, faz as consultas necessárias aos servidores remotos. No processo, o en-
caminhador cria um cache de nomes DNS da Internet a partir das respostas recebidas.
Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas,
o encaminhador responde a mais consultas a partir de seu cache porque começa a ter
um número crescente de respostas com base nas consultas anteriores para os mesmos
nomes ou nomes similares. Mais uma vez a idéia é isolar o tráfego de resolução entre um
único servidor DNS (configurado como Forward) e a Internet.
Mais de um encaminhador pode ser listado. Cada servidor na lista é tentado somente uma
vez e todas as tentativas de repetição adicionais para o mesmo servidor só podem ocorrer
repetindo seu endereço IP na lista.
Se um servidor DNS não estiver configurado para usar encaminhadores, usará o processo de
consulta iterativa normal para responder às consultas recursivas para nomes remotos.
USAR OS ENCAMINHADORES EXCLUSIVAMENTE (SEM RECURSÃO)

Quando um servidor DNS é configurado para usar encaminhadores, estes são usados antes
de qualquer outro meio de resolução de nomes ser tentado. Se a lista de encaminhadores


falhar ao fornecer uma resposta positiva, um servidor DNS poderá tentar resolver a consul-
ta por si próprio usando consultas iterativas e recursão padrão.
Um servidor também pode ser configurado para não executar recursão depois que os
encaminhadores falharem. Nessa configuração, o servidor não tentará nenhuma con-
sulta recursiva adicional por si próprio para resolver o nome. Em vez disso, a consulta
irá falhar se não obtiver uma resposta de consulta bem sucedida a partir de qualquer um
dos encaminhadores.
Isso obrigará o servidor DNS a usar, exclusivamente os servidores configurados como enca-
minhadores, sem utilizar o recurso de recursão. Nesse modo de operação, um servidor con-
figurado para usar encaminhadores poderá ainda verificar primeiro nas suas zonas confi-
guradas localmente, para tentar resolver um nome consultado. Se este localizar um registro
correspondente nos seus dados locais (nas zonas do servidor DNS), poderá responder à
consulta com base nessas informações.
Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opção Não usar
recursão para este domínio.
Ao usar encaminhadores, as consultas são enviadas para cada encaminhador da lista, ao qual é
atribuído um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o pró-
ximo encaminhador seja tentado. Por padrão este tempo é de 5 segundos e é configurado no cam-
po Tempo limite do encaminhamento da guia Encaminhadores.
Um servidor DNS não pode encaminhar consultas para nomes que façam parte de domínios para os
quais o servidor é autoridade do domínio, ou seja, para zonas que estão configuradas no próprio
servidor. Por exemplo, um servidor que é a autoridade para abc.com.br não poderá encaminhar
para outros servidores, consultas para nomes do domínio abc.com.br. Por exemplo, chega uma con-
sulta para o nome srv01.abc.com.br. O servidor DNS que é autoridade para o domínio abc.com.br
não poderá encaminhar esta consulta para outros servidores DNS.
Agora vamos voltar a guia Forwarders e ver como fazer as configurações práticas.
6. Para usar encaminhadores basta informar o número IP do servidor DNS a ser utilizado
como encaminhador e clicar no botão Adicionar. Para remover um encaminhador da lista,
clique no encaminhador a ser excluído, para selecioná-lo e clique no botão Remover. Você
pode alterar a ordem dos encaminhadores, usando os botões Para cima e Para baixo.
7. Defina as configurações desejadas e dê um clique na guia Avançado. Nesta guia, você

tem uma série de configurações que afetam a maneira como o DNS trabalha e resolve as
consultas (além de ser um excelente assunto para questões dos exames de certificação
da Microsoft). Serão exibidas as opções de configurações avançadas, conforme indicado
na Figura 3.33:


Figura 3.33 Configurações avançadas do servidor DNS.
Na lista Opções de servidor, você tem as seguintes opções disponíveis:

l Desativar recursão: Esta opção determina se o servidor DNS usa ou não a recursão. Por
padrão, os servidores DNS do Windows 2000 e do Windows Server 2003 são ativados
para usar recursão. Você pode marcar esta opção se for necessário desativar o método de
recursão para a resolução de nomes.
l Vincular secundários: Esta opção define se será usado o formato de transferência rápido
na transferência de uma zona para servidores DNS que executam implementações Ber-
keley Internet Name Domain (BIND) legadas, isto é, com versões mais antigas do BIND.
Por padrão, todos os servidores DNS baseados em Windows usam um formato de trans-
ferência de zona rápida, que usa compactação e pode incluir vários registros por mensa-
gem TCP (Transmission Control Protocol, protocolo de controle de transmissão) du-
rante uma transferência conectada. Esse formato também é compatível com os
servidores DNS baseados em BIND que executam versões 4.9.4 e posterior. Caso você
ainda utilize algum servidor DNS com versão mais antiga do BIND e que precise receber
atualizações, você deve habilitar esta opção.
A seguir, apresento uma descrição das diferentes versões do DNS e das principais ca-
racterísticas de cada uma:
Servidor DNS do Windows 2000: Fornece funcionalidade de integração com o WINS

(descrita mais adiante), atualizações seguras (para zonas integradas ao Active Direc-
tory, conforme será visto mais à frente) e integração do Active Directory.


BIND 8.2.1: Nesta versão foi incluída a funcionalidade de transferência incremental

de zonas, ou seja, apenas o que foi alterado é transmitido da zona primária para as
zonas secundárias e não todo o conteúdo da zona. Esta transferência é controlada
por um registro do tipo IXFR. Não esqueça deste detalhe para o exame, pois essa é
uma nova funcionalidade do DNS, presente no DNS do Windows 2000 Server.
BIND 8.1.1: Nesta versão é que foi introduzido o suporte a atualizações dinâmicas do
DNS. Lembre também deste fato para o exame.
BIND 4.9.7: Nesta versão é que foi introduzido o suporte aos registros do tipo SRV.
l Falhar no carregamento se forem dados de zona danificada (mais uma tradução cinco
estrelas): Por padrão, os servidores DNS do Windows 2000 e do Windows Server 2003
registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e
continuam a carregar a zona. Você pode marcar esta opção para que o Servidor DNS re-
gistre os erros e falhas ao carregar um arquivo de zona e que não continue a carregar a
zona que contém erros.
l Ativar rodízio: Determina se o servidor DNS usará round robin (rodízio) para alternar e
reordenar uma lista de vários registros de recursos de host (A) se um nome de host con-
sultado for para um computador configurado com vários endereços IP (Internet Proto-
col, protocolo Internet). Por padrão, os servidores DNS do Windows 2000 usam round
robin. A seguir, apresento mais detalhes sobre o recurso de round robin (prefiro este ter-
mo, que é bem mais conhecido em se tratando de DNS, do que rodízio).
CONFIGURAR ROUND ROBIN

Round robin é um mecanismo de equilíbrio local de carga, usado pelos servidores DNS
para compartilhar e distribuir cargas entre dois ou mais servidores da rede. Por exem-
plo, pode ser utilizado para distribuir os acessos a um site de elevado volume de acessos
entre dois ou mais servidores que contêm exatamente o mesmo conteúdo. Em resumo,
a um único nome DNS são associados dois ou mais endereços IP. À medida em que as re-
quisições vão chegando, o DNS responde cada consulta com um dos endereços IP e de-
pois faz uma reordenação da lista de endereços para que, no próximo acesso, um ende-
reço IP diferente seja o primeiro da lista. Isso proporciona uma distribuição igualitária
de carga entre os diversos servidores.
Para que o round robin funcione, vários registros de recursos A para o mesmo nome de-
vem ter sido criados na zona.
Exemplo: Rotação round-robin
Uma consulta do tipo pesquisa direta (para todos os registros do tipo A que correspon-
dem a um único nome de domínio DNS) é feita em um computador com diversas bases
que tem três endereços IP diferentes, associados ao nome. Registros do tipo A separados
são usados para mapear o nome de host para cada um desses endereços IP na zona. Na
zona, os registros são exibidos em uma ordem fixa, conforme exemplo a seguir:


srv01 IN A 10.10.10.1
srv01 IN A 10.10.10.2
srv01 IN A 10.10.10.3
O primeiro cliente DNS que consulta o servidor para resolver seu nome de host (srv01)
recebe a lista na ordem padrão. Quando um segundo cliente envia uma consulta subse-
qüente para resolver esse nome, a lista é girada de acordo com o seguinte:
srv01 IN A 10.10.10.2
srv01 IN A 10.10.10.3
srv01 IN A 10.10.10.1
e assim sucessivamente para os próximos clientes.
l Ativar classificação de máscaras de rede: Determina se o servidor DNS reordenará uma
lista de vários registros de recursos A com base na prioridade da sub-rede local se um
nome de host consultado for um computador com diversos registros no DNS. Por pa-
drão, os servidores DNS do Windows 2000 e do Windows Server 2003 usam prioridade
de sub-rede local. Este item merece um pouco mais de detalhes.
ATRIBUIR PRIORIDADES A SUB-REDES LOCAIS

Por padrão, o serviço DNS usa a atribuição de prioridades a sub-redes locais como o mé-
todo para dar preferência a endereços IP (Internet Protocol, protocolo Internet) na mes-
ma rede quando uma consulta de cliente é resolvida para um nome de host que está ma-
peado para mais de um endereço IP. Se o cliente enviou uma consulta para um nome e
existem, por exemplo, dois endereços IP associados com o nome, o servidor DNS dará
preferência ao endereço IP que for da mesma rede do cliente que enviou a consulta
(caso um dos endereços IP seja da mesma rede). Esse recurso permite que o aplicativo do
cliente se conecte ao host que esteja usando seu endereço IP mais próximo (e normal-
mente o mais rápido) disponível para a conexão.
O serviço DNS usa a prioridade à sub-rede local da seguinte maneira:
I. O serviço DNS determina se a atribuição de prioridade à sub-rede local é necessá-

ria para ordenar a resposta à consulta. Se mais de um registro de recurso do tipo A
corresponder ao nome de host consultado, o serviço DNS pode reordenar os re-
gistros de acordo com sua localização na sub-rede. Se o nome de host consultado
corresponder apenas a um registro de recurso A único ou se o endereço de rede IP
do cliente não corresponder a um endereço de rede IP de nenhum dos endereços
mapeados em uma lista de resposta de vários registros, nenhuma atribuição de
prioridade será necessária.
II. Para cada registro que faz parte da lista de respostas a serem enviadas para o clien-
te, o serviço DNS determina quais registros (se houver) correspondem à localiza-
ção da sub-rede do cliente solicitante.


III. O serviço DNS reordena a lista de resposta para que um registro do tipo A, que cor-
responda à sub-rede local do cliente solicitante seja posicionado em primeiro lu-
gar na lista de resposta.
IV. Com atribuição de prioridade ordenada de acordo com a sub-rede, a lista de res-
posta é retornada ao cliente solicitante.
O resultado prático desta priorização é que, se um dos endereços retornados fizer parte
da mesma rede do cliente, este endereço será utilizado preferencialmente (será o prime-
iro da lista).
A prioridade da sub-rede local substitui o uso da rotação round robin para nomes com vários ende-
reços IP associados. Entretanto, quando o round robin está ativado, os registros continuam a ser al-
ternados usando o round robin como o método de classificação secundário da lista de respostas.
l Proteger cache contra poluição: Determina se o servidor tentará limpar as respostas para
evitar poluição do cache. Por padrão, os servidores DNS do Windows 2000 e do Win-
dows Server 2003 usam uma opção de resposta segura que elimina a adição de registros
no cache, de recursos não relacionados incluídos em uma resposta de referência, ou
seja, recursos não diretamente relacionados com o nome pesquisado, mas sim referên-
cias a servidores que possam resolver o nome pesquisado. Na maioria dos casos, todos os
nomes adicionados em respostas de referência são normalmente armazenados em ca-
che e ajudam a acelerar a velocidade de resolução das consultas DNS subseqüentes.
Com esse recurso, entretanto, o servidor pode determinar que nomes referenciados são
potencialmente poluentes e não seguros, e descartá-los. O servidor determina se o
nome oferecido será armazenado em cache em uma referência com base no fato de fazer
parte ou não da árvore exata de nomes de domínios DNS relativa a qual o nome original
foi consultado. Por exemplo, se uma consulta foi originalmente feita para “rh.abc.com”
e uma resposta de referência forneceu um registro para um nome fora da árvore de no-
mes de domínio “abc.com”, como por exemplo xyz.com, então esse nome não deverá
ser armazenado em cache, se esta opção estiver marcada.
Na lista Carregar dados da zona ao iniciar, você pode selecionar o método de inicializa-
ção usado por este servidor DNS. Estão disponíveis os métodos Do Active Directory e do
Registro e do Arquivo. Por padrão, o servidor DNS usa informação gravada na registry
do sistema para inicializar o serviço e carregar as informações sobre as zonas do servidor
DNS. O DNS também pode ser configurado para carregar informações a partir de um ar-
quivo ou no caso de um servidor com zonas integradas com o Active Directory, você
pode usar a opção Do Active Directory e do Registro. Se você utilizar o método Do arqui-
vo, o arquivo de inicialiação deve ser um arquivo de texto, com o nome Boot, localizado
na pasta systemroot\Windows\System32\Dns, onde systemroot representa a pasta
onde o Windows 2000 Server está instalado.


Nesta guia, você também pode marcar a opção Ativar eliminação automática dos registros
fora de uso. Ao marcar esta opção, você poderá definir o período pelo qual o registro deve
ficar fora de uso antes de ser excluído.
Você também pode utilizar o botão Restaurar padrões para voltar o servidor DNS a suas
configurações padrão, que são as seguintes:
Propriedade Valor padrão

Habilitar recursão Desmarcada
Vincular secundários Marcada
Falha no carregamento se forem dados... Desmarcada
Ativar rodízio Marcada
Ativar classificação de máscara de rede Marcada
Proteger cache contra poluição Marcada
Verificação de nome (UTF8)
Carregar dados da zona ao iniciar Do Active Directory e do Registro
Ativar eliminação automática de registros Desmarcada
for a de uso
8. Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que

você está configurando. Clique na guia Dicas de raiz (Root Hints). Será exibida a janela in-
dicada na Figura 3.34.
Figura 3.34 Lista de servidores root do DNS.


Eu não posso deixar de registrar o meu protesto contra as traduções. No Windows 2000 Server, em
Português, a tradução de Root Hints foi “Dicas de raiz”. Deus nos ajude. Tudo bem, a tradução pode
até estar correta. Mas quem traduziu realmente não tinha a mínima idéia de DNS. O que significa
para o DNS: “Dicas de raiz”. Nada, absolutamente nada elevado ao quadrado.
Nesta janela, é exibida a lista dos servidores root da Internet, utilizados no processo de re-
cursão, descrito anteriormente. Você pode alterar as informações de um dos servidores uti-
lizando o botão Editar, pode adicionar novos servidores usando o botão Adicionar, e pode
remover servidores usando o botão Remover, embora seja pouco provável que você tenha
que efetuar alguma destas operações.
Por padrão, os servidores DNS implementam a lista dos servidores raiz usando um arquivo,
Cache.dns, que é armazenado na pasta %SystemRoot%\System32\Dns do servidor. Esse
arquivo normalmente contém os registros de recursos NS e A para os servidores raiz da
Internet. Se, entretanto, você estiver usando o serviço DNS em uma rede particular, poderá
editar ou substituir esse arquivo por registros similares que apontem para seus próprios ser-
vidores DNS raiz internos.
Outra configuração de servidor na qual esta lista pode ser tratada de modo diferente é aquela
na qual um servidor DNS é configurado para ser usado por outros servidores DNS em um espa-
ço de nomes interno como um encaminhador de todas as consultas de nomes DNS gerencia-
das externamente (a Internet, por exemplo). Muito embora o servidor DNS usado como um
encaminhador possa estar localizado internamente na mesma rede dos servidores que o utili-
zam como um encaminhador, este precisa da lista de servidores raiz da Internet para funcionar
corretamente e resolver nomes externos. Este é um dos exemplos que citei anteriormente,
onde todos os servidores DNS interno encaminham as consultas para um único encaminha-
dor (forward) para reduzir o tráfego de WAN relacionado com a resolução de nomes.
Se você está utilizando servidores raiz internos, não use a lista de servidores raiz. Em vez disso, exclua o
arquivo Cache.dns inteiramente de todos os seus servidores raiz. Se um servidor DNS estiver configura-
do para conhecer outros servidores DNS, como através de uma lista de servidores DNS configurados
nas propriedades TCP/IP dos clientes, o serviço DNS será capaz de obter suas próprias dicas de locali-
zação de servidores raiz durante uma nova configuração do servidor. Você pode usar o Assistente para
configuração de novo servidor fornecido com o console DNS para realizar essa tarefa.

você está configurando.
10. Clique na guia Log. Será exibida a janela indicada na Figura 3.35. Nesta guia você configura
quais tipos de eventos deseja registrar no log do DNS. Defina as configurações desejadas, de
acordo com as necessidades do servidor DNS que você está configurando.


Figura 3.35 A guia Log.
11. Clique na guia Monitorando. Será exibida a janela indicada na Figura 3.36.
Esta guia é utilizada para configurar testes de resolução que o servidor DNS pode fazer perio-
dicamente. Nesta mesma janela, você define a periodicidade dos testes. Por exemplo, a
cada 1 minuto, a cada 5 minutos, a cada hora e assim por diante. O resultado dos testes é
exibido na lista Resultados do teste. Você pode habilitar teste de uma simples consulta no
servidor DNS ou de uma consulta usando recursão.
Defina as configurações desejadas, de acordo com as necessidades do servidor DNS que você está
configurando.
12. Clique na guia Segurança. Será exibida a janela indicada na Figura 3.37.
Nesta guia, é exibida uma lista de contas de grupos e usuários e as respectivas permissões de acesso
aos recursos do servidor DNS. Esta é uma lista de permissões ou tecnicamente conhecida como
ACL – Access Control List (Lista de Controle de Acesso), similar à lista utilizada para definir per-
missões NTFS em pastas e arquivos. Você pode utilizar esta lista para restringir quais usuários e
grupos podem ter acesso e fazer alterações nas configurações do servidor DNS.
você está configurando, e clique em OK para fechar a janela de propriedades.
É isso, agora você já sabe todas as opções de configuração do servidor DNS.


Figura 3.36 A guia Monitorando.
Figura 3.37 A guia Segurança.


CRIANDO ZONAS SECUNDÁRIAS

Quando você cria a zona pela primeira vez, estaé uma zona primária. Somente na zona primária é
permitido fazer alterações nos registros da zona. Além da zona primária, o DNS permite que sejam
feitas cópias da zona em outros servidores DNS. Estas cópias são as zonas secundárias. Por exem-
plo, você pode ter uma zona primária no servidor DNS da matriz da empresa e criar uma zona se-
cundária (cópia da zona primária) nos servidores DNS de cada filial para reduzir o tráfego devido a
resolução de nomes DNS, nos links de WAN.
As zonas secundárias são reconhecidas como autoridades para o domínio (ou domínios) que
gravam informações na zona e pode responder às consultas enviadas pelos clientes. A únida dife-
rença, em relação à primária, é que nas zonas secundárias não podem ser feitas alterações, adições
de novos registros e exclusões. Sempre que houver alterações na zona primária, o servidor DNS,
onde esta zona, notifica os servidores DNS onde existem zonas secundárias. Os servidor DNS da
zona secundária solicita que as alterações sejam envidas a partir da zona primária. Com isso o
DNS mantém as zonas sincronizadas, ou seja, alterações feitas nas zonas primárias são repassadas
para as zonas secundárias. O DNS usa um mecanismo de replicação incremental, ou seja, somente
as alterações são replicadas e não todo o conteúdo da zona. Neste item, você aprenderá a criar
uma zona secundária.
Para criar uma zona secundária, siga os passos indicados a seguir:
2. Abra o console DNS: Iniciar –> Programas –> Ferramentas Administrativas –> DNS. Será
exibido o console DNS.
3. Neste exemplo, você criará uma zona secundária direta. Clique com o botão direito do
mouse na opção Zonas de pesquisa direta.
4. No menu de opções que é exibido clique em Nova Zona...
5. Será aberto o assistente para a criação de uma nova zona. A primeira tela do assistente é
6. Nesta etapa, você deve informar o tipo de zona a ser criada. Estão disponíveis as opções
Integrada ao Active Directory, Primária padrão e Secundária padrão. Para o nosso exemplo,
defina as configurações indicadas na Figura 3.38. Clique em Avançar para seguir para a pró-
xima etapa do assistente.
7. Nesta etapa, será solicitado o nome da zona. O nome a ser digitado deve ser o mesmo da
zona primária. Digite o nome da zona e clique em Avançar para seguir para a próxima etapa
do assistente.
8. Agora, você tem que informar o endereço IP do servidor DNS onde está a zona primária.
Clique no botão Adicionar, conforme exemplo da Figura 3.39, e clique em Avançar para se-
guir para a próxima etapa do assistente.


9. Será exibida a tela final do assistente. Se você quiser alterar alguma configuração utilize o
botão Voltar. Para encerrar o assistente, e criar a zona secundária, clique em Concluir.
Figura 3.38 Criando uma zona secundária.
Figura 3.39 Informando o número IP do servidor onde está a zona primária.


A nova zona será criada e já será exibida na lista de zonas do servidor DNS. Se houver uma mensa-
gem de erro, juntamente com um pequeno x branco dentro de um círculo vermelho, significa que
houve algum problema na hora de copiar os dados da zona primária para a zona secundária recém
criada. Na maioria das vezes, se a zona primária estiver em um servidor DNS remoto, ligado atra-
vés de um link de WAN de baixa velocidade, pode demorar algum tempo até que as informações
sejam copiadas e a zona esteja disponível.
INTEGRAÇÃO DO DNS COM O ACTIVE DIRECTORY

No Windows 2000 Server, o serviço Servidor DNS foi cuidadosamente integrado à criação e imple-
mentação do Active Directory.
Existem dois pontos fundamentais a serem considerados na integração do DNS com o Active
Directory:
l O DNS é necessário para localização dos DCs do domínio.

l O serviço Netlogon usa o novo suporte ao servidor DNS para fornecer registro de controlado-
res de domínio no seu espaço de nomes de domínio DNS.
As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integração
fornece vantagens adicionais, tais como a utilização dos sofisticados recursos de replicação do
Active Directory maior segurança. Isso porque zonas integradas com o Active Directory somente
aceitam atualizações dinâmicas seguras, ou seja, de computadores autenticados no domínio e o
uso dos recursos de expiração e eliminação de registros baseados em informações de validade.
COMO O DNS É INTEGRADO AO ACTIVE DIRECTORY
A integração inicia no momento da instalação do Active Directory em um member server para

torná-lo um DC. O assistente de instalação do Active Directory solicita que você informe o nome
DNS do domínio para o qual está sendo criado um novo DC. Durante a instalação, o assistente
deve ser capaz de se conectar a um servidor DNS que seja autoridade para o domínio informado.
Se isso não for possível, o assistente irá se oferecer para instalar e configurar o DNS no próprio ser-
vidor que está sendo promovido a DC. Se isso também não for possível, o Active Directory não po-
derá ser instalado. Portanto, se não for possível localizar o servidor DNS que é autoridade pelo do-
mínio ou instalá-lo no próprio DC, o Active Directory não poderá ser instalado.
Depois que tiver instalado o Active Directory, você tem duas opções para armazenar e duplicar
suas zonas quando operar o servidor DNS no novo controlador de domínio.
l Armazenamento de zona padrão usando um arquivo baseado em texto. As zonas armazenadas

dessa maneira estão localizadas em arquivos de texto, com a extensão .dns que são armazena-


dos na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor

DNS. Os nomes de arquivo de zona correspondem ao nome que você escolhe para a zona du-
rante a sua criação, como Exemplo.abc.com.dns é o arquivo que armazena informações para a
zona abc.com.
l Armazenamento de zona integrada ao diretório usando o banco de dados do Active Directory.

As zonas armazenadas dessa maneira estão localizadas na árvore do Active Directory. Cada
zona integrada ao diretório é armazenada em um objeto do tipo dnsZone identificado pelo
nome que você escolhe para a zona durante a sua criação.
BENEFÍCIOS DA INTEGRAÇÃO AO ACTIVE DIRECTORY
Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primárias inte-
gradas ao diretório são especcialmente recomendadas e proporcionam os seguintes benefícios:
l Atualizações multi-master baseada na replicação do Active Directory.
l Recursos de segurança avançada, baseadas nos recursos do Active Directory.
Para zonas não integradas, o modelo de atualização é do tipo single-master. Somente a zona pri-
mária sofre alterações e repassa estas alterações para as zonas secundárias. Se o servidor, onde está
a zona primária, apresentar problemas, novas atualizações dinâmicas e outras alterações não po-
derão ser processadas, enquanto este servidor não for recuperado. Já com zonas integradas ao
Active Directory, podem ser feitas alterações em qualquer cópia da zona e existe uma cópia em to-
dos os DCs do domínio, onde o DNS estiver instalado. Além disso, alterações podem ser feitas em
qualquer uma das cópias da zona. O mecanismo de replicação do Active Directory se encarrega de
manter as várias cópias sincronizadas.
Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active Directory,
poderá receber atualizações dinâmicas enviadas pelos clientes. Com isso não haverá um ponto
único de falha, como no caso do modelo baseado em zonas padrão.
Outra vantagem das zonas integradas é que todo objeto do Active Directory tem uma ACL –
Access Control List (idêntica à lista de permissões NTFS para uma pasta ou arquivo). Você pode
editar esta ACL para as zonas do DNS integradas ao Active Directory para ter um controle mais re-
finado sobre quem tem acesso e qual o nível de acesso.
A replicação do Active Directory é mais rápida, mais eficiente e mais segura do que o mecanismo
de transferência de zonas padrão do DNS.
Apenas as zonas primárias podem ser armazenadas no diretório. Um servidor DNS não pode arma-
zenar zonas secundárias no diretório. Deverá armazená-las em arquivos de texto padrão.


Você pode definir que uma zona será integrada ao Active Directory durante a criação da zona.
Para isso basta marcar a opção Integrada ao Active Directory, durante a criação da zona, conforme
indicado na Figura 3.40, onde estou criando uma zona primária integrada ao Active Directory.
Figura 3.40 Zona integrada ao Active Directory.
Você também pode converter uma zona padrão para uma zona integrada com o Active Directory.
Para alterar uma zona de padrão para integrada com o Active Directory, siga os passos indicados
a seguir:
3. Será exibido o console DNS. Clique no sinal de + ao lado da opção Zonas de pesquisa direta.
Serão exibidas as zonas de pesquisa direta existentes no servidor.
4. Clique com o botão direito do mouse na zona a ser configurada. No menu de opções que é
exibido clique em Propriedades. Será exibida a janela de propriedades da zona, com a guia
Geral selecionada.
5. Clique no botão Alterar... Será exibida a janela Alterar o tipo da zona, indicada na Figura 3.41.
6. Para integrar a zona com o Active Directory, marque a opção Integrada ao Active Directory e cli-
que em OK. Será exibida uma janela pedindo confirmação, conforme indicado na Figura 3.42.


Figura 3.41 Alterando a zona de padrão para integrada com o Active Directory.
Figura 3.42 Confirmando a integração com o Active Directory.
7. Clique em OK para confirmar a integração.
8. Você estará de volta à janela de propriedades da zona. Clique em OK para fechá-la.
Pronto, a zona passará a armazenar suas informações no Active Directory.
CONFIGURANDO UM SERVIDOR DNS SOMENTE CACHE

Um servidor DNS somente cache é um servidor que não tem nenhuma zona configurado. A fun-
ção deste servidor é resolver consultas utilizando um dos métodos descritos anteriormente (for-
wareders, recursão, interação, etc.) e armazenar os resultados obtidos no cache do servidor DNS.
O cliente envia a consulta para o servidor DNS somente cache, este servidor se utiliza de outros
servidores DNS para resolver o nome. O nome é armazenado no cache do servidor DNS e a respos-
ta é retornada para o cliente que fez a consulta. Futuras consultas ao nome, dentro do período de
expiração, serão respondidas com base nas informações do cache do servidor DNS.
O servidor DNS somente cache deve ter quantidade suficiente de memória RAM para exercer esta
função, pois toda a informação do cache do DNS é criada e mantida na memória RAM do servidor.
Para limpar o cache do DNS, você pode usar o console Serviços (na opção Ferramentas adminis-
trativas) para parar e iniciar novamente o serviço DNS ou utilizar o comando dnscmd /clearcache.
O servidor DNS somente cache não armazena nenhuma zona e não é autoridade para nenhum


domínio. Para instalar um servidor DNS como sendo um servidor somente cache, basta seguir os
passos a seguir:
1. Instale o serviço DNS no servidor.
2. Não configure o servidor DNS (como você faria normalmente) para carregar quaisquer zo-
nas. Nenhuma zona será criada no servidor DNS somente cache.
3. Verifique se os root hints (descritos anteriormente) estão configurados e atualizados corre-

tamente. Pronto, está configurado o servidor DNS somente cache. Os clientes podem ser
configurados para utilizar este servidor.
CONFIGURAÇÕES E CONSIDERAÇÕES SOBRE A CONFIGURAÇÃO DO DNS NOS CLIENTES

Para clientes do Windows 2000 ou Windows 2000 Server, a configuração do DNS envolve as se-
guintes tarefas ao configurar as propriedades do TCP/IP do computador cliente:
l Configurar um nome (de host) DNS para cada computador.
l Configurar um sufixo DNS primário para o computador, que é posicionado após o nome de
host ou do computador para formar o nome de domínio totalmente qualificado (FQDN). Por
exemplo, o nome do computador pode ser micro01 e o sufixo DNS ser abc.com.br. Com isso o
nome completo (FQDN) será: micro01.abc.com.br.
l Configurar uma lista de servidores DNS a qual os clientes usarão ao resolver nomes DNS, como
um servidor DNS primário e todos os servidores DNS alternativos a serem usados se o servidor
primário não estiver disponível.
l Configurar a lista ou método de pesquisa de sufixo DNS a ser usado pelo cliente quando este
executa pesquisas de consultas DNS para nomes de domínio curtos não qualificados.
CONFIGURAR NOMES DOS COMPUTADORES
Ao configurar nomes dos computadores para o DNS, é útil pensar no nome como a parte mais à
esquerda de um “fully qualified domain name” (FQDN, nome de domínio totalmente qualifica-
do). Por exemplo, em micro01.abc.com.br., a primeira parte do nome que precede o primeiro
ponto (.) no FQDN (micr01) é o nome de host do computador. Este primeiro nome é conhecido
como nome de host do computador.
Você pode configurar todos os clientes DNS do Windows com um nome do computador baseado
nos caracteres padrão com suporte definidos na RFC 1.123 para uso do DNS da Internet. Esses ca-
racteres incluem o uso de:


l Letras maiúsculas, de A a Z.
l Letras minúsculas, de a a z.
l Números, 0 a 9.
l Hífens (-).
Se a sua rede oferece suporte a espaços de nome NetBIOS e DNS, você poderá usar um nome de
computador diferente dentro de cada espaço de nome. No entanto, é recomendável, sempre que
possível, tentar usar os nomes de computador que têm 15 caracteres ou menos (que é o limite para
nomes NetBIOS, utilizados pelo WINS, conforme descreverei no tópico sobre WINS, no Capítulo
5), além de seguir os requisitos de nomes definidos acima.
Por padrão, no Windows 2000 Server, o rótulo mais à esquerda no nome completo do computa-
dor DNS de clientes é igual ao nome do computador NetBIOS, a menos que esse rótulo tenha 16
caracteres ou mais. Quando esses rótulos excedem o comprimento máximo para o NetBIOS
(que é de 15 caracteres), o nome do computador NetBIOS é truncado com base no rótulo total
especificado.
Na prática, todo computador terá dois nomes. Um nome NetBIOS, que é configurado na guia
Identificação de rede, na janela de Propriedades do Meu computador, e um nome de host, o qual é
configurado na janela de Propriedades avançadas do protocolo TCP/IP, na guia DNS. Evidente-
mente que estes nomes devem ser iguais.
Se a integração do DNS com o WINS estiver ativada (conforme descrito anteriormente), será pre-
ciso usar nomes de host e NetBIOS iguais para o computador. De outra forma, os resultados obti-
dos nas consultas do DNS ao WINS poderão ser inconsistentes.
CONFIGURAR UMA LISTA DE SERVIDORES DNS
Estas configurações são feitas nas propriedades do protocolo TCP/IP. Para acessar as propriedades
do TCP/IP:
1. Clique com o botão direito do mouse na opção My Network Places (Meus locais de rede) e,
no menu que é exibido, clique em Properties (Propriedades).
2. Na janela com as conexões disponíveis no computador, clique com o botão direito do
mouse na conexão de rede local a ser configurada.
3. No menu opções que é exibido, clique em Propriedades.
4. Na janela de propriedades da conexão, marque a opção Internet Protocol (TCP/IP) e depois
clique no botão Properties (Propriedades).
5. Na janela de propriedades do protocolo TCP/IP, clique no botão Avançado.
6. Na janela de propriedades avançadas do TCP/IP, clique na guia DNS.
7. Finalmente, será exibida a janela de propriedades do clientes DNS, indicada na Figura 3.43


Figura 3.43 Configurando as propriedades do DNS no cliente.
Para que clientes DNS operem efetivamente, uma lista de servidores de nomes DNS ordenada por
prioridade deve ser configurada para uso em cada computador ao processar consultas e resolver
nomes DNS. Na maioria dos casos, o computador cliente entra em contato e usa seu servidor DNS
primário, que é o primeiro servidor DNS na sua lista configurada localmente (o cliente também
pode receber esta lista a partir do servidor DHCP, conforme você aprenderá a configurar no Capí-
tulo 4). Entra-se em contato com os servidores DNS alternativos listados e estes são usados quan-
do o servidor DNS primário não estiver disponível.
Em computadores executando o Windows 2000 ou o Windows Server 2003, a lista de servidores

DNS é usada pelos clientes apenas para resolver nomes DNS. Quando os clientes enviam atualiza-
ções dinâmicas, por exemplo, ao alterar seu nome de domínio DNS ou um endereço IP configura-
do, devem contatar esses servidores ou outros servidores DNS conforme necessário para atualizar
seus registros de recursos. É sempre importante lembrar que alterações, exclusões e adições so-
mente podem ser feitas na zona primária e não em zonas secundárias.
Quando os clientes DNS são configurados dinamicamente usando um servidor DHCP (Dynamic
Host Configuration Protocol), é possível ter uma lista maior de servidores DNS. Para fornecer uma
lista de endereços IP de servidores DNS aos seus clientes DHCP, ative o código de opção 6 nos ti-


pos de opções configurados, fornecidos pelo seu servidor DHCP. Em servidores DHCP do Win-
dows, você pode configurar uma lista de até 25 servidores DNS para cada cliente com essa opção.
Você aprenderá a configurar estas opções no tópico sobre DHCP, no Capítulo 4.
CONFIGURAR UMA LISTA DE PESQUISA DE SUFIXOS DNS
Para clientes Windows, você pode configurar uma lista de pesquisa de sufixos de domínio DNS
(os sufixos são, no exemplo da Figura 3.43, abc.com.br, rh.abc.com.br e sul.rh.abc.com.br) que
estende ou revisa suas capacidades de pesquisa DNS. Ao acrescentar sufixos adicionais à lista, você
pode pesquisar nomes de computador curtos não qualificados em mais de um domínio DNS espe-
cificado. Em seguida, se uma consulta DNS não tiver êxito, o serviço de cliente DNS poderá usar
essa lista para anexar outras terminações de sufixos de nome ao nome original e repetir as consul-
tas DNS ao servidor DNS sobre esses FQDNs alternativos. No exemplo da Figura 3.43, se você fizer
uma pesquisa usando apenas o nome micro01, primeiro será pesquisado o nome mi-
cro01.sul.rh.abc.com.br, se não houver resposta o DNS tenta micro01.rh.abc.com e ainda não ha-
vendo resposta, o DNS tenta micro01.abc.com.br.
Quando a lista de pesquisa de sufixos está vazia ou não está especificada, o sufixo DNS primário
do computador é anexado a nomes curtos não qualificados e a consulta DNS é usada para resolver
o FQDN resultante. Se essa consulta falhar, o computador pode tentar consultas adicionais para
FQDNs alternativos anexando qualquer sufixo DNS específico de conexão configurado para co-
nexões de rede.
Se nenhum sufixo específico da conexão estiver configurado, ou as consultas para esses FQDNs
específicos da conexão resultantes falharem, o cliente poderá, então, começar a tentar nova-
mente as consultas com base na redução sistemática do sufixo primário (também conhecida
como devolução).
Por exemplo, se o sufixo primário for “example.microsoft.com”, o processo de devolução será

capaz de tentar novamente consultas de nome curto pesquisando nos domínios “micro-
soft.com” e “com”.
Quando a lista de pesquisa de sufixo não está vazia e tem pelo menos um sufixo DNS especificado,
as tentativas de qualificar e resolver nomes DNS curtos são limitadas à pesquisa somente daqueles
FQDNs tornados possíveis pela lista de sufixos especificada. Se as consultas para qualquer FQDN
que forem resultado do acréscimo e uso de cada sufixo na lista falharem, o processo de consulta
produz um resultado “nome não encontrado”.
Se a lista de sufixos de domínios é usada, os clientes continuam a enviar consultas alternativas

adicionais com base em nomes de domínio DNS diferentes quando uma consulta não é respondi-
da ou resolvida. Após um nome ser resolvido usando uma entrada na lista de sufixos, as entradas
não utilizadas da lista não são tentadas. Por esse motivo, é mais eficiente ordenar a lista com base
na sua prioridade de uso, ou seja, os sufixos mais utilizados no início da lista de sufixos.


As pesquisas de sufixos de nomes de domínios são usadas apenas quando uma entrada de nome
DNS não é totalmente qualificada (quando não for usado um nome completo). Para qualificar to-
talmente um nome DNS, um ponto (.) é inserido no final do nome. Por exemplo, se você pesquisa
o nome micro01.abc.com.br., não será feita nenhuma tentativa de resolução baseada na lista de
sufixos se a pesquisa do nome digitado falhar na preimeira tentativa de resolução.
COMANDOS PARA TRABALHAR COM O DNS

Existem alguns comandos relacionados diretamente com o DNS, tanto com o cliente DNS, nas es-
tações de trabalho da rede, quanto no servidor DNS. Neste item, apresentarei as utilizações bási-
cas dos seguintes comandos:
l ipconfig
l nslookup
Os comandos ipconfig e nslookup são utilizados nas estações de trabalho para pesquisar o DNS e
resolver problemas relacionados ao DNS.
O COMANDO IPCONFIG
Neste item, falarei das opções do comando ipconfig relacionadas com o DNS. O comando ipcon-
fig já foi descrito no Capítulo 2, na introdução ao protocolo TCP/IP. Este comando é utilizado, ba-
sicamente, para exibir as configurações do protocolo TCP/IP de um computador. Porém ele tem
opções relacionadas ao DNS e também ao DHCP. Agora mostrarei as opções relacionadas ao DNS.
Anteriormente, na parte teórica sobre o DNS, descrevi que o cliente DNS mantém um cache local
de DNS, para agilizar a resolução de nomes, evitando que nomes já resolvidos tenham que passar
por todo o processo de resolução novamente. Você pode exibir o cache local do DNS, utilizando o
seguinte comando:
ipconfig/displaydns
Será listado o cache do DNS local, no formato indicado a seguir, onde apresento a parte inicial da
listagem do cache local do DNS de uma estação de trabalho.
Windows IP Configuration
activex.microsoft.com
---------------------------------------------------
Record Name . . . . . : activex.microsoft.com
Record Type . . . . . : 1


Time To Live . . . . : 6105

Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 207.46.196.108
codecs.microsoft.com
---------------------------------------------------
Record Name . . . . . : codecs.microsoft.com
Time To Live . . . . : 6106
A (Host) Record . . . : 207.46.196.120
loginnet.passport.com
---------------------------------------------------
Record Name . . . . . : loginnet.passport.com
Time To Live . . . . : 164
A (Host) Record . . . : 65.54.226.247
1.0.0.127.in-addr.arpa
---------------------------------------------------
Record Name . . . . . : 1.0.0.127.in-addr.arpa
Record Type . . . . . : 12
Time To Live . . . . : 596929
PTR Record . . . . . : localhost
Outra opção do comando ipconfig, relacionada com o DNS, é a opção flushdns. Esta opção limpa
o cache local do DNS. Esta opção é especialmente útil em uma situação em que houve problemas
com o servidor DNS e, após a resolução do problema, os clientes reclamam que conseguem aces-
sar alguns sites e não conseguem acessar outros. Isso acontece porque no cache local do cliente,
existem registros que podem não ser mais válidos. Neste caso, a solução é limpar o cache local do
DNS. Para isso basta utilizar o comando indicado a seguir:
ipconfig/flushdns
Este comando limpa o cache do DNS e retorna a mensagem indicada a seguir:
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.


O COMANDO NSLOOKUP
O comando nslookup é utilizado para obter informações de um servidor DNS. As informações obti-
das com o comando nslookup, normalmente, são utilizadas para a resolução de problemas relacio-
nados com o DNS. Com o comando nslookup, você pode retornar partes selecionadas dos registros
de uma zona, pode verificar se um servidor DNS está funcionando normalmente e responden às
consultas, e ainda pode obter informações sobre as zonas existentes em um servidor DNS.
Vamos aprender a utilizar o comando nslookup, através de alguns exemplos práticos.
Para utilizar o comando nslookup, siga os passos indicados a seguir:
1. Faça o logon como Administrador ou com uma conta com permissão de administrador.
2. Abra um Prompt de comando.
3. Podemos utilizar o comando nslookup em dois modos diferentes. No modo direto, digita-
mos o comando e mais alguns parâmetros, e o Windows 2000 Server retorna um determi-
nado resultado. Considere o exemplo da Figura 3.44, onde digitei o comando nslookup
server2. O Windows 2000 Server retorna diversas informações. Nas duas primeiras linhas, é
retornado o nome e o endereço IP do servidor DNS pesquisado. Na segunda linha, é retor-
nado o nome e o endereço IP do servidor server2.
Figura 3.44 Utilizando o comando nslookup, no modo direto.
4. Caso tenhamos que fazer várias pesquisas de nome, pode ser mais interessante utilizar o co-
mando nslookup no modo interativo. Neste modo, digite simplesmente nslookup e tecle
Enter. O Windows 2000 Server exibe o nome e o número IP do servidor DNS configurado
como DNS primário, nas propriedades do TCP/IP e abre um prompt indicado pelo sinal de
maior (>), conforme indicado pela Figura 3.45.


Figura 3.45 Utilizando o comando nslookup, no modo interativo.
5. No modo interativo, no prompt >, digite help e tecle Enter. Será exibida uma listagem com
os diversos comandos disponíveis no modo interativo.
6. Para achar o endereço IP de um computador da rede, simplesmente digite o nome do com-

putador e tecle Enter.
7. Experimento o comando ls –d abc.com (troque abc.com pelo nome do seu domínio DNS) e
tecle Enter. Este comando irá listar todos os registros DNS do domínio abc.com, inclusive
alguns registros criados pelo Windows 2000 Server para uso interno do Active Directory.
8. Para sair do modo interativo, digite exit e tecle Enter.
9. Para sair do Prompt de comando, digite exit e tecle Enter.
Sobre DNS era isso. Agora apresentarei algumas dicas dos pontos mais importantes, pontos que
você não pode esquecer para o exame. No Capítulo 4, vamos ao estudo do DHCP – Dynamic Host
Configuration Protocol.
ALGUNS DETALHES QUE VOCÊ NÃO

PODE ESQUECER PARA O EXAME
1. O DNS fornece resolução de nomes em redes baseadas no protocolo TCP/IP. A resolução de
nome para endereço IP é conhecida como resolução direta e é executada a partir das infor-
mações contidas nas zonas de pesquisa direta (Forward Lookup Zone). Existe também a re-
solução inversa, que é feita a partir de pesquisas nas zonas de pesquisa inversa.
2. Uma zona de pesquisa inversa é um subdomínio do domínio in-addr.arpa. O nome do sub-

domínio é o número da rede com os octetos em ordem inversa. Por exemplo, para a rede
10.15.20.0/255.255.255.0, a zona de resolução inversa é 20.15.10.in-addr.arpa.


3. Para que o Active Directory seja instalado é preciso que o assistente de instalação do Active
Directory possa contatar um servidor DNS no padrão BIND 8.1.2 ou superior. Se não for pos-
sível localizar um servidor DNS, o processo de instalação do Active Directory será abortado.
4. As informações do DNS são gravadas em zonas. Uma zona pode conter informações de um
ou mais domínios. Uma zona pode ser copiada em dois ou mais servidores DNS. Somente
uma zona pode receber alterações, a zona primária, que fica no servidor DNS onde a zona
foi criada originalmente. O DNS replica as alterações feitas na zona primária, para todas as
zonas secundárias. Somente as alterações são transmitidas e não todo o conteúdo da zona.
Esta é uma das novidades do DNS no Windows 2000 Server.
5. Já para zonas integradas com o Active Directory, as alterações podem ser feitas em qualquer
DC no qual exista uma cópia da zona integrada com o Active Directory. Uma zona integra-
da ao Active Directory é replicada para todos os DCs do domínio e alterações podem ser fei-
tas na cópia da zona em qualquer um dos DCs.
6. Zonas integradas ao Active Directory somente aceitam atualizações dinâmicas seguras, isto
é, atualizações dinâmicas enviadas por computadores autenticados no domínio do Active
Directory. Esta é uma importante opção de segurança e uma das principais vantagens do
uso de zonas integradas ao Active Directory.
7. Você pode criar um servidor somente cache. O servidor somente cache não é autoridade
para nenhuma zona, nenhuma zona é criada neste servidor. Este apenas recebe consultas,
envia as consultas para outros servidores, recebe as respostas, armazena as respostas no ca-
che do servidor DNS e retorna as respostas para os clientes.
8. Utilize o comando ipconfig/flushdns para limpar o cache DNS na estação de trabalho do

cliente. Esta opção é útil quando o cliente consegue acessar alguns endereços e outros não.
Pode haver endereços incorretos, armazenados no cache local. Ao limpar o cache, você for-
ça que o nome seja novamente resolvido pelo DNS. Para exibir o conteúdo do cache local
do cliente, utilize o comando ipconfig/displaydns.
9. No processo de recursão, o servidor DNS consulta uma série de outros servidores, até ob-
ter uma resposta positiva (ou negativa) para retornar ao cliente. No processo de intera-
ção, o servidor DNS responde ao cliente, com uma referência para o próximo servidor
DNS que pode ser consultado. O cliente consulta o servidor DNS informado. Este novo
servidor pode responder diretamente à consulta ou informar o nome de um outro servi-
dor DNS. E este processo continua até que o nome seja resolvido ou uma resposta negati-
va seja retornada.
10. Você pode habilitar/desabilitar o recurso de atualizações dinâmicas em nível de zona. Portanto,
você pode ter uma zona em um servidor DNS, configurada para aceitar atualizações dinâmicas e
outra zona, neste mesmo servidor, configurada para não aceitar atualizações dinâmicas.


11. Alguns arquivos utilizados pelo DNS são gravados na pasta systemroot\system32\dri-
vers\etc., como por exemplo o arquivo cache.dns, no qual ficam os nomes dos arquivos root
da Internet, mais conhecidos como root hints e “horrivelmente” traduzidos por Dicas de raiz.
12. As configurações do cliente DNS são feitas nas propriedades do protocolo TCP/IP, clicando
no botão Avançado. Uma das opções que você pode configurar é uma lista de sufixos a se-
rem pesquisados, como por exemplo: abc.com.br, rh.abc.com.br e sul.rh.abc.com.br.
13. O principal registro de uma zona é o registro SOA – Start of Authority. Neste registro, estão
informações tais como o número de versão da zona, o TTL padrão para os registros da zona
e assim por diante.
A seguir, apresento duas questões de exemplo. No Capítulo 11, você encontra um simulado com-
pleto, com 60 questões, respostas e comentários.
Questão 01: Você é o administrador de uma rede baseada no Windows 2000 Server e no Active Di-
rectory. Todos os clientes são baseados no Windows 2000 Professional. Você está utilizando o
DNS do Windows 2000, com a Atualização Dinâmica habilitada. Você está em fase de migração
de alguns servidores Web da Intranet. Estes sites estão em servidores Linux, hospedados em servi-
dores Apache 2.0. Em um dos clientes com o Windows 2000 Professional, você tenta acessar um
site que ainda está em um servidor Apache 2.0, porém recebe uma mensagem de que não foi pos-
sível achar o endereço informado. Você concluiu que o problema é com a resolução DNS. O que
você deve fazer para poder acessar o site que está no servidor Apache 2.0 da maneira mais rápida
possível e que a solução funcione também para os demais clientes da rede?
a) Crie uma entrada no Servidor DNS, apontando para o endereço do site a ser acessado.
Utilize o comando ipconfig/flushdns na sua estação de trabalho.
b) Crie uma entrada no arquivo hosts da sua estação de trabalho, apontando para o endereço
do site a ser acessado.
c) Crie uma entrada no servidor DNS, apontando para o endereço do site a ser acessado.
Utilize o comando ipconfig/renew na sua estação de trabalho.
d) Crie uma entrada no servidor DNS, apontando para o endereço do site a ser acessado.
Utilize o comando ipconfig/clearcache na sua estação de trabalho.
e) Crie uma entrada no arquivo hosts da sua estação de trabalho, apontando para o endereço
Utilize o comando ipconfig/renew na sua estação de trabalho. Resposta certa: a
Comentários: Esta questão envolve uma série de conceitos interessantes em relação ao DNS. Quan-
do você tenta acessar um serviço pelo nome (www.juliobattisti.com.br, FTP.abc.com.br e assim por


diante), o Windows 2000 guarda o resultado desta resolução no que chamamos de cache do DNS.
Se a resolução for feita com sucesso, será gravado no cache o nome e o respectivo IP. Com isso, sem-
pre que o nome for utilizado novamente, o DNS poderá utilizar a informação que está no cache do
DNS, evitando de ter que fazer todo o processo de resolução novamente. O uso do cache faz com
que as resoluções subseqüentes sejam mais rápidas. Quando o DNS não consegue resolver um
nome, esta informação também fica no cache, com uma referência ao nome e a informação de que
não foi possível resolvê-lo. Quando o cliente fez a primeira tentativa de acessar o referido site da
Intranet da empresa, não havia entrada para o site no DNS. Como não havia entrada, o nome não
foi resolvido e estão “não resolução” ficou gravada no cache DNS da estação de trabalho do usuário.
O próximo passo é adicionar a entrada ao DNS. Porém somente isto não basta, pois no cache do
DNS, na estação de trabalho do usuário, ainda está a informação de que o nome não foi resolvido.
Para que o nome possa ser resolvido (a partir do registro que foi adicionado ao DNS), é preciso lim-
par o cache DNS da estação de trabalho do usuário. Isto é feito com o comando ipconfig/flushdns. A
solução do arquivo hosts também iria funcionar, porém somente para a estação de trabalho onde o
hosts foi configurado. Já a criação de uma entrada no DNS, resolve o problema para todas as esta-
ções da rede, configuradas como clientes do servidor DNS. Em resumo: cria-se a entrada no DNS e
limpa-se o cache DNS da estação de trabalho em questão. É isso.
Questão 02: Você é o administrador da rede da sua empresa. A rede é baseada em servidores com o
Windows 2000 Server instalado e com o Active Directory. A rede tem um único domínio:
abc.com.br. A sede da empresa é em São Paulo, onde ficam três servidores com dados que formam a
base de dados financeiros, de vendas e demais dados corporativos. Na sede em São Paulo, também
ficam os servidores Web, com aplicações que dão acesso aos dados da empresa. Nos escritórios no
Rio de Janeiro, Porto Alegre e Belo Horizonte você tem um servidor com o Windows 2000 Server
instalado. Neste servidor de cada escritório, está instalado o DNS e configurado como servidor DNS
somente cache. No escritório em SP, está o servidor DNS primário, responsável pela zona
abc.com.br. Os clientes, nas estações de trabalho das filiais, utilizam bastante aplicações Web dis-
poníveis em diversos servidores do escritório central em SP. Estas aplicações Web fornecem acessos
aos dados da empresa. Você utilizou um equipamento para monitoração do tráfego nos links entre
os escritórios e a sede em SP e chegou à conclusão de que um grande volume de tráfego DNS, devido
à resolução de nomes, está sendo gerado entre as filiais e o escritório em SP. Quais soluções podem
ser adotadas para reduzir o volume de tráfego de resolução DNS, entre as filiais e o escritório em SP?
a) No servidor em SP, aumente o TTL para o registro SOA – Start of Authority.
Configure os servidores das filiais para serem servidores DNS secundários.
b) Nos servidores somente cache, das filiais, aumente o TTL.
c) No servidor em SP, diminua o TTL para o registro SOA – Start of Authority


d) Nos servidores somente cache, das filiais, diminua o TTL.
e) Configure os servidores somente cache, das filiais, para aceitar atualizações dinâmicas e
para compactar os pacotes de resolução DNS.
Resposta certa: a
Comentários: Para resolver esta questão o candidato deve ter um bom domínio sobre o DNS no
Windows 2000 Server. O primeiro ponto importante é o seguinte: o tempo em que os registros são
mantidos em um servidor somente cache é determinado pelo TTL (Time to Live) do registro SOA,
do servidor a partir do qual o respectivo nome foi resolvido e não configurado diretamente no ser-
vidor cache. Com isso já eliminamos as letras “b”, “d” e “e”. O segundo ponto para definir a ques-
tão é que o TTL deve ser aumentado e não diminuído. Ao aumentar o TTL, os registros permane-
cem por mais tempo válidos no servidor DNS somente cache das filiais, o que reduz a necessidade
de novas resoluções, usando o servidor DNS da matriz em SP, reduzindo com isso o tráfego DNS. A
colocação de servidores DNS secundários nas filiais também é uma boa opção, já que o tráfego de
replicação, com certeza, é bem menor do que o de resolução no caso apresentado. Com isso nos
resta a letra “a”, que é a alternativa correta.
CONCLUSÃO
Este capítulo foi: DNS, DNS e DNS. Sem dúvidas é um dos serviços mais importantes, ou melhor, fun-
damentais em uma rede baseada no protocolo TCP/IP. Neste capítulo, você aprendeu os aspectos teó-
ricos sobre o DNS e também aprendeu as configurações práticas do servidor e dos clientes DNS.
No Capítulo 11 você encontrará diversas questões sobre o DNS, questões estas que irão ajudá-lo a
fixar os conceitos apresentados neste capítulo.
O próximo passo é o estudo do DHCP, assunto do Capítulo 4.


Capítulo 4
IMPLEMENTAÇÃO E
ADMINISTRAÇÃO DO DHCP

INTRODUÇÃO
O DHCP – abreviatura de Dynamic Host Configuration Protocol – é um serviço utilizado para au-
tomatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impres-
soras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o pro-
tocolo TCP/IP).
Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as pro-
priedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).
Com o uso do DHCP, esta tarefa pode ser completamente automatizada. O uso do DHCP traz di-
versos benefícios, dentro os quais podemos destacar os seguintes:
l Automação do processo de configuração do protocolo TCP/IP nos dispositivos da rede.

l Facilidade de alteração de parâmetros tais como Default Gateway, Servidor DNS e assim por di-
ante, em todos os dispositivos da rede, através de uma simples alteração no servidor DHCP.
l Eliminação de erros de configuração, tais como digitação incorreta de uma máscara de
sub-rede ou utilização do mesmo número IP em dois dispositivos diferentes, gerando um con-
flito de endereço IP.
Neste capítulo, você aprenderá os fundamentos teóricos e também aprenderá a instalar, configu-
rar e a administrar o DHCP. Este capítulo aborda todos os objetivos para o Exame 70-216, em rela-
ção o DHCP. Ao final do capítulo, será apresentado um pequeno resumo, com uma lista de lem-
bretes sobre os pontos mais importantes do DHCP. No Capítulo 11, será apresentado um
simulado com 60 questões com respostas e comentários, onde serão revisados os principais tópi-
cos relacionados ao DHCP.
Feitas as devidas apresentações é hora de iniciarmos nossos estudos sobre o DHCP.
FUNDAMENTAÇÃO TEÓRICA DO DHCP

Neste tópico, apresentarei uma série de conceitos teóricos sobre o funcionamento do DHCP. Você
aprenderá como funciona o processo de concessão de endereços IP (também conhecido como
lease), aprenderá sobre os conceitos de escopo, superescopo, reserva de endereço, ativação do ser-
vidor DHCP no Active Directory e demais conceitos relacionados ao DHCP.
O QUE É O DHCP – DYNAMIC HOST CONFIGURATION PROTOCOL?

Você aprendeu, no Capítulo 2, sobre os fundamentos do protocolo TCP/IP, que uma estação de
trabalho que utiliza o protocolo TCP/IP precisa que seja configurada uma série de parâmetros. Os


Capítulo 4 – IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO DHCP
principais parâmetros que devem ser configurados para que o protocolo TCP/IP funcione correta-
mente são os seguintes:
l Número IP
l Default Gateway (Gateway Padrão).
l Número IP de um ou mais servidores DNS.
l Número IP de um ou mais servidores WINS.
l Sufixos de pesquisa do DNS.
Em uma rede com centenas ou até mesmo milhares de estações de trabalho, configurar o TCP/IP
manualmente em cada estação de trabalho é uma tarefa bastante trabalhosa, que envolve tempo e
exige uma equipe técnica para executar este trabalho. Além disso, sempre que houver mudanças
em algum dos parâmetros de configuração (como por exemplo uma mudança no número IP do
servidor DNS), a reconfiguração terá que ser feita manualmente em todas as estações de trabalho
da rede. Por exemplo, imagine que o número IP do Default Gateway teve que ser alterado devido a
uma reestruturação da rede. Neste caso, a equipe de suporte teria que ir de computador em com-
putador, alterando as propriedades do protocolo TCP/IP, para informar o novo número IP do De-
fault Gateway, isto é, alterando o número IP antigo do Default Gateway para o novo número. Um
trabalho e tanto.
Além disso, com a configuração manual, sempre podem haver erros de configuração. Por exem-
plo, basta que o técnico que está configurando uma estação de trabalho, digite um valor incorreto
para a máscara de sub-rede, para que a estação de trabalho não consiga se comunicar com a rede. E
problemas como este podem ser difíceis de detectar. Muitas vezes o técnico pode achar que o pro-
blema é com a placa de rede, com o driver da placa ou com outras configurações. Até descobrir
que o problema é um simples erro na máscara de sub-rede pode ter sido consumido um bom tem-
po: do técnico e do funcionário que utiliza o computador, o qual ficou sem poder acessar a rede. E
hoje em dia sem acesso à rede significa, na prática, sem poder trabalhar.
Bem, descrevo estas situações apenas para ilustrar o quanto é difícil e oneroso manter a configura-
ção do protocolo TCP/IP manualmente, quando temos um grande número de estações de traba-
lho em rede. Pode até nem ser “tão grande” este número, com redes a partir da 30 ou 50 estações
de trabalho já começa a ficar difícil a configuração manual do protocolo TCP/IP.
Para resolver esta questão e facilitar a configuração e administração do protocolo TCP/IP é que
foi criado o DHCP. DHPC é a abreviatura de: Dynamic Host Configuration Protocol (Protoco-
lo de configuração dinâmica de hosts). Você pode instalar um ou mais servidores DHCP em
sua rede e fazer com que os computadores e demais dispositivos que precisem de configura-
ções do TCP/IP, obtenham estas configurações, automaticamente, a partir do servidor DHCP.
Por exemplo, considere uma estação de trabalho configurada para utilizar o DHCP. Durante a


inicialização, esta estação de trabalho entra em um processo de “descobrir” um servidor

DHCP na rede (mais adiante detalharei como é este processo de “descoberta” do servidor
DHCP). A estação de trabalho consegue se comunicar com o servidor DHCP, e recebe todas as
configurações do protocolo TCP/IP, diretamente do servidor DHCP. Assim, com o uso do
DHCP, o administrador pode automatizar as configurações do protocolo TCP/IP em todos os
computadores da rede.
Com o uso do DHCP, a distribuição de endereços IP e demais configurações do protocolo

TCP/IP (máscara de sub-rede, default gateway, número IP do servidor DNS e assim por diante) é
automatizada e centralizadamente gerenciada. O administrador cria faixas de endereços IP que
serão distribuídas pelo servidor DHCP (faixas estas chamadas de escopos) e associa outras confi-
gurações com cada faixa de endereços, tais como um número IP do Default Gateway, a máscara
de sub-rede, o número IP de um ou mais servidores DNS, o número IP de um ou mais servidores
WINS e assim por diante.
Todo o trabalho de configuração do protocolo TCP/IP que teria que ser feito manualmente, agora
pode ser automatizado com o uso do DHCP. Imagine somente uma simples situação, mas que ser-
ve para ilustrar o quanto o DHCP é útil. Vamos supor que você é o administrador de uma rede com
3.000 estações de trabalho. Todas as estações de trabalho estão configuradas com o protocolo
TCP/IP. As configurações são feitas manualmente, não é utilizado servidor DHCP na rede. Você
utiliza um único servidor externo, do seu provedor de Internet. O número IP deste servidor DNS
está configurado em todas as estações de trabalho da rede. O seu provedor de Internet sofreu uma
reestruturação e teve que alterar o número IP do servidor DNS (veja que é uma situação que está
fora do controle do administrador da rede, já que a alteração foi no servidor DNS do provedor).
Como você configura o TCP/IP manulamente nos computadores da rede, só resta uma solução:
pôr a sua equipe em ação para visitar as 3.000 estações de trabalho da rede, alterando o número IP
do servidor DNS em cada uma. Em cada estação de trabalho. o técnico terá que acessar as proprie-
dades do protocolo TCP/IP e alterar o endereço IP do servidor DNS para o novo endereço. Um tra-
balho e tanto, sem contar que podem haver erros durante este processo.
Agora imagine esta mesma situação, só que ao invés de configurar o TCP/IP manualmente você
esteja utilizando o DHCP para fazer as configurações do TCP/IP automaticamente. Nesta situa-
ção, quando houve a alteração do número IP do servidor DNS, bastaria alterar esta opção nas pro-
priedades do escopo de endereços IP no servidor DHCP e pronto. Na próxima reinicialização, os
computadores da rede já receberiam o novo número IP do servidor DNS, sem que você ou um úni-
co membro da sua equipe tivesse que reconfigurar uma única estação de trabalho. Bem mais sim-
ples, mais produtivo e menos propenso a erros.
Isso é o DHCP, um serviço para configuração automática do protocolo TCP/IP nos computado-
res e demais dispositivos da rede que utilizam o protocolo TCP/IP. Configuração feita de manei-
ra automática e centralizada. Em redes baseadas em TCP/IP, o DHCP reduz a complexidade e a
quantidade de trabalho administrativo envolvido na configuração e reconfiguração do proto-
colo TCP/IP.


A implementação do DHCP no Windows 2000 Server é baseada em padrões definidos pelo IETF.
Estes padrões são definidos em documentos conhecidos como RFCs (Request for Comments). As
RFCs que definem os padrões do DHCP são as seguintes:
RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541)
RFC 2132: DHCP Options and BOOTP Vendor Extensions
As RFCs a seguir também podem ser úteis para compreender como o DHCP é usado com outros ser-
viços na rede:
RFC 0951: The Bootstrap Protocol (BOOTP)
RFC 1534: Interoperation Between DHCP and BOOTP
RFC 1542: Clarifications and Extensions for the Bootstrap Protocol
RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE)
RFC 2241: DHCP Options for Novell Directory Services
RFC 2242: Netware/IP Domain Name and Information
O site oficial, a partir da qual você pode copiar o conteúdo integral das RFCs disponíveis é o se-
guinte:
http://www.rfc-editor.org/
TERMOS UTILIZADOs no DHCP

O DHCP é composto de diversos elementos, tais como servidor DHCP e os clientes DHCP. No ser-
vidor DHCP, são criados escopos e definidas as configurações que os clientes DHCP receberão. A
seguir, apresento uma série de termos relacionados ao DHCP. Estes termos serão explicados em
detalhes até o final deste capítulo.
l Servidor DHCP: É um servidor com o Windows 2000 Server onde foi instalado e configurado o
serviço DHCP. Conforme você aprenderá na parte prática, após a instalação de um servidor
DHCP este tem que ser autorizado no Active Directory, antes que possa, efetivamente, atender
a requisições de clientes. O procedimento de autorização no Active Directory é uma medida de
segurança, para evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento
do administrador. O servidor DHCP não pode ser instalado em um computador com o Win-
dows 2000 Professional.


l Cliente DHCP: É qualquer dispositivo de rede capaz de obter as configurações do TCP/IP a par-
tir de um servidor DHCP. Por exemplo, uma estação de trabalho com o Windows 95/98/Me,
Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, uma impressora
com placa de rede habilitada ao DHCP e assim por diante.
l Escopo: Um escopo é o intervalo consecutivo completo de endereços IP possíveis para uma

rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0).
Em geral, os escopos definem uma única sub-rede física na rede na qual serão oferecidos servi-
ços DHCP. Os escopos também fornecem o método principal para que o servidor gerencie a
distribuição e atribuição de endereços IP e outros parâmetros de configuração para clientes na
rede, tais como o Default Gateway, Servidor DNS e assim por diante..
l Superescopo: Um superescopo é um agrupamento administrativo de escopos que pode ser usa-

do para oferecer suporte a várias sub-redes IP lógicas na mesma sub-rede física. Os superesco-
pos contêm somente uma lista de escopos associados ou escopos filho que podem ser ativados
em cojunto. Os superescopos não são usados para configurar outros detalhes sobre o uso de es-
copo. Para configurar a maioria das propriedades usadas em um superescopo, você precisa
configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os
computadores devem receber o mesmo número IP de Default Gateway, este número tem que
ser configurado em cada escopo, individualmente. Não tem como fazer esta configuração no
Superescopo e todos os escopos (que compõem o superescopo) herdarem estas configurações.
l Intervalo de exclusão: Um intervalo de exclusão é uma seqüência limitada de endereços IP

dentro de um escopo, excluído dos endereços que são fornecidos pelo DHCP. Os intervalos de
exclusão asseguram que quaisquer endereços nesses intervalos não são oferecidos pelo servi-
dor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a
10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, você pode criar
uma faixa de exclusão de 10.10.10.120 a 10.10.10.130. Os endereços da faixa de exclusão não
serão utilizados pelo servidor DHCP para configurar os clientes DHCP.
l Pool de endereços: Após definir um escopo DHCP e aplicar intervalos de exclusão, os endere-
ços remanescentes formam o pool de endereços disponíveis dentro do escopo. Endereços em
pool são qualificados para atribuição dinâmica pelo servidor para clientes DHCP na sua rede.
No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150, com uma
faixa de exclusão de 10.10.10.120 a 10.10.10.130, o nosso pool de endereços é formado pelos
endereços de 10.10.10.100 a 10.10.10.119, mais os endereços de 10.10.10.131 a 10.10.10.150.
l Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP du-
rante o qual um computador cliente pode usar um endereço IP que este recebeu do servidor
DHCP (diz-se atribuído pelo servidor DHCP). Uma concessão está ativa quando a mesma está
sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuição de concessão
de endereço com o servidor antes que esta expire. Uma concessão torna-se inativa quando ex-
pira ou é excluída no servidor. A duração de uma concessão determina quando a mesma irá ex-
pirar e com que freqüência o cliente precisa renová-la no servidor.


l Reserva: Você usa uma reserva para criar uma concessão de endereço permanente pelo servi-
dor DHCP. As reservas asseguram que um dispositivo de hardware especificado na sub-rede
sempre pode usar o mesmo endereço IP. A reserva é criada associada ao endereço de hardware
da placa de rede, conhecido como MAC-Address. No servidor DHCP, você cria uma reserva, as-
sociando um endereço IP com um endereço MAC. Quando o computador (com o endereço
MAC para o qual existe uma reserva) é inicializado, este entra em contato com o servidor
DHCP. O servidor DHCP verifica que existe uma reserva para aquele MAC-Address e configura
o computador com o endereço IP associado ao MAC-address. Caso haja algum problema na
placa de rede do computador e a placa tenha que ser substituída, mudará o MAC-Address e a re-
serva anterior terá que ser excluída e uma nova reserva terá que ser criada, utilzando, agora, o
novo MAC-Address.
l Tipos de opção: Tipos de opção são outros parâmetros de configuração do cliente que um ser-
vidor DHCP pode atribuir aos clientes. Por exemplo, algumas opções usadas com freqüência
incluem endereços IP para gateways padrão (roteadores), servidores WINS (Windows Internet
Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opção são
ativados e configurados para cada escopo. O console DHCP também permite a você configurar
tipos de opção padrão que são usados por todos os escopos adicionados e configurados no ser-
vidor. A maioria das opção é predefinida através da RFC 2132, mas você pode usar o console
DHCP para definir e adicionar tipos de opção personalizados se necessário.
l Classe de opções: Uma classe de opções é uma forma do servidor gerenciar tipos de opção for-
necidos aos clientes. Quando uma classe de opções é adicionada ao servidor, é possível forne-
cer tipos de opção específicos de classe aos clientes dessa classe para suas configurações. No
Windows 2000, os computadores cliente também podem especificar uma ID de classe duran-
te a comunicação com o servidor. Para clientes DHCP anteriores, que não oferecem suporte
ao processo de ID de classe, o servidor pode ser configurado com classes padrão ao colocar
clientes em uma classe. As classes de opções podem ser de dois tipos: classes de fornecedor e
classes de usuário.
COMO O DHCP FUNCIONA

O DHCP utiliza um modelo Cliente/Servidor. O administrador da rede instala e configura um ou
mais servidores DHCP. As informações de configuração – escopos de endereços IP, reservas e ou-
tras opções de configuração – são mantidas no banco de dados dos servidores DHCP. O banco de
dados do servidor inclui os seguintes itens:
l Parâmetros de configuração válidos para todos os cliente na rede (número IP do Default Gate-
way, número IP de um ou mais servidores DNS e assim por diante). Estas configurações podem
ser diferentes para cada escopo.
l Endereços IP válidos mantidos em um pool para serem atribuídos aos clientes além de reservas
de endereços IP.


l Duração das concessões oferecidas pelo servidor. A concessão define o período de tempo duran-
te o qual o endereço IP atribuído pode ser utilizado pelo cliente. Conforme mostrarei mais adian-
te, o cliente tenta renovar esta concessão em períodos definidos, antes que a concessão expire.
Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os
endereços IP e parâmetros de configuração relacionados dinamicamente sempre que forem inicia-
lizados. Os servidores DHCP fornecem essa configuração na forma de uma oferta de concessão de
endereço para clientes solicitantes. Mais adiante, descreverei como é o processo completo de con-
cessão, desde o momento que a estação de trabalho é inicializada, até o momento que esta recebe
todas as configurações do servidor DHCP.
CLIENTES SUPORTADOS PELO DHCP

O termo cliente é utilizado para descrever um computador ligado à rede e que obtém as configura-
ções do protocolo TCP/IP a partir de um servidor DHCP. Qualquer computador com o Windows
(qualquer versão) instalado ou outros dispositivos, capazes de se comunicar com o servidor DHCP e
obter as configurações do TCP/IP a partir do servidor DHCP, é considerado um cliente DHCP.
Os clientes DHCP podem ser quaisquer clientes baseados no Microsoft Windows ou outros clien-
tes que oferecem suporte e são compatíveis com o comportamento do cliente descrito no docu-
mento padrão de DHCP, que é a RFC 2132, publicado pela Internet Engineering Task Force – IETF.
CONFIGURANDO UM CLIENTE BASEADO NO WINDOWS PARA QUE SEJA UM CLIENTE DO DHCP
Para configurar um computador com o Windows 2000 Server para ser um cliente DHCP, siga os
passos indicados a seguir:
1. Faça o logon com a conta de Administrador ou com uma conta com permissão de ad-
ministrador.
2. Abra o Painel de controle: Iniciar –> Configurações –> Painel de controle.
3. Abra a opção Conexões dial-up e de rede.
4. Clique com o botão direito do mouse na conexão de rede local a ser configurada. No menu
de opções que é exibido clique em Propriedades. Será exibida a janela de propriedades da
conexão de rede local.
5. Clique na opção Protocolo Internet (TCP/IP) para selecioná-la. Clique no botão Proprieda-
des para abrir a janela de propriedades do protocolo TCP/IP.
6. Nesta janela você pode configurar o endereço IP, a máscara de sub-rede e o Gateway pa-
drão, manualmente. Para isso basta marcar a opção Utilizar o seguinte endereço IP e infor-
mar os endereços desejados.


7. Para configurar o computador para utilizar um servidor DHCP para obter as configurações
do TCP/IP automaticamente, marque a opção Obter um endereço IP automaticamente,
conforme indicado na Figura 4.1. Marque também a opção Obter o endereço dos servido-
res DNS automaticamente para obter o endereço IP do servidor DNS a partir das configura-
ções fornecidas pelo DHCP.
Figura 4.1 Configurando o cliente para usar o DHCP.
8. Clique em OK para fechar a janela de propriedades do TCP/IP. Você estará de volta à janela
de propriedades da conexão de rede local.
9. Clique em OK para fechá-la e aplicar as alterações efetuadas. Ao clicar em OK, o cliente

DHCP já tentará se conectar com um servidor DHCP e obter as configurações do protocolo
TCP/IP a partir do servidor DHCP.
O servidor DHCP dá suporte às seguintes versões do Windows (e do MS-DOS) com clientes DHCP:
l Windows Server 2003 (todas as edições).

l Windows 2000 Server (todas as edições).
l Windows XP Home e Professional.
l Windows NT (todas as versões lançadas).


l Windows Me
l Windows 98
l Windows 95
l Windows for Workgroups versão 3.11 (com o Microsoft 32 bit TCP/IP VxD instalado).
l Microsoft-Network Client versão 3.0 para MS-DOS (com o driver TCP/IP de modo real instalado).
l LAN Manager versão 2.2c.
UM RECURSO DE NOME ESQUISITO APIPA

APIPA é a abreviatura de Automatic Private IP Addressing. Esta é uma nova funcionalidade que foi
introduzida no Windows 98, e está presente no Windows 2000, Windows XP e Windows Server
2003. Imagine um cliente com o protocolo TCP/IP instalado e configurado para obter as configu-
rações deste protocolo a partir de um servidor DHCP. O cliente é inicializado, porém não conse-
gue se comunicar com um servidor DHCP. Neste situação, o Windows 2000 Server, usando o re-
curso APIPA, automaticamente atribui um endereço IP da rede 169.254.0.0/255.255.0.0. Este é
um dos endereços especiais, reservados para uso em redes internas, ou seja, este não seria um en-
dereço de rede, válido na Internet. A seguir descrevo mais detalhes sobre a funcionalidade APIPA.
O número de rede usado pelo recurso APIPA é o seguinte: 169.254.0.0/255.255.0.0.
O recurso APIPA é especialmente útil para o caso de uma pequena rede, com quatro ou cinco com-
putadores, onde não existe um servidor disponível. Neste caso, você pode configurar todos os com-
putadores para usarem o DHCP. Ao inicializar, os clientes não conseguirão localizar um servidor
DHCP (já que não existe nenhum servidor na rede). Neste caso, o recurso APIPA atribuirá endereços
da rede 169.254.0.0/255.255.0.0 para todos os computadores da rede. O resultado final é que
todos ficam configurados com endereços IP da mesma rede e poderão se comunicar, compartilhan-
do recursos entre si. É uma boa solução para uma rede doméstica ou de um pequeno escritório.
CONFIGURAÇÃO AUTOMÁTICA DO CLIENTE
Se os clientes estiverem configurados para usar um servidor DHCP (em vez de serem configurados
manualmente com um endereço IP e outros parâmetros), o serviço do cliente DHCP entrará em
funcionamento a cada vez que o computador for inicializado. O serviço do cliente DHCP usa um
processo de três etapas para configurar o cliente com um endereço IP e outras informações de con-
figuração:


l O cliente DHCP tenta localizar um servidor DHCP e obter as configurações do protocolo

TCP/IP, a partir desse servidor.
l Se um servidor DHCP não puder ser encontrado, o cliente DHCP configura automaticamente
seu endereço IP e máscara de sub-rede usando um endereço selecionado da rede classe B reser-
vada, 169.254.0.0, com a máscara de sub-rede, 255.255.0.0 (recurso APIPA). O cliente DHCP
irá fazer uma verificação na rede para ver se o endereço que está se auto-atribuindo (usando o
recurso APIPA) já não está em uso na rede. Se o endereço já estiver em uso será caracterizado
um conflito de endereços. Se um conflito for encontrado, o cliente selecionará outro endereço
IP. A cada conflito de endereço, o cliente irá tentar novamente a configuração automática após
10 tentativas ou até que seja utilizado um endereço que não gere conflito.
l Depois de selecionar um endereço no intervalo de rede 169.254.0.0 que não está em uso, o cli-
ente DHCP irá configurar a interface com esse endereço. O cliente continua a verificar se um
servidor DHCP não está disponível. Esta verificação é feita a cada 5 minutos. Se um servidor
DHCP for encontrado, o cliente abandonará as informações configuradas automaticamente
(endereço da rede 169.254.0.0/255.255.0.0). Em seguida, o cliente DHCP usará um endereço
oferecido pelo servidor DHCP (e quaisquer outras informações de opções de DHCP fornecidas)
para atualizar as definições de configuração IP.
Caso o cliente DHCP já tenha obtido previamente uma concessão de um servidor DHCP (durante
uma inicialização anterior), e esta concessão ainda não tenha expirado, ocorrerá a seguinte se-
qüência modificada de eventos, em relação à situação anterior:
l Se a concessão de cliente ainda estiver válida (não expirada) no momento da inicialização, o

cliente irá tentar renovar a concessão com o servidor DHCP.
l Se durante a tentativa de renovação o cliente não conseguir localizar qualquer servidor DHCP,
este irá tentar efetuar o ping no gateway padrão que recebeu do servidor DHCP anteriormente.
Dependendo do sucesso ou falha do ping, o cliente DHCP procederá conforme o seguinte:
1. Se um ping para o gateway padrão for bem-sucedido, o cliente DHCP presumirá que ainda está
localizado na mesma rede em que obteve a concessão atual e continuará a usar a concessão.
Por padrão, o cliente irá tentar renovar a concessão quando 50 por cento do tempo de con-
cessão atribuído tiver expirado.
2. Se uma solicitação de ping do gateway padrão falhar, o cliente presumirá que foi movido para
uma rede em que não estão disponíveis servidores DHCP, como uma rede doméstica ou uma
rede de uma pequena empresa, onde não está disponível servidor DHCP (pode ser o exemplo
de um vendedor conectando um notebook em um ponto da rede de um pequeno cliente).
O cliente irá configurar automaticamente o endereço IP conforme descrito anterior-

mente. Uma vez que configurado automaticamente, o cliente continua a tentar locali-
zar um servidor DHCP a cada 5 minutos e obter uma nova concessão de endereço IP e de
demais configurações.


APIPA é isso. A sigla é mais complicada do que a funcionalidade. Se você está se preparando para
os exames de Certificação do Windows 2000 Server, fique atento a esta funcinalidade. Normal-
mente, aparecem questões envolvendo conhecimentos desta funcionalidade.
ENTENDENDO O FUNCIONAMENTO DO PROCESSO

DE CONCESSÃO (LEASE PROCESS) De ENDEREÇOS
Quando um cliente configurado para usar o DHCP é inicializado, tem início um processo conhe-
cido como concessão de endereço IP. Falando de uma maneira simples, o cliente habilitado ao
DHCP inicializa e “pede” ao servidor DHCP as configurações do protocolo TCP/IP. O servidor
DHCP envia as configurações para o cliente. O cliente utiliza as informações enviadas pelo servi-
dor DHCP, configura o protocolo TCP/IP com estas informações e está apto a se comunicar na
rede. O processo de obter um endereço IP (juntamente com as demais informações) é conhecido
como Lease ou concessão de endereço IP do servidor DHCP para o cliente. Neste item, vou descre-
ver como ocorre o processo de concessão do endereço IP.
Entenda-se por cliente DHCP qualquer computador ou dispositivo de rede, configurado para obter as
configurações do protocolo TCP/IP, automaticamente, a partir de um servidor DHCP. No caso de
computadores com o Windows instalado, são clientes do DHCP os computadores que estiverem com
a opção Obter um endereço IP automaticamente, habilitada, nas propriedades do protocolo TCP/IP.
Uma vez obtido o endereço IP, o cliente deve renovar esta concessão com o servidor DHCP dentro
de um período determinado, que é o período de validade da concessão. Este período é configura-
do no servidor DHCP, conforme você aprenderá na parte prática sobre DHCP. Quando um cliente
DHCP é inicializado, este pode utilizar dois processos diferentes de comunicação com o servidor
DHCP, dependendo de estar obtendo uma nova concessão ou de já estar tentando renovar uma
concessão (já obtida em uma inicialização anterior).
Toda a comunicação do cliente com o servidor DHCP é feita através de uma troca de mensagens.
A troca de mensagens é diferente para cada caso – nova concessão ou renovação de uma conessão
já existente. Neste item, vou explicar como é esta troca de mensagens em cada caso.
COMO É O PROCESSO DE CONCESSÃO INICIAL?

A primeira vez que um cliente com DHCP inicia, segue automaticamente um processo de iniciali-
zação para obter uma concessão de um servidor DHCP. Portanto, o cliente está inicializando e
não tem nenhuma configuração do protocolo TCP/IP. Através de uma troca de mensagens, o cli-
ente terá que encontrar um servidor DHCP na rede e obter, a partir do servidor DHCP, as configu-
rações que precisa.


As etapas para esse processo são as descritas a seguir:
1. O cliente DHCP solicita um endereço IP. Como o cliente ainda não tem configurações do
protocolo TCP/IP, não é capaz de se comunicar na rede. Por isso emite uma mensagem co-
nhecida como DHCPDiscover. Esta mensagem é enviada na forma de broadcast, ou seja,
para todo mundo na rede. O segredo é que esta mensagem tem um formato específico, for-
mato este que será reconhecido apenas pelo servidor DHCP (ou pelos servidores DHCP,
caso haja mais do que um configurado na rede). O endereço IP de origem que vai nesta
mensagem é 0.0.0.0, pois o cliente ainda não tem um endereço IP. Esta mensagem pode ter
um tamanho variável entre 342 ou 576 bytes. Clientes DHCP mais antigos, como o Win-
dows 95 ou Windows 3.11, utilizam o tamanho mais longo, de 576 bytes. Em resumo, o
primeiro passo é a emissão de um pacote com uma mensagem conhecido como DHCPDis-
cover. O objetivo é que o servidor DHCP receba esta mensagem.
2. O servidor DHCP “ouve” a mensagem DHCPDiscover enviada pelo cliente e responde com
a oferta de um endereço IP e demais configurações, tais como: máscara de sub-rede, default
gateway, servidor DNS e assim por diante. Esta oferta do servidor é enviada no formato de
uma mensagem conhecida como DHCPOffer. Se houver mais de um servidor DHCP na
rede, cada um dos servidores DHCP irá responder a mensagem DHCPDiscover do cliente,
com uma mensagem DHCPOffer. A mensagem DHCPOffer também é enviada usando bro-
adcast, pois neste momento o cliente ainda não tem um endereço IP. Neste caso, o cliente
irá aceitar a oferta da primeira mensagem DHCPOffer que chegar. Se nenhum servidor
DHCP responder à solicitação de identificação do cliente, o cliente poderá proceder de
uma de duas maneiras:
2.1. Se o cliente estiver sendo executado no Windows 2000, Windows XP ou Windows

Server 2003, e a configuração automática de IP (APIPA descrita anteriormente) não ti-
ver sido desativada, o próprio cliente irá se auto-configurar com um endereço IP para
uso com a configuração de cliente automática. É utilizado um endereço da rede:
169.254.0.0/255.255.0.0.
2.2. Se no cliente não estiver sendo executado o Windows 2000, Windows XP ou Windows
Server 2003 (ou a configuração automática de IP tiver sido desativada), o cliente não con-
seguirá inicializar. Em vez disso, se não for desligado, continuará a enviar novamente
mensagens DHCPDiscover em segundo plano (quatro vezes a cada 5 minutos) até que re-
ceba uma mensagem de oferecimento (DHCPOffer) de um servidor DHCP.
3. Assim que uma mensagem de oferecimento do servidor DHCP (DHCPOffer) é recebida, o

cliente seleciona o endereço oferecido respondendo ao servidor com uma solicitação de
DHCP. Esta solicitação é feita no formato de uma mensagem DHCPRequest. Esta é uma
mensagem do cliente para o servidor DHCP, informando que aceita a oferta que foi feita. A
mensagem DHCPRequest é enviada usando broadcast, pois o cliente ainda não tem as con-
figurações do protocolo TCP/IP e está recém informando ao servidor DHCP que aceita a
oferta que lhe foi feita.


4. O servidor DHCP recebe a mensagem DHCPRequest do cliente. O servidor DHCP então en-
via uma mensagem de reconhecimento de DHCP (DHCPACK) aprovando a concessão. Na
mensagem DHCPAck, podem também ser enviadas outras informações configuradas no
servidor DHCP e necessárias à configuração do cliente.
5. Depois de receber o reconhecimento (mensagem DCHPAck enviada pelo servidor DHCP),

o cliente configura suas propriedades de TCP/IP usando as informações enviadas pelo ser-
vidor DHCP. Neste momento, o cliente está com o TCP/IP corretamente configurado e en-
tra na rede.
A Figura 4.2, da ajuda do Windows 2000 Server, mostra de uma maneira resumida, o processo de
concessão entre o cliente e o servidor DHCP.
Cliente DHCP Servidores DHCP
Solicitação de
concessão IP
Ofertas de concessão IP
Seleção de concessão IP
Confirmação de concessão IP
Figura 4.2 O processo de concessão (lease) de um endereço IP.
Em casos raros, um servidor DHCP também pode retornar uma mensagem de reconhecimento nega-
tivo de DHCP (DHCPNak) ao cliente na etapa 4. Isso pode acontecer quando um cliente solicita um
endereço inválido ou que já está sendo utilizado na rede (no caso de um cliente que está tentando
renovar um endereço que já está em uso por outro computador da rede). Se um cliente recebe um re-
conhecimento negativo, o processo de inicialização falha, e o cliente inicia novamente na etapa 1,
repetindo o processo conforme descrito anteriormente.
Outros tipos de mensagens que podem ser trocadas entre o cliente e o servidor DHCP:
l DHCPDecline: Se o cliente determinar que as configurações oferecidas pelo servidor DHCP

não são válidas, enviará uma mensagem DHCPDecline para o servidor DHCP, e iniciará o pro-
cesso de lease todo novamente.


l DHCPRelease: Esta mensagem é enviada pelo cliente para o servidor DCHP, liberando as confi-
gurações e o endereço IP que estava em uso. O servidor recebe esta mensagem e coloca o endere-
ço IP como disponível, podendo ser utilizado por outro cliente durante um processo de lease.
COMO É O PROCESSO DE RENOVAÇÃO DA CONCESSÃO?
Quando um cliente DHCP é desligado e reinicializado (na mesma sub-rede), geralmente obtém
uma concessão para o mesmo endereço IP que tinha antes do desligamento. Depois de metade do
tempo de concessão do cliente ter decorrido, o cliente tenta renovar a concessão com o servidor
DHCP da seguinte forma:
1. O cliente envia uma mensagem de solicitação de DHCP (DHCPRequest) diretamente ao

servidor que efetuou a concessão (pois agora o cliente tem um endereço IP e sabe o endere-
ço IP do servidor DHCP) para renovar e estender a concessão de endereço atual.
2. Se o servidor DHCP estiver on-line, envia uma mensagem de reconhecimento de DHCP

(DHCPAck) ao cliente, o que significa que a concessão atual foi renovada. Além disso,
como no processo de concessão inicial, outras informações de opções de DHCP são incluí-
das nessa resposta (máscara de sub-rede, Default Gateway e assim por diante). Se quaisquer
informações de opções foram alteradas desde que o cliente obteve a concessão pela primei-
ra vez, o cliente atualiza a configuração. Por exemplo, se o número IP do servidor DNS foi
alterado desde que o cliente fez a última renovação, na próxima renovação o cliente rece-
berá o novo endereço do servidor DNS.
3. Se o cliente não conseguir se comunicar com o servidor DHCP original, espera até que se
alcance um estado de revinculação (quando atingir 87,5 % do tempo de concessão). Qu-
ando o cliente alcança esse estado, tenta renovar a concessão atual com qualquer servidor
DHCP disponível.
Um estado de revinculação é um estado usado pelos clientes DHCP para estender e renovar a
concessão de seus endereços quando a concessão atual estiver próxima de expirar. Neste esta-
do, o cliente transmite mensagens para tentar localizar qualquer servidor DHCP que possa reno-
var ou substituir sua concessão em uso no momento. O estado de revinculação começa quando
87,5 % do tempo de concessão do cliente tiver expirado e este ainda não tiver conseguido reno-
var sua concessão.
4. Se o servidor responder com uma mensagem de oferecimento de DHCP (DHCPOffer) para

atualizar a concessão atual, o cliente poderá renovar a concessão baseado na oferta do ser-
vidor DHCP e continuar operando normalmente na rede.
5. Se a concessão expirar e nenhum servidor foi contactado, o cliente deve interromper ime-
diatamente o uso do endereço IP concedido.


6. Em seguida, o cliente segue o mesmo processo usado durante a primeira parte da operação
de inicialização para obter uma concessão de endereço IP, e todo o processo de obtenção de
uma nova concessão é inicializado.
ENTENDENDO O FUNCIONAMENTO DO PROCESSO DE RENOVAÇÃO DA CONCESSÃO (LEASE)
Quando o servidor DHCP oferece um endereço IP ao cliente e o cliente aceita, completou-se o pro-
cesso de conessão (lease) descrito anteriormente. Após receber as configurações do TCP/IP, o cli-
ente deve renovar estas configurações dentro de um período determinado. Este período é confi-
gurado no servidor DHCP. Este processo é conhecido como renovação da concessão (lease
renewals). O tempo de validade da concessão é chamado de duração da concessão (lease durati-
on). Se um cliente é desligado ou movido para outra rede e o tempo de duração expirar, o endere-
ço será liberado e o servidor poderá “ofertá-lo” novamente, para outros clientes.
Se o cliente estiver ligado à rede, normalmente, tentará renovar o concessão antes que esta expire.
Por padrão, o cliente tenta renovar a concessão quando 50 % do período de concessão já tiver
transcorrido. Por exemplo, se o período de concessão for 8 horas, 4 horas após ter recebido a con-
cessão, o cliente tentará renová-la com o servidor DHCP. O processo de renovação ocorre nas se-
guintes etapas:
1. Ao chegar em 50% do período de concessão, o cliente tenta renovar a concessão. Para reno-
var a concessão, o cliente envia uma mensagem DHCPRequest diretamente para o servidor
que fez a concessão do endereço IP e das demais configurações. O cliente faz este envio, no
máximo três vezes, em 4, 8 e 16 segundos. Duas hipóteses podem acontecer:
1.1. Se o servidor DHCP for localizado, envia uma mensagem DHCPAck para o cliente, re-
novando a concessão. Com a mensagem DHCPAck, são enviadas outras informações
de configuração. Com isso se houve alguma alteração nas configurações do DHCP
(como por exemplo uma mudança no número IP do Default Gateway ou do servidor
DNS), o cliente já recebe os novos valores.
1.2. Se o servidor DHCP não puder ser localizado, o cliente tentará novamente quando tiver
transcorrido 87,5 % do tempo de concessão. Aí o cliente entra no estado chamado de re-
vinculação (rebinding state), no qual faz um broadcast em 4, 8 e 16 secundos, enviando
uma mensagem DHCPDiscover para a rede, tentando descobrir algum servidor DHCP
capaz de renovar a concessão. Qualquer servidor DHCP pode responder com uma men-
sagem DHCPAck, renovando a concessão, ou com uma mensagem DHCPNAck, forçan-
do o cliente a iniciar um processo para obter uma nova concessão (lease).
2. Se o servidor DHCP responder ao cliente com uma mensagem DHCPOffer de atualização

do cliente, o cliente renova a sua concessão com base nas informações contidas na mensa-
gem DHCPOffer, e continua operando normalmente na rede.


3. Se o tempo de concessão expirar e o cliente não puder localizar um servidor DHCP, o clien-
te deixará imediatamente de utilizar a concessão de endereço IP. Neste ponto, terá que ini-
ciar um novo processo para obter uma nova concessão, conforme descrito anteriormente.
CONSIDERAÇÕES SOBRE O INTERVALO DE CONCESSÃO
Quando um novo escopo é criado, por padrão, é definido um intervalo de concessão de 8 dias.
Este valor se adapta bem a muitas situações práticas, porém existem alguns fatores que devem ser
considerados e que podem levá-lo a alterar este intervalo de concessão. Considere os fatores indi-
cados a seguir, para decidir qual intervalo de concessão utilizar:
l Se você tiver um grande número de endereços IP disponíveis e as configurações da sua rede

não mudarem muito (por exemplo, não existe planos de refazer o endereçamento IP ou de fa-
zer divisão em sub-redes), você pode aumentar o tempo de concessão para mais do que 8 dias.
Isso reduz a freqüência com que os clientes terão que tentar o processo de renovação da con-
cessão, o que acaba por reduzir o tráfego na rede.
l Por outro lado, se o número de endereços IP é reduzido e são feitas alterações frequentes na
rede, ou você tem usuários que se deslocam de uma rede para outra com seus Notebooks, dimi-
nua o tempo de concessão. Com isso os endereços serão liberados mais rapidamente e voltarão
a estar disponíveis para serem concedidos a outros clientes.
l A razão entre o número de computdores conectados e o número de endereços IP disponíveis é

um fator importante e que influencia no período a ser configurado para a duração da concessão.
Por exemplo, se você tem uma rede classe C, com 254 endereços IP disponíveis e um máximo de
50 computadores conectados, então um período de concessão longo (um ou dois meses) é o
mais adequado. Agora, nesta mesma rede, com 254 endereços disponíveis, se você tem uma mé-
dia de 200 usuários conectados, um período de concessão de dias (1 ou 2 dias) é o mais indicado.
l Embora seja possível definir um período de concessão infinito, ou seja, a concessão nunca ex-
pira, este recurso deve ser utilizado com cuidado. Imagine um cliente que recebeu uma conces-
são com uma duração infinita, isto é, nunca expira. Se este cliente for desativado, desligado ou
deslocado para outra rede, a concessão não será liberada no servidor DHCP e não poderá ser
utilizada por outros clientes. Mesmo que você tenha um ambiente extremamente estável, o
mais indicado é utilizar períodos de concessão extremamente longos, tais como seis meses ou
um ano, ao invés de períodos de concessão infinitos.
Muito bem, tratados os assuntos teóricos relacionados ao DHCP, podemos partir para a parte prá-
tica, onde você aprenderá a instalar, configurar e a administrar o DHCP.


IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO DHCP

Neste tópico, você aprenderá a executar inúmeras tarefas e operações relacionadas a implementa-
ção e administração do DHCP. Serão vistos a instalação do serviço, a autorização do servidor no
Active Directory, a criação e configuração de escopos, ativação de escopos, criação de faixas de ex-
clusão, criação de reservas, manutenção da base de dados do DHCP, uso do comando ipconfig
para liberar e renovar uma concessão do DHCP, criação de superescopos e o conceito e implemen-
tação de DHCP Relay Agent.
INSTALAÇÃO DO DHCP
Por padrão, o DHCP não é instalado durante a instalação do Windows 2000 Server. Porém, na prá-
tica, dificilmente você deixará de utilizar o DHCP, optando por fazer as configurações do protoco-
lo TCP/IP manualmente.
O DHCP é um serviço, como o DNS (Capítulo 3) e o WINS (Capítulo 2) e é instalado de maneira se-
melhante a estes dois. A maioria das tarefas de administração do DHCP pode ser executada com o
console DHCP, o qual é acessado através do menu: Iniciar –> Programas –> Ferramentas Adminis-
trativas. O console DHCP passa a estar disponível depois que o serviço DHCP for instalado. Você
também pode usar o console DHCP para se conectar remotamente a outros servidores DHCP da
rede. Com isso, a partir de um único console, centralizadamente, o administrador pode gerenciar
os vários servidores DHCP existentes na rede.
Neste item, você aprenderá a instalar o DHCP em um servidor. Você verá que a instalação do
DHCP é extremamente simples.
INSTALANDO O DHCP: PARA INSTALAR O DHCP

SIGA OS PASSOS INDICADOS
2. Abra o Painel de Controle: Iniciar –> Configurações –> Painel de Controle.
4. Será exibida a janela Adicionar ou remover programas. Nas opções do lado esquerdo da ja-
5. O DHCP é classificado como um serviço de rede (Networking Services). Localize esta opção
e dê um clique para marcá-la, conforme indicado na Figura 4.3.


Figura 4.3 A opção Serviços de rede.
6. Clique no botão Detalhes para exibir a lista de serviços de redes disponíveis.
7. Será aberta a janela Serviços de rede. Na lista de serviços que é exibida, marque a opção Pro-
tocolo de configuração dinâmica de hosts (DHCP), conforme indicado na Figura 4.4.
9. Clique em Avançar, para seguir para a próxima etapa do assistente.
10. O Windows 2000 Server inicia o processo de instalação e emite mensagens sobre o andamen-
to da instalação. Durante a etapa de cópia dos arquivos você pode ser solicitado a inserir o
CD de instalação do Windows 2000 Server no drive. Se for solicitado, insira o cd de instala-
ção do Windows 2000 Server no driver de CD e clique em OK para continuar a instalação.
12. Você estará de volta à janela Addicionar ou Remover Programas. Feche-a.
Pronto, o DHCP foi instalado e está pronto para ser configurado. Não é preciso reinicializar o ser-
vidor para que o DHCP seja utilizado. O DHCP é instalado como um serviço e configurado para
ser inicializado automaticamente. O serviço do DHCP é configurado para executar no contexto
da conta “Local System”.


Figura 4.4 Selecionando o DHCP para instalação.
Agora é hora de avançarmos um pouco mais. Inicialmente você aprenderá a autorizar o servidor
DHCP no Active Directory e o porquê é necessária esta autorização. Em seguida, você aprenderá a
criar e a configurar escopos . Também aprenderá sobre o conceito de faixa de exclusão e reservas.
AUTORIZANDO O SERVIDOR DHCP NO ACTIVE DIRECTORY

Após ter instalado o servidor DHCP, o próximo passo é autorizar o servidor DHCP no Active Di-
rectory. Somente membros do grupo Enterpries Admins (Administradores de empresa) é que tem
permissão para autorizar um servidor DHCP no Active Directory. A autorização obrigatório no
Active Directory é uma medida de segurança.
Se não fosse obrigatória a autorização do DHCP no Active Directory, qualquer usuário poderia
instalar o serviço DHCP em um servidor com o Windows 2000 Server, configurar um escopo e
passar a conceder endereços IP para os clientes da rede. O pior é que este usuário poderia fornecer
configurações incorretas, o que faria com que os clientes não pudessem se comunicar na rede. Isso
iria gerar chamadas à equipe de suporte, sem contar que seria difícil detectar onde está o servidor
DHCP que está fornecendo concessões incorretas.


Se o servidor DHCP não for autorizado no Active Directory, não poderá fornecer concessões de
endereços para os clientes DHCP. Na prática, é como se o servidor DHCP não estivesse funcionan-
do. Você pode criar e ativar escopos antes de autorizar o servidor DHCP no Active Directory, po-
rém não poderá fornecer concessões enquanto não for autorizado. Se você está se preparando
para os exames do MCSE 2000 fique atento, pois isto é um assunto que gosta de aparecer nas
questões dos exames.
Para autorizar o servidor DHCP no Active Directory, siga os passos indicados a seguir:
1. Faça o logon com uma conta pertencente ao grupo Enterprise Admins.
2. Abra o console DHCP: Iniciar –> Programas –> Ferramentas Administrativas –> DHCP.
3. Será exibido o console de administração do DHCP. No painel da esquerda, clique no nome

do servidor DHCP a ser autorizado para marcá-lo.
4. Selecione o comando Ação –> Autorizar.
5. Pronto, o servidor DHCP foi autorizado no Active Directory e está pronto para ser utilizado.
O próximo passo é criar e ativar escopos. Este é justamente o assunto do próximo item.
ENTENDENDO E PROJETANDO ESCOPOS

Um escopo DHCP consiste em um pool de endereços IP em uma determinada sub-rede, como por
exemplo de 192.168.0.1 –> 192.168.0.254, que o servidor DHCP pode conceder a clientes.Um es-
copo é uma faixa de endereços IP. A faixa deve estar dentro da faixa de endereços da rede onde o
servidor DHCP será utilizado. Por exemplo, se você utilizará o servidor DHCP na seguinte rede:
10.10.20.0/255.255.255.0, você poderá criar escopos como os exemplificados a seguir.
10.10.10.20.30 a 10.10.20.100
10.10.10.20.120 a 10.10.20.150
10.10.10.20.200 a 10.10.20.250
Cada sub-rede pode ter somente um único escopo DHCP com um único intervalo contínuo de
endereços IP, definido em um servidor DHCP. Para usar vários intervalos de endereço dentro de
um único escopo ou sub-rede para o serviço DHCP, primeiro você deve definir o escopo e, em se-
guida, definir quaisquer intervalos de exclusão necessários. Você aprenderá a criar faixas de ex-
clusão mais adiante.
Primeiro, o administrador cria um escopo para cada sub-rede física e, em seguida, utiliza-o para
definir os parâmetros usados pelos clientes. Os parâmetros associados a um escopo podem ser,
por exemplo, máscara de sub-rede, Default Gateway, endereço IP do servidor DNS, endereço IP do
servidor WINS e assim por diante. Um escopo tem as seguintes propriedades:


l Um intervalo de endereços IP usados de concessão do servidor DHCP para os clientes. Da faixa

de endereço podem ser criadas faixas de exclusão para endereços que não devam ser concedi-
dos via DHCP, tais como endereços que já estão em uso na rede.
l Uma máscara de sub-rede exclusiva que determina a sub-rede para um determinado endereço
IP. Por exemplo, ao criar um escopo usando a faixa 10.10.10.20.200 a 10.10.20.250, você tam-
bém tem que definir qual a máscara de sub-rede associada a este escopo.
Para uma explicação detalhada sobre máscara de sub-redes e cálculos binários consulte o Capítulo
2. Para uma explicação detalhada sobre como a máscara de sub-rede é utilizada para fazer subnet-
ting, consulte a parte inicial deste capítulo. Estes tópicos são importantes para responder questões
que envolvem a determinação do número de bits necessários à mascara de sub-rede, com base em
um número de sub-redes necessário.
l Um nome de escopo atribuído quando o escopo for criado.

l Um valor que define a duração da concessão em horas, dias ou meses.
INTERVALOS DE EXCLUSÃO
Você pode definir intervalos de exclusão para retirar de um escopo, endereços que você não quer
que sejam concedidos pelo servidor DHCP para os clientes da rede. Por exemplo, você pode exclu-
ir os dez primeiros endereços no escopo 10.10.20.30 a 10.10.20.100, criando uma exclusão de
10.10.20.30 a 10.10.20.40. Com isso, restaria, efetivamente, a seguinte faixa para concessão do
servidor DHCP para os clientes: 10.10.20.41 a 10.10.20.100. O conjunto de endereços IP disponí-
veis, já descontados os endereços das faixas de exelusão, é conhecido como Pool de endereços.
Ao definir uma exclusão desses endereços, você especifica que esses endereços não serão ofereci-
dos a clientes DHCP quando estes solicitam a configuração ao servidor DHCP. Endereços IP excluí-
dos podem estar ativos na sua rede, como por exemplo em computadores ou outros dispositivos
de rede configurados manualmente (IP fixo).
CRIAR ESCOPOS
Ao criar um escopo DHCP, você usa o console DHCP para inserir as seguintes informações
necessárias:
l Um nome de escopo, atribuído por você ou pelo administrador que criou o escopo.
l Uma máscara de sub-rede exclusiva usada para determinar a sub-rede à qual pertence a faixa de
endereços IP do escopo.
l Um intervalo de endereços IP, que é o que define o escopo.


l Um intervalo de tempo (conhecido como duração da concessão) que especifica por quanto
tempo um cliente DHCP pode usar um endereço IP atribuído antes que seja necessário renovar
a configuração com o servidor DHCP, conforme descrito na parte teórica sobre DHCP, anterior-
mente neste capítulo.
USAR A REGRA 80/20 PARA ESCOPOS
Para equilibrar o uso do servidor DHCP, uma boa prática é usar a regra “80/20” para dividir o en-
dereço do escopo entre os dois servidores DHCP. Se o Servidor 1 estiver configurado para disponi-
bilizar a maioria (aproximadamente 80 %) dos endereços, o Servidor 2 pode ser configurado para
disponibilizar os outros endereços (aproximadamente 20 %) para os clientes. A ilustração da Figu-
ra 4.5 (retirada da ajuda do DHCP) é um exemplo da regra 80/20.
Clientes DHCP
Servidor DHCP 1
192.168.1.2
Clientes DHCP
O servidor DHCP 1 tem 20% do endereços da seguinte forma:
Intervalo de escopo: 192.168.1.10 – 192.168.1.254
Endereços excluídos: 192.168.1.10 – 192.168.1.205
Servidor DHCP 2
192.168.1.1
O servidor DHCP 2 tem 80% dos endereços da seguinte forma:

Intervalo de escopo: 192.168.1.10 – 192.168.1.254
Endereços excluídos: 192.168.1.206 – 192.168.1.254
Figura 4.5 A regra 80/20 de distribuição de endereços em escopos.
Depois de definir um escopo, você pode configurar adicionalmente o escopo executando as se-
guintes tarefas:
l Definir intervalos de exclusão adicionais: Você pode excluir quaisquer outros endereços IP que
não devem ser concedidos a clientes DHCP. Você deve usar exclusões para todos os dispositivos
que devem ser configurados estaticamente. Os intervalos excluídos devem incluir todos os en-
dereços IP que você atribuiu manualmente a outros servidores DHCP, clientes não-DHCP, esta-
ções de trabalho sem disco, impressoras de rede configuradas com endereço IP ou clientes PPP
(Point to Point Protocol, protocolo ponto a ponto) e de roteamento e acesso remoto.


l Criar reservas: Você pode escolher reservar alguns endereços IP para atribuição de concessão
permanente a dispositivos ou computadores especificados na sua rede. Você deve fazer reser-
vas somente para dispositivos que tenham DHCP e que devem ser reservados para fins especí-
ficos na rede (como servidores de impressão). Outro caso típico são computadores que aces-
sam aplicativos do Mainframe, via softwares de emulação de terminal. Muitos destes
programas exigem que o computador tenha um IP fixo (sempre o mesmo IP), pois a impressão
remota é associada com o número IP da estação de trabalho. Para resolver esta questõe pode ser
criada uma reserva de IP associada ao MAC Address da placa de rede da estação de trabalho.
Com isso, a estação de trabalho receberá sempre o mesmo número IP, a não ser que a sua placa
de rede seja trocada. Neste caso, você terá que excluir a reserva existente e fazer uma nova re-
serva, associada com o MAC Address da nova placa de rede.
l Ajustar a duração de uma concessão: Você pode modificar a duração da concessão a ser usada
para atribuir concessões de endereço IP. A duração de concessão padrão é de 8 dias.
l Configurar opções e classes a serem usadas com o escopo: Para fornecer configuração total a
clientes, as opções de DHCP precisam ser configuradas e ativadas para o escopo. São exemplos
de opções que devem ser configuradas: número IP do Default Gateway, número IP de um ou
mais servidores DNS e assim por diante.
Após definir e configurar um escopo, o escopo deve ser ativado antes que o servidor DHCP comece
a fazer concessões aos clientes. No entanto, você não deve ativar um novo escopo até ter especifi-
cado as opções DHCP para o mesmo (Default Gateway, número IP do servidor DNS e assim por di-
ante). Após ativar um escopo, você não deve alterar o intervalo de endereços de escopo. Observe,
então, que para colocar o servidor DHCP em funcionamento existe uma série de etapas que devem
ser cumpridas, conforme descrito a seguir:
1. Instalar o serviço DHCP.
2. Autorizar o DHCP no Active Directory. Somente usuários membros do grupo Enterprise

Admins têm permissão para autorizar servidores DHCP no Active Directory.
3. Criar e configurar um escopo: definir a faixa do escopo, a máscara de sub-rede, o tempo de

concessão e demais opções, tais como Default Gateway, servidor DNS e assim por diante.
4. Se for o caso, criar faixas de exclusão dentro do escopo.
5. Ativar o escopo.
Não esqueça deste “Não esqueça”, pois são pontos que podem perfeitamente ser cobrados em
questões do exame: a necessidade de autorização do servidor DHCP e a necessidade de ativação do
escopo, antes que este possa ser utilizado para concessão de endereços na rede.
É isso. As etapas 1 e 2 já foram executadas. A partir do próximo item, você aprenderá a executar as
demais etapas.


CRIANDO, ADMINISTRANDO E CONFIGURANDO ESCOPOS NO DHCP

Neste item você aprenderá a criar, configurar e definir as opções de um escopo.
Para criar e configurar um escopo, siga os passos indicados a seguir:
2. Abra o console de administração do DHCP: Iniciar –> Programas –> Ferramentas Adminis-
trativas –> DHCP.
3. Clique no sinal de + ao lado do servidor DHPC no qual você quer criar um novo escopo.
É importante lembrar que você pode utilizar um único console DHCP para se conectar com diferen-
tes servidores DHCP, remotamente através da rede. Para conectar o console de administração do
DHCP, com um servidor remoto, clique com o botão direito do mouse na opção DHCP (bem em
cima, no painel da esquerda). No menu que é exibido, clique em Adicionar servidor... Será exibida
a janela Adicionar servidor. No campo Este servidor, digite o nome ou o endereço IP do servidor
DHCP e clique em OK. Pronto, o novo servidor é adicionado ao console DHCP e pode ser adminis-
trado, remotamente.
4. Clique com o botão direito do mouse no nome do servidor onde o escopo será criado.
5. No menu de opções que é exibido clique em Novo escopo...
6. O assistente para criação de um novo escopo será aberto. A primeira tela do assistente é ape-
nas informativa. Clique em Avançar para seguir para a próxima etapa do assistente.
7. Nesta etapa, você deve digitar um nome e uma descrição para o escopo que está sendo cria-
do. Preencha estas informações, conforme exemplo da Figura 4.6.
9. Nesta etapa, você deve informar a faixa de endereços IP que farão parte do escopo. Para
informar a faixa, você deve digitar o primeiro endereço da faixa e o último endereço.
Também deve ser informada a máscara de sub-rede. No exemplo da Figura 4.7, estou cri-
ando um escopo de exemplo que vai de 10.10.20.10 a 10.10.20.150, com uma máscara
de sub-rede 255.255.255.0, ou seja, estou criando um escopo de 140 endereços IP para a
rede 10.10.20.0.
11. Nesta etapa, você pode criar uma faixa de exclusão. Vamos pegar o exemplo que está sendo
criado. Tenho 140 endereços da rede 10.10.20.0, que são do endereço 10 ao 150. Vamos su-
por que, dentro desta faixa, os endereços de 30 a 50 são reservados para os servidores, ou
seja, são endereços configurados manualmente nos servidores que devem ter IP fixo. Por-


Figura 4.6 Preenchendo o nome e a descrição do escopo.
Figura 4.7 Definindo a faixa de endereços e a máscara de sub-rede.


tanto, estes endereços não devem ser ofertados pelo DHCP, para que não haja um conflito
de endereços IP. Para solucionar esta questão, basta criar uma faixa de esclusão, dentro do
escopo para a faixa de 10.10.20.30 a 10.10.20.50. Para criar esta faixa de exclusão, preencha
os endereços conforme indicado na Figura 4.8.
Figura 4.8 Definindo uma faixa de exclusão.
12. Digite o endereço inicial e o endereço final da faixa de exclusão, conforme exemplo da Fi-
gura 4.8, e clique no botão Adicionar para criar a faixa de exclusão. Você poderá criar faixas
de exclusão adicionais, simplesmente digitando o endereço inicial da faixa, o endereço fi-
nal e clicando em Adicionar.
14. Nesta etapa, você informa a duração padrão para as concessões deste escopo. O padrão é
um tempo de 8 dias. Na metade deste tempo, o cliente tentará renovar a concessão. Caso
não seja possível, tentará novamente em 87,5 % do tempo quando então entrará no estado
de religação, conforme já descrito anteriormente. O tempo de 8 dias atende a maioria das
situações. Se você tiver um grande número de endereços IP disponíveis, comparativamen-
te com o número de computadores conectados, você pode aumentar este tempo. Se você ti-
ver poucos endereços IP disponíveis, sendo que este número é apenas um pouco maior do
que o número de computadores conectados, pode ser necessário diminuir este tempo, con-
forme comentado anteriormente. Vamos aceitar o valor padrão de 8 dias, conforme indica-
do na Figura 4.9.


Figura 4.9 O valor padrão do tempo de concessão (lease).
16. Nesta etapa, você pode configura as opções associadas com o escopo. As opções são, por
exemplo, o número IP do Default Gateway, o número IP de um ou mais servidores DNS, o
número IP de um ou mais servidores WINS e assim por diante. Neste exemplo prático, va-
mos configurar o número IP do Default Gateway, o número IP dois servidores DNS e o nú-
mero IP de um servidor WINS. Estes valores serão enviados para o cliente, junto com a con-
cessão do endereço IP. Estes parâmteros de configuração são enviados na mensagem
DHCPOffer, enviada pelo servidor DHCP para o cliente, conforme descrito anteriormente.
Certifique-se de que a opção “Sim, desejo configurar estas opções agora”, esteja marcada e
clique em Avançar para seguir para a próxima etapa do assistente.
17. Agora você deve informar o número IP de um ou mais roteadores da rede (gateways). O en-
dereço que ficar em primeiro da lista será utilizado como Default Gateway. Para inserir o
número IP de um roteador, basta digitar o número IP no campo Endereço IP e clicar em adi-
cionar. Para remover um endereço, basta clicar no endereço a ser removido e clicar em Re-
mover. Você pode usar os botões Para cima e Para baixo para alterar a posição dos endere-
ços IP da lista. Na Figura 4.10, você tem um exemplo onde foi informado o endereço IP de
dois roteadores. O primeiro da lista será o default gateway e o segundo somente será utiliza-
do se o primeiro não estiver on-line.


Figura 4.10 Definindo informações sobre os roteadores.
18. Nesta etapa, você pode informar o domínio DNS a ser utilizado pelos clientes e um ou mais
servidores DNS para resolução de nomes. Você pode digitar o endereço IP dos servidores
DNS, ou digitar o nome do servidor, no campo Nome do servidor e depois clicar no botão
Resolver para que o Windows 2000 Server tente encontrar o IP associado com o nome do
servidor digitado. Preencha as informações de domínio e o endereço IP de um ou mais ser-
vidores DNS, conforme exemplo da Figura 4.11.
20. Nesta etapa, você informa o número IP de um ou mais servidores WINS. Insira as informa-
ções dos servidores WINS e clique em Avançar para seguir para a próxima etapa do assistente.
21. Nesta etapa, você tem a opção de ativar o escopo. É importante recordar que, além de cria-
do, o escopo tem que ser ativado, para que possa começar a conceder endereços IP e demais
informações para os clientes DHCP da rede. Certifique-se de que a opção “Sim, desejo ati-
var este escopo agora”, esteja selecionada, conforme indicado na Figura 4.12.


Figura 4.11 Definindo informações sobre os servidores DNS.
Figura 4.12 Ativando o escopo que está sendo criado.


23. Será exibida a tela final do assistente. Você pode utilizar o botão Voltar para alterar alguma
opção definida nas etapas anteriores. Clique em Concluir.
Pronto, o escopo foi criado e já está ativo, conforme indicado na Figura 4.13. Observe, na coluna
Status, que é exibido o status Ativo. Isso indica que o escopo foi ativado com sucesso. Os clientes
DHCP da rede já poderão receber endereços deste escopo.
Figura 4.13 O escopo criado neste exemplo.
CONFIGURANDO AS OPÇÕES DO ESCOPO E CRIANDO RESERVAS

Neste item, você aprenderá a alterar as opções de um escopo (Default Gateway, servidor DNS e as-
sim por diante) e também aprenderá a criar reservas de endereços. Conforme descrito anterior-
mente, uma reserva é utilizada quando você quer que um determinado computador receba sem-
pre o mesmo endereço IP. A reserva é feita através da associação de um endereço IP com o
endereço MAC da placa de rede do computador.
Para alterar as opções de um escopo e criar reservas, siga os passos indicados a seguir:
trativas –> DHCP.
3. Clique no sinal de + ao lado do servidor DHPC no qual está o escopo que você deseja confi-
gurar. Serão exibidos os escopos disponíveis no servidor.
4. Clique no sinal de + ao lado do escopo a ser configurado. Serão exibidas as opções Conjunto de
endereços, Concessões ativas, Reservas e Opções do escopo, conforme indicado na Figura 4.14.


Figura 4.14 Informações sobre o escopo.
5. Clique na opção Conjunto de endereços. Observe que, no painel da direita, é exibida a fai-
xa de endereços do escopo e as faixas de exclusão que foram configuradas. Você pode ex-
cluir uma faixa de exclusão (excluir uma faixa de exclusão ficou extranho, mas ao excluir
uma faixa de exclusão, os endereços da faixa voltam a estar disponíveis para serem conce-
didos pelo DHCP). Você também pode criar novas faixas de exclusão. Para isso clique com
o botão direito do mouse na opção Conjunto de endereços. No menu que é exibido, clique
na opção Novo intervalo de exclusão... Será aberta a janela Adicionar exclusão. Digite o en-
dereço do início e o endereço do fim da faixa, conforme ilustrado na Figura 4.15, e clique
em Adicionar. A faixa de exclusão será adicionada e a janela Adicionar exclusão continua
aberta. Clique em Fechar, para fechá-la. Observe que a nova faixa de exclusão já é exibida
no console de administração do DHCP.
Figura 4.15 Adicionando uma nova faixa de exclusão.
6. Clique na opção Concessões ativas. Será exibida a lista de endereços atualmente concedi-
dos pelo servidor DHCP aos clientes da rede.
7. Clique na opção Reservas. Esta opção é utilizada, conforme o nome sugere, para criar novas
reservas de endereços. Clique com o botão direito do mouse na opção Reservas. No menu
de opções que é exibido, clique em Nova Reserva.... Será exibida a janela Nova Reserva.


Você pode definir um nome para a reserva (por exemplo: LaserAndar02, SRV01 e assim por
diante). Além do nome você deve informar o endereço MAC da placa de rede do computa-
dor (ou outro dispositivo de rede qualquer, tal como uma impressora ou hub) para o qual
está sendo feita a reserva. Observe que o campo do endereço IP já é preenchido com o nú-
mero da rede definida no escopo, ficando somente a parte de host para ser preenchida.
Você também pode definir uma descrição/comentário associada com a reserva. Além des-
sas informações, você deve definir se o cliente para o qual está sendo feita a reserva, utiliza-
rá o protocolo DHCP, BOOTP ou ambos. O BOOTP é uma versão mais antiga, que ainda
pode estar sendo utilizada em alguns equipamentos da rede. Por exemplo, você pode ter
hubs gerenciáveis, para os quais você pode fazer uma reserva de IP, associada ao endereço
MAC da interface de rede do hub. Normalmente, estes equipamentos (Hubs e Switchs) uti-
lizam o protocolo BOOTP. No exemplo da Figura 4.16, apresento a criação de uma reserva
associada ao endereço MAC: 00-E0-7D-9F-6B-7C.
Figura 4.16 Criando uma nova reserva.
O endereço IP que está sendo reservado não pode ser um endereço IP de uma das faixas de exclu-
são. Para exibir o endereço MAC de um computador, utilize o comando ipconfig/all. O endereço
MAC é exibido no parâmetro Physical Address (Endereço físico). Estes assuntos são bons candida-
tos a aparecerem nas questões do exame.
8. Clique em Adicionar para adicionar a reserva. A janela Nova reserva permanece aberta,
para que você possa adicionar mais reservas. Clique em Fechar para voltar ao console do
DHCP. Observe que a nova reserva já é exibida no console DHCP. Clique no sinal de + ao
lado de Reservas e depois clique na reserva que você acabou de criar. Observe que a reserva


já “herdou” uma série de opções. Estas são as opções configuradas para o escopo. A reserva
já foi configurada com as mesmas opções (Default Gateway, servidores DNS e assim por di-
ante) configuradas para o escopo na qual a reserva foi criada. Para excluir uma reserva basta
clicar com o botão direito do mouse na reserva a ser excluída e, no menu de opções que é
exibido, clicar em Excluir.
9. Clique na opção Opções de escopo. Serão exibidas as opções definidas para o escopo. Você
pode alterar qualquer uma das opções. Por exemplo, você pode inserir mais um servidor
DNS. Para isso, no painel da direita, dê um clique duplo na opção 006 Servidores DNS. Será
aberta a janela Opções do escopo. Na lista de opções disponíveis localize a opção 006 Servi-
dores DNS e clique para marcá-la. Ao selecionar uma opção, são habilitados as configurações
de opção da respectiva opção, como no Exemplo da Figura 4.17, onde selecionei a opção 006
DNS Server e foram habilitados os campos para alterar as informções dos servidores DNS.
Figura 4.17 Alterando as opções do escopo.
10. Altere as opções desejadas e depois clique em OK. Você estará de volta ao console do
DHCP.
Pronto, agora você já sabe como exibir as informações de um escopo, como criar novas fai-
xas de exclusão, como criar reservas e como alterar as opções de um escopo. O próximo pas-
so será aprender a configurar as propriedades do escopo como um todo.


CONFIGURANDO PROPRIEDADES DO Escopo

Neste item você aprenderá a acessar e a configurar as propriedades de um escopo.
Para configurar as propriedades de um escopo, siga os passos indicados a seguir:
trativas –> DHCP.
3. Clique no sinal de + ao lado do servidor DHPC no qual está o escopo que você deseja configurar.
4. Serão exibidos os escopos disponíveis no servidor. Clique com o botão direito do mouse no
escopo a ser configurado. No menu de opções que é exibido clique na opção Propriedades.
Será exibida a janela de propriedades do escopo, com a guia Geral, já selecionada, confor-
me indicado na Figura 4.18.
Figura 4.18 A guia geral de propriedades do escopo.
5. Na guia Geral, você pode alterar o endereço inicial da faixa de endereços, o endereço final,
o nome e a descrição do escopo e também o tempo de duração das concessões. Conforme
descrito anteriormente, utilize o tempo de concessão ilimitado com muito critério. Defina
as configurações/alterações desejadas e dê um clique na guia DNS.


6. Nesta guia, você configura a integração entre o DHCP e o DNS. Com o DNS dinâmico, o
DHCP desempenha um papel importante, pois é o DHCP que cria registros no DNS para
clientes mais antigos. As opções da guia DNS são exibidas na Figura 4.19. Este tópico mere-
ce mais detalhes. A seguir, descrevo como funciona a integração entre o DHCP e o DNS.
Figura 4.19 A guia DNS de propriedades do escopo.
Estude detalhadamente e entenda como funciona a integração entre o DHCP e o DNS quais clientes
são capazes de registrar os registros A e PTR dinamicamente com o DNS e quais dependem do
DHCP para fazer este registro. Revise várias vezes este tópico, até que você entenda, com clareza,
como funciona a integração entre o DHCP e o DNS.
ENTENDENDO O FUNCIONAMENTO DA INTEGRAÇÃO DO DNS COM O DHCP
O servidor DHCP pode ser utilizado para fazer atualizações dinâmicas no DNS, em nome dos
clientes DHCP. Assim, quando um cliente DHCP é inicializado e obtém uma concessão de en-
dereço, o DHCP pode registrar o nome e o endereço IP do cliente, na base de dados do DNS.
COMO FUNCIONA A INTERAÇÃO DE ATUALIZAÇÃO DHCP/DNS
O servidor DHCP pode ser usado para registrar e atualizar os registros de recurso de endere-
ço (A) e ponteiro (PTR) em nome de seus clientes com DHCP.


Esse processo exige o uso de uma opção de DHCP adicional, a opção FQDN do cliente (op-
ção 81). Essa opção permite ao cliente fornecer seu nome de domínio totalmente qualifica-
do (FQDN) e instruções para o servidor DHCP sobre como deseja que o servidor processe
atualizações dinâmicas de DNS (se houver) em seu nome.
Quando um cliente baseado no Windows 2000, Windows XP ou Windows Server 2003, é
inicializado e obtém uma concessão de endereço a partir do servidor DHCP (ou seja, está
configurado como um cliente DHCP), automaticamente é atualizado o registro A do clien-
te, na zona direta do DNS. Esta atualização é feita automaticamente pelos próprios clientes,
não havendo necessidade de integração entre o DHCP e o DNS, para que o registro do tipo
A, destes clientes, seja automaticamente atualizado.
Já para o registro da zona reversa (registro PTR), a história é diferente. Os clientes Windows
2000, Windows XP e Windows Server 2003 não conseguem atualizar seus registros PTR di-
retamente, esta atualização tem que ser feita pelo DHCP, em nome do cliente. Portanto,
para interação atualização do registro PTR destes clientes, é necessária a integração entre o
DHCP e o DNS.
Clientes mais antigos, baseados no Windows 95, Windows 98, Windows Me ou Windows NT
4.0, não são capazes de atualizar dinamicamente seus registros A e PTR no DNS. Para estes cli-
entes, a atualização tem que ser feita pelo DHCP, se a integração entre o DHCP e o DNS estiver
habilitada. Se esta integração estiver habilitada, quando um destes clientes obtiver uma con-
cessão de endereço a partir do servidor DHCP, o servidor DHCP atualizará os registros A e PTR
do cliente no servidor DNS.
Para configurar o DHCP para fazer as atualizações no DNS, você utiliza a guia DNS das proprie-
dades do escopo ou das propriedades do servidor DHCP. Se você habilitar a integração nas
propriedades do escopo, a integração será válida somente para o escopo que está sendo con-
figurado. Se você habilitar a integração nas propriedades do servidor DHCP, estas configura-
ções serão aplicadas a todos os escopos do servidor, a não ser que existam configurações con-
flitantes em um determinado escopo. Neste caso, vale a configuração definida no escopo.
Na guia DNS da janela de propriedades, estão disponíveis as seguintes opções:

l Atualizar dinamicamente as informações sobre cliente DHCP em DNS: Esta opção habi-
lita o servidor DHCP a enviar as atualizações dinâmicas para o servidor DNS. As atualiza-
ções são enviadas para o servidor DNS configurado nas propriedades do protocolo
TCP/IP do servidor onde está instalado o servidor DHCP.
l Atualizar DNS somente se cliente DHCP solicitar: Define que as atualizações serão feitas
com base nas requisições enviadas pelos clientes. Conforme descrito anteriormente, di-
ferentes clientes têm diferentes capacidades de atualização dinâmica no DNS.
l Sempre atualizar DNS: Define que o servidor DHCP irá atualizar dinamicamente os re-
gistros A e PTR no DNS, independente da requisição enviada pelo cliente, quando o cli-
ente obtém uma concessão de endereço. Essa opção somente tem efeito para clientes
com o Windows 2000, Windows XP ou Windows Server 2003.


l Descartar tabelas de pesquisa direta (nome para endereço) quando a concessão expirar:
Define que o DHCP deve descartar os registros A e PTR quando a concessão expirar.
l Ativar atualizações para clientes DNS que não dão suporte à atualização dinâmica: Mar-
que esta opção para permitir que o DHCP faça a atualização dinâmica dos registros A e
PTR para clientes DHCP rodando o Windows 95, Windows 98, Windows Me ou Win-
dows NT 4.0. Por padrão, esta opção está desmarcada. Marque-a para fornecer a atualiza-
ção dinâmica do DNS, via DHCP, para clientes mais antigos, com versões mais antigas
do Windows.
Pode surgir um problema quando você utiliza o DHCP em combinação com o DNS, utilizan-
do zonas integradas com o Active Directory no DNS. As zonas integradas ao Active Directory
aceitam somente atualizações dinâmicas seguras, conforme descrito anteriormente. O pro-
blema surge quando o servidor DHCP cria um registro para um cliente antigo do Windows,
tal como o Windows 95, 98, Me ou NT 4.0. Como as zonas integrada somente aceitam atuali-
zações dinâmicas seguras, isto é, de computadores autenticados no domínio e computadores
com estas versões antigas não tem conta no domínio (portanto não são autenticados no do-
mínio), para contornar o problema, o servidor DHCP registra as informações no DNS em seu
próprio nome, ou seja, no nome do servidor DHCP. O inconveniente deste procedimento é
que o servidor DHCP torna-se o dono destes registros. Porém, os registros destes clientes mais
antigos podem tornar-se órfãos, se uma das condições a seguir acontecer:
I. Se o servidor DHCP for substituído por um servidor de reserva ou se o escopo for mi-
grado para outro servidor DHCP. Com isso, os registros criados para clientes antigos
continuarão tendo como dono o servidor antigo, que não existe mais, ou seja, é lixo
que vai se acumulando no DNS.
II. Se o cliente for atualizado para uma das versões mais novas do Windows (2000, XP ou
2003), o servidor DHCP continuará sendo o dono dos registros, porém não mais irá
atualizá-los, pois agora “julga” que o próprio cliente é capaz de fazê-lo.
A solução mais simples seria migrar todos os clientes para versões mais novas do Windows.
Outra opção (mais realística) é adicionar as contas de todos os servidores DHCP para o grupo
DnsUpdateProxy. Quando um membro do grupo cria um registro dinamicamente no DNS,
não são atribuídas configurações de segurança ao registro, ou seja, o servidor DHCP não será
mais o dono do registro (na verdade o registro não terá mais um dono). Isso evita que o registro
fique “órfão”. Quando um outro computador qualquer modificar este registro, este irá se tor-
nar o dono do registro. Esta é a situação desejável quando você tem um cliente com versões
mais antigas do Windows. Neste caso, com a conta do servidor DHCP no grupo DNSUpdateP-
roxy, quando o DHCP for criar os registros para o cliente mais antigo, o servidor DHCP não
será configurado como dono do registro. Se o cliente for atualizado para uma versão mais atual
do Windows (2000, XP ou 2003) quando for tentar atualizar os registros, irá se tornar o dono
do registro, que é o que deve acontecer com as versões mais novas do Windows.
Entenda e conheça o uso do grupo DNSUpdateProxy.


7. Defina as configurações desejadas e clique na guia Avançado. Nesta guia, você define quais
protocolos poderão ser utilizados pelos clientes DHCP. O padrão é permitir somente o
DHCP. Caso você tenha clientes mais antigos, que dependem do BOOTP, poderá habilitar
a opção Ambos. As opções desta guia estão indicadas na Figura 4.20.
8. Defina as configurações desejadas e clique em OK para aplicá-las.
Figura 4.20 A guia de configurações avançadas.
CONFIGURANDO PROPRIEDADES DO SERVIDOR DHCP

Neste item você aprenderá a acessar e a configurar as propriedades do servidor DHCP. Existem al-
gumas propriedades que são iguais às propriedades configuradas para um escopo (mais especifica-
mente a guia DNS). Neste caso, ao configurar as propriedades para o servidor DHCP, estas proprie-
dades serão aplicadas a todos os escopos do servidor DHCP.
Para configurar as propriedades do servidor DHCP, siga os passos indicados a seguir:
trativas –> DHCP.
3. Clique com o botão direito do mouse no servidor a ser configurado.
4. No menu de opções que é exibido clique em Propriedades. A janela de propriedades do ser-

vidor DHCP será aberta, com a guia Geral selecionada, conforme indicado na Figura 4.21.


Figura 4.21 A guia de de configurações gerais do servidor DHCP.
Nesta guia, estão disponíveis as seguintes opções:
l Atualizar estatísticas automaticamente a cada: Neste campo você pode definir o intervalo de
atualização das estatísticas do servidor DHCP. As estatísticas informam o número de conces-
sões ativas, o número de renovações e assim por diante.
l Ativar o log de auditoria do DHCP: Esta opção é utilizada para habilitar o log das atividades do
servidor DHCP. As informações do log são gravadas em arquivos de texto na pasta %win-
dir%\System32\Dhcp. O administrador pode utilizar as informações contidas no log de ativi-
dades do DHCP para obter informações úteis para a resolução de problemas com o servidor
DHCP. A seguir, um exemplo do log que é gerado pelo DHCP. Neste exemplo, o servidor foi
inicializado sem ter sido autorizado no Active Directory. Em seguida, o serviço é parado e é au-
torizado no Active Directory.
ID Date,Time,Description,IP Address,Host Name,MAC Address
00,04/19/99,12:43:06,Started,,,
60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN,
63,04/19/99,12:43:28,Restarting rogue detection,,,
01,04/19/99,13:11:13,Stopped,,,
00,04/19/99,12:43:06,Started,,,
55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,
l Mostrar a pasta de tabela de BOOTP (eu não tenho nada a ver com esta tradução HOR-
ROROSA): Ao marcar esta opção será exibida mais uma opção abaixo do servidor DHCP no
console de administraçáo do DHCP. Será exibida a opção BOOTP, a qual será utilizada se você
ainda tiver que clientes de rede que dependem do BOOTP.


5. Defina as configurações desejadas e dê um clique na guia DNS. Esta guia, exibida na Figura
4.19, anteriormente, apresenta as mesmas opções da guia DNS das propriedades de um es-
copo. A única diferença é que as opções configuradas na guia DNS das propriedades do ser-
vidor serão aplicadas a todos os escopos configurados no servidor DHCP. Estas opções fo-
ram explicadas anteriormente, durante o exemplo prático de configuração das proprieda-
des do escopo.
6. Defina as configurações desejadas e dê um clique na guia Avançado. Serão exibidas as op-

ções indicadas na Figura 4.22.
Figura 4.22 A guia de de configurações avançadas do servidor DHCP.
7. Nesta guia você pode definir um número de tentativas de detecção de conflito de endereço
IP, que o servidor DHCP deve fazer, antes de conceder um endereço IP para um cliente. Por
padrão, esta opção é desabilitada. Clientes rodando o Windows 2000, Windows XP ou
Windows Server 2003 fazem esta verificação automaticamente. Assim, quando um destes
clientes recebe uma concessão do servidor DHCP, o próprio cliente usa o comando ping
para verificar se o endereço ofertado já não está em uso na rede. Se você possui apenas cli-
entes com uma destas versões, não será necessário habilitar a detecção de conflitos no ser-
vidor DHCP. Se você possui clientes mais antigos, tais como Windows 95, Windows 98 e
Me, pode habilitar a detecção de conflito de endereços no servidor DHCP, já que estes cli-
entes mais antigos não fazem esta detecção automaticamente. Habilitar a detecção no ser-
vidor gera tráfego adicional na rede. Somente habilite esta opção se você tiver com muitos
problemas de conflitos de endereços IP na rede e tiver clientes com versões mais antigas do


Windows. Mesmo assim, não utilize valores maiores do que 1 para o número de tentativas,
pois senão será gerado muito tráfego de rede adicional. Nesta guia, também estão disponí-
veis campos para informar o caminho para o arquivo de log do DHCP (o padrão é \%win-
dir%\System32\dhcp) e o caminho para o banco de dados do DHCP (o padrão é \%win-
dir%\System32\dhcp). Na opção Alterar vinculações de conexões de servidor, você pode
clicar no botão Ligações, para definir qual das conexões de rede (se houver mais de uma)
será utilizada para atender as requisições dos clientes. Ao clicar no botão Ligações..., será
exibida a janela Ligações para que você selecione a interface a ser utilizada, conforme indi-
cado na Figura 4.23 (embora nesta figura esteja disponível uma única conexão). Marque a
interface a ser utilizada e clique em OK. Você estará de volta à guia Avançado.
Figura 4.23 A janela para selecionar a interface

a ser utilizada pelo servidor DHCP.
Pronto, sobre as configurações do servidor DHCP era isso. Agora você aprenderá a gerenciar a base
de dados do servidor DHCP.
GERENCIANDO A BASE DE DADOS DO SERVIDOR DHCP

A base de dados do servidor DHCP é gravada na pasta \%windir%\System32\dhcp no arquivo
dhcp.mdb. Embora seja um arquivo .mdb, não pode ser aberto diretamente com o Microsoft
Access. Este é um arquivo .mdb modificado, a exemplo do que acontece com a base de dados do
WINS (\%windir%\System32\wins\wins.mdb) conforme será descrito no Capítulo 5.


Por padrão, a cada 60 minutos, o Windows 2000 Server faz um backup da base de dados do DHCP.
O backup é efetuado na pasta \%windir%\System32\dhcp\backup.
OPÇÕES DO COMANDO IPCONFIG RELACIONADAS AO DHCP

Anteriormente você aprendeu algumas opções do comando ipconfig relacionadas com o DNS. Neste
item você aprenderá as opções do comando ipconfig relacionadas com o DNS. O comando ipconfig
pode ser utilizado nos clientes para liberar uma concessão, renovar uma concessão e para verificar as
configurações do protocolo TCP/IP. A seguir, mostrarei algumas das utilizações deste comando.
Para liberar a concessão (release) do cliente, utilize o seguinte comando:
ipconfig /release
Este comando libera a concessão do endereço IP do cliente. Logo após a execução deste comando,
o cliente estará sem endereço IP. Se você executar o comando ipconfig, será informado um ende-
reço IP igual a: 0.0.0.0. O que na prática significa: sem configurações do protocolo TCP/IP.
Para renovar a concessão do cliente, utilize o seguinte comando:
ipconfig /renew
Este comando irá fazer com que o cliente tente renovar a sua concessão com o servidor DHCP. Se a
renovação for feita com sucesso, o cliente continuará utilizando o mesmo endereço IP. Já se tiver
havido mudanças nas opções do servidor DHCP (Default Gateway, endereço IP do servidor DNS e
assim por diante), os novos valores serão passados para o cliente, durante processo de renovação
da concessão.
Para obter informações sobre as configurações do protocolo TCP/IP, no computador do cliente,

utilize um dos seguintes comandos:
ipconfig
Este comando exibe apenas informações básicas, tais como o número IP e a máscara de sub-rede.
ipconfig /all
Este comando exibe informações detalhadas sobre as configurações do protocolo TCP/IP em todas
as interfaces do computador. No Capítulo 2, você aprendeu alguns detalhes sobre este comando.
Clientes mais antigos como o Windows 95, 98 ou Me não disponibilizam o comando ipconfig. Nes-
tes clientes, você pode utilizar o comando winipcfg para verificar as configurações do protocolo
TCP/IP e para liberar ou renovar uma concessão do servidor DHCP.


ADMINISTRAÇÃO DO SERVIDOR DHCP ATRAVÉS DA LINHA DE COMANDO

O comando netsh, com a opção dhcp, pode ser utilizado para administração do servidor DHCP.
Na prática, qualquer configuração ou ação que você faz com o console DHCP é possível de ser fei-
ta com o comando netsh. Este comando é indicado para situações onde o administrador irá confi-
gurar vários servidores DHCP, com um conjunto de configurações padrão. Nesta situação, o ad-
ministrador pode criar um script que utiliza o comando netsh para executar as tarefas necessárias.
Depois, é só enviar o script para o administrador de cada localidade onde o DHCP será configura-
do. O administrador local executa o script e pronto, o DHCP é configurado.
O comand netsh não está disponível, por padrão, após a instalação do Windows 2000 Server e do
DHCP. Este comando faz parte de um pacote de utilitários conhecidos como Supprt Tools (Ferra-
mentas de suporte). Estas ferramentas não são instaladas automaticamente. Para instalar as ferra-
mentas de suporte, siga os passos indicados a seguir:
2. Insira o CD de instalação do Windows 2000 Server. Se for aberta uma tela de instalação do
Windows 2000 Server, feche-a.
3. Abra o Windows Explorer e acesse o drive de CD onde está o CD de instalação do Windows

2000 Server.
4. Acesse a pasta \Support\Tools.
5. As ferramentas de suporte são instaladas usando o arquivo Setup.exe que está na pasta
Tools. Dê um clique duplo no arquivo Setup.exe para iniciar o assistente de instalação das
ferramentas de suporte.
6. Siga as etapas do assistente para concluir a instalação das ferramentas de suporte. Pronto,
agora o comando netsh estará disponível para utilização no servidor onde as ferramentas
de suporte foram instaladas.
Para utilizar o comando netsh para administração do DHCP, siga os passos indicados a seguir:
2. Abra um prompt de comando.
3. Digite netsh e tecle Enter. Será exibido o promtp netsh.
4. Digite dhcp e tecle Enter. Será exibido o prompt netsh dhcp.
5. Para exibir uma lista dos comandos disponíveis digite list e tecle Enter. Será exibida a lista
dos comandos disponíveis, conforme indicado na Figura 4.24.
8. Para obter informações sobre um comando específico digite o nome do comando, um es-
paço e ?. Tecle Enter. Serão exibidas informações sobre este comando.


Figura 4.24 O comando netsh com a opção dhcp.
DHCP RELAY AGENT

O conceito de DHCP Relay Agent é um bom candidato a aparecer no exame, devido a sua impor-
tância e uso, corriqueiro, em situações do dia-a-dia. Você aprenderá o conceito sobre DHCP Relay
Agent através de uma questão simulada. No Capítulo 6, sobre RRAS, você aprenderá a configurar
um servidor para atuar como DHCP Relay Agent.
Questão: Você é o Administrador da rede da sua empresa. A empresa tem um escritório em São
Paulo, no qual está instalado um Controlador de Domínio, um servidor DNS e DHCP. Todas as
estações de trabalho e notebooks estão configurados para usar o DHCP. O DHCP está funcio-
nando corretamente. A rede de SP utiliza o seguinte endereçamento: 10.10.10.0/255.255.255.0.
A empresa também tem uma filial no Rio de Janeiro. A rede da filial do Rio de Janeiro utiliza o se-
guinte esquema de endereçamento: 10.10.20.0/255.255.255.0. O servidor DHCP está correta-
mente configurado com escopos para as duas redes. Na filial em SP está tudo OK, as estações de
trabalho e os notebooks estão conseguindo obter as configurações IP, a partir do servidor
DHCP. O DNS está funcionando normalmente, porém os clientes, da filial do RJ, não estão con-
seguindo obter as configurações IP a partir do servidor DHCP da matriz em São Paulo. O que
você deve fazer para solucionar esta questão.?
a) Utilize o comando ipconfig/renew em todas as estações de trabalho no RJ.
b) Utilize o comando ipconfig/fluship em todas as estações de trabalho no RJ.
c) Utilize o comando ipconfig/renew no servidor DHCP em SP.


d) Configurar, na rede no RJ, o DHCP Relay Agent.
e) Configurar, na rede em SP, o DHCP Relay Agent.
Resposta certa: d
Comentários: Os clientes no RJ não têm como acessar o servidor DHCP em SP. Isso acontece
porque, por padrão, o protocolo Bootp, utilizado pelos clientes para localizar o servidor DHCP e
trocar informações com o servidor, não é habilitado nos roteadores. Este protocolo é utilizado
para a troca inicial de mensagens – DHCPDiscover, DHCPOffer e assim por diante. Para que essa
comunicação exista, você precisa do DHCP Relay Agent, o qual faz o papel de intermediário, ou
seja, intercepta a requisição dos clientes e consegue enviá-la, através do roteador, para que che-
gue até o servidor DHCP. O DHCP Relay Agent também recebe a resposta vinda do servidor
DHCP e passa para o respectivo cliente. Nas situações onde o servidor DHCP fica em uma rede
externa, acessível somente através de um roteador, a solução é o uso do DHCP Relay Agent na
rede que não tem servidor DHCP. Nesta questão, o servidor DHCP fica no escritório em SP. No
escritório do RJ, você deve instalar e configurar o DHC Relay Agent para que os clientes deste es-
critório possam obter concessões a partir do servidor DHCP do escritório em SP. Portanto, o
DHCP Relay Agent é instalado e configurado na rede que não tem servidor DHCP. Por isso a res-
posta correta é a letra “d”.
CONCLUSÃO E DICAS NÃO ESQUEÇA

Neste capítulo, falei sobre o DHCP. O servidor DHCP é utilizado para automatizar as configurações
do protocolo TCP/IP nos dispositivos de rede. Com o uso de escopos e de um processo de concessão
de endereços, o DHCP facilita e automatiza o processo de configuração do protocolo TCP/IP.
A seguir, apresento uma série de dicas sobre pontos que você não pode esquecer para o exame 70-216:
1. O servidor DHCP precisa ser autorizado no Active Directory. Somente membros do grupo
Enterprise Admins é que tem permissão para autorizar um servidor DHCP no Active Directory.
2. Após a criação de um escopo, este deve ser ativado para que possam ser feitas concessões
para os clientes.
3. O comando ipconfig/renew é utilizado para renovar uma concessão e o comando ipcon-

fig/release é utilizado para liberar uma concessão.
4. Revise em detalhes o conceito de APIPA, abordado neste capítulo.

5. Revise o conceito de DHCP Relay Agent, também abordado neste capítulo.


6. Entenda, em detalhes, como funciona a integração do DHCP com o DNS e como é feito o
registro dinâmico no DNS, dos registros A e PTR para clientes com versões antigas do Win-
dows, tais como Windows 95, Windows 98, Windows Me e NT 4.0.
7. Entenda como funciona o mecanismo de registro dinâmico em zonas integradas com o
Active Directory e a utilização do grupo DnsUpdateProxy.
8. O DHCP permite que sejam criadas reservas de endereços. As reservas são feitas com base
no endereço MAC da placa de rede e não no nome da estação de trabalho.
9. O processo de concessão é feito através da troca de quatro mensagens entre o cliente e o ser-
vidor DHCP: DHCPDiscover (o cliente tenta encontrar um servidor DHCP), DHCPOffer (o
servidor DHCP faz uma oferta), DHCPRequest (o cliente seleciona a primeira oferta a che-
gar) e DHCPAck (o servidor aceita o pedido do cliente e o processo está completo).
10. As mensagens DHCPDIscover, DHCPOffer e DHCPRequest são enviadas através de broadcast.
11. As opções do DHCP (Default Gateway, endereço IP de um ou mais servidor DNS e assim por
diante), podem ser configuradas em três níveis: servidor (são válidas para todos os escopos
configurados no servidor DHCP), escopo (se aplicam a um escopo especificamente) e op-
ções de uma reserva (se aplicam à reserva e, por padrão, são herdadas do escopo onde a re-
serva foi criada).
A seguir, mais dois exemplos de questões envolvendo conceitos relacionados ao DHCP.
Questão 01: Como administrador da rede você gostaria de utilizar o serviço de DHCP para fazer a
configuração automática do TCP/IP nas estações de trabalho. Você instala o DHCP e cria um esco-
po com 30 endereços para serem utilizados pelos notebooks. Para as estações de trabalho, você
criar reservas de endereços para o MAC Address da placa de rede. Tanto as estações de trabalho
quanto os notebooks estão configurados com o Windows 2000 Professional. Você reinicializa o
servidor e todas as estações de trabalho e notebooks (todos configurados para usar DHCP). Porém
nenhuma das estações ou notebooks consegue se comunicar na rede local e nem com as redes ex-
ternas. O que você deve fazer para resolver este problema?
a) Configure o DHCP para fornecer a máscara de sub-rede e o IP do Default Gateway para os

clientes.
b) Ative o escopo criado no servidor DHCP.
c) Ative o servidor DHCP no Active Directory.
d) Autorize o servidor DHCP no Active Directory.
e) Execute o comando ipconfig/renew em todas as estações de trabalho e notebooks.

Resposta certa: d
Comentários: O ponto principal desta questão é que não basta instalar o serviço DHCP e configu-
rar os escopos, reservas e opções necessárias. Além disso é preciso, autorizar o servidor DHCP no
Active Directory. Sem esta autorização é como se o servidor DHCP não existisse. Somente mem-


bros do grupo Enterprise Admin têm permissão para autorizar servidores DHCP no Actvie Direc-
tory. Por isso que a resposta correta é a letra “d”. O comando ipconfig/renew até deve ser executa-
do, depois que o servidor DHCP estiver OK. Com este comando, as estações de trabalho e os
notebooks conseguirão obter as configurações a partir do servidor DHCP, sem que tenham que
ser reinicializados. Porém, de nada adianta executar este comando, enquanto o servidor DHCP
não tiver sido autorizado no Active Directory.
Questão 02: Você é o administrador da rede. O usuário jsilva abre um chamado informando que
não consegue acessar os recursos da rede local, nem acessar a Internet e nem sistemas localizados
em servidores de redes externas, ou seja, ele simplesmente não consegue conectar-se à rede da em-
presa. Os demais usuários da rede, em suas estações de trabalho, conseguem acessar a Internet,
bem como os demais recursos em redes externas. Você executa o comando ipconfig/all na estação
de trabalho do usuário jsilva e obtém o resultado indicados na Figura 4.25.
Figura 4.25 Configurações do TCP/IP do cliente.
Qual a causa mais provável para o problema de o usuário jsilva não conseguir se comunicar com a
rede da empresa?
a) O roteamento de IP não está ativado.
b) A máscara de sub-rede é inválida.
c) Não existe um gateway padrão (Default Gateway) definido.
d) A estação de trabalho do usuário jsilva não conseguiu conectar o servidor DHCP.
e) O servidor DNS está fora do ar.
Resposta certa: d


Comentários: A dica nesta questão é o número IP: 169.254.x.y com a máscara de sub-rede
255.255.0.0. No Windows 2000, existe um recurso chamada APIPA – Automatic Private IP
Addressing. Quando uma estação de trabalho com o Windows 2000 instalado não é configurada
com um endereço IP e não consegue obter este endereço IP a partir de um servidor DHCP, o Win-
dows 2000, automaticamente, atribui um endereço da rede 169.254.0.0, com máscara
255.255.0.0. De tempos, em tempos o Windows 2000 fica monitorando a rede. Se um servidor
DHCP responder às requisições do cliente, o Windows 2000 descarta o endereço automaticamen-
te atribuído e obtém as configurações a partir do servidor DHCP. No cenário descrito na questão,
as demais estações estão comunicando normalmente na rede. A estação do jsilva, por algum mo-
tivo, não conseguiu se comunicar com o servidor DHCP e por isso recebeu uma configuração de
rede diferente do padrão da rede local (10.10.10.0 e máscara 255.255.255.0). Com isso é como se a
estação do jsliva estivesse em outra rede, 169.254.0.0, a qual não consegue se comunicar com a
rede local da empresa. Por isso a alternativa correta é a letra “d”.



Capítulo 5
IMPLEMENTAÇÃO E
ADMINISTRAÇÃO DO WINS

INTRODUÇÃO
O WINS é a abreviatura de Windows Internet Name Services é um serviço de resolução de nomes.
Mais um? O DNS já não é um serviço de resolução de nomes? Sim para as duas questões. O WINS é
mais um serviço de resolução de nomes, que é mantido por questões de compatibilidade com ver-
sões anteriores do Windows (95, 98, Me, 3.11) e de compatibilidade com aplicações mais antigas,
que ainda dependam da resolução de nomes NetBIOS.
Todo computador tem dois nomes: um chamado nome de hosts e um nome NetBIOS. Claro que
estes nomes devem ser iguais. Por exemplo, o computador micro01.abc.com.br tem um nome de
host micro01 e, por coerência, o nome NetBIOS também deve ser micro01. Eu digo deve ser por-
que em clientes mais antigos, tais como o Windows 95, Windows 98 ou Windows Me, o nome de
host e o nome NetBIOS são configurados em diferentes opções do Windows e podem ser diferen-
tes, embora não seja nada coerente.
O WINS é um serviço que permite que os clientes façam o seu registro dinamicamente durante a
inicialização. O cliente registra o seu nome NetBIOS e o respectivo endereço IP. Com isso, o WINS
vai criando uma base de nomes NetBIOS e os respectivos endereços podendo, assim, fornecer o
serviço de resolução de nomes NetBIOS na rede.
Conforme você verá neste capítulo, o WINS apresenta um espaço de nomes chamado plano (flat),
sem domínio e sem nenhuma hierarquia. Você também aprenderá a configurar a replicação entre
servidores WINS, a gerenciar a base de dados WINS, enfim, neste capítulo você aprenderá a insta-
lar, configurar e a administrar o WINS
ENTENDENDO O QUE É E COMO FUNCIONA O WINS

O Windows Internet Name Service – WINS – é um serviço para resolução de nomes. Além do DNS,
o Windows 2000 Server (a exemplo do Windows Server 2003 e do NT Server 4.0) também fornece
mais um serviço para resolução de nomes – WINS.
O WINS tem muitas diferenças em relação ao DNS. A primeira e fundamental delas é que o WINS
não forma um espaço de nomes hierárquico como o DNS. O espaço de nomes do WINS é plano
(flat). Em uma base de dados WINS, fica registrado apenas o nome NetBIOS do computador e o
respectivo número IP. Poderíamos até dizer que o WINS está para a resolução de nomes NetBIOS,
assim como o DNS está para a resolução de nomes FQDN.
A grande questão que continua é: “Por que dois serviços diferentes para a resolução de nomes?” O
que acontece é que até o NT Server 4.0, o WINS era o serviço de resolução de nomes mais utilizado
e o suporte ao DNS só erá obrigatório se algum serviço dependesse do DNS. Na época do NT Server
4.0, com a maioria dos clientes baseados em Windows 95/98, o WINS era o serviço de nomes mais


Capítulo 5 – IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO WINS
utilizado. Porém a partir do Windows 2000 Server, com o Active Directory, o DNS passou a ser o
serviço preferencial (e obrigatório para o caso do Active Directory) para resolução de nomes.
Porém, da mudança do WINS para o DNS, obviamente que existe um período de transição. É exa-
tamente este período que estamos vivendo, ou seja, com clientes (Windows 95/98/Me) e aplicati-
vos que ainda dependem do WINS. Por isso que, muito provavelmente, você ainda precisará do
WINS para dar suporte a estes clientes e aplicativos mais antigos, ainda dependentes do WINS.
Com o WINS, sempre que um cliente configurado para utilizar um servidor WINS, é inicializado,
automaticamente, registra o seu nome NetBIOS e o respectivo endereço IP na base de dados do
servidor configurado como WINS Primário nas propriedades do TCP/IP. Os nomes NetBIOS po-
dem ter até 15 caracteres. Na verdade, são 16 caracteres, mas o décimo sexto é reservado para uso
do sistema operacional. O Windows 2000 Server registra, para um mesmo computador, o nome
NetBIOS mais de uma vez, apenas mudando o décimo sexto caractere. Este caractere indica um
serviço específico no computador. Falarei mais sobre estes nomes logo adiante.
ALGUMAS CARACTERÍSTICAS DO WINS

O WINS apresenta as seguintes características:
l Um banco de dados dinâmico de nome para endereço, que mantém o suporte para resolução e
registro do nome NetBIOS de computador. O serviço WINS é instalado em um ou mais servi-
dores da rede. O número IP do servidor WINS deve ser informado nos clientes, quer seja confi-
gurando manualmente as propriedades do protocolo TCP/IP do cliente, quer seja através do
uso do DHCP para efetuar estas configurações.
l Gerenciamento centralizado do banco de dados de nome para endereço, minorando a necessi-
dade de gerenciamento de arquivos Lmhosts. O arquivo Lmhosts é um arquivo de texto, no
qual podem ser criadas entradas para resolução de nomes NetBIOS. O arquivo Lmhosts fica na
pasta systemroot\system32\drivers\etc, onde systemroot representa a pasta onde está insta-
lado o Windows 2000 Server. Podemos dizer que o Lmhosts representa para o WINS, o mesmo
que o arquivo hosts representa para o DNS. Na verdade, na pasta indicada anteriormente, é
gravado, por padrão, um arquivo chamado Lmhosts.sam. O administrador, caso necessite uti-
lizar um arquivo Lmhosts, pode renomear este arquivo (de Lmhosts.sam para Lmhosts) e criar
as entradas necessárias.
l O uso do WINS fornece redução de tráfego de broadcast, gerado para a resolução de nome
NetBIOS. Se os clientes, dependentes do WINS, não estiverem configurados com o número IP
de pelo menos um servidor WINS, irão gerar tráfego de broadcast na rede local para tentar re-
solver nomes. Por padrão, os roteadores bloqueiam tráfego de broadcast. Com isso, sem o uso
do WINS, para clientes que dependem do WINS, não haveria como fazer a resolução de nomes
de servidores que estão em outras redes (redes remotas, ligadas através de links de WAN e rote-
adores). Você verá mais adiante, que através do mecanismo de replicação, é possível manter


vários servidores WINS, em diferentes redes, com o mesmo banco de dados, com informações
de todos os computadores da rede, mediante o uso de replicação.
l É possível integrar o WINS com o DNS para que o WINS possa responder consultas às quais o
DNS não conseguiu responder, conforme descrito no Capítulo 3, no item sobre integração do
DNS com o WINS.
COMO SABER SE AINDA DEVO UTILIZAR O WINS?

Pode parecer que o WINS tem muitas vantagens, então, deve realmente ser utilizado. Não é bem
assim. Só é justificado o uso do WINS se houver versões anteriores do Windows ou aplicações que
dependam do WINS. Neste item, vou detalhar um pouco mais sobre em que situações você terá
que utilizar o WINS.
Antes de mostrar quando você deve utilizar, vou descrever algumas situações em que, com certe-
za, você não precisará utilizar o WINS:
l A sua rede é baseada apenas em servidores como Windows 2000 Server ou Windows Server
2003 e os clientes são baseados no Windows 2000 Professional ou Windows XP Professional.
Com uma rede nesta situação (o que ainda deve ser muito raro), com certeza o DNS está insta-
lado e funcionando. Nesta situação, não existe nenhuma dependência do WINS para a resolu-
ção de nomes, uma vez que o DNS atende perfeitamente a necessidade de resolução de nomes
no cenário proposto.
l Se você tem uma pequena rede, com até 20 computadores, localizados em um único escritório,
e a rede é utilizada para compartilhamento de arquivos, impressoras e para aplicações, não é
necessário o uso do WINS. Mesmo que alguns clientes ou aplicações necessitem de resolução
de nome NetBIOS, poderão fazê-lo, sem problemas, usando broadcast. Devido ao pequeno nú-
mero de computadores, o tráfego de broadcast, devido à resolução de nomes NetBIOS, não re-
presentará um problema.
Ao decidir se precisa usar o WINS, você deve primeiro considerar as seguintes questões:
l Tenho computadores na rede que exigem o uso de nomes de NetBIOS? Lembre que todos os
computadores em rede que estiverem sendo executados com um sistema operacional da Mi-
crosoft antigo, como as versões do MS-DOS, Windows 95/98 ou Windows NT 3.51/4.0, exi-
gem suporte a nomes de NetBIOS. O Windows 2000 é o primeiro sistema operacional da Mi-
crosoft que não requer mais a nomeação de NetBIOS. Portanto, os nomes de NetBIOS ainda
podem ser exigidos na rede para fornecer serviços de compartilhamento de arquivo e impres-
são básicos e para oferecer suporte a diversas aplicações existentes, as quais ainda dependam
da resolução de nomes NetBIOS. Por exemplo, um cliente baseado no Windows 95 depende
do nome NetBIOS do servidor para poder acessar uma pasta compartilhada no servidor. Você
não conseguirá usar o nome DNS do sevidor, como por exemplo: \\srv01.abc.com\documen-


tos, em clientes com versões antigas do Windows, conforme as descritas no início deste pará-
grafo. Nestes clientes, você tem que usar o nome NetBios do servidor, como por exemplo:
\\srv01\documentos.
l Todos os computadores na rede estão configurados e são capazes de oferecer suporte ao uso de
outro tipo de nomeação de rede, como DNS (Domain Name System, sistema de nomes de do-
mínios)? A nomeação de rede é um serviço vital para a localização de computadores e recursos
por toda a rede, mesmo quando os nomes NetBIOS não sejam exigidos. Antes de decidir elimi-
nar o suporte a nomes de NetBIOS ou WINS, certifique-se de que todos os computadores e pro-
gramas na rede são capazes de funcionar usando outro serviço de nomes, como o DNS. Nesta
etapa, é muito importante que você tenha um inventário de software atualizado. Com o in-
ventário de software, você tem condição de saber quais programas ainda dependem da resolu-
ção de nomes NetBIOS.
Os clientes WINS que estejam executando sob o Windows 2000, Windows Server 2003 ou Win-
dows XP Professional, são configurados por padrão para usar primeiro o DNS para resolver nomes
com mais de 15 caracteres ou que utilizem pontos (".") dentro do nome. Para nomes com menos
de 15 caracteres e que não utilizem pontos, o Windows primeira tenta resolver o nome usando
WINS (se este estiver configurado), caso o WINS venha a falhar, o DNS será utilizado na tentativa
de resolver o nome.
CLIENTES SUPORTADOS PELO WINS
O WINS é suportado por uma grande variedade de clientes, conforme descrito na lista a seguir:
l Windows Server 2003.

l Windows 2000.
l Windows NT 3.5 ou superior.
l Windows 95/98/Me.
l Windows for Workgroups 3.11.
l MS-DOS com Cliente de Rede Microsoft versão 3.
l MS-DOS com LAN Manager versão 2.2c.
l Clientes Linux e UNIX, rodando o servço Samba.
É possível criar entradas estáticas no WINS (criadas manualmente) para clientes não suportados
pelo WINS. Porém, esta não é uma prática recomendada e somente deve ser utilizada quando for
absolutamente necessária.


Fique atento a este ponto, ou seja, criação de entradas estáticas. Por exemplo, se você tem clientes
antigos, como o Windows 95 ou Windows 98, que precisam acessar recursos em um servidor
UNIX, o qual não pode ser cliente do WINS, ou seja, não é capaz de registrar seu nome no WINS, o
que fazer? Neste caso, você deve criar uma entrada estática no WINS para o nome do servidor
UNIX e o respectivo endereço IP. Com isso, os clientes mais antigos poderão acessar os recursos do
servidor UNIX.
COMO FUNCIONA O WINS

Os servidores WINS mantêm uma base de dados com nomes dos clientes configurados para utili-
zar o WINS e os respectivos endereços IP. Quando uma estação de trabalho é inicializado e está
configurada para utilizar o WINS, ela registra o seu nome NetBIOS e o seu endereço IP no banco de
dados do servidor WINS. A estação de trabalho utiliza o servidor WINS, cujo endereço IP está con-
figurado como WINS Primário nas propriedades do protocolo TCP/IP (quer estas configurações
tenham sido feitas manualmente ou via DHCP). Quando o cliente é desligado, o registro do nome
e do endereço IP é liberado no servidor WINS. Com isso, a base de dados do WINS é criada e man-
tida, dinamicamente.
Os nomes NetBIOS podem ter, no máximo 15 caracteres. Um 16º caractere é registrado pelo servi-
ço WINS. Este caractere adicional é utilizado para indicar um determinado tipo de serviço. Por
exemplo, um servidor pode ter o seu nome registrado no WINS várias vezes. O que diferencia um
registro do outro é o 16º caractere, o qual indica diferentes serviços. O 16º caractere está no forma-
to de número hexadecimal. A seguir, a título de exemplo, alguns dos valores possíveis para o 16º
caractere e o respectivo significado:
l nome_de_domínio[1Bh]: Registrado por cada controlador de domínio do Windows NT Server

4.0 que esteja executando como PDC (Primary Domain Controller) do respectivo domínio.
Esse registro de nome é usado para permitir a procura remota de domínios. Quando um servi-
dor WINS é consultado para obtenção desse nome, retorna o endereço IP do computador que
registrou o nome.
l nome_de_computador[1Fh]: Registrado pelo serviço Network Dynamic Data Exchange

(NetDDE, intercâmbio dinâmico de dados de rede). Aparecerá somente se os serviços NetDDE
forem iniciados no computador.
Você pode exibir a lista de nomes (na verdade o mesmo nome, apenas diferenciando o 16º carac-
tere) registrados para um determinado computador, utilizando o seguinte comando:
nbtstat –a nome_do_computador
Por exemplo, o comando a seguir retorna a lista de nomes registrados no WINS pelo computador
chamado servidor:


nbtstat –a servidor
Este comando retorna o resultado indicado a seguir:
C:\>nbtstat -a servidor
Local Area Connection:
Node IpAddress: [10.10.20.50] Scope Id: [ ]
NetBIOS Remote Machine Name Table
Name Type Status

---------------------------------------------------
SERVIDOR <00> UNIQUE Registered
GROZA <00> GROUP Registered
GROZA <1C> GROUP Registered
GROZA <1B> UNIQUE Registered
GROZA <1E> GROUP Registered
GROZA <1D> UNIQUE Registered
..__MSBROWSE__. <01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVIDOR.... <00> UNIQUE Registered
ADMINISTRADOR <03> UNIQUE Registered
MAC Address = 00-00-21-CE-01-11
Para que as estações de trabalho da rede possam utilizar o servidor WINS, basta informar o núme-
ro IP do servidor WINS nas propriedades avançadas do protocolo TCP/IP, conforme você apren-
derá a fazer no tópico sobre ações práticas, logo a seguir. Uma vez configurado com o número IP
do servidor WINS, o cliente durante a inicialização, registra o seu nome NetBIOS, automatica-
mente com o servidor WINS.
O cliente WINS utiliza diferentes métodos para a resolução de nomes NetBIOS. Estes diferentes
métodos são identificados como: b-node, p-node, m-node e h-node. A seguir, descrevo a diferen-
ça entre estes métodos:
l b-node: Um cliente configurado com este método de resolução utiliza somente broadcast
para a resolução de nomes NetBIOS. Se não houver um servidor WINS na rede ou o servidor
WINS não estiver configurado nas propriedades avançadas do TCP/IP, este é o método pa-
drão utilizado.
l p-node: Utiliza somente o servidor WINS. Se o WINS falhar em resolver o nome, o cliente não
tentará outro método.
l m-node: Utiliza primeiro broadcast, se não conseguir resolver o nome usando broadcast, en-
tão utiliza o servidor WINS.


l h-node: Primeiro utiliza o servidor WINS, somente se o WINS falhar é que será tentado o broad-
cast. Este método reduz o tráfego de broadcast na rede. É o método padrão para clientes confi-
gurados para utilizar um servidor WINS.
IMPLEMENTAÇÃO E ADMINISTRAÇÃO DO WINS

Neste tópico, você aprenderá uma série de ações práticas relacionadas a instalação, configuração e
administração do WINS. Vou iniciar mostrando quais configurações devem ser verificadas antes
da instalação do WINS. Em seguida, mostrarei como instalar o WINS, que basicamente consiste
em instalar o serviço WINS. E ainda, você aprenderá a utilizar o console de administração do
WINS, a configurar parceiros de replicação e uma série de outras ações práticas.
INSTALANDO O WINS
Antes de instalar o WINS, você deve verificar duas configuações que podem causar erros na insta-
lação e utilização do servidor WINS:
l O servidor deve estar utilizando um endereço IP fixo ou deve haver uma reserva de endereço IP
no DHCP (você aprendeu sobre reservas de endereços no Capítulo 4, sobre DHCP. Basicamen-
te, o administrador deve criar uma reserva de endereço associada com o MAC Address da placa
de rede. O efeito prático é que o servidor, para qual foi feita a reserva, recebe sempre o mesmo
endereço IP, o que é necessário no caso do WINS, pois os clientes são configurados com o ende-
reço IP do servidor WINS. Com isso, o servidor WINS deve ter um endereço IP fixo, quer este te-
nha sido configurado diretamente nas propriedades do protocolo TCP/IP do servidor ou tenha
sido obtido via uma reserva do DHCP).
l Nas propriedades do TCP/IP, não deve haver nenhum servidor WINS adicional configurado,
senão você corre o risco de o servidor WINS registrar o seu próprio nome com outros servidores
WINS, ao invés de na sua própria base de dados.
Para configurar as propriedades do protocolo TCP/IP, siga os passos indicados a seguir:
1. Faça o logon com a conta de administrador ou com uma conta com permissão de adminis-
trador.
3. Dê um clique duplo na opção Conexões dial-up e de rede. Será exibida a janela Conexões
dial-up e de rede.
4. Clique com o botão direito do mouse na conexão de rede local a ser configurada. No menu
de opções que é exibido, clique em Propriedades.


5. Será exibida a janela de propriedades da conexão de rede local. Clique em Protocolo Inter-
net (TCP/IP) para selecionar esta opção, conforme indicado na Figura 5.1
Figura 5.1 A janela de propriedades da conexão de rede local.
6. Clique no botão Propriedades. Será exibida a janela de propriedades do protocolo TCP/IP.

Certifique-se de que o servidor está utilizando um IP fixo (opção Usar o seguinte endereço IP)
ou que uma reserva tenha sido criada no servidor DHCP. Na Figura 5.2, você tem um exem-
plo onde está sendo configurado um IP fixo para o servidor onde será instalado o WINS.
7. Clique no botão Avançado... Será exibida a janela de configurações avançadas do protoco-

lo TCP/IP. Dê um clique na guia WINS. Nesta guia, remova qualquer servidor WINS confi-
gurado (clique no servidor a ser removido e depois no botão Remover). Certifique-se de
que apenas o número do próprio servidor esteja configurado como servidor WINS, ou seja,
o número IP do próprio servidor, conforme exemplo da Figura 5.3.
8. Clique em OK para fechar a janela de propriedades avançadas do TCP/IP. Você estará de

volta á janela de propriedades do TCP/IP. Clique em OK para fechá-la e aplicar as alterações
efetuadas.
Pronto, agora o servidor atende as duas condições necessárias à instalação do servidor WINS: tem
um IP fixo e está configurado para utilizar a si mesmo como servidor WINS.


Figura 5.2 Configurando um número IP fixo para o servidor WINS.
Figura 5.3 Informando o número IP do servidor WINS.


Agora você já pode partir para a instalação do servidor WINS. Este é o assunto do próximo exem-
plo prático. Acompanhe.
Para instalar o serviço WINS, siga os passos indicados a seguir:
2. Abra o Painel de Controle: Iniciar –> Configurações –> Painel de Controle.
4. Será exibida a janela Adicionar ou remover progrmas. Nas opções do lado esquerdo da ja-
5. O WINS é classificado como um serviço de rede – Serviços de rede. Localize esta opção e dê
um clique para marcá-la, conforme indicado na Figura 5.4.
Figura 5.4 A opção Serviços de rede.
6. Clique no botão Detalhes para exibir a lista de serviços de redes disponíveis.
7. Será aberta a janela Serviços de rede. Na lista de serviços que é exibida, marque a opção
WINS, conforme indicado na Figura 5.5.


Figura 5.5 Selecionando o WINS para instalação.
10. O Windows 2000 Server inicia o processo de instalação e emite mensagens sobre o anda-
mento da instalação. Durante a etapa de cópia dos arquivos, você pode ser solicitado a inse-
rir o CD de instalação do Windows 2000 Server no drive. Se for necessário, insira o CD no
drive e clique em OK para continuar a instalação.
12. Você estará de volta à janela Adicionar ou remover Programas. Feche-a.
Pronto, o WINS foi instalado e está pronto para ser configurado. Não é preciso reinicializar o servi-
dor para que o WINS possa ser utilizado. O WINS é instalado como um serviço e configurado para
ser inicializado automaticamente. O serviço do WINS é configurado para executar no contexto da
conta “Local System”. Agora basta informar o número IP do servidor WINS, nas propriedades
avançadas do TCP/IP, nas estações de trabalho da rede. Uma vez configurado o número IP do ser-
vidor WINS, as estações de trabalho passarão a registrar seu nome NetBIOS, automaticamente,
com o servidor WINS, durante a inicialização da estação de trabalho. As estações de trabalho tam-
bém passarão a utilizar o servidor WINS para a resolução de nomes NetBIOS.
Agora é hora de avançarmos um pouco mais. Você aprenderá a configurar o servidor WINS, a con-
figurar a replicação entre servidores WINS e a gerenciar o banco de dados do servidor WINS.


O CONSOLE DE ADMINISTRAÇÃO DO WINS

Ao instalar o WINS, é também instalado o console de administração do WINS. Este console fica
disponível na opção Iniciar –> Programas –> Ferramentas Administrativas. Neste item, você abri-
rá o console de administração do WINS e aprenderá a executar algumas tarefas básicas no WINS.
Para abrir o console de administração do WINS, siga as etapas indicadas a seguir:
2. Abra o console WINS: Iniciar –> Programas –> Ferramentas Administrativas –> WINS. Será
aberto o console WINS, indicado na Figura 5.6.
Figura 5.6 O console de administração do WINS.
3. Por padrão são exibidas duas opções no painel da esquerda:
l Status do Servidor: Ao clicar nesta opção, são exibidas informações, no painel da direita,
se o servidor WINS está em funcionamento (serviço WINS inicializado corretamente) e
a data e hora da última atualização no banco de dados do WINS.
l Nome do servidor [Número IP]: Esta opção exibe o nome do servidor WINS (que é o
nome NetBIOS do servidor) e o respectivo número IP. Ao clicar nesta opção serão exibi-
das duas novas opções: Registros Ativos e Parceiros de duplicação (parceiros de replica-
ção seria uma tradução bem mais adequada). Ao clicar na opção Registros Ativos, será
exibida, no painel da direita, uma mensagem com orientações sobre como fazer pesqui-
sas na base de dados do WINS. A opção Parceiros de duplicação é utilizada para configu-
rar a replicação entre os diversos servidores WINS da rede, conforme você aprenderá a
utilizar em breve.


Estes são os passos para abrir o console de administração do WINS. Nos próximos exemplos práti-
cos não irei descrever estes passos novamente. Apenas usarei a expressão “Abra o console de ad-
ministração do WINS”.
GERENCIANDO A BASE DE DADOS DO WINS

Neste item mostrarei como exibir e pesquisar na base de dados do WINS. Você verá que é possível
definir critérios de filtragem, para exibir apenas os registros que atendam a uma determinada con-
dição, dentre outras opções disponíveis.
Para pesquisar na base de dados do servidor WINS, siga os passos indicados a seguir:
1. Abra o console de administração do WINS.
2. No painel da esquerda, clique no sinal de + ao lado do nome do servidor.
3. Nas opções que são exibidas, clique em Registros Ativos.
4. Clique no menu Ação e nas opções que são exibidas clique em Localizar por nome...
5. Será aberta a janela Localizar por nome, na qual você pode digitar a parte inical do nome a
ser pesquisado, conforme exemplo da Figura 5.7.
Figura 5.7 Pesquisando a base de dados WINS.
6. Para executar a pesquisa, basta digitar a parte inical do nome a ser pesquisado e clicar no
botão Localizar agora. O WINS pesquisa na base de dados e exibe somente os registros que
atendam o critério de pesquisa especificado, conforme exemplo da Figura 5.8.
Caso você queira exibir todos os registros da base de dados, basta não definir critérios de pesquisa.
Quando a janela Localizar por nome for exibida, digite * e clique no botão Localizar agora e todos
os registros da base de dados serão exibidos. Você pode exibir a janela Localizar por nome nova-
mente para alterar os critérios de pesquisa, simplesmente clicando com o botão direito do mouse na
opção Registros Ativos e, no menu de opções que é exibido, clicar em Localizar por nome...


Figura 5.8 Resultado da pesquisa.
7. Você pode exibir mais informações sobre um determinado registro, dando um clique du-
plo no registro. Ao fazer iss,o será exibida a janela de propriedades do registro, conforme
exemplo da Figura 5.9.
Figura 5.9 Janela de propriedades do registro.
8. Você também pode excluir um registro clicando com o botão direito do mouse no registro
e, no menu de opções que é exibido, clicar em Excluir.


A partir do console de administração do WINS você pode se conectar a qualquer servidor WINS da
rede, desde que você tenha as devidas permissões para administrar o servidor WINS a ser conecta-
do. Para conectar com outros servidores WINS, no console de administração do servidor WINS, cli-
que com o botão direito do mouse na opção WINS (bem no topo do painel do lado esquerdo). No
menu de opções que é exibido clique em Adicionar servidor... Será aberta a janela Adicionar servi-
dor, solicitando que você digite o nome NetBIOS ou o número IP do servidor a ser adicionado. Digi-
te o nome ou o número IP, conforme exemplo da Figura 5.10 e clique em OK.
Figura 5.10 Adicionando novos servidores ao console de administração do WINS.
O novo servidor será adicionado e poderá ser administrado juntamente com os demais servidores
já adicionados ao console anteriormente.
CONFIGURANDO OPÇÕES DO SERVIDOR WINS

O servidor WINS tem uma série de opções que podem ser configuradas. Neste item, falarei sobre
as principais opções de configuração do servidor WINS.
Para configurar o servidor WINS, siga os passos indicados a seguir:
2. Clique com o botão direito no nome do servidor a ser configurado. No menu de opções que
é exibido, clique em Propriedades. Será exibida a janela de propriedades do servidor WINS,
com a guia Geral já selecionada.
O servidor WINS mantém uma estatística com informações tais como: número de registros
de nomes com sucesso, número de tentativas de registro sem sucesso, número de resoluções
de nome com e sem sucesso e assim por diante. Na guia Geral, você pode habilitar a atualiza-
ção automática destas estatísticas e pode configurar um período de atualização. Nesta guia,
você também pode informar um caminho para que seja feito o backup da base de dados do
WINS. Você também pode marcar a opção Fazer o backup do banco de dados ao desligar o
servidor, para que o backup seja feito (no caminho informado) sempe que o serviço WINS for
parado. Estas opções e exemplos de configuração estão indicados na Figura 5.11.


Figura 5.11 A guia Geral da janela de Propriedades do servidor WINS.
3. Clique na guia Intervalos. Esta guia permite que você configure as seguintes opções:
l Intervalo de renovação: Nesta opção é especificada, em dias, a freqüência com que um
cliente renova o registro dos seus nomes. Você também pode clicar nas setas de rolagem
para selecionar uma nova configuração. Por padrão, os clientes WINS começam a ten-
tar atualizar seus registros de nome depois de ter decorrido a metade do intervalo para
renovação. Por exemplo, se for definido um período de 10 dias para a renovação, depois
de cinco dias os clientes tentam renovar seu registro com o servidor WINS.
l Intervalo de extinção: Neste campo você especifica, em dias, o intervalo entre a hora em
que uma entrada é marcada como liberada e a hora em que é marcada como extinta. O
padrão depende do intervalo de renovação, se o servidor WINS tem parceiros de replica-
ção, e do tempo que as alterações do WINS levam para serem replicadas para os demais
servidores. Se um registro não for renovado dentro do intervalo de renovação, será mar-
cado como liberado. Transcorrido o tempo configurado neste campo, o registro será
marcado como extinto.
l Tempo limite de extinção: Aqui você define, em dias, o intervalo entre a hora em que
uma entrada é marcada como extinta e a hora em que a entrada é efetivamente removi-
da do banco de dados. Você também pode clicar nas setas de rolagem para selecionar
uma nova configuração. O padrão depende do intervalo de renovação, de o servidor
WINS ter parceiros de replicação e do intervalo de tempo máximo de replicação. Portan-
to, primeiro o cliente tenta renovar uma entrada. Se a entrada não for renovada é mar-


cada como liberada. Após um período (Intervalo de extinção), a entrada é marcada

como extinta mas continua na base de dados. Após marcada como extinta, transcorrido
o tempo definido no campo Tempo limite de extinção, a entrada será excluída (final-
mente) do banco de dados do WINS.
l Intervalo de verificação: Neste campo, você deve especificar, em dias, o intervalo depois
do qual o servidor WINS deve verificar se os nomes duplicados de outros servidores ain-
da estão ativos na base WINS. Você também pode clicar nas setas de rolagem para seleci-
onar uma nova configuração. O padrão depende do intervalo para extinção. O tempo
mínimo permitido é 24 dias.
Na Figura 5.12 você pode conferir os valores padrão para a guia Intervalos.
Figura 5.12 Valores padrão de intervalos.
4. Clique na guia Verficação do banco de dados. Nesta guia, você pode marcar a opção Verifi-
car a consistência do banco de dados a cada: para especificar se a verificação periódica de
consistência do banco de dados deve ser ativada. Isto permite que a consistência do banco
de dados local deste servidor WINS seja verificada em relação ao banco de dados de um ser-
vidor WINS remoto. Ao marcar esta opção, as demais opções desta guia serão habilitadas.
Você poderá definir o intervalo de verificação, uma hora exata para início da verificação e
um número máximo de registros para serem verificados a cada verificação e se esta deve ser
feita nos servidores WINS donos dos registros (onde os registros foram inicialmente cria-
dos) ou em qualquer servidor que tenha uma cópia do registro. Na Figura 5.13, apresento
um exemplo de configuração desta guia.


Figura 5.13 Verificação do banco de dados do WINS.
5. Dê um clique na guia Avançado. Nesta guia, você pode configurar uma série de opções rela-
cionadas com o servidor WINS, conforme descrito a seguir:
l Registrar eventos detalhados no log de eventos do Windows: Especifica se o log de alte-
rações e eventos do banco de dados WINS deve ser ativado no log do sistema (System),
que pode ser exibido através do Event Viewer (Visualizar eventos). Esse log de eventos
do WINS pode ser usado para confirmar o início dos processos e para diagnosticar pro-
blemas do WINS. O log detalhado requer um grande espaço de log do sistema, preen-
chendo rapidamente o arquivo de log do sistema. Portanto, deveria ser usado criteriosa-
mente. Quando ativado, o tamanho do arquivo de log do sistema deve ser aumentado
ou o arquivamento dos logs deve ser ativado. Somente recomendo a ativação desta op-
ção quando o WINS estiver apresentando problemas e você ainda não conseguiu detec-
tar a possível causa. Nestes momentos, as informações detalhadas no log podem ser de
grande ajuda.
l Ativar tratamento intermitente: Especifica se o servidor WINS usará o tratamento inter-
mitente de clientes que ajuda a distribuir picos de carga no servidor WINS. Isso pode
acontecer se um grande número de registros de nome e solicitações de renovação forem
emitidos pelos clientes WINS simultaneamente como, por exemplo, após uma queda
de energia ou no começo de um dia de trabalho.
l Caminho do banco de dados: Fornece um espaço para digitar o caminho para o banco
de dados WINS e para os arquivos de log. Cuidado ao alterar esse caminho, pois a modi-


ficação do mesmo fará com que o WINS seja interrompido e reiniciado. Se você alterar o
banco de dados WINS, outras alterações poderão ser necessárias. Por exemplo, pode ser
necessário copiar arquivos do caminho antigo para o novo ou iniciar uma replicação
manual imediatamente com outro servidor WINS para reconstruir o conteúdo do ban-
co de dados (obtendo cópia dos registros que são replicados com outros servidores, os
chamados Parceiros de replicação). O caminha padrão é: %windir%\system32\wins,
onde windir representa a pasta onde o Windows 2000 Server está instalado.
l Usar nomes de computadores compatíveis com o LAN Manager: Especifica se os nomes
do WINS seguirão a convenção de nomenclatura do LAN Manager em que os nomes do
computador são limitados a 15 caracteres, ao contrário dos nomes de NetBIOS
(NetBIOS Extended User Interface, interface estendida de usuário NetBIOS) de 16 carac-
teres utilizados por outras fontes. Nos nomes do LAN Manager, o 16o byte indica um
tipo de nome como, por exemplo, estação de trabalho, mensagens ou outro tipo de
nome. O Windows 2000, o Windows Server 2003 e outros sistemas operacionais da Mi-
crosoft que usam o NetBIOS seguem a convenção LAN Manager. Essa caixa de seleção
deve ser marcada a menos que sua rede aceite nomes de NetBIOS de outras fontes.
6. As opções da guia Avançado são exibidas na Figura 5.14. Defina as configurações desejadas
e clique em OK para aplicá-las.
Figura 5.14 Opções avançadas de configuração do WINS.


REPLICAÇÃO NO WINS
Conforme descrito anteriormente, a base de dados do WINS é plana (flat), ou seja, não existe ne-
nhuma hierarquia entre os servidores WINS. Além disso, quando você configura um servidor
WINS em uma rede, este somente receberá registros das estações de trabalhos e servidores da rede
local onde está, uma vez que não é possível para um computador registrar o seu nome com um
servidor WINS que está em uma rede remota, ligada por um link de WAN.
Vamos considerar um exemplo prático para entender como é esta base plana do WINS e como po-
demos usar a replicação para que todos os servidores WINS tenham uma base completa, com os
registros de todos os demais servidores WINS de uma mesma rede.
Exemplo teórico: Vamos imaginar uma empresa que tenha escritórios em cinco localidades. A
matriz é em São Paulo e as filias no Rio de Janeiro, Porto Alegre, Belo Horizonte e Salvador. Em
cada localidade, é instalada uma rede local e um servidor WINS. As redes locais são interligadas
através de links de dados, formando a WAN da empresa. As estações de trabalho da rede de cada
localidade estão configuradas para usar o sevidor WINS da sua própria rede.
Nesta situação, o servidor WINS de cada localidade terá os registros das estações de trabalho e dos ser-
vidores da sua própria rede, porém não terá o registro das estações de trabalho e servidores das demais
redes. Com isso, quando um cliente da filial de Porto Alegre, tentar acessar um servidor da filial do RJ,
não poderá contar com o WINS para a resolução de nomes, uma vez que o servidor WINS do escritó-
rio de Porto Alegre não tem registros dos computadores das redes das outras localidades.
Com o uso da replicação é possível solucionar este problema. A idéia básica da replicação é que
um servidor WINS possa copiar para a sua base de dados, os registros contidos na base de dados de
outros servidores WINS da rede. Você poderia pensar em uma estrutura onde todos os servidores
WINS replicam com todos os demais servidores, em períodos definidos. Porém essa não é uma
boa abordagem, pois além de gerar um tráfego excessivo nos links de WAN, não garante que ao fi-
nal do processo de replicação, todos os servidores estejam com a base completa.
Antes de propor um esquema de replicação mais inteligente para o nosso exemplo teórico, preciso fa-
lar sobre os dois tipos de replicação existentes no WINS. Na verdade, usando a nomenclatura do
WINS, são Replication Partners (Parceiros de duplicação – o termo duplicação fica por conta da equi-
pe de tradução da Microsoft, não tenho nada a ver com isso). No WINS, a replicação é configurada
ponto a ponto, ou seja, de um servidor WINS com outro servidor WINS. Um mesmo servidor WINS
pode ter mais de um parceiro de replicação, mas as configurações são feitas um a um e podem, inclusi-
ve, ser diferentes. Existem dois tipos de parceiros de replicação que podem ser configurados:
l Pull partner (Parceiro de recepção): Um servidor WINS, configurado como Pull partner (lem-
bre que Pull é puxar e Push é empurrar) de outro servidor WINS, puxa as atualizações a partir
do outro servidor WINS, em intervalos definidos. Por exemplo, de 3 em 3 horas ou a cada 24
horas e assim por diante. Desta forma, a iniciativa é do servidor configurado como Pull part-


ner, este inicia o processo de replicação, entrando em contato com o outro servidor WINS e so-
licitando as atualizações existentes na base de dados. Você também pode configurar para que a
replicação seja iniciada sempre que o serviço WINS for iniciado.
l Push partner (Parceiro de envio – neste a tradução está bem melhor): É o servidor configurado
como parceiro de envio, que inicia o processo de enviar as alterações para o outros servidor
WINS para o parceiro de replicação. Este tipo de replicação pode ser configurado para iniciar
quando um número pré-configurado de alterações tiver ocorrido na base de dados do WINS.
Assim, quando o número de alterações pré-configurado for atingido, o servidor WINS inicia o
envio das alterações para o seu Push partner (Parcero de envio).
Não confundir os termos em inglês. Push é empurrar e Pull é puxar, embora possa parecer exata-
mente o contrário.
Agora podemos voltar ao nosso exemplo teórico. Lembrando que o objetivo é que todos os servi-
dores WINS, fiquem com a base de dados completa. Neste exemplo, poderia ser montado um es-
quema de replicação da seguinte maneira:
l A partir das 21:00, o servidor de Porto Alegre envia todas as suas alterações para o servidor da
matriz em São Paulo.
l A partir das 21:30, o servidor do Rio de Janeiro envia todas as suas alterações para o servidor da
matriz em São Paulo.
l A partir das 22:00, o servidor de Belo Horizonte envia todas as suas alterações para o servidor
da matriz em São Paulo.
l A partir das 22:30, o servidor de Salvador envia todas as suas alterações para o servidor da ma-
triz em São Paulo.
Com isso, por volta das 23:00 hs o servidor da matriz em São Paulo está com a base completa do
WINS, a sua base mais os registros recebidos, via replicação, dos servidores WINS das quatro fi-
liais. Agora começa o processo inverso, ou seja, agora que o servidor WINS de São Paulo está com a
base completa e atualizada e irá replicar esta base para os servidores WINS das filiais.
l A partir das 23:30, o servidor de São Paulo envia todas as suas alterações para o servidor da filial
de Porto Alegre.
l A partir das 00:00, o servidor de São Paulo envia todas as suas alterações para o servidor da filial
do Rio de Janeiro.
l A partir das 00:30, da madrugada, o servidor de São Paulo envia todas as suas alterações para o
servidor da filial de Belo Horizonte.
l A partir das 01:00, da madrugada, o servidor de São Paulo envia todas as suas alterações para o
servidor da filial de Salvador.


Pronto, por volta da 01:30 hs da madrugada, todos os servidores WINS estarão com a base de da-
dos completa e, no dia seguinte, os clientes de todas as filiais e da matriz poderão usar o WINS para
resolver nomes dos computadores de qualquer uma das redes da empresa.
A seguir, mostrarei os passos para efetuar a configuração da replicação no WINS. A configuração é

um processo em três etapas. Por exemplo, vamos supor que você queira configurar a replicação
entre os servidores srv01 e srv02. Neste caso, você tem que acessar o console WINS no servidor
srv01 e adicionar o servidor srv02 como parceiro de replicação. Depois, você deve acessar o conso-
le WINS do servidor srv02 e adicionar o servidor srv01 como um parceiro de replicação. A última
etapa é configurar os tipos de replicação entre estes dois parceiros de replicação.
Para configurar a replicação entre dois servidores WINS, siga os passos indicados a seguir:

2. Clique no sinal de mais ao lado do nome do servidor.
3. Nas opções que são exibidas, clique com o botão direito do mouse em Parceiros de duplicação.
4. No menu de opções que é exibido, clique em Novo parceiro de replicação...
5. Será exibida a janela Novo parceiro de replicação. Informe o nome NetBIOS ou o número
IP do servidor WINS que será adicionado como parceiro de replicação, conforme exemplo
da Figura 5.15.
Figura 5.15 Adicionando um parceiro de replicação.
6. Clique em OK e pronto, o parceiro de replicação foi adicionado e já é exibido no painel da

direita. Agora você tem que fazer a configuração no outro servidor. Por exemplo, se no ser-
vidor srv01 você adicionou o servidor srv02 como parceiro de replicação, agora você preci-
sa acessar o console de administração do servidor WINS no servidor srv02 e adicionar o ser-
vidor srv01 como parceiro de replicação.
7. Agora que o parceiro de replicação já foi adicionado, você pode configurar as replicações
Pull e Push. Para isso clique com o botão direito do mouse no nome do parceiro de replica-
ção, no painel do lado direito do console WINS. No menu que é exibido, clique em Proprie-
dades . Será exibida a janela de propriedades do servidor, com a guia Geral selecionada. Esta
guia é apenas informativa.


8. Dê um clique na guia Avançado. Nesta guia você pode definir as configurações de replica-
ção Pull e Push, conforme exemplo da Figura 5.16,onde são exibidas as configurações pa-
drão de replicação:
Figura 5.16 Configurações padrão de replicação Pull e Push.
A BASE DE DADOS DO WINS

A base de dados do WINS é armazenada em um arquivo .mdb. Embora seja um arquivo .mdb,
você não conseguirá abrir este arquivo no Access. Por padrão, a base de dados é gravada no seguin-
te arquivo:
systemroot\system32\wins\wins.mdb
conforme indicado na Figura 5.17.
Nesta pasta, existem também outros arquivos onde fica gravado o log de operações da base WINS
e outras informações necessárias ao funcionamento do WINS. À medida em que os registros vão
sendo criados, excluídos e criados novamente, pode acontecer de a base WINS ficar fragmentada,
ocupando mais espaço do que o realmente necessário. O Windows 2000 Server fornece um utili-
tário para compactação da base WINS: jetpack. Para compactar a base WINS, o serviço WINS deve


Figura 5.17 A base de dados do WINS.
ser parado. Você pode utilizar a seqüência de comandos a seguir para parar o serviço WINS, com-
pactar a base wins.mdb e reinicializar o serviço WINS:
2. Alterne para o diretório onde está a base WINS. Substitua systemroot pelo nome da pasta
onde o Windows 2000 Server está instalado:
cd\
cd systemroot\system32\wins
3. Execute a seqüência de comandos a seguir:

net stop wins
jetpack wins.mdb tempwins.mdb
net start wins
A Figura 5.18 ilustra esta seqüência de comandos.
Figura 5.18 Compactando a base de dados do WINS.


OUTRAS OPÇÕES DE ADMINISTRAÇÃO DO CONSOLE WINS

Neste item, falarei sobre mais algumas opções disponíveis no console de administração do WINS.
Veremos estas opções através de um exemplo prático.
2. Clique com o botão direito do mouse no nome do servidor WINS. Será exibido um menu
com diversas opções, conforme ilustrado na Figura 5.19.
Figura 5.19 Opções de comandos para o servidor WINS.
3. A opção Exibir estatísticas é utilizada para abrir uma janela com uma série de informações
sobre o servidor WINS, tais como: hora de inicialização do serviço WINS, hora em que as es-
tatísticas foram zeradas e assim por diante. Ao clicar nesta opção, será aberta a janela de es-
tatísticas para o servidor, conforme indicado na Figura 5.20. Nesta janela, você tem o botão
Redefinir, o qual é utilizado para zerar as estatísticas e reinicar a contagem. O botão Atuali-
zar é utilizado para atualizar as estatísticas que estão sendo exibidas.
4. Clique em Fechar para fechar a janela de estatísticas.
As opções Varre o banco de dados, Verificar consistência de banco de dados... e Verificar

consistência da identificação de versão são utilizadas para manutenção do banco de dados
e do servidor WINS. A opção Varre o banco de dados faz com que o WINS verifique toda a
sua base de dados e descarte entradas que não estão sendo utilizadas. É uma medida para
“limpar” o banco de dados, descartando registros que não estão sendo utilizados. A opção


Figura 5.20 Estatísticas da atividade do servidor WINS.
Verificar consistência de banco de dados faz com que o servidor WINS tente verificar cada
registro do banco de dados, se o nome e o respectivo endereço IP estão corretos. Com este
comando, o servidor WINS irá pesquisar através da rede para tentar confirmar se cada um
dos registros está correto. Esta operação causa uma grande ocupação do processador (en-
quanto a operação está sendo executada) e causa uma boa quantidade de tráfego na rede.
A opção Verificar consistência da identificação de versão força o servidor WINS a entrar
em contato com todos os demais servidores WINS da rede e verificar o número de versão
do banco de dados destes servidores, para garantir que o seu próprio banco de dados este-
ja em um estado consistente. Esta também é uma operação que pode gerar muito tráfego
de rede, por isso deve ser programada para um horário fora do expediente normal de tra-
balho da empresa
A opção Iniciar duplicação de envio... força uma replicação manual com os parceiros de re-
plicação configurados como Parceiros de envio (Push Partners). A opção Iniciar duplicação
de recepção... forma uma replicação manual com os parceiros de replicação configurados
como Parceiros de recepção (Pull partners).
A opção Fazer o backup do banco de dados abre uma janela para que você selecione uma
pasta onde será feito o backup do banco de dados WINS (wins.mdb e arquivos de log). Após
ter definido uma pasta e feito o backup pela primeira vez, o WINS passa a fazer o backup,
automaticamente, na pasta selecionada, a cada 24 horas.
A opção Restaura o banco de dados... permite que você informe onde está um backup do
banco de dados WINS, o qual será restaurado. Você utilizará esta opção no caso de um pro-
blema mais grave, onde a base de dados do WINS foi corrompida. Nesta situação, você
pode restaurar os registros a partir de um backup atualizado.
A opção Todas as tarefas abre um submenu com as opções: Iniciar (para inicializar o serviço
WINS, caso este tenha sido parado), Parar (para inicializar o serviço, somente está disponí-


vel quando o serviço tiver sido parado ou tiver sido colocado em Pausa), Pausa (para o serviço
WINS, porém não zera as estatísticas, o que acontece quando o serviço WINS é parado e ini-
cializado novamente), Continuar (reinicializa o serviço quando este tiver sido colocado em
Pausa. Esta opção somente estará habilitada quando o serviço estiver em Pausa) e Reiniciar
(reinicializa o serviço, esta opção não estará habilitada quando o serviço tiver sido parado).
Exibir: Esta opção define como serão exibidos os itens do painel da direita. Estão disponí-
veis opções semelhantes às opções disponíveis para a exibição de arquivos no Windows
Explorer, tais como: Ícones grandes, Ícones pequenos, Lista, Detalhe e assim por diante.
Excluir: Retira o servidor WINS do console de administração. Você pode adicionar o servi-
dor WINS ao console novamente, sempre que necessário.
Atualizar: Atualiza as informações que estão sendo exibidas no painel da direita.
Exportar lista...: Permite a exportação de informações do servidor WINS para um arquivo

de texto no formato de tamanho fixo ou texto delimitado.
Propriedades: Utilizada para configurar as propriedades do servidor WINS, conforme des-

crito em exemplo prático, anteriormente.
Ajuda: Abre o sistema de ajuda do WINS.
Feche o console de administração do WINS.
Bem, sobre WINS era isso. Na ajuda do WINS, acessível através do menu Ajuda do console WINS,
você encontra mais detalhes técnicos sobre o WINS e resolução de nomes NetBIOS.
CONCLUSÃO E DICAS NÃO ESQUEÇA

Neste capítulo, falei sobre o WINS. O servidor WINS é utilizado para o registro automático de no-
mes NetBIOS e para a resolução de nomes NetBIOS. Você precisa do WINS se ainda tiver clientes
Windows com versões antigas, tais como Windows 95, 98 ou Me e se tiver aplicações que ainda
dependem da resolução de nomes WINS.
A seguir, apresento uma série de dicas sobre pontos que você não pode esquecer para o exame
70-216:
1. Após ter instalado o servidor WINS, você deve configurar as propriedades do protocolo
TCP/IP do cliente, informando o número IP do servidor WINS. Esta configuração pode ser
feita manualmente (se você está utilizando endereço IP fixo) ou através das opções do ser-
vidor DHCP.
2. O cliente WINS, ao inicializar, registra o seu nome e endereço IP, automaticamente, com o
servidor WINS.


3. A base WINS é uma base plana (flat), não existe nenhuma hierarquia de nomes no WINS.
4. Para que servidores WINS localizados em diferentes redes possam trocar informações, você
precisa configurar o mecanismo de replicação entre os servidores WINS.
5. Existem dois tipos de parceiros de replicação: Parceiro de envio (Push Partner) e Parceiro de
recepção (Pull partner), conforme descrito a seguir:
l Pull partner (Parceiro de recepção): Um servidor WINS configurado como Pull partner
(lembre que Pull é puxar e Push é empurrar) de outro servidor WINS, puxa as atualiza-
ções a partir do outro servidor WINS, em intervalos definidos. Por exemplo, de 3 em 3
horas ou a cada 24 horas e assim por diante. Assim, a iniciativa é do servidor configura-
do como Pull partner, que inicia o processo de replicação, entrando em contato com o
outro servidor WINS e solicitando as atualizações existentes na base de dados. Você
também pode configurar para que a replicação seja iniciada sempre que o serviço WINS
for iniciado.
l Push partner (Parceiro de envio – neste a tradução está bem melhor): É o servidor configu-
rado como parceiro de envio, que inicia o processo de enviar as alterações para o outros ser-
vidor WINS para o parceiro de replicação. Este tipo de replicação pode ser configurado para
iniciar quando um número pré-configurado de alterações tiver ocorrido na base de dados
do WINS. Desta forma, quando o número de alterações pré-configurado for atingido, o ser-
vidor WINS inicia o envio das alterações para o seu Push partner (Parceiro de envio).
6. Entenda, em detalhes, como funciona a integração do WINS com o DNS, descrita no Capí-
tulo 3, sobre DNS.
7. Existem quatro tipos de configurações possíveis para o cliente WINS, conforme des-
crito a seguir:
l b-node: Um cliente configurado com este método de resolução utiliza somente broad-
cast para a resolução de nomes NetBIOS. Se não houver um servidor WINS na rede ou o
servidor WINS não estiver configurado nas propriedades avançadas do TCP/IP, este é o
método padrão utilizado.
l p-node: Utiliza somente o servidor WINS. Se o WINS falhar em resolver o nome, o clien-
te não tentará outro método.
l m-node: Utiliza primeiro broadcast, se não conseguir resolver o nome usando desta
forma, então utiliza o servidor WINS.
l h-node: Primeiro utiliza o servidor WINS, somente se o WINS falhar é que será tentado o
broadcast. Este método reduz o tráfego de broadcast na rede. É o método padrão para
clientes configurados para utilizar um servidor WINS.
8. O arquivo lmhosts pode ser utilizado para a resolução de nomes NetBIOS. Por padrão, é for-
necido um arquivo de modelo lmhosts.sam na pasta systemroot\system32\drivers\etc. O
administrador pode renomear este arquivo para lmhosts e utilizá-lo para resolução de no-


mes NetBIOS. Este arquivo somente deve ser utilizado em carater emergencial. O arquivo
lmhosts representa para o WINS, o que o arquivo hosts representa para o DNS.
9. Em rede, que existem clientes que não são capazes de se registrar no WINS, você deve confi-
gurar um computador da rede para fazer o papel de um WINS Proxy. O computador que faz
este papel, recebe os pedidos de registro dos clientes não compatíveis com o WINS, passa
estes pedidos para o WINS, o nome é registrado, a resposta é passada para o computador
configurado como WINS Proxy, o qual passa a confirmação de registro para o cliente. Para
configurar um servidor com o Windows 2000 instalado para atuar como WINS Proxy, você
deve configurar o valor EnableProxy, contido na registry do Windows 2000, com o valor 1.
Este parâmetro está contido no seguinte caminho:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBt\Parameters
Basta dar um clique duplo no parâmetro EnableProxy e definir o seu valor em 1.
10. Para criar uma entrada estática no WINS, basta seguir os seguintes passos:
l Abra o console WINS.
l Clique no sinal de + ao lado do servidor WINS. Serão exibidas as opções deste servidor.
l Clique com o botão direito do mouse na opção Registros ativos.
l No menu de opções que é exibido, clique em Novo mapeamento estático. Será exibida a
janela Novo mapeamento estático, indicada na Figura 5.21.
l Digite as informações para o mapeamento (Nome do computador e endereço IP) e cli-
que em OK.
Figura 5.21 Criando um mapeamento estático.


A seguir um exemplo de questão envolvendo conceitos relacionados ao WINS. No simulado do

Capítulo 11, você encontra mais questões relacionadas ao WINS.
Questão 01: Você é o administrador de uma rede com uma diversidade de sistemas operacionais
em funcionamento. Nos servidores você possui o Windows 2000 Server e servidores com Linux.
Nos servidores Linux, está instalado o servidor SMB (Samba) para permitir que os clientes Win-
dows acessem pastas compartilhadas nos servidores Linux. Nos clientes você tem estações de
trabalho com Windows 98, Me e Windows 2000 Professional. Os clientes de estações de traba-
lho Windows 98/Me não conseguem localizar os servidores Linux pelo nome para poder acessar
as pastas compartilhadas nestes servidores. O que você deve fazer para solucionar este proble-
ma, considerando que todos os equipamentos da rede utilizam o TCP/IP como único protocolo
de comunicação?
a) No servidor DNS, crie um mapeamento estático para os servidores Linux.
b) No servidor DNS, crie um mapeamento estático para todos os clientes Windows 98/Me.
c) No servidor WINS, crie um mapeamento estático para os servidores Linux.
d) No servidor WINS, crie um mapeamento estático para todos os clientes Windows 98/Me.
e) Habilite a atualização dinâmica no servidor DNS.
Resposta certa: c
Comentários: Os clientes Windows 98/Me dependem do WINS para localizar os servidores pelo
nome. Os servidores Linux não conseguem se registrar, automaticamente, com o servidor WINS.
Para solucionar este problema, você deve criar, no servidor WINS, mapeamentos estáticos para os
servidores Linux.



Capítulo 6
CONFIGURANDO O ACESSO
REMOTO COM O RRAS

INTRODUÇÃO
Neste capítulo, você aprenderá a configurar um servidor com o Windows 2000 Server para exercer
o papel de Servidor de Acesso Remoto (Remote Access Server – RAS). No Windows 2000 Server, o
serviço de acesso remoto é conhecido como RRAS – Routing and Remote Access Service (Serviço
de Roteamento e Acesso Remoto).
A função de um servidor de acesso remoto é permitir que os clientes façam uma conexão com a
rede da empresa, usando uma linha telefônica comum ou outro meio de conexão remoto, tal
como um link ISDN ou ADSL. Quando você faz uma conexão discada com o seu provedor de
Internet, você está fazendo a conexão com o servidor de acesso remoto do provedor de Internet.
Pode este servidor de acesso remoto ser baseado em alguma versão do Windows (NT Server 4.0,
Windows 2000 Server ou Windows Server 2003), pode ser baseado em outros sistemas operacio-
nais (UNIX/Linux, Novell, etc.) ou pode até mesmo ser um equipamento de hardware dedicado a
esta função. O importante é entender a função de um servidor de acesso remoto.
No Windows 2000 Server, o servidor configurado como servidor de acesso remoto é um servidor
com o Windows 2000 Server e o RRAS instalado e no qual está instalado um grupo de modems
para receber as ligações dos usuários. Além de receber a ligação, o servidor de acesso remoto deve
ser capaz de verificar as informações de autenticação fornecidas pelo usuário, verificar se o usuá-
rio tem permissão para fazer a conexão remotamente, aplicar as políticas de segurança definidas
no servidor RRAS, fornecer um endereço IP para o cliente e definir a quais recursos de rede o clien-
te que está se conectando terá acesso.
Usando uma metáfora, posso afirmar que o servidor de acesso remoto faz o papel de porteiro. Este
identifica quem está tentando acessar e se conectar à rede, verifica se esta pessoa tem ou não per-
missão de acesso, quais restrições devem ser aplicadas e a quais áreas esta pessoa poderá ter acesso.
Além destas funções todas, o RRAS também fornece ferramentas para que o administrador acom-
panhe o volume de informações que está sendo transmitido pelos clientes conectados remota-
mente, permite que o administrador gerencie as conexões, podendo inclusive cancelar uma co-
nexão e assim por diante.
Neste capítulo, você aprenderá a configurar as diversas opções do serviço de acesso remoto do
Windows 2000 Server – RRAS. Este serviço é instalado automaticamente quando o Windows
2000 Server é instalado, porém não é habilitado automaticamente. Você verá que o primeiro
passo é habilitar o serviço. Habilitar o serviço significa configurá-lo para que passe a aceitar cha-
madas remotas.
Também falarei sobre o uso do servidor RADIUS e da implementação deste padrão no Windows
2000 Server, implementação esta conhecida como Internet Authentication Service (IAS). Mostra-
rei que, com o uso do IAS, é possível fazer uma administração centralizada das políticas de acesso
remoto, bem como fazer a autenticação dos usuários remotos de maneira centralizada.


Capítulo 6 – CONFIGURANDO O ACESSO REMOTO COM O RRAS
Na parte final do capítulo, você aprenderá a criar e a configurar políticas de acesso remoto no ser-
vidor RRAS. Você aprenderá sobre a importância e a aplicação das políticas de acesso remoto.
Mostrarei as diferenças entre uma política baseada em uma estratégia Por usuário (Per User) e uma
política baseada em uma estratégia Por grupos (Per Group), sendo esta última a estratégia reco-
mendada, pois facilita a implementação, manutenção e gerenciamento das políticas de acesso re-
moto no servidor RRAS.
SERVIÇO DE ACESSO REMOTO – FUNDAMENTAÇÃO TEÓRICA

A necessidade de acesso remoto aos recursos disponíveis na rede da empresa é uma realidade, nin-
guém questiona. Existem dezenas de exemplos de empresas que melhoraram o funcionamento
de diversas atividades com a implementação do acesso remoto à rede da empresa. Vou descrever
apenas um deles, mas que salienta exatamente os benefícios do acesso remoto.
Uma grande distribuidora de bebidas de São Paulo enfrentava problemas em relação aos pedidos.
A sistemática em uso era a seguinte: Cada vendedor era responsável por uma determinada região e
visitava os estabelecimentos da região sob sua responsabilidade. Os pedidos eram preenchidos a
mão. Ao final do dia, o vendedor entregava o bloco de pedidos na sede da empresa. Um funcioná-
rio era responsável pela digitação dos pedidos. Após a digitação, as informações eram repassadas
para equipe do depósito, a qual carregava os caminhões de acordo com os pedidos do dia. Na ma-
nhã seguinte, os pedidos eram entregues. Neste processo, ocorriam problemas em diversas etapas.
Alguns vendedores tem uma letra parecida com letra de médico, ou seja, ninguém consegue en-
tender, nem mesmo quem escreveu. Isso acarretava muitos erros de digitação, o que fazia com
que os caminhões fossem carregados com quantidades incorretas. O resultado prático é que al-
guns clientes não recebiam o pedido no dia seguinte e um novo envio tinha que ser feito e alguns
produtos retornavam para o depósito. Além disso, os pedidos somente eram enviados no dia se-
guinte, o que poderia ser um problema para clientes que estivessem sem mercadoria, devido a de-
mandas imprevistas. Se houvesse uma nova promoção, a empresa teria que ligar para cada um dos
vendedores avisando e por aí vai.
Como esta empresa solucionou estes problemas usando o acesso remoto? A empresa configurou
um dos servidores da empresa como um servidor de acesso remoto e instalou neste servidor uma
quantidade de modems suficiente para atender o número de vendedores da empresa. Cada ven-
dedor visita o cliente munido de um dispositivo como um notebook ou PDA. Chegando no clien-
te, o vendedor faz o pedido (agora digitando no teclado e não escrevendo seus “belos garran-
chos”). Após finalizar o pedido, o vendedor utiliza a linha do cliente e um número 0800 (para que
o cliente não tenha que pagar a ligação) para conectar com a rede da empresa e transmitir o pedi-
do. Caso o cliente seja um dos grandes clientes da empresa, o vendedor pode consultar o histórico
de vendas para este cliente e fazer ofertas personalizadas. Esta possibilidade tem ajudado a au-
mentar as vendas. O vendedor também pode consultar informações na Intranet da empresa e res-
ponder rapidamente as dúvidas do cliente. Os dados do pedido são transmitidos diretamente


para o banco de dados da empresa, o que evita que os mesmos tenham que ser manualmente digi-
tados. Como os pedidos são transmitidos ainda durante a visita do cliente, o caminhão já pode ser
carregado. Com isso, os pedidos feitos na parte da manhã, são entregues à tarde. No caso de gran-
des clientes, o pedido pode ser entregue ainda pela manhã, principalmente se o cliente estiver
com um baixo estoque.
Todas estas novas funcionalidades, propiciadas pelo acesso remoto, têm favorecido um aumento
nas vendas, os problemas de erro de digitação foram minimizados, e conseqüentemente os erros
na carga dos caminhões também. Observe que tudo é uma corrente, com uma coisa sendo conse-
qüência da outra. Com a redução nos erros de digitação, que implicaram em redução nos erros de
carga, também reduz-se as ocorrências de clientes que não recebem os produtos na data prevista e
de produtos retornando para o depósito. Além disso, o vendedor tem condições de, a qualquer
momento, acessar a rede da empresa para obter informações completas sobre o cliente, consultar
listas de preço, novas promoções e quaisquer informações disponíveis na rede da empresa. O pró-
ximo passo será implementar um sistema de pagamentos e financiamento diretamente na Intra-
net da empresa. Com isso, o vendedor acessará a rede da empresa remotamente, estando no clien-
te, e terá condições de consultar os pagamentos do cliente, se existe alguma pendência, alterar
prazos e fazer uma análise de crédito, com base no histórico do cliente. Estando conectado, o ven-
dedor poderá enviar a solicitação de crédito via e-mail para o gerente. Em poucos instantes, o ge-
rente poderá aprovar esta solicitação e retornar a autorização para o vendedor, o qual fecha a ven-
da com o cliente, com base nas condições aprovadas pelo gerente. Tudo em tempo real, sem
utilizar dezenas de formulários e semanas de prazo.
Claro que, para implementar esta infra-estrutura de acesso remoto, existem custos. Por exemplo,
o hardware necessário (banco de modems a ser conectado ao servidor de acesso remoto para rece-
ber as ligações), os equipamentos de acesso remoto utilizados pelos vendedores, tais como note-
book, PDA ou Palm e o custo do desenvolvimento das soluções de software. Mas não tenha dúvi-
das, que um projeto de acesso remoto bem planejado e corretamente implementado tem uma
relação custo x benefício extremamente favorável. Pelo menos é o que tem mostrado a experiên-
cia prática de dezenas de empresas que implementaram projetos bem sucedidos de acesso remoto
aos recursos de suas redes.
A seguir, falarei sobre os aspectos teóricos do serviço de acesso remoto no Windows 2000 Server e,
na seqüência, você aprenderá a configurar o RRAS.
VISÃO GERAL SOBRE O ACESSO REMOTO DO WINDOWS 2000 SERVER – RRAS

A idéia básica do serviço de acesso remoto no Windows 2000 Server é permitir que os usuários
possam se conectar à rede da empresa através de uma conexão remota, quer seja uma conexão dis-
cada, um link ISDN, ADSL ou qualquer outra tecnologia para acesso remoto. Para o RRAS, a cone-
xão remota é como se fosse uma conexão de rede local (evidentemente que a uma velocidade de


conexão bem inferior à velocidade do barramento da rede local). Desta forma, para o usuário e
para os programas, a conexão remota aparece como se fosse uma conexão de rede local. Ao fazer a
conexão remota o usuário será autenticado e fará o logon no domínio normalmente, como se es-
tivesse fazendo o logon em um computador da rede local. Em resumo, a tecnologia de acesso re-
moto, permite que o usuário se conecte a rede “remotamente”, usando qualquer uma das tecno-
logias de conexão suportadas pelo RRAS.
Os usuários executam o software de acesso remoto e iniciam uma conexão com o servidor de acesso
remoto. O software de acesso remoto pode ser algo tão simples como configurar uma conexão dis-
cada, via dial-up. O servidor de acesso remoto, que é um computador que executa o Windows 2000
Server e o serviço de roteamento e acesso remoto (RRAS), autentica sessões de usuários e serviços
(por exemplo, um usuário lendo o seu e-mail ou acessando uma pasta compartilhada em um servi-
dor), até que a sessão seja terminada pelo usuário ou administrador da rede. Todos os serviços, nor-
malmente disponíveis a um usuário conectado à rede local, incluindo compartilhamento de arqui-
vos e impressão, acesso a Intranet e e-mail, estarão disponíveis pela conexão de acesso remoto.
A Figura 6.1, da Ajuda do Windows 2000 Server, resume bem como funciona o serviço RRAS no
Windows 2000 Server, com uma conexão do tipo dial-up.
Compartilhamento Acesso Banco Correio eletrônico

Impressão
de arquivos ao Host de dados e agenda
Telefone,
X.25, ISDN Servidor de acesso remoto
Cliente de acesso remoto

(MSÐDOS, Windows,
Windows 95, Windows 98,
Windows NT e Windows 2000)
Figura 6.1 O servidor RRAS em uma conexão dial-up.
Os clientes de acesso remoto usam ferramentas padrão para acessar os recursos. Por exemplo, em
um computador que esteja executando o Windows 2000 Server, os clientes podem usar o Win-
dows Explorer para acessar pastas e impressoras compartilhadas. Isso tudo porque a conexão via
acesso remoto é como se fosse uma conexão de rede local. Com isso, todos os programas que
funcionam na rede local, irão funcionar normalmente via acesso remoto, com a única diferença


sendo a velocidade do link em relação à velocidade da rede local. As conexões são persistentes: os
usuários não precisam reconectar-se a recursos da rede durante as sessões remotas. Como as letras
das unidades e os nomes no padrão Universal Naming Convention (UNC, convenção universal
de nomenclatura) têm suporte total do acesso remoto, a maioria dos aplicativos comerciais e per-
sonalizados funcionam sem modificação. Isso também é conseqüência da conexão remota ser
“vista” pelo Windows como uma conexão de rede local.
Um servidor de acesso remoto, que esteja executando o Windows 2000 Server, possibilita dois ti-
pos diferentes de conectividade de acesso remoto:
l Rede dial-up: Conexão discada tradicional, como a que a maioria de nós ainda utiliza para
fazer acesso à Internet. Rede dial-up é quando um cliente de acesso remoto efetua uma co-
nexão dial-up, não permanente com uma porta física de um servidor de acesso remoto,
usando o serviço de um provedor de telecomunicações, como um telefone analógico (linha
telefônica comum), ISDN (Integrated Services Digital Network, rede digital de serviços in-
tegrados) ou X.25. O melhor exemplo de rede dial-up é o de um cliente que disca o número
de telefone de uma das portas de um servidor de acesso remoto. Por exemplo, o vendedor
que está no cliente e usa o seu notebook, equipado com uma placa de Fax/Modem, para fa-
zer uma conexão com o servidor RRAS da empresa, usando uma linha telefônica comum (e
provavelmente um número 0800, para que o cliente não tenha que pagar o custo da liga-
ção). O papel da rede dial-up, fazendo uma conexão através de um telefone analógico ou
ISDN, é efetuar uma conexão física direta entre o cliente e o servidor da rede dial-up, ou
seja, estabelecer um caminho físico para que os dados possam ser transmitidos do cliente
para o servidor e vice-versa. Os dados enviados através de uma conexão deste tipo poderão
ser criptografados.
l Virtual Private Network (Rede virtual privada) – VPN: Rede virtual privada é a criação de co-
nexões seguras, ponto a ponto em uma rede privada ou pública, como a Internet. Em outras
palavras, é criar uma conexão segura, usando um meio não-seguro, como a Internet. Um cli-
ente de rede virtual privada usa protocolos especiais com base em TCP/IP denominados pro-
tocolos de encapsulamento para efetuar uma chamada virtual para uma porta virtual em um
servidor de rede virtual privada. O melhor exemplo é o de um cliente que efetua uma cone-
xão de rede virtual privada com um servidor de acesso remoto que está conectado à Internet.
O servidor de acesso remoto responde a chamada virtual, autentica o cliente, além de trans-
ferir dados entre o cliente da rede dial-up e a rede da empresa de forma segura, usando técni-
cas de criptografia.
Em comparação com a rede dial-up, a rede virtual privada é sempre uma conexão lógica e indireta
entre o cliente e o servidor de rede virtual privada. Para garantir a privacidade, é preciso criptogra-
far os dados enviados na conexão. Um exemplo típico de uso de VPN seria o de uma empresa que
usa a Internet para conectar pequenos escritórios à rede da empresa. Estes pequenos escritórios
não têm necessidade de estar conectados 24 horas à rede da empresa. Com isso, a solução adotada
é contratar um acesso discado à Internet. Quando o escritório precisa acessar a rede da empresa,


quer seja para enviar, quer seja para receber dados, primeiro o escritório estabelece uma conexão
com a Internet. Esta é uma conexão comum, baseada em uma linha telefônica ou outra tecnolo-
gia qualquer de acesso à Internet. Bem, com a conexão à Internet, o pequeno escritório já tem um
caminho, um meio físico para enviar e receber dados para um ou mais servidores da rede da em-
presa, servidores estes que podem ser acessados via Internet. Mas acontece que a Internet não é,
por padrão, um meio seguro para transporte de dados, a não ser que sejam utilizadas tecnologias
de criptografia de dados. O próximo passo é estabelecer uma conexão virtual para estabelecer
uma VPN com a rede da empresa. Observe que, neste caso, foi criada uma rede privada (do escritó-
rio com a matriz da empresa) e virtual (que só existira enquanto o escritório estiver conectado à
rede da empresa). Esta segunda conexão, que cria a VPN, é que garante a segurança dos dados, uti-
lizando técnicas de criptografia e tecnologias tais como os protocolos PPTP ou L2TP com IPSec, os
quais serão analisados mais adiante. A segunda conexão, a qual cria a VPN, é feita entre o cliente
que está no escritório e o servidor RRAS da rede da empresa, o qual deve estar configurado para
aceitar conexões do tipo VPN.
A Figura 6.2, da Ajuda do Windows 2000 Server, resume bem como funciona uma conexão do
tipo VPN. A conexão VPN é como se fosse um “túnel seguro”, criado dentro de um meio não-
seguro, que é a Internet. Neste caso, a Internet é o meio físico, que garante que existe um caminho
entre a origem e o destino. E a VPN é o conjunto de tecnologias que garante a segurança na trans-
missão e recepção dos dados.
Compartilhamento Acesso Banco Correio eletrônico

Impressão
de arquivos ao host de dados e agenda
Servidor de acesso remoto

Internet
Encapsulamento
Cliente VPN
(WIndows 2000,
Windows NT,
Windows 98 e
Windows 95)
Figura 6.2 O servidor RRAS em uma conexão VPN.


O SERVIDOR RRAS COMO SERVIDOR DE CONEXÕES DIAL-UP

Conforme descrito no item anterior, o servidor RRAS pode atuar com um servidor de acesso remo-
to para conexões do tipo dial-up e do tipo VPN. Neste item, falarei sobre os componentes de uma
rede onde o Windows 2000 Server atua como um servidor de acesso remoto para conexões do tipo
dial-up. Também apresentarei detalhes sobre clientes dial-up e servidores dial-up. Você verá quais
as capacidades dos clientes dial-up, disponíveis com as diferentes versões do Windows.
Uma rede com um servidor RRAS do Windows 2000 Server atuando como servidor para conexões
remotas do tipo Dial-up, é formado pelos seguintes componentes (representados na Figura 6.1),
que veremos a seguir: servidores e clientes da rede dial-up, protocolos LAN e de acesso remoto e
opções de WAN.
SERVIDORES DA REDE DIAL-UP
Você pode configurar um servidor de acesso remoto, que esteja executando o Windows 2000 Ser-
ver, para atuar como um servidor de acesso remoto, aceitando conexões dial-up. O serviço que
disponibiliza esta funcionalidade é o RRAS, o qual é automaticamente instalado quando o Win-
dows 2000 Server é instalado. Porém este serviço, por padrão, está desabilitado. O administrador
terá que habilitar este serviço para que passe a aceitar conexões externas. Na parte prática, mostra-
rei como habilitar o servidor RRAS, para que aceite chamadas remotas.
O servidor que irá atuar também necessita de hardware para dar suporte às conexões remotas. São
necessários um ou mais modems instalados (dependendo do número de usuários que deverão ser
atendidos, simultaneamente) e uma ou mais linhas telefônicas. Caso o servidor de acesso remoto
forneça acesso aos recursos da rede (situação mais comum), também é necessário a instalação de
uma placa de rede com as configurações que permitam ao servidor acesso à rede da empresa.
Mais adiante apresentarei detalhes sobre os protocolos PPTP e L2TP que são protocolos utilizados
para conexões do tipo VPN.
No Windows 2000 Server o número máximo de conexões simultâneas está limitado a 256.
CLIENTES DA REDE DIAL-UP
Os clientes de acesso remoto que estiverem executando o Windows NT e Windows 2000, Win-
dows 98, Windows 95, Windows for Workgroups, MS-DOS, rede dial-up ou acesso remoto do
LAN Manager e Apple Macintosh poderão conectar-se com um servidor de acesso remoto que
execute o RRAS, baseado no Windows 2000 Server. O cliente deve ter instalado um modem, uma
linha telefônica analógica ou outra conexão de WAN e um software de acesso remoto.


Você pode conectar-se automaticamente aos servidores de acesso remoto usando o recurso Dis-
cagem automática do Windows. A Discagem automática registra todas as conexões feitas por
meio do link de acesso remoto e as reconecta automaticamente ao acessar um recurso pela se-
gunda vez. Por exemplo, você fez uma conexão remota e acessou uma pasta compartilhada em
um servidor da rede. Em seguida, você cancelou a conexão. Na próxima vez que você tentar
acessar este mesmo compartilhamento (por exemplo, através de um drive mapeado ou de um
atalho para o compartilhamento), o Windows detecta a necessidade de fazer a conexão com o
servidor remoto e inicia a discagem automaticamente. A conexão é estabelecida e o acesso ao
compartilhamento é liberado.
O protocolo padrão para conexão via rede dial-up é o protocolo PPP – Point-to-point Protocol. Na
Tabela da Figura 6.3, são listadas as funcionalidades suportadas pelos clientes dial-up das diversas
versões do Windows, usando o protocolo PPP para conexão com o servidor RRAS.
Figura 6.3 Funcionalidades suportadas pelos diferentes clientes.
O servidor de acesso remoto também aceita conexões de clientes PPP não Microsoft. Os clientes
PPP, não Microsoft, que utilizam TCP/IP ou AppleTalk, podem acessar um servidor de acesso remoto
baseado no RRAS do Windows 2000 Server. O servidor de acesso remoto negocia automaticamen-
te a autenticação com os clientes PPP. Não é necessária nenhuma configuração especial do servidor
de acesso remoto que executa o RRAS do Windows 2000 Server para clientes PPP não Microsoft,
exceto garantir que tanto o servidor de acesso remoto quanto o cliente PPP não Microsoft sejam con-
figurados para a mesma rede local e para os mesmos protocolos de autenticação.


PROTOCOLOS LAN E DE ACESSO REMOTO
Os programas de aplicativo usam protocolos LAN para transportar informações. Os protocolos de

acesso remoto são utilizados para negociar conexões e fornecer o serviço de transporte de pacotes
para os dados de protocolos de LAN, enviados através de conexões de WAN. Por exemplo, na rede
local, é utilizado o protocolo TCP/IP. Porém, as diversas redes locais de uma empresa são conecta-
das remotamente usando protocolos de WAN, tais como X.25, Frame Relay e assim por diante. Os
pacotes de informação circulam na rede local no formato definido pelo protocolo TCP/IP. Para se-
rem transmitidos através dos links de WAN, têm que ser encapsulados em pacotes no formato uti-
lizado pelo protocolo de WAN. Chegando no destino, tem que ser feito o “desempacotamento”
(se é que existe este termo) para voltar ao formato do TCP/IP da rede local de destino. O acesso re-
moto suporta protocolos LAN, TCP/IP e AppleTalk que possibilitam o acesso a recursos da Inter-
net, UNIX, Apple Macintosh e Novell NetWare. O acesso remoto dá suporte a protocolos de aces-
so remoto, como, por exemplo, PPP.
OPÇÕES DE WAN
Os clientes podem discar usando linhas telefônicas padrão e um modem ou pool de modems. É
possível fazer conexões mais rápidas, utilizando conexões de alta velocidade, no padrão ISDN ou
ADSL. Você também pode conectar clientes de acesso remoto a servidores de acesso remoto usan-
do X.25 ou ATM (Asynchronous Transfer Mode, modo de transferência assíncrona). Conexões di-
retas também são suportadas com um cabo de modem nulo RS-232C, uma conexão de porta para-
lela ou uma conexão por infravermelho.
O SERVIDOR RRAS COMO SERVIDOR DE CONEXÕES VPN

Conforme descrito no item anterior, o servidor RRAS pode atuar como um servidor de acesso remo-
to para conexões do tipo dial-up e do tipo VPN. Neste item, falarei sobre os componentes de uma
rede onde o Windows 2000 Server atua como um servidor de acesso remoto para conexões do tipo
VPN. Também apresentarei detalhes sobre os clientes e protocolos utilizados neste tipo de conexão.
Uma rede com um servidor RRAS do Windows 2000 Server atuando como servidor para conexões
remotas do tipo VPN, é formado pelos seguintes componentes (representados na Figura 6.2) que
falaremos a seguir: servidores e clientes VPN, protocolos de LAN, protocolos de tunneling.
SERVIDORES VPN
Um servidor Windows 2000 Server, com o serviço de acesso remoto habilitado, pode atuar como
um servidor para receber conexões VPN. O servidor pode ser configurado para permitir que os cli-
entes conectados tenham acesso a todos os recursos da rede ou apenas aos recursos do próprio ser-
vidor de acesso remoto.


Em uma configuração típica, o servidor de acesso remoto, que aceita conexões VPN, tem uma cone-
xão permanente com a Internet. Caso o provedor de Internet dê suporte a conexões de discagem
sob demanda, não é necessário manter uma conexão permanente. Neste caso, uma conexão será
inicializada automaticamente, sempre que for feita uma requisição de conexão com o servidor
VPN. Se o servidor VPN irá fornecer acesso para os recursos da rede, deve ser instalada uma placa de
rede adicional e configurada com os parâmetros da rede local onde está o servidor. Se o servidor
VPN oferecer acesso apenas aos seus próprios recursos, não será necessária a placa de rede adicional.
CLIENTES VPN
Um cliente VPN pode ser um usuário que fez a conexão VPN com o servidor de acesso remoto ou
um roteador que fez uma conexão VPN com outro roteador. Estas conexões VPN entre roteadores
são utilizadas para criar um “túnel” seguro através da Internet, pelo qual serão enviados os dados
de maneira segura. O serviço RRAS do Windows 2000 Server suporta conexões de clientes basea-
dos no Windows 2000 Server, Windows 2000, Windows NT 4.0, Windows 95, Windows 98 e
Windows Me. Servidores baseados no Windows Server 2003, no Windows 2000 Server com RRAS
ou no NT Server 4.0 com RRAS podem criar conexões VPN do tipo roteador-para-roteador. Os cli-
entes VPN podem utilizar um dos seguintes protocolos: Point-to-point Tunneling Protocol
(PPTP) ou Layer Two Tunneling Protocol (L2TP), sendo que o L2TP é utilizado em conjunto com o
protocolo Internet Protocol security (IPSec), conforme detalharei mais adiante.
Clientes baseados no NT3.5x não suportam os protocolos PPTP ou L2TP.
Na tabela da Figura 6.4, são exibidas informações sobre os protocolos de VPN suportados por cada
versão do Windows.
Figura 6.4 Protocolos de VPN suportados por diferentes versões do Windows.
Na tabela da Figura 6.5, são exibidas informações sobre os protocolos de autenticação suportados
por cada versão do Windows.


Figura 6.5 Protocolos de autenticação suportados por diferentes versões do Windows.
Mais adiante falarei sobre os protocolos PPTP e L2TP e sobre os diversos protocolos de autenticação
disponíveis e em que situações cada protocolo deve ser utilizado.
PROTOCOLOS DE LAN
Para conexões VPN, são suportados os mesmos protocolos de LAN, suportados em conexões
dial-up, tais como TCP/IP e AppleTalk, os quais possibilitam o acesso a recursos da Internet, UNIX
e Apple Macintosh e Novell NetWare.
PROTOCOLOS DE TUNNELING (TUNELAMENTO)
São suportados os protocolos PPTP e L2TP, conforme descrito na tabela da Figura 6.4. Você apren-
derá mais sobre estes protocolos, mais adiante, neste capítulo.
Os servidores VPN são conectados à Internet através de conexões WAN permanentes, como li-
nhas T1 ou Frame Relay. Os clientes VPN são conectados à Internet através de conexões WAN per-
manentes ou de discagem para um provedor de serviços de Internet (ISP – Internet Service Provi-
der) local usando linhas telefônicas analógicas padrão ou uma tecnologia de conexão em alta
velocidade, tais como ISDN ou ADSL.
PROTOCOLOS UTILIZADOS PARA CONEXÕES DO TIPO DIAL-UP

Agora você já conhece os princípios básicos do servidor de acesso remoto do Windows 2000 Server e
sabe quais elementos compõem uma solução de acesso remoto via dial-up e quais compõem uma so-
lução de acesso remoto via VPN. O próximo passo é entender os protocolos envolvidos em cada uma
destas situações. Por exemplo, para uma conexão via dial-up, normalmente é utilizado o protocolo
PPP (Point-to-point Protocol). Já para conexões via VPN, os protocolos utilizados são PPTP ou L2TP.


O objetivo deste tópico é apresentar os diferentes tipos de protocolos disponíveis para as cone-
xões do tipo dial-up. No próximo tópico, falarei sobre os protocolos utilizados para as conexões
do tipo VPN.
POINT-TO-POINT PROTOCOL – PPP (PROTOCOLO PONTO-A-PONTO)
O Windows 2000 Server (e também o Windows Server 2003) dá suporte ao PPP (Point-to-point
Protocol, protocolo ponto-a-ponto), um conjunto de protocolos e autenticação padrão da indús-
tria de TI, que permite às soluções de acesso remoto operar em uma rede de múltiplos fornecedo-
res (com clientes, software e equipamentos de múltiplos fabricantes). A utilização do PPP é reco-
mendada, principalmente, pelo fato de ter um amplo suporte dos fabricantes de hardware e
software. Assim, praticamente todos os equipamentos e programas envolvidos em acesso remoto
tem suporte ao protocolo PPP.
O suporte a PPP permite, aos computadores que executam Windows, discar para redes remotas
por meio de qualquer servidor compatível com o padrão PPP. A compatibilidade PPP também
permite ao computador, que executa o serviço de acesso remoto, receber chamadas e fornecer
acesso a rede e a programas de software de outros fornecedores.
A arquitetura PPP também permite que os clientes usem qualquer combinação de IPX (Internet-
work Packet Exchange), TCP/IP, NetBEUI e AppleTalk. Os clientes de acesso remoto que estejam
executando o Windows NT e Windows 2000, Windows 98 e o Windows 95 podem usar qualquer
combinação de TCP/IP, IPX e NetBEUI. Os clientes de acesso remoto da Microsoft não oferecem
suporte ao uso do protocolo AppleTalk em uma conexão de acesso remoto.
Os padrões PPP estão definidos nas RFCs publicadas pela Internet Engineering Task Force (IETF) e
outros grupos de trabalho. Em fim, o protocolo PPP é um padrão de fato, com suporte de todos (é
isso mesmo), de todos os fabricantes de hardware e software de rede. Ah, quando você se conecta à
Internet, usando uma conexão discada, está utilizando PPP.
SERIAL LINE INTERNET PROTOCOL (SLIP)
O Serial Line Internet Protocol (SLIP, protocolo Internet para linhas seriais) é um padrão de acesso re-
moto mais antigo, geralmente utilizado por servidores de acesso remoto UNIX. Os clientes de acesso
remoto que executam o Windows 2000 Professional e o Windows 2000 Server oferecem suporte ao
SLIP e podem conectar-se a qualquer servidor de acesso remoto que utiliza o padrão SLIP. Isso permite
a conexão de clientes Windows NT 3.5 ou versão posterior à ampla base instalada de servidores
UNIX. Um servidor de acesso remoto, que executa o Windows 2000, Windows XP ou o Windows
2000 Server, não oferece suporte aos clientes SLIP. Desta forma, estas versões do Windows somente
podem atuar como clientes SLIP e não como servidores SLIP (apesar de o Windows XP Professional
poder atuar como um servidor de acesso remoto, só aceita uma única conexão simultânea).


No Windows 2000 Server, somente é possível se conectar a um servidor SLIP, usando o protocolo
TCP/IP e uma porta serial.
O RRAS não é um servidor SLIP; somente atua como cliente SLIP. Como servidor de acesso remoto,
fornece suporte ao PPP para conexões dial-up, e ao PPTP ou L2TP/IPsec para conexões VPN.
PROTOCOLO MICROSOFT RAS
O protocolo Microsoft RAS (Remote Access Services) é um protocolo de acesso remoto proprietá-
rio da Microsoft, o qual fornece suporte ao padrão NetBIOS. Há suporte para o protocolo Micro-
soft RAS em todas as versões anteriores do acesso remoto da Microsoft e é utilizado em clientes
Windows NT 3.1, Windows para Workgroups, MS-DOS e LAN Manager.
Um cliente de acesso remoto que está discando de um computar que executa o Windows NT 3.1
ou Windows for Workgroups deve usar o protocolo NetBEUI. O servidor de acesso remoto, então,
atua como um gateway NetBIOS para o cliente remoto, fornecendo acesso aos recursos por meio
dos protocolos NetBEUI, NetBIOS sobre TCP/IP ou NetBIOS sobre IPX. Utilizado apenas por ques-
tões de compatibilidade com clientes mais antigos.
PROTOCOLOS UTILIZADOS PARA CONEXÕES DO TIPO VPN

Os protocolos utilizados em conexões de VPN são os seguintes: PPTP e L2TP. O protocolo L2TP é
utilizado em conjunto com o protocolo IPSec, já que o L2TP não fornece os serviços de criptogra-
fia de dados, fundamentais para as conexões VPN. Neste caso, a criptografia de dados é fornecida
pelo protocolo IPSec.
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
De uma maneira simples, podemos dizer que o PPTP é o PPP com a adição de alguns mecanismos
de criptografia para garantir a segurança dos dados. O Point-to-point Tunneling Protocol (PPTP) é
um protocolo de encapsulamento criado pela Microsoft em conjunto com mais algumas empre-
sas e que primeiro teve suporte no Windows NT 4.0. O PPTP é uma extensão do Point-to-point
Protocol (PPP) e aproveita os mecanismos de autenticação, compactação e criptografia do PPP
(confirma a idéia de que o PPTP é o PPP com algumas adições). Mas, o fato concreto é que, como se
diz popularmente, o PPTP “não pegou”. Não foi adotado amplamente pela indústria e o futuro
deste protocolo é incerto.
O PPTP é instalado automaticamente quando o serviço de roteamento e acesso remoto. Por pa-
drão, o PPTP é configurado para aceitar até cinco conexões simultâneas (cinco portas PPTP). É


possível ativar mais portas PPTP para acesso remoto de entrada e conexões de roteamento de dis-
cagem dial-up utilizando o Assistente de roteamento e acesso remoto. Não são necessárias cone-
xões adicionais para que servidor de acesso remoto possa aceitar conexões PPTP. Uma vez que o
administrador habilita o servidor para aceitar chamadas, já estão disponíveis cinco conexões via
PPTP. O administrador pode configurar este número para adicionar um número maior de licen-
ças de conexão remota via PPTP.
Para fazer uma conexão VPN, primeiro o cliente faz uma conexão PPP com o servidor de acesso re-
moto. Em seguida, já estando a conexão PPP estabelecida, o cliente faz uma conexão PPTP com o
servidor de acesso remoto. O servidor RRAS recebe o pedido de conexão do cliente PPTP e faz a sua
autenticação usando o protocolo de autenticação MS-CHAP v2. Ao invés do MS-CHAP v2, deve ser
utilizado o protocolo EAP quando o cliente estiver utilizando um Smart Card para autenticação.
Para a conexão remota, usando autenticação via Smart Card, deve ser utilizado o protocolo EAP.
Não esqueça mesmo.
Uma vez estabelecida a conexão VPN, usando o PPTP, todo o tráfego entre o cliente e o servidor
RRAS é criptografado. Esta criptografia é feita utilizando uma técnica conhecida como Encapsula-
mento, descrita logo a seguir.
Não esqueça que, para estabelecer uma conexão do tipo VPN, são realizadas duas conexões. A
primeira é uma conexão PPP padrão. Esta conexão estabelece a ligação, um caminho físico entre o
cliente e o servidor RRAS. A próxima etapa é estabelecer a conexão VPN propriamente dita, utili-
zando um dos protocolos disponíveis (PPTP ou L2TP). O objetivo desta segunda conexão é garantir a
segurança dos dados, através do uso de técnicas de criptografia e encapsulamento.
ENCAPSULAMENTO
O processo de encapsulamento consiste em adicionar um cabeçalho GRE (Generic Routing

Encapsulation) e um cabeçalho IP, ao pacote do protocolo PPP (o qual contém datagramas do
protocolo IP, IPX ou AppleTalk). No cabeçalho IP, estão os endereços IP de origem e de destino
que correspondem ao cliente e ao servidor VPN.
CRIPTOGRAFIA
O quadro PPP é criptografado com a Microsoft Point-to-point Encryption (MPPE, criptografia

ponto-a-ponto da Microsoft) utilizando chaves de criptografia geradas pelo processo de autenti-
cação de MS-CHAP (Microsoft Challenge Authentication Protocol) ou EAP-TLS (Extensible Aut-
hentication Protocol – Transport Layer Security). Os clientes da rede virtual privada devem utili-


zar o protocolo de autenticação MS-CHAP ou EAP-TLS para criptografar os pacotes PPP. O PPTP
aproveita a criptografia do PPP e encapsula quadros PPP previamente criptografados.
Um dos pontos mais criticados do PPTP é em relação à segurança. Especialistas em segurança já

demonstraram que o PPTP não é um protocolo seguro e está sujeito a ataques de segurança. Com
o Windows 2000 Server, é fornecida a versão 2 do protocolo: PPTP v2. Só o tempo dirá se esta ver-
são está mais segura e confiável. Outro problema de segurança com o PPTP é que a fase de autenti-
cação entre o cliente e o servidor acontece antes que o túnel criptografado seja estabelecido. Com
isso, informações da fase de autenticação poderão ser capturadas e utilizadas, posteriormente, pa-
ra tentar quebrar a criptografia dos dados transmitidos. Este é um dos motivos que podem levá-lo
a se decidir pelo uso de Smart Cards em conjunto com o protocolo TCP/IP. Com o uso de Smart
Cards, a fase de autenticação também está protegida contra acessos indevidos, uma vez que os da-
dos são criptografados em todas as fases do processo. Para o uso de Smart Cards, você deverá habi-
litar o protocolo de autenticação EAP, no servidor RRAS. Você aprenderá a configurar o suporte
aos protocolos de autenticação na parte prática.
Uma das vantagens (talvez a única) do protocolo PPTP é a sua simplicidade e o fato de ser suporta-
do por clientes mais antigos do Windows, tais como o Windows 98. Já o protocolo L2TP é supor-
tado apenas por clientes mais novos (veja tabela da Figura 6.4), tais como o Windows 2000, Win-
dows XP e Windows 2000 Server.
Observações:
l É possível ter uma conexão PPTP sem criptografia, na qual o quadro PPP é enviado em texto
simples. Entretanto, não é recomendável uma conexão PPTP sem criptografia para conexões
VPN na Internet porque comunicações desse tipo não são seguras.
l O suporte ao protocolo IPX/SPX não está disponível nas versões de 64 bits do Windows XP e
do Windows Server 2003.
l O protocolo PPTP é um protocolo de nível de aplicação (camada 7 no modelo OSI).
LAYER TWO TUNNELING PROTOCOL (L2TP PROTOCOLO DE ENCAPSULAMENTO DE CAMADA 2)
O Layer Two Tunneling Protocol (L2TP) é um protocolo de encapsulamento com base em padrões
definidos em RFCs e destinado a ser o padrão da indústria. Diferentemente do PPTP (Point-to-
point Tunneling Protocol, protocolo de encapsulamento ponto-a-ponto), o L2TP não utiliza a
Microsoft Point-to-point Encryption (MPPE, criptografia ponto-a-ponto da Microsoft) para crip-
tografar os pacotes PPP. O L2TP trabalha em conjunto com o protocolo Internet Protocol Security
(IPSec) e usa os serviços do IPSec para serviços de criptografia. A combinação de L2TP e IPSec é co-
nhecida como L2TP através de IPSec. O “2” significa camada 2 do modelo OSI. Lembrando que as
camadas do modelo OSI, começando da primeira são: Física, Enlace, Rede, Transporte, Autentica-
ção, Apresentação e Aplicação.


O resultado é que conexões de rede virtual privada baseadas em L2TP são uma combinação de
L2TP e IPSec. O L2TP e o IPSec devem ter suporte do cliente e do servidor de acesso remoto com o
qual serão estabelecidas as conexões VPN.
O L2TP é instalado, automaticamente, com o RRAS. Por padrão, o L2TP é configurado para aceitar
até cinco conexões L2TP simultâneas. O administrador pode configurar um número de portas
L2TP maior do que cinco, de acordo com as necessidades da sua rede, sendo que o número máxi-
mo permitido é de 256.
O uso de L2TP através de IPSec oferece os principais serviços VPN de encapsulamento e criptografia
de dados privados. O encapsulamento de L2TP através de pacotes IPSec consiste em duas camadas: o
encapsulamento L2TP e o encapsulamento IPSec. Na Figura 6.6, da Ajuda do Windows 2000 Server, é
apresentada uma visão geral deste processo de encapsulamento no L2TP em conjunto com o IPSec.
PPP frame
PPP Encrypted PPP paylod

header (IP datagram or IPX datagram)
UDP L2TP PPP Encrypted PPP paylod

header header header (IP datagram or IPX datagram)
IP IPSec ESP UDP L2TP PPP Encrypted PPP paylod IPSec ESP IPSec Auth
header header header header header (IP datagram or IPX datagram) trailer trailer
Encrypted by IPSec
Figura 6.6 O duplo encapsulamento: L2TP e IPSec.
Criptografia: A mensagem L2TP é criptografada com mecanismos de criptografia IPSec que utili-
zam chaves de criptografia geradas pelo processo de autenticação IPSec.
É possível ter uma conexão L2TP que não se baseie em IPSec (sem criptografia) quando o quadro
PPP é enviado em texto simples. No entanto, não é recomendável usar uma conexão L2TP sem cripto-
grafia para conexões VPN na Internet porque comunicações desse tipo não são seguras.
Algumas considerações importantes sobre o uso do protocolo L2TP:
l O uso do L2TP exige que você tenha implementado uma infra-estrutura de chave pública (PKI
– Public Key Infrastructure) na rede da empresa, pois o L2TP depende do uso de certificados di-
gitais. Não precisa ser, necessariamente, uma infra-estrutura de PKI baseada em tecnologia Mi-
crosoft. Porém, neste caso, você terá mais algumas tarefas administrativas a considerar, tais
com a emissão manual de certificados para os computadores que irão utilizar o L2TP/IPsec.


l O L2TP é um “terrível monstro consumidor de processador”. Em outras palavras, o uso do

L2TP cria uma carga adicional considerável no processador. Isso ocorre porque o algoritmo de
criptografia utilizado pelo L2TP (3DES) é bem mais complexo (e também bem mais seguro) do
que o algoritmo utilizado pelo PPTP (MPPE – Microsoft Point-to-point Encryption). Além dis-
so, com o L2TP, a assinatura digital de cada pacote é verificada. Uma das maneiras de reduzir o
impacto no processador e melhorar o desempenho dos computadores que usam o L2TP/IPSec
é instalando placas de rede equipadas com co-processadores de IPSec na própria placa. Embora
melhore bastante o desempenho, é importante salientar que estas placas têm um custo bem
mais elevado do que as placas sem o co-processador de IPSec.
l Um problema que pode ser difícil de resolver é o fato que o protocolo IPSec não é, digamos as-
sim, muito amigo dos Firewall. O que acontece é que a maioria dos Firewall bloqueia a passa-
gem dos pacotes IPSec.
Na tabela da Figura 6.7, apresento um resumo das características e as principais diferenças entre os
protocolos PPTP e L2TP com IPSec.
Conheça bem as diferenças entre o PPTP e o L2TP/IPsec.
Figura 6.7 Diferenças entre PPTP e L2TP/IPSec.
MÉTODOS DE AUTENTICAÇÃO NO SERVIDOR DE ACESSO REMOTO

Este é um tópico muito importante. O administrador tem que conhecer bem quais são os méto-
dos de autenticação disponíveis no servidor RRAS, para que possa determinar a compatibilidade
dos clientes de rede em se conectar com o servidor RRAS. Muitas vezes clientes com versões mais
antigas do Windows não estão conseguindo estabelecer uma conexão, por questões relacionadas
à autenticação. Por outro lado, ao habilitar métodos de autenticação para dar suporte aos clientes
mais antigos, o administrador está abrindo portas que podem representar problemas em relação a
segurança. Por isso que é importante conhecer os protocolos de autenticação disponíveis, para
que você possa avaliar bem o risco x benefício, ao habilitar protocolos de autenticação menos se-
guros para dar suporte a clientes mais antigos.
O primeiro passo é entender a diferença entre autenticação e autorização.


AUTENTICAÇÃO X AUTORIZAÇÃO
A distinção entre autenticação e autorização é importante para compreender os motivos pelos

quais as tentativas de conexão são aceitas ou negadas.
A autenticação é a verificação das credenciais (por exemplo, nome de usuário e senha) da tentati-
va de conexão. Esse processo consiste no envio de credenciais do cliente de acesso remoto para o
servidor de acesso remoto em um formulário de texto simples ou criptografado usando um proto-
colo de autenticação.
A autorização é a verificação de que a tentativa de conexão é permitida. A autorização ocorre após

a autenticação bem sucedida.
Por exemplo, o usuário jsilva informa o seu nome de logon e senha e clica no botão conectar. A
primeira coisa que será feita é a verificação das credenciais (nome de logon e senha), fornecidos
pelo usuário jsilva. Este processo é necessário para que o servidor de acesso remoto “saiba” quem é
o usuário que está tentando a conexão. Muito bem, uma vez que o servidor sabe quem é o usuário
que está tentando a conexão (o usuário foi autenticado, o usuário existe, o usuário é “autêntico”),
é hora de verificar se o usuário está autorizado a fazer a conexão com o servidor de acesso remoto
(verificar a autorização do usuário, para fazer a conexão). Em palavras mais simples, a autentica-
ção verifica quem é o usuário e a autorização verifica se o usuário, já identificado, tem permissão
para realizar a conexão.
Para uma tentativa de conexão ser aceita, deve ser autenticada e autorizada. É possível que uma
tentativa de conexão seja autenticada usando credenciais válidas, mas não seja autorizada. Nesse
caso, a tentativa de conexão será negada. Pode ser o exemplo de um usuário que pertence a um
grupo que teve as permissões de acesso “negadas” no servidor de acesso remoto. Você aprenderá a
configurar as permissões de acesso, na parte prática.
Se um servidor de acesso remoto for configurado para autenticação do Windows, a segurança do

Windows 2000 Server será usada para verificar as credenciais da autenticação, as propriedades de
discagem da conta de usuário e as diretivas de acesso remoto armazenadas localmente serão usadas
para autorizar a conexão. Se a tentativa de conexão for autenticada e autorizada, será aceita.
Se o servidor de acesso remoto for configurado para autenticação RADIUS, as credenciais da tentati-
va de conexão serão passadas para o servidor RADIUS para autenticação e autorização (a implemen-
tação do protocolo RADIUS no Windows 2000 Server é o IAS – Internet Authentication Services). Se
a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem de
aceitação para o servidor de acesso remoto e a tentativa de conexão será aceita. Se a tentativa de co-
nexão não for autenticada ou não for autorizada, o servidor RADIUS enviará uma mensagem de re-
jeição para o servidor de acesso remoto e o processo de conexão será negado.
Se um servidor RADIUS for um computador que executa o Windows 2000 Server e o Internet
Authentication Service (IAS, serviço de autenticação de Internet), o servidor IAS executará a au-


tenticação por meio da segurança do Windows 2000 Server e a autorização por meio das proprie-
dades de discagem da conta de usuário e diretivas de acesso remoto armazenadas no servidor IAS.
O servidor RADIUS é indicado em uma situação onde você tem grupos de usuários bem distintos,
com necessidades distintas. Por exemplo, usuários que acessam a rede só localmente, na própria
empresa, e usuários que só acessam a rede remotamente, como por exemplo consultores externos e
trabalhadores que executam suas tarefas em casa. Neste caso, você pode querer separar estes dois
grupos, criando contas separadas, em um servidor configurado com o protocolo RADIUS, para os
usuários que fazem o acesso somente remotamente. Um único servidor RADIUS pode ser utilizado
como servidor de autenticação para vários servidores de acesso remoto. Com isso, você pode man-
ter o cadastro de usuários centralizado em um único servidor, bem como as políticas de segurança.
Agora vamos à descrição dos protocolos de autenticação disponíveis.
EXTENSIBLE AUTHENTICATION PROTOCOL – EAP
Com o Extensible Authentication Protocol (EAP), um mecanismo de autenticação aleatória (ba-

seado em chaves geradas aleatoriamente a cada minuto) é responsável pela validação de uma co-
nexão de acesso remoto. O esquema exato de autenticação a ser usado é negociado pelo cliente de
acesso remoto e o autenticador (o servidor de acesso remoto ou o servidor IAS – Internet Authenti-
cation Service). Você pode usar o EAP para oferecer suporte aos esquemas de autenticação com
cartões do tipo Smart-card, MD5-Challenge, Transport Level Security (TLS). Você pode instalar
outros módulos de autenticação EAP, fornecidos por terceiros, para disponibilizar outras formas
de autenticação via EAP. Por exemplo, você pode adquirir um sistema de reconhecimento através
da íris do olho. Junto com o sistema, o fabricante pode fornecer o software EAP para ser instalado
e utilizado pelo servidor de acesso remoto do Windows 2000 Server.
O EAP permite uma conversação direta entre o cliente de acesso remoto e o autenticador. A con-
versação consiste em solicitações de informações de autenticação feitas pelo autenticador e as res-
postas enviadas pelo cliente de acesso remoto. Por exemplo, quando o EAP é usado com cartões
do tipo Smart-card, o autenticador pode consultar separadamente o cliente de acesso remoto para
localizar um nome, número de identificação pessoal ou um valor de cartão. À medida em que
cada consulta é feita e respondida, o cliente de acesso remoto passa para outro nível de autentica-
ção. Quando todas as perguntas tiverem sido respondidas satisfatoriamente, o cliente de acesso
remoto será autenticado.
Um esquema de autenticação EAP é conhecido como um tipo EAP. Tanto o cliente de acesso re-
moto quanto o autenticador devem dar suporte ao mesmo tipo de EAP para que ocorra uma au-
tenticação bem sucedida.
O Windows 2000 Server inclui, em sua infra-estrutura de EAP, dois tipos de EAP e a capacidade de
passar mensagens EAP para um servidor RADIUS (EAP-RADIUS).


INFRA-ESTRUTURA EAP
No Windows 2000 Server, o EAP é um conjunto de componentes internos que, oferece suporte
de arquitetura a qualquer tipo de EAP na forma de um módulo plug-in (veja exemplo do uso de
equipamento de reconhecimento através da íris, descrito anteriormente). Para uma autentica-
ção bem sucedida, tanto o cliente de acesso remoto quanto o autenticador devem ter o mesmo
módulo de autenticação EAP instalado. O Windows 2000 Server fornece dois tipos de EAP:
EAP-MD5 CHAP e EAP-TLS. O tipo EAP-TLS somente está disponível para membros do domínio,
isto é, não pode ser utilizado para autenticação via servidor RADIUS. Você também pode insta-
lar tipos de EAP adicionais. Os componentes de um tipo de EAP devem ser instalados em todos
os clientes de acesso remoto e em todos os autenticadores (servidores de acesso remoto que fa-
zem a autenticação dos usuários).
Se você está estudando para os exames do MCSE 2000, não esqueça que para a autenticação
usando cartões do tipo Smart-card, é necessária a habilitação do protocolo EAP no servidor de aces-
so remoto e também nos clientes. O EAP-TLS é um tipo de EAP usado em ambientes de segurança ba-
seados em certificado. Se você está usando cartões inteligentes (Smart-card) para autenticação de
acesso remoto, deve utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS pro-
porciona a autenticação mútua, negociação do método de criptografia e troca segura de chave
particular entre o cliente de acesso remoto e o autenticador. O EAP-TLS proporciona o método
mais seguro de troca de chaves e autenticação. O EAP-TLS recebe suporte apenas em um servidor
de acesso remoto que executa o Windows 2000 Server (ou Windows Server 2003) que é um mem-
bro de um domínio (member server ou DC). Um servidor de acesso remoto configurado como
standalone server (não pertencente a um domínio) não tem suporte ao EAP-TLS.
MICROSOFT CHALLENGE HANDSHAKE AUTHENTICATION PROTOCOL – MS-CHAP
O Windows 2000 Server (e também o Windows Server 2003) inclui suporte para o Microsoft Chal-
lenge Handshake Authentication Protocol, também conhecido como MS-CHAP versão 1. O MS-
CHAP é um protocolo de autenticação de senha criptografada não-reversível. O processo envolve
uma troca de informações e um desafio enviado pelo servidor para o cliente, conforme os passos
descritos a seguir:
l O servidor de acesso remoto envia um desafio ao cliente de acesso remoto que consiste em um
identificador da sessão e uma seqüência arbitrária de caracteres de desafio.
l O cliente de acesso remoto envia uma resposta que contém o nome do usuário e uma cripto-
grafia não-reversível da seqüência de caracteres do desafio, o identificador da sessão e a senha.
l O autenticador verifica a resposta e, caso seja válida, autentica as credenciais do usuário.
Se você usa o MS-CHAP como o protocolo de autenticação, então pode usar o Microsoft Po-
int-to-point Encryption (MPPE) para criptografar os dados enviados na conexão PPP ou PPTP no


caso de uma conexão de VPN. O MS-CHAP, como o próprio nome sugere, é proprietário da Micro-
soft e, portanto, limitado a clientes Microsoft.
Para ativar a autenticação baseada no MS-CHAP, você deve cumprir as etapas indicadas a seguir:
l Ativar o MS-CHAP como um protocolo de autenticação no servidor de acesso remoto. Você

aprenderá este procedimento na parte prática. O MS-CHAP é ativado por padrão, ou seja, ao
habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP
será automaticamente habilitado. Se for necessário, você poderá desabilitá-lo.
l Ativar o MS-CHAP na diretiva de acesso remoto apropriada. Você aprenderá este procedimen-
to na parte prática. O MS-CHAP é ativado por padrão nas diretivas de acesso remoto.
l Ativar o MS-CHAP no cliente de acesso remoto que executa o Windows 2000 Server ou o Win-
dows Server 2003. Isso é feito na guia segurança, da janela de propriedades da conexão dial-up
ou da conexão VPN no cliente.
Por padrão, o MS-CHAP v1 para o Windows 2000 Server e Windows Server 2003 oferece suporte
à autenticação do LAN Manager. Se você deseja proibir o uso da autenticação do LAN Manager com
o MS-CHAP v1 para sistemas operacionais mais antigos como o Windows NT 3.5x e o Windows 95,
você deve definir a seguinte chave da Registry com o valor 0, no servidor de acesso remoto:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\
Allow LM Authentication
MS-CHAP V2
O Windows 2000 Server e também o Windows Server 2003 incluem suporte para a versão 2 do Mi-
crosoft Challenge Handshake Authentication Protocol (MS-CHAP v2). Esta versão oferece maior
segurança para conexões de acesso remoto. O MS-CHAP v2 soluciona algumas questões do
MS-CHAP versão 1, como mostra a tabela da Figura 6.8.
O MS-CHAP v2 é baseado em uma senha criptografada unidirecional, e em um processo de auten-

ticação mútua que funciona da seguinte maneira:
l O servidor de acesso remoto, que está fazendo a autenticação do usuário, envia um desafio ao
cliente de acesso remoto que consiste em um identificador da sessão e uma seqüência de desa-
fio gerada aleatoriamente.
l O cliente de acesso remoto envia uma resposta que contém: o nome de usuário; uma seqüência
de desafio arbitrária de mesmo nível uma criptografia unidirecional da seqüência de desafio re-
cebida, a seqüência de desafio de mesmo nível, o identificador da sessão e a senha do usuário.


Figura 6.8 Problemas do MS-CHAP solucionados pelo MS-CHAP v2.
l O autenticador verifica a resposta do cliente e envia uma resposta que contém: uma indicação
do sucesso ou falha da tentativa de conexão; uma resposta autenticada baseada na seqüência
de desafio enviada, a seqüência de desafio de mesmo nível, a resposta criptografada do cliente
e a senha do usuário.
l O cliente de acesso remoto verifica a resposta de autenticação e, se estiver correta, usa a co-
nexão. Se a resposta de autenticação não estiver correta, o cliente de acesso remoto termina
a conexão.
Para ativar a autenticação baseada no MS-CHAP v2, você deve cumprir as etapas indicadas a seguir:
l Ativar o MS-CHAP v2 como um protocolo de autenticação no servidor de acesso remoto. Você

aprenderá este procedimento na parte prática. O MS-CHAP v2 é ativado por padrão, ou seja, ao
habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP
v2 será automaticamente habilitado. Se for necessário, você poderá desabilitá-lo.
l Ativar o MS-CHAP v2 na diretiva de acesso remoto apropriada. Você aprenderá este pro-
cedimento na parte prática. O MS-CHAP v2 é ativado, por padrão, nas diretivas de aces-
so remoto.
l Ativar o MS-CHAP v2 no cliente de acesso remoto que executa o Windows 2000 Server ou o
Windows 2000. Isso é feito na guia Segurança, da janela de propriedades da conexão dial-up
ou da conexão VPN no cliente.


CHALLENGE HANDSHAKE AUTHENTICATION PROTOCOL – CHAP
O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de respos-

ta de desafio que usa um esquema de hash padrão de indústria, para criptografar a resposta, padrão
este conhecido como Message Digest 5 (MD5). O CHAP é usado por vários fornecedores de servidores
e clientes de acesso remoto. Um servidor de acesso remoto que executa o Windows 2000 Server ofere-
ce suporte ao CHAP para que clientes de acesso remoto não-Microsoft sejam autenticados.
Para ativar a autenticação baseada no protocolo CHAP, você deve seguir estes procedimentos:
l Ativar o CHAP como um protocolo de autenticação no servidor de acesso remoto, conforme

você aprenderá a fazer na parte prática.
l Ativar o CHAP na diretiva de acesso remoto apropriada, conforme você aprenderá a fazer na
parte prática. Lembre-se que as configurações de segurança, tais como determinar quais gru-
pos podem se conectar ao servidor de acesso remoto e quais não podem, os protocolos de au-
tenticação permitidos e, assim por diante, são definidos nas políticas de acesso remoto, ou
como prefere quem traduziu a documentação oficial: nas diretivas de acesso remoto.
l Ativar o armazenamento de uma forma criptografada reversível da senha do usuário. Você
pode ativar o armazenamento de uma forma criptografada reversível da senha do usuário indi-
vidualmente, em cada conta de usuário ou ativar em todas as contas de um domínio. Para ati-
var esta funcionalidade em todo o domínio, abra o GPO Default Domain Policy e acesse o se-
guinte caminho: Computer Configuration –> Windows Settings –> Security Settings –>
Account Policies –> Password Policy. Nas opções que são exibidas no painel da direita, dê um
clique duplo na opção: Store passwords using reversible encryption for all users in the domain.
Na janela que é aberta, selecione Enable. Clique em OK e feche o Group Policy Editor.
l Forçar um reset da senha do usuário para que a nova senha seja armazenada usando critptogra-
fia reversível.Quando você ativa senhas para armazenamento em uma forma criptografada re-
versível, as senhas atuais não estarão em uma forma criptografada reversível e não serão auto-
maticamente alteradas. Você deve resetar as senhas dos usuários ou marcar a opção para que as
senhas de usuários sejam alteradas no próximo logon. Após ter sido alterada, a senha será ar-
mazenada usando criptografia reversível.
Se você marcar a opção “Usuário deverá alterar a senha no próximo logon”, ele deverá efetuar o lo-
gon usando uma conexão de rede e alterar a senha antes de tentar efetuar o logon em uma conexão
de acesso remoto usando o CHAP. Você não pode alterar senhas durante o processo de autentica-
ção usando o CHAP – a tentativa de efetuar o logon não terá êxito. Uma solução para o usuário de
acesso remoto é efetuar o logon temporariamente usando MS-CHAP para alterar a senha.
Não se esqueça deste pequeno detalhes para o exame.
l Ativar o CHAP no cliente de acesso remoto.


Observações:
– Se a sua senha expirar, o CHAP não poderá alterar senhas durante o processo de autenticação.
– Não é possível usar o Microsoft Point-to-point Encryption (MPPE) em conjunto com CHAP. Lem-
bre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.
PASSWORD AUTHENTICATION PROTOCOL – PAP
O Password Authentication Protocol (PAP) utiliza senhas de texto simples, sem criptografia e é o
protocolo de autenticação menos sofisticado. O PAP normalmente é utilizado como um último
recurso, somente se o cliente de acesso remoto e o servidor de acesso remoto não puderem negoci-
ar uma forma mais segura de validação. Isso se o PAP estiver habilitado em ambos, ou seja, no cli-
ente e no servidor. O administrador pode desabilitar o protocolo PAP no servidor, de tal maneira
que somente sejam aceitos protocolos de autenticação seguros.
Para ativar a autenticação baseada no PAP, você deve seguir estes procedimentos:
l Ativar o PAP como um protocolo de autenticação no servidor de acesso remoto.
l Ativar o PAP na diretiva de acesso remoto apropriada. O PAP é desativado por padrão.
l Ativar o PAP no cliente de acesso remoto que executa o Windows 2000.
Quando você ativa o PAP como um protocolo de autenticação, as senhas dos usuários são envia-
das em forma de texto simples, sem nenhuma criptografia. Qualquer pessoa que capture os pacotes
do processo de autenticação pode facilmente ler a senha e usá-la para obter acesso autorizado
(que, na prática, seria não-autorizado) à sua rede. Por isso, você não deve usar o PAP. Se não for
possível utilizar outros protocolos de autenticação, pense em mudar a solução de acesso remoto,
mudar o cliente ou qualquer coisa do tipo, mas definitivamente, não use o PAP.
Observações:
– Desativando o suporte ao PAP no servidor de acesso remoto, não serão enviadas senhas em texto
simples, não criptografado. A desativação do suporte ao PAP aumenta a segurança da autenticação,
mas os clientes de acesso remoto que oferecem suporte apenas ao PAP não poderão se conectar.
– Se a sua senha expirar, o PAP não poderá alterar senhas durante o processo de autenticação.
SHIVA PASSWORD AUTHENTICATION PROTOCOL – SPAP
O Shiva Password Authentication Protocol (SPAP) é também um protocolo de criptografia rever-

sível fabricado pela Shiva. Por exemplo, um computador executando o Windows XP Professio-
nal, quando se conecta com um equipamento Shiva LAN Rover, usará SPAP. O mesmo acontece


com um cliente Shiva, fazendo a conexão com um servidor de acesso remoto baseado no Win-
dows 2000 Server. Esta forma de autenticação é mais segura do que PAP, porém não tem o mesmo
nível de segurança do CHAP e do MS-CHAP.
Se você tem uma rede baseada somente em servidores de acesso remoto com Windows 2000 Server
ou Windows Server 2003, e com clientes baseados nas versões mais novas do Windows, deve optar
por usar MS-CHAP ou preferencialmente MS-CHAP v2. O único porém destes protocolos de autentica-
ção é que somente são compatíveis com servidores e clientes Microsoft.
Para habilitar o protocolo SPAP, você deve seguir os seguintes passos:
l Habilite o protocolo SPAP como um protocolo de autenticação no servidor de acesso remoto.
l Habilite o protocolo SPAP nas políticas de acesso remoto aplicadas ao servidor de acesso remoto.
l Habilite o protocolo SPAP no cliente.
Quando você habilita o SPAP como um protocolo de autenticação, uma mesma senha será enviada
sempre no mesmo formato de criptografia reversível. Este padrão torna o protocolo de autenticação
SPAP suscetível a ataques do tipo reply, onde um pacote é capturado, copiado e depois reenviado,
onde quem está fazendo o ataque se faz passar pelo cliente que está tentando se autenticar. Isso é
possível porque o pacote tem sempre o mesmo conjunto de dados. Por isso, o uso do SPAP não é re-
comendado em conexões do tipo VPN, onde a segurança é o principal fator.
Observações:
– Se a senha do usuário expirar, o protocolo SPAP não será capaz de alterar a senha durante o pro-
cesso de autenticação.
– Não é possível usar o Microsoft Point-to-point Encryption (MPPE) em conjunto com SCHAP.
Lembre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.
Bem, por enquanto, é isso de teoria. Agora você aprenderá a fazer uma série de configurações prá-
ticas no servidor de acesso remoto. Depois, voltaremos com mais um pouco de teoria, para deta-
lhar a questão das “Políticas de Acesso Remoto”, tão importantes em épocas que segurança é um
assunto fundamental
HABILITAÇÃO E CONFIGURAÇÃO DO ACESSO REMOTO

Neste tópico, você aprenderá a executar uma série de configurações no serviço de acesso remoto
do Windows 2000 Server. É importante salientar, novamente, que além das configurações no


RRAS, você também deve providenciar o hardware necessário. No servidor, é preciso instalar uma
quantidade de modems e de linhas telefônicas suficiente para atender ao número de usuários pro-
jetado. Os clientes também devem estar equipados com o software de conexão necessário e com
uma placa de fax-modem ou outro tipo de conexão. Se os seus clientes utilizam o Windows 2000,
Windows XP Professional ou o Windows Server 2003, o software cliente, tanto para conexões
dial-up quanto para conexões do tipo VPN, já está disponível no próprio Windows.
HABILITANDO O SERVIDOR DE ACESSO REMOTO – RRAS

O serviço RRAS é instalado, por padrão, quando o Windows 2000 Server é instalado. Porém, este
serviço não é automaticamente habilitado para aceitar chamadas remotas. Por isso, o primeiro
passo é habilitar o RRAS para que este aceite chamadas remotas (supondo que o hardware necessá-
rio já esteja devidamente instalado e reconhecido pelo Windows 2000 Server). Após a habilitação
do serviço remoto, para aceitar chamadas, o administrador pode fazer uma série de configura-
ções, tais como: definir os protocolos de autenticação que serão aceitos, criar e aplicar políticas de
segurança e assim por diante.
Exemplo: Para configurar e habilitar o servidor RRAS, siga os passos indicados a seguir:
1. Faça o logon com a conta de administrador ou com uma conta com permissão de ad-
ministrador.
2. Abra o console Roteamento e acesso remoto: Iniciar –> Programas –> Ferramentas adminis-
trativas –> Roteamento e acesso remoto. Observe que uma flechinha vermelha é exibida ao
lado do nome do servidor RRAS. Esta flechinha indica que o servidor não está habilitado.
Quando o servidor está habilitado, é exibida uma flechinha verde. O console de configura-
ção do RRAS será aberto, conforme indicado na Figura 6.9.
3. Clique no servidor a ser configurado (SRV01 no exemplo da Figura 6.9) para selecio-
ná-lo. Em seguida, execute o comando: Ação –> Configurar e habilitar o roteamento e
o acesso remoto.
Figura 6.9 O console Routing and Remote Access.


4. Será aberto o assistente para habilitação do serviço de roteamento e acesso remoto. A pri-
meira tela do assistente é apenas informativa. Clique em Avançar para seguir para a próxi-
ma etapa do assistente.
5. Nesta etapa, você tem diversas opções de configuração. Selecione a opção Servidor de aces-
so remoto, conforme indicado na Figura 6.10. Clique em Avançar para seguir para a próxi-
Figura 6.10 Configurando o servidor para aceitar conexões remotas.
Caso esta seja a primeira vez que você esteja utilizando o assistente de conexões de rede, neste ser-
vidor, pode ser aberta a janela pedindo informações sobre sua localidade. Digite o código do país
(que para o Brasil é 55) e clique em OK para fechar a janela de configurações do país.
6. Será exibida uma janela para que você verifique se todos os protocolos necessários ao RRAS
já estão instalados. O protocolo TCP/IP deve estar sendo exibido, conforme indicado na Fi-
gura 6.11. Certifique-se de que o protocolo TCP/IP é exibido na lista e marque a opção Sim,
todos os protocolos requeridos estão nesta lista. Clique em Avançar para seguir para a pró-
xima etapa do assistente.
Nesta etapa, você deve informar como serão fornecidas as configurações de endereço IP
para os clientes que fizerem a conexão remotamente. Por padrão, vem marcada a opção
Automaticamente, a qual instrui o RRAS a utilizar o servidor DHCP para obter as configura-
ções de endereço IP para os clientes. Esta é a opção mais indicada quando os clientes remo-
tos devem fazer a conexão e ter acesso a recursos da rede nos demais servidores da rede.


Figura 6.11 Verificando se o TCP/IP está instalado.
Para que isso seja possível, os clientes devem obter configurações de TCP/IP válidas para a
rede na qual está o servidor RRAS. Além disso, o servidor RRAS deve ter uma placa de rede
configurada com as configurações de TCP/IP da rede local.
7. Aceite a opção padrão, que é obter as configurações a partir do servidor DHCP, e clique em
Avançar para seguir para a próxima etapa do assistente.
8. Nesta etapa, você define se a autenticação dos usuários será feita pelo próprio servidor
RRAS ou se será enviada para autenticação por um servidor RADIUS (Remote Authentica-
tion Dial-in User Service). Um único servidor RADIUS pode ser utilizado para fornecer au-
tenticação para vários servidores de acesso remoto. O servidor RADIUS também pode ser
utilizado como um ponto para aplicação centralizada de políticas de segurança de acesso
remoto. Assim, o administrador configura as políticas de segurança de acesso remoto no
servidor RADIUS e estas são aplicadas a todos os servidores RRAS que utilizam os servidor
RADIUS como servidor de autenticação. Este procedimento é bem mais prático do que con-
figurar as políticas de segurança em cada servidor RRAS individualmente. No nosso exem-
plo, como não temos um servidor RADIUS configurado, vamos utilizar o próprio RRAS
para fazer a autenticação dos usuários. Marque a opção Não, não desejo configurar este ser-
vidor para usar o RADIUS agora, conforme indicado na Figura 6.12. E clique em Avançar
para seguir para a próxima etapa do assistente.
Você estará na etapa final do assistente. Para alterar alguma opção clique em Voltar. Clique
em Concluir para encerrar o assistente a habilitar o RRAS para que passe a aceitar conexões
remotas. Será exibida uma mensagem informando sobre as configurações do DHCP Relay


Figura 6.12 Definindo como será feita a autenticação dos usuários.
Agent (agente de retransmissão do DCHP). Clique em OK para fechá-la. Mais adiante fala-
rei sobre a utilização e a configuração do DHCP Relay Agent. Pronto, o servidor RRAS está
configurado e pronto para receber conexões remotas.
Muito bem, o servidor de acesso remoto foi habilitado. Agora é hora de você aprender a configu-
rá-lo, monitorá-lo, criar políticas de segurança e assim por diante.
CONFIGURAÇÕES DO SERVIDOR DE ACESSO REMOTO

As configurações do RRAS são feitas usando o console Roteamento e acesso remoto, o qual é
acessado a partir do menu Iniciar –> Programas –> Ferramentas administrativas. Neste item,
você aprenderá a configurar as propriedades do servidor. À medida em que eu for apresentando
as opções de configuração disponíveis, novos conceitos irão surgindo. Sempre que necessário,
apresentarei explicações detalhadas sobre conceitos que não foram vistos na parte teórica, do
início do capítulo.
Para que você possa fazer as configurações do servidor RRAS, este já deve ter sido habilitado. Para
detalhes sobre como habilitar o servidor RRAS, consulte o exemplo do item anterior.


Exemplo: Para abrir o console Roteamento e acesso remoto e configurar as opções do servidor
RRAS, siga os passos indicados a seguir:
trador.
trativas –> Roteamento e acesso remoto. O console de configuração do RRAS será aberto,
4. Para que você possa configurar as propriedades do servidor, clique com o botão direito do
mouse no nome do servidor (SRV01 no exemplo da Figura 6.13) e, no menu de opções que
é exibido, clique em Propriedades.
Figura 6.13 O console Routing and Remote Access.
Será exibida a janela de propriedades do servidor RRAS, com a guia Geral selecionada por
padrão. Esta guia tem as opções indicadas na Figura 6.14. Nesta, guia você define as funções
que serão habilitadas no servidor RRAS. Você pode habilitar o servidor somente como um
servidor de acesso remoto, você também pode configurar o servidor para exercer apenas as
funções de roteamento ou para exercer ambas as funções.
4. Selecione as opções desejadas e clique na guia Security. Serão exibidas as opções indicadas
na Figura 6.15.
Esta guia tem uma série de opções importantes e merece um looooongo parênteses para tratar, em
detalhes, destas opções.
A primeira opção é escolher quem fará a autenticação dos usuários que estão se conectando remo-
tamente. Por padrão, é selecionada a opção Autenticação do Windows. Neste caso, serão utiliza-
das as contas do Active Directory (se o servidor RRAS pertencer a um domínio) ou as contas locais


Figura 6.14 Habilitando as duas funções: roteamento e acesso remoto.
Figura 6.15 Configurações de segurança para o serviço de acesso remoto.


do servidor RRAS (se o servidor não pertencer a um domínio). Por exemplo, o usuário, utilizando
o seu notebook equipado com um cartão de fax-modem, fará uma discagem para o servidor RRAS.
As configurações de discagem são idênticas a uma discagem para um provedor de Internet, ou
seja, o usuário criará uma nova conexão dial-up, na qual informa o número de telefone para a co-
nexão, o seu nome de usuário e senha e o domínio (se for o caso). No caso da autenticação do
Windows, o usuário deve utilizar o seu nome de usuário e senha da rede, ou seja, a sua conta ca-
dastrada no Active Directory (ou uma conta criada em um servidor RRAS que não pertence ao do-
mínio, especificamente para acesso remoto).
Neste caso descrito, poderão ocorrer duas situações distintas. O servidor RRAS faz parte de um do-
mínio da empresa. Nesta situação, os usuários utilizarão suas contas do domínio, cadastradas no
Active Directory. Outra situação é quando o servidor onde está o RRAS é configurado como um
standalone server, e são criadas contas localmente neste servidor. Neste caso, cada usuário que
precisar fazer a conexão com o servidor RRAS, deverá ser cadastrado neste servidor. Ao fazer a co-
nexão, o usuário deve utilizar o nome de logon e senha que foram cadastrados no servidor RRAS
configurado como um Standalone server. Esta segunda situação não é recomendada, uma vez que
trará a necessidade de se manter um cadastro adicional de usuários, para aqueles com necessidade
de acesso remoto. Além disso, este cadastro seria independente em cada servidor RRAS ou seja, se
um determinado usuário precisasse acesso a vários servidores RRAS teria que ser criada uma conta
para este usuário em cada servidor RRAS configurado como standalone server. E se ele mudasse a
senha em um dos servidores? A senha não seria alterada nos demais. Aí o usuário tentaria fazer a
conexão com um servidor diferente do que aquele onde ele trocou a senha e receberia uma men-
sagem de acesso negado. Desta forma, usando a opção de instalar o RRAS em servidores do tipo
standalone server, isto é, que não pertencem ao domínio, você estará introduzindo uma comple-
xidade administrativa que realmente não é necessária.
A outra opção é configurar o servidor RRAS para fazer a autenticação através de um servidor
RADIUS (Remote Authentication Dial-In User Service). Com este tipo de autenticação, o servidor
RRAS recebe as credenciais enviadas pelo usuário (nome de logon, senha e demais informações) e
passa essas informações para um servidor RADIUS, o qual fará a autenticação do usuário e retorna-
rá o resultado da autenticação para o servidor RRAS.
Existe muita confusão entre o RADIUS e o IAS (Internet Authentication Service). Alguns acham
que o RADIUS é a versão mais antiga e o IAS é uma implementação mais nova, com novos recursos
e assim por diante. Nada disso. O RADIUS é o padrão de autenticação, é o protocolo de autentica-
ção com base em padrões definidos pelo IETF. O IAS é a implementação do RADIUS feita pela Mi-
crosoft, estando disponível no Windows 2000 Server e também no Windows Server 2003.
O IAS executa autenticação, autorização, auditoria e estatísticas centralizadas de usuários que se

conectam ao servidor de acesso remoto, tanto usando uma conexão do tipo VPN, quanto usando
uma conexão do tipo dial-up. O objetivo com o uso do IAS é ter um servidor centralizado, no qual
é feita a autenticação para os vários servidores de acesso remoto da rede. Com isso, as credenciais
são verificadas de maneira única, existe uma única base de usuários a ser mantida, as estatísticas e


logs de acesso ficam centralizadas e, a principal vantagem (na minha opinião), é possível criar as
políticas de segurança de uma maneira centralizada. Cria-se as políticas no IAS e estas são aplica-
das a todos os servidores RRAS que utilizam o IAS para autenticação.
Você pode estar se perguntando: “Mas se o objetivo é ter uma base única, que possa ser gerenciada
de maneira centralizada, então por que não usar a autenticação do Windows e o Active Directory
como sendo esta base centralizada? Para justificar o porquê da existência do IAS, vou descrever
uma situação prática onde o uso do IAS é recomendado. Vamos supor que você tenha vários servi-
dores de acesso remoto, com os quais devam se conectar desde parceiros de negócios, tais como
fornecedores e empresas de logística, até prestadores de serviços e profissionais liberais que fazem
serviços para a empresa. Nesta situação, você cadastra as contas dos parceiros de negócios e dos
prestadores de serviço no Active Directory e cria os grupos que forem necessários (observe que
continua sendo utilizada uma base única – o Active Directory), porém utiliza o servidor RADIUS
para definir as regras de acesso e autenticação. Em seguida, você pode configurar os servidores
RRAS da empresa para utilizar o servidor RADIUS para autenticação. O servidor RADIUS também
poderá ser utilizado para aplicação de políticas de segurança do acesso remoto de uma maneira
centralizada. Assim, as políticas são definidas no servidor RADIUS e aplicadas em todos os servi-
dores RRAS que utilizam o servidor RADIUS.
O IAS implementa o protocolo Remote Authentication Dial-In User Service (RADIUS, serviço de
usuário de discagem de autenticação remota) padrão do IETF (Internet Engineering Task Force,
equipe de engenharia da Internet), que permite o uso de uma rede homogênea ou heterogênea de
equipamentos fazendo conexões do tipo dial-up ou VPN.
Os recursos do IAS incluem:
l Autenticação centralizada de usuários: A autenticação dos usuários é um importante assunto

de segurança. O IAS fornece suporte a vários protocolos de autenticação e permite que você as-
socie métodos de autenticação arbitrários para atender às suas necessidades de autenticação.
l Autorização centralizada de usuários. Para que o usuário possa ter acesso à rede, o IAS é capaz
de autenticar usuários em domínios do Microsoft Windows NT 4.0 e no Active Directory do
Windows 2000 ou Windows Server 2003. O IAS oferece suporte aos novos recursos no Active
Directory, como User Principal Names (UPNs, nomes principais de usuários) e Universal
Groups (grupos universais). As Diretivas de acesso remoto proporcionam flexibilidade no con-
trole de quem tem permissão para se conectar à sua rede. Embora seja simples gerenciar a per-
missão de acesso remoto de cada conta de usuário, esse enfoque pode gerar uma grande carga
de trabalho com o crescimento da sua organização. As Diretivas de acesso remoto proporcio-
nam uma maneira mais poderosa e flexível de gerenciar a permissão de acesso remoto. Vamos
comentar com bastante calma este detalhe. Ao invés de utilizar o RADIUS, é possível configu-
rar as opções de acesso remoto nas propriedades das contas de cada usuário do Active Direc-
tory (conforme mostrarei mais adiante em um exemplo prático). Porém, esta abordagem, defi-
nitivamente, é contra-producente. Com o uso do RADIUS, ao invés de configurar as permissões


nas propriedades de cada conta, você cria políticas de acesso baseada no RADIUS, atribuindo
permissões de acesso (ou negando) para grupos de usuários do Active Directory. Sempre é
aconselhável que você defina as permissões para grupos e não para cada usuário individual-
mente. Por exemplo, se você precisa dar permissão de acesso remoto apenas aos vendedores e
gerentes, crie um grupo chamado AcessoRemoto e inclua, como membro deste grupo, todos os
usuários que trabalham com vendas, mais os gerentes. Ou melhor ainda, se você já tiver criado
um grupo com todos os vendedores e mais um grupo com todos os gerentes, inclua o grupo
Vendedores e o grupo Gerentes, como membros do grupo AcessoRemoto. Bem mais simples e
gerenciável do que configurar as permissões usuário por usuário. Usando as políticas de acesso
remoto, você poderá definir permissões para grupos. Com o uso das políticas de acesso remoto
no servidor RADIUS, o administrador define permissões de uma maneira centralizada e pode
ter estas permissões aplicadas aos vários servidores RRAS da empresa. As políticas de acesso re-
moto são um conjunto de condições que permitem maior flexibilidade aos administradores de
redes na concessão de acesso remoto.
As diretivas permitem que você controle o acesso remoto com base em:
– Usuários membros de um grupo de segurança do Active Directory. Você pode utilizar grupos
de segurança do Active Directory para permitir ou negar o acesso de usuários.
– A hora ou o dia da semana.
– O tipo de link através do qual o usuário está se conectando, por exemplo: ISDN (Integrated Ser-
vices Digital Network, rede digital de serviços integrados), modem ou encapsulamento VPN.
– O número de telefone que o usuário chama (Autorização DNIS). Com esta política você pode
limitar a quais servidores um usuário pode se conectar.
– O número de telefone do qual o usuário chama. Esta é uma importante configuração de segu-
rança. Por exemplo, se você tem usuários que trabalham em casa. Você pode configurar uma
política para somente aceitar chamadas deste usuário, do número de telefone da casa do usuá-
rio. Com isso se alguém descobrir a senha deste usuário e tentar fazer uma conexão usando um
outro telefone, o acesso será negado.
– O cliente RADIUS do qual a solicitação chegou.

l Administração centralizada de todos os seus servidores de acesso remoto: O suporte para o pa-
drão RADIUS permite que o IAS controle parâmetros de conexão de todo servidor de acesso re-
moto que implemente o padrão RADIUS e não somente servidores de acesso remoto baseados
no Windows 2000 Server.
As Diretivas de acesso remoto proporcionam mais flexibilidade aos administradores de re-

des no gerenciamento de parâmetros de conexão variáveis ao fornecer a capacidade de criar
perfis condicionais. Você pode usar perfis para configurar os parâmetros de conexão de
rede do usuário.


As condições sob as quais os parâmetros de conexão (um perfil) podem ser alterados, incluem:
– A hora ou o dia da semana.
– O tipo de link através do qual o usuário está se conectando (por exemplo, ISDN, modem ou
encapsulamento VPN).
– O fornecedor do servidor de acesso remoto ao qual o usuário está se conectando.
– Usuários membros de um grupo de segurança do Active Directory.
Ao usar perfis, você pode controlar parâmetros de conexão. Por exemplo, você pode:
– Permitir ou negar o uso de determinados métodos de autenticação.
– Controlar o tempo no qual a conexão pode permanecer ociosa.
– Controlar o tempo máximo de uma única sessão.
– Controlar o número de vínculos em uma sessão de vários vínculos (multilink).
– Controlar configurações de criptografia.
– Adicionar filtros de pacote para controlar o que o usuário pode acessar quando está conecta-
do à rede. Por exemplo, você pode usar filtros para controlar a quais (ou de quais) endereços IP,
hosts e portas o usuário tem permissão para enviar (ou receber) pacotes.
l Auditoria e estatísticas de uso centralizadas: O suporte ao padrão RADIUS permite que o IAS
colecione em um ponto único os registros de utilização (estatística) enviados pelos diversos
servidores RRAS da rede. O IAS registra informações de auditoria (por exemplo, sucesso na au-
tenticação, recusas e bloqueio automático de conta) e informações de uso (por exemplo, regis-
tros de logon e de logoff) em arquivos de log. O IAS fornece suporte a um formato de arquivo
de log que pode ser diretamente importado para um banco de dados. Os dados podem ser ana-
lisados usando qualquer aplicativo de análise de dados.
l Interface gráfica de administração: O IAS fornece uma interface gráfica do usuário (snap-in do
MMC) que permite que você configure servidores locais ou remotos.
l Monitoramento remoto: Você pode monitorar o IAS por meio de ferramentas do Windows
2000 Server, tais como o Visualizar eventos ou o Monitor do sistema.
l Adaptabilidade: Você pode usar o IAS em várias configurações de rede de tamanhos variados,
de servidores autônomos de redes pequenas a grandes redes corporativas e de ISPs.
l Importação/Exportação da configuração para gerenciar vários servidores IAS: A configuração
do IAS pode ser importada/exportada por meio do comando netshell.
O IAS é um serviço de rede, o qual é instalado a partir da opção Adicionar ou remover programas do
Painel de controle. Na janela que é aberta, clique em Adicionar ou remover componentes do Windows.
Na janela que é aberta, marque a categoria Serviços de rede e clique no botão Detalhes. Na janela que
é aberta marque a opção Internet Authentication Service, conforme indicado na Figura 6.16.


Figura 6.16 Instalando o IAS.
Clique em OK. Você estará de volta à janela de componentes do Windows. Clique em

Avançar. Será iniciada a instalação do IAS. Ao terminar a instalação, o Windows exibe
uma tela com uma mensagem de aviso. Clique em Concluir para fechar esta mensagem.
Pronto, o IAS está instalado. Para administrar o IAS você utiliza o console Internet Au-
thentication Service: Iniciar –> Programas –> Ferramentas administrativas –> Serviço de
autenticação da Internet.
Fechando o nosso looooongo parênteses, vamos voltar às configurações das propriedades

do servidor RRAS.
5. Para utilizar um servidor RADIUS para autenticação, selecione a opção RADIUS Authenti-
cation, na lista Authentication provider. Ao selecionar esta opção, o botão Configurar...
será habilitado. Clique no botão Configurar...
9. Será aberta a janela Autenticação RADIUS. Nesta janela, você pode acrescentar um ou mais
servidores RADIUS (servidores com o IAS instalado, se for um servidor com o Windows
2000 Server ou qualquer outro servidor com suporte ao protocolo RADIUS e compatível
com o RRAS). Quando um usuário tenta fazer a conexão com o RRAS, os servidores RADIUS
serão pesquisados na ordem em que foram informados nesta janela.
6. Para acrescentar um novo servidor RADIUS dê um clique em Adicionar.... Será aberta a ja-
nela Adicionar o servidor RADIUS, na qual você deve informar o nome do servidor
RADIUS, uma palavra secreta que será utilizada para comunicação com o servidor RADIUS
(caso esta palavra tenha sido configurada no servidor RADIUS.


7. Para informar uma nova palavra, basta clicar em Alterar... digitar a palavra duas vezes e cli-
car em OK, um tempo de time-out, um valor que é uma medida da velocidade com que o
servidor RADIUS responde (Pontuação inicial), a porta de comunicação e a opção Sempre
usar assinaturas digitais (esta opção define se um código autenticador de mensagens, base-
ado na palavra secreta, é enviado com cada mensagem do RADIUS). Esta opção representa
um adicional de segurança importante. Mensagens do protocolo Extensible Authenticati-
on Protocol (EAP) são sempre enviadas com um autenticador de mensagem. Antes de habi-
litar esta opção você deve certificar-se de que o servidor RADIUS (caso seja um servidor
RADIUS não Microsoft, pois o IAS suporta esta funcionalidade) suporta a troca de mensa-
gens com código autenticador. Esta opção deve ser selecionada sempre se o servidor
RADIUS for um servidor Microsoft rodando o IAS e o cliente RADIUS estiver configurado
para usar mensagens com código autenticador. Na Figura 6.7, apresento um exemplo no
qual está sendo adicionado o servidor RADIUS SRV-WIN2003.
Figura 6.17 Informações sobre o servidor RADIUS.
8. Clique em OK para adicionar o servidor RADIUS SRV-WIN2003. O servidor já será exibido na lis-
ta de servidores RADIUS, na janela Autenticação RADIUS, conforme indicado na Figura 6.18.
9. Para adicionar mais servidores RADIUS, utilize novamente o botão Adicionar... e siga os
passos indicados anteriormente. Lembrando que quando houver mais de um servidor
RADIUS, estes serão utilizados na ordem em que aparecem na listagem. Por exemplo, se
houver três servidores RADIUS na listagem, o cliente tenta se autenticar com o primeiro,
caso obtenha sucesso, os demais não serão contatados. O segundo da lista somente será
contatado se o primeiro falhar na autenticação do cliente e assim por diante.
10. Clique em OK para fechar a janela Autenticação RADIUS.
11. Você estará de volta à guia Segurança, da janela de propriedades do servidor RRAS que está
sendo configurado. Para definir quais métodos de autenticação serão aceitos pelo servidor
RRAS (veja a descrição completa sobre os métodos de autenticação, na parte teórica, no iní-
cio deste capítulo) clique em Métodos de autenticação...


Figura 6.18 Servidor RADIUS recém adicionado.
É importante lembrar que, quando está sendo utilizado um ou mais servidor RADIUS, os métodos de
autenticação serão definidos pelas políticas de acesso remoto, configuradas nos servidores
RADIUS, já que neste caso o cliente é autenticado no servidor RADIUS e não pelo RRAS.
Será exibida a janela Métodos de autenticação. Nesta janela, você pode assinalar quais os
métodos de autenticação serão aceitos pelo servidor RRAS, pode configurar algumas op-
ções do protocolo EAP e pode habilitar a conexão remota sem autenticação. Por padrão
vem habilitados os métodos: MS-CHAP e MS-CHAP v2, conforme indicado na Figura 6.19.
12. Para exibir os métodos do protocolo EAP, habilitados no servidor RRAS, marque o proto-
colo EAP e clique no botão Métodos EAP... Será aberta a janela Métodos EAP. Nesta janela,
são exibidos os métodos de autenticação EAP que estão habilitados no servidor RRAS e é
exibida uma mensagem que estes métodos podem ser configurados (desabilitar um mé-
todo ou habilitar novos métodos), usando as políticas de acesso remoto, conforme indi-
cado na Figura 6.20.
Não esqueça, principalmente se você está se preparando para os exames do MCSE 2000 ou do
MCSE 2003, que o protocolo EAP é necessário para a implementação de autenticação usando
Smart-card.


Figura 6.19 Configurando os métodos de autenticação.
Figura 6.20 Métodos EAP habilitados no servidor RRAS.
13. Clique em OK para fechar a janela que exibe os métodos EAP habilitados no servidor. Você
estará de volta à janela para configuração dos protocolos de autenticação. Nesta janela,
tem uma opção que merece alguns comentários adicionais: Permitir ao sistema remoto se
conectar sem autenticação. A seguir, apresento alguns comentários sobre a conexão sem
autenticação.


O servidor RRAS no Windows 2000 Server e também no Windows Server 2003 oferece su-
porte a acesso não autenticado, o que significa que as credenciais do usuário (um nome de
usuário e senha) não precisam ser informados pelo cliente que inicia a conexão. Existem al-
gumas situações específicas onde o acesso não autenticado é útil ou até mesmo necessário
Quando o acesso não autenticado é ativado, os usuários de acesso remoto são conectados
sem enviar as credenciais de usuário (logon e senha). Um cliente de acesso remoto não au-
tenticado não negocia o uso de um protocolo de autenticação comum durante o processo
de estabelecimento de conexão e não envia um nome de usuário ou senha.
Um acesso não autenticado, com clientes de acesso remoto do Windows 2000, Windows
XP ou Windows 2000 Server, pode ocorrer quando os protocolos de autenticação configu-
rados pelo cliente de acesso remoto não coincidem com aqueles configurados no servidor
de acesso remoto. Nesse caso, o uso de um protocolo de autenticação comum não é nego-
ciado e o cliente de acesso remoto não envia um nome de usuário e senha.
Existem três diferentes tipos de acesso não autenticado que podem ser configurados no ser-
vidor RRAS do Windows 2000 Server:
l Autorização DNIS
A autorização Dialed Number Identification Service (DNIS, serviço de identificação de

número discado) é a autorização de uma tentativa de conexão baseada no número cha-
mado. O DNIS identifica o número que foi chamado para o recebedor da chamada e é for-
necido pela maioria das companhias telefônicas. Para identificar as conexões baseadas
em DNIS e aplicar as configurações de conexão apropriadas, os seguintes passos devem
ser executados:
– Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a op-
ção Permitir ao sistema remoto se conectar sem autenticação, da Figura 6.19.
– Criar uma política de acesso remoto no servidor de autenticação (servidor de acesso re-
moto ou servidor IAS) para autorização baseada em DNIS com a condição Called-Station-Id
definida para o número do telefone.
Você aprenderá a criar políticas de acesso remoto mais adiante neste capítulo.
– Ativar o acesso não autenticado na diretiva de acesso remoto para autorização baseada
em DNIS.
Se seu serviço ou hardware de telefone não fornecer suporte ao DNIS, a passagem do núme-
ro que foi chamado, você poderá definir manualmente o número de telefone da porta. O
IAS não fornece suporte a solicitações de acesso DNIS a partir de um proxy. Esta é uma limi-
tação que existe no Windows 2000 Server e não foi solucionada no Windows Server 2003.


l Autenticação ANI/CLI
Uma autenticação Automatic Number Identification/Calling Line Identification

(ANI/CLI, identificação automática de número/identificação de linha de chamada) é
a autenticação de uma tentativa de conexão baseada no número de telefone do cha-
mador, do cliente que está tentando a conexão. O serviço ANI/CLI retorna o número
do chamador (cliente tentando fazer a conexão remota) para o recebedor da chamada
(servidor RRAS que está atendendo a chamada) e é fornecido pela maioria das compa-
nhias telefônicas.
A autenticação ANI/CLI é diferente da autorização de identificação do chamador. Na autori-

zação da identificação do chamador, este envia um nome de usuário e uma senha válidos. A
identificação do chamador que é configurada para a propriedade de discagem na conta de
usuário deve coincidir com a tentativa de conexão. Caso contrário, a tentativa de conexão
será rejeitada. Na autenticação ANI/CLI, um nome de usuário e senha não são enviados.
Para identificar as conexões baseadas em ANI/CLI e aplicar as configurações de conexão

apropriadas, devem ser executadas as seguintes configurações:
ção Permitir ao sistema remoto se conectar sem autenticação da Figura 6.19.
– Ativar o acesso não autenticado na política de acesso remoto apropriada para autentica-
ção baseada em ANI/CLI.
– Criar uma conta de usuário para cada número que será chamado para o qual você deseja
fornecer uma autenticação ANI/CLI. O nome da conta de usuário deve coincidir com o nú-
mero a partir do qual o usuário está discando. Por exemplo, se um usuário está discando a
partir do número 3333-0500, crie uma conta de usuário “33330500”.
– Defina a seguinte chave da Registry para 31 no servidor de autenticação (servidor de aces-

so remoto ou o servidor IAS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ser-
vices\RemoteAccess\Policy\User Identity Attribute
Essa configuração de registro diz ao servidor de autenticação para usar o número de chama-
da (RADIUS atributo 31, Calling-Station-ID) como a identidade do usuário da chamada. A
identidade do usuário é definida como o número da chamada somente quando não há ne-
nhum nome sendo fornecido na tentativa de conexão.
Para usar sempre o número da chamada como a identidade do usuário, defina a seguinte
chave da Registry com o valor 1 no servidor de autenticação:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Override User-Name


No entanto, se você definir Override User-Name como 1 e User Identity Attribute como 31,
o servidor de autenticação só pode executar autenticações baseadas em ANI/CLI. A autenti-
cação normal usando os protocolos de autenticação como MS-CHAP, CHAP e EAP serão
desativados.
As alterações nas configurações da Registry não terão efeito até que o serviço de roteamento e aces-
so remoto ou o serviço de autenticação da Internet sejam reiniciados.
l Autenticação de convidado (Guest)
Com este tipo de autenticação, durante o processo de autenticação, o chamador não envia
um nome de usuário ou senha. Por padrão, se um acesso não autenticado for ativado, a
conta Guest (Convidado) será usada como a identidade do cliente.
Para ativar o acesso à conta Convidado, as seguintes etapas devem ser executadas:
ção Permitir ao sistema remoto se conectar sem autenticação da Figura 6.19.
– Ativar o acesso não autenticado na diretiva de acesso remoto apropriada. A política deve
ser ativada no servidor responsável pela autenticação. Se você está usando a autenticação
do Windows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o
IAS para autenticação, você deve criar a política no servidor IAS.
– Ativar a conta Guest (Convidado).
– Definir a permissão de acesso remoto na conta Convidado para Permitir acesso ou Con-
trolar acesso através de uma política de acesso. Se você está usando a autenticação do Win-
dows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o IAS para
autenticação, você deve criar a política no servidor IAS.
Se você não deseja ativar a conta Guest (Convidado), crie uma conta de usuário e defina a permis-
são de acesso remoto para Permitir acesso ou Controlar acesso através de diretiva de acesso remo-
to. Em seguida, defina a seguinte chave da registry no servidor de autenticação (servidor RRAS, se
você utiliza autenticação do Windows, ou servidor IAS, se você utiliza autenticação RADIUS) com o
nome da conta criada especialmente para o acesso remoto não autenticado:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\
Default User Identity


As alterações nas configurações do registro não terão efeito até que o serviço de roteamento e aces-
so remoto ou o serviço de autenticação da Internet sejam reiniciados.
Muito bem, você viu que existem três diferentes métodos para acesso não autenticado.
Além disso, é fundamental salientar que, após habilitar o acesso não autenticado, você
deve fazer configurações adicionais, para que estes métodos possam funcionar correta-
mente. Após habilitar a opção de acesso não autenticado, o administrador deverá fazer al-
terações nas políticas de segurança do acesso remoto e, em alguns casos, na registry do ser-
vidor de autenticação, conforme passos descritos anteriormente.
14. Defina as configurações de autenticação desejadas e clique em OK. Você estará de volta à
guia Segurança, da janela de propriedades do servidor RRAS que está sendo configurado.
15. Dê um clique na guia IP. Serão exibidas as opções indicadas na Figura 6.21.
Figura 6.21 Opções da guia IP.
16. Nesta janela, você tem uma série de configurações importantes, descritas a seguir:
l Ativar o roteamento IP: Esta opção é utilizada para habilitar/desabilitar o roteamento

IP, que é o encaminhamento de pacotes IP de uma interface de rede do servidor para ou-
tras interfaces (por isso que o roteamento exige, pelo menos, duas interfaces de rede). O
roteamento IP é necessário para habilitar a opção de roteamento de discagem sob de-
manda (ver Capítulo 7). Outra situação que exige a habilitação do roteamento IP é
quando os clientes que fazem a conexão remota, devem ter acesso a todos os recursos da


rede, isto é, acesso aos recursos nos demais servidores da rede, além do servidor RRAS.
Para que os clientes remotos fiquem limitados a acessar somente os recursos do servidor
RRAS, você deve desabilitar esta opção.
No Capítulo 7, você aprenderá sobre o uso do servidor RRAS para roteamento IP.
l Permitir acesso remoto com base em IP e conexões de discagem por demanda: Esta
opção é para utilizada habilitar ou desabilitar o uso do protocolo Internet Protocol
Control Protocol (IPCP) como protocolo de controle para o protocolo PPP. Um pro-
tocolo de controle é utilizado para a “negociação” entre o cliente e o servidor de aces-
so remoto. Nesta negociação, é definido qual o protocolo que será utilizado para tro-
ca de informações entre o cliente e o servidor. Esta opção também habilita/desabilita
as conexões sob demanda.
l Atribuição de endereço IP: Quando o cliente faz uma conexão remota com o servidor
RRAS, deve receber as configurações do protocolo TCP/IP a partir do servidor RRAS. É
exatamente o que acontece quando você faz a conexão com o seu provedor de Internet.
A partir do servidor de acesso remoto do provedor de Internet, o computador, que você
está utilizando para a conexão, recebe as configurações do protocolo TCP/IP. Com o
RRAS, as configurações fornecidas para o cliente podem ser obtidas a partir do servidor
DHCP da rede (ver Capítulo 4 para informações detalhadas sobre o DHCP) ou estas in-
formações podem ser configuradas, manualmente, nesta guia. A seguir, apresento mais
alguns detalhes sobre a integração do RRAS com o DHCP.
Entenda bem como funciona a integração do DHCP com o RRAS.
O uso integrado do RRAS com o DHCP permite que os clientes recebam, dinamicamente,
as configurações do protocolo TCP/IP, durante a conexão com o servidor RRAS. Quando o
servidor RRAS e o servidor DHCP estão instalados no mesmo servidor, existem diferenças
na maneira como o servidor DHCP fornece as configurações para os clientes de rede e como
as configurações são fornecidas para os clientes que fazem o acesso remotamente.
As informações fornecidas aos clientes da rede local são baseadas totalmente em definições
configuradas no console DHCP para o servidor DHCP (ver Capítulo 4). Quando um cliente
da rede local é configurado a partir do servidor DHCP, recebe, diretamente do servidor
DHCP, as seguintes configurações:
– Um endereço IP fornecido a partir do pool de endereços disponíveis de um escopo ativo

no servidor DHCP (de um servidor DHCP autorizado no Active Directory). O servidor
DHCP gerencia e distribui diretamente o endereço para o cliente DHCP baseado em LAN.


– Parâmetros adicionais e outras informações de configuração fornecidas através de opções

de DHCP atribuídas na concessão do endereço. Os valores e a lista de opções usados corres-
pondem a tipos de opção configurados e atribuídos no servidor DHCP, tais como o número
do Gateway padrão, o número IP de um ou mais servidores DNS, o número IP de um ou
mais servidores WINS e assim por diante.
Quando o servidor RRAS utiliza a integração com o servidor DHCP, para fornecer configu-
rações dinamicamente para os clientes que fazem a conexão remotamente, o servidor
RRAS, segue os seguintes passos:
– Quando o serviço RRAS é inicializado e a opção de obter as configurações a partir do

DHCP está habilitada, o servidor RRAS instrui o cliente DHCP a obter dez endereços IP a
partir do servidor DHCP.
– O servidor DHCP utiliza o primeiro dos endereços IP obtidos a partir do servidor DHCP
para a interface de rede de acesso remoto.
– Os nove endereços restantes são reservados para serem utilizados pelos clientes que fa-
zem conexões com o servidor RRAS.
Quando um cliente encerra a sessão, o endereço IP utilizado pelo cliente é liberado e po-
derá ser utilizado por um dos próximos clientes que fizer a conexão com o servidor RRAS.
Quando os dez endereços IP, obtidos a partir do servidor DHCP, estiverem em uso, o servi-
dor RRAS solicita mais dez endereços para o servidor DHCP. Quando o serviço RRAS for pa-
rado, todos os endereços solicitados ao servidor DHCP serão liberados. O que o servidor
RRAS faz é manter um cache de lease de endereços IP obtidos a partir do servidor DHCP.
Quando os clientes fazem uma conexão remota e solicitam um endereço IP, o servidor
RRAS fornece um dos endereços a partir do cache de lease de endereços IP, os quais foram
obtidos, previamente, a partir do servidor DHCP.
Quando o endereço IP for fornecido ao cliente dial-up, este não saberá que o endereço
foi obtido através desse processo intermediário entre o servidor DHCP e o servidor de
roteamento e acesso remoto. O servidor RRAS mantém essa concessão em nome do
cliente. Desta forma, a única informação que o cliente recebe do servidor DHCP é a con-
cessão de endereço IP.
Os servidores DHCP, baseados no Windows 2000 Server ou no Windows Server 2003, fornecem
uma classe de usuário predefinido, a classe de acesso remoto padrão, para atribuir opções específi-
cas e fornecidas somente para clientes de roteamento e acesso remoto. Estas opções podem ser con-
figuradas diretamente no servidor DHCP. Portanto, quaisquer informações adicionais que devam
ser fornecidas para os clientes de acesso remoto devem ser configuradas nesta classe chamada:
Routing and Remote Access Class.


Cada vez que o servidor RRAS obtém um grupo de dez endereços IP, a partir do servidor
DHCP, registra as seguintes informações:
– O endereço IP do servidor DHCP.
– O endereço IP utilizado pela interface de acesso remoto do servidor RRAS.
– A data e hora de obtenção do lease.
– A data e hora da expiração do lease.
– A duração do lease.
– Todas as outras opções retornadas pelo servidor DHCP (como por exemplo número IP do
gateway padrão, informações sobre reservas e assim por diante) são descartadas.
16. Você também poderia definir uma faixa de endereços IP manualmente. Para isso, marque a
opção Usar pool de endereços estáticos e clique no botão Adicionar... Será aberta a janela
Novo Intervalo de Endereços na qual você pode informar uma faixa de endereços manual-
mente, conforme exemplo da Figura 6.22.
Figura 6.22 Criando uma faixa estática de endereços para o servidor RRAS.
17. Defina as configurações desejadas na guia IP e dê um clique na guia PPP. Serão exibidas as
opções indicadas na Figura 6.23.
Nesta guia, você configura uma série de opções em relação ao protocolo PPP. Algumas me-
recem considerações mais detalhadas, como por exemplo, o uso de multilink e do protoco-
lo BAP, conforme descreverei logo em seguida.
l Conexões multilink e Controle dinâmico de largura banda usando BAP e BACP.
Ao marcar a opção Conexões multilink, a opção Controle dinâmico de largura banda usan-
do BAP e BACP também será habilitada, podendo ser marcada ou desmarcada. A seguir,
descrevo o funcionamento das conexões multilink e do controle dinâmico de banda no


Figura 6.23 Opções da guia PPP.
O servidor RRAS no Windows 2000 e no Windows Server 2003 oferece suporte a conexões
múltiplas e ao Bandwidth Allocation Protocol (BAP, protocolo de alocação de largura de
banda). Com o recurso de conexões múltiplas, o cliente pode utilizar duas ou mais linhas
telefônicas simultaneamente. Por exemplo, o cliente pode usar duas linhas de 64 Kbps para
fazer a conexão. Para o cliente é como se ele estivesse utilizando uma única linha de 128
Kbps. Você também pode usar as conexões múltiplas para qualquer adaptador ISDN. As co-
nexões múltiplas devem receber suporte nos dois lados da conexão, ou seja, este recurso
deve estar habilitado no cliente e também no servidor RRAS.
Não esqueça que, para usar as conexões múltiplas, o suporte deve estar habilitado no cliente e também
no servidor. Também não esqueça do uso e da função do protocolo BAP.
Embora as conexões múltiplas permitam que vários links sejam agregados, não fornece um
mecanismo para adaptação a condições variáveis de largura de banda pela adição de víncu-
los adicionais quando necessário ou pela finalização de vínculos extras quando desnecessári-
os. Essa capacidade adicional é proporcionada pelo Bandwidth Allocation Protocol (BAP). O
BAP usa uma conexão múltipla para gerenciar vínculos de forma dinâmica. Assim, se houver
necessidade de mais banda e houver mais links disponíveis, o protocolo BAP é capaz de utili-
zar um ou mais links disponíveis para aumentar o valor total da banda disponível. Se a ativi-
dade estiver baixa, o BAP é capaz de desconectar um ou mais links que estejam sendo utiliza-
dos e reconectá-los novamente se o tráfego de informações voltar a aumentar.


Por exemplo, imagine que o recurso de multilink esteja habilitado no cliente e no servidor
RRAS e o BAP criou, inicialmente, uma conexão múltipla que, na verdade, está utilizando
um único vínculo físico (ou seja, é múltipla apenas nas configurações mas ainda não está
utilizando mais de um link). Quando a utilização do vínculo único atinge um determinado
nível, previamente configurado, o cliente de acesso remoto usa uma mensagem de solicita-
ção BAP para solicitar um vínculo adicional. A mensagem de solicitação BAP especifica o
tipo de vínculo desejado, como telefone analógico, ISDN ou X.25. Em seguida, o servidor
de acesso remoto envia uma mensagem de resposta BAP que contém o número do telefone
de uma porta disponível no servidor de acesso remoto do mesmo tipo especificado pelo cli-
ente de acesso remoto na solicitação BAP. O BAP também atua em uma situação inversa, ou
seja, quando a conexão está estabelecida usando múltiplos links e o tráfego na rede está di-
minuindo. Neste caso, o BAP, automaticamente, é capaz de liberar links, diminuindo a
banda total disponível.
Não esqueça a condição para que uma conexão multilink possa ser estabelecida (este recurso deve
estar habilitado no cliente e no servidor de acesso remoto) e a função do protocolo BAP (adicionar
ou remover links dinamicamente, dependendo do volume de tráfego entre o cliente e o servidor).
l Extensões LCP (Link Control Protocol).
Os protocolos LCP estabelecem e configuram o empacotamento PPP. O empacotamento

PPP define como os dados são encapsulados antes da transmissão através do link de WAN.
O formato do pacote padrão PPP assegura que o software de acesso remoto de qualquer fa-
bricante possa transmitir e reconhecer pacotes de dados de qualquer software de acesso re-
moto que siga os padrões PPP. Como o formato do pacote é padrão, este é reconhecido por
qualquer servidor ou cliente que esteja habilitado ao protocolo PPP.
Esta opção é utilizada para habilitar/desabilitar as extensões do protocolo LCP no servidor

RRAS. Se esta opção for desmarcada, o protocolo LCP não conseguirá enviar informações
tais como Time-Remaining (tempo restante), Identification packets (Identificação de pa-
cotes) e requesting callback (requisição de callback) durante a negociação LCP. A negocia-
ção acontece na fase inicial da conexão quando estão sendo definidos os parâmetros e as
características da conexão PPP que será estabelecida.
l Compactação por software:
Este opção é utilizada para habilitar/desabilitar o uso do Microsoft Point-to-Point Com-

pression Protocol (MPPC) para a compactação dos dados trafegados através de uma cone-
xão remota com o servidor RRAS ou através de uma conexão de discagem sob demanda. As
características do protocolo MMPC estão definidos na RFC 2118.
18. Defina as configurações desejadas na guia PPP e dê um clique na guia Log de eventos. Serão
exibidas as opções indicadas na Figura 6.24.


Figura 6.24 Opções da guia Log de eventos.
Nesta guia, você define quais informações devem ser registradas no log do servidor RRAS.
Por exemplo, a opção Registrar somente erros no log é utilizada para fazer com que sejam
gravados no log somente os eventos de erro. Esta é a opção que gera o menor número de
entradas nos logs do servidor RRAS, com exceção da opção Desativar log de eventos, a
qual é utilizada para desabilitar o log. Existe também a opção para logar informações adi-
cionais, as quais são utilizadas para a resolução de problemas com o serviço RRAS (Regis-
trar o máximo de informações no log). Esta opção somente deve ser habilitada quando o
serviço RRAS estiver apresentando problemas.
Com o uso desta opção é gerado um grande número de informações técnicas sobre o servi-
ço RRAS, informações estas que podem ajudar os técnicos de suporte a descobrir o que está
causando problemas no RRAS. O log do servidor RRAS é separado dos eventos registrados
no log de eventos do sistema. Você pode usar as informações do log para controlar as tenta-
tivas de uso de acesso remoto e de autenticação, como por exemplo, tentar identificar
usuários com um grande número de tentativas de conexão sem sucesso. O log de autentica-
ção e estatísticas é especialmente útil para a solução de problemas relativos a diretivas de
acesso remoto, como por exemplo em situações onde um determinado usuário deveria ter
permissão de acesso para fazer a conexão, porém está recebendo uma mensagem de acesso
negado. Para cada tentativa de autenticação, o nome da diretiva de acesso remoto que acei-
tou ou rejeitou a tentativa de conexão é registrado.


As informações de autenticação e estatísticas são armazenadas em um arquivo de log confi-

gurável armazenado na pasta %systemroot%\System32\LogFiles. Os arquivos de log são
gravados no formato de log do IAS ou em um padrão que pode ser utilizado pelos bancos de
dados relacionais mais conhecidos, tais como o Microsoft Access e o SQL Server. Se o servi-
dor RRAS estiver utilizando um servidor RADIUS para autenticação, os logs serão gerados
no servidor RADIUS. Com isso, é possível concentrar os logs de vários servidores RRAS em
um único servidor RADIUS, o qual está sendo utilizado pelos servidores RRAS para autenti-
cação dos usuários. Isso facilita a implementação de uma política de auditoria e análise dos
logs de autenticação de maneira centralizada e, até mesmo, automatizada. Você também
pode habilitar o log do protocolo PPP. Para isso basta marcar a opção Ativar o log do proto-
colo ponto a ponto (PPP).
19. Defina as configurações desejadas e clique em OK para fechar a janela de propriedades do

servidor RRAS e aplicar as alterações efetuadas.
Muito bem, neste longo exemplo você percorreu todas as opções de configurações disponíveis
para servidor RRAS e aprendeu sobre diversos tópicos relacionados a estas configurações, tais
como o uso de um servidor RADIUS para autenticação no RRAS. Você aprendeu que o IAS é a im-
plementação do RADIUS no Windows 2000 Server (e também no Windows Server 2003), apren-
deu sobre conexões não autenticadas, sobre as configurações do protocolo PPP, tais como multi-
link e BAP, enfim, uma série de detalhes importantes sobre a configuração do servidor RRAS. Nos
próximos itens, você aprenderá sobre o conceito de DHCP Relay Agent e sobre a criação e configu-
ração de políticas de acesso remoto no servidor RRAS.
O CONCEITO DE DHCP RELAY AGENT

No Capítulo 4, você aprendeu como o cliente entra em contato com o servidor DHCP usando
uma série de mensagens: DHCPDiscover, DHCPOffer, DHCPRequest e DHCPAck. Acontece que a
maioria destas mensagens utiliza broadcast. Por isso, o cliente somente será capaz de obter as con-
figurações do TCP/IP de um servidor DHCP que esteja na mesma rede local do cliente, uma vez
que os roteadores, por padrão, não passam tráfego de broadcast.
Porém, na prática, pode haver situações onde existem pequenos escritórios da empresa, com um
número reduzido de equipamentos e que, por algum motivo, não existe servidor DHCP neste es-
critório. A questão é: seria possível que estes clientes, que não tem um servidor DHCP disponível
na sua própria rede local, utilizassem um servidor DHCP localizado em outra rede local da empre-
sa? A resposta é sim.
Para isso, o administrador deve configurar um DHCP Relay Agent na rede onde não existe servi-
dor DHCP. No exemplo deste item, o DHCP Relay Agent deve ser configurado na rede do pequeno
escritório onde não está disponível um servidor DHCP. O DHCP Relay Agent “ouve” os pacotes
enviados pelos clientes DHCP, transforma estes pacotes em um formato que pode ser encaminha-


do pelo roteador e envia estes pacotes para o servidor DHCP (o DHCP Relay Agent é configurado
com o número IP do servidor DHCP). O DHCP Relay Agent também é responsável por receber as
respostas vindas do servidor DHCP e repassá-las para os clientes DHCP. Em resumo, o DHCP Re-
lay Agent é um intermediário entre os clientes DHCP (em uma rede que não tem servidor DHCP) e
o servidor DHCP de uma rede remota (sendo que o número IP deste servidor DHCP remoto foi in-
formado nas propriedades do DHCP Relay Agent). É isso.
O DHCP Relay Agent faz parte do servidor RRAS, ou seja, somente estará disponível quando o ser-
vidor RRAS estiver ativado. No exemplo prático a seguir, eu mostro os passos para configuração
do DHCP Relay Agent.
Se você está se preparando para os exames do MCSE 2000 ou para o MCSE 2003 conheça exa-
tamente a função do DHCP Relay Agent. Lembre que este é instalado na rede onde não existe ser-
vidor DHCP disponível e que é configurado com o número IP do servidor DHCP que será utilizado
pelos clientes.
Exemplo: Para configurar o DHCP Relay Agent, siga os passos indicados a seguir:
1. Faça o logon com a conta de administrador ou com uma conta com permissão de
administrador.
trativas –> Roteamento e acesso remoto.
3. O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do

servidor RRAS, para exibir as diversas opções disponíveis.
4. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções de roteamen-

to disponíveis. Observe que uma das opções é Agente de retransmissão DHCP (DHCP
Relay Agent).
5. Clique com o botão direito do mouse na opção Agente de retransmissão DHCP (DHCP Re-
lay Agent) e, no menu de opções que é exibido, clique em Propriedades.
6. Na janela de propriedades, você pode informar o endereço IP de um ou mais servidores

DHCP, para os quais serão enviadas as mensagens de requisição dos clientes DHCP. Infor-
me o número IP do servidor DHCP a ser utilizado e clique em Adicionar, conforme exem-
plo da Figura 6.25 e clique em OK.
A nova interface já aparece no lado direito do painel. Pronto, o Agente de retransmissão

DHCP (DHCP Relay Agent) está configurado.
7. Feche o console Roteamento e Acesso Remoto.


Figura 6.25 Configurando o DHCP Relay Agent.
CONFIGURANDO POLÍTICAS DE ACESSO REMOTO

O administrador pode usar políticas de acesso remoto para controlar quais usuários podem fazer a
conexão remotamente, quais tipos de mídia podem ser utilizados (tais como conexão discada,
X25, ISDN e assim por diante), os horários permitidos para conexão e uma série de outras configu-
rações que permitem ao administrador definir quem, quando e como as conexões com o servidor
RRAS podem ser estabelecidas.
Você encontrará na documentação oficial do Windows 2000 Server (pelo menos nas traduções), o
termo diretiva de segurança ao invés de políticas de segurança. Eu prefiro o termo políticas de segu-
rança, termo este que utilizarei neste livro.
Com as políticas de acesso remoto, o administrador pode conceder ou negar autorização de acor-
do com a hora do dia ou o dia da semana, com base no grupo ao qual o usuário de acesso remoto
pertence, o tipo de conexão solicitada, dial-up ou Virtual Private Network (VPN) e assim por dian-
te. O administrador pode definir configurações que limitem o tempo máximo de sessão, especi-
ficar os níveis de segurança da autenticação e criptografia, definir diretivas de Bandwidth Allo-
cation Protocol (BAP), como por exemplo quando novos links devem ser adicionados ou retira-
dos e assim por diante.


O uso das políticas de acesso remoto é uma maneira de controlar o acesso ao servidor RRAS, com
base em uma série de parâmetros de configuração.
No Windows NT versões 3.5x e 4.0, o controle de acesso ao servidor de acesso remoto, basea-
va-se na opção Conceder permissão de discagem ao usuário do Gerenciador de usuários ou do uti-
litário Administrador de acesso remoto. As opções de call-back também eram configuradas por
cada usuário. No Windows 2000 Server e no Windows Server 2003, ainda existe a possibilidade
de fazer determinadas configurações nas propriedades da conta de cada usuário. Porém esta não é
a maneira mais produtiva para gerenciar e configurar as permissões de acesso ao RRAS. Ao invés
de configurar as permissões individualmente para cada usuário, o administrador faz estas configu-
rações usando as políticas de acesso remoto.
É possível definir as políticas em diferentes locais. Se você está utilizando a autenticação integra-
da do Windows, as políticas devem ser definidas no próprio servidor RRAS. Estas políticas serão
aplicadas a todos os usuários que tentarem a conexão com o servidor RRAS onde a política foi cria-
da. Este método tem o inconveniente de as políticas terem que ser definidas, individualmente,
em cada servidor RRAS. Além disso, se você precisa fazer alterações nas políticas de acesso remoto,
terá que fazer as alterações em todos os servidores RRAS, onde devam ser aplicadas as alterações.
Uma abordagem mais indicada é que os vários servidores RRAS do domínio utilizem um único
servidor RADIUS (servidor com o IAS instalado e configurado) como servidor de autenticação.
Assim, as políticas de acesso remoto são criadas e gerenciadas de maneira centralizada no servidor
RADIUS. Desta forma, o administrador cria uma ou mais políticas no servidor RADIUS e estas po-
líticas são aplicadas a todos os servidores RRAS, que utilizam o servidor RADIUS para autentica-
ção. Para alterar uma política de acesso remoto, basta alterá-la no servidor RADIUS, automatica-
mente, todos os servidores RRAS passarão a utilizar a política de acesso remoto já modificada.
Com o uso de políticas de acesso remoto, uma conexão será autorizada se as configurações da ten-
tativa de conexão coincidirem com pelo menos uma política (sujeita às condições das propriedades
de discagem da conta de usuário e das propriedades de perfil da política de acesso remoto). Se as
configurações da tentativa de conexão não coincidirem com nenhuma das políticas de acesso remo-
to, a tentativa de conexão será negada, independentemente, das propriedades de discagem da
conta de usuário. Por exemplo, se existem três políticas definidas para um ou mais grupos aos quais
pertence um determinado usuário. Em pelo menos uma das políticas o usuário deverá ter permissão
de acesso. O usuário só não terá acesso se em todas as políticas for negado o acesso. Observe que
este comportamento é diferente do uso de negar permissões em permissões NTFS e permissões de
compartilhamento. Nas permissões NTFS e de compartilhamento, se um usuário pertencer a dez
grupos, sendo que para nove deles as permissões NTFS são de acesso e apenas a um dos grupos foi
negado o acesso, prevalecerá a permissão de negar acesso e o usuário não terá acesso ao recurso.
Já com as políticas de acesso remoto é, digamos assim, o contrário. Se pelo menos uma política der
permissão de conexão (independente de uma dúzia de outras políticas negarem a permissão de co-
nexão, o usuário terá permissão para fazer a conexão).


Se houver conflito entre as configurações definidas em uma política de acesso remoto e as configu-
rações definidas nas propriedades da conta do usuário, prevalecem as definições das proprieda-
des da conta do usuário, a não ser que a opção para ignorar as propriedades da conta do usuário
tenha sido habilitada.
As políticas de acesso remoto podem verificar uma série de configurações/itens, antes de permitir
que a conexão seja estabelecida:
l Permissão para fazer o acesso remoto.

l Grupos aos quais pertence o usuário.
l Tipo de conexão (discada, ISDN, VPN, etc.).
l Hora do dia.
l Métodos de autenticação.
l Algumas condições avançadas podem ser definidas:
Identidade do servidor de acesso.
Número do telefone do cliente ou endereço MAC da placa de rede do cliente.
Se as propriedades da conta do usuário devem ser ignoradas.
Se o acesso não autenticado está ou não habilitado
Uma vez que a conexão foi aceita e estabelecida, as configurações das políticas de acesso remoto
podem definir restrições à conexão, tais como:
l Tempo máximo de inatividade: O tempo após o qual uma conexão é desconectada por falta de
atividade. Por padrão, essa propriedade não está definida e o servidor de acesso remoto não
desconecta uma conexão ociosa.
l Tempo máximo da sessão: O tempo máximo durante o qual uma conexão permanece conecta-
da. A conexão é desconectada pelo servidor de acesso remoto após o tempo máximo de sessão.
Por padrão, essa propriedade não está definida e o servidor de acesso remoto não tem um limi-
te máximo de sessão.
l Criptografia: Define o nível de criptografia mínimo que será aceito como método de criptogra-
fia entre o cliente e o servidor de acesso remoto. Se o cliente não for capaz de estabelecer uma
conexão com o nível de criptografia mínimo, a conexão será recusada. Podem ser definidos os
seguintes níveis de criptografia:
Sem criptografia: Quando selecionada, essa opção permite uma conexão sem criptografia. Para
fazer com que a criptografia seja obrigatória, desmarque esta opção.


Básica: Para conexões dial-up e VPN com base em PPTP, é usado o Microsoft Point-to-Point
Encryption (MPPE) com uma chave de 40 bits. Para as conexões VPN baseadas em L2TP através
de IPSec, é usada a criptografia DES de 56 bits.
Forte (Strong): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia MPPE com
uma chave de 56 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a crip-
tografia DES de 56 bits.
Mais forte (Strongest): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia
MPPE com uma chave de 128 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é
usada a criptografia DES tripla (3DES).
l Filtros de pacotes IP: O administrador pode definir propriedades que definirão como o servi-
dor RRAS fará a atribuição de endereços IP aos clientes. As seguintes opções estão disponíveis:
O servidor deve fornecer um endereço IP.
O cliente pode requisitar um endereço IP.
A atribuição de endereço é determinada pelo servidor (valor padrão).
Um endereço IP estático é atribuído: Se for atribuído um endereço estático, nas propriedades

da conta do usuário, irá sobrescrever as opções definidas nas políticas de acesso remoto.
O administrador também pode usar as configurações de IP, de uma política de acesso remoto,
para aplicar filtros de pacote IP, que serão aplicados ao tráfego da conexão. Com esta opção, o
administrador pode configurar qual o tráfego IP será permitido para a conexão remota. Podem
ser configurados filtros para definir o tráfego que é permitido do servidor para o cliente (filtros
de saída) e o tráfego que é permitido do cliente para o servidor (filtros de entrada). Podem ser
criadas configurações baseadas em lista branca ou lista negra. Na lista negra, todo tráfego é per-
mitido com exceção do tráfego definido nos filtros. Na lista branca, todo o tráfego é proibido
com exceção do tráfego definido nos filtros.
Estes filtros não serão aplicados para conexões do tipo discagem sob demanda.
l Restrições avançadas:
Endereço IP para as conexões PPP.
Rotas estáticas.
As restrições/permissões das políticas de acesso remoto podem ser definidas com base nos seguin-
tes critérios:
l Grupos aos quais pertence o usuário.

l Tipo de conexão.


l Hora do dia.
l Métodos de autenticação.
l Identidade do servidor.
l Número do telefone do cliente ou endereço MAC da placa de rede do cliente.
l Se o acesso não autenticado está ou não habilitado.
Por exemplo, podem ser definidas diferentes políticas, com diferentes tempos máximos de ses-
são para diferentes grupos ou para diferentes tipos de conexão. Ou restrições podem ser aplica-
das para conexões não autenticadas.
As autorizações de acesso podem ser definidas de duas diferentes maneiras:
l Por usuário: Com esta forma de gerenciamento, as permissões de acesso remoto são configu-
radas diretamente nas propriedades da conta do usuário no Active Directory (ou nas proprie-
dades da conta do computador, se for definida permissões por computador). Estas proprieda-
des (descritas mais adiante) podem ser utilizadas para permitir ou para negar o acesso
remoto. Também podem ser utilizadas para criar diferentes políticas de acesso remoto, ba-
seadas em diferentes tipos de conexão. Por exemplo, pode ser criada uma política para cone-
xões do tipo dial-up e outra para conexões wireless. O gerenciamento por usuário somente é
recomendado quando você tiver um pequeno número de usuários (não mais do que dez) que
fazem a conexão remota.
Se você estiver usando o gerenciamento de autorização por usuário, os seguintes passos serão
executados para determinar se a conexão será aceita ou se será rejeitada:
– Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso remo-
to, verifique as configurações definidas nas propriedades da conta do usuários.
– Se nas configurações das propriedades da conta do usuário, estiver permitida a conexão, apli-
que as configurações definidas na política de acesso remoto e as configurações definidas na
conta do usuário.
– Se nas configurações das propriedades da conta do usuário, estiver negada a permissão para
fazer a conexão, a conexão será rejeitada, independentemente das configurações das políticas
de acesso remoto.
– Se a tentativa de conexão não atender a todas as condições definidas na política de acesso re-
moto, processe a próxima diretiva de acesso remoto, na ordem em que as diretivas foram colo-
cadas na lista pelo administrador.
Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso re-
moto. Nesse caso, a tentativa de conexão será rejeitada, independentemente da configuração de
permissão de acesso remoto da conta do usuário.


Conforme já salientado anteriormente, o gerenciamento por usuário não é recomendado na maio-

ria das situações. Somente deve ser utilizado quando você tiver um número muito pequeno de usuá-
rios que se conectarão remotamente ao servidor RRAS. Eu diria que o limite para o gerenciamento
por usuário seria de dez usuários.
l Por grupo: No gerenciamento por grupo, o administrador configura as propriedades das contas
dos usuários, marcando a opção que define que o gerenciamento do controle do acesso remoto
será feito via políticas de acesso remoto. Com isso, todo o controle passa a ser feito pelas políticas
definidas no servidor RRAS ou no servidor RADIUS, se este estiver sendo utilizado para autenti-
cação. Com esta política, o administrador pode configurar diferentes políticas de segurança e as-
sociá-las a grupos de usuários. Por exemplo, você pode criar uma política de acesso remoto que
limita os horários permitidos para conexão, para entre 8 horas da manhã e 6 horas da tarde e as-
sociar esta política com o grupo Estagiários. Você pode criar uma segunda política de acesso re-
moto, a qual permite a conexão 24 horas por dia, e associá-la ao grupo Gerentes.
Se você estiver usando o gerenciamento de autorização por grupo, com base em políticas de
acesso remoto, os seguintes passos serão executados para determinar se a conexão será aceita
ou se será rejeitada:
– Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso, veri-
fique a permissão de acesso remoto da política de acesso remoto.
– Se a permissão de acesso remoto for garantida, aplique as configurações definidas na política

de acesso remoto e as configurações da conta do usuário.
– Se a permissão de acesso remoto for negada, rejeite a conexão.
– Se a tentativa de conexão não atende todas as condições definidas na política de acesso remo-
to, processe a próxima política de acesso remoto.
Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso re-
moto configuradas no servidor RRAS ou no servidor RADIUS (se este estiver sendo utilizado para au-
tenticação). Nesse caso, a tentativa de conexão será rejeitada.
A seguir, apresentarei dois exemplos práticos. No primeiro, mostrarei as configurações relaciona-

das ao acesso remoto, que podem ser definidas nas propriedades da conta do usuário. No seguin-
do exemplo, mostrarei como criar uma política de acesso remoto no servidor RRAS.
CONFIGURAÇÕES DE ACESSO REMOTO NAS PROPRIEDADES DA CONTA DO USUÁRIO

Nas propriedades da conta de um usuário, estão disponíveis uma série de propriedades. No
exemplo prático deste item, descreverei as opções disponíveis e mostrarei como configurá-las.


Exemplo: Para configurar as propriedades relacionadas com o acesso remoto, em uma conta de
usuário, siga os passos indicados a seguir:
1. Faça o logon como administrador ou com uma conta de permissão de administrador.
2. Abra o console Usuários e Computadores do Active Directory: Iniciar –> Programas –> Fer-
ramentas administrativas –> Usuários e Computadores do Active Directory.
3. Localize a conta de usuário a ser configurada e dê um clique duplo para exibir a janela de
propriedades da conta.
4. A janela de propriedades da conta é aberta, com a guia Geral selecionada por padrão. As op-
ções de acesso remoto são configuradas na guia Discagem. Clique na guia Discagem. Nesta
guia, estão disponíveis as opções indicadas na Figura 6.26.
Figura 6.26 Opções de acesso remoto na guia Discagem.
A seguir, descrevo as diversas opções desta guia.
l Permissão de acesso remoto (via discagem ou rede virtual privada): Neste grupo estão
opções para definir se o usuário terá ou não permissão para fazer a conexão com o servi-
dor RRAS. Use essa propriedade para definir se o acesso remoto será explicitamente per-
mitido (Permitir acesso), negado (Negar acesso) ou determinado pelas políticas de aces-
so remoto (Controlar acesso através de diretiva de acesso remoto). Se o acesso for
explicitamente permitido, as condições da diretiva de acesso remoto, as propriedades


da conta de usuário ou do perfil poderão negar a tentativa de conexão. A opção Contro-

lar acesso através de diretiva de acesso remoto somente estará disponível em contas de
usuário em um domínio de modo nativo do Windows 2000 ou no modo Windows Ser-
ver 2003, ou para contas locais em um stand-alone servers, executando o Windows
2000 Server, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise
Edition ou Windows Server 2003 Datacenter Edition. Ou de uma maneira mais fácil, a
opção Controlar acesso através de diretiva de acesso remoto não estará disponível em
contas de um domínio que ainda esteja no modo misto do Windows 2000 Server e tam-
bém não estará disponível em um stand-alone server com o Windows Server 2003 Web
Edition instalado.
l Verificar identificação do chamador: Ao marcar esta opção, o campo ao lado da opção
será habilitado para que você digite o número do telefone que estará associado com o
usuário. Chamadas feitas pelo usuário, somente serão aceitas se feitas a partir do telefo-
ne informado neste campo. Se essa propriedade estiver ativada, o servidor verificará o
número de telefone do chamador. Se o número de telefone do chamador não coincidir
com o número de telefone configurado, a tentativa de conexão será negada. O chama-
dor, o sistema telefônico entre o chamador e o servidor de acesso remoto e o servidor de
acesso remoto devem dar suporte à identificação de chamador. A identificação do cha-
mador no servidor de acesso remoto consiste no equipamento de atendimento de cha-
madas e no driver apropriado do Windows 2000, que dão suporte à passagem de infor-
mações de identificação do chamador para o serviço de roteamento e acesso remoto. Se
você configurar um número de telefone de identificação do chamador para um usuário
e não der suporte à passagem de informações de identificação do chamador para o servi-
ço de roteamento e acesso remoto, a tentativa de conexão será negada. Esta opção pode
ser utilizada, por exemplo, para funcionários que trabalham a partir de casa. Como estes
funcionários utilizarão sempre o mesmo telefone, você pode configurar a conta utiliza-
da pelo funcionário, com o respectivo número de telefone. Se alguém descobrir sua con-
ta e senha, ele não conseguirá fazer a conexão remota, a não ser que estejam utilizando
o telefone da casa do usuário. É um nível de segurança a mais.
l Opções de retorno de chamada: Esta opção é utilizada para habilitar/desabilitar o recur-
so de Callback. Se este recurso estiver ativado, o servidor RRAS recebe a chamada e au-
tentica o usuário normalmente. Uma vez autenticado o usuário, o servidor RRAS encer-
ra a conexão e disca de volta (Callback) para o número configurado no recurso de
Callback, restabelecendo a ligação. Para o usuário este recurso é transparente, uma vez
que o resultado final é a conexão entre o cliente e o servidor. Este recurso pode ser utili-
zado, por exemplo, para vendedores que precisam fazer a conexão usando uma linha te-
lefônica do cliente. Para que o cliente não tenha que pagar o custo da ligação, o recurso
de call back pode ser utilizado. Neste caso, o custo da ligação é pago pela empresa, pois a
chamada é feita pelo servidor de volta para o cliente. Por padrão, o recurso de Callback
está desabilitado (No Callback – Sem retorno de chamada). Você pode habilitar o recur-
so de callback de duas maneiras diferentes:


Set by caller (Definido pelo chamador): Com esta opção, quando o usuário faz a chamada, ele
já informa o número para o qual o servidor deve fazer a chamada de volta. É a opção indica-
da para o exemplo do vendedor que vai utilizar a linha do cliente. Neste caso, em cada cli-
ente o número do telefone é diferente, então, o usuário informa o número do telefone do
respectivo cliente, para que o servidor faça a chamada de volta.
Always Callback to (Sempre retornar chamada para): Com esta opção, a chamada de volta é
feita sempre para o mesmo número. Esta opção é utilizada, por exemplo, para um funcio-
nário que trabalha em casa. Neste caso, o recurso de callback é utilizado para que o custo do
telefone seja pago pela empresa. Aqui, o número do telefone da casa do funcionário é infor-
mado nesta propriedade e a chamada de volta será feita sempre para este número.
l Assign a Static IP Address (Atribuir um endereço IP estático): Se essa propriedade esti-
ver ativada, você poderá atribuir um endereço IP específico a um usuário quando uma
conexão for efetuada.
l Apply Static Routes (Aplicar rotas estáticas): Ao marcar esta opção, será aberta a ja-
nela Static Routes, indicada na Figura 6.27. Para adicionar uma nova rota estática,
basta clicar no botão Add Route... (Adicionar Rota...) e preencher as informações
sobre a nova rota.
Figura 6.27 Opções de acesso remoto na guia Discagem.
Essa configuração destina-se às contas de usuário que os roteadores do Windows 2000 Server
(computadores com o Windows 2000 Server executando funções de roteamento) usam para
o roteamento de discagem por demanda. Nos próximos capítulos, você aprenderá mais so-
bre roteamento no Windows 2000 Server e sobre discagem sob demanda.
Com as políticas de acesso remoto do IAS, você pode definir que as propriedades da guia di-
al-in sejam processadas para determinados cenários (como, por exemplo, conexões via linha
discada) e desabilitadas para outros cenários (como, por exemplo, acesso via tecnologias de
wireless). Este é apenas mais um exemplo da flexibilidade que é obtida com o uso do IAS.


6. Você estará de volta ao console Usuários e computadores do Active Directory. Feche-o.
CRIANDO UMA POLÍTICA DE ACESSO REMOTO

Neste item, mostrarei como criar e configurar uma nova política de acesso remoto. Você irá criar
uma nova política e definir a quais grupos a política irá ser aplicada. A política será criada no servi-
dor RRAS. Se você utiliza o IAS para fazer autenticação de acesso remoto na sua rede, é recomendado
que as políticas de acesso remoto sejam criadas no servidor RADIUS, onde está o IAS instalado. Para
criar políticas de acesso remoto no IAS, você utiliza o console Serviço de Autenticação da Internet.
Para criar uma nova política de segurança no servidor de acesso remoto, siga os passos indica-
dos a seguir:
trador.

servidor para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique com o botão direito do mouse na opção Diretivas de
acesso remoto – o termo diretivas é por conta da tradução, eu continuo preferindo o termo
políticas – e, no menu de opções que é exibido, clique em Nova Política de Acesso Remoto.
5. Será aberto o assistente para criação de uma nova política de acesso remoto. Na primeira
tela do assistente, você deve digitar um nome para a nova política que está sendo criada.
Digite um nome descritivo para a nova política, conforme exemplo da Figura 6.28 e clique
em Avançar para seguir para a próxima etapa do assistente.
6. Nesta etapa, estão as condições a serem atendidas para que o acesso seja liberado pela política
que está sendo criada. No nosso exemplo, a política que está sendo criada deverá ser aplicada
apenas aos membros de um grupo chamado Vendas Externas. Clique em Adicionar...
7. Será aberta a janela Adicionar atributo. Marque a opção Windows-Groups – Grupos do

Windows aos quais o usuário pertence, conforme indicado na Figura 6.29.
8. Clique em Adicionar... Será aberta a janela Grupos para que você informe a qual ou quais
grupos se aplicará a política. Clique em Adicionar... na janela Grupos. Será aberta a janela
Selecionar grupos. Localize o grupo Vendas Externas e dê um clique duplo para adicioná-lo
à política que está sendo criada. Em seguida, clique em OK. Você estará de volta à janela
Grupos. Clique em OK para fechá-la. Você estará de volta ao assistente de criação da nova
política, com o grupo Vendas Externas já adicionado, conforme indicado na Figura 6.30.


Figura 6.28 Criando uma política com as configurações típicas.
Figura 6.29 A política aplicar-se-á a grupos do Windows.


Figura 6.30 Grupo Vendas Externas já adicionado.
Clique em Avançar para seguir para a próxima etapa do assistente.
10. Nesta etapa, você define se a política será utilizada para Conceder permissão de acesso re-
moto ou para negar permissão de acesso remoto aos membros do grupo Vendas Externas.
Selecione a opção Conceder permissão de acesso remoto, conforme indicado na Figura
6.31. E clique em Avançar para seguir para a próxima etapa do assistente.
11. Será exibida a etapa final do assistente. Você pode utilizar o botão Voltar para voltar às eta-
pas anteriores e fazer alterações. Clique em Concluir para finalizar o assistente e criar a polí-
tica de acesso remoto. A nova política será criada e já é exibida no console Roteamento e
Acesso Remoto, conforme indicado na Figura 6.32.
Para renomear uma política de acesso remoto, basta clicar com o botão direito do mouse na política
e, no menu que é exibido, clique em Renomear. O nome atual será selecionado. Digite o novo nome
e clique no espaço em branco, fora do ícone da política. Pronto, a política foi renomeada. Para ex-
cluir uma política basta clicar com o botão direito do mouse na política a ser excluída e, no menu de
opções que é exibido, clique em Excluir. Será exibida uma mensagem solicitando confirmação. Cli-
que em Yes para confirmar a exclusão da política de acesso remoto.


Figura 6.31 Concedendo permissão de acesso remoto.
Figura 6.32 A política política para vendedores externos, recém criada.
CONFIGURANDO UMA POLÍTICA DE ACESSO REMOTO – REMOTE ACCESS PROFILE

Neste item, mostrarei como configurar uma política de acesso remoto. As configurações de uma
política de acesso remoto são conhecidas como: Remote Access Profile. Você irá configurar a polí-
tica (Política para vendedores externos), criada no item anterior . Lembre-se que esta é uma políti-
ca criada diretamente no servidor RRAS. Se você utiliza o IAS para fazer autenticação de acesso re-
moto na sua rede, é recomendado que as políticas de acesso remoto sejam criadas no servidor


RADIUS, onde está o IAS instalado. Para criar e modificar políticas de acesso remoto no IAS, você
utiliza o console Internet Authentication Service.
Exemplo: Para configurar a política “Política para vendedores externos”, criada no item anterior,
siga as estapas descritas a seguir:
1. Faça o logon com a conta de administrador ou com uma conta com permissão de ad-
ministrador.

servidor para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique na opção Diretivas de acesso remoto para selecioná-la.
5. As políticas existentes serão exibidas no painel do lado direito. Clique com o botão direito
do mouse na política Política para vendedores externos e, no menu de opções que é exibi-
do, clique em Propriedades.
Será aberta a janela de propriedades da política. Nesta janela, você pode definir se as tenta-
tivas de conexão que atenderem os critérios definidos na política serão permitidas (Conce-
der permissão de acesso remoto) ou serão negadas (Negar permissão de acesso remoto). Por
exemplo, esta política está associada ao grupo Vendedores Externos. Se você quiser negar a
permissão de conexão para todos os vendedores externos (por exemplo, em um final de se-
mana onde o sistema está em manutenção e você quer ter certeza que nenhuma conexão
será efetuada), basta marcar a opção Negar permissão de acesso remoto.
6. Para o nosso exemplo vamos nos certificar de que a opção Conceder permissão de acesso
remoto esteja selecionada, conforme indicado na Figura 6.33.
7. Para alterar as configurações da política de acesso remoto clique no botão Editar perfil... Será
exibida a janela onde você pode alterar uma série de configurações da política de acesso remo-
to. Por padrão, é exibida a guia Restrições de discagem, conforme indicado na Figura 6.34.
Nesta guia, você pode definir um série de opções, conforme descrito a seguir:
l Desconectar se ocioso por: Ao marcar esta opção, você pode definir um tempo máximo
de inatividade da conexão. Se não houver atividade na conexão, por um período igual
ao tempo definido neste campo, o servidor irá encerrar a conexão. Por padrão, esta op-
ção não é ativada. O administrador pode marcar esta opção e informar um tempo, em
minutos, no campo ao lado desta opção.
l Restringir o tempo máximo da sessão a: Este campo é utilizado para definir um tempo
máximo para a conexão do usuário. Por exemplo, o administrador pode definir que ne-
nhuma conexão pode ser mantida por mais do que 3 horas. Quando a conexão atinge o
tempo máximo, será automaticamente desconectada pelo servidor. Isso não impede
que o usuário faça uma nova conexão, logo em seguida.


Figura 6.33 A política será utilizada para garantir a permissão de

conexão.
Figura 6.34 Configurando restrições de discagem.


l Restringir o acesso aos seguintes dias e horários: Esta opção é utilizada para definir as da-
tas e horários em que a conexão pode ser feita. Ao marcar esta opção, o botão Editar...
será habilitado. Ao clicar no botão Editar..., será aberta a janela para definição dos dias e
horários em que será permitida a conexão, conforme indicado na Figura 6.35. Esta é a
mesma janela que você utiliza para restringir o horário de logon para os usuários e tam-
bém para definir o horário de replicação entre servidores WINS.
Figura 6.35 Definindo as datas e horas com permissão de conexão.
l Restringir a discagem apenas ao número: Limita a conexão dos clients a uma porta espe-
cífica do servidor de acesso remoto, sendo que a porta é identificada pelo número da li-
nha telefônica associada à porta. O número é informado nesta opção.
l Restringir a mídia de discagem: Esta opção é utilizada para definir quais tipos de conexão
o cliente poderá utilizar. Por exemplo, você pode restringir que somente serão aceitas co-
nexões do tipo VPN, ou Frame Relay e X.25. Para aplicar restrições quanto ao tipo de co-
nexão, basta marcar esta opção e depois marcar os tipos de conexões que serão aceitos.
8. Defina as configurações desejadas e clique na guia IP. Serão exibidas as opções indicadas na
Figura 6.36. Nesta guia, estão disponíveis as opções:
l Diretiva de atribuição de endereço IP: Neste grupo, você define como será feita a atribui-
ção de endereço IP para os clientes quando é feita a conexão. Por padrão, é utilizada a
opção Diretiva de definição das configurações do servidor. Com esta opção, as configu-
rações feitas nas propriedades do servidor RRAS (veja um dos exemplos anteriores) é que
determinam como será feita a atribuição de endereços IP. Por padrão, é utilizada a inte-
gração com o DHCP. Você pode informar um endereço IP fixo, o qual será atribuído
para os clientes. Esta opção somente é útil se a política aplica-se a um cliente específico,
o qual deve receber sempre o mesmo número IP, como no exemplo de um roteador que
usa discagem sob demanda.


Figura 6.36 Configurando as opções do protocolo IP.
l Filtros de pacote IP –> Do Cliente e Filtros de pacote IP –> Para o cliente: Com estes bo-
tões, você pode definir filtros para o tráfego do servidor para o cliente (Para o Cliente) ou
para o tráfego do cliente para o servidor (Do Cliente). Por exemplo, para criar um filtro
de saída, clique no botão Para o Cliente... Será exibida a janela para criação do novo fil-
tro. Clique no botão Adicionar... Será aberta a janela Adicionar filtro IP. Defina as carac-
terísticas do filtro que será aplicado e clique em OK. Os filtros, conforme descrito ante-
riormente, podem ser criados com base em uma lista branca ou em uma lista negra.
Com base na lista branca, todos os protocolos são proibidos, com exceção dos que estão
na lista branca. Com base na lista negra, todos os protocolos são permitidos, com exce-
ção dos que estão na lista negra. Para criar uma lista branca, você marca a opção Negar
todo o tráfego, exceto os tipos listados abaixo. Para criar uma lista negra, você marca a
opção Permitir todo o tráfego, exceto os tipos listados abaixo. Estas opções estão dispo-
níveis na janela que é aberta quando você clica no botão Do cliente... para criar um fil-
tro de entrada, ou na janela Para o cliente... para criar um filtro de saída, conforme
Defina as configurações desejadas na guia IP e clique na guia Conexões múltiplas. Serão



Figura 6.37 Criando um filtro de saída.
Figura 6.38 Configurando as opções de multilink.


Nesta guia, estão disponíveis as opções descritas a seguir:

l Configurações de conexões múltiplas: Neste grupo, você pode definir se devem ser utili-
zadas as configurações multilink definidas nas propriedades do servidor RRAS, ou seja, a
política de acesso remoto não interfere nas conexões multilink e são utilizadas as confi-
gurações definidas nas propriedades do servidor RRAS (Usar configurações padrão do
servidor). Esta é a opção padrão. Outra opção é não permitir multilink (Desativar cone-
xões múltiplas). Com esta opção, não será permitido o uso de conexões multilink para
os clientes para os quais a política for aplicada. A última opção deste grupo permite o
uso de multilink e também permite que você informe o número máximo de links que
cada cliente poderá utilizar (Limitar o número máximo de portas usadas).
l Configurações do protocolo de alocação de largura de banda (BAP): Neste grupo, você
tem opções para configuração do protocolo BAP. É importante lembrar que o BAP é uti-
lizado para adicionar ou retirar links, automaticamente, à medida em que o tráfego en-
tre o cliente e o servidor aumento, ou diminui, respectivamente. Por padrão, é definido
que, se a utilização da capacidade da banda da conexão múltipla chegar abaixo dos 50%
por um período de 2 minutos, um dos links deve ser desconectado. Você pode ajustar es-
tes valores de acordo com as necessidades específicas de cada caso.
l Exigir BAP para solicitações de conexões múltiplas dinâmicas: Esta opção define que so-
mente será permitida a alocação dinâmica de novas linhas, se o protocolo BAP também
estiver habilitado no cliente.
Não esqueça, de maneira alguma, os detalhes a seguir:
– Para uma conexão usar multilink, este deve estar habilitado no cliente e no servidor.
– Para fazer o gerenciamento dinâmico de linhas, o protocolo BAP deve ser utilizado em
conjunto com a funcionalidade de multilink.
10. Defina as configurações desejadas na guia Conexões Múltiplas e clique na guia Autentica-
ção. Serão exibidas as opções indicadas na Figura 6.39.
Nesta guia, estão disponíveis as opções para que você defina quais os protocolos de autenti-
cação serão aceitos pela política de acesso remoto. São exatamente as mesmas opções exibi-
das na etapa do assistente de criação da política, na qual você deve definir os protocolos de
autenticação que serão aceitos. Mostrei como utilizar estas opções no exemplo anterior,
quando foi criada a política de acesso remoto. Nesta guia, está disponível também a opção
Permitir que clientes PPP remotos conectem-se sem negociar quaisquer métodos de auten-
ticação. Esta opção é equivalente a permitir que sejam feitas conexões não autenticadas. Se
esta opção for habilitada, serão usadas as configurações de conexão não autenticada, defi-
nidas nas propriedades do servidor de acesso remoto.
11. Defina as configurações desejadas na guia Autenticação e clique na guia Criptografia. Serão


Figura 6.39 Configurando as opções da guia Autenticação.
Figura 6.40 Configurando as opções de Criptografia.


Nesta guia, você define quais métodos de criptografia serão aceitos pela política de acesso
remoto. Se o cliente não for capaz de usar, pelo menos, um dos métodos definidos, a cone-
xão não será estabelecida, a não ser que a opção Sem criptografia esteja marcada. Porém
não é recomendado o uso desta opção.
12. Defina as configurações desejadas na guia Criptografia e clique na guia Avançado. Serão
Figura 6.41 Configurando opções Avançadas para a política de acesso remoto.
13. Nesta guia, você faz um “ajuste fino” nas configurações da política de acesso remoto. Usan-
do o botão Adicionar... você pode adicionar inúmeras novas condições que devem ser
atendidas para que a conexão seja efetuada com sucesso.
14. Clique no botão Adicionar.... Será exibida a janela Adicionar atributo com dezenas de op-
ções disponíveis.
15. Na lista de atributos disponíveis, clique na opção a ser configurada para para selecioná-la,
conforme exemplo da Figura 6.42.
16. Clique em Adicionar. Será aberta a janela Informações do atributo para que você informe
os dados do atributo que está sendo configurado.
17. Informe os dados e clique em OK. Você estará de volta à janela para adicionar atributos.
Clique em Fechar.


Figura 6.42 Selecionando um atributo a ser configurado.
18. Você estará de volta à guia Avançado. Observe que o novo atributo já é exibido na lista de
atributos configurados. Clique em OK para fechar a janela de configurações do perfil da po-
lítica de segurança.
19. Você estará de volta à janela de propriedades da política de segurança. Clique em OK para
fechá-la.
20. Feche o console do RRAS.
DICAS NÃO ESQUEÇA E CONCLUSÃO

A seguir, apresento uma lista dos detalhes mais importantes, os quais você não pode esquecer de
jeito nenhum:
1. O RRAS não é um servidor SLIP. Somente atua como cliente SLIP. Como servidor de
acesso remoto, dá suporte ao PPP para conexões dial-up e ao PPTP ou L2TP/IPsec para
conexões VPN.
2. Para a conexão remota, usando autenticação via Smart Card, deve ser utilizado o protocolo
EAP. Não esqueça mesmo.


3. Não esqueça que, para estabelecer uma conexão do tipo VPN são realizadas duas conexões.
A primeira é uma conexão PPP padrão. Esta conexão estabelece a ligação, um caminho físi-
co entre o cliente e o servidor RRAS. A próxima etapa é estabelecer a conexão VPN propria-
mente dita, utilizando um dos protocolos disponíveis (PPTP ou L2TP). O objetivo desta se-
gunda conexão é garantir a segurança dos dados, através do uso de técnicas de criptografia
e encapsulamento.
4. Conheça bem as diferenças entre o PPTP e o L2TP/IPsec, indicadas na Figura 6.7.
5. Lembre que, para a autenticação usando cartões do tipo Smart-card, é necessária a habi-
litação do protocolo EAP no servidor de acesso remoto e também nos clientes. O
EAP-TLS é um tipo de EAP usado em ambientes de segurança baseados em certificado. Se
você está usando cartões inteligentes (Smart-card) para autenticação de acesso remoto,
deve utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS propor-
ciona a autenticação mútua, negociação do método de criptografia e troca segura de
chave particular entre o cliente de acesso remoto e o autenticador. O EAP-TLS propor-
ciona o método mais seguro de troca de chaves e autenticação. O EAP-TLS recebe supor-
te apenas em um servidor de acesso remoto que executa o Windows 2000 Server (ou
Windows Server 2003) que é um membro de um domínio (member server ou DC). Um
servidor de acesso remoto configurado como standalone server (não pertencente a um
domínio) não tem suporte ao EAP-TLS.
6. O protocolo EAP é necessário para a implementação de autenticação usando Smart-card.
7. Entenda bem como funciona a integração do DHCP com o RRAS.
8. Não esqueça que, para usar as conexões múltiplas, o suporte deve estar habilitado no clien-
te e também no servidor. Também não esqueça do uso e da função do protocolo BAP.
9. Não esqueça a condição para que uma conexão multilink possa ser estabelecida (este recur-
so deve estar habilitado no cliente e no servidor de acesso remoto) e a função do protocolo
BAP (adicionar ou remover links dinamicamente, dependendo do volume de tráfego entre
o cliente e o servidor).
10. Não esqueça em hipótese alguma: Se você está se preparando para os exames do MCSE
2000 ou para o MCSE 2003 conheça exatamente a função do DHCP Relay Agent. Lembre
que este é instalado na rede onde não existe servidor DHCP disponível e que é configurado
com o número IP do servidor DHCP que será utilizado pelos clientes.
11. Não esqueça: Não esqueça, de maneira alguma, os detalhes a seguir:
– Para que uma conexão possa usar multilink, este deve estar habilitado no cliente e
no servidor.
– Para fazer o gerenciamento dinâmico de linhas, o protocolo BAP deve ser utilizado em
conjunto com a funcionalidade de multilink.


A seguir, dois exemplos de questões relacionadas ao RRAS.
Questão 01 – Você é o administrador da rede da sua empresa. A rede é composta de um único do-
mínio: abc.com.br. Com o projeto de modernização da empresa, a equipe de vendas e divulgação
recebeu notebooks. Os membros da equipe utilizarão estes notebooks para fazer acesso remoto
aos recursos da rede, tais como aplicações web, pastas compartilhadas e correio eletrônico. Você
instala o serviço de acesso remoto – RRAS, para que os usuários possam fazer uma conexão discada
com a rede da empresa. Os usuários conseguem se conectar normalmente, porém não conseguem
acessar os servidores utilizando o nome dos servidores. Você executa o comando ipconfig/all em
um dos notebooks, enquanto conectado via conexão discada e observa que o servidor RRAS for-
neceu apenas o endereço IP e a máscara de sub-rede, mas não forneceu as demais opções, tais
como servidor DNS, WINS e Gateway Padrão. O que você deve fazer para solucionar este proble-
ma, de tal maneira que os clientes possam utilizar todos os serviços da rede da empresa?
a) Configure o servidor RRAS para aceitar Autenticação Básica.
b) Configure o servidor RRAS para utilizar a opção Set By Caller.
c) Configure o servidor RRAS para funcionar como um DHCP Relay Agent.
d) Configure o servidor RRAS para atuar como um Proxy.
e) Configure o servidor RRAS para autenticar os usuários remotos no domínio abc.com.br.
Resposta certa: c
Comentários: Esta é uma configuração muito importante e que, normalmente, é esquecida ao con-
figurar o servidor RRAS. Para que os clientes possam obter as demais configurações (Servidor DNS,
WINS e Gateway Padrão), a partir do servidor RRAS, é preciso que este seja configurado como um
DHCP Relay Agent. Se isso não for feito, os clientes receberão apenas o endereço IP e a máscara de
sub-rede. Para configurar o servidor RRAS como um DHCP Relay Agent, basta instalar e habilitar o
DHCP Relay Agent Routing Protocol na interface de comunicação externa do servidor RRAS.
Questão 02 – A sua empresa está em fase de migração do NT Server 4.0 para o Windows 2000 Ser-
ver e Active Directory. Os primeiros servidores já foram instalados e o Active Directory também. A
migração das contas de usuários e grupos já foi feita com sucesso, sem maiores problemas. Você
está em fase de migração dos demais serviços: IIS, Proxy Server, Exchange Server e assim por dian-
te. Após a migração, você começou a receber chamados de diversos usuários de notebooks, com o
Windows 2000 Professional instalado e que não estão mais conseguindo se conectar remotamen-
te à rede da empresa. A conexão remota ainda é feita através de um servidor RAS, baseado no Win-
dows NT Server 4.0. O que você deve fazer para que os clientes possam se conectar remotamente e
o mais rapidamente possível?
a) Migre o servidor RAS com o NT Server 4.0 para um servidor Windows 2000 com RRAS.
b) Migre o servidor RAS para o Windows 2000 Server.


c) Instale o Service Pack 5.0 ou superior no servidor RAS.
d) Habilite o acesso anôniomo no servidor RAS.
e) Adicione o grupo Everyone (Todos), ao grupo Pre-Windows 2000 Compatible

Access group.
Resposta certa: e
Comentários: O grupo Pre-Windows 2000 Compatible Access é um grupo a ser utilizado para ques-
tões relacionadas a compatibilidade, questões estas bastante comuns no cenário descrito – fase de
migração do NT Server 4.0 para o Windows 2000 Server. O grupo Pre-Windows 2000 Compatible
Access tem permissão de acesso leitura em todos os objetos de usuários e grupos do domínio. O pro-
blema que está acontecendo é que o servidor RAS, no NT 4.0, precisa de acesso de leitura às contas
dos usuários no domínio Windows 2000 e não está conseguindo. Ao incluir o grupo Everyone (To-
dos), no grupo Pre-Windows 2000 Compatible Access, você está dando permissão de leitura nas
contas do domínio, para todo mundo, inclusive a conta com a qual roda o serviço RAS no NT 4.0.
Com isso, os usuários poderão se autenticar remotamente e ter acesso aos recursos da rede.
CONSIDERAÇÕES FINAIS
Neste capítulo, você aprendeu a configurar um servidor com o Windows 2000 Server para exercer
o papel de Servidor de Acesso Remoto (Remote Access Server – RAS). No Windows 2000 Server, o
serviço de acesso remoto é conhecido como RRAS – Routing and Remote Access Service (Serviço
de Roteamento e Acesso Remoto). Neste capítulo, foi abordada a função de acesso remoto. Nos
próximos capítulos, abordarei a parte relativa ao roteamento usando o RRAS.
A função de um servidor de acesso remoto é permitir que os clientes façam uma conexão usando
uma linha telefônica comum ou outro meio de conexão remoto, tal como um link ISDN ou ADSL.
Quando você faz uma conexão discada com o seu provedor de Internet, você está fazendo a cone-
xão com o servidor de acesso remoto do provedor. Pode este servidor de acesso remoto ser basea-
do em alguma versão do Windows (NT Server 4.0, Windows 2000 Server ou Windows 2000 Ser-
ver), pode ser baseado em outros sistemas operacionais (UNIX/Linux, Novell, etc.) ou pode até
mesmo ser um equipamento de hardware dedicado a esta função. O importante é entender a fun-
ção de um servidor de acesso remoto.
O servidor de acesso remoto do Windows 2000 Server – RRAS é instalado, por padrão, quando
o Windows 2000 Server é instalado, porém não é configurado para ser inicializado automati-
camente. Neste capítulo, você aprendeu a habilitar e a configurar todas as propriedades do ser-
vidor RRAS.
Mostrei também que o servidor de acesso remoto pode ser configurado para trabalhar de maneira
integrada com o DHCP. O servidor RRAS obtém uma concessão de dez endereços IP a partir do ser-


vidor DHCP. O primeiro endereço é utilizado pelo próprio servidor RRAS, na interface de acesso
remoto, e as demais são colocadas em um cache de lease de endereços IP. À medida em que os cli-
entes vão se conectando, vão recebendo endereços a partir deste cache. Se houver necessidade,
mais um lote de 10 endereços pode ser obtido a partir do servidor DHCP e assim, sucessivamente.
Você também aprendeu sobre os métodos de autenticação e as vantagens de usar um servidor

RADIUS para fazer a autenticação dos usuários de acesso remoto. Com este tipo de autenticação, o
servidor RRAS recebe as credenciais enviadas pelo usuário (nome de logon, senha e demais infor-
mações) e passa essas informações para um servidor RADIUS, o qual fará a autenticação do usuá-
rio e retornará o resultado da autenticação para o servidor RRAS.
Existe muita confusão entre o RADIUS e o IAS (Internet Authentication Service). Alguns acham
que o RADIUS é a versão mais antiga e o IAS é uma implementação mais nova, com novos recursos
e assim por diante. Nada disso. O RADIUS é o padrão de autenticação, é o protocolo de autentica-
ção com base em padrões definidos pelo IETF. O IAS é a implementação do RADIUS feita pela Mi-
crosoft, estando disponível no Windows 2000 Server e também no Windows Server 2003.
O IAS executa autenticação, autorização, auditoria e estatísticas centralizadas de usuários que se

conectam ao servidor de acesso remoto usando, tanto usando uma conexão do tipo VPN, quanto
usando uma conexão do tipo dial-up. O objetivo com o uso do IAS é ter um servidor centralizado,
no qual é feita a autenticação para os vários servidores de acesso remoto da rede. Com isso, as cre-
denciais são verificadas de maneira única, existe uma única base de usuários a ser mantida, as es-
tatísticas e logs de acesso ficam centralizadas e, a principal vantagem (na minha opinião), é possí-
vel criar as políticas de segurança de uma maneira centralizada. Cria-se as políticas no IAS e estas
são aplicadas a todos os servidores RRAS que utilizam o IAS para autenticação.
Na parte final do capítulo, você aprendeu a criar e a configurar políticas de segurança no servidor
de acesso remoto. No próximo capítulo, você aprenderá sobre as funções de NAT – Network
Address Translation – e sobre o uso de certificados digitais.


Capítulo 7
ICS, NAT E CERTIFICADOS DIGITAIS

INTRODUÇÃO
Vou iniciar o capítulo abordando duas importantes funcionalidades, relacionadas à conexão de
uma rede de comutadores à Internet:
l ICS – Internet Connection Sharing (Compartilhamento de Conexão Internet).

l NAT – Network Address Translation (Tradução de Endereços de Rede).
Mostrarei que o ICS e o NAT têm funções, sob certos aspectos, bastante semelhantes, mas são usa-
dos em situações específicas. O ICS e o NAT são utilizados em situações nas quais você tem uma
pequena rede (digamos até dez computadores) e uma única conexão com a Internet. Por exem-
plo, você instala o Windows 2000 Server e conecta o servidor à Internet, habilita o ICS ou o NAT
no servidor com conexão à Internet. Com isso, é possível disponibilizar o acesso à Internet para
todos os demais computadores ligados em rede. Mostrarei as diferenças entre estes dois serviços e
em que situações cada um é mais indicado.
Na seqüência, você aprenderá sobre o uso do NAT – Network Address Translation. O NAT surgiu
como uma alternativa real para o problema de falta de endereços IP com o uso do IP v4 (já que
com o IP v6 é praticamente impossível que um dia haja falta de endereços IP). Conforme descrito
no Capítulo 2, cada computador que acessa a Internet deve ter o protocolo TCP/IP configurado.
Para isso, cada computador da rede interna, precisaria de um endereço IP válido na Internet.
Assim não haveria endereços IP suficientes. A criação do NAT veio para solucionar esta questão
(ou pelo menos fornecer uma alternativa até que o IP v6 esteja disponível e em uso na maioria dos
sistemas da Internet). Com o uso do NAT, os computadores da rede interna utilizam os chamados
endereços privados. Os endereços privados não são válidos na Internet, isto é, pacotes que te-
nham como origem ou como destino, um endereço na faixa dos endereços privados não serão en-
caminhados, serão descartados pelos roteadores. O software dos roteadores está configurado para
descartar pacotes com origem ou destino dentro das faixas de endereços IP privados.
Na parte final do capítulo, apresentarei o conceito de PKI - Public Key Infrastructure (Infraestrutu-
ra de chave pública). Você verá que uma Public Key Infrastructure (Infraestrutura de chave públi-
ca), abreviada simplesmente como PKI, nada mais é do que uma infra-estrutura de segurança ba-
seada em certificados, em autoridades certificadoras (CA – Certificate Authorities – que emitem e
revogam os certificados) e autoridades de registro, as quais fazem a verificação da autenticidade
de todas as estruturas envolvidas em uma PKI.
Neste capítulo, você entenderá o que vem a ser uma PKI, aprenderá sobre os conceitos básicos de
uso de um par de chaves para fazer a criptografia e proteção dos dados. Também mostrarei qual o
papel do Microsoft Certification Service, que é o servidor da Microsoft para a emissão e controle
de certificados digitais. Com o uso do Microsoft Certificate Services, a empresa pode montar a sua
própria infra-estrutura de certificados digitais, sem depender de uma autoridade certificadora ex-
terna. Você aprenderá a utilizar e a configurar o Certificate Services.


Capítulo 7 – ICS, NAT E CERTIFICADOS DIGITAIS
O uso de certificados e uma infra-estrutura de chave pública é uma alternativa de baixo custo,
para ambientes que precisam de níveis de segurança elevados, como por exemplo departamentos
de pesquisa de novos produtos e tecnologias, ou órgãos governamentais estratégicos, como os ór-
gãos de defesa e de segurança. Com o uso do Certificate Services, é possível criar e administrar
uma estrutura de segurança baseada em Certificados Digitais.
INTERNET CONNECTION SHARING (ICS)

Vamos, inicialmente, entender exatamente qual a função do ICS e em que situações é indicado. O
recurso de compartilhamento da conexão com a Internet é indicado para conectar uma rede do-
méstica ou uma pequena rede (eu diria não mais do que dez computadores) à Internet. Imagine a
rede de uma pequena empresa, na qual estão instalados dez computadores e um servidor com o
Windows 2000 Server. Está disponível uma única conexão com a Internet. A conexão é um link de
256 Kbps, do tipo ADSL. A questão é: “Com o uso do recurso de compartilhamento da conexão com
a Internet, é possível que todos os computadores desta pequena rede, tenham acesso à Internet?”
A resposta é sim. Com o uso do ICS é possível fazer com que todos os computadores da rede te-
nham acesso à Internet, através de uma conexão compartilhada no servidor Windows 2000 Ser-
ver. Após ter sido habilitado o compartilhamento da conexão Internet, os demais computadores
da rede utilizam a Internet como se estivessem diretamente conectados. Para os usuários, o uso da
conexão compartilhada é transparente.
Para que o ICS possa funcionar, são necessárias duas conexões de rede, no computador onde o ICS
será habilitado. Uma conexão normalmente é a placa de rede que liga o computador à rede local e
é conhecida como conexão interna. A outra conexão, conhecida como conexão externa, faz a co-
nexão do computador com a Internet. Normalmente, é uma conexão do tipo ADSL, ISDN, a cabo
ou até mesmo uma conexão discada, via telefone comum.
O diagrama da Figura 7.1 ilustra a funcionalidade do ICS. No computador onde o ICS foi habilita-
do, a conexão via placa de rede, é a conexão interna. A conexão via modem, que faz a conexão
com a Internet, é dita conexão externa ou pública.
MUDANÇAS QUE SÃO EFETUADAS QUANDO O ICS É HABILITADO

Quando você habilita o ICS no computador conectado à Internet, algumas alterações são efe-
tuadas neste computador. É muito importante entender estas alterações porque pode acontecer
de alguns serviços deixarem de funcionar após a habilitação do ICS. Sabendo quais as mudanças
efetuadas pelo ICS, você poderá reconfigurar a sua rede para que todos os serviços voltem a fun-
cionar normalmente.


REDE LOCAL
Mode
Modem
m
Figura 7.1 O servidor RRAS em uma conexão dial-up.
É fundamental que o candidato ao exame 70-216 saiba exatamente quais as mudanças são imple-
mentadas ao habilitar o ICS em um computador. Sendo que uma das principais mudanças é na nu-
meração de endereços IP, conforme descreverei em detalhes neste item.
Devido às diversas mudanças que são introduzidas ao habilitar o ICS, é que não é recomendado o
uso do ICS em um ambiente onde está configurado um domínio do Windows 2000 Server, baseado
no Active Directory. O uso do ICS é realmente recomendado para pequenas redes baseadas em um
modelo de Workgroup, conforme descrito anteriormente. Além disso, se você tiver uma rede maior,
baseada em um domínio e no Active Directory, é muito provável que você já tenha uma conexão da
rede local com a Internet, através do uso de roteadores e outros equipamentos de rede.
A primeira mudança a ser ressaltada é que o computador, no qual o ICS foi habilitado, automati-
camente, é configurado um servidor DHCP (digamos, um mini DHCP), o qual passa a fornecer en-
dereços IP para os demais computadores da rede.
Outra mudança que é efetuada é no número IP da interface interna. Este número é alterado para:
192.168.0.1 com uma máscara de sub-rede: 255.255.255.0. Esta é uma das mudanças para as quais
você deve estar atento. Pois se antes de habilitar o ICS, você utiliza um esquema de endereçamen-
to, por exemplo: 10.10.10.0/255.255.255.0, este esquema será alterado, para um esquema
192.168.0.0/255.255.255.0. Com isso, pode ser necessário reconfigurar alguns mapeamentos de
drives de rede e de impressoras.


Se você está se preparando para o MCSE 2000 ou MCSE 2003, não esqueça este detalhe, ou
seja, quando o ICS é habilitado, é atribuído o endereço IP 192.168.0.1 para a interface inter-
na do computador onde o ICS foi habilitado. Com isso, se houver compartilhamentos no servi-
dor onde foi habilitado o ICS, estes deixarão de estar acessíveis para os demais computadores
da rede. Isso até que os demais clientes da rede sejam configurados para utilizar o DHCP e ob-
ter um endereço da rede 192.168.0.0/255.255.255.0, a partir do computador onde o ICS
foi habilitado.
A funcionalidade de discagem sob demanda é habilitada na conexão Internet, do computador

onde o ICS foi habilitado. Com isso quando qualquer um dos computadores da rede tentar aces-
sar a Internet, se a conexão não estiver disponível, será inicializada automaticamente uma disca-
gem (se for uma conexão discada) para estabelecer a conexão.
Após a habilitação do ICS, o serviço do ICS será configurado para inicializar automaticamente de
tal maneira que as funcionalidades do ICS possam ser utilizadas.
Além de transformar o computador com o ICS habilitado, em um servidor DHCP, será criado o se-
guinte escopo: 192.168.0.2 –> 192.168.0.254, com máscara de sub-rede 255.255.255.0.
A funcionalidade de DNS Proxy é habilitada no computador com o ICS habilitado. Isso significa que
este computador recebe as requisições de resolução DNS dos clientes da rede, repassa estes pedi-
dos para o servidor DNS do provedor de Internet, recebe a resposta e passa a resposta de volta
para o cliente que fez a requisição para a resolução do nome. O resultado prático é que os clientes
têm acesso ao serviço DNS, sendo que todas as requisições passam pelo ICS, que está atuando
como um DNS Proxy.
Você não tem como alterar as configurações padrão do ICS. Por exemplo, você não pode desabili-
tar a funcionalidade de servidor DHCP do computador onde foi habilitado o ICS e nem pode definir
um esquema de endereçamento diferente do que é definido por padrão ou desabilitar a função de
DNS Proxy. Para que você possa personalizar estas funcionalidades, você precisa utilizar o recurso
de NAT, ao invés do ICS. O NAT será descrito no próximo tópico.
CONFIGURANDO OS CLIENTES DA REDE INTERNA, PARA USAR O ICS

Muito bem, você habilitou o ICS no computador com a conexão à Internet (você aprenderá a par-
te prática mais adiante) e agora você quer que os computadores da rede local possam acessar a
Internet, usando a configuração compartilhada, no computador no qual o ICS foi habilitado.


Conforme descrito no Capítulo 2, para que os computadores de uma rede baseada no TCP/IP pos-
sam se comunicar, é preciso que todos façam parte da mesma rede (ou estejam ligados através de ro-
teadores para redes ligadas através de links de WAN). Quando você habilita o ICS, a rede deve utili-
zar o esquema de endereçamento padrão definido pelo ICS, ou seja: 192.168.0.0/255.255.255.0.
Com o ICS, não é possível utilizar outro esquema de endereçamento que não o definido pelo ICS. O
endereço 192.168.0.1 é atribuído à interface interna do computador com o ICS habilitado. Os de-
mais computadores da rede devem ser configurados para usar o DHCP e com Default Gateway igual
deve ser configurado o IP 192.168.0.1, que é número IP da interface interna do computador com o
ICS habilitado (estou repetindo de propósito, para que fique gravado o esquema de endereçamento
que é habilitado pelo ICS e devido a importância que estes detalhes têm para o Exame 70-216).
Dependendo da versão do Windows, diferentes configurações terão que ser efetuadas. Quando o
ICS é habilitado em um computador rodando o Windows XP, Windows Server 2003 Standard
Edition ou Windows Server 2003 Enterprise Edition, você poderá adicionar como clientes, com-
putadores rodando uma das seguintes versões do Windows:
l Windows 98.
l Windows 98 Segunda Edição.
l Windows Me.
l Windows XP.
l Windows 2000.
l Windows Server 2003 Standard Edition.
l Windows Server 2003 Enterprise Edition.
Na parte prática, mais adiante, mostrarei os passos para habilitar os clientes da rede a utilizar o ICS.
MAIS ALGUMAS OBSERVAÇÕES iMPORTANTES SOBRE O IC

Neste item, apresentarei mais algumas observações importantes sobre o ICS.
A primeira delas é que o esquema de endereçamento utilizado pelo ICS é um dos chamados ende-
reços Internos ou endereços Privados. As faixas de endereços definidas como endereços privados
são endereços que não são válidos na Internet, ou seja, pacotes endereçados para um endereço de
uma destas faixas serão descartados pelos roteadores. Os endereços Privados foram reservados
para uso interno das empresas. Na rede interna, qualquer empresa, pode utilizar qualquer uma
das faixas de endereços Privados. Existem três faixas de endereços definidos como Privados. Estas
faixas estão definidas na RFC 1597. Os endereços definidos como privados são os seguintes:
l 10.0.0.0 –> 10.255.255.255

l 172.16.0.0 –> 172.31.255.255
l 192.168.0.0 –> 192.168.255.255


Saiba identificar quais as faixas de endereços privados e se um determinado endereço está dentro
de uma destas faixas.
Observe que a faixa de endereços usada pelo ICS (192.168.0.1 –> 192.168.0.254) é uma faixa de
endereços Privados. Por isso, o ICS também tem que executar o papel de “traduzir” os endereços
privados, os quais não são válidos na Internet, para o endereço válido, da interface pública do ser-
vidor com o ICS. Me explico melhor. Imagine que você tem cinco computadores na rede, todos
usando o ICS. Os computadores estão utilizando os seguintes endereços:
l 192.168.0.10
l 192.168.0.11
l 192.168.0.12
l 192.168.0.13
l 192.168.0.14
O computador, com o ICS habilitado, tem as seguintes configurações:
l IP da interface interna: 192.168.0.1.

l IP da interface externa: Um endereço válido na Internet, obtido a partir da conexão com o pro-
vedor de Internet.
Quando um cliente acessa a Internet, no pacote de informação está registrado o endereço IP da

rede interna, por exemplo: 192.168.0.10. Porém este pacote não pode ser enviado pelo ICS para a
Internet, com este endereço IP como endereço de origem, senão no primeiro roteador este pacote
será descartado, já que o endereço 192.168.0.10 não é um endereço válido na Internet (pois é um
endereço que pertence a uma das faixas de endereços privados, conforme descrito anteriormen-
te). Para que este pacote possa ser enviado para a Internet, o ICS substitui o endereço IP de origem
pelo endereço IP da interface externa do ICS (endereço fornecido pelo provedor de Internet e,
portanto, válido na Internet). Quando a resposta retorna, o ICS repassa a resposta para o cliente
que originou o pedido. Mas você pode estar fazendo as seguintes perguntas:
1. Se houver mais de um cliente acessando a Internet e o ICS tem apenas um endereço

IP válido, como é possível a comunicação de mais de um cliente, ao mesmo tempo,
com a Internet?
2. Quando a resposta retorna, como o ICS sabe para qual cliente a mesma se destina, se hou-
ver mais de um cliente acessando a Internet?
A resposta para estas duas questões é a mesma. O ICS executa uma função de NAT – Network Address
Translation (que será o assunto do próximo tópico). A tradução de endereços funciona assim:
1. Quando um cliente interno tenta se comunicar com a Internet, o ICS substitui o endereço
interno do cliente como endereço de origem, por um endereço válido na Internet. Mas


além do endereço é também associada uma porta de comunicação (é o conceito de portas

do protocolo TCP/IP). O ICS mantém uma tabelinha interna onde fica registrado que, a co-
municação através da porta “tal” está relacionada com o cliente “tal”.
2. Quando a resposta retorna, pela identificação da porta, o ICS consulta a sua tabela interna e
sabe para qual computador da rede deve ser enviada a referida resposta, uma vez que a por-
ta de identificação está associada com um endereço IP da rede interna.
Com isso, vários computadores da rede interna podem acessar a Internet ao mesmo tempo, usan-
do um único endereço IP. A diferenciação é feita através de uma atribuição de porta de comunica-
ção diferente, associada com cada IP da rede interna. Este é o princípio básico do NAT – Network
Address Translation (Tradução de Endereços IP). Mas é importante não confundir este “mi-
ni-NAT” embutido no ICS, com a funcionalidade de NAT que será descrita no próximo item. Exis-
tem grandes diferenças entre o ICS e o NAT e o uso de cada um é indicado em situações específicas.
O ICS tem suas limitações, as quais são diferentes das limitações do NAT.
Uma das principais limitações do ICS é não ser possível alterar as configurações definidas ao habi-
litar o ICS, tais como a faixa de endereços a ser utilizada e o número IP da interface interna (inter-
face que liga o computador com o ICS à rede local).
COMPARANDO ICS E NAT

Neste tópico, apresento mais alguns detalhes sobre as diferenças entre o ICS e o NAT. Existem al-
gumas funcionalidades que são fornecidas por ambos, tais como a tradução de endereços Priva-
dos para endereços válidos na Internet, enquanto outras são exclusivas de cada um dos serviços.
Estude detalhadamente as diferenças entre o ICS e NAT, principalmente para saber em que situa-
ção cada um deve ser aplicado. Podem aparecer questões descrevendo uma determinada situação,
com os detalhes sobre uma determinada rede e você terá que saber identificar qual a melhor solu-
ção para a rede apresentada: ICS ou NAT.
Para conectar uma rede residencial ou de um pequeno escritório, à Internet, você pode usar duas
abordagens diferentes:
l Conexão roteada: Neste caso, você instala o RRAS no computador conectado à Internet e configu-
ra o RRAS para fazer o papel de um roteador (assunto do próximo capítulo). Esta abordagem exige
conhecimentos avançados do protocolo TCP/IP para configurar o RRAS como um roteador. Esta
abordagem tem a vantagem de permitir qualquer tipo de tráfego entre a rede local e a Internet
(com a desvantagem de que esse pode ser um problema sério de segurança se o roteamento não for
configurado adequadamente) e tem a desvantagem da complexidade na configuração.
l Conexões com tradução de endereços: Neste caso, você instala o RRAS no computador conecta-
do à Internet e configura a funcionalidade de NAT neste computador. A vantagem deste método


é que você pode utilizar, na rede Interna, endereços privados. Várias máquinas da rede interna
podem se conectar à Internet usando um único endereço IP válido, o endereço IP da interface
externa do servidor com o RRAS. Outra vantagem do NAT, em relação ao roteamento, é que o
NAT é bem mais simples para configurar. A desvantagem é que determinados tipos de tráfegos
serão bloqueados pelo NAT, impedindo que determinadas aplicações possam ser executadas.
Uma conexão com tradução de endereços pode ser configurada usando dois métodos diferentes:
l Você pode utilizar o ICS (objeto de estudo deste tópico) no Windows 2000, Windows XP, Win-
dows Server 2003 Standard Edition ou Windows Server 2003 Enterprise Edition.
l Você pode utilizar a funcionalidade de NAT do servidor RRAS, em servidores executando o
Windows 2000 Server com o RRAS habilitado (lembre que o RRAS é instalado automaticamen-
te, porém, por padrão, está desabilitado). Para detalhes sobre a habilitação e configuração do
RRAS, consulte o Capítulo 6, e para detalhes sobre as configurações de roteamento no RRAS,
consulte o Capítulo 8.
As duas soluções – ICS ou NAT – fornecem as funcionalidades de tradução de endereços e resolu-

ção de nomes, porém existem mais diferenças do que semelhanças, conforme descreverei logo a se-
guir. Estude várias vezes a descrição das diferenças entre ICS e NAT.
O Internet Connection Sharing (ICS) foi projetado para fornecer as configurações mais simplificadas
possíveis. Conforme você verá na parte prática, habilitar o ICS é uma simples questão de marcar uma
caixa de opção, todo o restante é feito automaticamente pelo Windows 2000 Server. Porém, uma vez
habilitado, o ICS não permite que sejam feitas alterações nas configurações que são definidas por
padrão. O ICS foi projetado para obter um único endereço IP a partir do provedor de Internet. Isso
não pode ser alterado. É configurado como um servidor DHCP e fornece endereços na faixa
192.168.0.0/255.255.255.0. Isso também não pode ser mudado. Em poucas palavras: o ICS é fácil de
habilitar mas não permite alterações nas suas configurações padrão. É o ideal para pequenos escritóri-
os que precisam de acesso à Internet, a todos os computadores da rede, porém não dispõem de um
técnico qualificado para fazer as configurações mais sofisticadas exigidas pelo NAT e pelo RRAS.
Por sua vez, o NAT foi projetado para oferecer o máximo de flexibilidade em relação as suas confi-
gurações no servidor RRAS. As funções principais do NAT são a tradução de endereço (conforme
descrito anteriormente) e a proteção da rede interna contra tráfego não autorizado, vindo da
Internet. O uso do NAT requer mais etapas de configuração do que o ICS, contudo em cada etapa
da configuração você pode personalizar diversas opções do NAT. Por exemplo, o NAT permita,
que seja obtida uma faixa de endereços IP a partir do provedor de Internet (ao contrário do ICS,
que recebe um único endereço IP do provedor de Internet) e também permite que seja definida a
faixa de endereços IP a ser utilizada para os clientes da rede interna.
Na tabela da Figura 7.2, você encontra uma comparação entre NAT e ICS.


Figura 7.2 Comparando NAT com ICS.
Não esqueça, de jeito nenhum, que o ICS é projetado para conectar uma rede doméstica ou uma rede
pequena, com não mais do que dez computadores, com a Internet. O protocolo NAT foi projetado para
conectar redes de porte pequeno para médio, com a Internet (eu diria entre 11 e 100 computadores).
Porém, nenhum deles foi projetado para ser utilizado nas seguintes situações:
· Fazer a conexão entre redes locais.

· Conectar redes para formar uma Intranet.
· Conectar as redes dos escritórios regionais com a rede da sede da empresa.
· Conectar as redes dos escritórios regionais com a rede da sede da empresa, usando como meio a
Internet, ou seja, criação de uma VPN.
Muito bem, a seguir, apresentarei os passos práticos para habilitar o ICS no computador conecta-
do à Internet e para configurar os clientes da rede, para que passem a utilizar o ICS.
HABILITANDO O ICS NO COMPUTADOR CONECTADO À INTERNET

O ICS, conforme descrito anteriormente, deve ser habilitado no computador com conexão à Inter-
net. O ICS é habilitado na interface externa, ou seja, na interface que faz a conexão com a Internet.
Para habilitar o ICS, siga os passos indicados a seguir:
1. Faça o logon no computador conectado à Internet, com a conta de administrador ou com

uma conta com permissão de administrador.
3. Abra a opção Conexões dial-up e de rede.
4. Clique com o botão direito do mouse na conexão com a Internet e, no menu de opções que


5. Será exibida a janela de propriedades da conexão com a Internet. Clique na guia Comparti-
lhamento. Serão exibidas as opções indicadas na Figura 7.3.
Figura 7.3 A guia para habilitar o compartilhamento da conexão

Internet.
6. Marque a opção Ativar o compartilhamento da conexão com Internet para conexão. Ao

marcar esta opção, também será habilitada a opção para fazer a discagem sob demanda –
Ativar discagem por demanda. Se você marcar esta opção, quando um usuário da rede ten-
tar acessar a Internet, será iniciada uma discagem, caso a conexão não esteja ativa.
Se você estiver configurando o ICS em um computador que tem mais de uma placa de rede instalada,
estará disponível uma lista para que você selecione qual a placa de rede que faz a conexão com a
rede local, ou seja, com a rede para a qual estará habilitada a conexão compartilhada com a Internet.
7. Você pode fazer algumas configurações adicionais no ICS, usando o botão Configurações...
Clique neste botão.
8. Será exibida a janela de configurações do compartilhamento com a guia Aplicativos selecio-

nada por padrão. Na guia Aplicativos, você pode definir configurações específicas para habi-
litar um ou mais aplicativos de rede. Clique na guia Serviços. Nesta janela, você pode habili-
tar os serviços da sua rede, que estarão disponíveis para usuários da Internet, conforme indi-


cado na Figura 7.4. Em outras palavras, serviços nos computadores da sua rede, os quais esta-
rão disponíveis para acesso através da Internet. Por exemplo, se você quiser montar um servi-
dor de FTP (File Transfer Protocol – Protocolo de Transferência de Arquivos) para fornecer o
serviço de cópias de arquivo, você terá que habilitar o serviço FTP Server. Ao habilitar este ser-
viço, você terá que informar o nome ou o número IP do computador da rede interna, no qual
está disponível o serviço de FTP. Vamos fazer um exemplo prático de habilitação de serviço.
Figura 7.4 Configurações adicionais do ICS.
9. Clique na opção Servidor FTP para marcá-la. Será aberta a janela para configuração deste
serviço. Nesta janela, o nome do serviço e a porta na qual trabalha, já vem preenchidos e
não podem ser alterados. O protocolo de transporte utilizado pelo serviço (TCP ou UDP)
também já vem assinalado e não pode ser alterado. A única informação que você preenche
é o nome ou o número IP do computador da rede interna, onde o serviço está disponível,
conforme exemplo da Figura 7.5, onde é informado o número IP do computador da rede
interna, onde o serviço de FTP está disponível.
10. Informe o nome ou o número IP e clique em OK. Você estará de volta à janela de configura-
ções do compartilhamento. Clique em OK para fechá-la.
11. Você estará de volta à guia Compartilhamento, da janela de propriedades da conexão que
está sendo compartilhada. Clique em OK para fechar esta janela e para habilitar o compar-
tilhamento da conexão Internet. Observe que, ao ser habilitado o compartilhamento, o
ícone indicado na Figura 7.6 passa a ser exibido junto à conexão que foi compartilhada.


Figura 7.5 Configurando o serviço de FTP.
Figura 7.6 Ícone indicando o compartilhamento da conexão.
A seguir, listo as portas utilizadas pelos principais serviços da Internet:
Serviço Porta utilizada

Servidor Web – http (WWW) 80
Servidor de FTP 21
POP3 110
Telnet 23
SSL (https) 443
Conheça bem as portas indicadas na listagem anterior. Para uma lista completa de todas as
portas utilizadas pelos protocolos TCP e UDP, consulte o seguinte endereço:
http://www.iana.org/numbers.htm
Pronto, habilitar e configurar o ICS é apenas isso. A seguir, mostrarei como configurar os clientes.


CONFIGURANDO OS CLIENTES DA REDE PARA UTILIZAR O ICS

Para que os clientes possam ter utilizar o ICS, os seguintes tópicos devem ser verificados:
1. Os clientes devem estar conectados em rede, no mesmo barramento de rede local onde
está conectada a interface interna do servidor com o ICS habilitado. Esta etapa provavel-
mente já esteja OK, uma vez que você certamente habilitou o ICS para fornecer acesso à
Internet, para os computadores da sua rede interna, a qual suponho já estivesse configu-
rada e funcionando.
2. Os computadores da rede interna devem estar com o protocolo TCP/IP instalado e con-
figurados para usar um servidor DHCP. No caso do ICS, o computador onde o ICS foi ha-
bilitado passa a atuar como um servidor DHCP, oferecendo endereços na faixa:
192.168.0.2 –> 192.168.0.254. Desta forma, basta acessar as propriedades do protocolo
TCP/IP, conforme já descrito em capítulos anteriores e habilitar a opção “Obter um en-
dereço IP automaticamente”.
Para usuários que não tenham muita experiência com as configurações de rede e do protocolo
TCP/IP, pode ser utilizado o utilitário netsetup.exe, o qual está disponível no CD de instalação do
Windows 2000 Server, na pasta: D:\SUPPORT\TOOLS.
Sobre ICS é isso. Agora vamos aprender um pouco mais sobre a teoria e as configurações do NAT –
Network Address Translation.
NETWORK ADDRESS TRANSLATION (NAT)

Neste tópico, você aprenderá sobre o que é exatamente o NAT, em que situações é indicada a sua
utilização e como configurá-lo. Para poder habilitar e configurar o NAT, você já deve ter habilita-
do o RRAS, conforme descrito no Capítulo 6.
ENTENDENDO COMO FUNCIONA O NAT

Vamos inicialmente entender exatamente qual a função do NAT e em que situações é indicado. O
NAT surgiu como uma alternativa real para o problema de falta de endereços IP na Internet. Con-
forme descrito no Capítulo 2, cada computador que acessa a Internet deve ter o protocolo TCP/IP
configurado. Para isso, cada computador da rede interna, precisaria de um endereço IP válido na
Internet. Não haveria endereços IP suficiente. A criação do NAT veio para solucionar esta questão
(ou pelo menos fornecer uma alternativa até que o IP v6 esteja disponível e em uso na maioria dos


sistemas da Internet). Com o uso do NAT, os computadores da rede interna utilizam os chamados
endereços privados. Os endereços privados não são válidos na Internet, isto é, pacotes que te-
nham como origem ou como destino um endereço na faixa dos endereços privados, não serão en-
caminhados, serão descartados pelos roteadores. O software dos roteadores está configurado para
descartar pacotes com origem ou destino dentro das faixas de endereços IP privados. As faixas de
endereços privados são definidas na RFC 1597 e estão indicados a seguir:
10.0.0.0 –> 10.255.255.255
172.16.0.0 –> 172.31.255.255
192.168.0.0 –> 192.168.255.255
Existem algumas questões que devem estar surgindo na cabeça do amigo leitor. Como por exem-
plo: Qual a vantagem do uso dos endereços privados? O que isso tem a ver com o NAT? Muito
bem, vamos esclarecer estas questões.
Pelo fato de os endereços privados não poderem ser utilizados diretamente na Internet, isso per-
mite que várias empresas utilizem a mesma faixa de endereços privados, como esquema de ende-
reçamento da sua rede interna. Qualquer empresa pode utilizar endereços na faixa 10.0.0.0 –>
10.255.255.255 ou na faixa 172.16.0.0 –> 72.31.255.255 ou na faixa 192.168.0.0 –>
192.168.255.255.
Com o uso do NAT, a empresa fornece acesso à Internet para um grande número de computado-
res da rede interna, usando um número bem menor de endereços IP, válidos na Internet. Por
exemplo, uma rede com 100 computadores, usando um esquema de endereçamento
10.10.0.0/255.255.0.0, poderá ter acesso à Internet, usando o NAT, usando um único endereço IP
válido: o endereço IP da interface externa do NAT. Observe que, com isso, temos uma grande eco-
nomia de endereços IP. No nosso exemplo temos 100 computadores acessando a Internet (confi-
gurados com endereços IP privados), os quais utilizam um único endereço IP válido, que é o ende-
reço IP da interface externa do servidor configurado como NAT.
Muito bem, respondi as questões anteriores mas agora devem ter surgido novas questões na cabe-
ça do amigo leitor, como por exemplo:
1. Se houver mais de um cliente acessando a Internet e o NAT apenas um endereço IP válido

(ou em outras situações, se houver um número maior de clientes internos acessando a
Internet, do que o número de endereços IP disponíveis no NAT. E o número de endereços
IP, disponíveis no NAT sempre será menor do que o número de computadores da rede in-
terna, uma vez que um dos principais objetivos do uso do NAT é reduzir a quantidade de
números IP válidos), como é possível a comunicação de mais de um cliente, ao mesmo
tempo, com a Internet?
2. Quando a resposta retorna, como o NAT sabe para qual cliente ela se destina, se houver
mais de um cliente acessando a Internet?


Inicialmente, vamos observar que o esquema de endereçamento utilizado pela empresa do nosso
exemplo (10.10.0.0/255.255.0.0) está dentro de uma faixa de endereços privados. Aqui está a
principal função do NAT, que é o papel de “traduzir” os endereços privados, (não válidos na Inter-
net), para um endereço válido da interface pública do servidor com o NAT. Me explico melhor.
Imagine que você tem cinco computadores na rede, todos usando o NAT. Os computadores estão
utilizando os seguintes endereços:
10.10.0.10
10.10.0.11
10.10.0.12
10.10.0.13
10.10.0.14
O computador com o NAT habilitado tem as seguintes configurações:
l IP da interface interna: 10.10.0.1

l IP da interface externa: Um ou mais endereços válidos na Internet, obtido a partir da conexão
com o provedor de Internet, mas sempre em número bem menor do que a quantidade de com-
putadores da rede interna.
Quando um cliente acessa a Internet, no pacote de informação enviado por este cliente, está regis-
trado o endereço IP da rede interna, por exemplo: 10.10.0.10. Porém, este pacote não pode ser en-
viado pelo NAT para a Internet, com este endereço IP como endereço de origem, senão no primei-
ro roteador este pacote será descartado, já que o endereço 10.10.0.10 não é um endereço válido na
Internet (pois é um endereço que pertence a uma das faixas de endereços privados, conforme des-
crito anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT substitui o en-
dereço IP de origem por um dos endereços IP da interface externa do NAT (endereço fornecido
pelo provedor de Internet e, portanto, válido na Internet). Este processo que é chamado de tradu-
ção de endereços, ou seja, traduzir de um endereço IP interno, não válido na Internet, para um en-
dereço IP externo, válido na Internet. Quando a resposta retorna, o NAT repassa a resposta para o
cliente que originou o pedido.
Mas ainda fica a questão de como o NAT sabe para qual cliente interno é a resposta, se os pacotes
de dois ou mais clientes podem ter sido traduzidos para o mesmo endereço IP externo. A resposta
para estas questão é a mesma. O NAT ao executar a função de tradução de endereços, associa um
número de porta, que é único, com cada um dos computadores da rede interna. A tradução de en-
dereços funciona assim:
1. Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o endereço
interno do cliente como endereço de origem, por um endereço válido na Internet. Mas
além do endereço é também associada uma porta de comunicação. Por exemplo, vamos su-


por que o computador 10.10.0.12 tenta acessar a Internet. O NAT substitui o endereço
10.10.0.12 por um endereço válido na Internet, vou chutar um: 144.72.3.21. Mas além do
número IP é também associada uma porta, como por exemplo: 144.72.3.21:6557. O NAT
mantém uma tabela interna onde fica registrado que comunicação através da porta “tal”
está relacionada com o cliente “tal”. Por exemplo, a tabela do NAT, em um determinado
momento, poderia ter o seguinte conteúdo:
144.72.3.21:6555 10.10.0.10
144.72.3.21:6556 10.10.0.11
144.72.3.21:6557 10.10.0.12
144.72.3.21:6558 10.10.0.13
144.72.3.21:6559 10.10.0.14
Observe que todos os endereços da rede interna são “traduzidos” para o mesmo endereço
externo, porém com um número diferente de porta.
2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela identificação da por-
ta, sabe para qual computador da rede interna deve ser enviada a referida resposta, uma vez
que a porta de identificação está associada com um endereço IP da rede interna. Por exem-
plo, se chegar um pacote endereçado a 144.72.3.21:6557, o NAT sabe que este pacote deve
ser enviado para o computador da rede interna 10.10.0.12, pois obtém esta informação a
partir da tabela interna, descrita anteriormente.
Com isso, vários computadores da rede interna, podem acessar a Internet ao mesmo tempo, usan-
do um único endereço IP ou um número de endereços IP bem menor do que o número de compu-
tadores da rede interna. A diferenciação é feita através de uma atribuição de porta de comunica-
ção diferente, associada com cada IP da rede interna. Este é o princípio básico do NAT – Network
Address Translation (Tradução de Endereços IP).
Agora que você já sabe o princípio básico do funcionamento do NAT, vamos entender quais os
componentes deste serviço no Windows 2000 Server e vamos aprender a configurá-lo.
OS COMPONENTES DO NAT
O serviço NAT é composto, basicamente, pelos seguintes elementos:
l Componente de tradução de endereços: O NAT faz parte do servidor RRAS. Para que você possa
utilizar o servidor NAT, para fornecer conexão à Internet para a rede da sua empresa, você deve
ter um servidor com o RRAS instalado e habilitado (veja o Capítulo 6 para detalhes sobre a ha-
bilitação do RRAS). O servidor, onde está o RRAS, deve ser o servidor conectado à Internet. O
componente de tradução de endereços faz parte da funcionalidade do NAT e será habilitado,
assim que o NAT for configurado no RRAS.


l Componente de endereçamento: Este componente atua como um servidor DHCP simplifica-

do, o qual é utilizado para concessão de endereços IP para os computadores da rede interna.
Além do endereço IP, o servidor DHCP simplificado é capaz de configurar os clientes com in-
formações tais como a máscara de sub-rede, o número IP do gateway padrão (Default Gateway)
e o número IP do servidor DNS. Os clientes da rede interna devem ser configurados como cli-
entes DHCP, ou seja, nas propriedades do TCP/IP, você deve habilitar a opção para que o clien-
te obtenha um endereço IP automaticamente. Computadores executando o Windows Server
2003 (qualquer edição), Windows XP, Windows 2000, Windows NT, Windows Me, Windows
98 ou Windows 95 são automaticamente configurados como clientes DHCP. Caso um destes
clientes tenha sido configurado para usar um IP fixo, deverá ser reconfigurado para que possa
utilizar o NAT.
l Componente de resolução de nomes: O computador no qual o NAT é habilitado, também de-

sempenha o papel de um servidor DNS, o qual é utilizado pelos computadores da rede interna.
Quando uma consulta para resolução de nomes é enviada por um cliente interno, para o com-
putador com o NAT habilitado, o computador com o NAT repassa esta consulta para um servi-
dor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a res-
posta obtida para o cliente. Esta funcionalidade é idêntica ao papel de DNS Proxy, fornecida
pelo ICS, conforme descrito anteriormente.
Como o NAT inclui as funcionalidades de endereçamento e resolução de nomes, você terá as se-
guintes limitações para o uso de outros serviços, no mesmo servidor onde o NAT foi habilitado:
• Você não poderá executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT.
• Você não poderá executar o servidor DNS no servidor NAT.
UM POUCO DE PLANEJAMENTO ANTES DE HABILITAR O NAT

Antes de habilitar o NAT no servidor RRAS, para fornecer conexão à Internet para os demais com-
putadores da rede, existem alguns fatores que você deve levar em consideração. Neste item, des-
crevo as considerações que devem ser feitas, antes da habilitação do NAT. Estes fatos ajudam a evi-
tar futuros problemas e necessidade de reconfigurações no NAT.
1. Utilize endereços privados para os computadores da rede interna.
Esta é a primeira e óbvia recomendação. Para o esquema de endereçamento da rede inter-

na, você deve utilizar uma faixa de endereços, dentro de uma das faixas de endereços priva-
dos: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou 192.168.0.0/255.255.0.0. Você pode
utilizar diferentes máscaras de sub-rede, de acordo com as necessidades da sua rede. Por
exemplo, se você tiver uma rede com 100 máquinas, pode utilizar um esquema de endere-
çamento: 10.10.10.0/255.255.255.0, o qual disponibiliza até 254 endereços. Por padrão, o
NAT utiliza o esquema de endereçamento 192.168.0.0/255.255.255.0. Porém é possível al-


terar este esquema de endereçamento, nas configurações do NAT. Lembre-se que, uma vez
habilitado o NAT, este passa a atuar como um servidor DHCP para a rede interna, fornecen-
do as configurações do TCP/IP para os clientes da rede interna. Com isso, nas configura-
ções do NAT (conforme você aprenderá mais adiante), você define o escopo de endereços
que será fornecido para os clientes da rede.
Você também poderia configurar a sua rede interna com uma faixa de endereços IP válidos, porém
não alocados diretamente para a sua empresa. Assim, você estaria utilizando na rede interna, um
esquema de endereçamento que foi reservado para uso de outra empresa. Esta não é uma configu-
ração recomendada e é conhecida como: “illegal or overlapping IP addressing”. O resultado práti-
co é que, mesmo assim, você conseguirá usar o NAT para acessar a Internet, porém não conseguirá
acessar os recursos da rede para o qual o esquema de endereçamento foi oficialmente alocado. Por
exemplo, se você resolve usar o esquema de endereçamento 1.0.0.0/255.0.0.0, sem se preocupar
em saber para quem esta faixa de endereços foi reservado. Mesmo assim você conseguirá acessar
a Internet usando o NAT, você apenas não conseguirá acessar os recursos e servidores da empresa
que usa, oficialmente, o esquema de endereçamento 1.0.0.0/255.0.0.0, que você resolveu utilizar
para a rede interna da sua empresa.
Ao configurar o NAT, o administrador poderá excluir faixas de endereços que não devem
ser fornecidas para os clientes. Por exemplo, se você tiver alguns equipamentos da rede in-
terna (impressoras, hubs, switchs, etc.) que devam ter um número IP fixo, você pode exclu-
ir uma faixa de endereços IP no servidor NAT e utilizar estes endereços para configurar os
equipamentos que, por algum motivo, precisam de um IP fixo.
2. Usar um ou mais endereços IP públicos.
Se você estiver utilizando um único endereço IP, fornecido pelo provedor de Internet, não
serão necessárias configurações adicionais no NAT, conforme você verá na parte prática,
mais adiante. Porém, se você obtém dois ou mais endereços IP públicos, você terá que con-
figurar a interface externa do NAT (interface ligada à Internet) com a faixa de endereços pú-
blicos, fornecidos pelo provedor de Internet. A faixa é informada no formato padrão: Nú-
mero IP/Máscara de sub-rede. Pode existir situações em que nem todos os números
fornecidos pelo provedor possam ser informados usando esta representação. Nestas situa-
ções, pode acontecer de você não poder utilizar todos os endereços disponibilizados pelo
provedor de Internet, a não ser que você utilize a representação por faixas, conforme des-
crito mais adiante.
Se o número de endereços fornecido for uma potência de 2 (2, 4, 8, 16, 32, 64 e assim por di-
ante), é mais provável que você consiga representar a faixa de endereços no formato Núme-
ro IP/Máscara de sub-rede. Por exemplo, se você recebeu quatro endereços IP públicos:
206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215. Esta faixa pode ser re-
presentada da seguinte maneira: 206.73.118.212/255.255.255.252.


Para detalhes sobre a representação de faixas de endereços IP e máscaras de sub-rede, consulte o

Capítulo 2.
Caso não seja possível fazer a representação no formato Número IP/Máscara de sub-rede,
você pode informar os endereços públicos como uma série de faixas de endereços, confor-
me exemplo a seguir:
206.73.118.213 –> 206.73.118.218
206.73.118.222 –> 206.73.118.240
3. Permitir conexões da Internet para a rede interna da empresa.

O funcionamento normal do NAT permite que sejam feitas conexões da rede privada para
recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de FTP na
Internet. Neste caso, o cliente executando um programa cliente de FTP faz a conexão com
um servidor FTP da Internet. Quando os pacotes de resposta chegam no NAT, podem ser re-
passados ao cliente, pois representam a resposta a uma conexão iniciada internamente e
não uma tentativa de acesso vinda da Internet.
Você pode querer fornecer acesso a um servidor da rede interna para usuários da Internet.
Por exemplo, você pode configurar um servidor da rede interna com o IIS e instalar neste
servidor o site da empresa. Em seguida, você terá que configurar o NAT para que os usuários
da Internet possam acessar este servidor da rede interna. Observe que, nesta situação, che-
garão pacotes da Internet, os quais não representarão respostas a requisições dos clientes
da rede interna, mas sim requisições de acesso dos usuários da Internet, a um servidor da
rede interna. Por padrão, este tráfego será bloqueado no NAT. Porém o administrador pode
configurar o NAT para aceitar requisições vindas de clientes da Internet para um servidor
da rede interna. Para permitir que usuários da Internet, acessem recursos na sua rede inter-
na, siga os passos indicados a seguir:
Que existe a possibilidade de fornecer acesso aos servidores internos da rede, para clientes da
Internet. Lembre também de como fazer estas configurações, o que será descrito mais adiante.
l O servidor da rede interna, que deverá ser acessado através da Internet, deve ser configu-
rado com um número IP fixo (número que faça parte da faixa de endereços fornecidos
pelo NAT para uso da rede interna) e com o número IP do Default Gateway e do servidor
DNS (o número IP da interface interna do computador com o NAT habilitado).
l Excluir o endereço IP utilizado pelo servidor da rede interna (servidor que estará acessí-
vel para clientes da Internet) da faixa de endereços fornecidos pelo NAT, para que este
endereço não seja alocado dinamicamente para um outro computador da rede, o que
iria gerar um conflito de endereços IP na rede interna.


l Configurar uma porta especial no NAT. Uma porta especial é um mapeamento estáti-
co de um endereço público e um número de porta para um endereço privado e um nú-
mero de porta. Esta porta especial faz o mapeamento das conexões chegadas da Inter-
net para um endereço específico da rede interna. Com o uso de portas especiais, por
exemplo, você pode criar um servidor HTTP ou FTP na rede interna e torná-lo acessível
a partir da Internet.
Na parte prática, você aprenderá a fazer estas configurações e o mapeamento de portas especiais.
4. Configurando aplicações e serviços.
Algumas aplicações podem exigir configurações especiais no NAT, normalmente com a ha-
bilitação de determinadas portas. Por exemplo, vamos supor que você está usando o NAT
para conectar dez computadores de uma loja de jogos, com a Internet. Pode ser necessária a
habilitação das portas utilizadas por determinados jogos para que estes possam ser execu-
tados através do NAT. Se estas configurações não forem feitas, o NAT irá bloquear pacotes
que utilizem estas portas e os respectivos jogos não poderão ser acessados.
5. Conexões VPN iniciadas a partir da rede interna.
No Windows 2000 Server, não é possível criar conexões VPN L2TP/IPSec, a partir de uma
rede que utilize o NAT. Esta limitação foi superada no Windows Server 2003.
Muito bem, de teoria sobre NAT é isso. Agora vamos mostrar como fazer as configurações
práticas do NAT.
HABILITANDO O NAT NO SERVIDOR RRAS

O primeiro passo, para utilizar o NAT para conexão da sua rede com a Internet, é habilitar o NAT
no servidor RRAS. Neste item, mostrarei os passos práticos para fazer esta habilitação. A habilita-
ção é feita no servidor RRAS que tem conexão com a Internet. Este servidor deve ter, pelo menos,
duas interfaces de rede. Uma é a interface de rede local, que conecta o servidor à rede local da em-
presa. A outra interface, normalmente é uma placa de fax-modem que faz a conexão com a Inter-
net ou qualquer outra forma de conexão com a Internet, disponível.
Para habilitar o NAT no servidor RRAS, siga os passos indicados a seguir:
trador no computador com o RRAS instalado e com a conexão com a Internet.



servidor RRAS para exibir as diversas opções disponíveis.
4. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções de roteamento

disponíveis.
5. Clique com o botão direito do mouse na opção Geral e, no menu de opções que é exibido,
clique em Novo protocolo de roteamento...
6. Será aberta a janela Novo protocolo de roteamento, com a lista de protocolos de roteamen-
to disponíveis para a instalação. Clique na opção Conversão de endereços de rede (NAT)
para selecioná-la, conforme indicado na Figura 7.7.
Figura 7.7 Instalando o NAT.
7. Clique em OK e pronto, o NAT será instalado e já será exibido no console RRAS. Nos próxi-
mos itens, você aprenderá a configurar as diversas opções do NAT.
CONFIGURANDO O NAT
Agora que você habilitou o NAT, a próxima etapa é configurá-lo. Por exemplo, você tem que in-
formar a faixa de endereços que será fornecido pelo NAT para uso da rede interna, definir se serão
excluídos alguns endereços e assim por diante.


Para configurar o NAT no servidor RRAS, siga os passos indicados a seguir:

servidor RRAS para exibir as diversas opções disponíveis.
4. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções de roteamento

disponíveis.
5. Clique com o botão direito do mouse na opção Conversão de endereços de rede (NAT) e, no
menu de opções que é exibido, clique em Propriedades.
6. Será exibida a janela de propriedades do NAT, com a guia Geral selecionada por padrão,
Figura 7.8 A guia Geral da janela de propriedades do NAT.
7. Nesta guia, você define a quantidade de informações que será gravada no log de atividade
do NAT. Por padrão, está selecionada a opção para fazer o logo somente de eventos de erros
(Registrar somente erros no log). A opção padrão é a mais indicada na maioria das situa-
ções, principalmente, se o NAT está funcionando normalmente, sem apresentar proble-


mas. Para fazer com que, além de erros, sejam gravadas mensagens de aviso, marque a op-
ção Registrar erros e avisos no log. Em situações onde você está enfrentando sérios proble-
mas de funcionalidade com o NAT e não está conseguindo identificar a causa, é útil regis-
trar o máximo de informações possíveis no log do NAT. Para tal, marque a opção Registrar
o máximo de informações no log. As informações do NAT são gravadas no log do sistema
(System) e podem ser visualizadas usando o Visualizador de Eventos (Event Viewer). Para
desabilitar completamente o log de eventos do NAT, marque a opção Desativar log de
eventos.
8. Selecione a opção desejada e dê um clique na guia Conversão. Serão exibidas as opções in-
dicadas na Figura 7.9.
Figura 7.9 A guia Conversão da janela de propriedades do NAT.
Nesta guia, você define o tempo máximo que a tradução para mensagens baseadas nos pro-
tocolos TCP e UDP deve ser mantida na tabela do NAT. Este tempo máximo evita que men-
sagens que não obtiveram respostas, fiquem indefinidamente na tabela do NAT, ocupando
portas que poderiam ser utilizadas por outros usuários. Sem a definição destes tempos de ti-
meout, poderia-se chegar a uma situação onde não haveria mais portas disponíveis e novos
clientes não poderiam acessar a Internet.
9. Defina os valores desejados e clique na guia Atribuição de endereço. Nesta janela, é que
você habilita o NAT a executar o papel de servidor DHCP para os clientes da rede interna.
Para habilitar a função de DHCP no NAT, Atribuir endereços IP automaticamente usando


DHCP. Ao marcar esta opção, serão habilitados os campos Endereço IP e Máscara para que
você defina o número da rede interna. Os clientes da rede interna receberão números IP de
acordo com o número de rede que você definir nesta guia. Devem ser utilizados endereços
privados na faixa IP 192.168.0.0 com máscara 255.255.255.0, os clientes da rede receberão
os endereços: IP 192.168.0.2, IP 192.168.0.3, IP 192.168.0.4 e assim por diante. É impor-
tante lembrar que o primeiro endereço (IP 192.168.0.0 será reservado para a interface inter-
na do computador com o NAT instalado). Você também pode usar endereços de outras fai-
xas de endereços privados, não precisa necessariamente ser na faixa 192.168. Na Figura
7.10, mostro um exemplo de configuração destes valores.
Figura 7.10 A guia Atribuição de endereço da janela de propriedades do

NAT.
Conforme descrito anteriormente, você pode excluir endereços da faixa de endereços for-
necidos pelo NAT. No nosso exemplo, vamos excluir os cinco primeiros endereços da rede
10.10.10.0/255.255.255.0:
IP 192.168.0.1
IP 192.168.0.2
IP 192.168.0.3
IP 192.168.0.4
IP 192.168.0.5


10. Para exclui endereços da faixa de endereços a ser distribuída pelo NAT, clique no botão
Excluir... Será aberta a janela Excluir endereços reservados. Clique no botão Adicionar...
Será aberta a janela Adicionar endereço IP. Digite o primeiro endereço a ser excluído, con-
forme exemplo da Figura 7.11.
Figura 7.11 Informando um endereço IP para exclusão..
11. Clique em OK. Repita a operação para os demais endereços a serem excluídos. Ao final, sua
janela deve estar conforme indicado na Figura 7.12.
Figura 7.12 Lista de endereços a serem excluídos da concessão do NAT.
12. Se você digitou um endereço incorretamente, poderá corrigi-lo. Para isso clique no endere-
ço que foi digitado com erro para selecioná-lo. Em seguida clique no botão Editar... O ende-
reço será exibido na janela Adicionar Endereço IP e você poderá alterá-lo. Faça as alterações


necessárias e clique em OK. Você poderá excluir um endereço da faixa de exclusão, ou seja,
fazer com que o endereço volte a estar disponível para o NAT concedê-lo a um cliente da
rede. Para excluir um endereço da faixa de exclusão, basta clicar no endereço a ser excluído
para selecioná-lo e, em seguida, clicar em Remover. Após ter feito as configurações deseja-
das clique em OK para fechar a janela Excluir endereços reservados. Você estará de volta à
janela de propriedades do NAT.
13. Clique na guia Resolução de nomes. Nesta guia, você pode habilitar o NAT para prestar o
serviço de resolução de nomes para os clientes da rede interna. Na verdade, conforme
descrito anteriormente, o NAT apenas repassa os pedidos de resolução de nomes dos cli-
entes para o servidor DNS configurado na interface externa do NAT (o servidor DNS do
provedor de Internet). Quando o NAT recebe a resposta, devolve-a para o cliente que ini-
ciou a consulta. Para habilitar a resolução DNS através do NAT, marque a opção Clientes
que usam o Domain Name System (DNS). Ao marcar esta opção, as demais opções desta
janela serão habilitadas. A opção Conectar-se a rede pública quando um nome precisar
ser resolvido poderá ser habilitada. Ao marcar esta opção, você está orientando ao NAT
para iniciar uma conexão (se já não houver uma estabelecida) sempre que for enviada
uma consulta de nomes DNS por um dos clientes. Ao marcar esta opção, a lista Interface
de discagem sob demanda será habilitada, para que você selecione a conexão a ser utiliza-
da, conforme exemplo da Figura 7.13.
Figura 7.13 Habilitando a resolução DNS.


Não esqueça que é possível habilitar a resolução DNS via NAT e que é possível configurar o NAT
para iniciar uma discagem sob demanda, sempre que houver uma consulta de resolução de nomes
de um cliente e a conexão não estiver estabelecida.
14. Defina as configurações desejadas e clique em OK para salvá-las.
CONFIGURAÇÕES ADICIONAIS
Para que o NAT possa funcionar corretamente existem mais algumas etapas que devem ser venci-
das. Neste item, apresentarei os passos necessários para que a configuração do NAT esteja comple-
ta. Mostrarei os passos que já foram executados e farei um exemplo prático de como configurar os
passos restantes.
Para que o NAT possa funcionar corretamente e ser utilizado por todos os computadores da rede
interna, os seguintes passos devem ser executados:
1. O computador, com o qual se terá acesso à Internet, deve ter uma placa de rede instalada
e uma forma de conexão com a Internet (linha discada, ISDN, ADSL, etc.). A placa de
rede é conhecida como interface interna e a conexão com a Internet é conhecida como
interface externa.
2. Habilitar o RRAS no computador com conexão com a Internet (foi feito no Capítulo 6).
3. Instalar o protocolo NAT no servidor RRAS (foi feito em um dos itens anteriores).
4. Configurar o protocolo NAT, informando uma faixa de endereços, exclusão de endereços e

habilitar a resolução DNS via NAT (foi feito no item anterior).
As próximas etapas são relacionadas com as configurações das interfaces do computador

com o NAT instalado e dos computadores da rede.
5. Configurar a interface interna do computador com o NAT, com o endereço IP: 192.168.0.1,
com máscara de sub-rede 255.255.255.0 e sem Default Gateway (para detalhes sobre as
configurações do protocolo TCP/IP, consulte os Capítulos 2 e 9).
Não esqueça: No exemplo, estou utilizando a faixa padrão 192.168.0.0/255.255.255.0,

mas poderia ser utilizada qualquer faixa de endereços, desde que seja uma faixa de endere-
ços privados, conforme descrito anteriormente. Por exemplo, eu poderia configurar o NAT
com a faixa 10.10.10.0/255.255.255.0. Usar o primeiro endereço para a faixa, como ende-
reço da interface de rede interna do servidor com o NAT, não é obrigatório. Este é um pa-
drão normalmente utilizado, já que esta interface será configurada como o Default Gate-
way dos computadores da rede interna e, por tradição, utiliza-se o primeiro endereço da
rede para o Default Gateway. Mas, repito, não é obrigatório que seja o primeiro endereço.
6. Habilitar o roteamento na interface externa.


7. Criar uma interface de discagem sob demanda.

8. Criar uma rota padrão.
9. O último passo é habilitar o NAT nas interfaces interna e externa.
A seguir mostrarei como efetuar cada uma destas configurações.
Você somente conseguirá cumprir a etapa 7, se o RRAS estiver habilitado para a função de rotea-
mento. Se o roteamento não estiver habilitado, a opção Interfaces de rede não será exibida abaixo
do servidor RRAS. Para habilitar a função de roteamento, no servidor RRAS, siga os passos indica-
dos a seguir.
3. O console de configuração do RRAS será aberto. Clique com o botão direito do mouse
no nome do servidor a ser configurado e, no menu de opções que é exibido, clique em
Propriedades.
4. Será aberta a janela de propriedades do servidor RRAS, com a guia Geral sendo exibida por
padrão. Marque as opções de roteamento conforme indicado na Figura 7.14.
Figura 7.14 Habilitando a função de roteamento no RRAS.


5. Clique em OK. Será exibida uma mensagem avisando que o servidor RRAS será parado e
inicializado novamente. Clique em Sim para fechar esta mensagem. O servidor RRAS é pa-
rado e inicializado novamente e a opção Interfaces de roteamento já deve estar sendo exi-
bida no consolo RRAS.
6. Feche o console de gerenciamento do RRAS.
Agora, você aprenderá a fazer as configurações para concluir as demais etapas da configuração
do NAT.
Para concluir o passo 6: Habilitar o roteamento na interface externa, siga os passos indicados a seguir:
3. O console de configuração do RRAS será aberto. Clique com o botão direito do mouse na
opção Portas e, no menu de opções que é exibido, clique em Propriedades. Será exibida a ja-
nela com a lista de portas disponíveis. Marque a porta que representa a conexão com a
Internet, conforme exemplo da Figura 7.15, onde foi selecionada a porta correspondente
ao modem que faz a conexão com a Internet.
Figura 7.15 Selecionando a porta de conexão com a Internet.


4. Clique em Configurar... Será exibida a janela Configurar dispositivo – Nome da interface.

Marque a opção Conexões de roteamento de discagem por demanda (entrada/saída) con-
forme exemplo da Figura 7.16.
Figura 7.16 Configurando a interface externa.
5. Clique em OK para fechar a janela de configuração do dispositivo.
6. Você estará de volta à janela de propriedades das portas. Clique em OK para fechá-la.
7. Você estará de volta ao console de configuração do RRAS. Mantenha-o aberto, pois irá utili-
zá-lo nos próximos passos.
Para concluir o passo 7: Criar uma interface de discagem sob demanda, siga estes passos indicados:
1. Você deve estar com o console RRAS ainda aberto, do exemplo anterior. Se não estiver aber-
to, abra-o.
2. Clique com o botão direito do mouse na opção Interfaces de roteamento e, no menu de op-
ções que é exibido, clique em Nova interface de discagem sob demanda...
3. Será aberto o assistente para criação de interfaces de discagem sob demanda. A primeira
tela do assistente é apenas informativa. Clique em Avançar para seguir para a próxima eta-
pa do assistente.
4. Nesta etapa, você deve informar um nome para a interface. Digite um nome e clique em
Avançar para seguir para a próxima etapa do assistente.
5. Nesta etapa, você deve informar o número do telefone. Este é o número que você utiliza
para fazer a conexão com o provedor de Internet. Informe o número e clique em Avançar
para seguir para a próxima etapa do assistente


6. Nesta etapa, você pode selecionar várias opções. Certifique-se de que a opção Rotear paco-
tes IP nesta interface esteja selecionada, conforme indicado na Figura 7.17.
Figura 7.17 Selecionando opções da nova conexão.
8. Nesta etapa, você informa os dados para autenticação quando a interface fizer a conexão.
Informe os dados de logon e clique em Avançar para seguir para a próxima etapa do assistente.
9. Será exibida a tela final do assistente. Você pode utilizar o botão Voltar para fazer alterações
em alguma das etapas do assistente. Clique em Concluir. O assistente será encerrado e a nova
interface de discagem sob demanda terá sido criada, conforme indicado na Figura 7.18.
10. Mantenha o console do RRAS aberto, pois irá utilizá-lo nos próximos passos.
Figura 7.18 Interface recém criada.


Para concluir o passo 8: Criar uma rota padrão, siga os passos indicados a seguir:
to, abra-o.
2. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções disponíveis.
3. Clique com o botão direito do mouse na opção Roteamentos estáticos e, no menu de op-
ções que é exibido, clique em Novo roteamento estático... Será aberta a janela Rotea-
mento estático.
4. Na lista Interface, selecione a interface criada no passo 7, a qual será a rota padrão para os
computadores da rede, ou seja, todos os clientes da rede usarão a interface do NAT como
rota padrão. Todos os pacotes serão enviados para a interface externa do NAT, que os en-
viará para a Internet. Esta interface também irá receber as respostas vindas da Internet e irá
repassá-las para os clientes, conforme descrito anteriormente.
5. No campo Destino, preencha com: 0.0.0.0, o que significa “qualquer destino”.
6. No campo Máscara de rede, preencha com: 0.0.0.0.
7. Como estou utilizando uma conexão discadas, o campo Gateway estará desabilitado. No
campo Métrica, aceite o valor 1 e certifique-se de que a opção Usar esta rota para iniciar co-
nexões de discagem sob demanda esteja marcada. Sua janela deve estar conforme indicado
na Figura 7.19.
Figura 7.19 Criando uma rota padrão.
8. Clique em OK para criar a rota padrão.
9. Mantenha o console do RRAS aberto, pois irá utilizá-lo nos próximos passos.


Para concluir o passo 9: Habilitar o NAT nas interfaces interna e externa, siga estes passos:
to, abra-o.
2. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções disponíveis.
3. Clique com o botão direito do mouse na opção Conversão de endereços de rede (NAT) e, no
menu de opções que é exibido, clique em Nova interface...
4. Será exibida a janela com a lista de interfaces disponíveis. Você tem que habilitar o NAT nas
duas interfaces: interna e externa. Vamos inicialmente habilitar na interface interna. Sele-
cione a interface interna, conforme exemplo da Figura 7.20.
Figura 7.20 Habilitando o NAT na interface interna.
5. Clique em OK. Será aberta a janela onde você pode fazer as configurações para a interface
para a qual está sendo habilitado o NAT. Como você selecionou a interface interna (passo
4), já vem marcada a opção Interface privada, conectada a rede privada. Clique em OK para
aceitar as configurações padrão e pronto, o NAT foi habilitado na interface interna.
6. Finalmente, vamos habilitar o NAT na interface externa. Na interface externa, existem al-
gumas configurações adicionais que terão que ser feitas, conforme será demonstrado logo
a seguir. Clique com o botão direito do mouse na opção Conversão de endereços de rede
(NAT) e, no menu de opções que é exibido, clique em Nova interface...


7. Será exibida a janela com a lista de interfaces disponíveis. Você pode identificar a interface
externa pelo ícone de um pequeno modem, abaixo do ícone de identificação da interface e
pelo nome que você deu a interface anteriormente. Clique na interface externa a ser habili-
tada para o NAT e clique em OK.
8. Será exibida a janela de propriedades da interface, com a opção Interface pública conectada
à Internet selecionada automaticamente, conforme indicado na Figura 7.21.
Figura 7.21 Habilitando o NAT na interface externa.
9. Vamos aceitar as opções da guia Geral. Dê um clique na guia Poll de endereços.
Nesta guia, você deve informar um ou mais números IP válidos na Internet. São os endere-
ços fornecidos pelo seu provedor de Internet. Para informar um novo endereço, clique no
botão Adicionar.... Será aberta a janela Definir Pool de endereços. Digite o endereço inicial,
a máscara de sub-rede e o endereço final. Se for um único endereço IP, o endereço inicial
deve ser digitado igual ao final, conforme exemplo da Figura 7.22.
Figura 7.22 Habilitando o NAT na interface externa.


10. Informe o endereço ou faixa de endereços e clique em OK. Os dados informados já serão
exibidos na guia Pool de endereços, conforme indicado na Figura 7.23.
Figura 7.23 Endereços que serão utilizados pela interface externa do NAT.
11. Você pode reservar um dos endereços IP públicos (caso você tenha obtido mais de um en-
dereço IP junto ao provedor de Internet) para uso exclusivo de um dos computadores inter-
nos da rede. Além disso, você pode fazer com que este computador aceite conexões vindas
da Internet. Você pode usar esta opção para criar um servidor WWW ou FTP na rede inter-
na e torná-lo disponível para acesso através da Internet. Para criar uma reserva de endereço,
utilize o botão Reservas....
12. Dê um clique na guia Portas especiais. Nesta guia, você pode habilitar quais serviços da rede
interna poderão ser acessados a partir da Internet. Por padrão, todos os serviços estão desa-
bilitados, conforme indicado na Figura 7.24.
13. É importante salientar que o que está desabilitado é o acesso de clientes da Internet para
serviços na sua rede interna. Os usuários da rede interna poderão acessar normalmente
os serviços da Internet. Você habilita um ou mais serviços para que usuários da Internet
possam ter acesso ao serviço que foi habilitado, em um dos servidores da sua rede inter-
na. Por exemplo, imagine que você queira instalar um servidor com o Windows 2000
Server e o IIS 5.0 na rede interna da empresa, no qual ficará hospedado o site da empre-
sa. Para que os usuários possam acessar este servidor a partir da Internet, você tem que
habilitar o serviço WWW.


Figura 7.24 Por padrão todos os serviços estão desabilitados.
13. Para habilitar um novo serviço, por exemplo o serviço WWW, clique em Adicionar. Será
aberta a janela, Adicionar porta especial. Nesta janela você informa a porta de entrada, por-
ta de saída e o endereço IP da rede interna, onde o servidor WWW responderá, conforme
Figura 7.25 Informando o número IP do servidor na rede interna.


14. Defina as configurações desejadas e clica em OK.
Você estará de volta a guia Portas especiais, com o serviço Web Server (HTTP) já habilitado.
Agora os usuários da Internet serão capazes de acessar o servidor Web da rede interna, o
qual está no servidor com o número IP (192.168.0.50) conforme exemplo da Figura 7.25.
15. Clique em OK para fechar a janela de propriedades a habilitar o NAT na interface externa.
A etapa final é configurar os clientes da rede para utilizarem o NAT. Esta etapa é extrema-
mente simples. Basta configurar os computadores da rede interna como clientes DHCP.
Com isso, os clientes passarão a obter as configurações diretamente do NAT (o qual atua
como um servidor DHCP para a rede interna, conforme descrito anteriormente). Pronto, o
NAT está configurado e funcionando. Os computadores da sua rede interna podem utilizá-lo
para ter acesso à Internet.
Uma das grandes diferenças entre o NAT e o ICS é que o NAT oferece mais segurança e mais recur-
sos de proteção. Por outro lado, o ICS é muito mais simples para configurar, conforme você mesmo
pode constatar até aqui neste Capítulo.
MICROSOFT CERTIFICATE SERVICES E PKI

Neste tópico, apresentarei o conceito de PKI e de criptografia baseada em um par de chaves: uma
pública e uma privada. Você verá que os Certificados Digitais tem papel fundamental em uma es-
trutura de PKI. Neste tópico, você também aprenderá a instalar e a configurar o Microsoft Certifi-
cate Services.
UMA INTRODUÇÃO SOBRE CERTIFICADOS E PKI – PUBLIC KEY INFRASTRUCTURE

Segurança, mais do que nunca, é um assunto sempre em pauta. De tempos em tempos um novo
vírus causa pânico na Internet, novos tipos de ataques são notificados, sites ficam indisponíveis
devido a ataques de hackers, problemas com a segurança no acesso a dados que facilitam a vida de
fraudadores e por aí vai.
Ao longo deste livro, você aprendeu diversas maneiras de proteger seus dados: permissões NTFS,
criptografia, uso do NAT para acesso à Internet, uso de Group Policy Objects, uso de diretivas de
segurança, direitos de usuários e por aí vai. Neste tópico, abordarei mais um assunto relacionado
com segurança: Certificados Digitais.
Uma pergunta que o amigo leitor poderia fazer é a seguinte: “Por que existem tantos ataques de
segurança e por que os hackers parecem conhecer tão bem os sistemas das empresas?”.


Um dos motivos é porque hoje o mundo inteiro (literalmente) utiliza o mesmo protocolo para co-
municação e troca de dados: TCP/IP. Como o TCP/IP é amplamente conhecido e documentado,
esta informação também é utilizada por hackers para tentar descobrir falhas no próprio protoco-
lo, falhas estas que permitam quebra de segurança das redes das empresas. Evidentemente que, na
maioria das vezes, os ataques são bem sucedidos, porque os programas foram instalados com as
opções padrão (out of the Box – como saíram da caixa), sem se preocupar em ajustar devidamente
as configurações de segurança.
Um dos pontos onde o Windows Server 2003 melhorou, e muito, em relação ao Windows 2000 Ser-
ver foi nas configurações de segurança out of the Box. As configurações padrão de segurança do
Windows Server 2003 são bem mais severas, restringem bem mais o acesso do que as configurações
padrão de segurança do Windows 2000 Server. A idéia é simples mas muito eficiente. Por padrão, o
nível mínimo de acesso, necessário ao funcionamento do recurso. Se houver necessidade de modifica-
ções nas configurações de segurança, estas poderão ser feitas pelo administrador.
Com o uso do TCP/IP como protocolo de comunicação, os dados não são protegidos por padrão,
isto é, não são criptografados. Desta forma, se um hacker interceptar uma transmissão, terá acesso
aos dados sem maiores problemas, uma vez que não é usada criptografia por padrão. Claro que,
para muitas situações, a criptografia e outros recursos de segurança são perfeitamente dispensáve-
is. Por exemplo, quando você acessa o site de uma empresa para obter informações gerais sobre a
empresa. Estas informações são de domínio público (afinal estão no site da empresa) e não há ne-
cessidade de criptografá-las. Agora, quando você faz uma compra pela Internet, usando o seu car-
tão de crédito, ou quando você faz transações bancárias usando o site do seu banco, a coisa muda
completamente de figura. Você quer o máximo de segurança possível. De maneira alguma, você
gostaria que alguém pudesse interceptar o seu número de conta, agência e senha.
Inicialmente, criou-se um método de criptografia, onde os dados eram criptografados usando

uma determinada chave de criptografia. A chave é um código com um determinado número de
bits. Usa-se este código, juntamente com operações lógicas, para “embaralhar”, ou seja, criptogra-
far os dados. A seqüência de operações lógicas que é realizada com os dados, usando a chave de
criptografia, é definida pelo algoritmo de criptografia. Em seguida, os dados e a chave de cripto-
grafia são enviados para o destinatário. O destinatário recebe os dados e a chave de criptografia e
utiliza esta chave para “descriptografar” os dados. Um método bem seguro, não?
Não. Este método tem dois problemas principais:
1. A chave de criptografia é enviada junto com os dados: Com isso, se um hacker interceptar
os dados, terá também acesso a chave de criptografia. Usando a chave (os algoritmos de
criptografia são de domínio público, a segurança é baseada normalmente no tamanho da
chave. Usam-se chaves com um grande número de bits, para que seja difícil descobrir a
chave que está sendo utilizada) o hacker poderá descriptografar os dados e ter acesso ao


conteúdo da mensagem. Pior, o hacker poderia alterar a mensagem e enviá-la, alterada,

para o destinatário, o qual não teria como saber que a mensagem foi alterada.
2. No final do parágrafo anterior, eu descrevo o segundo problema com este método: não
permite a verificação da identidade de quem envio a mensagem. Um hacker intercep-
tou a mensagem, usou a chave para descriptografá-la, alterou a mensagem e a enviou
para o destinatário. O destinatário recebe a mensagem e não tem como verificar se a
mensagem veio do emissor verdadeiro ou veio de um hacker. Com este método, não é
possível verificar e garantir que o emissor seja quem ele diz ser. Não há como verificar a
identidade do emissor.
Vejam que somente o uso da criptografia, baseada em uma chave privada (chave enviada junto
com a mensagem), não é tão seguro como pode parecer. Para solucionar esta questão é que sur-
giram os Certificados Digitais, com os quais é possível implementar uma infra-estrutura conhe-
cida como PKI - Public Key Infrastructure (Infraestrutura de chave pública). Esta infra-estrutura
é baseada no uso de certificados digitais e de um par de chaves: uma chave pública e uma chave
privada. A seguir, descrevo os princípios básicos de um infra-estrutura baseada em chaves públi-
ca e privada, para que você possa entender como isto resolve os dois problemas apontados no
método anterior.
Em uma rede que usa PKI, um Certificado Digital é criado para cada usuário. O Certificado Digital
fica associado com a conta do usuário no Active Directory. Para cada usuário é criado um par de
chaves: uma chave pública e uma chave privada. A chave pública fica disponível no Active Direc-
tory e a chave privada fica com o usuário. O mais comum é a chave privada ficar gravada no Certi-
ficado Digital do usuário, em um disquete que fica com o usuário. Agora vamos entender como
funciona a criptografia baseada em um par de chaves: uma pública e outra privada. Dados que são
criptografados com uma das chaves, somente poderão ser descriptografados com a outra chave.
Por exemplo, se você criptografar dados com a chave pública do usuário jsilva, estes dados somen-
te poderão ser descriptografados com a chave privada do usuário jsilva.
Vamos imaginar que o usuário jsilva precisa enviar dados para o usuário maria. Os dados são crip-
tografados com a chave pública do usuário Maria – chave pública do destinatário. Com a infraes-
trutura de PKI, as chaves públicas ficam disponíveis para serem acessadas por quaisquer usuário. A
chave pública fica gravada no Certificado Digital do usuário e a lista de Certificados Digitais fica
publicada para acesso em um servidor de Certificados Digitais (este é o papel do Microsoft Certifi-
cate Services, ou seja, emitir, publicar e revogar Certificados Digitais para os usuários). A chave
pública do usuário maria é utilizada pelo usuário jsilva para criptografar os dados, antes de en-
viá-los para o usuário maria. Como os dados foram criptografados com a chave pública do usuário
maria, a pergunta é: qual a única chave que poderá descriptografar estes dados? A chave privada
do usuário maria, a qual somente o usuário maria tem acesso. Com este método, quando o usuá-
rio maria recebe os dados, utilizará a sua chave privada para descriptografá-los. Se um hacker in-
terceptar os dados, ele não conseguirá descriptografá-los, pois não tem acesso a chave privada do
usuário maria. Observe que, com este método, a chave de criptografia não é enviada junto com a


mensagem. Além disso, a mensagem é criptografada de tal maneira que somente o destinatário é
capaz de descriptografá-la, ou melhor, a chave privada do destinatário. Como a mensagem é crip-
tografada com a chave pública do destinatário, somente o próprio destinatário (que é quem tem
acesso a sua chave privada), será capaz de descriptografar a mensagem.
Observe que, com este método, é solucionado o problema de ter que enviar a chave de criptogra-
fia junto com a mensagem. O problema de verificação da identidade, de ter certeza que o reme-
tente é quem diz realmente ser, é solucionado com o uso de Certificados Digitais. De uma manei-
ra simples, podemos resumir uma PKI como sendo uma infra-estrutura de segurança, baseada no
uso de um par de chaves (uma pública e uma privada) e de Certificados Digitais.
UM POUCO SOBRE CERTIFICADOS DIGITAIS

De uma maneira simples, o Certificado Digital é a versão eletrônica da sua identificação de usuá-
rio na rede (usuário e senha). O Certificado Digital é como se fosse a “carteira de identidade” do
usuário na rede. No Windows 2000 Server, o Certificado Digital do usuário também é conhecido
(na documentação oficial), como um Certificado de chave pública, uma vez que uma das infor-
mações gravadas no Certificado Digital do usuário é justamente a sua chave pública.
Um certificado de chave pública, geralmente chamado simplesmente de certificado, é uma

declaração assinada digitalmente que vincula o valor de uma chave pública à identidade da
pessoa (conta do usuário no Active Directory), dispositivo ou serviço que contém a chave pri-
vada correspondente.
Certificados podem ser emitidos para uma série de funções, como autenticação de usuário na
Internet, autenticação de um servidor Web, correio eletrônico seguro (S/MIME), IPSec, para utili-
zação com o protocolo Transaction Layer Security (TLS, segurança de camada de transação) e assi-
natura de códigos (por exemplo, todos os programas desenvolvidos pela Microsoft são assinados,
digitalmente, com o Certificado Digital da Microsoft. O Windows 2000 Server pode ser configura-
do para não instalar drives ou programas que não estejam assinados digitalmente ou cujos certifi-
cados com os quais foram assinados, não possam ser verificados). Os Certificados Digitais têm que
ser emitidos por uma Autoridade Certificadora (CA – Certificate Authority). Uma opção é usar
uma autoridade certificadora externa, como por exemplo a VeriSign, que é uma empresa especia-
lizada em segurança e em certificação digital. Com o Windows 2000 Server (e também com o
Windows Server 2003), está disponível o Microsoft Certificate Services, servidor que permite criar
uma autoridade certificadora na própria rede da empresa, sem ter que fazer uso de uma entidade
certificadora externa. Ao utilizar o Certificate Services para a emissão e gerenciamento de certifi-
cados, os Certificados Digitais poderão ser utilizados pelos usuários, para fazer o logon na rede. Os
certificados também são emitidos de uma autoridade de certificação para outra a fim de estabele-
cer uma hierarquia de certificação. Usando o Certificate Services você poderá criar uma hierar-
quia de certificação na rede da empresa.


A maioria dos certificados em uso hoje em dia são baseados no padrão X.509. Esta é a tecnologia fun-
damental usada na Public Key Infrastructure (PKI) do Windows 2000 e do Windows 2000 Server.
Normalmente, os certificados contêm as seguintes informações:
l Chave pública do usuário.

l Informações da identificação do usuário (como o nome e o endereço de correio eletrônico).
l Período de validade (o período de tempo em que o certificado é considerado válido).
l Informações sobre a identificação do emissor do certificado.
l A assinatura digital do emissor, que atesta a validade da ligação entre a chave pública do usuá-
rio e as informações de identificação do usuário.
Um certificado só é válido por um período de tempo especificado, ou seja, o certificado tem prazo
de validade e tem que ser renovado periodicamente. Esta é uma medida importante para garantir
a segurança, pois a cada renovação, um novo par de chaves é gerado. Cada certificado contém da-
tas “Válido de” e “Válido até”, que limitam o período de validade. Depois que o período de valida-
de de um certificado terminar, um novo certificado deve ser solicitado pelo usuário do agora expi-
rado certificado.
Em situações em que seja necessário desabilitar um certificado, este pode ser revogado pelo emis-
sor. Cada emissor mantém uma lista de certificados revogados (CRL – Certification Revocation
List), a qual é usada pelos programas quando a validade de um determinado certificado está sendo
verificada. Por exemplo, programas que usam certificados para autenticação, ao receberem uma
tentativa de acesso, primeiro entram em contato com a autoridade certificadora (no caso do Win-
dows 2000 Server um servidor com o Microsoft Certificate Service) para verificar se o certificado
que está sendo apresentado para logon, não está na lista dos certificados revogados – CRL. Se o
certificado estiver na CRL, o logon será negado.
CERTIFICADOS E AUTORIDADES DE CERTIFICAÇÃO

Todo certificado é emitido por uma Autoridade de Certificação (CA – Certifcate Authority). A au-
toridade de certificação, a partir de agora denominada apenas CA, é responsável pela verificação
sobre a veracidade dos dados do usuário que está requisitando o certificado. Por exemplo, qual-
quer usuário pode solicitar um certificado para utilizar na Internet. Para obter o certificado, ele
precisa utilizar os serviços de uma CA, como por exemplo a VeriSign (www.verisign.com).
Uma autoridade de certificação é uma entidade encarregada de emitir certificados para indiví-
duos, computadores ou organizações, sendo que os certificados é que confirmam a identidade e
outros atributos do usuário do certificado, para outras entidades. Uma autoridade de certificação
aceita uma solicitação de certificado, verifica as informações do solicitador e, em seguida, usa sua


chave privada para aplicar a assinatura digital no certificado. A autoridade de certificação emite
então o certificado para que o usuário do certificado o use como uma credencial de segurança
dentro de uma infra-estrutura de chave pública (PKI). Uma autoridade de certificação também é
responsável por revogar certificados e publicar uma lista de certificados revogados (CRL).
Uma autoridade de certificação pode ser uma empresa que presta o serviço de autoridade certificador,
como a VeriSign, ou pode ser uma autoridade de certificação que você cria para ser usada por sua pró-
pria organização, instalando os serviços de certificados do Windows 2000. Cada autoridade de certifi-
cação pode ter requisitos diferentes de prova de identidade, como uma conta de domínio do Active
Directory, crachá de empregado, carteira de motorista, solicitação autenticada ou endereço físico. Ve-
rificações de identificação como essa geralmente asseguram uma autoridade de certificação no local,
de tal modo que as organizações possam validar seus próprios empregados ou membros.
As autoridades de certificação corporativas do Windows 2000 Server usam as credenciais da conta

de usuário do Active Directory de uma pessoa, como prova de identidade. Em outras palavras, se
você tiver efetuado logon em um domínio do Windows 2000 Server e solicitar um certificado de
uma autoridade de certificação corporativa, a autoridade de certificação saberá que você é quem o
Active Directory diz que você é.
Todas as autoridades de certificação têm um certificado para confirmar sua própria identidade,
emitido por outra autoridade de certificação confiável ou, no caso de autoridades de certificação
raiz, emitido por si mesmas. É importante lembrar que qualquer pessoa pode criar uma autoridade
de certificação. A questão real é se você, como um usuário ou um administrador, confia naquela au-
toridade de certificação e, por extensão, nas diretivas e procedimentos que emprega para confirmar
a identidade dos certificados emitidos para entidades por essa autoridade de certificação.
Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o administrador
também pode utilizar uma CA externa. Porém, com o uso do Certificate Services, o administrador
pode criar sua própria autoridade certificadora. O Certificate Services da Microsoft permite a cria-
ção de sofisticados ambientes de certificação, com a criação de uma hierarquia de CAs. Com o uso
do Certificate Services, podem ser criados os seguintes tipos de autoridades certificadoras, os
quais serão descritos mais adiante:
l Enterprise Root CA.

l Enterprise Subordinate CA.
l Standalone Root CA.
l Standalone Subordinate CA
Ao criar uma estrutura interna para criação e gerenciamento de Certificados Digitais, você deve
definir os procedimentos que serão utilizados para checar a veracidade dos dados dos usuários
que estão solicitando certificados. Por exemplo, você pode utilizar as informações do Active Di-
rectory, como sendo as informações oficiais de cada funcionário, porém o funcionário tem acesso


a alterar as informações da sua conta no Active Directory. Com isso, você terá que montar uma
metodologia formal de verificação (um pouco de burocracia às vezes se faz necessário). Por exem-
plo, você pode solicitar que o chefe imediato do funcionário confirme os dados em um formulá-
rio na Intranet da empresa (formulário de papel também já seria demais).
A existência de uma autoridade certificadora significa que você tem confiança de que a autoridade
de certificação tem as diretivas corretas no local correto e, ao avaliar as solicitações de certificado, irá
negar certificados para qualquer entidade que não atender a essas diretivas. Esta é uma questão fun-
damental para garantir a identidade dos usuários. Ao fazer uma verificação rigorosa dos dados in-
formados, antes de emitir um certificado para um usuário, servidor ou computador, a CA garante
que quem obtém o certificado realmente é quem diz ser – prova de identidade. Por isso, a importân-
cia fundamental de definir uma metodologia clara, simples e de fácil execução para a verificação
dos dados, antes de emitir os certificados. Além disso, você confia que a autoridade de certificação
irá revogar certificados que não devem mais ser considerados válidos publicando uma lista de certi-
ficados revogados, sempre atualizada (CRL – Certificate Revocation List). As listas de certificados re-
vogados são consideradas válidas até expirarem. Logo, mesmo que a CA publique uma nova lista de
certificados revogados com os certificados recém revogados listados, todos os clientes que possuí-
rem uma lista de revogação de certificados antiga não irão procurar nem recuperar a lista nova até
que a antiga expire ou seja excluída. Clientes podem usar as páginas da Web da CA para recuperar
manualmente a lista de certificados revogados mais atual, caso seja necessário.
Para serviços, computadores e usuários do Windows 2000 Server, a confiança em uma autoridade
de certificação é estabelecida quando você possui uma cópia do certificado raiz no armazenamen-
to das autoridades de certificação raiz confiáveis e tem um caminho de certificação válido, signifi-
cando que nenhum dos certificados no caminho de certificação foi revogado ou que seus perío-
dos de validade expiraram. O caminho de certificação inclui todos os certificados emitidos para
cada CA na hierarquia da certificação de uma CA subordinada para a CA raiz. Por exemplo, para
uma CA raiz, o caminho de certificação é um certificado, seu próprio certificado auto-assinado.
Para uma CA subordinada, abaixo da CA raiz na hierarquia, seu caminho de certificação inclui
dois certificados, seu próprio certificado e o certificado da CA raiz.
Caso sua organização esteja usando Active Directory, a confiança nas autoridades de certificação
da organização será estabelecida automaticamente, baseada nas decisões e configurações realiza-
das pelo administrador do sistema e nas relações de confiança criadas automaticamente pelo
Active Directory.
OS DIFERENTES TIPOS DE AUTORIDADES CERTIFICADORAS

Conforme descrito anteriormente, podem ser criados diferentes tipos de autoridades certificado-
ras. Pode ser uma autoridade certificadora corporativa (Enterprise) ou Autônoma (Standalone).
Cada um destes tipos pode ser uma autoridade certificadora root ou subordinada. Com isso, fica-
mos com os quatro tipos possíveis de autoridades certificadoras:


l Corporativa root CA.

l Corporativa subordinada CA.
l Autônoma root CA.
l Autônoma subordinada CA.
Uma autoridade de certificação raiz, às vezes chamada de autoridade root, é encarada como o tipo
mais confiável de autoridade de certificação na PKI de uma organização. Geralmente, tanto a se-
gurança física como a diretiva de emissão de certificados de uma autoridade de certificação raiz
são mais rigorosas do que as de autoridades de certificação subordinadas. Se a autoridade de certi-
ficação raiz estiver comprometida ou emitir um certificado para uma entidade não autorizada,
toda a segurança da sua organização, baseada em certificados, estará vulnerável e não será mais
confiável. Enquanto as autoridades de certificação raiz podem ser usadas para emitir certificados
para usuários finais em tarefas como enviar correio eletrônico seguro, na maioria das organiza-
ções são usadas apenas para emitir certificados para outras autoridades de certificação, chamadas
de subordinadas.
Uma autoridade de certificação subordinada é uma autoridade de certificação que foi certificada
por outra autoridade de certificação de sua organização, ou seja, está subordinada a uma outra en-
tidade certificadora. Se a entidade principal deixar de ser confiável, todas as entidades subordina-
das também o deixarão de ser. Geralmente, uma autoridade de certificação subordinada emitirá
certificados para usos específicos, como correio eletrônico seguro, autenticação baseada na Web
ou autenticação de cartões inteligentes. Autoridades de certificação subordinadas também po-
dem emitir certificados para outras autoridades de certificação subordinadas em um nível abaixo
delas. Com isso, é possível criar uma hierarquia de entidades certificadores. Juntas, a autoridade
de certificação raiz, as autoridades de certificação subordinadas certificadas pela raiz e as autorida-
des de certificação subordinadas que foram certificadas por outras autoridades de certificação su-
bordinadas formam uma hierarquia de certificação.
AUTORIDADES DE CERTIFICAÇÃO CORPORATIVAS
Você pode instalar o Certificate Services para criar uma autoridade de certificação corporativa.
Autoridades de certificação corporativas podem emitir certificados para várias finalidades, tais
como assinaturas digitais, correio eletrônico seguro usando S/MIME (extensões multipropósito
do Internet Mail protegidas), autenticação para um servidor Web seguro usando Secure Sockets
Layer (SSL, camada de soquetes de segurança) ou segurança da camada de transporte (TLS) e logon
em um domínio do Windows 2000 Server ou Windows Server 2003, usando um cartão inteligen-
te (smart card).
Uma autoridade de certificação corporativa apresenta as seguintes características/exigências:
l Uma autoridade de certificação corporativa exige o Active Directory.


l Quando você instala uma autoridade de certificação corporativa raiz, esta é automaticamente
adicionada ao armazenamento de certificados das Autoridades de certificação raiz confiáveis,
para todos os usuários e computadores do domínio. Você precisa ser administrador de domí-
nio ou administrador com direito de gravação no Active Directory para instalar uma autorida-
de de certificação corporativa raiz.
l Todas as solicitações de certificados enviadas para a autoridade de certificação corporativa

serão atendidas ou negadas com base no conjunto de diretivas e permissões de segurança
do tipo de certificado solicitado. Autoridades de certificação corporativas nunca definem
uma solicitação de certificado como pendente; imediatamente emitem o certificado ou ne-
gam a solicitação.
l Os certificados podem ser emitidos para efetuar logon em um domínio do Windows 2000 Ser-
ver ou Windows Server 2003, usando cartões inteligentes.
l O módulo de saída corporativo publica certificados de usuários e a lista de certificados revoga-

dos (CRL) no Active Directory. Para publicar certificados no Active Directory, o servidor em
que a autoridade de certificação está instalada deve ser membro do grupo de Certificates Pu-
blishers (Publicadores de certificados). Isso é automático para o domínio em que o servidor
está, mas a autoridade de certificação precisará receber as permissões de segurança corretas
para publicar certificados em outros domínios.
Uma autoridade de certificação corporativa usa tipos de certificados, que são baseados
em um modelo de certificado. A seguinte funcionalidade é possível devido ao uso de mo-
delos de certificado:
l As autoridades de certificação corporativas aplicam verificações de credenciais aos usuários

durante o registro de certificados. Cada modelo de certificado tem uma permissão de seguran-
ça, definida no Active Directory, que determina se quem está solicitando o certificado está au-
torizado a receber o tipo de certificado solicitado.
l O nome do usuário do certificado é automaticamente gerado.
l O módulo de diretiva adiciona uma lista predefinida de extensões de certificados ao certifica-

do emitido a partir do modelo do certificado. Isso reduz a quantidade de informações que a
pessoa que solicita o certificado precisa fornecer sobre o certificado e sobre o uso pretendido.
Os servidores que desempenham o papel de autoridades certificadoras corporativas, de-

sempenham um papel fundamental na estrutura de segurança da empresa. Por isso é im-
portante que você implemente políticas de backup e de segurança bem rigorosas em rela-
ção a estes servidores. Além da segurança lógica, no acesso aos dados, e muito importante
cuidar também da segurança física, controlando quem tem acesso ao servidor configurado
como servidor corporativo root.


AUTORIDADES DE CERTIFICAÇÃO AUTÔNOMAS
Você pode instalar os serviços de certificados para criar uma autoridade de certificação autônoma.
Autoridades de certificação autônomas podem emitir certificados para finalidades diversas, tais
como assinaturas digitais, correio eletrônico seguro usando S/MIME (extensões multipropósito
do Internet Mail protegidas) e autenticação para um servidor Web seguro usando camada de so-
quetes de segurança (SSL) ou segurança da camada de transporte (TLS).
Uma autoridade de certificação autônoma tem as seguintes características:
l Diferentemente de uma autoridade de certificação corporativa, uma autoridade de certifica-

ção autônoma não exige o uso do Active Directory. Autoridades de certificação autônomas se
destinam principalmente a serem usadas quando extranets e a Internet estão envolvidas. Por
exemplo, se parceiros de negócios precisam se conectar a rede da empresa para acessar deter-
minados sistemas, você pode criar uma autoridade certificadora autônoma para emitir certifi-
cados para os parceiros de negócio. Estes, por sua vez, usarão estes certificados para se identifi-
car e ter acesso à rede da empresa. Além disso, se desejar usar um módulo de diretiva personali-
zado para uma autoridade de certificação, você deve, primeiramente, instalar os serviços de
certificados usando diretiva autônoma e, em seguida, substituir a diretiva autônoma pela sua
diretiva personalizada.
l Ao submeter uma solicitação de certificado a uma autoridade de certificação autônoma, o soli-
citador do certificado deve fornecer, explicitamente, todas as informações de identificação so-
bre si mesmo e sobre o tipo de certificado desejado na solicitação do certificado. (Não é neces-
sário fazer isso ao submeter uma solicitação a uma autoridade de certificação corporativa, uma
vez que as informações do usuário corporativo já estão no Active Directory e o tipo do certifi-
cado é descrito por um modelo de certificado).
l Por padrão, todas as solicitações de certificados, enviadas para a autoridade de certificação au-
tônoma, são definidas como pendentes até que o administrador da autoridade de certificação
autônoma verifique a identidade do solicitador e dê OK para a solicitação. Isso é feito por ra-
zões de segurança porque as credenciais do solicitador do certificado não são verificadas pela
autoridade de certificação autônoma.
l Não são usados modelos de certificados, a exemplo do que acontece com as autoridades certifi-
cadoras corporativas.
l Nenhum certificado pode ser emitido para efetuar logon em um domínio do Windows 2000
Server ou do Windows Server 2003 usando cartões inteligentes, mas outros tipos de certifica-
dos podem ser emitidos e armazenados em um cartão inteligente.
l O administrador tem que distribuir, explicitamente, o certificado da autoridade de certifica-
ção autônoma para o armazenamento de raiz confiável dos usuários do domínio, ou os usuári-
os devem executar essa tarefa sozinhos.


Quando uma autoridade de certificação autônoma usa o Active Directory, tem esses recursos
adicionais:
l Se um membro do grupo de administradores de domínio ou um administrador com direito de
gravação no Active Directory instalar uma autoridade de certificação raiz autônoma, esta será
automaticamente adicionada ao armazenamento de certificados das autoridades de certifica-
ção raiz confiáveis para todos os usuários e computadores do domínio. Por essa razão, ao insta-
lar uma autoridade de certificação raiz autônoma em um domínio do Active Directory, você
não deverá alterar a ação padrão da autoridade de certificação até receber solicitações de certi-
ficados (o que marca as solicitações como pendentes). Caso contrário, você terá uma autorida-
de de certificação raiz confiável que automaticamente emite certificados sem verificar a identi-
dade do solicitador.
l Se uma autoridade de certificação autônoma for instalada por um membro do grupo de admi-
nistradores de domínio do domínio pai de uma árvore na empresa, ou por um administrador
com direito de gravação no Active Directory, a autoridade de certificação autônoma publicará
os certificados e a lista de certificados revogados (CRL) no Active Directory.
Conheça bem as diferenças entre os tipos de autoridades certificadoras. Lembre-se que autoridades
certificadoras corporativas são integradas com o Active Directory, utilizam modelos de certificados
para a criação de novos certificados. Já as autoridades certificadoras autônomas não dependem
do Active Directory e não utilizam modelos de certificados. A seguir, um pequeno resumo sobre
cada um dos quatro tipos de autoridades certificadoras, para você fixar bem sobre a função e as ca-
racterísticas de cada um.
1. Enterprise root CA – Autoridade certificadora corporativa root: Um único servidor pode ser
configurado como Enterprise root CA em uma floresta de domínios de uma empresa. Este
servidor ocupa o topo da hierarquia de autoridades certificadoras. Normalmente, não é utili-
zado para emitir certificados para usuários ou computadores, mas sim para autoridades certi-
ficadoras corporativas subordinadas. Os certificados para usuários e computadores são emi-
tidos pelas autoridades subordinadas. Com isso, você pode criar uma hierarquia de autorida-
des certificadoras, de tal maneira que a emissão de certificados seja efetuada por um servidor
do próprio domínio do usuário. Outro detalhe importante é que a autoridade certificadora
root é responsável por assinar o seu próprio certificado (afinal não há nenhuma autoridade
acima dela). Isso é que caracteriza esta autoridade como uma autoridade certificadora root.
2. Enterprise subordinate CA – Autoridade certificadora corporativa subordinada: Para insta-
lar uma autoridade certificadora corporativa subordinada, você deve ter acesso ao certifica-
do da autoridade certificadora corporativa root. O uso deste certificado é que liga a autori-
dade certificadora, que está sendo instalada, como um autoridade subordinada a autorida-
de certificadora root, formando uma hierarquia de entidades certificadoras. Este tipo de
autoridade pode emitir certificados para usuários e computadores do Active Directory ou
para outras autoridades certificadoras subordinadas de níveis mais baixo, aumentando
desta maneira, o número de níveis da hierarquia de autoridades certificadoras.


3. Standalone root CA – Autoridade certificadora autônoma root: Este tipo de autoridade cer-
tificadora não depende do Active Directory. Pode ser utilizado, por exemplo, para emitir
certificados para parceiros de negócio e prestadores de serviço, que precisam de certifica-
dos digitais para acessar determinadas áreas da Intranet ou da Extranet da empresa. Uma
vantagem adicional é que um servidor configurado como autoridade certificadora autôno-
ma root, pode ser desconectado da rede, como uma garantia adicional de segurança. Este
tipo de autoridade certificadora também é responsável por emitir os certificados de registro
das autoridades certificadoras autônomas subordinadas.
4. Standalone subordinate CA – Autoridade certificadora autônoma subordinada: Este tipo

de autoridade certificadora está subordinada a uma autoridade certificadora autônoma
root. O processo, normalmente, é o mesmo utilizado para o caso das autoridades certifica-
doras corporativas, ou seja, a autoridade certificadora autônoma root não é utilizada para
emissão de certificados para usuários e computadores, mas sim para a emissão de certifica-
dos para as autoridades certificadoras autônomas subordinadas. As autoridades certifica-
doras autônomas subordinadas é que são responsáveis pela emissão dos certificados para
usuários e computadores.
Muito bem, de teoria já está mais do que suficiente. Em seguida, você aprenderá as ações práticas
relacionadas com autoridades certificadoras e com a administração de certificados.
INSTALANDO UMA AUTORIDADE CERTIFICADORA CORPORATIVA ROOT

Neste item, você aprenderá a instalar o Microsoft Certificate Services em um controlador de do-
mínio. Você irá criar uma autoridade certificadora corporativa root.
Após instalar o Certificate Services, não será mais possível alterar o nome do servidor, uma vez que
este nome é utilizado para a geração dos certificados.
Exemplo: Para instalar o Certificate Services, siga os passos indicados a seguir:
2. Abra o Painel de Iniciar –> Configurações –> Painel de Controle.
3. Dê um clique duplo na opção Adicionar ou remover progrmas.
4. Será exibida a janela. Nas opções do lado esquerdo da janela, dê um clique na opção Adicio-
nar ou Remover Componentes do Windows. Será aberto o assistente de instalação de com-
ponentes do Windows.
5. Localize a opção Serviços de certificado e dê um clique para marcá-la, conforme indicado
na Figura 7.26.


Figura 7.26 Instalando o Certificate Services.
6. Ao clicar na opção Serviços de certificado, será exibida uma mensagem, informando que o
nome do servidor e o domínio ao qual pertence não poderão ser alterados após a instalação
do Microsoft Certificate Services, pois as informações sobre a autoridade certificadora que
está sendo criada dependem destas informações. Se uma destas informações for alterada,
os certificado emitidos por esta autoridade certificadora deixarão de ter validade. Clique
em Sim para fechar a janela de aviso.
7. Você estará de volta à janela de componentes, com a opção Serviços de certificado já sele-
cionada. Clique em Avançar para iniciar a instalação do Certificate Services.
8. Nesta etapa do assistente, você deve informar o tipo de CA que está sendo criada. Marque a
opção Autoridade de certificação raiz corporativa e marque também a opção Opções avan-
çadas, conforme indicado na Figura 7.27. Clique em Avançar para seguir para a próxima
etapa do assistente.
9. Nesta etapa, você define as configurações para a geração do par de chaves para a autoridade
certificadora. Você pode escolher o provedor de criptografia – CSP (por padrão vem selecio-
nada a opção Microsoft Base Cryptographic Provider) e o tamanho da chave, em bytes.
Você também pode selecionar o algoritmo de hash. Os algoritmos MD4 e MD5 são bastan-
te conhecidos, sempre que possível evite utilizar estes algoritmos. Você também pode utili-
zar uma chave já existente (por exemplo, gerada por uma autoridade certificadora exter-
na). Defina as opções desejadas, conforme exemplo da Figura 7.28.


Figura 7.27 Selecionando o tipo de CA que será criado.
Figura 7.28 Opções para a geração do par de chaves.


11. Nesta etapa, você deve informar o nome com o qual a autoridade certificadora será registra-
da no Active Directory e o prazo de validade do certificado que, por padrão, é 2 anos. Defi-
na as opções desejadas, conforme exemplo da Figura 7.29. Clique em Avançar para seguir
para a próxima etapa do assistente.
Figura 7.29 Definindo o nome e o prazo de validade.
12. Nesta etapa, você define a pasta onde será armazenada a base de dados de certificados e o
log de transações, por padrão é sugerida a pasta C:\%windi%\system32\CertLog para o
banco de dados dos certificados e também para o logo de transações. Vamos aceitar as con-
figurações padrão. Clique em Avançar para seguir para a próxima etapa do assistente.
13. Será iniciada a instalação do Certificate Services. Durante o processo de instalação

pode ser exibida uma mensagem solicitando que você insira o CD do Windows 2000
Server. Se esta mensagem for exibida, insira o CD no drive e clique em OK para fechar a
mensagem de aviso.
14. A instalação será concluída e a etapa final do assistente de instalação será exibida. Clique
em Concluir para encerrar o assistente de instalação do Certificate Services.
Muito bem, uma vez que foi instalada uma autoridade certificadora, você já está em condições de
emitir e revogar certificados. Na prática, na rede da empresa, primeiro você irá instalar todos os
servidores que atuarão como CAs. Conforme descrito anteriormente, é comum instalar o CA root
(corporativo ou autônomo) e depois instalar um ou mais servidores como autoridades certifica-
doras subordinadas. O CA root emite certificados para as autoridades certificadoras subordina-


das, as quais, por sua vez, emitem certificados para usuários, computadores e assim por diante. No
próximo tópico, você aprenderá a emitir e revogar certificados, usando o autoridade certificadora
corporativa root, instalada no exemplo deste item.
EMITINDO E REVOGANDO CERTIFICADOS

Para que uma CA possa emitir um certificado, uma requisição tem que ser feita. Uma requisi-
ção pode ser feita por um usuário, por um computador ou por um serviço, como por exemplo
uma CA subordinada, solicitando um certificado para a CA pai, que está um nível acima na hi-
erarquia. Em determinadas situações, a requisição pode acontecer automaticamente, como
por exemplo quando o usuário faz o logon no domínio usando um smart card. Como parte do
processo de logon usando smart card, uma requisição de certificado é enviada para a autorida-
de certificadora.
Um usuário pode solicitar um certificado a qualquer momento. Para isso ele deve usar o con-
sole Certificates. Quando você instala o Certificate Services, não é criado, automaticamente,
um atalho para o console Certificates (na opção Administrative Tools). A seguir, mostrarei
como adicionar este snap-in e utilizá-lo para requisitar um certificado para um usuário do
Active Directory.
Para acessar o console Certificates e requisitar um certificado, siga os passos indicados a seguir:
1. Faça o logon com uma conta com permissão de administrador.
2. Selecione o comando Iniciar –> Executar.
3. Na janela que surge, no campo Abrir, digite mmc e dê um clique em OK.
4. Será aberto o MMC sem nenhum snap-in carregado.
5. Selecione o comando Console–> Adicionar/remover snap-in ... Será exibida a janela para
adicionar novos snap-ins. Observe que não existe nenhum snap-in adicionado e a lista
está vazia. Nesta janela, dê um clique no botão Adicionar...
6. Será exibida a janela Adicionar snap-in autônomo. Nesta janela, é exibida uma listagem
com todos os snap-ins disponíveis, isto é, instalados no servidor. Localize na listagem o
seguinte snap-in: Certificados, conforme indicado na Figura 7.30 e dê um clique para
selecioná-lo.
7. Dê um clique no botão Adicionar... Será exibida a janela onde você deve informar se o
snap-in que está sendo adicionado irá gerenciar o certificado para a minha conta de usuá-
rio, conta de serviço ou a conta de computador, conforme indicado na Figura 7.31.
8. Por padrão, vem selecionada a opção Minha conta de usuário. Aceite a opção padrão e dê
um clique no botão Concluir.


Figura 7.30 Adicionando o snap-in certificados.
Figura 7.31 Selecionando o certificado que será gerenciado.
9. Você estará de volta à janela Adicionar snap-in autônomo. Caso você queira, será possível
adicionar outros snap-ins. Como não será adicionado mais nenhum snap-in, dê um clique
no botão Fechar.


10. Você estará de volta à janela Adicionar /remover snap-in. Observe que o snap-in Certifica-
dos – Usuário atual, já aparece na listagem. Dê um clique em OK para fechar esta janela.
11. Você estará de volta ao MMC, agora com o snap-in Certificados já carregado, conforme in-
12. Salve este console com o nome de Console Certificados. Para salvar o console é só executar
o comando Arquivo –> Salvar e informar a pasta onde o console será salvo e o nome do con-
sole. O console é salvo em um arquivo com a extensão .msc.
Figura 7.32 O console Certificados.
Agora você utilizará o assistente para requisição de certificados.
13. Clique no sinal de + ao lado da opção Certificados – usuário atual para exibir as opções
disponíveis.
14. Nas diversas opções que são exibidas, clique com o botão direito do mouse na opção Pessoal
e, no menu de opções que é exibido, clique em Todas as tarefas –> Solicitar novo certificado...
15. Será aberto o assistente para requisição de novo certificado. A primeira tela do assis-
tente é apenas informativa. Clique em Avançar para seguir para a próxima etapa do
assistente.


16. Nesta segunda etapa, você deve marcar o tipo de certificado que será requisitado: Adminis-
trador, Agente de recuperação EFS, EFS básico, e Usuário. Para detalhes sobre o agente de re-
cuperação do EFS, consulte a parte final deste capítulo. Vamos selecionar um novo certifi-
cado de Administrador e marcar para que sejam exibidas as opções avançadas, nas próxi-
mas etapas, conforme indicado na Figura 7.33.
Figura 7.33 Solicitando um certificado de Administrador.
18. Nesta etapa, você seleciona o provedor de criptografia a ser utilizado. Selecione as opções
desejadas e clique em Avançar para seguir para a próxima etapa do assistente de requisição
de certificado.
Agora, informe para qual autoridade certificadora (CA) será enviada a requisição. Você
pode utilizar o botão Procurar... para selecionar uma das autoridades certificadoras dispo-
níveis, conforme exemplo da Figura 7.34.
19. Selecione a autoridade certificadora a ser utilizada e clique em Avançar para seguir para a
20. Digite um nome de identificação para o certificado (Nome amigável) e uma descrição. Pre-
encha estes campos e clique em Avançar, para seguir em frente.
21. Será exibida a tela final do assistente. Você pode utilizar o botão Voltar para voltar às etapas
anteriores e fazer alterações. Clique em Concluir para enviar a requisição de certificado
para a autoridade certificadora selecionada na etapa 19.


Figura 7.34 Selecionando a autoridade certificadora.
22. Será exibida uma mensagem informando que a requisição foi enviada com sucesso e com
as opções para você Instalar o certificado, Cancelar ou Exibir certificado... conforme indi-
cado na Figura 7.35. Clique em Instalar certificado.
Figura 7.35 Instalando o Certificado recém criado.
23. Será exibida uma mensagem informando que houve êxito na solicitação do certificado.
Clique em OK para fechá-la. Você estará de volta ao console Certificados.
Pronto, a solicitação de certificado foi enviada. Como foi solicitado um certificado para uma con-
ta do domínio (a conta de Administrador), a requisição será enviada para a autoridade certificado-
ra selecionada e será aprovada. Você pode conferir se a requisição já foi aprovada, clicando na op-
ção Pessoal –> Certificados, do console Certificados. Observe que já é exibido o certificado que foi
requisitado no nosso exemplo. Você pode identificá-lo pelo valor que é exibido na coluna Nome
amigável.


UTILIZANDO O SEU NAVEGADOR PARA A GERENCIAR CERTIFICADOS

Quando o Certificate Services é instalado, se o IIS já estiver instalado, é criada uma pasta virtual
com uma página para gerenciamento de certificados. Se o IIS não estiver instalado e você instalar
o IIS após a instalação do Certificate Services, você deve executar o seguinte comando para que a
pasta virtual seja criada e a página de gerenciamento de certificados esteja disponível:
certutil -vroot
No exemplo a seguir, mostro como usar a página de gerenciamento de certificados.
Exemplo: Usando o navegador para gerenciar certificados.
2. Abra o Internet Explorer e acesse o seguinte endereço: http://localhost/certsrv. Será exibi-

da a página para gerenciamento de certificados, com as opções indicadas na Figura 7.36.
3. Por exemplo, marque a opção Solicitar um certificado e clique em Próximo.
Figura 7.36 A página Web para gerenciamento de certificados.
4. Será aberta uma nova página. Clique na opção Certificado do usuário e clique em Avançar.
5. Na página que é carregada, clique em Mais opções >>.
6. Nas opções que são exibidas, clique em Solicitação avançada de certificado. Será exibido
um formulário com as diversas opções de configuração para o certificado. São exatamente
as informações que você teve que fornecer usando o assistente, conforme pode ser conferi-
do na Figura 7.37.


Figura 7.37 O formulário com as opções completas.
7. Preencha os dados desejados e clique no botão Enviar >.
8. A requisição será enviada, aprovada pela autoridade certificadora e o certificado estará dis-
ponível para ser utilizado. É exibida uma página com o link Instalar este certificado. Clique
neste link.
Pronto, o certificado é instalado e está disponível para ser utilizado pelo usuário. A utiliza-
ção da página Web é de grande ajuda para que os usuários possam enviar suas solicitações
de novos certificados, diretamente de suas máquinas, sempre que necessário.
9. Feche o Internet Explorer.
VERIFICANDO A LISTA DE CERTIFICADOS PENDENTES

Pode acontecer de uma solicitação de certificado ficar pendente na autoridade certificadora e de-
pender de uma ação do administrador para aprovar ou rejeitar a solicitação de certificado. Você
pode gerenciar a lista de pendências de duas maneiras: usando o console Autoridade de certifica-
ção, cujo atalho está disponível no menu Ferramentas administrativas, ou usando a página de ad-
ministração de certificados, no endereço: http://NomeDoServidor/certserv.
Exemplo: Verificar a lista de pendências usando o console Autoridade de certificação:


2. Abra o console Iniciar –> Programas –> Ferramentas Administrativas –> Autoridade de Cer-
tificação. O console será aberto com o nome da autoridade certificadora sendo exibida.
3. Clique no sinal de + ao lado do nome da autoridade certificadora para exibir as opções dis-
poníveis.
4. Nas opções que são exibidas, clique em Solicitações Pendentes. As requisições pendentes
serão exibidas no painel da direita.
5. Para rejeitar uma solicitação de certificado, clique na respectiva solicitação com o botão di-
reito do mouse e, no menu de opções que é exibido, clique em Todas as tarefas –> Negar.
6. Para aceitar a solicitação e efetivamente emitir o certificado, clique na respectiva solicita-

ção com o botão direito do mouse e, no menu de opções que é exibido, clique em Todas as
tarefas –> Emitir.
7. Repita as operações de Negar ou Emitir nos demais certificados pendentes.
8. Feche o console Autoridade de certificação.
MAPEANDO CERTIFICADOS COM CONTAS DO ACTIVE DIRECTORY

É possível fazer o mapeamento entre o certificado emitido para um usuário e a respectiva conta do
usuário. Com isso, aplicações podem utilizar a chave pública contida no certificado do usuário
para fazer a autenticação do usuário. Com este mapeamento, ao ser autenticado usando o certifi-
cado, é como se o usuário tivesse fornecido o nome de usuário e respectiva senha.
O modelo do Active Directory, na qual existe uma base de usuários e demais informações replica-
das em todos os DCs do domínio, é eficiente e adequado para a maioria das empresas. Porém para
redes muito grandes, ou sites com um número elevado de usuários (milhões), fazer a autenticação
tradicional através de links de WAN pode trazer problemas sérios de desempenho.
Com o uso de certificados, estes problemas podem ser minimizados. Os certificados podem ser
criados e enviados para os usuários finais. Com isso, o usuário usa o seu certificado digital para fa-
zer a autenticação nos sistemas habilitados a utilizar certificados digitais. Isso evita que o nome do
usuário e senha tenham que ser enviados através da rede, para validação em uma base centraliza-
da de usuários, o que, repito, quando lidamos com um grande número de usuários, pode trazer
problemas de desempenho. Por outro lado, existem sistemas operacionais e aplicativos que não
estão habilitados para aceitar certificados digitais. A solução para esta questão é criar um mapea-
mento entre a conta do usuário e o respectivo certificado digital. Com este mapeamento, os siste-
mas habilitados a aceitar certificados, utilizarão o certificado do usuário para fazer a autenticação,
já os sistemas não habilitados a utilizar certificados, usarão o método tradicional de autenticação,
onde o usuário informa o nome de logon e senha.


Com este modelo, quando o usuário possui um certificado, o sistema irá identificar qual a conta
que está associada com o certificado e fará o logon usando esta conta. Não confundir esta funcio-
nalidade com o logon usando Smart card. O Windows 2000 Server dá suporte ao logon usando
Smart card, porém neste caso, o mapeamento com a conta do usuário é automático.
TIPOS DE MAPEAMENTOS
Na maioria dos casos, o certificado é mapeado com uma conta de usuários em uma das seguintes
maneiras: um certificado para uma conta de usuário (mapeamento um-para-um) ou múltiplos
certificados são mapeados para um única conta de usuário (mapeamento muitos-para-um).
MAPEAMENTO DO NOME PRINCIPAL DO USUÁRIO

O mapeamento do nome principal do usuário é um caso especial de mapeamento um-para-um.
Para empregar o mapeamento do nome principal do usuário, use o Active Directory. Com o mapea-
mento do nome principal do usuário, este é usado para localizar a conta do usuário no Active Direc-
tory e para efetuar logon na rede ou no servidor. O nome principal do usuário se parece muito com
um nome de correio eletrônico e é exclusivo dentro de um domínio do Windows 2000 ou do Win-
dows Server 2003. As autoridades de certificação corporativas colocam o nome principal de usuário
do proprietário do certificado em cada certificado. Portanto, para acessar um servidor IIS seguro ou
para efetuar logon no Windows 2000 Server com um cartão inteligente, o mapeamento de nomes
de usuários para contas é automático nesses certificados.
MAPEAMENTO UM-PARA-UM
O mapeamento um-para-um mapeia um único certificado de usuário para uma única conta de
usuário do Windows 2000 Server. Por exemplo, imagine que você deseja fornecer uma página
da Web para seus empregados, para que eles em visualizem e modifiquem suas deduções e grati-
ficações, administrem o plano de saúde e várias outras opções de benefícios. Essa página deve
funcionar na Internet e deve ser segura. Como solução, você decide usar o Windows 2000 Ser-
ver, certificados e mapeamento de certificados. Você pode emitir certificados para cada um dos
empregados a partir de seu próprio serviço de certificados ou pode fazer com que os empregados
obtenham certificados de uma autoridade de certificação aprovada por sua empresa. Você po-
derá então pegar esses certificados de usuários e mapeá-los para a conta de usuário do emprega-
do no Windows 2000 Server. Isso permite que um usuário se conecte à página da Web usando os
protocolos SSL (camada de soquetes de segurança) ou TLS (segurança da camada de transporte)
a partir de qualquer lugar, fornecendo seu certificado de cliente. O usuário efetua então logon
em sua própria conta de usuário e os controles de acesso normais do Windows 2000 Server po-
dem ser aplicados.


MAPEAMENTO MUITOS-PARA-UM
O mapeamento muitos-para-um mapeia muitos certificados para uma única conta de usuário.
Por exemplo, você tem uma parceria com uma agência que fornece empregados temporários para
as oportunidades de trabalho surgidas em sua empresa. Você gostaria que o pessoal da agência pu-
desse ver as páginas da Web que descrevem as oportunidades de trabalho atuais que só os funcio-
nários da empresa podem ver. A agência tem sua própria autoridade de certificação, que usa para
emitir certificados para os empregados. Depois de instalar o certificado raiz da autoridade de certi-
ficação da agência como uma raiz confiável no CA root da sua rede, você pode definir uma regra
que mapeie todos os certificados emitidos por essa autoridade de certificação para uma única con-
ta do Windows 2000 Server. Você pode então definir os direitos de acesso da conta, de tal forma
que essa conta possa acessar aquela página da Web.
A seguir apresento os passos práticos para fazer o mapeamento entre certificados e contas de usuários.
Para fazer o mapeamento entre uma conta de usuário e um certificado, siga os passos indicados a
seguir:
2. Abra o console Usuários e computadores do Active Directory: Iniciar –> Programas –> Fer-
ramentas Administrativas –> Usuários e Computadores do Active Directory.
3. Selecione o commando Exibir –> Recursos avançados.
4. Acesse a opção onde está a conta de usuário a ser mapeada com o um certificado.
5. Clique na conta para selecioná-la.
6. Clique com o botão direito do mouse na conta e, no menu de opções que é exibido, clique
em Mapeamentos de nome...
7. Será exibida a janela Mapeamento de Identidade de Segurança, com a guia Certificados

X.509 já selecionada, conforme indicado na Figura 7.38. Clique am Adicionar...
8. Será aberta uma janela para que você informe o artigo .cer, no qual está o certificado a ser
associado com a conta do usuário. Localize o arquivo com o certificado e dê um clique para
marcá-lo. Em seguida, clique em Abrir. Será aberta uma janela com informações básicas so-
bre o certificado selecionado. Clique em OK para fechar esta janela.
9. Você estará de volta à janela Mapeamento de Identidade de Segurança, com o certificado

selecionado já sendo listado. Clique em OK e pronto, o certificado será associado com a
conta. Para associar mais de um certificado com a mesma conta (mapeamento mui-
tos-para-um), basta repetir os passos de 5 a 9.


Figura 7.38 A guia Certificados X.509.
VERIFICANDO AS INFORMAÇÕES CONTIDAS EM UM CERTIFICADO

Você pode exibir as informações contidas em um certificado. Para exibir as informações contidas
em um certificado, siga os passos indicados a seguir:
2. Abra o console Autoridade de certificação: Iniciar –> Programas –> Ferramentas Adminis-
trativas –> Autoridade de certificação.
3. O console será aberto com o nome da autoridade certificadora sendo exibida. Clique no si-
nal de + ao lado do nome da autoridade certificadora para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique em Certificados emitidos. No painel da direita será exi-
bida a lista de certificados emitidos pela autoridade certificadora.
5. Dê um clique duplo no certificado para o qual você quer exibir as informações. Na janela
que é aberta, dê um clique na guia Detalhes. Será exibida a lista com os valores dos campos
do certificado, conforme indicado na Figura 7.39.
6. Clique em OK para fechar a janela de informações.
7. Feche o console Autoridade de certificação.


Figura 7.39 Exibindo informações sobre um certificado.
REVOGANDO CERTIFICADOS E GERENCIANDO A LISTA DE CERTIFICADOS REVOGADOS

O administrador pode revogar um certificado sempre que necessário. A autoridade certificadora
mantém uma lista de certificados revogados (CRL – Certificate Revocation List). Quando um cer-
tificado é apresentado para fazer a autenticação em um sistema, primeiro o sistema consulta a lis-
ta de certificados revogados para saber se o certificado que está sendo apresentado não faz parte
desta lista. Se fizer, a autenticação não será efetuada.
Para revogar certificados e exibir a lista de certificados revogados, siga os passos indicados a seguir:
trativas –> Autoridade de certificação.
3. O console será aberto com o nome da autoridade certificadora sendo exibida. Clique no si-
nal de + ao lado do nome da autoridade certificadora para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique em Certificados emitidos. No painel da direita, será exi-
bida a lista de certificados emitidos pela autoridade certificadora.


5. Para revogar um certificado, clique com o botão direito do mouse no certificado a ser revo-
gado e, no menu de opções que é exibido, clique em Todas as tarefas –> Revogar certificado.
6. Será exibida uma janela para que você informe o motivo pelo qual o certificado está sendo
revogado, conforme indicado na Figura 7.40.
Figura 7.40 Informando o motivo para revogação do certificado.
7. Selecione o motivo e clique em Sim para revogar o certificado.
8. O certificado deixará de ser exibido na opção Certificados emitidos e passará a ser exibido
na opção Certificados revogados.
RENOVANDO O CERTIFICADO DA AUTORIDADE CERTIFICADORA

Quando você cria uma autoridade certificadora, é emitido um certificado para esta CA. Este certi-
ficado, por padrão, tem uma validade de 2 anos. Antes de vencer este período, o administrador
deve renovar o certificado.
Para renovar o certificado da autoridade certificadora, siga os passos indicados a seguir:
trativas –> Autoridade de certificação. O console será aberto com o nome da autoridade cer-
tificadora sendo exibida.
3. Clique com o botão direito do mouse nome da autoridade certificadora e, no menu de op-
ções que é exibido, clique em Todas as tarefas –> Renovar o certificado da autoridade de cer-
tificação...


4. Será exibida uma janela informando que o Certificate Services tem que ser parado para que
a renovação possa ser efetuada. Clique em Sim para continuar com a renovação.
5. Será exibida uma janela informando que, além de renovar o certificado, você pode gerar
uma nova chave de assinatura. É indicado que você gere uma nova chave. Para tal selecione
a opção Sim, conforme indicado na Figura 7.41, e clique em OK.
Figura 7.41 Gerando uma nova chave de assinatura.
6. O certificado é renovado e o Certificate Services é inicializado.
FAZENDO O BACKUP E O RESTORE DA BASE DE DADOS DA AUTORIDADE CERTIFICADORA

Uma medida de fundamental importância é fazer o backup periódico da base de dados da autori-
dade certificadora.
Para fazer o backup/restore da base de dados da autoridade certificadora, siga os passos indicados
a seguir:
trativas –> Autoridade de certificação. O console será aberto com o nome da autoridade cer-
tificadora sendo exibida.


3. Para fazer o backup da base de dados, clique com o botão direito do mouse nome da autori-
dade certificadora e, no menu de opções que é exibido, clique em Todas as tarefas –> Fazer o
backup da autoridade de cert...e siga os passos do assistente.
4. Para fazer o restore da base de dados, clique com o botão direito do mouse nome da autori-
dade certificadora e, no menu de opções que é exibido, clique em Todas as tarefas –> Resta-
urar autoridade de cert...e siga os passos do assistente.
CRIPTOGRAFIA NO WINDOWS 2000 SERVER E O

AGENTE DE RECUPERAÇÃO
Neste tópico, você aprenderá sobre os princípios básicos de criptgrafia em pastas e arqui-
vos, em volumes formatados com NTFS. Dois são os pontos principais que você deve estu-
dar neste tópico:
l A criptografia somente está disponível em volumes formatados com NTFS. Em volumes FAT
ou FAT32, não está disponível o recurso de criptografia.
l Entenda bem como é a relação entre a criptografia, os certificados digitais e, principalmente, o
conceito de Agente de recuperação.
CRIPTOGRAFIA – DEFINIÇÕES E CONCEITOS

O Windows 2000 Server fornece suporte a criptografia de pastas e arquivos através do EFS –
Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido
no Windows 2000 Server e também está disponível no Windows Server 2003 e Windows XP Pro-
fessional. Com o uso de criptografia o usuário tem um nível de segurança maior do que somente
com o uso de permissões NTFS. Somente é possível criptografar arquivos e pastas em volumes for-
matados com o sistema de arquivos NTFS. Com a criptografia o Windows 2000 Server garante que
somente o usuário que criptografou um determinado arquivo tenha acesso ao arquivo.
Criptografia é o processo de converter dados em um formato que não possa ser lido por um ou-
tro usuário, a não ser o usuário que criptografou o arquivo. Depois que um usuário criptografar
um arquivo, esse arquivo permanecerá automaticamente criptografado quando for armazena-
do em disco.
Descriptografia é o processo de converter dados do formato criptografado no seu formato origi-

nal. Depois que um usuário descriptografar um arquivo, esse arquivo permanecerá descriptogra-
fado quando for armazenado em disco.


Com as permissões NTFS, existem alguns problemas quanto a segurança dos dados:
l O administrador da máquina pode usar o recurso de Take Ownership (tornar-se dono), tor-
nando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permissão de aces-
so a estes arquivos/pastas. Após ter “dado um Take Ownership”, o administrador pode atribuir
permissões de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.
l Um usuário pode utilizar um disquete de boot ou instalar um outro sistema operacional no
computador e utilizar alguns programas comerciais existentes, para ter acesso a pastas e arqui-
vos protegidos por permissões NTFS.
A grande questão é a seguinte: “Com o uso da criptografia, mesmo que o seu computador seja rou-
bado ou que outro usuário tenha acesso ao computador, não será possível acessar os arquivos e
pastas que você criptografou. A única maneira de ter acesso é fazendo o logon com a sua conta e
senha”. Em resumo: com a criptografia, os dados estão protegidos. Mesmo que outras pessoas te-
nham acesso ao seu computador, a única maneira de acessar os arquivos criptografados é fazendo
o logon com a conta do usuário que criptografou os arquivos ou com a conta configurada como
Agente de Recuperação, conforme descreverei mais adiante. Já com as permissões NTFS, confor-
me descrito anteriormente, este nível de proteção não existe, no caso do computador ser roubado
ou de um usuário mal intencionado ter acesso ao computador.
Claro que existem situações adversas que podem surgir com o uso da criptografia. Por exemplo,
vamos supor que um funcionário criptografou arquivos importantes para a empresa. Neste meio
tempo o funcionário foi demitido. Como é que a empresa poderá ter acesso aos arquivos cripto-
grafados se o funcionário demitido se negar a fazer o logon com a sua conta e descriptografar os
arquivos ou se a sua conta tiver sido excluída?? Por isso que o EFS permite que uma conta seja con-
figurada como Agente de Recuperação, a qual pode ser utilizada em situações como a descrita nes-
te parágrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperação.
Existe uma conta configurada como Agente de recuperação. Esta conta pode fazer o logon e des-
criptografar pastas e arquivos criptografados por outros usuários. O agente de recuperação pa-
drão é a conta administrador.
O uso de criptografia é especialmente recomendado para usuários de notebooks e outros disposi-

tivos semelhantes. Não é raro a ocorrência de roubos de notebooks, sendo que estes podem conter
dados importantes da empresa, tais como planos estratégicos e relatórios de pesquisa e desenvol-
vimento de novos produtos. O uso da criptografia é a forma mais indicada para proteger estes da-
dos, mesmo em situações de roubo de um notebook.
A criptografia é transparente para o usuário que criptografou o arquivo. Isso significa que o usuá-
rio não precisa descriptografar manualmente o arquivo criptografado para poder usá-lo. Ele pode
abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que você criptografou
um documento do Word. Ao dar um clique duplo no documento, o Windows 2000 Server des-


criptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para você. Observe que
para o usuário toda a operação é transparente, ou seja, é como se o arquivo não estivesse cripto-
grafado. Se outro usuário, que não o que criptografou o arquivo, tentar utilizá-lo, receberá uma
mensagem de acesso negado.
O uso do EFS é semelhante ao uso de permissões para arquivos e pastas. Ambos os métodos podem
ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso físico
não-autorizado aos seus arquivos ou pastas criptografados não conseguirá acessá-los. Se o intruso
tentar abrir ou copiar sua pasta ou arquivo criptografado, verá uma mensagem de acesso negado.
As permissões definidas para arquivos e pastas não os protege contra ataques físicos
não-autorizados, conforme já descrito anteriormente.
Você criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia

para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente lei-
tura, compactado ou oculto. Se você criptografar uma pasta, todos os arquivos e subpastas criados
na pasta criptografada serão automaticamente criptografados. É recomendável que você use a
criptografia para pastas e não para arquivos individualmente, pois isso facilita a administração
dos arquivos criptografados.
Você também pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher.
Tratarei deste comando mais adiante.
Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observações impor-
tantes sobre a criptografia no Windows 2000 Server:
l Somente arquivos e pastas em volumes NTFS podem ser criptografados.

l As pastas e os arquivos compactados não podem ser criptografados. Se o usuário marcar um ar-
quivo ou pasta para criptografia, o mesmo será descompactado.
l Se você mover arquivos descriptografados para uma pasta criptografada, esses arquivos serão
automaticamente criptografados na nova pasta. No entanto, a operação inversa não descrip-
tografa automaticamente os arquivos. Nesse caso, é necessário descriptografar manualmente
os arquivos.
Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arqui-
vos da pasta raiz do sistema, isto é C:\ ou D:\ e assim por diante.
l Criptografar um arquivo ou uma pasta não protege contra exclusão ou listagem de arquivos ou
pastas. Qualquer pessoa com permissões NTFS adequadas pode excluir ou listar pastas ou ar-
quivos criptografados. A proteção da criptografia é contra o acesso aos arquivos, ou seja, so-
mente o usuário que criptografou o arquivo terá acesso. Para proteção contra listagem e exclu-
são recomenda-se o uso do EFS em combinação com permissões NTFS, utilizando as


permissões NTFS para impedir que outros usuários possam excluir e até mesmo listar os arqui-
vos que estão em um pasta criptografada.
l Você pode criptografar ou descriptografar pastas e arquivos localizados em um computa-

dor remoto ativado para criptografia remota. No entanto, se você abrir o arquivo criptogra-
fado na rede, os dados transmitidos na rede através desse processo não serão criptografa-
dos. Outros protocolos, como a camada de soquetes de segurança/segurança da camada de
transporte (SSL/TLS) ou IP Seguro (IPSec) devem ser usados para criptografar dados durante
a transmissão.
Agora que já temos um bom entendimento sobre os aspectos teóricos relacionados com o EFS, é
hora de aprender sobre as tarefas práticas, relacionadas com a criptografia de arquivos e pastas no
Em primeiro lugar, vou falar sobre algumas medidas preventivas que devem ser tomadas para ga-
rantir que você sempre terá acesso aos arquivos e pastas criptografados.
GARANTINDO A RECUPERAÇÃO DOS DADOS

A criptografia utilizada pelo Windows 2000 Server é baseada na utilização de um par de chaves de
criptografia. Uma chave é utilizada para criptografar os dados e a outra chave do par é utilizada
para descriptografar os dados. A única maneira de descriptografar os dados e ter acesso às infor-
mações é tendo acesso as chaves de criptografia. Estas chaves são armazenadas em um certificado
digital, que é gerado, automaticamente, pelo Windows 2000 Server, a primeira vez que o usuário
criptografa um arquivo ou pasta. Neste certificado digital, estão todas as informações necessárias
para criptografar e descriptografar arquivos.
Cada usuário que criptografa/descriptografa arquivos tem o seu próprio certificado digital, gera-
do automaticamente pelo Windows 2000 Server. Um certificado adicional também é gerado para
a conta configurada como Agente de recuperação. Desta maneira, se o usuário que criptografou
arquivos ou pastas deixar a empresa, será possível descriptografar os seus dados, utilizando a con-
ta configurada como Agente de recuperação, uma vez que esta conta tem cópia do certificado di-
gital necessário a tal operação.
O certificado digital nada mais é do que um arquivo que contém as informações necessárias
para trabalhar com criptografia no Windows 2000 Server. Como todo arquivo, fica gravado no
disco rígido do computador. Acontece que se houver um problema com o disco rígido, a cópia
do certificado do usuário e do certificado do agente de recuperação serão perdidas (caso não
haja uma cópia de segurança) e, sem um destes certificados, ficará impossível descriptografar os
arquivos/pastas criptografados pelo usuário. Na prática, significa que o acesso aos dados cripto-
grafados será perdido. Para evitar que isto aconteça, deve ser feita uma cópia de segurança, pre-
ferencialmente em disquete ou em um drive de rede, do certificado digital gerado para o usuá-


rio. É importante lembrar que este certificado, somente será gerado na primeira vez que o
usuário criptografar alguma pasta ou arquivo.
A seguir, mostrarei como fazer o backup do certificado digital do usuário, do certificado do Agen-
te de recuperação e como restaurar o certificado digital do usuário. Por padrão, a conta adminis-
trator (Administrador) é configurada como agente de recuperação.
Para um member server, o Agente de recuperação padrão é a conta Administrator (Administra-

dor) local. Para um domínio baseado no Active Directory, a conta configurada com agente de
recuperação é a conta Administrator (Administrador) do domínio. No exemplo a seguir, mos-
trarei como fazer uma cópia de segurança, em disquete, do certificado digital da conta adminis-
trator de um domínio.
Exemplo 1: Fazer o backup do certificado do Agente de recuperação para o domínio:
1. Faça o logon com uma conta com permissões de administrador.
2. Abra o console Diretiva de segurança de domínio: Iniciar –> Programas –> Ferramentas
Administrativas –> Diretiva de segurança de domínio.
3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que

são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.
Nas opções que são exibidas, dê um clique na opção Agentes de recuperação de dados crip-
tografados. No painel da direita, será exibido o Certificado do Agente de recuperação que,
por padrão, é a conta administrador, conforme indicado na Figura 7.42.
4. No painel da direita, clique com o botão direito do mouse na conta administrador. No

menu que é exibido, selecione o comando Todas as tarefas –> Exportar... Será aberto o
Assistente para exportação de certificados.
Figura 7.42 Conta administrador – por padrão é o agente de recuperação.


5. A primeira tela é apenas informativa. Dê um clique no botão Avançar para ir para a próxi-
6. Nesta etapa, você deve optar por exportar ou não a chave particular do certificado. A chave
particular é um meio de proteger o acesso ao Certificado digital, através de uma senha. Se
você não tiver uma senha definida, apenas estará habilitada a opção Não, não exportar a
chave particular. Marque a opção Não, não exportar a chave particular e dê um clique no
botão Avançar para seguirmos
7. Surge uma tela perguntando o formato para exportação do certificado. Certifique-se de que
a opção X.509 binário codificado por DER (*.cer) esteja selecionada e dê um clique no bo-
tão Avançar para ir para a próxima etapa do assistente.
8. Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É
recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se
de que você colocou um disquete no drive e, no campo Nome do arquivo, digite:
A:\cert_ag_recup.
9. Dê um clique no botão Avançar para ir para a próxima etapa do assistente. O Windows

2000 Server exporta o certificado para o arquivo especificado no drive de disquete.
10. Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você qui-
ser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir,
para fechar o Assistente para exportação de certificados.
11. Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique
no botão OK para fechar esta mensagem.
12. Você estará de volta ao console Diretiva de segurança de domínio e uma cópia do Certifica-
do digital do Agente de recuperação foi gravada no disquete. No evento de uma falha do
disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas cripto-
grafados. Feche o console Diretiva de segurança de domínio.
Muito bem, o backup do certificado do agente de recuperação foi efetuado. Em caso de falha no
HD você pode importar este certificado para descriptografar arquivos que tenham sido criptogra-
fados anteriormente à falha. Claro que deve existir backup destes arquivos, caso contrário com a
falha no HD você perderá os arquivos e aí não haverá utilização para a cópia do certificado do
agente de recuperação que você fez no Exemplo 1.
Exemplo 2: Fazer o backup do Certificado digital do usuário, gerado automaticamente pelo

Windows 2000 Server, quando o usuário criptografa um arquivo ou pasta pela primeira vez, faça
o seguinte:
1. Faça o logon com um a conta do usuário para o qual você deseja fazer uma cópia de segu-
rança do Certificado digital.
2. Abra o Internet Explorer.


3. Selecione o comando Ferramentas –> Opções da Internet...
4. Na janela Opções da Internet que é aberta, dê um clique na guia Conteúdo.
5. Na guia Conteúdo, dê um clique no botão Certificados... Será aberta a janela Certificados.
6. Na guia Pessoal, da janela de Certificados, dê um clique no certificado que corresponde ao

nome do usuário logado, conforme exemplo da Figura 7.43, onde foi marcado o certificado
para o usuário user01.
Figura 7.43 A guia Pessoal da janela Certificados.
7. Clique no botão Exportar..., será aberto o Assistente para exportação de certificados, com o
qual você já trabalhou no Exemplo 1.
8. A primeira tela do assistente é apenas informativa, dê um clique no botão Avançar para ir

9. Nesta etapa, você deve optar por exportar ou não a Chave particular do certificado.
10. Certifique-se de que a opção Sim, exportar a chave particular esteja marcada e dê um clique
no botão Avançar.
11. Surge uma tela perguntando o formato para exportação do certificado. Aceite as configura-
ções sugeridas pelo assistente e dê um clique no botão Avançar.
12. Nesta etapa, é solicitada uma senha de proteção para abertura do arquivo no qual será grava-
do o certificado. Digite a senha duas vezes para confirmação e dê um clique no botão Avan-
çar para seguirmos. Esta senha não precisa ser igual a senha de logon da conta do usuário.


13. Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É
recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se
de que você colocou um disquete no drive e, no campo Nome do arquivo, digite:
A:\cert_user01.
14. Dê um clique no botão Avançar para ir para a próxima etapa do assistente. O Windows
2000 Server exporta o certificado para o arquivo especificado no drive de disquete.
ser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir,
para fechar o Assistente para exportação de certificados.
16. Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique
no botão OK para fechar esta mensagem.
17. Você estará de volta à guia Pessoal da janela Certificados e uma cópia do Certificado digital
do usuário logado, foi gravada no disquete. No evento de uma falha do disco rígido, esta có-
pia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usuário.
18. Clique no botão Fechar para fechar a janela Certificados.
19. Você estará de volta à janela Opções da Internet. Dê um clique no botão OK para fechá-la.
20. Você estará de volta ao Internet Explorer. Feche-o.
Com estes dois exemplos, você aprendeu a exportar o certificado do agente de recuperação e tam-
bém o certificado de um usuário. Estes certificados podem ser importados a partir do disquete, no
evento de falha do respectivo certificado original. É sempre recomendado que você proteja os cer-
tificados com a definição de uma senha e mantenha o disquete em local seguro, pois caso contrá-
rio qualquer usuário que tiver acesso ao disquete poderá importar o certificado (conforme mos-
trarei logo a seguir) e utilizá-lo para ter acesso aos seus arquivos e pastas criptografados. Claro que
o usuário teria que saber a senha que você definiu ao exportar o certificado pessoal. Por isso a im-
portância da definição de uma senha para exportação do certificado, pois esta senha será solicita-
da quando da importação do certificado. O certificado somente será importado com sucesso, se a
senha correta for informada.
Na Figura 7.44, mostro os dois arquivos, com os certificados que foram exportados nos exemplos
1 e 2. Observe que o Windows 2000 Server usa ícones diferentes para o certificado do Agente de re-
cuperação e para o certificado de usuário.
Exemplo 3: Agora, vou mostrar como importar um certificado a partir de um arquivo; siga os pas-
sos indicados a seguir:
1. Abra a pasta onde está o certificado. No nosso exemplo, use o Meu computador ou o
Windows Explorer para acessar o disquete (A:\), onde está o arquivo com o certificado a
ser importado.


Figura 7.44 Cópia de segurança dos certificados.
2. Clique com o botão direito do mouse no arquivo com o certificado a ser importado. Se você
estiver importando o certificado do agente de recuperação, no menu que surge, dê um cli-
que na opção Instalar Certificado. Se você estiver importando o certificado de um usuário,
no menu de opções que é exibido, dê um clique na opção Instalar PFX.
3. No nosso exemplo, você irá importar o certificado de usuário, exportado no Exemplo 2. Cli-
que com o botão direito do mouse no arquivo correspondente ao certificado a ser importado
(cert_user01.pfx) e, no menu de opções que surge, dê um clique na opção Instalar PFX.
4. Será aberto o Assistente para importação de certificados. A primeira tela é apenas informa-
tiva. Dê um clique no botão Avançar para seguir para a próxima etapa do assistente.
5. O campo Nome do arquivo já vem preenchido com o caminho e o nome do arquivo no

qual clicamos com o botão direito do mouse. Dê um clique no botão Avançar para seguir
6. Se houver uma senha definida para o certificado, surgirá uma tela solicitando que seja digi-
tada a senha. Digite a senha e dê um clique no botão Avançar.
7. Nesta etapa, você deve indicar o local para onde será importado o certificado. Aceite a op-
ção sugerida pelo assistente que, por padrão, é Selecionar automaticamente o armazena-
mento de certificados conforme o tipo de certificado.)
8. Dê um clique no botão Avançar para seguirmos adiante.
ser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir
para fechar o Assistente para importação de certificados.


10. Surge uma mensagem informando que a importação foi concluída com êxito. Dê um cli-
que no botão OK para fechar esta mensagem.
Agora sim, você já sabe exportar e importar certificados para garantir o acesso aos dados criptogra-
fados. Agora é hora de começar a trabalhar com a criptografia no Windows 2000 Server.
CRIPTOGRAFANDO ARQUIVOS E PASTAS

É possível criptografar arquivos individualmente, porém é recomendado que você utilize a crip-
tografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados
dentro da pasta já serão automaticamente criptografados. Com isso, você garante que todo o con-
teúdo da pasta esteja protegido.
Ao criptografar uma pasta e o seu conteúdo, somente o usuário que criptografou a pasta terá aces-
so aos seus arquivos. Outros usuários poderão entrar na pasta e até mesmo verão uma listagem
dos arquivos, porém ao tentar abrir um arquivo, receberão a mensagem indicada na Figura 7.45.
Figura 7.45 Mensagem de acesso negado.
Para impedir que outros usuários possam entrar em uma pasta que você criptografou e visualizar a
listagem de arquivos, configure as permissões NTFS de tal maneira que somente você possa listar os
arquivos desta pasta.
Exemplo 1: Vamos criptografar uma pasta e todo o seu conteúdo:
1. Faça o logon com a sua conta de usuário. Somente o usuário logado terá acesso aos ar-
quivos da pasta que forem criptografados enquanto você estava logado com a sua conta
de usuário.
2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada.
3. Clique com o botão direito do mouse na pasta a ser criptografada e, no menu de opções que
é exibido, dê um clique na opção Propriedades. Será aberta a janela de propriedades da pas-
ta, com a guia Geral selecionada.


4. Dê um clique no botão Avançados... Será aberta a janela Atributos avançados.
5. Para criptografar a pasta, marque a opção Criptografar o conteúdo para proteger os dados,
conforme indicado no exemplo da Figura 7.46.
Figura 7.46 A opção Criptografar o conteúdo para proteger os

dados.
6. Dê um clique no botão OK. Você estará de volta à janela de propriedades da pasta.
7. Dê um clique no botão OK. Surge uma janela perguntando se você deseja criptografar so-
mente a pasta em questão ou todas as suas subpastas e arquivos. Aplicar as alterações a esta
pasta, subpastas e arquivos e dê um clique no botão OK.
8. O Windows 2000 Server inicia o processo de criptografia da pasta e de todo o seu conteúdo.
Dependendo da quantidade de arquivos e subpastas, o processo de criptografia pode de-
morar alguns minutos. Durante este processo é exibida uma janela com o progresso da
criptografia.
Pronto. A pasta está criptografada e somente o usuário que a criptografou terá acesso.
Algumas observações:
l As pastas e os arquivos compactados não podem ser, ao mesmo tempo, criptografados. Se

você criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo será
descompactado.
l Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arqui-
vos que se encontram na estrutura de diretórios raiz dos volumes (C:\, D:\ e assim por diante).
l Ao criptografar um único arquivo, você poderá optar se deseja criptografar a pasta que contém
o arquivo. Se você escolher essa opção, todos os arquivos e subpastas que forem adicionados
posteriormente à pasta serão criptografados quando forem adicionados.


l Ao criptografar uma pasta, você poderá optar se deseja que todos os arquivos e subpastas dentro
da pasta também sejam criptografados. Se você escolher essa opção, todos os arquivos e subpas-
tas atualmente na pasta serão criptografados, bem como quaisquer arquivos e subpastas que fo-
rem adicionados à pasta mais tarde. Se você optar por criptografar somente a pasta, todos os ar-
quivos e subpastas que se encontram atualmente na pasta não serão criptografados. No entanto,
quaisquer arquivos e subpastas quando forem adicionados à pasta mais tarde, serão criptografa-
dos. É aconselhável que você sempre opte por criptografar todo o conteúdo da pasta, conforme
descrito no passo 7 do exemplo anterior. Com isso, você não terá que manter um controle sobre
quais pastas e/ou arquivos estão criptografados e quais não estão.
Para criptografar um único arquivo, o processo é semelhante a criptografar uma pasta, conforme
descrito nos passos a seguir:
1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado.
2. Clique com o botão direito do mouse no arquivo a ser criptografado. No menu de opções
que surge, dê um clique na opção Propriedades. Será aberta a janela de propriedades do ar-
quivo, com a guia Geral selecionada por padrão.
3. Dê um clique no botão Avançados.... Será exibida a janela Atributos avançados.
4. Marque a opção Criptografar o conteúdo para proteger os dados e dê um clique no botão OK.
5. Será aberta a janela Aviso de criptografia, perguntando se você deseja criptografar o ar-
quivo e a pasta pai (pasta onde está o arquivo) ou somente o arquivo, conforme indicado
na Figura 7.47.
Se você não quiser mais receber este aviso e fazer com que o Windows 2000 Server faça sempre a
criptografia somente do arquivo, marque a opção Sempre criptografar somente o arquivo.
Figura 7.47 A janela Aviso de criptografia.


6. Na janela Aviso de criptografia, selecione a opção desejada e dê um clique no botão OK.
7. Você estará de volta à janela de propriedades do arquivo. Dê um clique no botão OK. O

Windows criptografa o arquivo e, dependendo das opções que você selecionou, também a
pasta onde está o arquivo.
Você também pode criptografar arquivos e pastas que estão em pastas compartilhadas, em outros
computadores da rede. Basta mapear uma unidade para a pasta compartilhada, onde estão os
arquivos e pastas a serem criptografados e utilizar os procedimentos descritos neste tópico, para
criptografá-los.
OPERAÇÕES COM ARQUIVOS CRIPTOGRAFADOS

Ao copiar ou mover arquivos criptografados, diferentes situações podem ocorrer dependendo
de a pasta de destino ser ou não criptografada e de estar ou não em um volume formatado com
NTFS. A seguir, descrevo algumas situações envolvendo ações de copiar e mover com arquivos
criptografados.
l Ao copiar um arquivo não criptografado, para uma pasta criptografada, a cópia do arquivo será
criptografada na pasta de destino. Por exemplo, você copia o arquivo não criptografado
memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual está cripto-
grafada. O arquivo memo.doc copiado para a pasta Documentos pessoais será criptografado.
l Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Win-
dows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manterá a cripto-
grafia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado
com FAT, a cópia do arquivo não será criptografada.
l Se você mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo man-
tém a criptografia. Se você mover um arquivo criptografado para outro volume, o Windows
2000 Server considerará esta operação como sendo uma cópia, onde o arquivo é excluído na
pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explica-
das no primeiro item.
Se você tentar mover um arquivo criptografado para outro usuário, para um volume formatado com
FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberá uma mensagem
de Acesso negado, pois para descriptografar o arquivo (o que é necessário para movê-lo para um
volume FAT), você teria que ter acesso ao Certificado digital do usuário que criptografou o arquivo,
conforme descrito anteriormente.
l Se você renomear um arquivo criptografado, o arquivo continuará criptografado.


l Ao excluir um arquivo, a cópia do arquivo que fica na Lixeira, continuará criptografada.

l Se você fizer uma cópia de segurança de arquivos criptografados para uma fita de backup ou
para um outro volume NTFS, a cópia de segurança permanecerá criptografada.
l Se você quiser utilizar arquivos criptografados em outro computador, terá que importar o seu
certificado digital no computador de destino, conforme descrito anteriormente.
DESCRIPTOGRAFANDO ARQUIVOS E PASTAS

Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo não muda para o
usuário, ou seja, quando o usuário abre um arquivo criptografado, o Windows 2000 Server utiliza
as informações do certificado digital do usuário para descriptografar o arquivo e fornecer os dados
para o usuário. Este processo é completamente transparente para o usuário, conforme já descrito
anteriormente.
O usuário pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usuá-
rio pode utilizar este mecanismo em diversas situações, como por exemplo, para fornecer acesso
ao arquivo para outros usuários. Para descriptografar um arquivo ou pasta é extremamente sim-
ples, basta seguir os seguintes passos:
1. Localize o arquivo ou pasta a ser descriptografado e dê um clique com o botão direito do

mouse nele.
2. No menu de opções que surge, dê um clique em Propriedades. Será exibida a janela de pro-
priedades do arquivo/pasta.
3. Na guia Geral, da janela de Propriedades, dê um clique no botão Avançados...
4. Na janela Atributos avançados, desmarque a opção Criptografar o conteúdo para proteger
os dados. Dê um clique no botão OK.
5. Você estará de volta à janela Propriedades. Dê um clique no botão OK.
6. Se você estiver descriptografando uma pasta, surge a mensagem indicada perguntando se
você deseja descriptografar apenas a pasta ou todo o seu conteúdo. Selecione a opção dese-
jada e dê um clique no botão OK.
7. A pasta será descriptografada e também o seu conteúdo, dependendo das opções seleciona-
das. Se você optar por descriptografar somente a pasta, novos arquivos criados na pasta não
serão criptografados, porém os arquivos já existentes, manterão a criptografia.
ALTERANDO A DIRETIVA DE RECUPERAÇÃO DO COMPUTADOR LOCAL

É possível alterar as configurações do Agente de recuperação do seu computador ou no caso de
trabalhar em um domínio, do domínio como um todo. Você pode adicionar novas contas, além


da conta padrão administrador, pode inclusive excluir todos os usuários da lista de Agentes de re-
cuperação, o que implicará na desabilitação do sistema de criptografia, conforme será detalhado
mais adiante.
Exemplo: Vamos alterar a diretiva de recuperação do domínio:
1. Faça o logon com uma conta com permissões de administrador.

2. Abra o console Diretiva de segurança de domínio: Iniciar –> Programas –> Ferramentas
Administrativas –> Diretiva de segurança de domínio.
3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que
são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.
4. Nas opções que são exibidas, dê um clique na opção Agentes de recuperação de dados crip-
tografados. No painel da direita, será exibido o certificado do Agente de recuperação, que
por padrão é a conta administrador.
5. Clique com o botão direito do mouse na opção Agentes de recuperação de dados criptogra-
fados e siga uma dos seguintes caminhos:
5.1. Para designar um usuário como agente de recuperação adicional através do Assistente
para adicionar agente de recuperação, clique na opção Adicionar..., e siga os passos do
assistente.
5.2. Para solicitar um novo certificado de recuperação de arquivo através do Assistente para so-
licitação de certificados, clique em Novo –> Agente de recuperação criptografado... Será
aberto o Assistente para adicionar agente de recuperação. Siga os passos do assistente.
5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperação, clique em To-
das as Tarefas –> Excluir diretiva. Se você selecionar essa opção, os usuários não
poderão mais usar criptografia nos computadores do domínio. O Windows 2000
Server não permite que você faça a criptografia de arquivos se não houver um
Agente de recuperação configurado. Para voltar a habilitar a criptografia de ar-
quivos, você deve seguir os passos descritos neste exemplo e adicionar um Agen-
te de recuperação.
6. Após ter configurado as opções desejadas, feche o MMC. Surge uma janela perguntando se
você deseja salvar o console. Clique em Não.
Algumas observações importantes:
l Antes de qualquer alteração na diretiva de recuperação, você deve fazer um backup das chaves
de recuperação em um disquete, conforme descrito nos exemplos anteriores. Este procedi-
mento garante que os arquivos poderão ser descriptografados caso haja algum problema com
as configurações do Agente de recuperação.
l É necessário fazer logon como administrador ou com uma conta com permissões de adminis-
trador para executar estas ações.


l Se a sua conta for configurada como Agente de recuperação, você poderá descriptografar arqui-
vos criptografados por outros usuários, simplesmente acessando as propriedades do arquivo, cli-
cando no botão Avançado..., e desmarcando a opção Criptografar o conteúdo para proteger os
dados. Para realizar tal operação, o certificado digital correspondente à conta do Agente de recu-
peração deve estar instalado no computador onde a operação será realizada. Para mais detalhes
sobre a importação e exportação de certificados, consulte a parte inicial deste tópico.
RECOMENDAÇÕES SOBRE A CRIPTOGRAFIA DE PASTAS E ARQUIVOS

Neste item, coloco algumas recomendações sobre a criptografia de pastas e arquivos. Estas reco-
mendações são baseadas na documentação oficial da Microsoft:
l Para obter o máximo de segurança, criptografe as pastas antes de criar arquivos importantes
nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus da-
dos nunca sejam gravados em disco como texto sem formatação.
l Se você salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a.
Isso assegura que seus documentos pessoais sejam criptografados por padrão. No caso de perfis
de usuários móveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada
para um local de rede.
l Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos
temporários durante a edição, estes também sejam criptografados.
l O Agente de recuperação designado deverá exportar o certificado de recuperação de dados e a
chave particular para um disco, guardá-los em um local seguro e excluir do sistema a chave
particular de recuperação de dados. Dessa forma, a única pessoa que poderá recuperar dados
do sistema será aquela que possui acesso físico à chave particular de recuperação de dados.
Estes procedimentos foram descritos no início deste tópico.
l Deve-se manter o menor número possível de agentes de recuperação designados. Desse modo,
menos chaves ficarão expostas ao ataque criptográfico e haverá mais garantias de que os dados
criptografados não sejam descriptografados inadequadamente.
O COMANDO CIPHER
O comando cipher é utilizado para exibir ou alterar a criptografia de pastas e arquivos em volumes
formatados com NTFS. Quando utilizado sem parâmetros, cipher exibe o estado de criptografia
da pasta atual e de quaisquer arquivos que esta contenha.
Sintaxe para o comando cipher, conforme documentação oficial da Microsoft:

cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] |
[/r:nome_de_caminho_sem_extensão] | [/w:nome_de_caminho]
Na Tabela 7.1, apresento a descrição dos parâmetros do comando cipher.


Tabela 7.1 Parâmetros do comando cipher
Parâmetro Descrição
/e Criptografa as pastas especificadas. As pastas serão marcadas para que os
arquivos adicionados posteriormente também sejam criptografados.
/d Descriptografa as pastas especificadas.
/s:dir Efetua a operação selecionada na pasta especificada e em todas as
subpastas.
/a Efetua a operação nos arquivos e pastas.
/i Continua a efetuar a operação especificada mesmo após a ocorrência de
erros. Por padrão, cipher é interrompido quando um erro é encontrado.
/f Força a criptografia ou descriptografia de todos os objetos especificados.
Por padrão, os arquivos que já tenham sido criptografados ou
descriptografados serão ignorados por cipher.
/q Reporta somente as informações mais essenciais.
/h Exibe arquivos com atributos de sistema ou ocultos. Por padrão, esses
arquivos não são criptografados ou descriptografados.
/k Cria uma nova chave de criptografia de arquivo para o usuário que
estiver executando o comando cipher. Se você usar esta opção, cipher
ignorará todas as outras opções.
/u Atualiza a chave de criptografia de arquivo do usuário ou a chave do
Agente de recuperação, utilizando as mais atuais em todos os arquivos
criptografados nas unidades locais (isto é, se as chaves tiverem sido
alteradas). Esta opção só funciona com /n.
/n Evita que as chaves sejam atualizadas. Use esta opção para localizar
todos os arquivos criptografados nas unidades locais. Esta opção só
funciona com /u.
nomedecaminho Especifica um padrão, arquivo ou pasta.
/r :nome de Gera uma nova chave particular e um novo certificado de caminho sem
Agente de recuperação e grava-os nos arquivos com extensão o nome de
arquivo especificado em nome_de_caminho_sem_extensão. Se você usar
esta opção, cipher ignorará todas as outras opções.
/w:nome de Remove os dados que se encontram em partes não utilizadas caminho de
um volume. nome_de_caminho pode indicar qualquer pasta no volume
desejado. Se você usar esta opção, cipher ignorará todas as outras opções.
/? Exibe informações de ajuda no prompt de comando.


O comando cipher não criptografa arquivos que estejam marcados como somente leitura.
Eis alguns exemplos do comando cipher:
1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em
uma pasta denominada Documentos, utilize o seguinte comando:
cipher /e Documentos\Memorandos
2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando:
cipher /e /s:Documentos
3. Para criptografar apenas o arquivo finanças.xls na subpasta Planilhas, da pasta Documen-

tos, utilize o seguinte comando:
cipher /e /a Documentos\Planilhas\finanças.xls
4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite
o seguinte comando:
cipher /e /a Documentos\Planilhas\*.xls
5. Para determinar se a pasta Documentos está criptografada, utilize o seguinte comando:
cipher Documentos
6. Para determinar os arquivos na pasta Documentos que estão criptografados, utilize o se-
guinte comando:
cipher Documentos\*
CONCLUSÃO
Neste capítulo, você aprendeu sobre funções do Windows 2000 Server para fornecer acesso com-
partilhado à Internet e para proteção de ataques vindos da Internet:
l ICS – Internet Connection Sharing (Compatilhamento da Conexão Internet).

l NAT – Network Address Translation (funcionalidade que faz parte do RRAS).
Na parte final do capítulo, você aprendeu sobre a criptografia baseada no uso de um par de cha-
ves: pública e privada e como utilizar o Microsoft Certificate Services para criar uma autoridade
certificadora na própria rede da empresa.
Você também aprendeu a executar as diversas tarefas de administração, relacionadas com o uso
de certificados e com o sistema de criptografias do Windows 2000 Server.


No próximo capítulo, você aprenderá mais uma das funcionalidades do RRAS: roteamento.
A seguir, um resumo dos principais pontos do capítulo.
RESUMO E DICAS “NÃO ESQUEÇA”

l É fundamental que o candidato ao exame 70-216 saiba exatamente quais as mudanças são im-
plementadas ao habilitar o ICS em um computador. Sendo que uma das principais mudanças é
na numeração de endereços IP, conforme descreverei em detalhes neste item.
l Não esqueça este detalhe, ou seja, quando o ICS é habilitado, é atribuído o endereço IP
192.168.0.1 para a interface interna do computador onde o ICS foi habilitado. Com isso, se
houver compartilhamentos no servidor onde foi habilitado o ICS, estes deixarão de estar aces-
síveis para os demais computadores da rede. Isso até que os demais clientes da rede sejam con-
figurados para utilizar o DHCP e obter um endereço da rede 192.168.0.0/255.255.255.0, a par-
tir do computador onde o ICS foi habilitado.
l A funcionalidade de DNS Proxy é habilitada no computador com o ICS habilitado. Isso signifi-
ca que este computador recebe as requisições de resolução DNS dos clientes da rede, repassa es-
tes pedidos para o servidor DNS do provedor de Internet, recebe a resposta e passa a resposta de
volta para o cliente que fez a requisição para a resolução do nome. O resultado prático é que os
clientes tem acesso ao serviço DNS, sendo que todas as requisições passam pelo ICS, que está
atuando como um DNS Proxy.
l Você não tem como alterar as configurações padrão do ICS. Por exemplo, você não pode desa-
bilitar a funcionalidade de servidor DHCP do computador onde foi habilitado o ICS e nem
pode definir um esquema de endereçamento diferente do que é definido por padrão ou desabi-
litar a função de DNS Proxy. Para que você possa personalizar estas funcionalidades, você pre-
cisa utilizar o recurso de NAT, ao invés do ICS. O NAT será descrito no próximo tópico.
l Saiba identificar quais as faixas de endereços privados e se um determinado endereço está den-
tro de uma destas faixas. Estas faixas estão definidas na RFC 1597. Os endereços definidos
como privados são os seguintes:
10.0.0.0 –> 10.255.255.255
172.16.0.0 –> 172.31.255.255
192.168.0.0 –> 192.168.255.255
l Estude detalhadamente as diferenças entre o ICS e NAT, principalmente para saber em que si-
tuação cada um deve ser aplicado. Podem aparecer questões descrevendo uma determinada si-
tuação, com os detalhes sobre uma determinada rede e você terá que saber identificar qual a
melhor solução para a rede apresentada: ICS ou NAT.


l Não esqueça, de jeito nenhum, que o ICS é projetado para conectar uma rede doméstica ou
uma rede pequena, com não mais do que dez computadores, com a Internet. O protocolo
NAT foi projetado para conectar redes de porte pequeno para médio, com a Internet (eu diria
entre 11 e 100 computadores). Porém, nenhum deles foi projetado para ser utilizado nas se-
guintes situações:
– Fazer a conexão entre redes locais.
– Conectar redes para formar uma Intranet.
– Conectar as redes dos escritórios regionais com a rede da sede da empresa.
– Conectar as redes dos escritórios regionais com a rede da sede da empresa, usando como
meio a Internet, ou seja, criação de uma VPN.
l Conheça bem as portas indicadas na listagem anterior. Para uma lista completa de todas as
portas utilizadas pelos protocolos TCP e UDP, consulte o seguinte endereço: http://
www.iana.org/numbers.htm. A seguir, listo as portas utilizadas pelos principais serviços da
Internet:

Servidor de FTP 21
POP3 110
Telnet 23
SSL (https) 443
l Existe a possibilidade de fornecer acesso aos servidores internos da rede para clientes da Inter-
net. Lembre também de como fazer estas configurações, o que será descrito mais adiante.
l Não esqueça que é possível habilitar a resolução DNS via NAT e que é possível configurar o
NAT para iniciar uma discagem sob demanda, sempre que houver uma consulta de resolução
de nomes de um cliente e a conexão não estiver estabelecida.
l No exemplo sobre NAT, utilizado neste capítulo, usei a faixa padrão 192.168.0.0/255.255.255.0,
mas poderia ser utilizada qualquer faixa de endereços, desde que seja uma faixa de endereços
privados, conforme descrito anteriormente. Por exemplo, eu poderia configurar o NAT com a
faixa 10.10.10.0/255.255.255.0. Usar o primeiro endereço para a faixa, como endereço da inter-
face de rede interna do servidor com o NAT, não é obrigatório. Este é um padrão normalmente
utilizado, já que esta interface será configurada como o Default Gateway dos computadores da
rede interna e, por tradição, utiliza-se o primeiro endereço da rede para o Default Gateway. Mas
repito, não é obrigatório que seja o primeiro endereço.
l Conheça bem as diferenças entre os diversos tipos de autoridades certificadoras. Lembre-se
que autoridades certificadoras corporativas são integradas com o Active Directory, utilizam
modelos de certificados para a criação de novos certificados. Já as autoridades certificadoras
autônomas não dependem do Active Directory e não utilizam modelos de certificados. A se-


guir, um pequeno resumo sobre cada um dos quatro tipos, para você fixar bem sobre a função e
as características de cada um dos tipos de autoridades certificadoras:
l Existe uma conta configurada como Agente de recuperação. Esta conta pode fazer o logon e
descriptografar pastas e arquivos criptografados por outros usuários. O agente de recuperação
padrão é a conta administrador.
l Se você tentar mover um arquivo criptografado por outro usuário, para um volume formatado
com FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberá uma
mensagem de Acesso negado, pois para descriptografar o arquivo (o que é necessário para mo-
ve-lo para um volume FAT), você teria que ter acesso ao certificado digital do usuário que crip-
tografou o arquivo, conforme descrito anteriormente.




Capítulo 8
ROTEAMENTO COM O RRAS
E O PROTOCOLO IPSEC

INTRODUÇÃO
No Capítulo 2, você aprendeu sobre os princípios básicos do protocolo TCP/IP e aprofundou o es-
tudo do TCP/IP, com os conceitos de roteamento e subnetting. No Capítulo 6, você aprendeu a
instalar e a configurar a funcionalidade de Acesso Remoto do servidor RRAS. Este capítulo será so-
bre roteamento e sobre o protocolo IPSec. O roteamento é o outro “R” do RRAS – Routing and Re-
mote Access Server.
Vou iniciar o capítulo aprofundando um pouco mais (em relação ao que foi visto no Capítulo 2)
sobre a teoria de roteamento. Falarei sobre os protocolos dinâmicos de roteamento – RIP e OSPF –
e também sobre o roteamento em grandes redes, onde o melhor exemplo é a própria Internet. Fa-
rei uma comparação entre RIP e OSPF, mostrando as vantagens e desvantagens de cada um. O
ponto principal é entender quando se utiliza um e quando se utiliza outro.
Na seqüência, falarei sobre o conceito de dial-in routing, algo que me arrisco a traduzir como “Ro-
teamento de discagem sob demanda”. Mostrarei que existem diferentes opções de configuração e
em que situação cada uma se aplica.
O próximo passo é aprender a configurar o RRAS para fazer o roteamento IP. Você aprenderá a ins-
talar e a configurar os protocolos RIP v2 e OSPF. Também mostrarei como habilitar estes protoco-
los em cada interface do servidor RRAS. Você também aprenderá a configurar o dial-in routing.
Em seguida, será a vez de falar sobre o protocolo IPSec. Inicialmente apresentarei a fundamentação
teórica sobre IPSec, para que o leitor possa entender exatamente o que é o IPSec e quando utilizá-lo.
Mostrarei que este protocolo é configurado/habilitado através do uso de políticas de segurança e
que existem diferentes modelos de políticas de segurança disponíveis no Windows 2000 Server.
Ao habilitar as funções de roteamento no RRAS, você está transformando o servidor Windows

2000 Server em um roteador. Exatamente isso, ou seja, com o roteamento configurado no RRAS, o
servidor com o Windows 2000 Server atua exatamente como um roteador. A questão que pode
surgir é: por que utilizar o Windows 2000 Server como roteador, se existem equipamentos dedica-
dos a esta função?
A resposta atende pelo nome de “custos”. As funções de roteamento do RRAS não são indicadas
para grandes redes, com grandes volumes de tráfego a ser roteado. Por outro lado, para redes de
pequeno a médio porte, esta é uma solução extremamente interessante e de baixo custo. O que
acontece, na prática, é que estas redes já têm um ou mais servidores baseados no Windows 2000
Server. É muito mais barato habilitar o RRAS e configurar o roteamento, do que adquirir um rotea-
dor dedicado para esta função.
Claro que se fosse necessário comprar um novo servidor e uma nova licença do Windows 2000
Server, talvez fosse até mais barata a aquisição de um roteador dedicado. Mas quando já existe um
servidor disponível, fica bem mais em conta simplesmente habilitar o RRAS e configurar as op-
ções de roteamento.


Capítulo 8 – ROTEAMENTO COM O RRAS E O PROTOCOLO IPSEC
A seguir, vou aprofundar a discussão sobre roteamento, iniciada no Capítulo 2 e, na seqüência,

mostrarei como configurar o roteamento no RRAS.
ROTEAMENTO E PROTOCOLOS DINÂMICOS DE ROTEAMENTO

Neste tópico, apresentarei uma série de conceitos teóricos relacionados ao roteamento. É impor-
tante entender estes conceitos, para que você entenda exatamente o que está sendo feito nas eta-
pas práticas, que serão apresentadas mais adiante.
DEFININDO ROTEAMENTO
O roteamento IP é o que garante a funcionalidade da Internet e das redes das empresas, hoje todas
baseadas no protocolo TCP/IP. Graças ao roteamento é que você pode acessar informação de
qualquer parte do mundo, desde um site hospedado em um servidor na China, a partir do qual
você clica em um link que carrega uma página em um servidor do Brasil e assim por diante. Para
que o roteamento seja possível, são configurados equipamentos e servidores que fazem o papel de
roteador. Pode ser um equipamento dedicado, com um roteador de empresas famosas como a Cis-
co ou Cyclades ou um servidor com o Windows 2000 Server ou Windows Server 2003, com o
RRAS instalada com o roteamento configurado.
O roteador é o equipamento responsável pela conexão das diversas redes locais da empresa, para
formação da WAN da empresa e das diversas redes no mundo inteiro, para a formação da Inter-
net. As redes locais são interligadas através de links de comunicação. Existe grande variedade de
opções em relação aos links de comunicação. Desde velocidade modestas de 64 Kbps (não tão
modesta, afinal quantos de nós ainda estão conectados à Internet via conexão discada de 56
Kbps), até velocidades bem maiores, na casa de dezenas de Mbps. O roteador é o equipamento
que torna possível a comunicação entre as diversas redes locais que formam a WAN da empresa
e também a comunicação da empresa com a Internet e com outras redes de parceiros de negóci-
os e fornecedores.
Neste item, vou falar sobre roteamento. Falarei sobre o papel dos roteadores na ligação entre redes
locais (LANs) para formar uma WAN. Mostrarei alguns exemplos práticos de roteamento. Em se-
guida, estenderei um pouco mais a discussão para falar sobre como são utilizados protocolos de
roteamento para possibilitar a criação de tabelas dinâmicas de roteamento.
Para uma discussão sobre os princípios básicos de roteamento, com exemplos passo-a-passo e para
detalhes sobre o conceito de tabela de roteamento para uma discussão detalhada dos princípios bá-
sicos do protocolo TCP/IP, consulte o Capítulo 2.


No Capítulo 2, você aprendeu que a máscara de sub-rede é utilizada para determinar qual “parte”
do endereço IP representa o número da rede e qual parte representa o número da máquina dentro
da rede. A máscara de sub-rede também foi utilizada na definição original das classes de endereço
IP. Em cada classe, existe um determinado número de redes possíveis e, em cada rede, um número
máximo de máquinas (para mais detalhes veja a descrição sobre redes Classe A, B, C, D e E no Ca-
pítulo 2). Com base na máscara de sub-rede, o protocolo TCP/IP determina se o computador de
origem e o de destino estão na mesma rede local ou em redes locais diferentes. Com base em cál-
culos binários, o TCP/IP pode chegar a dois resultados distintos:
l O computador de origem e de destino estão na mesma rede local: Neste caso os dados são en-
receber os dados, cada computador analisa o campo número IP do destinatário. Se o IP do des-
tinatário for igual ao seu próprio IP, os dados são capturados e processados pelo sistema, caso
contrário são simplesmente descartados. Observe que, com este procedimento, apenas o com-
putador de destino é que efetivamente processa os dados enviados, os demais computadores
simplesmente descartam os dados.
l O computador de origem e de destino não estão na mesma rede local: Neste caso, os dados são
enviados para o equipamento com o número IP configurado no parâmetro Default Gateway
(Gateway padrão). Assim, se após os cálculos baseados na máscara de sub-rede, o TCP/IP che-
gar a conclusão que o computador de destino e o computador de origem não fazem parte da
mesma rede, os dados são enviados para o Default Gateway (o roteador), encarregado de en-
contrar um caminho (uma rota) para enviar os dados até o computador de destino. Esse “en-
contrar o caminho“ é tecnicamente conhecido como rotear os dados até o destino. O respon-
sável por “rotear” os dados é o equipamento que atua como Default Gateway o qual é conheci-
do como roteador. Este processo é conhecido como Host Routing. Com isso, fica fácil entender
o papel do roteador:
“É o responsável por encontrar um caminho entre a rede onde está o computador que enviou os
dados (computador de origem) e a rede onde está o computador que irá receber os dados (compu-
tador de destino).”
Roteador é apenas um conceito. O papel do roteador pode ser desempenhado por um equipamen-
to especificamente projetado para este fim (equipamento este conhecido, obviamente, como ro-
teador) ou pode ser desempenhado por um servidor com software de roteamento instalado (Win-
dows 2000 Server com RRAS habilitado e com o roteamento configurado). Por exemplo,
servidores baseados no Windows 2000 Server ou no Linux podem ser configurados para exercer o
papel de roteador.
Quando ocorre um problema com o roteador, tornando-o indisponível, você consegue se comu-
nicar normalmente com os demais computadores da sua rede local, porém não conseguirá comu-
nicação com outras redes de computadores, como por exemplo a Internet.


Nem sempre um roteador consegue entregar os pacotes de dados diretamente para o computador
de destino. Muitas vezes, tudo o que o roteador pode fazer é saber para quem deve enviar o pacote,
baseado no endereço da rede de destino. O roteador não está diretamente conectado à rede de
destino, mas com base em sua tabela de roteamento e no número de rede de destino, o roteador
sabe para qual das interfaces devem ser enviados os dados. Este processo pode continuar de rotea-
dor em roteador, até que os pacotes sejam entregues na rede de destino, ou até que os pacotes te-
nham atravessado o número máximo de roteadores que, por padrão, é 16. Este número também é
conhecido como número máximo de hopes. É definido um número máximo de roteadores pelos
quais um mesmo pacote pode passar, para evitar que uma grande quantidade de pacotes fique cir-
culando indefinidamente na rede, o que causaria, simplesmente, a paralisação de toda a rede. Este
processo de não saber enviar diretamente para a rede de destino, mas saber para quem enviar é co-
nhecido como Router Routing. A decisão “para quem” enviar, é tomada com base na máscara de
rede da rede de destino e na tabela de roteamento de cada roteador.
TABELAS DE ROTEAMENTO
A chave toda para o processo de roteamento é o software presente nos roteadores (quer seja o rotea-
dor um equipamento dedicado, quer seja o roteador um servidor com o Windows 2000 Server e o
RRAS), o qual atua com base em tabelas de roteamento. Ou o roteador sabe entregar o pacote direta-
mente para a rede de destino ou sabe para qual roteador enviar. Esse processo continua, até que seja
possível alcançar a rede de destino, conforme descrito anteriormente. Claro que em redes mais
complexas pode haver mais de um caminho entre origem e destino. Por exemplo, na Internet, pode
haver dois ou mais caminhos possíveis entre o computador de origem e o computador de destino.
Quando um arquivo é transmitido entre os computadores de origem e destino, pode acontecer de
alguns pacotes de informação serem enviados por um caminho e outros pacotes por caminhos dife-
rentes. Os pacotes podem, inclusive, chegar fora de ordem no destino. O protocolo TCP/IP é o res-
ponsável por identificar cada pacote, colocá-los na seqüência correta e solicitar que sejam reenvia-
dos pacotes que estão faltando ou que foram corrompidos durante a transmissão.
Existem também um número máximo de roteadores pelos quais um pacote pode passar, antes de
ser descartado. Normalmente, este número é de 16 roteadores. Passar por um roteador é tecnica-
mente conhecido como “um hope”. Um hope significa que passou por um roteador. Diz-se, com
isso, que o caminho máximo de um pacote é de 16 hopes. Isso é feito para evitar que pacotes fi-
quem circulando indefinidamente na rede e congestionem os links de WAN, podento até chegar
a paralizar a rede, conforme descrito anteriormente.
Uma situação que poderia acontecer, por erro nas tabelas de roteamento, é um roteador x mandar
um pacote para o y, o y mandar de volta para o x, o roteador x de volta para y e assim indefinida-
mente. Esta situação ocorreria por erros nas tabelas de roteamento. Para evitar que estes pacotes
ficassem circulando indefinidamente na rede, é que foi definido o limite de 16 hopes.


Outro conceito que pode ser encontrado, em relação a roteamento, é o de entrega direta (host
routing) ou entrega indireta (router routing). Agora é hora de apresentar mais alguns detalhes so-
bre tabelas de roteamento.
Existem maneiras diferentes para criar as tabelas de roteamento. A primeira maneira é criar as ta-
belas manualmente. O administrador utiliza comandos (como o comando route add no Win-
dows 2000 Server) para adicionar rotas manualmente em cada roteador da rede. Este método so-
mente é indicado para pequenas redes, onde existe um pequeno número de roteadores, com
poucas rotas e rotas que não são alteradas freqüentemente. Para redes maiores, com muitas rotas e
muitos roteadores, este método é impraticável. A simples adição de uma nova rota, exigiria a alte-
ração das tabelas de roteamento em todos os roteadores da rede. Outro problema com a criação
manual das tabelas de roteamento é que não existe a detecção automática de perda de rotas quan-
do um roteador fica indisponível. Nestas situações, os demais roteadores da rede continuarão a
encaminhar pacotes para o roteador com problemas, porque a tabela de roteamento está configu-
rada para enviar pacotes para o roteador, quer o mesmo esteja on-line ou com problemas. Neste
caso, uma simples indisponibilidade de um roteador exigiria uma reconfiguração manual em to-
das as tabelas de roteamento. Quando o roteador voltar a estar disponível, uma nova reconfigura-
ção das tabelas de roteamento teria que ser feita. Com estes exemplos, é possível ver que a confi-
guração manual das tabelas de roteamento é um método que somente se aplica a pequenas redes,
com um número reduzido de roteadores e de rotas.
Outra maneira de criar as tabelas de roteamento é dinamicamente. Com este método, os roteado-
res trocam informações entre si, periodicamente, e atualizam suas tabelas de roteamento, com
base nestas informações trocadas entre os roteadores. O método dinâmico exige bem menos ma-
nutenção (intervenção manual dos administradores) e pode ser utilizado em grandes redes, como
por exemplo a Internet. A atualização dinâmica das tabelas de roteamento é possível graças a uti-
lização de protocolos de roteamento dinâmicos. Os protocolos mais conhecidos, para a criação
automática de tabelas de roteamento, são os seguintes:
l Routing Information Protocol (RIP)

l Open Shortest Path First (OSPF)
Se você encontrar estes protocolos traduzidos, em algum livro ou revista, no mínimo, faça um “biqui-
nho” para quem traduziu. Eu já vi uma maravilha de tradução para OSPF: Abrindo primeiro o cami-
nho mais curto. Deus nos ajude. Tudo a ver com roteamento.
Com o uso dos protocolos de roteamento dinâmico, os roteadores trocam informações entre si,
periodicamente e “aprendem” sobre a rede; vão “descobrindo” as rotas existentes e gravando es-
tas rotas em suas tabelas de roteamento. Se um roteador ficar off-line, em pouco tempo os demais
roteadores “saberão” que este roteador está off-line e atualizarão, automaticamente, suas tabelas
de roteamento. Com isso cada roteador aprende novos caminhos, já considerando a indisponibi-


lidade do roteador com problemas, e repassam estas informações para os demais roteadores. Esta
possibilidade não existe quando as tabelas são criadas manualmente, conforme descrito anterior-
mente. Evidentemente, que para redes maiores, a única alternativa viável é o uso de um dos pro-
tocolos de roteamento dinâmico, ou até mesmo uma combinação de ambos, conforme descreve-
rei mais adiante.
COMO FUNCIONAM OS PROTOCOLOS DE ROTEAMENTO DINÂMICO

O protocolo RIP é baseado em um algoritmo conhecido como distance-vector (distância vetorial).
Este algoritmo é baseado na distância entre dois roteadores, sendo que esta “distância” é medida
em termos do número de roteadores existentes no caminho entre os dois roteadores – também co-
nhecido como hopes. Já o protocolo OSPF, utiliza um algoritmo baseado em propagação de rotas
entre roteadores denominados como adjacentes (veja o conceito de formação de adjacências
mais adiante), conforme descreverei mais a frente. As principais diferenças entre os protocolos
RIP e OSPF são referentes as seguintes características:
l Quais informações sobre rotas são compartilhadas entre os roteadores. Quando um roteador apre-
senta problemas, a rede deve ser capaz de reconfigurar-se, para definir novas rotas, já baseadas na
nova topologia da rede, sem o roteador com problemas. O tempo que a rede leva para reconfigu-
rar-se é conhecido como convergência. Um dos principais problemas do protocolo RIP é o alto
tempo de convergência em relação ao OSPF, que tem um tempo de convergência bem menor.
l Como as informações sobre rotas e sobre a topologia da rede são compartilhadas entre os rote-
adores: Este aspecto também influencia o tempo de convergência da rede e apresenta diferen-
ças significativas no RIP e no OSPF.
A seguir, apresento cada um dos protocolos de roteamento dinâmico em detalhes e mostro como
configurá-los no RRAS do Windows 2000 Server.
ROUTING INFORMATION PROTOCOL – RIP

Neste tópico, você entenderá como funciona o RIP, como as informações são trocadas entre os ro-
teadores que usam RIP, quais as diferenças entre RIP versão 1 (RIP v1) e RIP versão 2 (RIP v2) e
como configurar o RIP no RRAS.
UMA INTRODUÇÃO AO RIP

O protocolo RIP é baseado em uma troca de mensagens entre os roteadores que utilizam o RIP.
Cada mensagem do RIP contém uma série de informações sobre as rotas que o roteador conhece


(com base na sua tabela de roteamento atual) e a distância do roteador para cada uma das rotas. O
roteador que recebe as mensagens, com base na sua distância para o roteador que enviou a mensa-
gem, calcula a distância para as demais redes e grava estas informações em sua tabela de rotea-
mento. É importante salientar que distância significa hope, ou melhor, o número de roteadores
existentes em um determinado caminho, em uma determinada rota.
As informações entre roteadores são trocadas quando o roteador é inicializado, quando o ro-
teador recebe atualizações em sua tabela de roteamento e também em intervalos regulares.
Aqui a primeira desvantagem do RIP. Mesmo que não exista nenhuma alteração nas rotas da
rede, os roteadores baseados em RIP, continuarão a trocar mensagens de atualização em inter-
valos regulares, por padrão a cada 30 segundos. Por isso que o RIP não é indicado para redes
maiores, pois nestas situações o volume de tráfego gerado pelo RIP, poderia consumir boa par-
te da banda disponível. O RIP é projetado para intercambiar informações de roteamento em
uma interconexão de rede de tamanho pequeno para médio. Além disso, cada mensagem do
protocolo RIP comporta, no máximo, informações sobre 25 rotas diferentes, o que para gran-
des redes, faria com que fosse necessária a troca de várias mensagens, entre dois roteadores,
para atualizar suas respectivas tabelas. Ao receber atualizações, o roteador atualiza a sua tabela
de roteamento e envia estas atualizações para todos os roteadores diretamente conectados, ou
seja, a um hope de distância.
A maior vantagem do RIP é ser extremamente simples para configurar e implementar em uma
rede. Sua maior desvantagem é a incapacidade de ser ampliado para interconexões de redes de
tamanho grande a muito grande. A contagem máxima de hopes usada pelos roteadores RIP é 15.
As redes, que estejam a 16 hopes ou mais de distância, serão consideradas inacessíveis. À medida
que as redes crescem em tamanho, os anúncios periódicos de cada roteador RIP podem causar
tráfego excessivo. Outra desvantagem do RIP é o seu longo tempo de convergência. Quando a
topologia de interconexão da rede é alterada (por queda em um link ou por falha em um rotea-
dor), podem ser necessários vários minutos para que os roteadores RIP se reconfigurem para re-
fletir a nova topologia de interconexão da rede. Embora a rede seja capaz de fazer a sua própria
reconfiguração, podem ser formados loops de roteamento que resultem em dados perdidos ou
sem condições de entrega.
Inicialmente, a tabela de roteamento de cada roteador inclui apenas as redes que estão fisicamen-
te conectadas. Um roteador RIP envia periodicamente anúncios contendo suas entradas de tabela
de roteamento para informar aos outros roteadores RIP locais, quais as redes que pode acessar.
Os roteadores RIP também podem comunicar informações de roteamento através de disparo de

atualizações. Os disparos de atualizações ocorrem quando a topologia da rede é alterada e infor-
mações de roteamento atualizadas são enviadas de forma a refletir essas alterações. Com os dispa-
ros de atualizações, a atualização é enviada imediatamente em vez de aguardar o próximo anún-
cio periódico. Por exemplo, quando um roteador detecta uma falha em um link ou roteador,
atualiza sua própria tabela de roteamento e envia rotas atualizadas. Cada roteador que recebe as
atualizações por disparo, modifica sua própria tabela de roteamento e propaga a alteração.


Conforme já salientado anteriormente, uma das principais desvantagens do algoritmo distan-

ce-vector do RIP é o alto tempo de convergência. Assim, quando um link ou um roteador fica in-
disponível, demora alguns minutos até que as atualizações de rotas sejam passadas para todos os
roteadores. Durante este período pode acontecer de roteadores enviarem pacotes para rotas que
não estejam disponíveis. Este é um dos principais motivos pelos quais o RIP não pode ser utilizado
em redes de grande porte.
Outro problema do protocolo RIP é a situação descrita como count-to-infinity (contar até o infi-
nito). Para entender este problema vamos imaginar dois roteadores conectados através de um
link de WAN. Vamos chamá-los de roteador A e B, conectando as redes 1, 2 e 3, conforme diagra-
ma da Figura 8.1.
Rede 1 Rede 2 Rede 3
Roteador A Roteador B
Figura 8.1 O problema count-to-infinity.
Agora imagine que o link entre o roteador A e a rede 1 apresente problemas. Com isso, o roteador
A sabe que não é possível alcançar a rede 1 (devido a falha no link). Porém, o Roteador B continua
anunciando para o restante da rede, que se encontra a 2 hopes da rede 1 (isso porque o roteador B
ainda não teve sua tabela de roteamento atualizada). O Roteador B manda este anúncio, inclusive
para o roteador A. O roteador A recebe esta atualização e considera que está agora a 3 hopes da
rede 1 (1 hope de distância até o roteador B + 2 hopes de distância do roteador B até a rede 1. O ro-
teador A não sabe que o caminho do B para a rede 1, passa por ele). Com isso, volta a informação
para o roteador B dizendo que A está a 3 hopes de distância. O roteador B atualiza a sua tabela,
considerando agora que está a 4 hopes da rede 1 (1 hope até o roteador A + 3 hopes que o roteador
A está da rede 1, segundo o último anúncio). E este processo continua até que o limite de 16 hopes
seja atingido. Observe que mesmo com um link com problema, o protocolo RIP não convergiu e
continuou anunciando rotas incorretamente, até atingir uma contagem de 16 hopes (que em ter-
mos do RIP significa o infinito, inalcançável).
O problema do count-to-infinity é um dos mais graves com o uso do RIP Versão 1, conhecido ape-
nas como RIP v1. O Windows 2000 Server e o Windows Server 2003 dão suporte também ao RIP
v2, o qual apresenta algumas modificações no protocolo, as quais evitam, ou pelo menos minimi-
zam problemas como o loops de roteamento e count-to-infinity:
l Split horizon (horizonte dividido): Com esta técnica, o roteador registra a interface através da
qual recebeu informações sobre uma rota e não difunde informações sobre esta rota, através


desta mesma interface. No nosso exemplo, o roteador B receberia informações sobre a rota
para a rede 1, a partir do roteador B, logo o roteador A não iria enviar informações sobre rotas
para a rede 1, de volta para o roteador B. Com isso já seria evitado o problema do count-
to-infinity. Em outras palavras, esta característica pode ser resumida assim: Eu aprendi sobre
uma rota para a rede X através de você, logo você não pode aprender sobre uma rota para a rede
X através de minhas informações.
l Split horizon with poison reverse (Inversão danificada): Nesta técnica, quando um roteador
aprende o caminho para uma determinada rede, anuncia o seu caminho, de volta para esta
rede, com um hope de 16. No exemplo da Figura 8.1, o roteador B, recebe a informação do ro-
teador A, que a rede 1 está a 1 hope de distância. O roteador B anuncia para o roteador A que a
rede 1 está a 16 hope de distância. Com isso, jamais o roteador A vai tentar achar um caminho
para a rede 1, através do roteador B, o que faz sentido, já que o roteador A está diretamente co-
nectado à rede 1.
l Triggered updates (Atualizações instantâneas): Com esta técnica, os roteadores podem anun-
ciar mudanças na métrica de uma rota imediatamente, sem esperar o próximo período de
anúncio. Neste caso, redes que se tornem indisponíveis, podem ser anunciadas imediatamen-
te com um hope de 16, ou seja, indisponível. Esta técnica é utilizada em combinação com a
técnica de inversão danificada, para tentar diminuir o tempo de convergência da rede, em situ-
ações onde houve indisponibilidade de um roteador ou de um link. Esta técnica diminui o
tempo necessário para convergência da rede, porém gera mais tráfego na rede.
UM ESTUDO COMPARATIVO ENTRE RIP V1 E RIP V2

O protocolo RIP v1 apresenta diversos problemas, sendo que os principais são os destacados a seguir:
l O protocolo RIP v1 usa broadcast para fazer anúncios na rede. Com isto, todos os hosts da rede
receberão os pacotes RIP e não somente os hosts habilitados ao RIP. Uma contrapartida do uso
do broadcast pelo protocolo RIP v1, é que isso torna possível o uso dos chamados hosts de RIP
Silencioso (Silent RIP). Um computador, configurado para ser um Silent RIP, processa os anún-
cios do protocolo RIP (ou seja, reconhece os pacotes enviados pelo RIP e é capaz de proces-
sá-los), mas não anuncia suas próprias rotas. Esta funcionalidade pode ser habilitada em um
computador que não esteja configurado como roteador, para produzir uma tabela de rotea-
mento detalhada da rede, a partir das informações obtidas pelo processamento dos pacotes do
RIP. Com estas informações detalhadas, o computador configurado como Salient RIP pode to-
mar melhores decisões de roteamento, para os programas e serviços instalados. Nos exemplos
práticos, você aprenderá a instalar o RIP e a habilitar um servidor como Silent RIP. No exemplo
a seguir, mostro como habilitar uma estação de trabalho com o Windows 2000 Professional
instalado, a tornar-se um Salient RIP.
Exemplo: Para configurar uma estação de trabalho com o Windows 2000 Professional instalado,
como Salient RIP, siga os passos indicados a seguir:


1. Faça o logon como administrador.
2. Abra o Painel de controle: Iniciar -> Configurações -> Painel de controle.
3. Abra a opção Adicionar ou remover programas.
4. No painel da esquerda, clique em Adicionar ou remover componentes do Windows.
5. Clique na opção Serviços de rede para marcá-la (sem selecionar a caixa de seleção ao lado
desta opção, senão todos os serviços de rede serão instalados).
6. Clique no botão Detalhes...
7. Nas opções que são exibidas, marque a opção RIP Listener.
8. Clique em OK. Você estará de volta à janela de componentes do Windows.
9. Clique em Avançar para concluir a instalação.

l A máscara de sub-rede não é anunciada juntamente com as rotas. Isso porque o protocolo RIP
v1 foi projetado em 1988, para trabalhar com redes baseadas nas classes padrão A, B e C, ou
seja, pelo número IP da rota deduzia-as a respectiva classe. Com o uso da Internet e o uso de um
número variável de bits para a máscara de sub-rede (número diferente do número de bits pa-
drão para cada classe, conforme descrito no Capítulo 2), este fato tornou-se um problema sério
do protocolo RIP v1. Com isso, o protocolo RIP v1 utiliza a seguinte lógica, para inferir qual a
máscara de sub-rede associada com determinada rota:
1. Se a identificação de rede coincide com uma das classes padrão A, B ou C, é assumida a más-
cara de sub-rede padrão da respectiva classe.
2. Se a identificação de rede não coincide com uma das classes padrão, duas situações podem
acontecer:
2.1. Se a identificação de rede coincide com a identificação de rede da interface na qual o

anúncio foi recebido, a máscara de sub-rede da interface, na qual o anúncio foi recebi-
do, será assumida.
2.2. Se a identificação de rede não coincide com a identificação de rede da interface na
qual o anúncio foi recebido, o destino será considerado um host (e não uma rede) e a
máscara de sub-rede 255.255.255.255 será assumida.
Esta abordagem gera problemas graves. Por exemplo, quando for utilizado o recurso de su-
pernetting, para juntar várias redes classe C em uma única rede lógica, o RIP v1 irá interpre-
tar como se fossem realmente várias redes lógicas e tentará montar uma tabela de rotea-
mento, como se as redes estivessem separadas fisicamente e ligadas por links de WAN.
l Sem proteção contra roteadores não autorizados. O protocolo RIP v1 não apresenta nenhum
mecanismo de autenticação/proteção para evitar que roteadores não autorizados possam ser
inseridos na rede e passar a anunciar várias rotas falsas. Assim, qualquer usuário poderá insta-
lar um roteador com RIP v1 e adicionar várias rotas falsas, que o RIP v1 se encarregará de repas-
sar estas rotas para os demais roteadores da rede.


O protocolo RIP v2 oferece diversas melhorias em relação ao RIP v1, dentre as quais vamos desta-
car as seguintes:
l Os anúncios do protocolo RIP v2 são baseados em tráfego multicast e não mais broadcast
como no caso do protocolo RIP v1. O protocolo RIP v2 utiliza o endereço de multicast
224.0.0.9. Com isso, os roteadores habilitados ao RIP formam como se fosse (na verdade é) um
grupo multicast, registrado para “escutar” os anúncios do protocolo RIP v2. Outros hosts da
rede, não habilitados ao RIP v2, não serão “importunados” pelos pacotes do RIP v2. Por ques-
tões de compatibilidade (em casos onde parte da rede ainda usa o RIP v1), é possível utilizar
broadcast com roteadores baseados em RIP v2. Mas esta solução somente deve ser adotada du-
rante um período de migração, assim que possível, todos os roteadores devem ser migrados
para o RIP v2.
l Informações sobre a máscara de sub-rede são enviadas nos anúncios do protocolo RIP v2. Com
isso o RIP v2 pode ser utilizado, sem problemas, em redes que utilizam subnetting, supernet-
ting e assim por diante, uma vez que cada rede fica perfeitamente definida pelo número da
rede e pela respectiva máscara de sub-rede.
l Segurança, autenticação e proteção contra a utilização de roteadores não autorizados. Com o

RIP v2 é possível implementar um mecanismo de autenticação, de tal maneira que os roteado-
res somente aceitem os anúncios de roteadores autenticados, isto é, identificados. A autentica-
ção pode ser configurada através da definição de uma senha ou de mecanismos mais sofistica-
dos como o MD5 (Message Digest 5). Por exemplo, com a autenticação por senha, quando um
roteador envia um anúncio, envia juntamente a senha de autenticação. Outros roteadores da
rede, que recebem o anúncio, verificam se a senha está OK e somente depois da verificação, ali-
mentam suas tabelas de roteamento com as informações recebidas.
É importante salientar que tanto redes baseadas no RIP v1 quanto no RIP v2 são redes chamadas
planas (flat). Não é possível formar uma hierarquia de roteamento, baseada no protocolo RIP. Por
isso que o RIP não é utilizado em grandes redes. A tendência natural do RIP é que todos os roteado-
res sejam alimentados com todas as rotas possíveis (isto é um espaço plano, sem hierarquia de ro-
teadores). Imagine como seria utilizar o RIP em uma rede como a Internet, com milhões e milhões
de rotas possíveis, com links caindo e voltando a todo momento? Impossível. Por isso que o uso
do RIP (v1 ou v2) somente é indicado para pequenas redes.
INSTALANDO E CONFIGURANDO O RIP NO WINDOWS 2000 SERVER

Para que você possa instalar o protocolo RIP e utilizar um servidor com o Windows 2000 Server
como roteador, o primeiro passo é habilitar o serviço RRAS. Lembrando o que foi colocado no Ca-
pítulo 6, o serviço RRAS é automaticamente instalado, quando o Windows 2000 Server é instala-
do. Porém, por padrão, o RRAS não é habilitado. O primeiro passo é habilitar o RRAS. Para deta-
lhes sobre como habilitar o serviço RRAS, consulte o Capítulo 6.


Uma vez habilitado o serviço RRAS, o próximo passo é configurar as propriedades do serviço para
que este passe também a exercer as funções de roteamento. Feito isso é hora de instalar e configu-
rar o RIP. Neste item, você aprenderá a executar estas ações, ou seja:
l Configurar o RRAS para habilitar a função de roteamento.

l Instalar o protocolo RIP.
l Habilitar o protocolo RIP em uma ou mais interfaces do servidor.
l Configurar o protocolo RIP.
Para habilitar a função de roteamento, o servidor RRAS já deve ter sido habilitado. Para detalhes so-
bre como habilitar o servidor RRAS, consulte o Capítulo 6.
Exemplo: Habilite a função de roteamento no servidor RRAS, sigundo os passos indicados:
2. Abra o console de administração do RRAS: Iniciar -> Programas -> Ferramentas Administra-
tivas -> Roteamento e Acesso Remoto.
3. Clique com o botão direito do mouse no nome do servidor a ser habilitado para o rotea-
mento e, no menu de opções que é exibido, clique em Propriedades.
4. Será exibida a janela de propriedades do servidor RRAS, com a guia Geral já selecionada,
por padrão. Marque a opção Roteador. Ao marcar esta opção, são habilitadas duas outras
opções para que você opte por uma delas: Somente roteamento de rede local e Roteamento
de discagem por demanda e de rede local. Mais adiante falarei sobre o roteamento usando
discagem por demanda. Marque as opções conforme indicado na Figura 8.2.
5. Clique em OK para aplicar as configurações efetuadas.
Muito bem, agora o roteamento já está habilitado no servidor RRAS. O próximo passo é instalar o
protocolo RIP. Vamos a este passo então.
Exemplo: Instalar o protocolo RIP.
3. Clique no sinal de + ao lado do nome do servidor para exibir as opções disponíveis.
4. Clique no sinal de + ao lado da opção Roteamento IP para exibir as opções disponíveis den-
tro de IP Routing.


Figura 8.2 Habilitando o roteamento no servidor RRAS.
5. Nas opções que são exibidas, clique com o botão direito do mouse em Geral e, no menu de
opções que é exibido, clique em Novo protocolo de roteamento...
Será exibida a janela com a lista de protocolos de roteamento, disponíveis para a instala-
ção, conforme indicado na Figura 8.3.
Figura 8.3 Lista de protocolos de roteamento.


6. Clique em RIP Version 2 para Internet Protocol para selecioná-lo, depois clique em OK.
7. Em poucos instantes, o protocolo RIP é instalado e passa a estar disponível, como mais uma
opção dentro da opção Roteamento IP, conforme ilustrado na Figura 8.4.
Figura 8.4 Protocolo RIP já instalado.
Roteamento habilitado e o RIP instalado. Agora é hora de associar uma ou mais interfaces com o
protocolo RIP. Nesta etapa, você informa a interface que conecta o servidor Windows 2000 Server
à rede sobre a qual você quer que o RIP “aprenda” as rotas.
Para adicionar uma nova interface ao RIP, siga os passos indicados a seguir:
tro de Roteamento IP.
5. Nas opções que são exibidas, clique com o botão direito do mouse em RIP e, no menu de
opções que é exibido, clique em Nova Interface...
6. Será exibida a janela com a lista de interfaces disponíveis para a habilitação do RIP, con-
forme indicado na Figura 8.5. Clique na interface desejada para selecioná-la e depois cli-
que em OK.
7. Será aberta a janela de propriedades do RIP para a interface selecionada. Nesta janela, você
pode configurar uma série de opções do RIP, conforme descreverei logo a seguir. Por pa-
drão, vem selecionada a guia Geral, conforme indicado na Figura 8.6. Nesta janela você de-
fine uma série de opções de configuração do RIP.


Figura 8.5 Lista de interfaces de rede disponíveis.
Figura 8.6 A guia Geral de propriedades do RIP.


l Na lista Modo de operação, você seleciona um dos seguintes modos:
– Modo de atualização auto-estático: Neste modo, os anúncios do RIP somente são envida-
dos quando outros roteadores enviam uma requisição de atualização para este roteador. As
rotas que o roteador aprender, estando neste modo, serão gravadas como rotas estáticas, na
tabela de roteamento. Se o serviço RRAS for parado e iniciado novamente, as rotas marca-
das como estática serão mantidas. Estas rotas somente deixarão de ser utilizadas, quando
forem manualmente excluídas da tabela de roteamento. Este é o modo padrão para interfa-
ces do tipo discagem por demanda.
– Modo de atualização periódica: Este o modo mais comum, ou seja, os anúncios do RIP são
enviados periodicamente, de acordo com o intervalo de tempo configurado na guia Avan-
çado, que será descrita logo a seguir. Neste modo, o roteador “aprende” novas rotas e “in-
forma” novas rotas para os demais roteadores da rede, através dos pacotes de anúncio,
onde cada roteador informa as rotas que “conhece”. Rotas que são “aprendidas” desta ma-
neira são consideradas rotas dinâmicas e quando o servidor RRAS for parado e inicializado
novamente, estas rotas serão descartadas. Ao iniciar novamente o servidor RRAS, o proces-
so de aprendizagem das rotas, baseado em anúncios do RIP, é utilizado novamente. Este é o
modo definido por padrão para interfaces de rede local, habilitadas ao RIP.
l Na lista Protocolo de pacote enviado, você pode selecionar uma das seguintes opções:
– Difusão RIP v1: Os anúncios de RIP versão 1 são enviados como broadcast.
Mais uma vez os meus mais sinceros protestos contra as traduções. Tudo bem, difusão até pode ser
a tradução correta para broadcast. Mas quem dentre os milhares de profissionais de TI que traba-
lham com rede, utiliza o termo difusão? Já broadcast, na hora, formamos a imagem do que é, em
nossa mente. Pena que o pessoal da tradução não leve estes fatos em consideração, apenas tradu-
za literalmente.
– Difusão RIP v2: Os anúncios de RIP versão 2 são enviados usando broadcast. Se você tiver
um ambiente misto com RIP versões 1 e 2, selecione este protocolo. Este é o padrão para in-
terfaces de rede local.
– Difusão seletiva RIP v2: Os anúncios de RIP versão 2 são enviados como difusões seletivas
(eu prefiro o termo original: multicast). Selecione este protocolo somente se todos os rotea-
dores RIP vizinhos que estiverem conectados a esta interface também estiverem utilizando
o RIP versão 2. Um roteador RIP versão 1 não pode processar um anúncio de difusão seleti-
va RIP versão 2.
– RIP silencioso: Desativa os anúncios RIP de saída desta interface. No modo silencioso, o
computador procura por anúncios e atualizações RIP e atualiza sua tabela de roteamento,
mas não anuncia suas próprias rotas. Em outras palavras, esta interface fica só “escutando”
a rede e atualizando sua tabela de roteamento, sem se pronunciar (sem anunciar suas ro-


tas). Esta é a opção a ser selecionada para configurar um roteador como Silent RIP, citado
anteriormente.
l Protocolo de pacote recebido, você pode selecionar uma das seguintes opções:
– Ignorar pacotes de entrada: Ignora anúncios. Se você deseja um roteador que só anuncie
as rotas, selecione esta opção.
– RIP versão 1 e 2: Aceita anúncios dos dois tipos.
– RIP versão 1 somente: Aceita anúncios somente de RIP versão 1.
– RIP versão 2 somente: Aceita anúncios somente de RIP versão 2.
l Custo adicionado para roteamentos: Fornece um espaço para você digitar o custo asso-
ciado com o envio de pacotes através desta interface. Você também pode clicar nas setas
para selecionar uma nova configuração. Quando as rotas são adicionadas à tabela de ro-
teamento, este número é adicionado à contagem de hopes como anunciado na mensa-
gem RIP. Por padrão, este valor é 1 para indicar o salto adicional como criado pelo rotea-
dor de recebimento. Se você deseja associar um alto custo à rota, defina um alto custo
(por exemplo, se você tiver uma rota com muito tráfego, que você não deseje utilizar,
exceto no caso de todas as outras rotas não estarem disponíveis ou se você tem um link
de WAN de baixa velocidade, que deseja usar como contingência, somente no caso de
queda do link principal). É importante lembrar que o custo máximo, isto é, o número
máximo de hopes não pode ser maior do que 15.
l Marca para roteamentos anunciados: Fornece um espaço para você digitar um número
de identificação para as rotas anunciadas nesta interface. Você deve usar esta opção se
desejar que todos os pacotes enviados através desta interface incluam uma marca em
anúncios de RIP versão 2.
l Ativar autenticação: Especifica se você deseja ativar a autenticação usando uma senha
de texto simples, não criptografada, para anúncios de RIP versão 2 através desta interfa-
ce. Todos os pacotes de entrada e saída de RIP versão 2 devem conter a mesma senha de
texto simples. Portanto, você deve ativar esta opção e configurar a mesma senha para
todos os roteadores que estão conectados a esta interface. Essa opção é uma forma de au-
tenticação. Não é uma opção de segurança. Eu diria que é um mecanismo primário de
segurança, uma vez que evita que as rotas anunciadas por um roteador “clandestino”,
que não tem a mesma senha, sejam adicionadas às tabelas de roteamento dos demais ro-
teadores. Mas como a senha é enviada sem criptografia, um usuário sofisticado, facil-
mente, pode usar um capturador de pacotes para analisar os pacotes RIP e descobrir a se-
nha. Depois, pode configurar um roteador clandestino com esta senha, a anunciar um
“monte” de rotas falsas, o que causará uma bela “bagunça” na rede.
8. Defina as configurações desejadas e dê um clique na guia Segurança. Serão exibidas as op-



Figura 8.7 A guia com opções de segurança da janela de propriedades do RIP.
Nesta guia, você define as ações que serão executadas para as rotas de entrada e para rotas de
saída. Por exemplo, você pode optar por aceitar todas as rotas, ou por aceitar apenas rotas em
uma determinada faixa de endereços (lista branca, as rotas que estão na faixa são aceitas, to-
das as demais são bloqueadas) ou ainda bloquear apenas as rotas em uma determinada faixa
de endereços (lista negra, as rotas que estão na faixa são bloqueadas, todas as demais são acei-
tas). Você pode definir a segurança de acordo com o modo como você aceita rotas (rotas de
entrada) e como anuncia rotas (rotas de saída). Todas as opções desta guia são específicas
para a opção de segurança que você selecionou na lista Ação. Para definir a segurança para ro-
tas de entrada, selecione a opção Para rotas de entrada, na lista Ação e configure as opções de
segurança. Em seguida, para definir a segurança para anunciar as rotas, clique em Para rotas
de saída e reconfigure as opções de segurança, usando as opções indicadas a seguir:
l Aceitar todas as rotas:
– Para rotas de entrada: Especifica que o roteador examina cada entrada de rota em um
anúncio RIP de entrada para determinar se deve atualizar sua tabela de roteamento.
– Para rotas de saída: Especifica que o roteador inclui todas as entradas de roteamento apro-
priadas em anúncios RIP de saída.
l Aceitar todas as rotas nos intervalos listados:
anúncio RIP de entrada e processa a rota somente se a mesma estiver entre um dos inter-


valos listados. Para inserir um novo intervalo basta digitar o endereço, inicial do inter-
valo, no campo De e o endereço final da faixa no campo Para. Após digitar os endereços
clique em Adicionar. Para alterar uma faixa, clique na faixa a ser alterada, e em seguida,
no botão Editar. Para excluir uma faixa, clique na faixa a ser excluída e, em seguida, em
Remover.
– Para rotas de saída: Especifica que o roteador inclui uma rota no anúncio RIP de saída so-
mente se esta estiver em um dos intervalos listados.
l Ignorar todas as rotas nos intervalos listados:
anúncio RIP de entrada e descarta a rota se esta estiver entre um dos intervalos listados.
– Para rotas de saída: Especifica que o roteador exclui uma rota no anúncio RIP de saída se
esta estiver em um dos intervalos listados.
9. Defina as configurações desejadas e dê um clique na guia Vizinhos. Serão exibidas as op-

Figura 8.8 A guia Vizinhos da janela de propriedades do RIP.
Nesta guia, você define como será a interação deste roteador com os roteadores RIP vizi-
nhos. Você deve informar o número IP dos roteadores considerados roteadores vizinhos.
Se será feito um anúncio ponto-a-ponto ou utilizando o protocolo definido na guia geral
(broadcast ou multicast). Estão disponíveis as seguintes opções:


l Usar difusão ou difusão seletiva somente: Especifica que todos os anúncios RIP são en-
viados usando o protocolo do pacote de saída especificado na guia Geral, descrita an-
teriormente.
Lembre que difusão é uma “maravilhosa” tradução para broadcast e difusão seletiva é uma “ainda
mais maravilhosa” tradução para multicast.
l Usar vizinhos juntamente com a difusão ou com a difusão seletiva: Especifica que os
anúncios RIP são difundidos ponto a ponto para roteadores vizinhos especificados na
lista de endereços IP desta guia, além de usar o protocolo de pacote de saída especificado
na guia Geral. Ao marcar esta opção, será habilitado o campo IP address (Endereço IP),
para que você informe o endereço IP de um ou mais roteadores vizinhos. Digite o ende-
reço IP e clique em Add (Adicionar) para incluir um endereço na lista.
l Usar vizinhos no lugar da difusão ou da difusão seletiva: Especifica que os anúncios RIP
são difundidos ponto a ponto somente para os roteadores vizinhos especificados nesta
guia. Os anúncios RIP não são enviados usando o protocolo de pacotes de saída especifi-
cado na guia Geral. Se você possui redes que não são de difusão, como redes Frame Re-
lay, e deseja ativar RIP entre roteadores específicos, deve selecionar esta opção.
Figura 8.9 A guia de opções avançadas da janela de propriedades do RIP.


10. Defina as configurações desejadas e dê um clique na guia Avançado. Serão exibidas as op-
Nesta guia, estão disponíveis diversas opções de configuração do protocolo RIP, conforme
descrito a seguir:
l Intervalo de anúncio periódico (segundos): Digite o número de segundos entre anún-
cios RIP periódicos. Você também pode clicar nas setas para selecionar uma nova confi-
guração. O valor padrão é 30 segundos. Você pode configurar este valor desde 15 segun-
dos até 86.400 segundos (24 horas). Esta opção só será válida se você tiver selecionado
Modo de atualização periódica como o Modo de operação na guia Geral, conforme des-
crito anteriormente.
l Hora (é um erro de tradução, o correto seria Tempo) antes das rotas expirarem (segun-
dos): Digite o tempo de duração (em segundos) de uma rota que é conhecida através de
RIP. Você também pode clicar nas setas para selecionar uma nova configuração. O valor
padrão é 180 segundos. Você pode configurar este valor desde 15 segundos até
259.200 segundos (72 horas). Se uma rota não for atualizada com outro anúncio RIP
dentro do tempo definido deste campo, expira e é marcada como uma rota inválida.
Esta opção só será válida se você tiver selecionado Modo de atualização periódica como
o Modo de operação na guia Geral, conforme descrito anteriormente.
l Hora (mesmo comentário do item anterior em relação a tradução) antes da rota ser re-
movida (segundos): Digite o tempo (em segundos) após o qual uma rota registrada com
RIP e, que tenha expirado, seja removida da tabela de roteamento. Você também pode
clicar nas setas para selecionar uma nova configuração. O valor padrão é 120 segundos.
Você pode configurar este valor desde 15 segundos até 259.200 segundos (72 horas).
Esta opção só será válida se você tiver selecionado Modo de atualização periódica como
o Modo de operação na guia Geral, conforme descrito anteriormente.
l Ativar o processamento de omissão de rotas: Esta opção define se as rotas conhecidas
em uma rede não serão anunciadas em anúncios RIP enviados para aquela rede. Se esta
caixa de seleção não estiver selecionada, as rotas conhecidas em uma rede não serão
anunciadas na mesma rede. Por padrão, o mecanismo split horizon está ativado. Este é o
mecanismo descrito anteriormente, o qual é utilizado para evitar o problema do
count-to-infinity.
l Enable poison-reverse processing (Ativar o processamento de inviabilização de rotas):
Especifica se as rotas conhecidas de uma rede são anunciadas com uma métrica de 16
(inalcançável) em anúncios RIP enviados nesta rede. Por padrão, a inviabilização de ro-
tas está ativada. A opção de inviabilização de rotas está disponível somente após o me-
canismo split horizon ser ativado. Este mecanismo foi descrito anteriormente.
l Enable triggered updates (Ativar acionamento de atualizações): Especifica se novas rotas e
alterações da métrica disparam uma atualização imediata que inclui somente as altera-
ções. Isto é chamado de atualizações acionadas. O tempo máximo entre as atualizações
disparadas dependem do valor de número mínimo de segundos entre as atualizações acio-
nadas, que você define na guia Geral da caixa de diálogo RIP, descrita anteriormente.


l Send clean-up updates when stoping (Enviar atualizações de limpeza ao parar): Especifi-
ca que se o RIP estiver sendo parado nesta interface, envia um anúncio com todas as ro-
tas marcadas com uma métrica de 15, ou seja, inalcançável, não disponível. Isso faz com
que outros roteadores atualizem imediatamente suas tabelas de roteamento para indi-
carem que as rotas disponíveis através do roteador que está parando não podem mais
ser alcançadas. Se esta caixa de seleção estiver selecionada, quando o roteador parar,
este anunciará que todas as rotas que disponibiliza se tornaram inalcançáveis em todas
as suas interfaces. Por padrão, essa caixa de seleção fica ativada.
l Processar roteamentos de hosts em anúncios recebidos: Especifica se rotas de hosts nos
anúncios recebidos são aceitas. Por padrão, estas são ignoradas, ou seja, por padrão, esta
opção está desmarcada.
l Incluir roteamento de hosts em anúncios enviados: Especifica se rotas de hosts são in-
cluídas nos anúncios RIP. Por padrão, não estão incluídas, ou seja, por padrão, esta op-
ção está desmarcada.
l Processar roteamentos padrão em anúncios recebidos: Especifica se rotas padrão nos
anúncios RIP recebidos são aceitas. Por padrão, são ignoradas, ou seja, por padrão, esta
opção está desmarcada.
l Incluir roteamentos padrão em anúncios enviados: Especifica se rotas padrão são incluí-
das nos anúncios RIP. Por padrão, não estão incluídas, ou seja, por padrão esta opção
está desmarcada.
l Desativar sumário da sub-rede: Especifica que as rotas de sub-rede não são resumidas no
formato de identificação de rede com base na classe quando são anunciadas em uma
rede que não seja uma sub-rede da identificação de rede com base na classe. Por padrão,
o resumo da sub-rede é desativado. Esta opção só está disponível se o protocolo de paco-
te enviado na guia Geral é definido para RIP versão 2 (difusão) ou IP versão 2 (difusão se-
letiva), conforme descrito anteriormente.
Pronto, o protocolo RIP foi instalado, habilitado em uma determinada interface e configu-
rado. É importante salientar que cada interface tem o seu próprio conjunto de configura-
ções. Por exemplo, você pode colocar uma interface no modo Modo de atualização au-
to-estático e uma segunda interface no modo Modo de atualização periódico, ou seja, cada
interface é configurada separadamente.
No próximo tópico, você aprenderá sobre o protocolo OSPF.
OPEN SHORTEST PATH FIRST – OSPF

Neste tópico, você aprenderá sobre o OSPF, suas vantagens em relação ao RIP, seu uso para rotea-
mento em grandes redes, sobre os conceitos de sistemas autônomos, adjacências e assim por dian-
te. Também aprenderá a instalar e a configurar o OSPF.


UMA INTRODUÇÃO AO OSPF

O protocolo OSPF – Open Shortest Path First (OSPF, abrir primeiro caminho mais curto – é a alter-
nativa para redes de grande porte, onde o protocolo RIP não pode ser utilizado, devido a suas ca-
racterísticas e limitações, conforme descrito anteriormente. O OSPF permite a divisão de uma
rede em áreas e torna possível o roteamento dentro de cada área e através das áreas, usando os cha-
mados roteadores de borda. Com isso, usando o OSPF, é possível criar redes hierárquicas de gran-
de porte, sem que seja necessário que cada roteador tenha uma tabela de roteamento gigantesca,
com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF é projetado para in-
tercambiar informações de roteamento em uma interconexão de rede de tamanho grande ou
muito grande, como por exemplo a Internet.
A maior vantagem do OSPF é que este é eficiente em vários pontos: requer pouquíssima sobrecar-
ga de rede mesmo em interconexões de redes muito grandes, pois os roteadores que usam OSPF
trocam informações somente sobre as rotas que sofreram alterações e não toda a tabela de rotea-
mento, como é feito com o uso do RIP. Sua maior desvantagem é a complexidade: requer planeja-
mento adequado e é mais difícil de configurar e administrar.
O OSPF usa um algoritmo Shortest Path First (SPF, primeiro caminho mais curto) para calcular as
rotas na tabela de roteamento. O algoritmo SPF calcula o caminho mais curto (menor custo) entre
o roteador e todas as redes da interconexão de redes. As rotas calculadas pelo SPF são sempre livres
de loops (laços). O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de
ligação). Lembre que o RIP usava um algoritmo baseado em distância vetorial. O OSPF aprende as
rotas dinamicamente, através de interação com os roteadores denominados como seus vizinhos.
Em vez de intercambiar as entradas de tabela de roteamento como os roteadores RIP (Router

Information Protocol, protocolo de informações do roteador), os roteadores OSPF mantêm um
mapa da interconexão de redes que é atualizado após qualquer alteração feita na topologia da
rede (é importante salientar novamente que somente informações sobre as mudanças são troca-
das entre os roteadores usando OSPF e não toda a tabela de roteamento, como acontece com o uso
do RIP). Esse mapa, denominado banco de dados do estado de vínculo ou estado de ligação, é sin-
cronizado entre todos os roteadores OSPF e é usado para calcular as rotas na tabela de roteamento.
Os roteadores OSPF vizinhos (neighboring) formam uma adjacência, que é um relacionamento
lógico entre roteadores para sincronizar o banco de dados com os estados de vínculo.
As alterações feitas na topologia de interconexão de redes são eficientemente distribuídas por

toda a rede para garantir que o banco de dados do estado de vínculo em cada roteador esteja sin-
cronizado e preciso o tempo todo. Ao receber as alterações feitas no banco de dados do estado de
vínculo, a tabela de roteamento é recalculada.
À medida em que o tamanho do banco de dados do estado de vínculo aumenta, os requisitos de

memória e o tempo de cálculo do roteamento também aumentam. Para resolver esse problema de
escala, o OSPF divide a interconexão de redes em áreas (conjuntos de redes contíguas) que são co-


nectadas umas às outras através de uma área de backbone. Cada roteador mantém um banco de
dados do estado de vínculo apenas para aquelas áreas as quais estão conectados. Os ABRs (Area
Border Routers, roteadores de borda de área) conectam a área de backbone a outras áreas.
Esta divisão em áreas e a conexão das áreas através de uma rede de backbone é ilustrada na Figura
8.10, obtida na Ajuda do Windows.
Roteadores de
borda de área
Área de
backbone
Área 2 Área 1
Figura 8.10 Divisão em áreas e conexão através de um backbone.
Cada anúncio de um roteador OSPF contém informações apenas sobre os estados de ligação dos
roteadores vizinhos. Com isso, a quantidade de informação transmitida na rede, pelo protocolo
OSPF, é bem menor do que a quantidade de informação transmitida quando é usado o RIP. Outra
vantagem é que os roteadores OSPF param de enviar anúncios, quando a rede atinge um estado de
convergência, ou seja, quando não existem mais alterações a serem anunciadas. O RIP, ao contrá-
rio, continua enviando anúncios periodicamente, mesmo que nenhuma alteração tenha sido fei-
ta na topologia da rede (tal como um link ou roteador que tenha falhado).
Na Internet, existe a divisão nos chamados Sistemas Autônomos. Um sistema autônomo, por exem-
plo, pode representar a rede de um grande provedor. Neste caso, o próprio sistema autônomo pode
ser dividido em uma ou mais áreas usando OSPF e estas áreas são conectadas por um backbone
central. O roteamento dentro de cada sistema autônomo é feito usando os chamados protocolos de
roteamento interno (IGP – Interior Gateway Protocol). O OSPF é um protocolo IGP, ou seja, para ro-
teamento dentro dos sistemas autônomos. O roteamento entre os diversos sistemas autônomos é fei-
to por protocolos de roteamento externos (EGP – Exterior Gateway Protocol) e pelos chamados pro-
tocolos de roteamento de borda (BGP – Border Gateway Protocol).


Pode ocorrer situações em que uma nova área que é conectada a rede, não pode ter acesso físico di-
reto ao backbone OSPF. Nestas situações, a conexão da nova área com o backbone OSPF é feita
através da criação de um link virtual (virtual link). O link virtual fornece um caminho “lógico” entre a
área fisicamente separada do backbone e o backbone OSPF. Criar o link virtual significa criar uma
rota entre a área que não está fisicamente conectada ao backbone e o backbone, mesmo que este
link passe por dois ou mais roteadores OSPF, até chegar ao backbone. Você aprenderá a criar links
virtuais do OSPF na parte prática, mais adiante.
O OSPF tem as seguintes vantagens sobre o RIP:
l As rotas calculadas pelo algoritmo SPF são sempre livres de loops.

l O OSPF pode ser dimensionado para interconexões de redes grandes ou muito grandes.
l A reconfiguração para as alterações da topologia de rede é muito rápida, ou seja, o tempo de
convergência da rede, após alterações na topologia é muito menor do que o tempo de conver-
gência do protocolo RIP.
l O tráfego de informações do protocolo OSPF é muito menor do que o do protocolo RIP.
l O OSPF permite a utilização de diferentes mecanismos de autenticação entre os roteadores que
utilizam OSPF.
l O OSPF envia informações somente quando houver alterações na rede e não periodicamente.
A implementação OSPF do roteador do Windows 2000 Server e no Windows Server 2003 tem os
seguintes recursos:
l Filtros de roteamento para controlar a interação com outros protocolos de roteamento.

l Reconfiguração dinâmica de todas as configurações OSPF.
l Coexistência com o RIP.
l Adição e exclusão dinâmica de interfaces.
O Windows 2000 Server não oferece suporte ao uso do OSPF em uma configuração de discagem
por demanda (demand-dial) que usa vínculos dial-up temporários.
Se você está usando vários protocolos de roteamento IP, configure apenas um único protocolo de ro-
teamento por interface.
Antes de partirmos para a parte prática de instalação e configuração do OSPF, vou apresentar mais
alguns detalhes sobre a operação do protocolo OSPF.


OPERAÇÃO DO PROTOCOLO OSPF

O protocolo OSPF é baseado em um algoritmo conhecido com SPF – Short Path First. Depois que um
roteador (ou um servidor com o Windows 2000 Server configurado como roteador e usando o OSPF)
é inicializado e é feita a verificação de que as interfaces de rede estão OK, é utilizado o protocolo OSPF
Hello para identificar quem são os “vizinhos” do roteador. O roteador envia pacotes no formato do
protocolo Hello para os seus vizinhos e recebe os pacotes Hello enviados pelos seus vizinhos.
Conforme descrito anteriormente, uma rede baseada em OSPF é dividia em áreas e as diversas
áreas são conectadas através de um backbone comum a todas as áreas. O algoritmo SPF é baseado
na sincronização do banco de dados de estados de ligação entre os roteadores OSPF. Porém, ao in-
vés de cada roteador fazer a sincronização com todos os demais roteadores OSPF da sua área, cada
roteador faz a sincronização apenas com seus vizinhos (neghboring routers). A relação entre rote-
adores OSPF vizinhos, com o objetivo de sincronizar suas bases de dados é conhecida como “Adja-
cência”. O termo mais comum é “formar uma adjacência”.
Porém, mesmo com o uso de adjacências, em uma rede com vários roteadores dentro da mesma
área, um grande número de adjacências poderá ser formado, o que implicaria em um grande volu-
me de troca de informações de roteamento. Por exemplo, imagine uma rede com seis roteadores
OSPF dentro da mesma área. Neste caso, cada roteador poderia formar uma adjacência com os ou-
tros cinco roteadores da área, o que resultaria em um total de 15 adjacências. O número de adja-
cências é calculado usando a seguinte fórmula, onde n representa o número de roteadores:
Número de adjacências = n*(n-1)/2
Com um grande número de adjacências, o tráfego gerado pela sincronização do OSPF seria muito
elevado. Para resolver esta questão é utilizado o conceito de Designated Router (Roteador desig-
nado). Um roteador designado é um roteador que será considerado vizinho de todos os demais ro-
teadores da rede. Com isso, é formada uma adjacência entre cada roteador da rede e o roteador de-
signado. No nosso exemplo, da rede com seis roteadores OSPF, dentro da mesma área, seriam
formadas apenas cinco adjacências. Uma entre cada um dos cinco roteadores, diretamente com o
sexto roteador, o qual foi feito o roteador designado. Neste caso, cada roteador da rede troca infor-
mações com o roteador designado. Como o roteador designado recebe informações de todos os
roteadores da área, fica com uma base completa e repassa esta base para cada um dos roteadores da
mesma área. Observe que, com o uso de um roteador designado, obtem-se uma sincronização da
base completa dos roteadores e com o uso de um número bem menor de adjacências, o que reduz
consideravelmente o tráfego de pacotes do OSPF.
Por questões de contingência, também é criado um Designated Backup Router (Roteador designa-
do de backup), o qual assumirá o papel de roteador designado, no caso de falha do roteador desig-
nado principal. A eleição, de qual será o roteador designado, é feita automaticamente pelo OSPF,
mediante uma troca de pacotes Hello, de acordo com as regras contidas no protocolo, um dos ro-
teadores será eleito como roteador designado e um segundo como roteador designado backup.


INSTALANDO E CONFIGURANDO O OSPF NO WINDOWS 2000 SERVER

Para que você possa instalar o protocolo OSPF e utilizar um servidor com o Windows 2000 Server
como roteador, o primeiro passo é habilitar o serviço RRAS. Lembrando o que foi colocado no Ca-
pítulo 6, o serviço RRAS é automaticamente instalado quando o Windows 2000 Server é instala-
do. Porém, por padrão, o RRAS não é habilitado. O primeiro passo é habilitar o RRAS. Para deta-
lhes sobre como habilitar o serviço RRAS, consulte o Capítulo 6.
Uma vez habilitado o serviço RRAS, o próximo passo é configurar as propriedades do serviço, para
que este passe também a exercer as funções de roteamento. Este passo foi feito no exemplo prático
de configuração do RIP, anteriormente neste capítulo. Feito isso é hora de instalar e configurar o
OSPF. Neste item você aprenderá a executar estas ações, ou seja:
l Instalar o protocolo OSPF.

l Habilitar o protocolo OSPF em uma ou mais interfaces do servidor.
l Configurar o protocolo OSPF.
l Outras configurações relacionadas ao OSPF.
Para instalar o protocolo OSPF, siga os passos indicados a seguir:
tro de Roteamento IP.
5. Nas opções que são exibidas, clique com o botão direito do mouse em Geral e, no menu de
opções que é exibido, clique em Novo protocolo de roteamento...
6. Será exibida a janela com a lista de protocolos de roteamento, disponíveis para a insta-
lação, conforme indicado na Figura 8.11. Clique em Open Short Path First (OSPF) para se-
lecioná-lo e depois clique em OK.
Em poucos instantes, o protocolo OSPF é instalado e passa a estar disponível, como mais
uma opção dentro da opção Roteamento IP, conforme ilustrado na Figura 8.12.
Roteamento habilitado e o OSPF instalado. Agora é hora de associar uma ou mais interfaces com o
protocolo OSPF. Nesta etapa, você informa a interface que conecta o servidor Windows 2000 Ser-
ver à rede sobre a qual você quer que o OSPF seja utilizado para “aprender” as rotas.


Figura 8.11 Protocolos disponíveis para a instalação.
Figura 8.12 Protocolo OSPF já instalado.
Exemplo: Vamos adicionar uma nova interface ao OSPF.
tro de IP Routing.


5. Nas opções que são exibidas, clique com o botão direito do mouse em OSPF e, no menu de
opções que é exibido, clique em Nova Interface...
6. Será exibida a janela com a lista de interfaces disponíveis para a habilitação do OSPF, con-
forme indicado na Figura 8.13. Clique na interface desejada para selecioná-la e depois cli-
que em OK.
Figura 8.13 Lista de interfaces de rede disponíveis.
Será aberta a janela de propriedades do OSPF para a interface selecionada. Nesta janela,
você pode configurar uma série de opções do OSPF, conforme descreverei logo a seguir.
Por padrão vem selecionada a guia Geral, conforme indicado na Figura 8.14.

l Ativar OSPF para este endereço: Esta opção é utilizada para ativar/desativar o OSPF para
um determinado endereço IP da interface que está sendo configurada. É importante
lembrar que uma mesma interface de rede pode ter vários endereços IP associados.
l Identificação da área: Nesta lista, você informa a qual área pertence o roteador OSPF.
Lembrando que cada roteador OSPF somente pode pertencer a uma única área. Se você
tiver mais de um endereço IP configurado na interface, poderá selecionar áreas diferen-
tes para os diferentes endereços IP.
l Prioridade do roteador: Fornece um espaço para você digitar a prioridade do roteador
OSPF para esta interface. Você também pode clicar nas setas para selecionar uma nova
configuração. Números maiores indicam uma prioridade maior. Quando dois roteadores
que estão conectados a uma rede tentam se tornar o roteador designado (designated rou-


Figura 8.14 A guia Geral de propriedades do OSPF.
ter), o roteador que tiver a configuração com prioridade maior terá precedência. Se ainda
houver um conflito, o roteador com o maior valor de identificação de roteador terá prece-
dência. Se a interface tiver um valor de prioridade de 0, não pode se tornar o roteador de-
signado. A configuração de prioridade é ignorada para vínculos ponto-a-ponto.
l Custo: Fornece um espaço para você digitar o custo do envio de um pacote através desta
interface. Você também pode clicar nas setas para selecionar uma nova configuração. O
custo indica a classificação e é determinado pelo administrador da rede. O termo métrica
é usado com freqüência como sinônimo de custo. O valor definido aqui é anunciado
como o custo do vínculo para esta interface no anúncio do estado do vínculo do roteador.
Quanto menor for o custo, maior será a freqüência com que a interface é usada. As interfa-
ces mais rápidas geralmente apresentam custos menores. A configuração padrão é 2.
l Senha: Se as senhas estiverem ativadas para a área (a configuração padrão), fornece um
espaço para você digitar a senha usada para esta interface, usando qualquer combina-
ção de números ou letras em maiúsculas ou minúsculas:
– Todas as interfaces da mesma área que estão na mesma rede devem usar senhas idênticas.
– As interfaces da mesma área que estão em redes diferentes podem ter senhas diferentes.
Por padrão, as senhas são ativadas e a senha é 12345678. As senhas são transmitidas em
texto simples, assim essa opção é para identificação e não para segurança. Se esta opção es-
tiver desabilitada, é preciso que você ative as senha para a área.


l Tipo de rede: Neste grupo, você pode marcar uma das seguintes opções:
– Broadcast (Difusão): Especifica que esta interface é uma interface de broadcast. O

OSPF funciona como uma rede de difusão de acesso múltiplo; isto é, vários roteadores
podem estar conectados à rede. As redes de difusão podem endereçar um único pacote
para todos os roteadores instalados. Os tipos de rede de difusão são: Ethernet, Token
Ring e FDDI.
– Point-to-point (Ponto a ponto): Especifica que esta interface é uma interface OSPF
ponto-a-ponto. Uma configuração ponto-a-ponto é uma conexão entre um único par
de roteadores. São exemplos de tipos de rede ponto-a-ponto: T1/E1, T3/E3, ISDN (Inte-
grated Services Digital Network, rede digital de serviços integrados) e outros tipos de
vínculos dial-up.
– Non-broadcast multiple access (NBMA): Especifica que esta interface é uma interface
OSPF Non-Broadcast Multiple Access (NBMA, acesso múltiplo sem difusão). São exem-
plos de tipos de rede NBMA: X.25, retransmissão de quadros e Asynchronous Transfer
Mode (ATM, modo de transferência assíncrona). Se você especificar este tipo de interfa-
ce, poderá configurar roteadores vizinhos usando a guia Vizinhos NBMA.
7. Defina as configurações desejadas e clique na guia Vizinhos NBMA. Esta guia é utilizada so-
mente se você selecionou a opção Non-broadcast multiple access (NBMA) como tipo de rede,
na guia Geral. Nesta guia, você pode adicionar um ou mais vizinhos NBMA, informando o en-
dereço IP destes roteadores. Quando o tipo de rede não for Non-broadcast multiple access
(NBMA), as opções desta guia estarão desabilitadas, conforme indicado na Figura 8.15.
Figura 8.15 Configurando vizinhos NBMA.


8. Clique na guia Avançado. Nesta guia, estão disponíveis diversas configurações do protoco-
lo OSPF, conforme indicado na Figura 8.16.
Figura 8.16 Configurações avançadas do protocolo OSPF.

l Atraso de tráfego (segundos): Fornece um espaço para você digitar o número de segun-
dos estimado para que um pacote de atualização de estado de vínculo seja transmitido
pela interface. Você também pode clicar nas setas para selecionar uma nova configura-
ção. Esse valor deve prever os atrasos de transmissão e propagação da interface e de mí-
dia de rede. A configuração padrão é de 1 segundo.
l Intervalo de retransmissão (segundos): Fornece um espaço para você digitar o número de
segundos entre retransmissões de anúncio de estado de vínculo para adjacências que per-
tencem a esta interface. Você também pode clicar nas setas para selecionar uma nova
configuração. Esse valor deve exceder o tempo de resposta entre dois roteadores na rede
conectada. Entretanto, se esse valor não for conservador, resultará em retransmissões des-
necessárias. Este valor deve ser aumentado quando dois roteadores são conectados por li-
nhas seriais lentas. Um valor de amostra para uma rede local é de 5 segundos.
l Hello interval (seconds) (me nego a escrever a tradução oficial, aliás o amigo leitor tem o di-
reito de saber, intervalo de saudação; tirem suas próprias conclusões): Fornece um espaço
para você digitar o intervalo em segundos entre transmissões de pacotes Hello pelo rotea-
dor, na interface. Você também pode clicar nas setas para selecionar uma nova configura-
ção. Essa configuração deve ser a mesma para todos os roteadores que estiverem conecta-


dos a uma rede comum. Quanto menor for o intervalo de envio dos pacotes Hello, mais
rápido serão detectadas as alterações topológicas. No entanto, um intervalo menor resulta
também em mais tráfego OSPF. Um valor de amostra para uma rede X.25 é de 30 segundos.
Um valor de amostra para uma rede local é de 10 segundos.
l Intervalo de inatividade (segundos): Fornece um espaço para você digitar o número de
segundos antes que um roteador vizinho considere que este roteador está inativo. Você
também pode clicar nas setas para selecionar uma nova configuração. O roteador está
determinado a continuar inativo se um roteador vizinho não receber um pacote de sau-
dação enviado por este roteador dentro do intervalo especificado. Por exemplo, se a sua
configuração de intervalo de saudação for de 15 segundos e o intervalo de inatividade
for de 60 segundos, após enviar quatro pacotes de saudação sem receber qualquer con-
firmação ou resposta, os roteadores vizinhos declaram que este roteador está inativo.
Esta configuração deve ser um múltiplo inteiro do intervalo de envio de pacotes hello
(geralmente 4). Este valor deve ser o mesmo para todas as interfaces de roteadores OSPF
conectados a um segmento de rede comum.
l Intervalo de chamada seletiva (segundos): Fornece um espaço para você digitar o núme-
ro de segundos entre controles de rede OSPF, somente para interfaces Non-broadcast
Multiple Access (NBMA). Você também pode clicar nas setas para selecionar uma nova
configuração. Se um roteador vizinho estiver inativo (pacotes hello não foram enviados
para o número de segundos determinado pela configuração do intervalo de inativida-
de), ainda será preciso enviar pacotes hello para o vizinho inativo a fim de determinar se
a conexão foi restaurada. Isso é chamado de intervalo de chamada seletiva. Você deve
definir que o intervalo de chamada seletiva seja, no mínimo, duas vezes maior do que o
intervalo inativo. Um valor de exemplo para uma rede X.25 é de 2 minutos.
l Tam (bytes) da unidade máx. de transmissão (MTU): Fornece um espaço para você digi-
tar o tamanho máximo em bytes de pacotes IP que carregam informações OSPF. Você
também pode clicar nas setas para selecionar uma nova configuração. O tamanho da
Maximum Transmission Unit (MTU) é o tamanho máximo de um datagrama IP que
pode ser enviado sem fragmentação. O valor padrão de 1.500 bytes é o MTU de IP pa-
drão para uma rede Ethernet. O tamanho máximo do pacote em uma rede em anel
FDDI (Fiber Distributed Data Interface) de 100 MB é de 4.352 bytes.
9. Defina as configurações desejadas e clique em OK. Pronto, a nova interface foi adicionada
ao protocolo OSPF e devidamente configurada. A interface já deve ser exibida no painel do
lado direito, quando você seleciona OSPF no lado esquerdo.
Para eliminar uma interface OSPF, basta clicar com o botão do mouse na interface e, no menu de op-
ções que é exibido, clicar em Excluir. Para abrir novamente a janela de propriedades da interface e
fazer alterações, clique com o botão direito do mouse na interface a ser configurada e, no menu de
opções que é exibido, clique em Properties (Propriedades).


A seguir, mostrarei como fazer mais algumas configurações do protocolo OSPF.
Exemplo: Vamos criar novas áreas no OSPF.
Para detalhes sobre o conceito de áreas e interligação de áreas usando um backbone OSPF, veja a
parte teórica sobre OSPF, no início deste tópico.
tro de IP Routing.
opções que é exibido, clique em Propriedades.
6. Será exibida a janela a janela de propriedades do protocolo OSPF. Para criar uma nova área,
clique na guia Áreas, e depois em Adicionar. Será exibida a janela para configuração de uma
nova área, conforme indicado na Figura 8.17.
Figura 8.17 Configurando uma nova área.


Nesta janela, você deve informar a identificação da nova área e definir se será ou não uma
área do tipo Stub Area (me nego a transcrever a tradução oficial, ou melhor, traduzo: área
de fragmento de código). Uma Stub Area especifica se esta área está configurada como uma
área de fragmento de código. As informações sobre rotas externas não são enviadas para os
roteadores de dentro de uma stub area e nem podem ser repassadas por roteadores de uma
stub area. O roteamento para destinos externos é baseado na definição de uma rota padrão,
normalmente a rota para um roteador de borda, que conectar a stub area com outras áreas.
Tal ação reduz a sobrecarga para roteadores de área internos. Você não pode configurar o
backbone como uma área do tipo stub area e também não é possível criar links virtuais atra-
vés de uma stub area. A opção Importar anúncios de resumo é utilizada para especificar se
as rotas das área interna do sistema autônomo OSPF são importadas para a área do tipo stub
area. Por padrão, esta caixa de seleção está desativada. Portanto, todos os destinos de área
que não sejam internos estão roteados com base em uma rota única padrão.
8. Você estará de volta a guia Áreas, da janela de propriedades do OSPF, com a nova área já
sendo exibida na listagem de áreas disponíveis. Clique em OK para fechar a janela de pro-
priedades do OSPF e para aplicar as alterações efetuadas.
Exemplo: Para configurar um link virtual, siga os passos indicados a seguir:
Para detalhes sobre links virtuais, veja a parte teórica sobre OSPF, no início deste tópico.
tro de IP Routing.
6. Será exibida a janela de propriedades do protocolo OSPF. Para criar um link virtual, clique
na guia Interfaces virtuais.
7. Para criar uma nova interface virtual, clique em Adicionar... Será exibida a janela na qual
você deve selecionar a área de transição e os demais parâmetros de comunicação para a in-
terface virtual que está sendo criada, conforme indicado na Figura 8.18.
7. Defina as opções desejadas e clique em OK. Você estará de volta à guia Interfaces virtuais,
com a nova interface virtual já crida.
8. Clique em OK para fechar a janela de propriedades do OSPF.


Figura 8.18 A guia para criação de interfaces virtuais no OSPF.
No próximo exemplo, mostrarei como configurar uma interface para que passe a atuar como um
roteador de borda, também chamado roteador de divisa, ou seja, o roteador que liga duas áreas
contíguas do OSPF. Para mais detalhes da divisão de uma rede OSPF em áreas autônomas, consul-
te a parte teórica no início deste tópico. São exemplos de protocolo de border routing (roteamen-
to de borda), o Interior Gateway Routing Protocol (IGRP) e o Border Gateway Protocol (BGP). Em
algumas situações até mesmo o RIP pode ser utilizado como um protocolo de roteamento de bor-
da (border routing).
Por padrão, todas as rotas externas são anunciadas dentro de um sistema autônomo. Isso pode ge-
rar tráfego excessivo dentro do sistema autônomo. Uma solução é habilitar uma das interfaces, de
um dos roteadores, como um roteador de borda. Com isso, os anúncios externos passarão por este
roteador de borda, no qual você poderá bloquear informações envidas por determinados proto-
colos. Estas configurações são explicadas no exemplo seguinte.
Exemplo: Para habilitar uma interface como um border routing e para bloquear informações de
roteamento baseadas em determinados protocolos, siga os passos indicados:


tro de IP Routing.
6. Será exibida a janela de propriedades do protocolo OSPF. Na guia Geral, marque a opção
Ativar roteador de limite de sistema autônomo. Esta opção especifica se o roteador atua
como um roteador de limite Autonomous System (AS, sistema autônomo). Um roteador de
limite AS anuncia informações de roteamento externo de outras áreas de roteamento,
como rotas estáticas. Os roteadores de limite AS podem ser roteadores internos ou de borda
de área e podem estar conectados ao backbone.
7. Clique na guia Roteamento externo. Serão exibidas as opções indicadas na Figura 8.19.
Figura 8.19 Definindo as rotas que serão aceitas.
Nesta guia, você pode criar uma lista branca ou uma lista negra dos tipos de rotas aceitas,
com base nos protocolos de roteamento. Você pode marcar a opção Aceitar rotas de todas
as origens com exceção daquelas selecionadas. Neste caso, você está criando uma lista ne-
gra, ou seja, todas as rotas de todas as origens serão aceitas, com exceção das origens sele-
cionadas na lista desta janela (lista negra). A opção Ignorar rotas de todas as origens com
exceção daquelas selecionadas, cria uma lista branca, ou seja, todas as rotas serão ignora-
das, com exceção das rotas das fontes selecionadas na lista (lista branca). Nesta guia, você
também pode definir filtros de rotas, com base em uma faixa de endereços IP. Para definir


um novo filtro clique em Filtros de roteamento... Será aberta uma janela onde você poderá
criar uma lista branca de rotas aceitas, ou uma lista negra de rotas proibidas, com base em
uma ou mais faixas de endereços IP.

OSPF e aplicar as configurações efetuadas.
Muito bem, sobre OSPF era isso. O próximo item a ser estudado é o roteamento de discagem por
demanda (Demand-Dial Routing).
DEMAND-DIAL ROUTING
Neste tópico, você aprenderá sobre o Roteamento de discagem por demanda – Demand-Dial Rou-
ting. Você aprenderá sobre quando utilizar, como habilitar e como configurar o Roteamento de
discagem por demanda.
UMA INTRODUÇÃO AO ROTEAMENTO DE DISCAGEM POR DEMANDA

O serviço de roteamento do RRAS no Windows 2000 Server (e também no Windows Server 2003)
inclui o suporte ao demand-dial routing (roteamento de discagem por demanda) também conhe-
cido como roteamento dial-on-demand. Usando uma interface de discagem por demanda (como
por exemplo uma conexão via modem e linha discada), o roteador pode iniciar uma conexão com
um roteador remoto quando um pacote a ser roteado é recebido pelo roteador. A conexão se torna
ativa apenas quando dados precisam ser enviados para o site remoto. Quando houver um deter-
minado período de inatividade no link, a conexão é cancelada e somente quando houver um
novo pacote a ser roteado é que a conexão será criada novamente – sob demanda. Fazendo uma
conexão de discagem por demanda, você pode usar linhas telefônicas dial-up existentes em vez
de linhas dedicadas. Este uso gera economia, principalmente em situações de pouco tráfego. O ro-
teamento de discagem por demanda pode reduzir significativamente os custos de conexão. A
principal desvantagem deste método é que existe um retardo no roteamento dos pacotes, quando
a conexão não está estabelecida e é preciso fazer uma discagem para fazer o roteamento. Durante
o tempo de estabelecimento da conexão, os pacotes a serem roteados ficarão em espera. Por isso
que este recurso somente é indicado para pequenas redes, com pouco tráfego de replicação, prefe-
rencialmente para empresas que precisam fazer o roteamento em horários específicos. Nestes ca-
sos, se justifica o uso do roteamento sob demanda, por causa da redução de custo em comparação
com o uso de um link dedicado.
Outra situação em que o uso do roteamento sob demanda é recomendado é para a criação de um
link de reserva, para contingência, no caso de falha do link principal. Por exemplo, você pode criar
uma conexão de roteamento sob-demanda e configurá-la com um custo bem mais elevado do que o


custo da conexão padrão. Nestas situações, a conexão de roteamento sob demanda somente será
utilizada quando a conexão dedicada falhar. Assim, a conexão de roteamento sob demanda funcio-
na como um “backup”, a ser utilizado na contingência de falha da conexão principal.
O roteador do RRAS também inclui o suporte a filtros de discagem por demanda e a horários para
discagem externa, ou seja, você pode configurar em qual horários será permitida a discagem para
dar suporte ao roteamento de pacotes. Você pode definir horários de discagem externa para espe-
cificar os períodos em que um roteador tem permissão para fazer conexões de discagem por de-
manda. Você pode configurar quando o roteador pode aceitar conexões de entrada por meio de
diretivas de acesso remoto.
Você pode usar filtros de discagem por demanda para especificar os tipos de tráfego permitidos
para criar a conexão. Os filtros de discagem por demanda são separados dos filtros de pacotes IP
(Internet Protocol, protocolo Internet), que você configura para especificar qual o tráfego permi-
tido para uma interface, e a partir dela, depois que a conexão é feita. Você aprenderá a configurar
estes filtros na parte prática deste tópico, mais adiante.
Uma conexão de roteamento sob demanda é feita entre um roteador “chamador”, que é o ro-
teador que inicia a conexão, e um roteador “respondedor”, que é quem atende a conexão. Os
dois roteadores devem ter o RRAS instalado e configurado para aceitar conexões de roteamen-
to sob demanda.
Quando um roteador configurado para iniciar chamadas de roteamento sob demanda, recebe um
pacote, o RRAS determina (com base nas tabelas de roteamento), qual a melhor rota a ser utilizada
para enviar o pacote. Se a rota selecionada é uma rota de uma interface de discagem sob demanda, e
se a conexão não estiver estabelecida, será iniciada a discagem para estabelecer uma conexão com o
roteador de destino. Será iniciada uma conexão do tipo PPP. A conexão PPP pode utilizar uma linha
telefônica comum ou uma conexão de alta velocidade, como ISDN ou ADSL. Pode inclusive ser
uma conexão do tipo VPN, baseada em PPTP ou L2TP, conforme descrito no Capítulo 6.
Existem mais alguns fatores que devem ser considerados, em relação ao uso do roteamento sob
demanda:
l Endereçamento do ponto de extremidade da conexão: A conexão deve ser feita por meio de re-
des de dados públicos, como o sistema de telefonia analógico. O ponto de extremidade da co-
nexão deve ser identificado por um número de telefone ou outro identificador de ponto de ex-
tremidade. Se for uma conexão do tipo VPN, a identificação da outra “extremidade” da
conexão pode ser o número IP do roteador e assim por diante.
l Autenticação e autorização do chamador: Qualquer um que chama o roteador deve ser autentica-
do e autorizado. A autenticação é baseada no conjunto de credenciais do chamador que são passa-
das durante o processo de estabelecimento da conexão. As credenciais que são passadas devem
corresponder a uma conta do Windows 2000 Server. A autorização é concedida com base na per-
missão de discagem desta conta do Windows 2000 Server, nas diretivas de acesso remoto. Por


exemplo, a conta que está sendo utilizada deve ter recebido permissão para fazer discagem remo-
ta. Esta permissão é configurada nas propriedades da conta, no Active Directory.
l Diferenciação entre clientes de acesso remoto e roteadores: Os serviços de roteamento e de
acesso remoto coexistem no mesmo computador que executa o RRAS no Windows 2000 Ser-
ver. Os clientes de acesso remoto e roteadores podem chamar o mesmo número de telefone. O
computador que executa o RRAS, e que responde à chamada, deve ser capaz de distinguir um
cliente de acesso remoto de um roteador que está chamando para criar uma conexão de disca-
gem por demanda. Para diferenciar um cliente de acesso remoto de um roteador de discagem
por demanda, o nome de usuário nas credenciais de autenticação enviadas pelo roteador que
fez a chamada deve corresponder exatamente ao nome de uma interface de discagem por de-
manda no roteador que está respondendo. Caso contrário, a conexão de entrada será conside-
rada uma conexão de acesso remoto.
l Configuração das extremidades da conexão: As duas extremidades da conexão devem ser configu-
radas mesmo que somente uma esteja iniciando uma conexão de discagem por demanda. A confi-
guração de apenas um lado da conexão significa que os pacotes só serão roteados com êxito em
uma direção. A comunicação normal requer que as informações transitem nas duas direções.
l Configuração de rotas estáticas: Você não deve usar protocolos de roteamento dinâmico em co-
nexões de discagem por demanda. Dessa forma, as rotas para as identificações de rede que estão
disponíveis através da interface de discagem por demanda devem ser adicionadas à tabela de ro-
teamento como rotas estáticas. Você pode executar isso manualmente ou usando atualizações
auto-estáticas. Não que não seja possível usar os protocolos RIP e OSPF em uma interface de dis-
cagem sob demanda, é possível. Porém como estes protocolos enviam e recebem informações
constantemente, a cada envio de um pacote de atualização, a conexão teria que ser inicializada.
Por exemplo, o protocolo RIP envia anúncios, por padrão, a cada 30 segundos. Não daria nem
tempo de conectar e desconectar e um novo anúncio do RIP já estaria sendo enviado.
Outro cuidado especial que deve ser tomado é em relação a configurar a conexão de roteamento
sob demanda, como sendo a rota padrão (0.0.0.0). Rota padrão significa: se não houver uma rota
específica, manda para a rota padrão. Esta configuração fará com que a conexão sob demanda seja
inicializada sempre que houver um pacote a ser enviado e não houver uma rota específica ou até
mesmo um quando um endereço inválido for utilizado, o RRAS não terá uma rota específica e
mandará para a rota padrão. Claro que, em determinadas situações, pode ser necessária a defini-
ção da rota padrão, associada com a conexão de discagem sob demanda. Nós até já fizemos esta
configuração no Capítulo 7, ao configurar e habilitar o NAT. Um dos passos era criar uma cone-
xão de discagem sob demanda e configurá-la como rota padrão. Mas no exemplo do NAT este é a
configuração necessária, já que todo acesso à Internet deve passar pelo NAT e se não houver uma
conexão estabelecida, uma nova conexão deve ser iniciada – exatamente o que faz o roteamento
em uma interface de discagem sob demanda.
Diversos recursos podem ser utilizados para garantir a segurança na utilização de roteamento de
conexões sob demanda. O primeiro deles é o uso de uma conta do domínio para fazer a autenti-


cação com o roteador de destino (servidor RRAS que irá atender a chamada). Com o uso de uma
conta do Active Directory, o roteador que recebe a chamada, tem como verificar se o roteador
que está solicitando a conexão é um roteador autorizado, pois está informando uma conta e se-
nha válidas no domínio. Estou usando o termo roteador, mas entenda-se como sendo um servi-
dor RRAS executando a função de roteamento, já que para estabelecer uma conexão de rotea-
mento sob demanda, as duas pontas tem que ser servidores RRAS. Além disso, o administrador
pode definir qual conta será utilizada para fazer a conexão sob demanda, habilitando esta conta
a fazer a conexão com o servidor RRAS. Esta habilitação pode ser feita diretamente nas proprie-
dades da conta, na guia Dial-in (Discagem) ou usando uma política de acesso remoto para dar
permissão de discagem para o grupo ao qual pertence a conta. Também pode ser uma política de
acesso remoto configurada em um servidor RADIUS, caso você esteja utilizando o IAS para au-
tenticação de conexões no RRAS.
Para detalhes sobre o RRAS, RADIUS, IAS e políticas de acesso remoto, consulte o Capítulo 6, onde
estes assuntos foram discutidos em detalhes.
Como a conexão de discagem sob demanda é feita com base no PPP, estão disponíveis os protocolos
de autenticação aceitos pelo PPP: PAP, SPAP, CHAP, MS-CHAP v1, MS-CHPA v2 e EAP-MD5. Para
mais detalhes sobre estes protocolos de autenticação, consulte o Capítulo 6. Os mecanismos de au-
tenticação baseados em certificados, tais como EAP-TLS também são suportados em conexões de
discagem sob demanda. Outra opção é o uso de uma conexão do tipo VPN, baseada em LT2P/IPSec.
Neste caso, não são usadas informações de autenticação de uma conta do usuário. Ao invés disso, o
próprio protocolo IPSec é responsável por fazer que os dois lados da conexão se autentiquem mu-
tuamente. Os mecanismos de call back e de identificador de segurança (security ID), discutidos no
Capítulo 6, também podem ser utilizados para conexões de roteamento sob demanda.
Um mecanismo importante de segurança, disponível para conexões de roteamento usando disca-

gem sob demanda, é a possibilidade de bloqueio de conta (lockout account). O administrador pode
definir um número máximo de tentativas de autenticação sem sucesso, dentro de um período de
tempo, que podem ser feitas antes que a conta seja bloqueada. Uma vez bloqueada, dependendo
das configurações do Active Directory, somente o administrador poderá desbloquear a conta.
Muito bem, de teoria sobre a utilização de discagem sob demanda para roteamento era isso. Nos
próximos itens, mostrarei as configurações práticas, relacionadas com a criação e configuração de
interfaces de discagem sob demanda, para roteamento.
HABILITANDO E CONFIGURANDO O ROTEAMENTO DE DISCAGEM POR DEMANDA

Neste item, mostrarei como executar a habilitação, configuração e criação de interfaces para rote-
amento de discagem por demanda. A primeira ação é habilitar o servidor RRAS para fazer o rotea-
mento tanto através de rede local como através de discagem por demanda.


Exemplo: Vamos habilitar o servidor RRAS para utilizar o roteamento de discagem por demanda.
3. Clique com o botão direito do mouse no nome do servidor RRAS e, no menu de opções que
4. Será aberta a janela de propriedades com a guia Geral, selecionada por padrão. Nesta guia,
marque a opção Roteamento de discagem por demanda e de rede local, conforme indicado
na Figura 8.20.
Figura 8.20 Habilitando o roteamento de discagem por demanda.
5. Clique em OK e, pronto, o roteamento de discagem por demanda já está habilitado. Ago-

ra é hora de verificar se a interface que será utilizada para discagem está habilitada para o
roteamento de discagem sob demanda. Depois disso, é hora de criar uma nova interface
de discagem por demanda, que será o assunto do próximo exemplo. Então vamos lá, um
passo de cada vez.
No próximo exemplo, mostrarei como verificar se a porta (interface a ser utilizada), que no nosso
exemplo será o modem, está habilitada para o roteamento sob demanda.


Para habilitar a interface a ser utilizada para o roteamento de discagem sob demanda, siga os pas-
sos indicados a seguir:
4. Clique com o botão direito do mouse na opção Portas e, no menu de opções que é exibido,
clique em Propriedades.
5. Na janela de propriedades, é exibida a lista de dispositivos instalados. Clique na opção que

representa o modem, conforme indicado na Figura 8.21.
Figura 8.21 Selecionando o modem.
6. Clique no botão Configurar.... Será aberta a janela de configuração do dispositivo selecio-

nado. Certifique-se de ter marcado a opção Conexões de roteamento de discagem por de-
manda (entrada/saída), conforme indicado na Figura 8.22.
7. Clique em OK.
8. Você estará de volta à janela de propriedades das portas. Clique em OK para fechá-la.


Figura 8.22 Habilitando o roteamento de discagem sob demanda.
Pronto, o roteamento de discagem sob demanda foi habilitado no dispositivo a ser utilizado. O
próximo passo é criar uma nova interface de roteamento de discagem sob demanda, conforme
exemplo a seguir.
Exemplo: Criar uma interface de roteamento discagem sob demanda.
4. Clique com o botão direito do mouse na opção Interfaces de roteamento e, no menu de op-
ções que é exibido, clique em Nova interface de discagem sob demanda...
5. Será aberto o assistente para criação de interfaces de discagem sob demanda. A primeira
tela do assistente é apenas informativa. Clique em Avançar para seguir para a próxima eta-
pa do assistente.
6. Nesta etapa, você deve informar um nome para a interface. Digite um nome e clique em
Avançar para ir em frente.
7. Agora, você deve informar o número do telefone. Este é o número que você utiliza para fa-
zer a conexão com o servidor RRAS que será chamado. Informe o número e clique em
Avançar para continuarmos a criação da interface.
8. Nesta etapa, você pode selecionar várias opções. Certifique-se de que a opção Rotear paco-
tes IP nesta interface esteja selecionada, conforme indicado na Figura 8.23. Marque tam-
bém a opção Adicionar uma conta de usuário para que um roteador remoto possa fazer a
discagem. Ao marcar esta opção, você permite que um outro servidor RRAS, configurado


como roteador e usando uma interface de discagem sob demanda, possa se conectar com a
interface que está sendo criada. Ao marcar esta opção, em uma das próximas etapas, serão
exibidos campos para que você informe a conta, senha e domínio. Os roteadores remotos
terão que informar estas credenciais, para poder fazer uma conexão com a interface que
está sendo configurada.
Figura 8.23 Selecionando opções da nova conexão.
10. Nesta interface, você informa a senha (duas vezes) para uma conta que será criada no
Active Directory. Esta é a conta que os roteadores remotos devem utilizar para fazer uma
conexão remota com esta interface. Por padrão, o nome da conta já é preenchido com o
nome da conexão remota que está sendo criada. Informe a senha a ser utilizada e clique
em Avançar.
Se a opção Adicionar uma conta de usuário para que um roteador remoto possa fazer a discagem
não tivesse sido marcada, no passo 8, esta etapa do assistente não seria exibida.
11. Nesta etapa, você informa os dados para autenticação quando a interface fizer a conexão.
Deve ser informada a conta configurada com permissão de fazer conexão remoto no servi-
dor RRAS para o qual esta interface irá fazer a discagem. Informe todos os dados de logon e
clique em Avançar.


12. Será exibida a tela final do assistente. Você pode utilizar o botão Voltar para fazer alterações
em alguma das etapas anteriores do assistente. Clique em Concluir. O assistente será encer-
rado e a nova interface de discagem sob demanda terá sido criada.
Mantenha o console do RRAS aberto, pois irá utilizá-lo nos próximos passos.
Agora, você aprenderá a definir os horários em que a interface criada no exemplo anterior, poderá
ser utilizada para roteamento de discagem sob demanda. Se um pacote chegar nesta interface,
fora dos horários permitidos, a conexão não será iniciada e o pacote será descartado.
Exemplo: Definir os horários em que é permitida a discagem para o roteamento.
4. Clique na opção Interfaces de roteamento para selecioná-la. No painel da direita, será exi-
bida a lista de interfaces disponíveis. Clique com o botão direito do mouse na interface de
roteamento de discagem sob demanda a ser configurada e, no menu de opções que é exibi-
do, clique em Horas de discagem. Será exibida a janela Horários de discagem externa, na
qual você pode definir quais horários a discagem é permitida, em cada dia da semana, con-
Você aprendeu a habilitar e a desabilitar horários nesta janela em exemplos do Capítulo 6.
5. Defina os horários desejados e clique em OK para aplicá-los.
Figura 8.24 Definindo as horas permitidas para a discagem.


Outra opção que está disponível é a definição de filtros. Você pode definir que pacotes vindos de
uma determinada rede, somente serão roteados para um determinado destino se utilizarem um
determinado protocolo. No exemplo a seguir, mostro como criar estes filtros.
Exemplo: Para definir filtros, siga os passos indicados a seguir:
1. Você já está com o console do RRAs aberto (se não estiver abra conforme os passos já
descritos).
3. Clique na opção Interfaces de roteamento para selecioná-la. No painel da direita, será exi-
bida a lista de interfaces disponíveis. Clique com o botão direito do mouse na interface de
roteamento de discagem sob demanda a ser configurada e, no menu de opções que é exibi-
do, clique em Definir filtros de discagem por demanda IP. Será exibida a janela Configurar
filtros de discagem por demanda.
4. Para criar um novo filtro clique em Adicionar.... Na janela que é exibida, defina as caracte-
rísticas do filtro a ser aplicado, conforme exemplo da Figura 8.25.
Você estará de volta a janela de Configurar fitros de discagem por demanda, com o fil-
tro recém criado já sendo exibido. Nesta janela você pode selecionar uma, entre duas
opções:
Figura 8.25 Definindo filtros.


l Somente para o seguinte tráfego: Ao marcar esta opção, somente será iniciada uma dis-
cagem para o roteamento, quando o pacote a ser roteado, coincidir com um dos filtros
definidos.
l Para todos os tráfegos exceto: Ao marcar esta opção, será iniciada uma discagem para o
roteamento para qualquer tipo de pacote, exceto para pacotes que atendam os critérios
definidos em um dos filtros.
5. Defina os filtros desejados e clique em OK para aplicá-los.
ALGUMAS OBSERVAÇÕES FINAIS SOBRE OS TIPOS DE CONEXÕES

Existem basicamente dois tipos de conexões possíveis: on-demand (por demanda) e permanentes
(permanent).
Nas conexões sob demanda, a conexão somente é iniciada quando houver um pacote a ser rotea-
do. Após o roteamento, se não houver mais tráfego, dentro do período definido como time-out
(nas propriedades da conexão), a conexão será automaticamente encerrada pelo RRAS. Uma co-
nexão sob demanda pode ser de dois tipos diferentes:
l One-way: Existe apenas um roteador que pode iniciar a chamada. Na interface de roteamento
sob demanda, criada neste roteador, deve ser informada a conta com permissão para fazer a co-
nexão no roteador que está sendo chamado e as rotas estáticas associadas a esta conexão.
l Two-way: Neste caso, os roteadores nas duas pontas estão configurados um para discar para o
outro. A conexão pode ser iniciada por qualquer um dos roteadores. É como se fossem duas co-
nexões one-way, só que em sentidos contrários.
As conexões permanentes têm a vantagem de não ter o retardo que existe nas conexões sob de-
manda, retardo devido ao tempo necessário para iniciar a conexão, caso não esteja ativa. Em caso
de quebra da conexão, o roteador que iniciou a conexão pode ser configurado para reiniciá-la, au-
tomaticamente. Este tipo de conexão requer um link X.25 ou ISDN.
O PROTOCOLO IPSEC
O IPSec é um conjunto de padrões utilizados para garantir uma comunicação segura entre dois
computadores, mesmo que as informações estejam sendo enviadas através de um meio não segu-
ro, como por exemplo a Internet. Observe que esta definição é parecida com a definição de VPN
apresentada no Capítulo 6. Por isso que a combinação L2TP/IPSec é uma das opções mais indica-
das para a criação de conexões do tipo VPN (veja Capítulo 6).


UMA INTRODUÇÃO AO PROTOCOLO IPSEC

O IPSec é baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar infor-
mações de maneira segura, usando IPSec, devem “concordar” com um conjunto comum de regras
e definições do IPSec. Com o uso do IPSEc e das tecnologias associadas, os dois computadores são
capazes de se autenticar mutuamente e manter uma comunicação segura, com dados criptografa-
dos, mesmo usando um meio não seguro, como a Internet.
O uso do protocolo IPSec apresenta funcionalidades importantes quando existe uma necessidade
de grande segurança na comunicação entre dois computadores. A seguir, apresento as principais
destas características:
l Uma proteção agressiva contra ataques à rede privada e à Internet mantendo a facilidade de
uso. Ao mesmo tempo que fornece uma proteção efetiva contra ataques e tentativas de captura
dos dados, o IPSec é fácil de configurar, com o uso de políticas de segurança, conforme você
aprenderá na parte prática, logo a seguir.
l Um conjunto de serviços de proteção baseados em criptografia e protocolos de segurança. A
criptografia é um dos elementos principais do IPSec para garantir que os dados não sejam
acessados por pessoas não autorizadas. Neste ponto, é importante salientar que existem dife-
rentes formas de uso do IPSec com o Windows 2000 Server. Uma delas é usando o IPSec pa-
drão, conforme definido pelos padrões do IETF. Este uso é conhecido como uso do IPSec no
modo de túnel. Já uma implementação específica da Microsoft, usa o IPSec em conjunto com
o L2TP, sendo o L2TP o responsável pela criptografia dos dados. Este modo é conhecido
como modo de transporte. No modo de túnel, somente é possível usar o IPSec em redes ba-
seadas em IP. Já no modo de transporte, o L2TP é um protocolo de nível de transporte, por
isso é possível usar IPSec/L2TP para transportar não apenas pacotes IP, mas também IPX,
NetBEUI e assim por diante.
l Segurança do começo ao fim. Os únicos computadores na comunicação que devem saber so-
bre a proteção de IPSec são o remetente e o receptor, ou seja, o meio através do qual os pacotes
são enviados não precisa estar habilitado ao IPSec.
l A capacidade de proteger a comunicação entre grupos de trabalho, computadores de rede lo-
cal, clientes e servidores de domínio, escritórios de filiais que podem ser fisicamente remotos,
extranets, clientes móveis e administração remota de computadores.
CONFIGURAÇÃO BASEADA EM DIRETIVAS DE SEGURANÇA

Os métodos de segurança mais fortes que são baseados em criptografia têm a capacidade de au-
mentar muito a sobrecarga administrativa. A implementação do IPSec no Windows 2000 Server e
no Windows 2000 Server evita esse problema implementando a administração do IPSec com base
em diretivas de segurança, configuradas via GPOs.


Para detalhes completos sobre Group Policy Objects (GPOs), consulte o livro: Manual de Estudos
para o Exame 70-217, de minha autoria, publicado pela Axcel Books.
Em vez de aplicativos ou sistemas operacionais, você usa as diretivas para configurar o IPSec.
Os administradores de segurança da rede podem configurar as diretivas de IPSec abrangendo
desde aquelas apropriadas a computadores únicos a um domínio Active Directory, site ou uni-
dade organizacional, já que as diretivas de aplicação do IPSec são configuradas via GPO. O
Windows 2000 fornece um console de gerenciamento central, o Gerenciamento de diretivas
de segurança IP, para definir e gerenciar as diretivas de IPSec. As diretivas podem ser configu-
radas para fornecer níveis variáveis de proteção para a maioria dos tipos de tráfego na maioria
das redes existentes, com a aplicação de filtros e regras personalizadas, conforme você verá na
parte prática, mais adiante.
UMA MANEIRA MAIS SIMPLES DE FORNECER PROTEÇÃO DOS DADOS

A implementação da IPSec no nível de transporte IP (camada de rede, nível 3) permite um alto ní-
vel de proteção com pouca sobrecarga. A implementação do IPSec não requer nenhuma alteração
nos aplicativos ou sistemas operacionais existentes, basta a configuração das diretivas de seguran-
ça, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados
no computador, passarão a utilizar o IPSec para troca de informações com outros computadores
também habilitados ao IPSec. Isso é bem mais fácil de implementar e de administrar do que ter
que configurar a criptografia e segurança em cada aplicativo ou serviço.
Outros mecanismos de segurança que operam sobre a camada de rede 3, como Secure Sockets La-
yer (SSL), só fornecem segurança a aplicativos habilitados ao SSL, como os navegadores da Web.
Você deve modificar todos os outros aplicativos para proteger as comunicações com SSL, ou seja,
os programas tem que ser alterados para poderem utilizar o SSL. Os mecanismos de segurança que
operam abaixo da camada de rede 3, como criptografia de camada de vínculo, só protegem o vín-
culo, mas não necessariamente todos os vínculos ao longo do caminho de dados. Isso torna a crip-
tografia da camada de vínculos inadequada para proteção de dados do princípio ao fim na Inter-
net ou na Intranet da empresa.
A implementação do IPSec, na camada de rede 3, fornece proteção para todos os protocolos IP

e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A princi-
pal vantagem de informações seguras nessa camada é que todos os aplicativos e serviços que
usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modifica-
ção nos aplicativos ou serviços (para proteger protocolos diferentes de IP, os pacotes devem
ser encapsulados por IP).


CARACTERÍSTICAS E COMPONENTES DO PROTOCOLO IPSEC

Quando o IPSec é habilitado e dois computadores passam a se comunicar usando este protocolo,
algumas modificações são efetuadas na maneira como é feita a troca de informações entre os dois
computadores.
A primeira mudança é que o protocolo IPSec adiciona um cabeçalho (Header) em todos os paco-
tes. Este cabeçalho é tecnicamente conhecido como AH (Authentication header) e esempenha
três importantes funções:
l É utilizado para a autenticação entre os computadores que se comunicarão usando IPSec.

l É utilizado para verificar a integridade dos dados, ou seja, para verificar se os dados não foram
alterados ou corrompidos durante o transporte.
l Impede ataques do tipo repetição, onde pacotes IPSec são capturados e em seguida reenviados
ao destino, em uma tentativa de ter acesso ao computador de destino. O cabeçalho de autenti-
cação impede este tipo de ataque, pois contém informações que permitem ao destinatário
identificar se um pacote já foi entregue ou não. No cabeçalho AH estão, dentre outras, as se-
guintes informações: a identificação do próximo cabeçalho, o tamanho do cabeçalho, parâ-
metros de segurança, número de seqüência e autenticação de dados (contém informações para
a verificação da integridade de dados).
Um detalhe importante a salientar é que o cabeçalho de identificação não é criptografado e não é

utilizado para criptografar dados. Conforme o nome sugere, contém informações para a autenti-
cação e para verificação da integridade dos dados.
Mas além da autenticação mútua e da verificação da integridade dos dados é preciso garantir a con-
fidencialidade dos dados, ou seja, se os pacotes forem capturados é importante que não possam ser
lidos a não ser pelo destinatário. A confidencialidade garante que os dados somente sejam revela-
dos para os verdadeiros destinatários. Para garantir a confidencialidade, o IPSec usa pacotes no for-
mato Encapsulating Security Payload (ESP). Os dados do pacote são criptografados antes da trans-
missão, garantindo que os dados não possam ser lidos durante a transmissão mesmo que o pacote
seja monitorado ou interceptado por um invasor. Apenas o computador com a chave de criptogra-
fia compartilhada será capaz de interpretar ou modificar os dados.
Os algoritmos United States Data Encryption Standard (DES padrão dos Estados Unidos), DES
(Data Encryption Standard) e 3DES (Triple Data Encryption Standard) são usados para oferecer a
confidencialidade da negociação de segurança e do intercâmbio de dados de aplicativo. O Cipher
Block Chaining (CBC) é usado para ocultar padrões de blocos de dados idênticos dentro de um pa-
cote sem aumentar o tamanho dos dados após a criptografia. Os padrões repetidos podem com-
prometer a segurança fornecendo uma pista que um invasor pode usar para tentar descobrir a
chave de criptografia. Um vetor de inicialização (um número inicial aleatório) é usado como o
primeiro bloco aleatório para criptografar e descriptografar um bloco de dados. Diferentes blocos


aleatórios são usados junto com a chave secreta para criptografar cada bloco. Isso garante que
conjuntos idênticos de dados não protegidos sejam transformados em conjuntos exclusivos de
dados criptografados.
Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes características/funcio-

nalidades:
l A configuração e habilitação do IPSec é baseada no uso de Polices. Não existe outra maneira de
criar, configurar e habilitar o IPSec a não ser com o uso de uma GPO. Isso facilita a configura-
ção e aplicação do IPSec a grupos de computadores, como por exemplo, todos os computado-
res do domínio ou de um site ou de uma unidade organizacional.
l Quando dois computadores vão trocar dados usando IPSec, a primeira etapa é fazer a autenti-
cação mútua entre os dois computadores. Nenhuma troca de dados é efetuada, até que a au-
tenticação mútua tenha sido efetuada com sucesso.
l O IPSec utiliza o protocolo Kerberos para autenticação dos usuários.
l Quando dois computadores vão se comunicar via IPSec, é criada uma SA (Securtiy Association
– associação de segurança) entre os computadores. Na SA, estão definidas as regras de comuni-
cação, os filtros a serem aplicados e o conjunto de chaves que será utilizado para criptografia e
autenticação.
l O protocolo IPSec pode utilizar certificados de chave pública para confiar em computadores
que utilizam outros sistemas operacionais, como por exemplo o Linux.
l O IPSec fornece suporte ao pré-compartilhamento de uma chave de segurança (preshared key
support). Em situações onde não está disponível, o uso do protocolo Kerberos, uma chave,
como por exemplo a definição de uma senha, pode ser configurada ao criar a sessão IPSec. Esta
chave tem que ser informada em todos os computadores que irão trocar dados de forma segu-
ra, usando IPSec.
l Conforme descrito anteriormente, o uso do IPSec é absolutamente transparente para os usuá-
rios e aplicações. O computador é que é configurado para usar o IPSec. Os programas instala-
dos neste computador passam a usar o IPSec, sem que nenhuma modificação tenha que ser
efetuada. Os dados são interceptados pelo sistema operacional e a comunicação é feita usando
IPSec, sem que o usuário tenha que fazer quaisquer configurações adicionais.
Muito bem, vamos partir para as ações práticas de criação e habilitação do IPSec via GPO. Neste
ponto, é importante lembrar dos conceitos de GPO. Por exemplo, se você quer que todos os com-
putadores do domínio usem o IPSec, você deve editar a GPO padrão do domínio, embora dificil-
mente esta situação ocorra na prática, ou seja, o uso de IPSec em todo o domínio. Se você deseja
implementar o IPSec apenas em um conjunto de computadores, reúna as contas destes computa-
dores em uma unidade organizacional e crie uma GPO associada com esta unidade organizacio-
nal. Nesta GPO, você configura e habilita o uso de IPSec, conforme orientações dos exemplos prá-
ticos logo a seguir.


CRIANDO UMA POLÍTICA DE IPSEC

Exemplo: Para criar uma política de aplicação do IPSec, siga os passos indicados a seguir.
O local onde o IPSec será aplicado depende da GPO que for configurada. Por exemplo, se você
quer que todos os computadores do domínio usem IPSec, você deve configurar a GPO Default Do-
main Policy. No nosso exemplo, vamos configurar uma GPO associada com uma unidade organi-
zacional. Com isso, todos os computadores, cujas contas estão nesta unidade organizacional, pas-
sarão a ter a política de IPSec aplicada.
2. Abra o console Usuários e computadores do Active Directory: Iniciar -> Programas -> Ferra-
mentas Administrativas -> Usuários e Computadores do domínio.
3. Localize a OU na qual você quer configurar uma GPO para criar uma nova política de apli-
cação do IPSec. Clique com o botão direito do mouse nesta OU e, no menu de opções que é
exibido, clique em Propriedades.
4. Clique na guia Diretiva de grupo. Clique na GPO a ser editada e, em seguida, no botão Edi-
tar ou crie uma nova GPO usando o Botão Nova... e, em seguida, marque esta GPO e clique
no botão Editar...
5. A GPO será carregada no console Group Policy Editor. Acesse a opção: Configuração de
computador -> Configurações do Windows -> Configurações de segurança -> Diretivas de
segurança IP em Active Directory. No painel da direita, são exibidas três diretivas de IPSec
já existentes e que podem ser configuradas:
l Server (Request Security): Ao habilitar esta diretiva, também serão aceitas comunicações
não seguras, porém para estabelecer uma conexão segura, os clientes devem utilizar um
método de autenticação aceito pelo servidor. Com esta política, serão aceitas comunica-
ções não seguras (não utilizando IPSec), se o outro lado não suportar o uso do IPSec. Ao
dar um clique duplo nesta diretiva, será aberta a janela indicada na Figura 8.26.
Nesta janela, você pode alterar as configurações da diretiva Server (Request Security).
Por exemplo, você pode definir diferentes filtros para o tráfego IP. Para isso, basta clicar
em All IP Traffic e, em seguida, no botão Editar... Será aberta uma janela para você confi-
gurar novos filtros e regras para o protocolo IP para a comunicação entre computadores
aos quais se aplicará esta diretiva.
l Client (Respond only): Esta política é indicada para computadores da rede interna da
Intranet da empresa. Ao iniciar a comunicação com outros computadores, não será uti-
lizado o IPSec. Contudo, se o outro computador exigir o uso do IPSec, a comunicação
via IPSec será estabelecida.


Figura 8.26 Configurando uma diretiva de IPSec.
l Security Server (Request Security): Aceita um início de comunicação não seguro, mas re-
quer que os clientes estabeleçam uma comunicação segura, usando IPSec e um dos mé-
todos aceitos pelo servidor. Se o cliente não puder atender estas condições, a comunica-
ção não será possível.
6. Estas políticas, por padrão, são criadas porém não são aplicadas, isto é, estão desabilitadas e
tem que ser habilitadas pelo administrador. O resultado prático é que as configurações de-
finidas nestas políticas de IPSec não estão sendo aplicadas. Para que uma destas políticas
passe a ser aplicada, você deve clicar com o botão direito do mouse na política a ser aplicada
e, no menu de opções que é exibido, clicar em Atribuir. Para fazer com que uma política
que foi atribuída, deixe de ser aplicada, basta clicar com o botão direito do mouse na políti-
ca e, no menu de opções que é exibido, clicar em Cancelar atribuição.
7. Para criar uma nova política de IPSec, clique com o botão direito do mouse na opção Dire-
tivas de Segurança IP em Active Directory e, no menu de opções que é exibido, clique em
Criar diretiva de segurança IP.
8. Será aberto o assistente para criação de uma nova diretiva de segurança IP. A primeira tela
do assistente é apenas informativa. Clique em Avançar.
9. Nesta etapa, você deve informar um nome para a nova política que está sendo criada e uma
descrição. Digite estas informações e clique em Avançar para continuarmos.


Nesta etapa, você pode definir se esta será a política de resposta padrão ou não. Se você mar-
car a opção Ativar a regra de resposta padrão, a política que está sendo criada será aplicada a
computadores remotos que tentarem uma conexão segura usando IPSec, caso nenhuma
outra política se aplique ao computador que está tentando a conexão. Caso uma política
específica se aplique, esta será aplicada ao computador, caso contrário será aplicada a polí-
tica habilitada para resposta padrão.
10. Marque a opção Ativar a regra de resposta padrão e clique em Avançar, para seguir para a
11. Nesta etapa, você define o método de autenticação a ser utilizado pelos computadores que
requisitarem uma conexão segura, via IPSec, conforme indicado na Figura 8.27.
Figura 8.27 Definindo o método de autenticação.
Estão disponíveis as seguintes opções:
l Padrão do Windows 2000 (protocolo v5 Kerberos): Marque esta opção (já vem marcada por
padrão) para usar a tecnologia de autenticação padrão do Windows 2000 Server: o protoco-
lo Kerberos V5. Este método pode ser usado para qualquer cliente que estiver executando o
protocolo Kerberos V5 que seja participante de um domínio com o qual existe uma relação
de confiança.
l Usar um certificado desta autoridade de certificação: Use esta opção para usar um certificado
de chave pública de uma Autoridade Certificadora (CA) confiável. Um certificado de chave pú-


blica deverá ser usado em situações nas quais incluam acesso à Internet, acesso remoto a recur-
sos corporativos, comunicações externas com parceiros de negócios ou computadores que não
executam o protocolo de segurança Kerberos V5. Isto requer que pelo menos uma Autoridade
de Certificação confiável tenha sido configurada, como por exemplo um servidor corporativo
root com o Certificate Services instalado e configurado (veja Capítulo 7). O Certificate Services
oferece suporte a certificados X.509 versão 3, incluindo certificados de CA gerados pelas auto-
ridades de certificação comercial.
l Usar esta seqüência para proteger o intercâmbio de chaves (chave pré-compartilhada): Mar-
que esta opção para usar uma seqüência especificada como uma chave pré-compartilhada para
autenticação. É uma chave secreta e compartilhada com a qual os dois usuários concordaram
anteriormente. Ambos os computadores têm que ser configurados para utilizarem a mesma
chave pré-compartilhada. Este é um método simples para autenticar computadores que não se
baseiam no Windows 2000 ou Windows Server 2003, computadores autônomos ou qualquer
cliente que não estiver executando o protocolo Kerberos V5. Observe que esta chave serve so-
mente para a proteção de autenticação, não é utilizada para criptografar o pacote IP durante a
fase de proteção de dados.
12. Selecione a opção desejada e clique em Avançar.
13. Será exibida a etapa final do assistente. Você pode utilizar o botão (Volta) para alterar algu-
ma das opções selecionadas nas etapas anteriores. Certifique-se de que a opção Editar pro-
priedades esteja marcada. Ao marcar esta opção, após a conclusão do assistente, será aberta
a janela para configuração da política que está sendo criada. Clique em Concluir para en-
cerrar o assistente e exibir a janela de configurações da política recém criada.
14. Será exibida a janela de propriedades para configurações da política, com a guia Regras sele-
cionada por padrão, conforme indicado na Figura 8.28.
15. As regras são condições que os dois computadores devem atender para que a comunicação
via IPSec possa ser estabelecida quando a política é aplicada. Por exemplo, você pode defi-
nir que somente seja usado o IPSec para o tráfego de um determinado protocolo ou somen-
te para computadores dentro de uma faixa de endereço e assim por diante. Para criar uma
nova regra certifique-se de que a opção Usar o assistente para adicionar esteja selecionada e
clique em Adicionar...
16. Será aberto o assistente para adição de uma nova regra. A primeira tela do assistente é ape-
nas informativa. Clique em Avançar para seguir para a próxima etapa.
17. Nesta etapa, você define se o IPSec será utilizado no modo de túnel. Não é o caso para o nos-
so exemplo. Aceita, a opção padrão Esta regra não especifica um encapsulamento e clique
em Avançar e para prosseguir..
18. Agora, você define a quais tipos de conexão deve ser aplicada a regra. Você tem a opção To-
das as conexões de rede, Rede local ou Acesso remoto. Selecione a opção desejada e clique
em Avançar.


Figura 8.28 Definindo regras para a nova política.
19. Nesta etapa, você pode criar novos filtros para o tráfego IP ou ICMP. Marque a opção All IP
Trafic e clique em Editar...
20. Será aberta a janela Lista de filtros IP. Nesta janela, você pode adicionar filtros. Se a opção
Usar o assistente estiver marcada, será aberto um novo assistente, o qual irá auxiliá-lo na
adição de novos filtros IP. Para adicionar um novo filtro clique em Adicionar... e siga as eta-
pas do assistente. Adicione os filtros desejados e clique em OK para voltar ao assistente de
configuração da política de IPSec. Depois clique em Avançar.
21. Nesta janela você define a ação a ser aplicada às conexões que atendam as regras defini-
das. Por exemplo, se você definiu um filtro para o protocolo ICMP, você pode selecionar a
opção Permit para permitir o tráfego ICMP via IPSEc. Para criar uma ação personalizada
use o botão Adicionar... e siga as etapas do assistente. Selecione a opção desejada e clique
em Avançar.
22. Será exibida a etapa final do assistente de configuração da política de IPSec. Você pode uti-
lizar o botão Voltar para alterar alguma das opções selecionadas nas etapas anteriores. Cer-
tifique-se de que a opção Editar propriedades esteja marcada. Ao marcar esta opção, após a
conclusão do assistente, será aberta a janela para configuração das regras da política. Cli-
que em Concluir para encerrar o assistente e exibir a janela de configurações da política re-
cém criada.


23. Será aberta a janela para configurações das regras da política que está sendo criada. Nesta
janela, indicada na Figura 8.29, você pode fazer alterações na política recém criada.
Observe que cada guia desta janela corresponde exatamente as etapas do assistente exe-
cutado anteriormente. Caso seja necessário faça alguma alteração e clique em OK.
Figura 8.29 Definindo regras para a nova política.
24. Você estará de volta à janela de propriedades da política. Observe que a nova regra recém
criada já é exibida na lista de regras, juntamente com a regra <Dynamic>, a qual é criada au-
tomaticamente pelo assistente. Clique em Fechar.
25. A nova política de aplicação do IPSec já será exibida, conforme indicado na Figura 8.30.
26. Para que a política passe a ter efeito, clique com o botão direito do mouse na política e, no
menu de opções que é exibido, clique em Atribuir.
Figura 8.30 A política de IPSec recém criada.


CONCLUSÃO
Iniciei o capítulo aprofundando um pouco mais (em relação ao que foi visto no Capítulo 2) sobre
a teoria de roteamento. Falei sobre os protocolos dinâmicos de roteamento: RIP e OSPF e também
sobre o roteamento em grandes redes, onde o melhor exemplo é a própria Internet. Fiz uma com-
paração entre RIP e OSPF, mostrando as vantagens e desvantagens de cada um. O ponto principal
é entender quando se utiliza um e quando se utiliza outro.
Você aprendeu que o protocolo RIP tem sérias limitações, as quais impedem o seu uso em redes de
grande porte. Para redes maiores é utilizado o protocolo OSPF, no qual a rede é dividida em gran-
des sistemas autônomos e cada sistema autônomo é dividido em áreas. Dentro de cada área, um
dos roteadores OSPF é eleito como roteador designado. Existe também os roteadores de borda,
que ligam a área ao backbone do sistema autônomo. Também existem protocolos que fazem o ro-
teamento entre diferentes sistemas autônomos, como o BGP e o IGRP.
Na seqüência, apresentei o conceito de Dial-in routing, algo que me arrisco a traduzir como “Ro-
teamento de discagem sob demanda”. Mostrei que existem diferentes opções de configuração e
em que situação cada uma se aplica. Por exemplo, não é aconselhável o uso de protocolos de ro-
teamento dinâmico em uma interface de roteamento de discagem sob demanda. Isto porque es-
tes protocolos trocam informações periodicamente e isso faria com que a todo instante fosse
iniciada a conexão.
Na parte prática, você aprendeu a configurar o RRAS para fazer o roteamento IP. Você aprendeu a
instalar e a configurar os protocolos RIP v2 e OSPF. Também mostrei como habilitar estes proto-
colos em cada interface do servidor RRAS. Você também aprenderá a configurar o Dial-in routing.
Para finalizar o capítulo, foi a vez de falar sobre o protocolo IPSec. Inicialmente, apresentei a fun-
damentação teórica sobre IPSec, para que o leitor possa entender exatamente o que é o IPSec e
quando utilizá-lo. Mostrei que este protocolo é configurado/habilitado através do uso de políticas
de segurança e que existem diferentes modelos de políticas de segurança disponíveis no Windows
2000 Server.
O IPSec é um conjunto de padrões utilizados para garantir uma comunicação segura entre dois
computadores, mesmo que as informações estejam sendo enviadas através de um meio não segu-
ro, como por exemplo a Internet. Observe que esta definição é parecida com a definição de VPN
apresentada no Capítulo 7. Por isso que a combinação L2TP/IPSec é uma das opções para a criação
de conexões do tipo VPN (ver Capítulo 7).
O IPSec é baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar infor-
mações de maneira segura, usando IPSec, devem “concordar” com um conjunto comum de regras
e definições do IPSec. Com o uso do IPSEc e das tecnologias associadas, os dois computadores são
capazes de se autenticar mutuamente e manter uma comunicação segura, com dados criptografa-
dos, mesmo usando um meio não seguro, como a Internet.


DICAS DO QUE VOCÊ NÃO PODE ESQUECER PARA O EXAME

l O protocolo RIP é baseado em broadcast e somente é recomendado para uso em peque-
nas redes.
l O protocolo RIP troca informações periodicamente, mesmo que não existam alterações nas ro-
tas da rede, o que acaba gerando um grande volume de tráfego na rede. Este é mais um dos mo-
tivos pelos quais o RIP não é indicado para grandes redes.
l A conta, que será configurada para o uso do Roteamento de discagem sob demanda, deve ser
configurada com as seguintes características:
– A opção Senha nunca expira deve ser marcada.
– Não marcar a opção O usuário deve alterar a senha no próximo logon.
– O nome da conta deve ser o mesmo nome do utilizado para a interface de discagem por
demanda.
l O protocolo OSPF é a solução para o roteamento em grandes redes.
l Uma rede baseada em OSPF é dividida em áreas e os roteadores somente contem informações
para rotas dentro da área e uma rota padrão que é o roteador de borda.
l Os roteadores OSPF formam adjacências, dois a dois e as informações sobre rotas somente são
trocadas entre os roteadores que formam uma adjacência.
l Para reduzir o número de adjacências, um dos roteadores da área é nomeado como Designated
Router (Roteador designado). Todos os demais roteadores da área formam uma adjacência
com o roteador designado. Além do roteador designado também é eleito um roteador designa-
do de backup. A eleição de qual será o roteador designado e qual será o roteador designado de
backup é feita automaticamente, através da troca de pacotes OSPH Hello entre os roteadores
OSPF da área.
l Para interligar áreas OSPF, é utilizada uma área de backbone. A interligação entre as diversas
áreas e a área de backbone é feita pelos roteadores de borda. Um roteador de borda é uma inter-
seção entre uma determinada área e a área de backbone.
l Pode acontecer de uma área não ter uma conexão direta com o backbone. Neste caso, você
pode criar um link virtual entre a referida área e o backbone. O link virtual pode ser representa-
do pelo caminho de dois ou mais roteadores em áreas diferentes.
l Um link virtual não poderá ser criado passando por uma área do tipo Stub Area.
l O RIP v2 suporta o anúncio usando multicast, autenticação e anuncia a máscara de sub-rede,
juntamente com as rotas. O RIP v1 não anuncia a máscara de sub-rede.
l Você pode configurar um servidor RRAS para apenas ouvir (listener) as rotas, sem anunciar as
próprias rotas. Com isso o servidor RRAS passará a ser um Router Listener.


l O principal objetivo IPSec é garantir a segurança/proteção no transporte dos pacotes TCP/IP.

Este protocolo fornece as seguintes funcionalidades:
– Garante a integridade dos dados.
– Garante a confidencialidade dos dados, usando criptografia.
– Proteção para os computadores que estão se comunicando usando IPSec.

l A privacidade na comunicação via IPSec é garantida com o uso de criptografia. O IPSec utiliza o
L2TP para serviços de criptografia.
l O IPSec garante a autenticidade de cada pacote, mediante a criação de um código de verifica-
ção (Checksum). Este código é calculado com base nas chaves de criptografia. Ao receber um
pacote, o cliente pode verificar se o código de verificação está OK. Se não estiver, o pacote é
descartado, pois poderá ter sido modificado durante o envio.
l Para que a comunicação via IPSec possa ser estabelecida, é feita uma autenticação mútua, ou
seja, cada lado da comunicação autentica o outro lado. Somente após a autenticação mútua ter
sido realizada com sucesso é que começa o envio e o recebimento de pacotes. Nenhum pacote
será enviado antes que a autenticação mútua seja realizada com sucesso.
l Ao criar uma política para aplicação do IPSec, você pode definir filtros com base no protocolo
de comunicação, permitindo ou negando determinado protocolo.


Capítulo 9
PROTOCOLOS, DESEMPENHO
E MONITORAÇÃO DA REDE

INTRODUÇÃO
Neste capítulo, apresentarei tópicos adicionais que são cobrados nos exames e que não se encai-
xam em um dos assuntos vistos nos capítulos anteriores.
Iniciarei o capítulo apresentando, em detalhes, a configuração do protocolo TCP/IP no Win-

dows 2000. No Capítulo 2, você aprendeu sobre a função do TCP/IP. Falei sobre tópicos tais
como número IP, máscara de sub-rede, roteamento e divisão em sub-redes. Nos demais capítu-
los do livro, vimos diversos assuntos, todos relacionados com o TCP/IP: DNS, WINS, DHCP,
RRAS (acesso remoto e roteamento) e assim por diante. Neste capítulo, apresentarei como fa-
zer as configurações do protocolo TCP/IP, desde as configurações básicas de número IP e más-
cara de sub-rede (em computadores que usarão IP fixo, ao invés de obter as configurações a
partir de um servidor DHCP), até configurações mais avançadas, tais como definir filtros para
o protocolo TCP/IP.
Na seqüência, falarei sobre o conceito de Ligações (Bindings) e mostrarei como configurar as

ligações, definindo a ordem em que os protocolos serão utilizados (caso haja mais de um pro-
tocolo instalado).
O próximo passo será aprender a instalar e a configurar o protocolo IPX/SPX. Este protocolo é pro-
prietário de redes Novell e foi o protocolo padrão do sistema operacional Novell até antes da ver-
são 4.x. Hoje até mesmo a Novell rendeu-se ao TCP/IP, sendo este o protocolo padrão para as ver-
sões mais novas do Novell. Porém, é possível que você encontre versões mais antigas do servidor
ou de clientes Novell. Neste caso, será necessária a instalação e configuração do protocolo
IPX/SPX (que no Windows 2000 é chamado de NWLink), para que o Windows 2000 seja capaz de
se comunicar com estas versões mais antigas de Novell.
Seguindo, falarei sobre o console de monitoração de desempenho e sobre os conceitos de objetos

e contadores. Apresentarei inicialmente alguns exemplos simples de utilização do console De-
sempenho, para que você fique familiarizado com esta ferramenta. Em seguida, apresentarei os
objetos e contadores relacionados aos serviços de rede, tais como DNS, DHCP, TCP/IP, RRAS e as-
sim por diante. A monitoração não é uma tarefa obrigatória, ou seja, se não for feita não paralisa
nenhum serviço.
Porém a monitoração é uma maneira do administrador acompanhar o aumento de carga em um

ou mais servidores da rede, acompanhando qual a ocupação/utilização dos principais elementos
de hardware e serviços, tais como memória, processadores, interfaces de rede e sistemas de disco.
Com o acompanhamento da carga de trabalho em cada um destes elementos, o administrador
pode fazer uma estimativa com tempo de quando será necessário o upgrade de um ou mais destes
elementos de hardware, como por exemplo adicionar mais memória RAM, trocar a placa contro-
ladora de discos por uma mais rápida e assim por diante. Se o administrador não tem este acompa-
nhamento, o que acontece é que chega-se a um ponto onde os serviços tornam-se lentos e os


Capítulo 9 – PROTOCOLOS, DESEMPENHO E MONITORAÇÃO DA REDE
usuários começam a reclamar. Neste ponto, o administrador não sabe exatamente o que está
acontecendo (apenas suspeita que pode ser sobrecarga no hardware do servidor ou em algum
dos serviços instalados). Como o administrador não fez a lição de casa, isto é, não fez um moni-
toramento preventivo, terá que tentar descobrir quais os elementos estão sobrecarregados,
apresentar um relatório solicitando recursos, encomendar o hardware necessário para final-
mente providenciar a troca. Tudo na base do improviso, da pressa. Definitivamente, esta não é
uma boa maneira de trabalhar.
INSTALAÇÃO E CONFIGURAÇÃO DO PROTOCOLO TCP/IP

É muito pouco provável que você não tenha instalado o TCP/IP. Mas pode acontecer de este não
ter sido instalado. O TCP/IP é o protocolo padrão no Windows 2000 e é instalado durante a pró-
pria instalação do sistema operacional. Mas se por algum motivo, o TCP/IP tiver sido desinstalado
ou não tiver sido instalado durante a instalação do Windows 2000, você poderá instalá-lo quando
for necessário.
Neste tópico, apresentarei diversos exemplos de configuração do protocolo TCP/IP. Em todos,

você terá que acessar as propriedades da interface de rede, na qual o TCP/IP será configurado. É
importante salientar que você pode ter mais de uma placa de rede instalada no Windows
2000. Neste caso, as configurações do protocolo TCP/IP são separadas para cada placa. Você
deve utilizar um número IP diferente em cada interface. A seguir, descrevo os passos para aces-
sar as propriedades da interface de rede a ser configurada. Estes passos serão necessários nos di-
versos exemplos deste tópico. Nos próximos exemplos, não repetirei todos os passos para
acessar as propriedades da interface de rede a ser configurada. Ao invés disso, utilizarei somen-
te a expressão: “Acesse as propriedades de rede da interface a ser configurada”. Muito bem, va-
mos aos exemplos práticos.
Exemplo: Para acessar as propriedades da interface de rede a ser configurada, siga os passos indica-
dos a seguir.
3. Dê um clique duplo na opção Conexões dial-up e de rede.
4. Será exibida uma janela com todas as conexões disponíveis. Clique com o botão direito
do mouse na conexão a ser configurada e, no menu de opções que é exibido, clique em
Propriedades.
5. Pronto, será exibida a janela de propriedades da conexão, na qual você poderá fazer diver-
sas configurações.


No próximo exemplo, mostrarei como instalar o protocolo TCP/IP, caso este tenha sido desinsta-
lado ou não tenha sido instalado durante a instalação do Windows 2000.
Exemplo: Para instalar o protocolo TCP/IP, siga os passos indicados a seguir.
1. Acesse as propriedades de rede da interface a ser configurada.
2. Na janela de propriedades da conexão, dê um clique em Instalar...
3. Será aberta a janela para que você selecione o tipo de componente de rede a ser instalado.
Selecione a opção Protocolo, conforme indicado na Figura 9.1 e clique em Adicionar...
Figura 9.1 Selecionando o tipo de componente a ser instalado.
4. Em poucos instantes será exibida a lista de protocolos disponíveis. Marque a opção TCP/IP
e clique em OK.
5. O TCP/IP será instalado e você estará de volta à guia Geral de configurações da interface de
rede. Observe que o TCP/IP já é exibido na lista de componentes instalados. Clique em OK
para fechar a janela de propriedades da interface de rede.
O próximo passo é configurar o protocolo TCP/IP. No exemplo a seguir, mostrarei como confi-
gurar as diversas opções do protocolo TCP/IP. É importante lembrar que, se você tiver mais de
uma placa de rede instalada, as configurações do TCP/IP serão separadas para cada placa (diz-se
cada interface).


Para uma descrição detalhada das opções de configuração, tais como número IP, máscara de
sub-rede, servidor DNS, servidor WINS, Default Gateway e assim por diante, consulte o Capítulo 2.
Exemplo: Para configurar o protocolo TCP/IP, siga os passos indicados a seguir.
1. Acesse as propriedades de rede da interface a ser configurada.
2. Na janela de propriedades da conexão, dê um clique em Protocolo Internet (TCP/IP) para

selecioná-lo.
3. Clique em Propriedades. Nesta janela, você deve informar se as configurações do TCP/IP

serão obtidas a partir de um servidor DHCP (Obter um endereço IP automaticamente) ou se
estas configurações serão informadas manualmente (Usar o seguinte endereço IP). Ao mar-
car a opção Usar o seguinte endereço IP, você deverá informar um número IP a ser utiliza-
do, a máscara de sub-rede, o número IP do gateway padrão e o número IP de um ou dois ser-
vidores DNS, conforme exemplo da Figura 9.2.
Figura 9.2 Configurando o TCP/IP manualmente.
4. Além das configurações básicas, da tela da Figura 9.2, você pode configurar uma série de
opções avançadas do protocolo TCP/IP. Para acessar a janela de configurações avançadas,
clique em Avançado... Será aberta a janela de configurações avançadas, com a guia Confi-
gurações IP selecionada por padrão, conforme indicado na Figura 9.3.


Figura 9.3 Janela para Configurações IP.
5. É possível ter mais de um endereço IP associado com a mesma placa de rede. O que não é
permitido é ter o mesmo número IP, associado a duas ou mais placas de rede. Para adicio-
nar um novo número IP, clique em Adicionar..., abaixo da lista de endereços IP configura-
dos. Será aberta a janela Endereço TCP/IP (muito mal traduzida por sinal). Para adicionar
um novo endereço basta digitá-lo no campo IP, digite a respectiva máscara de sub-rede e
clique em Adicionar. Você estará de volta à janela de configurações avançadas do TCP/IP e
o novo endereço IP já será exibido na lista. A partir de agora, a nova interface está com dois
endereços IP. Você pode adicionar mais endereços IP, utilizando o botão Adicionar... e pre-
enchendo as informações necessárias.
6. Você também pode ter mais de um Default Gateway configurado. Neste caso, quando o
primeiro da lista estiver indisponível, o TCP/IP tenta utilizar o segundo e assim por dian-
te. Para adicionar mais um Default Gateway, clique em Adcionar..., abaixo da lista de de-
fault gateways configurados. Será aberta a janela para que você informo o número IP do
novo Default Gateway e o respectivo custo, em número de hopes. Se você quer que um
Default Gateway seja utilizado somente como contingência, no caso de nenhum outro
gateway estar disponível, configure-o com um valor elevado para o custo. Digite as infor-
mações do novo gateway e clique em OK. Pronto, o novo número já será exibido na guia
de Configurações IP.
7. Clique na guia DNS. Serão exibidas as opções indicadas na Figura 9.4.


Figura 9.4 A guia para configuração do DNS.
Nesta guia, você informa o endereço IP de um ou mais servidores DNS. Para acrescentar no-
vos servidores, basta utilizar o botão Adicionar... Você pode alterar a ordem dos servidores
DNS na lista, clicando nos botões com o desenho de uma flecha para cima ou para baixo. É
importante descrever como o Windows utiliza a lista de servidores DNS. As consultas são
enviadas para o primeiro servidor da lista. Se este servidor não conseguir responder a con-
sulta, esta não será enviada para os demais servidores da lista. O segundo servidor da lista
somente será pesquisado se o primeiro servidor estiver off-line e não estiver respondendo;
o terceiro servidor da lista somente será pesquisado se o primeiro e o segundo servidor DNS
estiverem off-line e não estiverem respondendo e assim por diante. Nesta guia, você tam-
bém pode configurar as seguintes opções:
l Acrescentar sufixo DNS primário e específicos de cada conexão. O sufixo DNS é configu-
rado na guia Identificação de rede, das propriedades do Meu Computador. Por exem-
plo, um computador com o nome micro01.abc.com tem como sufixo DNS abc.com.
Esta opção especifica que a resolução de nomes não qualificados (por exemplo mi-
cro01.abc.com é um FQDN, ou seja, um nome completamente qualificado, já micro01 é
um nome não qualificado, ou seja, sem o domínio como sufixo) usados neste computa-
dor seja limitada aos sufixos do domínio do sufixo primário e todos os sufixos específi-
cos da conexão. Os sufixos específicos da conexão são configurados em Sufixo DNS para
esta conexão. O sufixo DNS primário é configurado clicando em Propriedades na guia
Identificação de rede (disponível em Sistema, no Painel de controle). Por exemplo, se o


sufixo do seu domínio primário for abc.com e você digitar ping xyz em um prompt de
comando, o Windows 2000 consultará xyz.abc.com. Se você também configurar um
nome de domínio específico de conexão em uma das suas conexões para ven-
das.abc.com, o Windows 2000 consultará xyz.abc.com e xyz.vendas.abc.com. A lista de
domínios que será pesquisada, quando você digita um nome não qualificado, também
é definida nesta guia, conforme será explicado logo a seguir.
l Acrescentar sufixos pai do sufixo DNS primário: Especifica se a resolução de nomes

não qualificados usados neste computador inclui os sufixos pai do sufixo DNS pri-
mário e o domínio de segundo nível. O sufixo DNS primário é configurado clicando
em Propriedades na guia Identificação de rede (disponível em Sistema, no Painel de
controle). Por exemplo, se o sufixo DNS primário for vendas.abc.com e você digitar
ping xyz no prompt de comando, o Windows 2000 também consultará ven-
das.abc.com e abc.com.
l Acrescentar estes sufixos DNS (em ordem): Especifica que a resolução de nomes não
qualificados usados neste computador seja limitada aos sufixos do domínio listados em
Acrescentar estes sufixos DNS. Os sufixos DNS específicos da conexão e primários não
serão usados para resolução de nomes não qualificados. Ao marcar esta opção, você
deve especificar uma lista de sufixos que deverá ser utilizada para a tentativa de resolu-
ção de nomes não qualificados. Por exemplo, se nesta lista você acrescentar os seguintes
sufixos: sul.vendas.abc.com, vendas.abc.com e abc.com, nesta ordem, ao digitar ping
xyz, o Windows tentará localizar este host, utilizando os seguintes nomes: xyz.sul.ven-
das.abc.com, xyz.vendas.abc.com e xyz.abc.com. Para acrescentar um novo sufixo, bas-
ta marcar esta opção e utilizar o botão Adicionar. Você também pode alterar a ordem
dos sufixos clicando nos botões com a seta para cima e seta para baixo. Para remover um
sufixo, basta selecioná-lo na lista e clicar em Remover.
l Registrar endereços desta conexão no DNS: Especifica que o computador tente o regis-
tro dinâmico no DNS, dos endereços IP desta conexão com o nome completo deste
computador, como especificado na guia Identificação de rede (disponível em Sistema
no Painel de Controle).
l Usar o sufixo DNS desta conexão no registro do DNS: Especifica se a atualização dinâmi-
ca do DNS será usada para registrar os endereços IP e o nome de domínio específico des-
ta conexão. O nome DNS específico desta conexão é a concatenação do nome do com-
putador (que é o primeiro rótulo do nome completo do computador) e o sufixo DNS
desta conexão. O nome completo do computador é especificado na guia Identificação
de rede (disponível em Sistema, no Painel de controle). Se a caixa de seleção Registrar os
endereços desta conexão no DNS estiver selecionada, o registro é uma adição ao registro
do DNS do nome completo do computador.
8. Defina as configurações desejadas e clique na guia WINS. Serão exibidas as opções indica-
das na Figura 9.5.


Figura 9.5 A guia para configuração do WINS.
Nesta guia, você informa o endereço IP de um ou mais servidores WINS. Para acrescentar
novos servidores, basta utilizar o botão Adicionar... Você pode alterar a ordem dos servido-
res WINS na lista, clicando nos botões com o desenho de uma flecha para cima ou para bai-
xo. É importante descrever como o Windows utiliza a lista de servidores WINS. As consul-
tas são enviadas para o primeiro servidor da lista. Se este servidor não conseguir responder
a consulta, esta não será enviada para os demais servidores da lista. O segundo servidor da
lista somente será pesquisado se o primeiro servidor estiver off-line e não estiver respon-
dendo; o terceiro servidor da lista somente será pesquisado se o primeiro e o segundo servi-
dores WINS estiverem off-line e não estiverem respondendo e assim por diante. Nesta guia,
você também pode configurar as seguintes opções:
l Ativar exame de LMHOSTS: Especifica se será usado um arquivo Lmhosts para a resolu-
ção de nomes NetBIOS. O arquivo Lmhosts será usado para resolver os nomes de
NetBIOS de computadores remotos para um endereço IP. Clique em Importar
LMHOSTS para importar um arquivo para o arquivo Lmhosts.
l Ativar NetBIOS sobre TCP/IP: Especifica que esta conexão de rede usa o NetBIOS sobre
TCP/IP (NetBT) e o WINS. Quando um endereço IP é configurado manualmente, esta
opção é selecionada por padrão para ativar o NetBIOS e o uso do WINS para este compu-
tador. Essa configuração será necessária se este computador se comunicar pelo nome
com computadores que usam versões anteriores do Windows (Windows 95/98, NT 4.0,
etc.). Antes de alterar esta opção, verifique se não é necessário usar nomes de NetBIOS
para esta conexão de rede. Por exemplo, se você se comunicar somente com outros
computadores que estejam executando o Windows 2000 ou computadores na Internet
que usam o DNS.


l Desativar NetBIOS sobre TCP/IP: Desativa o uso de NetBIOS sobre TCP/IP. Pode ser utili-
zada em uma rede baseada apenas em versões do Windows tais como Windows 2000,
Windows XP e Windows Server 2003.
l Usar a configuração NetBIOS do servidor DHCP: Especifica que esta conexão de rede ob-
tenha suas configurações de NetBIOS sobre TCP/IP (NetBT) e de WINS, a partir de um
servidor DHCP.
Quando um endereço IP é obtido automaticamente, esta opção fica selecionada por padrão
de forma que o computador usa as definições de configuração do NetBT conforme estas fo-
rem sendo fornecidas opcionalmente pelo servidor DHCP quando este obtiver um endere-
ço IP usando o DHCP. Você deve selecionar esta opção somente se o servidor DHCP estiver
configurado para fornecer todas as opções de configuração de WINS para os clientes.
9. Defina as configurações desejadas e clique na guia Opções. Serão exibidas as opções indica-
das na Figura 9.6.
Figura 9.6 A guia para configuração Opções.
10. Nesta janela, você pode configurar se a interface que está sendo configurada deve ou não
utilizar uma das diretivas de IPSec habilitadas (caso haja alguma diretiva habilitada) e tam-
bém pode definir filtros com base no protocolo e na porta de comunicação. Para habilitar o
uso de uma das diretivas do IPSec, clique em Segurança de IP para marcar esta opção e em
seguida clique em Propriedades.
11. Será aberta a janela Segurança de IP. Para habilitar o IPSec, clique em Usar esta diretiva de
segurança IP e, na lista de diretivas, selecione a diretiva a ser aplicada, conforme exemplo
da Figura 9.7 e clique em OK.
12. Para definir um filtro, clique em Filtragem de TCP/IP e, em seguida, no botão Propriedades.
Será exibida a janela para definição de filtros. Nesta janela, você tem as seguintes opções:
l Ativar filtragem de TCP/IP (todos os adaptadores): Ao marcar esta opção você especifica
se a filtragem de TCP/IP será ativada para todos os adaptadores. A filtragem de TCP/IP


Figura 9.7 Selecionando uma direitva de IPSec.
especifica os tipos de tráfego de entrada destinados para este computador que serão per-
mitidos. Para configurar a filtragem de TCP/IP, selecione esta caixa de seleção e especifi-
que os tipos de tráfego TCP/IP permitidos para todos os adaptadores neste computador
em termos de protocolos IP, portas TCP e portas UDP. Você deve ter cuidado ao usar os
filtros para não desabilitar portas que sejam necessárias para os serviços básicos de rede,
tais como DNS, DHCP, compartilhamento de pastas e impressoras e assim por diante.
13. Vamos aplicar um exemplo de filtro. O FTP usa o protocolo TCP na porta 21. Para o nosso
exemplo, para as portas TCP, vamos permitir apenas o uso do FTP na porta 21. Marque a
opção Ativar filtragem de TCP/IP (todos os adaptadores). Em seguida, marque a opção
Permitir somente nas portas TCP. Clique em Adicionar... Será exibida a janela adicionar
filtro, para que você adicione o número da porta. Digite 21, conforme indicado na Figu-
ra 9.8 e clique em OK.
Figura 9.8 Informando o número da porta.
14. Você estará de volta à janela Filtragem de TCP/IP, com a porta TCP/21 já adicionada, con-
15. Clique em OK. Você estará de volta à janela de configurações avançadas do TCP/IP. Clique
em OK para fechá-la.
16. Você estará de volta à janela de configurações da interface de rede. Clique em Fechar.


Figura 9.9 A janela Filtragem de TCP/IP.
Muito bem, você acabou de ver um exemplo de como configurar o protocolo TCP/IP. No próxi-
mo tópico, você aprenderá a configurar o protocolo IPX/SPX, conhecido no Windows 2000
como NWLink.
INSTALAÇÃO E CONFIGURAÇÃO DO PROTOCOLO IPX/SPX

Nas redes das empresas, é muito provável que exista um ambiente misto, onde são utilizados diferen-
tes sistemas operacionais, principalmente, algumas versões do Windows (NT Server 4.0, Windows
2000 Server e agora o Windows Server 2003), algumas versões do Novell e alguma versão do UNIX.
A maioria das empresas tem projetos para migrar para um único sistema operacional, quer seja,
Windows, Novell ou UNIX/Linux. Mas enquanto esta “tão sonhada“ unificação não acontece, a
realidade é que as empresas têm que conviver com esta miscelânea de sistemas operacionais e têm
que fazer com que seja possível a integração entre todos. Por exemplo, pode acontecer de um
usuário, através da sua estação de trabalho baseada em Windows 2000 ou Windows XP, ter que
acessar arquivos em um servidor UNIX/Linux ou de um usuário em sua estação de trabalho Linux
ter que acessar arquivos em um servidor Windows Server 2003 ou Novell. Todos estes cenários são
possibilidades reais, do dia-a-dia, com as quais o administrador tem que conviver e, principal-
mente, fornecer soluções.
Felizmente, o Windows 2000 Server fornece um grande conjunto de ferramentas (serviços, proto-
colos, gateways e clientes), que tornam a integração com outros sistemas operacionais uma tarefa
possível e eu diria de até fácil implementação.


Neste tópico, você aprenderá a configurar o protocolo IPX/SPX (conhecido com NWLink no
Windows) para facilitar a integração de clientes Windows em geral (Windows 95/98/Me, 2000
e XP) com servidores Novell. Por exemplo, pode ser necessário que um cliente usando o Win-
dows 2000 precise acessar arquivos em um servidor Novell. Você verá que é possível imple-
mentar esta integração.
Para integração entre o Windows Server 2003 e Novell, estão disponíveis as seguintes ferramentas:
l Protocolo NWLink IPX/SPX/NetBIOS: Este protocolo é necessário para comunicação do

Windows 2000 Server ou Windows Server 2003 e demais versões do Windows com servidores
Novell mais antigos, os quais ainda são baseados no protocolo IPX/SPX. As versões mais recen-
tes (duas últimas versões) do servidor Novell já utilizam o protocolo TCP/IP.
l Client Service for Netware (CSNW): O CSNW pode ser instalado em uma estação de trabalho
com o Windows instalado para que esta estação de trabalho possa fazer o logon em um servi-
dor Novell, acessar pastas e impressoras compartilhadas, podendo inclusive rodar um script de
logon no servidor Novell. No servidor Novell, o serviço de diretórios é chamado NDS – Novell
Directory Services –, serviço este disponível desde a versão 4.x. Com o CSNW instalado, uma
estação de trabalho pode fazer o logon usando uma conta de usuário cadastrada no NDS, na
rede Novell, e ter acesso aos recursos para os quais a respectiva conta tem permissão de acesso.
O serviço Gateway Services for Netware (GSNW) está disponível somente no Windows 2000
Server, não estando disponível no Windows Server 2003. Este serviço é instalado em um servidor
com o Windows 2000 Server e serve como ponte entre o cliente Windows e o servidor Novell.
Com este serviço, os recursos compartilhados no servidor Novell, aparecem, para o cliente
Windows, como se estivessem compartilhados no servidor com o Windows 2000 Server. Desta
forma, o cliente Windows não precisa ter instalados o protocolo IPX/SPX e o CSNW para acessar
recursos dos servidores Novell. Acessa estes recursos através do GSNW, instalado em um servi-
dor com o Windows 2000 Server.
UTILIZANDO OS SERVIÇOS DE INTEGRAÇÃO ENTRE NOVELL E WINDOWS SERVER 2003

Os dois fabricantes, tanto Novell quanto Microsoft, disponibilizam clientes para uma grande va-
riedade de versões do Windows, até mesmo do MS-DOS:
A Novell disponibiliza software cliente, para acesso aos servidores Novell, para ser instalado nas
seguintes versões do Windows (e do MS-DOS):
l MS-DOS.
l Windows 3.x.
l Windows 95.


l Windows 98.
l Windows Me.
l Windows NT Workstation 4.0.
l Windows 2000 Professional.
l Windows XP Professional.
Porém, a Microsoft também fornece clientes para conexão com servidores Novell, para diversas
versões do Windows. Além disso, os clientes fornecidos pela Microsoft utilizam menos recursos,
principalmente memória, devido à integração com as bibliotecas de programação do próprio
Windows. Sempre que possível, devem ser utilizados os clientes fornecidos pela própria Micro-
soft. Estes permitem que o usuário faça o logon em um servidor Novell, quer seja um servidor com
versões mais antigas, ainda não baseadas no NDS ou servidores Novell com versões mais novas
(4.x ou superior) baseadas em NDS.
Porém, os clientes Microsoft são baseados no protocol Nwlink e não poderão ser utilizados
para acessar servidores Novell que utilizam apenas o TCP/IP (versões mais novas dos servido-
res Novell). Neste caso (servidores Novell que utilizam apenas o TCP/IP), deverá ser utilizado o
cliente Novell.
ENTENDENDO O PROTOCOLO NWLINK
Oficialmente denominado NWLink IPX/SPX/NetBIOS Compatible Transport Protocol,

NWLink é a implementação da Microsoft para o protocolo IPX/SPX da Novell. Esta implemen-
tação é compatível com os padrões de rede da Microsoft, sendo uma implementação de 32 bits,
baseada na arquitetura de drivers de rede da Microsoft, ou seja, compatível com o padrão NDIS
(Network Driver Interface Specifications). A implementação do Nwlink da Microsoft é compatí-
vel com aplicações baseadas em NetBIOS e também na especificação Windows Sockets (normal-
mente utilizada por aplicações baseadas no TCP/IP, mas que também pode ser utilizada por ou-
tros protocolos). Estas especificações tornam possível a comunicação entre servidores e clientes
Windows com os servidores Novell.
Dependendo da versão do cliente Windows, da versão do servidor Novell que está sendo utilizado e
do recurso que você está tentando acessar, podem ser necessários serviços e/ou ferramentas adicio-
nais, além do NWLink, para que você possa acessar o recurso desejado. Na Figura 9.10, são listadas
algumas possibilidades de interoperabilidade entre clientes Windows e os servidores Novell.
Para um cliente Windows acessar pastas e impressoras compartilhadas em um servidor Novell,

o cliente Windows deve ter instalados o protocolo NWLink e também o CSNW (Client Services
for Netware).


Figura 9.10 Interoperabilidade dos clientes Windows.
INTEROPERABILIDADE COM RECURSOS MICROSOFT
Os clientes Microsoft, por padrão, utilizam NetBIOS em conjunto com IPX para o envio de infor-
mações referentes a compartilhamento de arquivos e impressoras. Este método é formalmente
conhecido como NetBIOS over IPX (NetBIOS sobre IPX). Existe a opção de desabilitar o NetBIOS,
de tal maneira que os pacotes referentes aos serviços de compartilhamento de arquivos e impres-
são sejam enviados diretamente usando IPX. Este procedimento é conhecido como “direct hos-
ting”. O uso de direct hosting pode ser mais eficiente em termos de desempenho (uma vez que es-
tamos eliminando uma camada intermediária – NetBIOS), porém um cliente usando direct
hosting somente será capaz de se comunicar com um servidor que também esteja utilizando di-
rect hosting.
Computadores que podem atuar utilizando direct hosting incluem computadores rodando o clien-
te de redes Microsoft para MS-DOS, Windows for Workgroups, Windows 95 e Windows 98. Servi-
dores que podem utilizar direct hosting incluem computadores rodando o cliente de redes Micro-
soft para MS-DOS e todos os computadores baseados em qualquer versão do Windows. Na Figura
9.11, é exibida uma lista das possíveis conexões, usando NetBIOS sobre IPX ou direct hosting.
Figura 9.11 Netbios sobre IPX x direct hosting.


A seguir, você aprenderá algumas ações práticas relacionadas com a instalação e configuração do
protocolo NWLink e do CSNW.
INSTALANDO E CONFIGURANDO O PROTOCOL NWLINk

Para instalar e configurar o protocolo NWLink, siga os passos indicados a seguir:
1. Faça o logon com conta de administrador ou com uma conta com permissão de ad-
ministrador.
2. Abra o Painel de controle.
4. Clique com o botão direito do mouse na conexão de rede local e, no menu de opções que é
5. Será exibida a janela de propriedades da conexão de rede local. Clique no botão Instalar...
6. Será exibida a janela para você selecionar um tipo de componente de rede a ser instalado.
Clique na opção Protocolo e clique em Adicionar...
7. Será exibida a lista de protocolos disponíveis para instalação. Clique em NWLink

IPX/SPX/NetBIOS Protocolo de transporte compatível, conforme indicado na Figura 9.12 e
clique em OK.
Figura 9.12 Selecionando o protocolo NWLink.
8. O Windows 2000 Server inicia o processo de instalação. Durante este processo, pode ser ne-
cessário que você insira o CD de instalação do Windows no drive de CD. Se for solicitado,
insira o CD e clique em OK para continuar a instalação.


A instalação é concluída e você estará de volta à janela de propriedades da conexão de rede

local. Observe que dois novos componentes fora instalados:
l NWLink NetBIOS.
l NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.
Pronto, o NWLink foi instalado e agora está pronto para ser configurado.
O componente NWLink NetBIOS não tem configurações a serem efetuadas. Clique nesta
opção e observe que o botão Propriedades fica desabilitado.
10. Clique em NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível para selecio-

ná-lo. Clique no botão Propriedades. Será exibida a janela de propriedades do NWLink
IPX/SPX/NetBIOS Protocolo de transporte compatível, conforme indicado na Figura 9.13.
Figura 9.13 Configurando o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.
Existem dois parâmetros que podem ser configurados, conforme descrito a seguir:
l Número interno de rede (Internal Network Number): O NWLink IPX/SPX/NetBIOS Pro-
tocolo de transporte compatível utiliza dois tipos de números IPX de rede. Estes núme-
ros são utilizados pelo roteamento IPX (o que é muito raramente utilizado hoje em dia).
O primeiro número é o número de rede externa (external network number), o qual é
configurado no campo número de rede (Network Number), quando você faz a configu-
ração manual do tipo de Frame a ser utilizado (conforme mostrarei logo a seguir). O se-
gundo número é configurado no número interno de rede. Ambos são configurados no
formato de números hexadecimais, com tamanho de 1 a 8 dígitos hexadecimais (de 1 a
9 e de A a F).


O parâmetro número de rede externa (external network number) é associdado e utilizado

pelo adaptador de rede e pelo protocolo de nível de enlace, em uso na rede local, normal-
mente o Ethernet. Para que os computadores usando NWLink possam trocar informações
entre si, devem utilizar o mesmo tipo de pacote (descritos logo a seguir) e ter o mesmo nú-
mero configurado no parâmetro número de rede externa (external network number).
Assim, se dois computadores tiverem valores diferentes para o parâmetro external network
number, não conseguirão se comunicar usando o NWLink. Se o servidor tiver mais de um
adaptador de rede, sendo que cada adaptador está conectado a uma rede diferente, você de-
verá configurar todas as combinações possíveis de tipo de frame e valores do parâmetro ex-
ternal network number, em cada adaptador de rede. Se não for informado um valor para o
parâmetro external network number, o Windows tentará fazer uma detecção automática
do valor correto a ser utilizado.
O parâmetro número interno de rede (internal network number), também conhecido

como virtual network number, identifica uma rede virtual dentro do computador. Em um
servidor rodando o Windows 2000 Server, os programas se comunicam como se estivessem
localizados em uma rede virtual e não diretamente com a rede física. Este parâmetro é útil,
para melhorar o desempenho do servidor, em servidores com mais de um adaptador de
rede. Por padrão, o número para este parâmetro é 00000000. A seguir, descrevo algumas si-
tuações onde é recomendado que seja atribuído um valor diferente do padrão, para o parâ-
metro internal network number:
– O computador está atuando como um servidor (rodando o Windows 2000 Server) para
um programa que usa o protocolo SAP, como por exemplo o SQL Server ou o SNA Server.
– O computador está atuando como um roteador IPX (Windows 2000 Server, já que o Win-
dows Server 2003 não pode atuar como roteador IPX).
l Tipo de frame (Frame type): Este parâmetro define a maneira como os dados serão for-
matados antes de serem enviados através da rede, ou seja, define o formato dos pacotes
a serem enviados pelo NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.
Para que um computador com o Windows 2000 Server (ou qualquer outra versão do
Windows) possa se comunicar com um servidor Novell, utilizando o protocolo
NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível, é preciso que ambos es-
tejam configurados com o mesmo tipo de frame. Este é um dos erros mais comuns e que
impede a comunicação entre dois computadores usando o NWLink IPX/SPX/NetBIOS
Protocolo de transporte compatível.
Para que dois computadores possam se comunicar, usando IPX/SPX, têm que estar configurados
para utilizar o mesmo tipo de frame.
Na Figura 9.14, é apresentada uma lista das topologias e tipos de frame suportados pelo
NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.


Figura 9.14 Configurando o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.
Em redes que usam o padrão Ethernet, o tipo padrão de frame para servidores Novell Net-
ware 2.2 e Novel Netware 3.11 é o 802.3. A partir do Novell Netware 3.12, o tipo de frame
padrão é o 802.2.
Você pode deixar que o Windows 2000 detecte o tipo de frame automaticamente ou pode,
manualmente, configurar o tipo de frame a ser utilizado, na janela de propriedades do
NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível. Quando você configura
para a detecção automática, ao inicializar o NWLink, o Windows 2000 sempre tenta detec-
tar o tipo de frame a ser utilizado. Se mais de um tipo for detectado, será utilizado, como pa-
drão, o tipo 802.2.
Se o tipo de frame for configurado manualmente, será possível utilizar mais de um tipo de
frame simultaneamente. Esta é uma boa solução se você tiver diferentes versões do servidor
Novell ainda em uso na rede. Com isso, você pode informar manualmente, os diferentes ti-
pos de frame, utilizados por cada versão do Novell ainda em uso na rede.

NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível.
12. Você estará de volta à janela de propriedades da conexão de rede local. Clique em Fechar
para fechá-la. Pronto, o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível
está instalado e configurado. O próximo passo é instalar o CSNW, o que será visto no próxi-
mo tópico.
ENTENDENDO O CLIENT SERVICES FOR NETWARE (CSNW)

Um usuário trabalhando em um computador com o Windows instalado (Windows 95/98/Me/NT
4.0/2000/XP ou 2003) pode utilizar o CSNW para acessar recursos tais como pastas e impressoras
compartilhadas em um servidor Novell, quer seja um servidor com as versões mais novas do No-
vell, habilitadas ao NDS, ou até mesmo com as versões mais antigas. O CSNW é para os servidores
Novell, o que o cliente para redes Microsoft é para os servidores baseados no Windows.
O CSNW depende e trabalha em conjunto com o NWLink IPX/SPX/NetBIOS Protocolo de trans-

porte compatível (NWLink). Quando você instala o CSNW, se for detectado que o NWLink não está
instalado, este será instalado automaticamente, para que o CSNW possa funcionar corretamente.


Uma analogia válida seria a seguinte, o cliente para redes Microsoft, normalmente trabalha em
conjunto com o TCP/IP (embora possa utilizar outros protocolos) e o CSNW trabalha em conjun-
to com o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível (NWLink).
O CSNW não suporta o protocolo IP e, portanto, não poderá ser utilizado para acessar servidores
Novell Netware 5.x configurados para utilizar somente o protocolo IP. Para que a comunicação do
CSNW seja possível com estes servidores, o protocolo IPX deve ser instalado nestes servidores.
INSTALANDO O CLIENT SERVICES FOR NETWARE – CSNW
Para instalar o Client Services for Netware – CSNW, siga os passos indicados a seguir:
1. Faça o logon com conta de administrador ou com uma conta com permissão de ad-
ministrador.
5. Será exibida a janela de propriedades da conexão de rede local. Clique no botão Instalar...
6. Será exibida a janela para você selecionar um tipo de componente de rede a ser instalado.
Clique na opção Cliente e clique em Adicionar...
7. Será exibida a lista de clientes disponíveis para instalação. Clique em Serviços (e cliente) ga-
teway para Netware, conforme indicado na Figura 9.15, e clique em OK.
Figura 9.15 Selecionando o CSNW.


8. O Windows 2000 inicia o processo de instalação. Durante este processo pode ser necessário
que você insira o CD de instalação do Windows no drive de CD. Se for solicitado, insira o
CD e clique em OK para continuar a instalação.
9. A instalação é concluída e será exibida uma mensagem informando que você deve reinicia-
lizar o computador para que a instalação seja concluída. Clique em Sim para reinicializar o
computador.
10. Após reinicializar o computador, será apresentada a tela normal de logon no Active Direc-
tory. Informe o nome de usuário e senha, logo em seguida, é apresentada a tela de logon
para o cliente CSNW, indicada na Figura 9.16.
Figura 9.16 Fazendo o logon com o CSNW.
Ao fazer o logon, você deve informar em qual servidor Novell você fará o logon, se deve
ou não ser executado o script de logon e assim por diante. As opções a serem seleciona-
das dependem de o servidor Novell estar ou não utilizando o serviço de diretórios da
Novell – NDS.
Se o servidor estiver com uma versão mais antiga do Novell, versão esta que não utiliza o
NDS, marque a opção Prefered Server e selecione o nome do servidor Novell no qual você
fará o logon. Se a rede Novell for baseada no NDS, selecione a opção Default Tree and Con-
text, e informe o nome da árvore e do contexo no qual você deseja fazer o logon. Para que o
script de logon seja executado, marque a opção Run Login Script.
11. Preencha as informações de logon no Novell e clique em OK. Pronto, agora você está au-
tenticado no Novell e poderá acessar recursos tais como pastas e impressoras compartilha-
das, na rede Novell com a qual você se autenticou.
Depois que você fez o logon, os recursos da rede Netware passam a estar acessíveis através do íco-
ne Meus locais de rede. Você pode “navegar” através dos servidores da rede Novell, assim como


você “navega” através dos servidores da rede Windows. Ao localizar o servidor Novell onde está o
recurso a ser acessado (como por exemplo uma pasta compartilhada), basta dar um clique duplo
no servidor, que a lista dos recursos disponíveis será exibida, exatamente como se fosse um servi-
dor Windows 2000.
CONFIGURANDO O CLIENT SERVICES FOR NETWARE – CSNW
Após ter instalado o CSNW e feito o primeiro logon, você pode fazer alterações nas suas configura-
ções. Para isso, siga os passos indicados a seguir:
1. Faça o logon com conta de administrador ou com uma conta com permissão de admi-
nistrador.
3. Dê um clique duplo no ícone GSNW.
4. Será exibida a janela de propriedades do CSNW, conforme indicado na Figura 9.17.
Figura 9.17 Janela de propriedades do GSNW.
DESINSTALANDO O CSNW
Uma vez que não seja mais necessário, você pode desinstalar o CSNW. Para isso, siga os passos in-
dicados a seguir:


nistrador.
5. Será exibida a janela de propriedades da conexão de rede local. Clique na opção Client Ser-
vices for Netware para selecionar esta opção.
6. Clique no botão Desinstalar. Será exibida uma janela pedindo confirmação. Clique em Sim
para confirmar a desinstalação.
7. O CSNW será desinstalado e será exibida uma mensagem informando que o computador
deve ser reinicializado.
8. Clique em Sim para reinicializá-lo. O computador é reinicializado e a tela de logon do

CSNW não será mais exibida.
DESINSTALANDO O NWLINK IPX/SPX/NETBIOS PROTOCOLO DE TRANSPORTE COMPATÍVEL
Uma vez que não seja mais necessário, você pode desinstalar o NWLink IPX/SPX/NetBIOS Proto-
colo de transporte compatível. Para isso siga os passos indicados a seguir:
nistrador.
5. Será exibida a janela de propriedades da conexão de rede local. Clique na opção Client Ser-
vices for Netware para selecionar esta opção.
5. Será exibida a janela de propriedades da conexão de rede local. Clique na opção NWLink
IPX/SPX/NetBIOS Protocolo de transporte compatível para selecioná-la.
6. Clique no botão Desinstalar. Será exibida uma janela pedindo confirmação. Clique em Sim
para confirmar a desinstalação.
7. O NWLink será desinstalado e será exibida uma mensagem informando que o computador
dever ser reinicializado.


8. Clique em Sim para reinicializá-lo. Abra novamente as propriedades da conexão de rede lo-
cal e observe que as opções NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível
e NWLink NetBIOS já não aparecem mais na lista de componentes instalados.
9. Clique em OK para fechar a janela de propriedades da conexão de rede local.
Para acessar recursos no servidor Novell, você precisa instalar um protocolo compatível com Novell
e um cliente de acesso. O protocolo é o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatí-
vel e o cliente é o Client Service for Netware. Ao instalar o CSNW, se o NWLink IPX/SPX/NetBIOS
Protocolo de transporte compatível não estiver instalado, este será automaticamente instalado, pois
o CSNW depende do NWLink para o seu funcionamento. É isso.
MONITORAÇÃO DO DESEMPENHO DOS SERVIÇOS DE REDE

Neste item, mostrarei como utilizar o console para monitoração de desempenho, de forma a
acompanhar a taxa de utilização dos principais elementos do sistema e serviços do sistema. Mos-
trarei uma série de assuntos relacionados com o monitoramento, otimização e manutenção do
Windows 2000. Com os conceitos e exemplos práticos vistos neste item, você terá condições de
fazer um monitoramento dos servidores, atuando de maneira pro-ativa.
Monitorar a utilização dos principais recursos de um servidor é uma tarefa importante para o ad-
ministrador do servidor, principalmente em servidores que estão sendo utilizados para o compar-
tilhamento de recursos (por exemplo arquivos e impressoras) e disponibilização de serviços tais
como DNS, DHCP, WINS e RRAS na rede. O desempenho de um servidor fica seriamente compro-
metido se um dos seguintes elementos estiver sobrecarregado:
l Memória RAM
l Processador
l Placa de rede
l Sistema de discos
Neste item, mostrarei como utilizar o console Desempenho para acompanhar a taxa de ocupa-
ção de cada um destes elementos, bem como fazer o acompanhamento dos contadores relacio-
nados aos serviços de rede, tais como DNS, DHCP e WINS. Com este acompanhamento, você
também terá condições de verificar a evolução nas taxas de utilização de cada um dos elementos
que estão sendo monitorados. Assim, quando um determinado elemento tiver a sua taxa de uti-
lização constantemente aumentada, é possível agir preventivamente, normalmente providen-
ciando a substituição do elemento, como por exemplo a instalação de um processador mais rá-
pido ou de uma quantidade adicional de memória RAM ou a substituição de discos IDE por um
sistema de discos SCSI.


Em alguns livros e na documentação oficial do Windows 2000 Server, o console Performance tam-
bém é chamado de System Monitor (Monitor do Sistema). Neste capítulo, utilizarei os termos Moni-
tor do Sistema ou console Performance como sinônimos.
MONITORAÇÃO DE DESEMPENHO – CONCEITOS BÁSICOS

Monitorar a utilização dos principais recursos de um servidor é uma tarefa importante para o ad-
ministrador do sistema, principalmente em computadores que estão sendo utilizados por um
grande número de usuários da rede, para acesso a recursos tais como pastas compartilhadas, im-
pressoras, servidores Web de Intranet, servidores de banco de dados, DCs do domínio, DNS,
DHCP, WINS, RRAS e assim por diante. Os principais elementos de hardware a serem monitora-
dos são os seguintes:
l Memória RAM
l Processador
l Placa de rede
l Sistema de discos
Existem outros elementos que podem prejudicar o desempenho como um todo, porém estes qua-
tro são os mais importantes. Podem existir situações, por exemplo, em que a utilização da memó-
ria RAM e do processador esteja baixa, porém o sistema de discos esteja sobrecarregado, e neste
caso, o desempenho do sistema como um todo fica bastante prejudicado. Dependendo do tipo de
função que o servidor está exercendo, um recurso de hardware pode ter mais ou menos influência
no desempenho como um todo. Por exemplo, servidores de banco de dados são muito dependen-
tes de bons processadores, já servidores de arquivos dependem de um bom sistema de disco e de
uma conexão rápida com a rede.
Quando um determinado componente está sobrecarregado, dizemos que este componente repre-
senta um “gargalo” para o sistema (do termo inglês “bottleneck”), isto é, é o componente que está
limitando (“engargalando”, se é que existe esta palavra) o desempenho do sistema como um
todo. O desempenho de um sistema é tão bom quanto for o desempenho do seu componente
mais lento. Por exemplo, de que adianta vários processadores, com muita memória RAM e com
um sistema de discos antigo, extremamente lento?
Dependendo do papel que o servidor esteja desempenhando na rede, a utilização de cada um des-
tes componentes será maior ou menor. Por exemplo, computadores que atuam como servidores
de Banco de dados (como Microsoft SQL Server, por exemplo), ou servidores de Aplicação (como
Microsoft Transaction Server) fazem um uso muito intensivo dos processadores. Neste caso, pode
ser recomendável, dependendo do número de usuários, a utilização de servidores multi-proces-
sados. Já no caso de servidores de Arquivos, a utilização da interface de rede e do sistema de discos


pode ser bastante elevada. Neste caso, a utilização de placas mais velozes ou até mesmo de mais de
uma placa controladora e de sistemas de discos mais rápidos, pode ser uma solução para melhorar
o desempenho.
A monitoração do desempenho ajuda a determinar qual o componente que está sendo o princi-
pal limitador do desempenho do sistema (o ‘gargalo’ do sistema), além de permitir a análise da
carga de trabalho a qual o respectivo componente está submetido (por exemplo, o processador
está com 80% de utilização, o sistema de discos está constantemente com dados na fila de espera
para leitura e gravação e assim por diante). O administrador também pode utilizar a monitoração
do desempenho para fazer uma estimativa do crescimento na utilização dos componentes do sis-
tema. Com isso, fica mais fácil fazer uma previsão sobre as necessidades futuras de atualizações de
hardware. Além disso, de posse de dados de monitoração consistentes, fica mais fácil justificar o
gasto envolvido na aquisição e atualização de componentes de hardware.
Conforme mostrarei nos próximos tópicos, a monitoração é feita através do console Desempe-
nho, também conhecido como Monitor do Sistema. Este console é acessado através da opção
Desempenho, no menu Ferramentas administrativas. No console de Desempenho, você adicio-
na “objetos” a serem monitorados. Um exemplo de objeto pode ser um processador, memória,
disco físico, fila de impressão, serviço DNS, serviço DHCP, serviço WINS, serviço RRAS, etc. Um
objeto representa um elemento que pode ser monitorado pelo Windows 2000 Server. Para cada
objeto, estão disponíveis vários contadores que são indicativos da utilização dos recursos do sis-
tema. Por exemplo, para o objeto processador, dentre outros, existem os seguintes contadores:
“Porcentagem de tempo do processador”, “Interrupções por segundo” e assim por diante. Para o
objeto fila de impressão, existem os contadores “Total de páginas impressas”, “Trabalhos no
spool”, e assim por diante.
Vários objetos e seus respectivos contadores são instalados durante a instalação do Windows
2000 Server. À medida em que novos serviços ou aplicativos são instalados, novos objetos e con-
tadores são adicionados. Por exemplo, ao instalar o Microsoft SQL Server 2000, novos objetos são
adicionados. Outro exemplo, quando é instalado o servidor Web IIS, novos objetos são adiciona-
dos e assim por diante.
Saber exatamente quais objetos e quais contadores utilizar é um processo que envolve testes e
muita paciência. Somente com a experiência é que o administrador saberá quais os contadores
observar para verificar a existência de problemas de desempenho.
A otimização do desempenho é um processo contínuo. Muitas vezes em uma primeira análise, o

administrador descobre que um dos componentes está sendo o gargalo do sistema, por exemplo,
a memória RAM. Aí mais memória RAM é acrescentada ao servidor. Pode ser que outro compo-
nente passe a ser o gargalo, por exemplo a placa de rede ou o processador. Monitorar e otimizar o
desempenho é um desafio bastante grande, porém é uma necessidade. Não é possível simples-
mente trocar de equipamento, toda vez que houver problemas de desempenho, pois isso seria um
desperdício de dinheiro.


UTILIZAÇÃO DO CONSOLE DESEMPENHO

Neste tópico, você aprendera, a utilizar o console desempenho, adicionando objetos e contadores.
MONITORANDO O PROCESSADOR E A MEMÓRIA DO SEU SERVIDOR

Neste item, você aprenderá a utilizar o console Desempenho. Também verá como monitorar al-
guns contadores dos objetos memória e processador. Apresentarei diversos detalhes sobre a utili-
zação da interface e das funcionalidades do console Desempenho. O console Desempenho já vem
configurado para carregar o snap-in para medição de desempenho.
No Windows NT Server 4.0, existe um programa chamada Performance Monitor, o qual é utilizado
para a monitoração de desempenho. A partir do Windows 2000, está disponível o console Desem-
penho, o qual também está disponível no Windows XP e no Windows Server 2003.
Exemplo: Monitorando o uso da memória e do processador.
Para utilizar o console Desempenho para monitorar a memória e o processador, siga os seguin-
tes passos:
2. Abra o console Desempenho: Iniciar -> Programas -> Ferramentas administrativas -> De-
sempenho.
3. Será aberto o console Desempenho, conforme indicado na Figura 9.18. Neste console, no
painel da esquerda, é exibida a opção Monitor do sistema, que é a opção utilizada para adi-
cionar novos contadores para os objetos a serem monitorados, no nosso exemplo a memó-
ria e processador.
4. Dê um clique na opção Monitor do sistema para selecioná-la.
5. Dê um clique no botão Adicionar na barra de ferramentas (botão com um sinal de + na bar-

ra de ferramentas ou pressione Ctrl+I). Será exibida a janela Adicionar contadores, na qual
você pode selecionar objetos e adicionar os contadores a serem monitorados, conforme in-
Na lista Objeto de desempenho, por padrão, já vem selecionado o objeto processador. Nes-
ta lista, você pode selecionar um objeto para o qual serão adicionados contadores a serem
monitorados. Ao selecionar um objeto na lista de objetos, na lista Selecione contadores da
lista, serão exibidos os contadores relacionados ao objeto selecionado. Um mesmo conta-
dor pode ter uma ou mais instâncias. Por exemplo, ao selecionar o contador Porcentagem


Figura 9.18 O console para monitoração do desempenho.
Figura 9.19 Janela para adicionar os contadores a serem monitorados.
de tempo do processador, em um computador com dois processadores, na lista Selecionar

instâncias na lista, serão exibidas as duas instâncias do referido contador, uma para cada
processador. Você pode monitorar somente uma das instâncias ou ambas.


Um detalhe interessante é que, no mesmo console, você pode monitorar contadores de um ou mais
computadores. Por exemplo, você pode monitorar a utilização do processador de dois ou mais com-
putadores da rede, utilizando um único console Desempenho. Para isso, na janela da Figura 9.19,
digite o nome do computador no campo Selecionar contadores do computador. Digite o nome do
computador no formato \\NomeDoComputador. Ao digitar o nome e pressionar Enter serão exibi-
dos os objetos do referido computador. Selecione um ou mais contadores. Você pode fazer isso
para os diversos computadores que serão monitorados simultaneamente. Com isso, em um mesmo
console, você poderá monitorar contadores de diferentes computadores da rede.
6. Certifique-se de que o objeto processador esteja selecionado na lista de Objetos. Na caixa

de listagem Selecionar contadores na lista, marque o contador Porcentagem de tempo do
processador. Para ver uma explicação detalhada sobre o que significa este contador, dê um
clique no botão Explicar. Será exibida uma janela com a descrição do contador seleciona-
do, conforme indicado na Figura 9.20. Você pode utilizar o botão Explicar para obter um
texto explicativo sobre qualquer contador selecionado.
Figura 9.20 Janela que é exibida com a explicação sobre o contador selecionado.
OBS.: Veja que no campo Selecionar contadores do computador, já vem, por padrão, o
nome do computador local, onde foi aberto o console de desempenho. Podemos mo-
nitorar o desempenho de outros computadores da rede. Por exemplo, para acessar
contadores de um computador chamado SERVER2, basta digitar \\SERVER2 neste
campo e pressionar Enter. Em poucos instantes, o Windows 2000 Server exibe uma lis-
tagem com os contadores do computador a ser monitorado. Você pode adicionar para
monitoração, contadores de diferentes computadores, conforme já descrito anterior-
mente. Por exemplo, você pode adicionar o Percentual de ocupação do processador
para os diversos servidores da rede, para determinar qual ou quais estão com utiliza-
ção excessiva do processador.
7. Dê um clique no botão Adicionar para adicionar o contador Porcentagem de tempo do

processador.
8. Agora é hora adicionar um contador para a memória. Primeiro, na lista Objeto de desempe-
nho, selecione o objeto memória. Na caixa de listagem Selecionar contadores na lista, são
exibidos os contadores disponíveis para o objeto memória.


9. Dê um clique no contador % de bytes comprometidos em uso. Clique no botão Adicionar e

depois dê um clique no botão Fechar. Você estará de volta ao console de desempenho, sen-
do que agora os dois contadores que você adicionou já estão sendo monitorados, conforme
mostrado pelo gráfico da Figura 9.21.
Figura 9.21 Um contador do processador e outro da memória, sendo monitorados.
Observe que o Processador teve picos de quase 50% de utilização. Já a memória tem se man-
tido em torno de 25%. Existem alguns indicadores que podem nos levar a certas conclusões
interessantes. Por exemplo, se a taxa de utilização do processador permanecer por longos
períodos de tempo, sempre próxima de 80%, pode ser um indicativo de que este é um gar-
galo para o sistema. O processador deve ser substituído por um mais rápido, ou a utilização
de mais do que um processador deve ser considerada. Por outro lado, picos de 100% são
perfeitamente normais. Quando você abre uma aplicativo é normal que a utilização do
processador chegue próxima dos 100%. O que não pode acontecer é uma alta taxa de utili-
zação permanente próxima ou superior a 80%.
No nosso exemplo, a utilização da memória (em torno de 12%) está em um patamar ótimo.
Até 60% seria um valor bastante razoável. Lembrando que picos podem acontecer, o que é
um indicativo de sobrecarga em um dos componentes de hardware é uma taxa de utiliza-
ção constante em patamares elevados.
O console de desempenho exibe uma série de informações para cada um dos contadores
que estão sendo monitorados. Observe que cada um dos contadores possui um gráfico com
cor diferente. Na parte de baixo do console, ao clicar em um contador, você irá selecio-
ná-lo. Observe que, logo abaixo do gráfico, são exibidas diversas informações, dependendo
do contador selecionado.


Ao selecionarmos o contador Porcentagem do tempo do processador, por exemplo, são

exibidas diversas informações, tais como: valor médio, valor mínimo, valor máximo e as-
sim por diante.
9. Para adicionar novos contadores, basta utilizar novamente o botão Adicionar ( botão com
um sinal de +) ou pressionar Ctrl+I.
10. Quando você está monitorando diversos contadores, pode ser útil pôr em destaque o con-
tador selecionado. Para isso, basta pressionar Ctrl+H, que o contador selecionado será pos-
to em destaque, isto é, ficará com a linha do gráfico mais espessa e destacada.
11. Para retirar o destaque do contador, basta pressionar Ctrl+H novamente.
12. Você pode excluir um contador, simplesmente clicando no contador, na parte de baixo do
console, abaixo do gráfico e teclando Delete.
13. Você pode alterar diversas propriedades do gráfico que é exibido no console desempenho,
como por exemplo: cor da linha, cor de fundo, exibir uma grade de referência, etc. Para
acessar estas propriedades, dê um clique com o botão direito do mouse em qualquer parte
do gráfico. No menu que surge, clique em Propriedades.
Será exibida a janela Propriedades do Monitor do Sistema, onde através das guias Ge-
ral, Origem, Dados, Gráfico, Cores e Fontes, você pode alterar diversas propriedades
da exibição do gráfico de desempenho. No exemplo da Figura 9.22, foram incluídas
grades de referência. Esta configuração é feita através da guia Gráfico, da janela de
propriedades.
14. Feche o console de desempenho.
Figura 9.22 Alterando as propriedades do gráfico e incluindo grades de referência.


CONTADORES A SEREM MONITORADOS

PARA OS SERVIÇOS DE REDE
Neste tópico, apresentarei a lista de contadores a serem monitorados para acompanhamento dos
serviços de rede relacionados ao exame 70-216: DNS, DHCP, WINS, RRAS e assim por diante.
PRINCIPAIS CONTADORES DO OBJETO DNS

l Atualização dinâmica enfileirada: Representa o número total de atualizações dinâmicas colo-
cadas na fila pelo servidor DNS.
l Atualização dinâmica recebida: Representa o número total de solicitações de atualizações di-
nâmicas recebidas pelo servidor DNS.
l Atualização dinâmica recebida/s: Representa o número médio de solicitações de atualizações
dinâmicas recebidas pelo servidor DNS por segundo.
l Atualização dinâmica rejeitada: Representa o número total de atualizações dinâmicas rejeita-
das pelo servidor DNS.
l Atualização segura recebida: Representa o número total de solicitações de atualizações seguras
recebidas pelo servidor DNS.
l Atualização segura recebida/s: Representa o número médio de solicitações de atualizações se-
guras recebidas pelo servidor DNS por segundo.
l Consultas recursivas: Representa o número total de consultas recursivas recebidas pelo
servidor DNS.
l Consultas recursivas/s: Representa o número médio de consultas recursivas recebidas pelo ser-
vidor DNS por segundo.
l Êxito da transferência de zona: Representa o número total de transferências de zona bem suce-
didas do servidor DNS mestre.
l Falha da transferência de zona: Representa o número total de transferências de zona que falha-
ram no servidor DNS mestre.
l Não-operação de atualização dinâmica: É o número total de solicitações de não-operação/atu-
alizações dinâmicas vazias recebidas pelo servidor DNS.
l Não-operação de atualização dinâmica/s: É o número médio de não-operação/atualizações di-
nâmicas vazias recebidas pelo servidor DNS por segundo.
l Pedido de transferência de zona recebido: É o número total de pedidos de transferência de
zona recebidos pelo servidor DNS primário.


l Pedido de transferência de zona SOA enviado: É o número total de pedidos de transferência de

zona SOA enviados pelo servidor DNS secundário.
l Pesquisa reversa WINS recebida: É o número total de solicitações de pesquisas reversas WINS
recebidas pelo servidor.
l Resposta reversa WINS enviada: É o número total de respostas de pesquisas reversas WINS en-
viadas pelo servidor.
l Tempos-limite recursivo/s: É o número médio de tempos-limite de envio de consultas recursi-
vas por segundo.
l Tempos-limite de atualização dinâmica: É o número total de tempos-limite de atualizações di-
nâmicas do servidor DNS.
l Tempos-limite recursivos: É o número total de tempos-limite de envio de consultas recursivas.
PRINCIPAIS CONTADORES DO OBJETO SERVIDOR DHCP

l Acks/s: Taxa de Acks DHCP enviados pelo servidor DHCP.
l Comprimento de fila ativa: O número de pacotes na fila de processamento do servidor DHCP.
Este contador representa o número de mensagens recebidas e ainda não processadas pelo ser-
vidor. Um valor elevado para este contador pode indicar um grande número de requisições
sendo enviadas para o servidor DHCP ou problemas no servidor DHCP, os quais estão fazendo
com que este não possa responder o número de requisições que estão chegando.
l Comprimento de fila de verificação de conflito: O número de pacotes no servidor DHCP
aguardando a detecção de conflito (ping). Antes que o servidor DHCP conceda um endereço
para o cliente, o servidor faz uma verificação, usando o comando ping, para saber se o endere-
ço já está em uso na rede. Esta verificação é feita para evitar conflitos. Um valor elevado para
este contador pode indicar um tráfego muito elevado para concessão de endereços no servidor
DHCP. Você também deve verificar o número de tentativas de detecção de conflitos que está
configurada no servidor DHCP, para ver se este número não está muito elevado.
l Descobertas/s: Taxa de descobertas DHCP recebidas pelo servidor DHCP. Um aumento repen-
tino neste contador pode indicar que um grande número de clientes foi inicializado e está ten-
tando obter uma concessão de endereço a partir do servidor DHCP. É normal, por exemplo,
que no início da manhã, quando as pessoas chegam ao trabalho e começam a ligar seus com-
putadores, que este contador apresente valores mais elevados do que durante o horário nor-
mal de expediente.
l Duplicados ignorados/s: É a taxa a qual o servidor DHCP recebeu pacotes duplicados. Pacotes
duplicados pode ser um sinal de problemas com a rede. Pode significar que os clientes DHCP
não receberam uma resposta do servidor, dentro do tempo máximo admitido (time-out), o
que está fazendo com que os clientes reenviem seus pacotes de descoberta ou de requisição, ge-


rando os pacotes duplicados no servidor. Este problema pode ocorrer por um time-out inade-
quadamente configurado nos clientes, por problemas de desempenho da rede o por proble-
mas de desempenho no servidor.
l Informs/s: Taxa de informações do DHCP recebidas pelo servidor DHCP.
l Liberações/s: Taxa de liberações DHCP recebidas pelo servidor DHCP.
l Milissegundos por pacote (Méd).: Tempo médio por pacote que o servidor DHCP leva para envi-
ar uma resposta. Um aumento repentino neste contador pode indicar problemas no disco onde
está a base de dados do DHCP ou uma sobrecarga no servidor onde está o DHCP instalado.
l Nacks/s: Taxa de Nacks DHCP enviados pelo servidor DHCP.
l Ofertas/s: Taxa de ofertas DHCP enviadas pelo servidor DHCP.
l Pacotes expirados/s: É a taxa em que os pacotes expiram na fila de mensagem do servidor
DHCP. A causa da expiração de um pacote é permanecer na fila de mensagens interna do servi-
dor DHCP por um tempo muito grande, até expirar. Um valor elevado para este contador pode
indicar que o servidor DHCP está demorando muito para responder ou que o tráfego no barra-
mento da rede está muito elevado, de tal maneira que o servidor DHCP não está sendo capaz
de dar conta de todas as solicitações. Normalmente, o problema está relacionado com ques-
tões de desempenho da rede, dificilmente a causa é no próprio servidor DHCP.
l Pacotes recebidos/s: É a taxa em que pacotes são recebidos pelo servidor DHCP. Um grande nú-
mero de pacotes recebidos por segundo indica um tráfego elevado de mensagens DHCP no ser-
vidor. Este tráfego pode ser gerado por requisições para renovação de concessões, releases e ou-
tras ações do DHCP, não necessariamente um grande número de requisições.
l Pedidos/s: Taxa de pedidos DHCP recebidos pelo servidor DHCP.
l Rejeições/s: Taxa de rejeição de DHCP recebidas pelo servidor DHCP.
PRINCIPAIS CONTADORES DO OBJETO SERVIDOR DO WINS

l Conflitos em grupo por segundo: Taxa em que registros em grupo recebidos pelo servidor do
WINS resultaram em conflitos com os registros do banco de dados.
l Conflitos exclusivos por segundo: Taxa em que renovações ou registros exclusivos recebidos
pelo servidor do WINS resultaram em conflitos com os registros do banco de dados.
l Consultas com êxito por segundo: Número total de consultas com êxito por segundo.
l Consultas falhas por segundo: Número total de consultas com falhas por segundo.
l Consultas por segundo: Taxa em que consultas são recebidas pelo servidor do WINS.
l Liberações com êxito por segundo: Número total de liberações com êxito por segundo.


l Liberações falhas por segundo: Número total de liberações com falhas por segundo.
l Liberações por segundo: Taxa em que as liberações são recebidas pelo servidor do WINS.
l Número total de conflitos por segundo: Soma de conflitos exclusivos e em grupo por segundo.
É a taxa total em que os conflitos foram vistos pelo servidor do WINS.
l Número total de registros por segundo: Soma de registros exclusivos e em grupo por segundo.
É a taxa total em que os registros são recebidos pelo servidor do WINS.
l Número total de renovações por segundo: Soma das renovações exclusivas e em grupo por se-
gundo. É a taxa total em que as renovações são recebidas pelo servidor do WINS.
l Registros em grupo por segundo: Taxa em que registros em grupo são recebidos pelo servidor
do WINS.
l Registros exclusivos por segundo: Taxa em que registros exclusivos são recebidos pelo servidor
do WINS.
l Renovações em grupo por segundo: Taxa em que renovações em grupo são recebidas pelo ser-
vidor do WINS.
l Renovações exclusivas por segundo: Taxa em que renovações exclusivas são recebidas pelo
servidor do WINS.
PRINCIPAIS CONTADORES DO OBJETO TOTAL DE RAS

l Bytes recebidos: Número total de bytes recebidos para esta conexão.
l Bytes recebidos por segundo: Número de bytes recebidos por segundo.
l Bytes transmitidos: Número total de bytes transmitidos para esta conexão.
l Bytes transmitidos por segundo: Número de bytes transmitidos por segundo.
l Erros de alinhamento: Número total de erros de alinhamento para esta conexão. Erros de ali-
nhamento ocorrem quando um byte recebido é diferente do byte esperado.
l Erros de CRC: Número total de erros de CRC para esta conexão. Erros de CRC ocorrem quando
a estrutura recebida contém dados com erro.
l Erros de saturação da porta serial: Número total de erros de saturação da porta serial para esta
conexão. Erros de saturação da porta serial ocorrem quando o hardware não pode gerenciar a
taxa na qual os dados são recebidos.
l Erros de saturação do buffer: Número total de erros de saturação de buffer para esta conexão.
Erros de saturação de buffer ocorrem quando o software não pode gerenciar a taxa na qual os
dados são recebidos.
l Erros de tempo limite: Número total de erros de tempo limite para esta conexão. Erros de tem-
po limite ocorrem quando algo esperado não é recebido em tempo.


l Porcentagem de compactação de entrada: Razão de compactação dos bytes sendo recebidos.

l Porcentagem de compactação de saída: Razão de compactação dos bytes sendo transmitidos.
l Total de conexões: Número total de conexões de acesso remoto.
l Total de erros: Número total de erros de CRC, de tempo limite, de saturação da porta serial, de
alinhamento e de saturação de buffer para esta conexão.
l Total de erros por segundo.
CONCLUSÃO
Neste capítulo, você aprendeu sobre a importância da monitoração de diversos elementos de
hardware dos servidores para trabalhar de uma maneira pro-ativa, antecipando futuras necessida-
des de atualização de hardware e também sobre os diversos contadores para os serviços de rede do
Windows 2000 Server, tais como o DNS, DHCP, WINS e RRAS.
Você também aprendeu a instalar e a configurar todas as propriedades do protocolo TCP/IP. Des-
de as informações básicas tais como número IP e máscara de sub-rede, até configurações mais
avançadas, tais como servidores DNS, WINS, sufixos de pesquisa DNS, habilitação/desabilitação
do uso de LMHOSTS e o uso de filtros para o protocolo TCP/IP. Sempre é importante salientar que
o protocolo TCP/IP tanto pode ser configurado manualmente quanto automaticamente com o
uso do servidor DHCP (ver Capítulo 4).
Também falei sobre o uso do protocolo NWlink e do cliente para redes Novell CNSW. Para acessar
recursos no servidor Novell, você precisa instalar um protocolo compatível com Novell e um cli-
ente de acesso. O protocolo é o NWLink IPX/SPX/NetBIOS Protocolo de transporte compatível e
o cliente é o Client Service for Netware. Ao instalar o CSNW, se o NWLink IPX/SPX/NetBIOS Pro-
tocolo de transporte compatível não estiver instalado, este será automaticamente instalado, pois
o CSNW depende do NWLink para o seu funcionamento. É isso.


Capítulo 10
RESUMO FINAL E DICAS DE SITES
COM MATERIAL DE ESTUDO

INTRODUÇÃO
Neste capítulo, eu apresento um resumo na forma de rápidos lembretes, sobre os principais pon-
tos que você deve estudar para o Exame 70-216. O objetivo é lembrar o amigo leitor sobre os pon-
tos mais importantes. Em caso de dúvidas sobre um ou mais pontos citados, você deve voltar ao
respectivo capítulo e revisar o conteúdo com mais detalhes.
Este capítulo é indicado para uma leitura após ter estudado os capítulos anteriores, para que você
possa identificar quais pontos precisam de uma revisão mais detalhada e de mais estudo. Eu reco-
mendo também que você faça uma segunda leitura do livro e volte novamente a este resumo.
Uma terceira leitura deste resumo é recomendada como um revisão final (juntamente com o si-
mulado do próximo capítulo) para ser feita um ou dois dias antes do exame.
Para facilitar o acompanhamento, dividirei o resumo por assuntos, tais como DNS, DHCP,
WINS, RRAS, IPSec e assim por diante. Tem alguns pontos que são de fundamental importân-
cia e devem ser revisados seguidamente, até que você tenha um entendimento completo e de-
finitivo sobre o assunto em questão. Por exemplo, não tem como “encarar” este exame sem
dominar, com firmeza, tópicos tais como os fundamentos do TCP/IP, DNS e RRAS, só para ci-
tar alguns exemplos.
Além do material contido neste manual, vou listar uma série de fontes de estudo da Internet,
as quais podem ajudá-lo bastante para obter a aprovação neste exame. Não é meu objetivo “as-
sustar” o candidato, mas é minha obrigação avisar que Exame 70-216 é um dos exames mais
difíceis, se não o mais difícil das Certificações da Microsoft. Por isso é preciso dedicação, estu-
do, experimentação. Eu recomendo que o candidato somente marque o exame quando estiver
realmente convicto de que entendeu e domina os conceitos apresentados neste livro, junta-
mente com uma boa complementação nos endereços indicados neste capítulo. O exame
70-216 exige um bom entendimento dos fundamentos do protocolo TCP/IP e dos diversos ser-
viços relacionados.
Muito bem, vamos à apresentação do resumo para o exame e das dicas para mais sites com mate-
riais de estudo e referência.
RESUMO PARA O EXAME 70-216

A seguir, apresento um resumo, no formato de citação dos tópicos principais, para o Exame
70-216. Os fatos serão apresentados, divididos por assunto, para facilitar a identificação das
áreas onde o amigo leitor ainda possa estar com mais dúvidas e necessita dedicar um pouco
mais de tempo.


Capítulo 10 – RESUMO FINAL E DICAS DE SITES COM MATERIAL DE ESTUDO
FUNDAMENTOS DE REDES BASEADAS NO WINDOWS 2000 E NO ACTIVE DIRECTORY

l O Active Directory, basicamente, é uma base de dados e um conjunto de serviços. Na base de
dados do Active Directory, estão informações sobre todos os objetos da rede, tais como: usuá-
rios, grupos, computadores, impressoras, servidores, domínios, unidades organizacionais e as-
sim por diante. Os serviços do Active Directory permitem a manutenção, atualização e replica-
ção desta base de dados, além de fornecer serviços de pesquisa de objetos.
l Conheça o conceito de diretório. No Capítulo 1, você aprendeu que até mesmo uma lista tele-
fônica pode ser considerada um exemplo de diretório. Você também ficou sabendo que, na
prática, existem vários diretórios na rede das empresas. Por isso que o usuário é obrigado a uti-
lizar diferentes senhas para acessar os diferentes sistemas da empresa. De uma maneira simpli-
ficada, para cada diretório existente na rede, uma senha.
l Entenda as diferenças entre uma rede baseada no conceito de Workgroup e uma rede baseada
em diretórios. A rede baseada em Workgroup é difícil de administrar, sendo recomendada so-
mente para pequenas redes, onde existe um único servidor e não mais do que dez estações de
trabalho. Já redes baseadas em diretórios podem crescer e atender a milhares de usuários e de-
zenas, até mesmo centenas ou milhares de servidores.
l Saiba exatamente qual é o papel do Windows 2000 Server dentro de uma rede baseada em do-
mínios. Um servidor baseado no Windows 2000 Server pode assumir o papel de DC (Domain
Controler – Controlador de domínio). No DC, fica uma cópia integral da base de dados do
Active Directory. Esta base pode sofrer alterações, as quais devem ser replicadas para os demais
DCs do domínio.
l Conheça o conceito de Domínio no Windows 2000 Server. Você aprendeu que um domínio,
basicamente, é uma divisão lógica da rede e uma unidade em termos administrativos e de apli-
cação de uma política de segurança.
l Um domínio pode conter diversos objetos, tais como usuários, grupos de usuários, contas de
computadores e assim por diante. Todas estas informações ficam armazenadas na base de da-
dos do Active Directory.
l A utilização de Unidades Organizacionais ajuda a eliminar alguns problemas de administra-
ção existentes no NT Server 4.0. Com o uso de Unidades Organizacionais, é possível fazer uma
divisão lógica do domínio, baseada em critérios geográficos ou funcionais. Com o uso de Uni-
dades Organizacionais é possível delegar permissões administrativas em nível da Unidade
Organizacional e não somente no nível de domínio, como ocorria com o NT Server 4.0.
l Você pode dividir a rede da sua empresa em vários domínios, criando assim uma árvore de do-
mínios. Mostrei que dentro da árvore deve ser utilizado um espaço de nomes contínuo, no
qual o nome do objeto filho deve conter todo o nome do objeto pai.
l Seguindo o estudo do Active Directory, apresentei o importante conceito de Catálogo Global.
Pelo menos um DC de cada domínio atua também como Servidor de Catálogo Global. No DC,


está a cópia completa da base de dados do domínio do DC. No Servidor de Catálogo Global
está a cópia completa da base de dados do domínio do Servidor de Catálogo Global e uma có-
pia parcial (somente alguns atributos) da base de dados de todos os demais domínios da flores-
ta. O Servidor de Catálogo Global ajuda a reduzir o tráfego de rede e a agilizar as pesquisas reali-
zadas no Active Directory. O administrador pode configurar mais DCs do domínio para que
também atuem como Servidores de Catálogo Global.
l Outro conceito muito importante é o de relações de confiança. Neste tópico, fiz um pequeno
histórico sobre como eram as relações de confiança na época do NT Server 4.0. Você aprendeu
que no NT Server 4.0, as relações de confiança eram unidirecionais, não transitivas e tinham
que ser criadas e mantidas manualmente pelo administrador. Já no Windows 2000 Server, as
relações de confiança são criadas automaticamente, são transitivas e são bidirecionais.
l Além da divisão lógica existe uma divisão física do Active Directory. Domínios, árvores, flores-
tas, etc., constituem a estrutura e a divisão lógica do Active Directory. O conceito de sites repre-
senta a estrutura e a divisão física do Active Directory. O principal objetivo de dividir a rede em
sites é para que o KCC (serviço do Active Directory responsável por determinar um esquema de
replicação otimizado) possa determinar qual o melhor esquema de replicação a ser utilizado,
mantendo um equilíbrio entre o tempo de atualização dos DCs e a quantidade de informações
de replicação a ser gerada nos links de WAN.
Nos endereços a seguir, você encontra informações detalhadas sobre o Active Directory. Porém é
importante ressaltar que para o Exame 70-216, bastam os conceitos básicos de Active Directory
apresentados neste livro. O Active Directory é cobrado em detalhes no Exame 70-217. Para um
guia de estudos para o Exame 70-217, consulte o livro Manual de Estudos para o Exame 70-217, de
minha autoria, também publicado pela Axcel Books.
Sites com informações adicionais sobre o Active Directory:
l http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/adarch.asp.
l http://www.microsoft.com/windows2000/server/evaluation/features/adlist.asp.
l http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/glossary.asp.
l http://support.microsoft.com/servicedesks/webcasts/so_projects/so12/soblurb12.asp.
l http://support.microsoft.com/servicedesks/webcasts/wc011300/wcblurb011300.asp.


l http://www.microsoft.com/technet/win2000/win2ksrv/technote/actdirts.asp.
l http://support.microsoft.com/support/win2000/dns.asp.
l http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/adsites.asp.
l http://www.microsoft.com/windows2000/server/evaluation/features/dirlist.asp.
FUNDAMENTOS DO PROTOCOLO TCP/IP

l Para que os computadores de uma rede possam trocar informações é necessário que todos ado-
tem as mesmas regras para o envio e o recebimento de informações. Este conjunto de regras é
conhecido como Protocolo de comunicação. Falando de outra maneira podemos afirmar:
No protocolo de comunicação estão definidas todas as regras necessárias para que o computa-
dor de destino “entenda” as informações no formato que foram enviadas pelo computador de
origem. Dois computadores, com protocolos diferentes instalados, não serão capazes de esta-
belecer uma comunicação e trocar informações.
l Dos principais sistemas operacionais do mercado, o UNIX sempre utilizou o protocolo TCP/IP
como padrão. O Windows dá suporte ao protocolo TCP/IP desde as primeiras versões, porém o
TCP/IP somente tornou-se o protocolo padrão a partir do Windows 2000. No Windows Server
2003, o TCP/IP é automaticamente instalado e não pode ser desinstalado (esta é uma das novi-
dades do Windows Server 2003). Ser o protocolo padrão significa que o TCP/IP será instalado
automaticamente durante a instalação do sistema operacional, a não ser que um protocolo di-
ferente seja selecionado. Até mesmo o sistema operacional Novell, que sempre foi baseado no
IPX/SPX como protocolo padrão, passou a adotar o TCP/IP como padrão a partir da versão 5.0.
l Cada computador da rede precisa de, pelo menos, dois parâmetros do protocolo TCP/IP, confi-
gurados, para que seja possível a comunicação dentro da rede local:
– Número IP.
– Máscara de sub-rede.
l Para se comunicar em uma rede local, baseada no protocolo TCP/IP, todo equipamento deve
ter, pelo menos, um número IP e uma máscara de sub-rede, sendo que todos os equipamentos
da rede devem ter a mesma máscara de sub-rede.
l Para que seja possível a comunicação com outras redes, além do número IP e da máscara de
sub-rede, cada computador deve ter configurado o valor do Default Gateway. Neste parâme-
tro, normalmente, é informado o número IP do roteador da rede.
l A conexão da rede local com outras redes é feita através de linhas de comunicação de dados
(mais conhecidos como links de dados). Para que essa comunicação seja possível, é necessário


um equipamento capaz de enviar informações para outras redes e receber informações destas
redes. O equipamento utilizado para este fim é o roteador (veja detalhes sobre roteamento
mais adiante). Todo pacote de informações que deve ser enviado para outras redes deve, obri-
gatoriamente, passar pelo roteador. Todo pacote de informação que vem de outras redes tam-
bém deve, obrigatoriamente, passar pelo roteador. Como o roteador é um equipamento de
rede, este também terá um número IP. O número IP do roteador deve ser informado em todos
os demais equipamentos que fazem parte da rede, para que estes equipamentos possam se co-
municar com os redes externas. O número IP do roteador é informado no parâmetro conhe-
cido como Default Gateway (Gateway padrão). Na prática, quando configuramos o parâmetro
Default Gateway, estamos informando o número IP do roteador. Quando um computador da
rede tenta se comunicar com outros computadores/servidores, o protocolo TCP/IP faz alguns
cálculos utilizando o número IP do computador de origem, a máscara de sub-rede e o número IP
do computador de destino (veremos estes cálculos em detalhes, mais adiante). Se, após feitas as
contas, for concluído que os dois computadores fazem parte da mesma rede, os pacotes de infor-
mação são enviados para o barramento da rede local e o computador de destino captura e pro-
cessa as informações que lhe foram enviadas. Se, após feitas as contas, for concluído que o com-
putador de origem e o computador de destino fazem parte de redes diferentes, os pacotes de
informação são enviados para o roteador (número IP configurado como Default Gateway) e o
roteador é o responsável por achar o caminho (a rota) para a rede de destino.
Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP
e conectada a outras redes ou à Internet, devemos configurar, no mínimo, os seguintes
parâmetros:
– Número IP.
– Máscara de sub-rede.
– Default Gateway.
l As configurações do protocolo TCP/IP podem ser definidas manualmente, isto é, configuran-
do cada um dos equipamentos necessários. Esta é uma solução razoável para pequenas redes,
porém pode ser um problema para redes maiores, com um grande número de equipamentos
conectados. Para redes maiores é recomendado o uso do serviço DHCP – Dynamic Host Confi-
guration Protocol. O serviço DHCP pode ser instalado em um servidor com o Windows NT Ser-
ver 4.0, Windows 2000 Server ou Windows Server 2003. Uma vez disponível e configurado, o
serviço DHCP fornece todos os parâmetros de configuração do protocolo TCP/IP para os equi-
pamentos conectados à rede. Os parâmetros são fornecidos quando o equipamento é iniciali-
zado e podem ser renovados em períodos definidos pelo administrador. Com o uso do DHCP,
uma série de procedimentos de configuração podem ser automatizados, o que facilita a vida do
administrador e elimina uma série de erros.
l Estude e entenda como funciona o sistema de numeração binário e como o TCP/IP usa os cál-
culos binários e a máscara de sub-rede para determinar se dois computadores estão na mesma
rede ou em redes separadas. Estes detalhes estão no Capítulo 2.


l Quando dois computadores tentam trocar informações em uma rede, o TCP/IP precisa, pri-
meiro, “calcular” se os dois computadores pertencem a mesma rede ou a redes diferentes. Nes-
te caso, podemos ter duas situações distintas:
– Situação 1: Os dois computadores pertencem a mesma rede. Neste caso, o TCP/IP envia o pa-
cote para o barramento da rede local. Todos os computadores recebem o pacote, mas somente
o destinatário do pacote (identificado pelo campo IP de destino, contido no pacote de infor-
mações) é que o captura o pacote e passa-o para processamento pelo Windows e pelo programa
de destino. Como é que o computador sabe se ele é ou não o destinatário do pacote? Muito
simples, no pacote de informações está contido o endereço IP do destinatário. Em cada com-
putador, o TCP/IP compara o IP de destinatário do pacote com o IP do computador, para saber
se o pacote é ou não para o respectivo computador.
– Situação 2: Os dois computadores não pertencem a mesma rede. Neste caso, o TCP/IP envia o
pacote para o roteador (endereço do Default Gateway configurado nas propriedades do
TCP/IP) e este se encarrega de fazer o pacote chegar à rede de destino. Mais adiante mostrarei
detalhes sobre como o roteador é capaz de rotear pacotes de informações até redes distantes.
l Conheça as Classes Padrão de endereço (A, B, C, D e E) e a máscara padrão para cada classe.
Estes detalhes também estão explicados, no Capítulo 2 e resumidos na tabela da Figura 10.1.
l Revise os princípios básicos de roteamento apresentados no Capítulo 2 e entenda como é feito
o processo de roteamento, desde a origem até o destino. A análise dos exemplos práticos, apre-
sentados no Capítulo 2, facilita este entendimento.
Figura 10.1 Quadro resumo das classes de redes.
l A chave toda para o processo de roteamento é o software presente nos roteadores, o qual atua
com base em tabelas de roteamento. Ou o roteador sabe entregar o pacote diretamente para a
rede de destino ou sabe para qual roteador enviar. Esse processo continua, até que seja possível
alcançar a rede de destino. Claro que em redes mais complexas pode haver mais de um cami-
nho entre origem e destino. Por exemplo, na Internet, pode haver dois ou mais caminhos pos-
síveis entre o computador de origem e o computador de destino. Quando um arquivo é trans-
mitido entre os computadores de origem e destino, pode acontecer de alguns pacotes de
informação serem enviados por um caminho e outros pacotes por caminhos diferentes. Os pa-
cotes podem, inclusive, chegar fora de ordem no destino. O protocolo TCP/IP é o responsável
por identificar cada pacote e colocá-los na seqüência correta.


l Existe também um número máximo de roteadores pelos quais um pacote pode passar, antes de
ser descartado. Normalmente, este número é de 16 roteadores. No exemplo da segunda análi-
se, cada pacote passa por dois roteadores, até sair de um computador na rede 03 e chegar ao
computador de destino, na rede 02. Este passar por dois roteadores é tecnicamente conhecido
como “ter um caminho de 2 hopes”. Um hope significa que passou por um roteador. Diz-se,
com isso, que o caminho máximo de um pacote é de 16 hopes. Isso é feito para evitar que paco-
tes fiquem circulando indefinidamente na rede e congestionem os links de WAN, podento até
chegar a paralisar a rede.
l Uma situação que poderia acontecer, por erro nas tabelas de roteamento, é um roteador x mandar
um pactoe para o y, o y mandar de volta para o x, o roteador x de volta para y e assim indefinida-
mente. Esta situação ocorreria por erros nas tabelas de roteamento. Para evitar que estes pacotes fi-
cassem circulando indefinidamente na rede, é que foi definido o limite de 16 hopes.
l Revise a explicação sobre tabela de roteamento, apresentada no Capítulo 2.
Não deixe de revisar, em hipótese nenhuma, o conceito e os exemplos práticos sobre sub-netting,
apresentados no Capítulo 2. Você tem que estar seguro e saber como calcular o número de bits a ser
utilizado para a máscara de sub-rede, para atender um determinado número de redes ou um deter-
minado número de computadores por rede. Ao saber o número de bits, você define a máscara de
sub-rede. Esteja preparado para questões que irão testar este conhecimento.
Sites com informações adicionais sobre o protocolo TCP/IP:
l http://www.csie.nctu.edu.tw/document/CIE/index.htm (Excelente).
l http://www.wanresources.com/tcpcell.html (Formato dos pacotes).
l http://www.cpe.ku.ac.th/~nguan/resource/slide/network.html.
l http://www.protocols.com/pbook/tcpip.htm (Excelente).
l http://www.learntcpip.com/ (Excelente).
l http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ip.htm.
l http://www3.mwc.edu/~jhaynes/tcpip.htm (Ótimo curso OnLine).
l http://www.cisco.com/warp/public/535/4.html.
l http://ipprimer.windsorcs.com/ (Excelente).
l http://www.free-ed.net/fr03/lfc/course%2520030108_02/index.html.
l http://www.free-ed.net/fr03/lfc/course%20030108_02/index.html.
l http://www.cisco.com/warp/public/535/4.html.
l http://www.yahoo.com/Computers_and_Internet/Communications_and_Networking/Pro-
tocols/IP/.
l http://tcpsat.lerc.nasa.gov/tcpsat/papers.html.


l http://www.hill.com/library/publications/tcpip.shtml.
l http://www.learntosubnet.com/.
l http://dir.yahoo.com/Computers_and_Internet/Communications_and_Networking/Proto-
cols/TCP_IP/RFCs/.
l http://www.itprc.com/tcp_ip.htm.
l http://www.journyx.com/tcpip_resources.html.
l http://www.itlearningdirectory.com/default2.asp?tree=67.
l http://www.labmice.net/networking/TCP.htm.
l dmoz.org/Computers/Internet/Protocols/ Transmission_Protocols/TCP/.
l directory.google.com/Top/Computers/Internet/Protocols/ Transmission_Protocols /Networ-
king_Resources/.
l http://www.protocols.com/pbook/tcpip.htm.
l http://www.softpanorama.org/Net/tcp_links.shtml.
l http://www.3com.com/solutions/en_US/ncs/501302.html.
l http://www.bitpipe.com/.
l http://infobase.informit.com/linux/content/bookframe.html?0672312484.
l http://www.itpapers.com/resources/tech_guides.html.
l http://www.itpapers.com/cgi/PSummaryIT.pl?paperid=12324&scid=184.
l http://www.itpapers.com/cgi/PSummaryIT.pl?paperid=10729&scid=280.
l http://www.phy.duke.edu/naturalscience/ANS%20Designs/NetTool.html.
l http://home.att.net/~dandress2/IPSub.html.
l http://www.lancert.com.au/IPCalculator.htm.
l http://www.ajw.com/.
l http://www.indiesoft.com/.
O QUE VOCÊ NÃO PODE ESQUECER SOBRE O DNS

l O DNS fornece resolução de nomes em redes baseadas no protocolo TCP/IP. A resolução de
nome para endereço IP é conhecida como resolução direta e é executada a partir das informa-
ções contidas nas zonas de pesquisa direta (Forward Lookup Zone). Existe também a resolução
inversa, que é feita a partir de pesquisas nas zonas de pesquisa inversa.
l O nome FQDN – Full Qualified Domain Name é o nome completo do computador. Por exem-
plo, micro01.abc.com.br é um FQDN. A primeira parte do nome, antes do primerio ponto, é
conhecida como nome de host (ou nome não qualificado). No nosso exemplo, micro01 seria o
nome de host.


l O DNS usa um modelo Cliente/Servidor no qual o servidor DNS contém informações sobre o
espaço de nomes DNS e fornece resolução de nomes para consultas enviadas pelos clientes.
l Quando o servidor DNS recebe uma consulta, tenta respondê-la usando as informações
contidas em sua base de dados. Caso não seja possível responder a consulta com base nas
informações do próprio servidor DNS, poderá repassar a consulta (forward) para outros ser-
vidores DNS.
l Existem dois tipos diferentes de consultas no DNS. Consulta interativa e consulta recursiva.
Revise as diferenças entre estas duas formas de resolução, as quais foram detalhadamente des-
critas no Capítulo 3.
l Em uma consulta interativa, o servidor DNS retorna a melhor resposta que este é capaz de loca-
lizar. Normalmente, o servidor DNS retorna diretamente para o cliente, o número IP de um ou-
tro servidor DNS, o qual poderá continuar o processo de resolução da consulta. O cliente então
envia a consulta para este outro servidor DNS. Este processo pode continuar até que a consulta
seja resolvida ou que uma resposta negativa retorne para o cliente. Em resumo, na resolução
interativa, o servidor DNS pode retornar para o cliente, a seguinte resposta: “Eu não sei resol-
ver a sua consulta, mas sugiro que você consulte este servidor DNS” (informa o IP de um outro
servidor DNS).
l Em uma consulta recursiva, o próprio servidor DNS é responsável por recorrer a outros servido-
res DNS, até que uma resposta seja obtida para a consulta, quer seja uma resposta positiva o ne-
gativa. Somente quando o servidor DNS tem uma resposta conclusiva (positiva ou negativa) é
que retorna o resultado para o cliente.
l O espaço de nomes do DNS é divido em zonas. Uma zona pode armazenar informações so-
bre um ou mais domínios DNS ou sobre porções de um domínio DNS. Para cada nome de
domínio incluído em uma zona, a zona torna-se a autoridade para informações sobre o
respectivo domínio.
l Em um mesmo servidor DNS podem ser configuradas diversas zonas.
l Uma zona de pesquisa inversa é um subdomínio do domínio in-addr.arpa. O nome do subdo-
mínio é o número da rede com os octetos em ordem inversa. Por exemplo, para a rede
10.15.20.0/255.255.255.0, a zona de resolução inversa é 20.15.10.in-addr.arpa.
l Para que o Active Directory seja instalado, é preciso que o assistente de instalação do Active Di-
rectory possa contatar um servidor DNS no padrão BIND 8.1.2 ou superior. Se não for possível
localizar um servidor DNS, o processo de instalação do Active Directory será abortado.
l As informações do DNS são gravadas em zonas. Uma zona pode conter informações de um ou
mais domínios. Uma zona pode ser copiada em dois ou mais servidores DNS. Somente uma
zona pode receber alterações, a zona primária, que fica no servidor DNS onde a zona foi criada
originalmente. O DNS replica as alterações feitas na zona primária para todas as zonas secun-
dárias. Somente as alterações são transmitidas e não todo o conteúdo da zona. Esta é uma das
novidades do DNS no Windows 2000 Server.


l Já para zonas integradas com o Active Directory, as alterações podem ser feitas em qualquer
DN no qual exista uma cópia da zona integrada com o Active Directory. Uma zona integrada
ao Active Directory é replicada para todos os DCs do domínio e alterações podem ser feitas na
cópia da zona em qualquer um dos DCs.
l Zonas integradas ao Active Directory somente aceitam atualiações dinâmicas seguras, isto é,
atualizações dinâmicas enviadas por computadores autenticados no domínio do Active Direc-
tory. Esta é uma importante opção de segurança e uma das principais vantagens do uso de zo-
nas integradas ao Active Directory.
l Você pode criar um servidor somente cache. O servidor somente cache não é autoridade para
nenhuma zona, nenhuma zona é criada neste servidor. Apenas recebe consultas, envia as con-
sultas para outros servidores, recebe as respostas, armazena as respostas no cache do servidor
DNS e retorna as respostas para os clientes.
l Utilize o comando ipconfig/flushdns para limpar o cache DNS na estação de trabalho do clien-
te. Esta opção é útil quando o cliente consegue acessar alguns endereços e outros não. Pode ha-
ver endereços incorretos, armazenados no cache local. Ao limpar o cache, você força que o
nome seja novamente resolvido pelo DNS. Para exibir o conteúdo do cache local do cliente,
utilize o comando ipconfig/displaydns.
l No processo de recursão, o servidor DNS consulta uma série de outros servidores até obter uma
resposta positiva (ou negativa) para retornar ao cliente. No processo de interação, o servidor
DNS responde ao cliente, com uma referência para o próximo servidor DNS que pode ser con-
sultado. O cliente consulta o servidor DNS informado. Este novo servidor pode responder dire-
tamente à consulta ou informar o nome de um outro servidor DNS. E este processo continua
até que o nome seja resolvido ou uma resposta negativa seja retornado.
l Você pode habilitar/desabilitar o recurso de atualizações dinâmicas em nível de zona. Você
pode ter uma zona, em um servidor DNS, configurada para aceitar atualizações dinâmicas e
outra zona, neste mesmo servidor, configurada para não aceitar atualizações dinâmicas.
l Alguns arquivos utilizados pelo DNS são gravados na pasta systemroot\system32\drivers\etc.
Como, por exemplo, o arquivo cache.dns, no qual ficam os nomes dos arquivos root da Inter-
net, mais conhecidos como root hints e “horrivelmente” traduzidos por Dicas de raiz.
l As configurações do cliente DNS são feitas nas propriedades do protocolo TCP/IP, clicando no
botão Avançado. Uma das opções que você pode configurar é uma lista de sufixos a serem pes-
quisados, como por exemplo: abc.com.br, rh.abc.com.br e sul.rh.abc.com.br.
l O principal registro de uma zona é o registro SOA – Start of Authority. Neste registro, estão in-
formações tais como o número de versão da zona, o TTL padrão para os registros da zona e as-
sim por diante.
l Pode haver uma única zona primária para cada domínio. Você pode criar uma ou mais zonas
secundárias para cada domínio. As informações são copiadas da zona primária para as zonas
secundárias. A transferência é incremental, ou seja, somente as alterações são copiadas da
zona primária para as zonas secundárias e não todo o conteúdo da zona.


l Para reduzir o tráfego devido a resolução de nomes do DNS, você pode instalar servidores DNS
secundários, em cada unidade onde seja necessária a resolução de nomes. Porém você deve es-
tar consciente de que haverá um aumento do tráfego de replicação de zonas no DNS.
l Você pode desabilitar o recurso de forward nas propriedades de uma determinada zona, em
um servidor DNS.
l Cada zona de um servidor DNS pode ser configurada para permitir ou não atualizações dinâ-
micas. Os clientes do Windows 2000, que utilizam o DHCP para configuração automática do
TCP/IP, podem ter seus registros criados, automaticamente, no DNS, dependendo de como foi
configurado o DHCP, conforme descrito no Capítulo 4.
l Alterações, inclusões e exclusões de registros somente podem ser feitos na zona primária, po-
rém, mesmo que o servidor onde está a zona primária apresente problemas, a resolução de no-
mes pode continuar normalmente a partir das zonas secundárias. A possibilidade de criação de
zonas secundárias, em servidores DNS de cada localidade, fornece um mecanismo de redun-
dância a falhas, no evendo de o servidor DNS, onde está a zona primária, apresentar proble-
mas. Claro que a sincronização de informações entre a zona primária e as zonas secundárias,
gera tráfego nos links de WAN, mas é uma quantidade de tráfego bem menor do que o gerado
pela resolução de nomes.
l A sincronização entre a zona secundária e a zona primária pode ocorrer em um dos seguintes
cenários:
– Quando o intervalo de atualiação for atingido. De tempos em tempos, os servidores secundários

são notificados. Se não houver nenhuma alteração, não será transmitida nenhuma informação.
– Quando o servidor DNS secundário (onde está a zona secundária) é notificado pelo DNS pri-
mário de que houve alterações na zona primária.
– Quando o serviço DNS é inicializado no servidor DNS secundário.
– Uma transferência pode ser inicializada, manualmente pelo administrador, usando o conso-
le de administração do DNS.
Descrição de alguns dos principais tipos de registros do DNS do Windows 2000 Server.
A
Descrição: Endereço de Host (Host address (A) resource record). É o tipo mais utilizado, faz o ma-
peamento de um nome DNS para um endereço IP versão 4, de 32 bits.
Exemplos:
host1.example.microsoft.com. IN A 127.0.0.1
srv01.abc.com.br IN A 100.100.200.150
srv02.abc.com.br IN A 100.100.200.151


AAAA
Descrição: Endereço de host IPv6 (IPv6 host address (AAAA)). Faz o mapeamento de um nome
DNS para um endereço IP versão 6, de 128 bits.
Exemplo:
ipv6_host1.example.microsoft.com. IN AAAA 4321:0:1:2:3:4:567:89ab
CNAME
Descrição: Canonical name (CNAME). Mapeia um alias (apelido) ou nome DNS alternativo. Por
exemplo, suponha que o site da empresa esteja no servidor srv01.abc.com.br. Porém, na Internet,
os usuários irão utilizar o nome www.abc.com.br. Neste caso, basta criar um alias www que faz re-
ferência ao nome srv01.abc.com.br. Pronto, quando os usuários digitarem www.abc.com.br esta-
rão acessando, na verdade, o endereço srv01.abc.com.br. Porém, para o usuário, tudo ocorre trans-
parentemente, como se o nome fosse realmente www.abc.com.br.
Exemplo
www.abc.com.br. CNAME srv01.abc.com.br.
HINFO
Descrição: Host information (HINFO). Utilizado para armazenar informações sobre o hardware
do servidor DNS, tais como tipo de CPU, tipo e versão do sistema operacional e assim por diante.
Estas informações pode ser utilizadas por protocolos como por exemplo o FTP, o qual utiliza pro-
cedimentos diferentes para diferentes sistemas operacionais.
Exemplo:
my-computer-name.example.microsoft.com. HINFO INTEL-386 WIN32
MX
Descrição: Mail exchanger (MX). Fornece informações utilizadas pelos servidores de e-mail para o
roteamento de mensagens. Cada host definido em um registro MX deve ter um correspondente
registro do tipo A em uma zona válida, no servidor DNS.
Exemplo:
example.microsoft.com. MX 10 mailserver1.example.microsoft.com


O número de dois dígitos após o MX é um indicativo da ordem de preferência quando mais de um

registro MX é configurado na mesma zona.
NS
Descrição: É utilizado para relacionar um nome DNS com o seu dono, ou seja, o servidor que é a
autoridade para o nome DNS, ou, em outras palavras, o servidor DNS onde está a zona primária do
nome.
Exemplo:
example.microsoft.com. IN NS nameserver1.example.microsoft.com
PTR
Descrição: Pointer (PTR). É utilizado em zonas reversas para fazer o mapeamento reverso, ou
seja, o mapeamento de um número IP para um nome. Ao criar um registro do tipo A, em uma
zona direta, você pode criar, automaticamente, o registro PTR associado, se já houver uma zona
reversa configurada.
Exemplo:
10.20.20.10.in-addr.arpa. PTR host.example.microsoft.com.
Logo em seguida você aprenderá sobre zonas reversas.
SOA
Descrição: Start Of Authority (SOA). O principal registro, o registro que define muitas das caracte-
rístias de uma zona. Contém o nome da zona e o nome do servidor que é a autoridade para a referi-
da zona, ou seja, o servidor DNS onde esta zona foi criada originalmente. Contém também a defi-
nição de outras características básicas da zona. É sempre o primeiro registro da zona, pois é criado
durante a criação da zona. Define características tais como o número serial da zona (que é um in-
dicativo se houve ou não alterações na zona). Este número é utilizado para controlar a replicação
entre a zona primária e as zonas secundárias, o valor do TTL para os demais registros da zona e as-
sim por diante.


Exemplo:
@ IN SOA nameserver.example.microsoft.com. postmaster.example.microsoft.com. (

1 ; serial number
3600 ; refresh [1h]
600 ; retry [10m]
86400 ; expire [1d]
3600 ) ; min TTL [1h]
CONSIDERAÇÕES SOBRE ATUALIZAÇÕES DINÂMICAS NO DNS
A possibilidade de atualização dinâmica no DNS passou a estar disponível para o mundo Win-
dows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem dinami-
camente registrar e atualizar seus registros no servidor DNS. Isso reduz a necessidade de o admi-
nistrador manualmente criar entradas e fazer alterações no DNS, sempre que o nome ou número
IP de um computador for alterado.
A atualização dinâmica pode ser habilitada em nível de zona, ou seja, posso ter duas zonas no
mesmo servidor DNS, uma com atualização dinâmica habilitada e outra não. O cliente DNS, na
estação de trabalho do usuário, é capaz de registrar um registro do tipo A (na zona direta) e o regis-
tro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos não têm su-
porte para criação e atualização dinâmica de registros no DNS. O Windows 2000, o Windows XP e
o Windows 2000 Server são as versões do Windows cujo client DNS dá suporte à atualização dinâ-
mica. A criação dos registros do tipo A e do tipo PTR é feita pelo cliente DHCP, durante a inicializa-
ção de um computador com uma destas versões do Windows (2000, XP ou 2003) e é atualizado a
cada 24 horas. Mesmo que você use um endereço IP fixo, configurado manualmente, o cliente
DHCP fará o registro dinâmico, a não ser que este seja desabilitado. Os DCs atualizam seus regis-
tros no DNS a cada hora. Esta atualização é controlada pelo serviço Netlogon.
Versões do Windows mais antigas (Windows 95, 98, 3.11, etc.) podem ter suas informações registradas
dinamicamente no DNS. Porém este registro tem que ser feito pelo servidor DHCP. Neste caso, o servi-
dor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar regis-
tros do tipo A e do tipo PTR para clientes com versões do Windows nas quais o cliente DNS não dá su-
porte à atualização dinâmica. Para detalhes sobre como configurar o DHCP consulte o Capítulo 4.
O registro dinâmico é feito utilizando o nome completo do computador. Por exemplo, um com-
putador com nome de host comp01, em um domínio abc.com.br, será registrado como com-
p01.abc.com.br. O endereço IP associado ao nome será obtido a partir das configurações do pro-
tocolo TCP/IP, quer tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido
configuradas manualmente. Lembrando que, para versões do Windows mais antigas, somente
quando as configurações são feitas via DHCP é que haverá o registro dinãmico no DNS (se o servi-
dor DHCP estiver configurado para tal).


Uma atualização dinâmica será enviada para o servidor DNS quando uma das situações a seguir
ocorrer:
– Um endereço IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma

das conexões de rede do computador.
– Houver uma renovação ou troca de endereço IP, obtido a partir do servidor DHCP em qualquer
das conexões de rede. Por exemplo, quando o computador for inicializado (o endereço IP é obtido
a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado.
– Quando for utilizado o comando ipconfig /registerdns para forçar uma atualização do nome do
computador com o servidor DNS.
– Quando o computador é inicializado.
– Quando um member server for promovido a DC.
Algumas regras são aplicadas quando um registro é dinamicamente criado no DNS:
– Quando um cliente tenta criar dinamicamente um novo registro e o registro não existe, o servi-
dor DNS cria o novo registro sem problemas.
– Se o registro já existe, porém com um nome diferente e com o mesmo endereço IP, o novo regis-
tro é adicionado e o registro antigo será mantido.
– Se o registro já existe com o mesmo nome, mas com um endereço IP diferente, o registro anterior
será sobrescrito com as novas informações.
Somente o servidor onde está a zona DNS primária é que pode fazer as atualizações dinâmicas. Po-
rém, pode acontecer, de um cliente estar utilizando um servidor DNS onde está uma zona secun-
dária para o domínio do cliente. Neste caso, a solicitação de atualização é enviada para o servidor
onde está a zona secundária. Este repassa a mensagem de atualização para o servidor DNS onde
está a zona primária. As atualiações são feitas na zona primária. Após ter sido atualizada a zona
primária, o servidor DNS primário envia mensagens para os servidores onde existem zonas secun-
dárias, notificando que novas atualizações estão disponíveis. As alterações são copiadas da zona
primária para todas as zonas secundárias.
Caso o cliente esteja utilizando um servidor DNS que não é autoridade para a zona a ser atuali-
zada dinamicamente, com um servidor DNS somente cache (que será explicado mais adiante),
o servidor, que não é autoridade para a zona, não irá repassar a mensagem de atualização
para o servidor DNS onde está a zona primária a ser atualizada e, portanto, as atualizações
não serão efetudas.


O DNS faz o registro automático dos registros do tipo A, tipo PTR e tipo SRV. Este registro é feito pelo
serviço Netlogon que roda em todos os DCs. Os registros são atualizados sempre que o serviço Ne-
tlogon for inicializado e depois automaticamente a cada hora.
Se você fizer alterações no DNS de um controlador de domínio e quiser que estas alterações sejam
enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o serviço Netlo-
gon. Enquanto o serviço Netlogon estiver parado, clientes com o Windows 2000, XP Professional
ou Windows 2000 Server continuarão sendo autenticados sem problemas (estes clientes são au-
tenticados pelo protocolo Kerberos). Já clientes mais antigos, como o Windows 95 ou 98 (que de-
pendem do serviço Netlogon) não poderão ser autenticados enquanto o serviço Netlogon não ti-
ver sido reinicializado.
Sites com informações adicionais, artigos e tutoriais sobre o DNS:
l http://www.microsoft.com/TechNet/win2000/win2ksrv/reskit/tcpch06.asp.
l http://www.microsoft.com/ISN/news/dynamic_dns_updates_.asp.
l http://www.microsoft.com/windows2000/library/howitworks/communications/name-
adrmgmt/w2kdns.asp.
l http://support.microsoft.com/?kbid=174224.
l http://www.microsoft.com/TechNet/network/domain.asp.
l http://support.microsoft.com/support/win2000/dns.asp.
l http://www.windows2000faq.com/Section.cfm?sectionID=10.
l http://www.globetrotting.com/windowsnt/dns.htm.
l http://www.winnetmag.com/Articles/Index.cfm?ArticleID=7733.
l http://support.microsoft.com/default.aspx?scid=/servicedesks/webcasts/wc101601/
wcblurb101601.asp.
l http://www.microsoft.com/technet/winnt/Winntas/technote/ImplemntIntegra/dns0197.asp.
l http://www.microsoft.com/technet/win2000/win2ksrv/reskit/tcpch05.asp.


l FTP://FTP.microsoft.com/bussys/winnt/winnt-docs/papers/.
l http://www.microsoft.com/technet/win2000/win2ksrv/technote/w2kdns.asp.
l http://www.lucentnps.com/knowledge/whitepapers/win_2k_dns_integration.asp.
l http://www.microsoft.com/Seminar/1033/19981102NT4DNS200/Portal.htm.
l http://support.microsoft.com/?kbid=228803http://support.microsoft.com/?kbid=232025.
O QUE VOCÊ NÃO PODE ESQUECER SOBRE O DHCP

l O servidor DHCP é utilizado para gerenciar de maneira centralizada a configuração de endere-
ços IP para os clientes da rede. Além de informações tais como o número IP e máscara de
sub-rede, o DHCP também pode fornecer outras informações para os clientes, tais como: Defa-
ult Gateway, número IP de um ou mais servidores DNS, número IP de um ou mais servidores
WINS e assim por diante.
l Servidor DHCP: É um servidor com o Windows 2000 Server no qual foi instalado e configura-
do o serviço DHCP. Conforme você aprenderá na parte prática, após a instalação de um servi-
dor DHCP este tem que ser autorizado no Active Directory, antes que possa, efetivamente,
atender a requisições de clientes. O procedimento de autorização no Active Directory é uma
medida de segurança, para evitar que servidores DHCP sejam introduzidos na rede sem o co-
nhecimento do administrador. O servidor DHCP não pode ser instalado em um computador
com o Windows 2000 Professional.
l Cliente DHCP: É qualquer dispositivo de rede capaz de obter as configurações do TCP/IP a par-
tir de um servidor DHCP. Por exemplo, uma estação de trabalho com o Windows 95/98/Me,
Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, uma impressora
com placa de rede habilitada ao DHCP e assim por diante.
l Escopo: Um escopo é o intervalo consecutivo completo de endereços IP possíveis para uma
rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0).
Em geral, os escopos definem uma única sub-rede física na rede na qual serão oferecidos servi-
ços DHCP. Os escopos também fornecem o método principal para que o servidor gerencie a
distribuição e atribuição de endereços IP e outros parâmetros de configuração para clientes na
rede, tais como o Default Gateway, Servidor DNS e assim por diante..
l Superescopo: Um superescopo é um agrupamento administrativo de escopos que pode ser
usado para oferecer suporte a várias sub-redes IP lógicas na mesma sub-rede física. Os supe-


rescopos contêm somente uma lista de escopos associados ou escopos filho que podem ser
ativados em cojunto. Os superescopos não são usados para configurar outros detalhes so-
bre o uso de escopo. Para configurar a maioria das propriedades usadas em um superesco-
po, você precisa configurar propriedades de cada escopo associado, individualmente. Por
exemplo, se todos os computadores devem receber o mesmo número IP de Default Gate-
way, este número tem que ser configurado em cada escopo, individualmente. Não tem
como fazer esta configuração no superescopo e todos os escopos (que o compõem), herda-
rem estas configurações.
l Intervalo de exclusão: Um intervalo de exclusão é uma seqüência limitada de endereços IP
dentro de um escopo, excluído dos endereços que são fornecidos pelo DHCP. Os intervalos de
exclusão asseguram que quaisquer endereços nesses intervalos não são oferecidos pelo servi-
dor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a
10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, você pode criar
uma faixa de exclusão de 10.10.10.120 a 10.10.10.130. Os endereços da faixa de exclusão não
serão utilizados pelo servidor DHCP para configurar os clientes DHCP.
l Pool de endereços: Após definir um escopo DHCP e aplicar intervalos de exclusão, os ende-
reços remanescentes formam o pool de endereços disponíveis dentro do escopo. Endereços
em pool são qualificados para atribuição dinâmica pelo servidor para clientes DHCP na sua
rede. No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150,
com uma faixa de exclusão de 10.10.10.120 a 10.10.10.130, o nosso pool de endereços é
formado pelos endereços de 10.10.10.100 a 10.10.10.119, mais os endereços de
10.10.10.131 a 10.10.10.150.
l Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP du-
rante o qual um computador cliente pode usar um endereço IP que recebeu do servidor DHCP
(diz-se atribuído pelo servidor DHCP). Uma concessão está ativa quando a mesma está sendo
utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuição de concessão de en-
dereço com o servidor antes que esta expire. Uma concessão torna-se inativa quando expira ou
é excluída no servidor. A duração de uma concessão determina quando esta expirar e com que
freqüência o cliente precisa renová-la no servidor.
l Reserva: Você usa uma reserva para criar uma concessão de endereço permanente pelo servi-
dor DHCP. As reservas asseguram que um dispositivo de hardware especificado na sub-rede
sempre pode usar o mesmo endereço IP. A reserva é criada associada ao endereço de hardware
da placa de rede, conhecido como MAC-Address. No servidor DHCP você cria uma reserva, as-
sociando um endereço IP com um endereço MAC. Quando o computador (com o endereço
MAC para o qual existe uma reserva) é inicializado, este entre em contato com o servidor
DHCP. O servidor DHCP verifica que existe uma reserva para aquele MAC-Address e configura
o computador com o endereço IP associado ao MAC-Address. Caso haja algum problema na
placa de rede do computador e a placa tenha que ser substituída, mudará o MAC-Address e a re-
serva anterior terá que ser excluída e uma nova reserva terá que ser criada, utilzando, agora, o
novo MAC-Address.


l Tipos de opção: Tipos de opção são outros parâmetros de configuração do cliente que um ser-
vidor DHCP pode atribuir aos clientes. Por exemplo, algumas opções usadas com freqúência
incluem endereços IP para Gateways padrão (roteadores), servidores WINS (Windows Internet
Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opção são
ativados e configurados para cada escopo. O console DHCP também permite a você configurar
tipos de opção padrão que são usados por todos os escopos adicionados e configurados no ser-
vidor. A maioria das opções é predefinida através da RFC 2132, mas você pode usar o console
DHCP para definir e adicionar tipos de opção personalizados se necessário.
l Classe de opções: Uma classe de opções é uma forma do servidor gerenciar tipos de opção for-
necidos aos clientes. Quando uma classe de opções é adicionada ao servidor, é possível forne-
cer tipos de opção específicos de classe aos clientes dessa classe para suas configurações. No
Windows 2000, os computadores cliente também podem especificar uma ID de classe duran-
te a comunicação com o servidor. Para clientes DHCP anteriores, que não oferecem suporte
ao processo de ID de classe, o servidor pode ser configurado com classes padrão ao colocar
clientes em uma classe. As classes de opções podem ser de dois tipos: classes de fornecedor e
classes de usuário.
l O servidor DHCP dá suporte às seguintes versões do Windows (e do MS- DOS) com clien-
tes DHCP:
– Windows Server 2003 (todas as edições).
– Windows 2000 Server (todas as edições).
– Windows XP Home e Professional.
– Windows NT (todas as versões lançadas).
– Windows Me.
– Windows 98.
– Windows 95.
– Windows for Workgroups versão 3.11 (com o Microsoft 32 bit TCP/IP VxD instalado).
– Microsoft-Network Client versão 3.0 para MS-DOS (com o driver TCP/IP de modo real
instalado).
– LAN Manager versão 2.2c.

l Após ter instalado o servidor DHCP, o próximo passo é autorizar o servidor DHCP no Active
Directory. Somente membros do grupo Enterprise Admins (Administradores de empresa) é
que tem permissão para autorizar um servidor DHCP no Active Directory. A autorização obri-
gatória no Active Directory é uma medida de segurança.
l Você pode definir intervalos de exclusão para retirar de um escopo, endereços que você não
quer que sejam concedidos pelo servidor DHCP para os clientes da rede. Por exemplo, você
pode excluir os dez primeiros endereços no escopo 10.10.20.30 a 10.10.20.100, criando uma


exclusão de 10.10.20.30 a 10.10.20.40. Com isso, restariam, efetivamente, a seguinte faixa

para concessão do servidor DHCP para os clientes: 10.10.20.41 a 10.10.20.100. O conjunto de
endereços IP disponíveis, já descontados os endereços das faixas de exclusão, é conhecido
como Pool de endereços.
l Ao definir uma exclusão desses endereços, você especifica que os mesmos não serão oferecidos
a clientes DHCP quando estes solicitam a configuração ao servidor DHCP. Endereços IP excluí-
dos podem estar ativos na sua rede, como por exemplo em computadores ou outros dispositi-
vos de rede configurados manualmente (IP fixo).
l Após definir e configurar um escopo, o escopo deve ser ativado antes que o servidor DHCP co-
mece a fazer concessões aos clientes. No entanto, você não deve ativar um novo escopo até ter
especificado as opções DHCP para este (Default Gateway, número IP do servidor DNS e assim
por diante). Após ativar um escopo, você não deve alterar o intervalo de endereços de escopo.
Observe então que, para colocar o servidor DHCP em funcionamento, existem uma série de
etapas que devem ser cumpridas, conforme descrito a seguir:
– Instalar o serviço DHCP.
– Autorizar o DHCP no Active Directory. Somente usuários membros do grupo Enterprise

Admins têm permissão para autorizar servidores DHCP no Active Directory.
– Criar e configurar um escopo: definir a faixa do escopo, a máscara de sub-rede, o tempo de

concessão e demais opções, tais como Default Gateway, servidor DNS e assim por diante.
– Se for o caso, criar faixas de exclusão dentro do escopo.
– Ativar o escopo.
l O tempo de concessão define o tempo máximo pelo qual o endereço IP ficará concedido ao cli-
ente, sem que este seja renovado. O padrão é um tempo de 8 dias. Na metade deste tempo, o
cliente tentará renovar a concessão. Caso não seja possível, tentará novamente em 87,5% do
tempo, quando então entrará no estado de religação, conforme descrito no Capítulo 4. O tem-
po de 8 dias atende a maioria das situações. Se você tiver um grande número de endereços IP
disponíveis, comparativamente com o número de computadores conectados, você pode au-
mentar este tempo. Se você tiver poucos endereços IP disponíveis, sendo que este número é
apenas um pouco maior do que o número de computadores conectados, pode ser necessário
diminuir este tempo.
l É FUNDAMENTAL QUE VOCÊ ENTENDA COMO FUNCIONA A INTEGRAÇÃO ENTRE O

DHCP E O DNS E A MANEIRA COMO O DHCP FAZ ATUALIZAÇÕES DINÂMICAS NO DNS:
O servidor DHCP pode ser utilizado para fazer atualizações dinâmicas no DNS, em nome dos
clientes DHCP. Quando um cliente DHCP é inicializado e obtém uma concessão de endereço,
o DHCP pode registrar o nome e o endereço IP do cliente, na base de dados do DNS.
Vamos ver como funciona a interação de atualização DHCP/DNS.


O servidor DHCP pode ser usado para registrar e atualizar os registros de recurso de endereço (A) e
ponteiro (PTR) em nome de seus clientes com DHCP.
Esse processo exige o uso de uma opção de DHCP adicional, a opção FQDN do cliente (opção 81).
Essa opção permite ao cliente fornecer seu nome de domínio totalmente qualificado (FQDN) e
instruções para o servidor DHCP sobre como deseja que o servidor processe atualizações dinâmi-
cas de DNS (se houver) em seu nome.
Quando um cliente baseado no Windows 2000, Windows XP ou Windows Server 2003, é iniciali-
zado e obtém uma concessão de endereço a partir do servidor DHCP (ou seja, está configurado
como um cliente DHCP), automaticamente é atualizado o registro A do cliente, na zona direta do
DNS. Esta atualização é feita automaticamente pelos próprios clientes, não havendo necessidade
de integração entre o DHCP e o DNS, para que o registro do tipo A, destes clientes, seja automati-
camente atualizado.
Já para o registro da zona reversa (registro PTR), a história é diferente. Os clientes Windows 2000,
Windows XP e Windows Server 2003 não conseguem atualizar seus registros PTR diretamente,
esta atualização tem que ser feita pelo DHCP, em nome do cliente. Para interação atualização do
registro PTR destes clientes, é necessária a integração entre o DHCP e o DNS.
Clientes mais antigos, baseados no Windows 95, Windows 98, Windows Me ou Windows NT
4.0, não são capazes de atualizar dinamicamente seus registros A e PTR no DNS. Para estes clien-
tes, a atualização tem que ser feita pelo DHCP, se a integração entre o DHCP e o DNS estiver ha-
bilitada. Se esta integração estiver habilitada, quando um destes clientes obtiver uma concessão
de endereço a partir do servidor DHCP, o servidor DHCP atualizará os registros A e PTR do clien-
te, no servidor DNS.
Para configurar o DHCP para fazer as atualizações no DNS, você utiliza a guia DNS das proprieda-
des do escopo ou das propriedades do servidor DHCP. Se você habilitar a integração nas proprie-
dades do escopo, a integração será válida somente para o escopo que está sendo configurado. Se
você habilitar a integração nas propriedades do servidor DHCP, estas configurações serão aplica-
das a todos os escopos do servidor, a não ser que existam configurações conflitantes em um deter-
minado escopo. Neste caso, vale a configuração definida no escopo.
Na guia DNS da janela de propriedades, estão disponíveis as seguintes opções:
– Atualizar dinamicamente as informações sobre cliente DHCP em DNS. Esta opção habilita o
servidor DHCP a enviar as atualizações dinâmicas para o servidor DNS. As atualizações são en-
viadas para o servidor DNS configurado nas propriedades do protocolo TCP/IP do servidor no
qual está instalado o servidor DHCP.
– Atualizar DNS somente se cliente DHCP solicitar. Define que as atualizações serão feitas com
base nas requisições enviadas pelos clientes. Conforme descrito anteriormente, diferentes cli-
entes têm diferentes capacidades de atualização dinâmica no DNS.


– Sempre atualizar DNS. Define que o servidor DHCP irá atualizar dinamicamente os registros
A e PTR no DNS, independente da requisição enviada pelo cliente, quando o cliente obtém
uma concessão de endereço. Essa opção somente tem efeito para clientes com o Windows
2000, Windows XP ou Windows Server 2003.
– Descartar tabelas de pesquisa direta (nome para endereço) quando a concessão expirar. Defi-
ne que o DHCP deve descartar os registros A e PTR quando a concessão expirar.
– Ativar atualizações para clientes DNS que não dão suporte à atualização dinâmica. Marque
esta opção para permitir que o DHCP faça a atualização dinâmica dos registros A e PTR para cli-
entes DHCP rodando o Windows 95, Windows 98, Windows Me ou Windows NT 4.0. Por pa-
drão, esta opção está desmarcada. Marque-a para fornecer a atualizção dinâmica do DNS, via
DHCP, para clientes mais antigos, com versões mais antigas do Windows.
Pode surgir um problema quando você utiliza o DHCP em combinação com o DNS, utilizando zo-
nas integradas com o Active Directory no DNS. As zonas integradas ao Active Directory aceitam
somente atualizações dinâmicas seguras, conforme descrito anteriormente. O problema surge
quando o servidor DHCP cria um registro para um cliente antigo do Windows, tal como o Win-
dows 95, 98, Me ou NT 4.0. Como as zonas integrada somente aceitam atualizações dinâmicas se-
guras, isto é, de computadores autenticados no domínio e computadores, com estas versões anti-
gas, não tem conta no domínio (portanto não são autenticados no domínio), para contornar o
problema, o servidor DHCP registra as informações no DNS em seu próprio nome, ou seja, no
nome do servidor DHCP. O inconveniente deste procedimento é que o servidor DHCP torna-se o
dono destes registros. Porém, os registros destes clientes mais antigos podem tornar-se órfãos, se
uma das condições a seguir acontecer:
I. Se o servidor DHCP for substituído por um servidor de reserva ou se o escopo for migrado
para outro servidor DHCP. Com isso, os registros criados para clientes antigos continuarão
tendo como dono o servidor antigo, que não existe mais. Assim, é lixo que vai se acumu-
lando no DNS.
II. Se o cliente for atualizado para uma das versões mais novas do Windows (2000, XP ou
2003), o servidor DHCP continuará sendo o dono dos registros, porém não mais irá atuali-
zá-los, pois agora “julga” que o próprio cliente é capaz de fazê-lo.
A solução mais simples seria migrar todos os clientes para versões mais novas do Windows. Outra
opção (mais realista) é adicionar as contas de todos os servidores DHCP para o grupo DNSUpda-
teProxy. Quando um membro do grupo cria um registro dinamicamente no DNS, não são atribuí-
das configurações de segurança ao registro, ou seja, o servidor DHCP não será mais o dono do re-
gistro (na verdade o registro não terá mais um dono). Isso evita que o registro fique “órfão”.
Quando um outro computador qualquer modificar este registro, irá se tornar o dono do registro.
Esta é a situação desejável quando você tem um cliente com versões mais antigas do Windows.
Neste caso, com a conta do servidor DHCP no grupo DNSUpdateProxy, quando o DHCP for criar
os registros para o cliente mais antigo, o servidor DHCP não será configurado como dono do regis-


tro. O cliente é atualizado para uma versão mais atual do Windows (2000, XP ou 2003). Quando o
cliente tentar atualizar os registros, irá se tornar o dono do registro, que é o que deve acontecer
com as versões mais novas do Windows.
Entenda e conheça o uso do grupo DNSUpdateProxy, conforme descrito anteriormente.
l Na guia de configurações Avançadas, das propriedades do servidor DHCP, você configura uma
série de opções importantes do DHCP. Nesta guia, você pode definir um número de tentativas
de detecção de conflito de endereço IP, que o servidor DHCP deve fazer, antes de conceder um
endereço IP para um cliente. Por padrão, esta opção é desabilitada. Clientes rodando o Windows
2000, Windows XP ou Windows Server 2003 fazem esta verificação automaticamente. Quando
um destes clientes recebe uma concessão do servidor DHCP, o próprio cliente usa o comando
ping para verificar se o endereço ofertado já não está em uso na rede. Se você possui apenas clien-
tes com uma destas versões, não será necessário habilitar a detecção de conflitos no servidor
DHCP. Se você tem clientes mais antigos, tais como Windows 95, Windows 98 e Me, pode habi-
litar a detecção de conflito de endereços no servidor DHCP, já que estes clientes mais antigos
não fazem esta detecção automaticamente. Habilitar a detecção no servidor, gera tráfego adicio-
nal na rede. Somente habilite esta opção se você tiver com muitos problemas de conflitos de en-
dereços IP na rede e tiver clientes com versões mais antigas do Windows. Mesmo assim não utili-
ze valores maiores do que 1 para o número de tentativas, pois senão será gerado muito tráfego de
rede adicional. Nesta guia, também estão disponíveis campos para informar o caminho para o
arquivo de log do DHCP (o padrão é \%windir%\System32\dhcp) e o caminho para o banco de
dados do DHCP (o padrão é \%windir%\System32\dhcp). Na opção Alterar vinculações de co-
nexões de servidor, você pode clicar no botão Ligações para definir qual das conexões de rede (se
houver mais de uma) será utilizada para atender requisições dos clientes.
l Opções do comando ipconfig relacionadas ao DHCP.
Existem opções do comando ipconfig relacionadas com o DHCP. O comando ipconfig pode ser
utilizado nos clientes para liberar uma concessão, renovar uma concessão e para verificar as confi-
gurações do protocolo TCP/IP. A seguir, mostro algumas das utilizações deste comando.
Para liberar a concessão (release) do cliente, utilize o seguinte comando:
ipconfig /release
Este comando libera a concessão do endereço IP do cliente. Logo após a execução deste comando,
o cliente estará sem endereço IP. Se você executar o comando ipconfig, será informado um ende-
reço IP igual a: 0.0.0.0, o que na prática significa: sem configurações do protocolo TCP/IP.
Para renovar a concessão do cliente, utilize o seguinte comando:
ipconfig /renew


Este comando irá fazer com que o cliente tente renovar a sua concessão com o servidor DHCP. Se a
renovação for feita com sucesso, o cliente continuará utilizando o mesmo endereço IP. Já se tiver
havido mudanças nas opções do servidor DHCP (Default Gateway, endereço IP do servidor DNS e
assim por diante), os novos valores serão passados para o cliente, durante processo de renovação
da concessão.
Para obter informações sobre as configurações do protocolo TCP/IP, no computador do cliente,

utilize o seguinte comando:
ipconfig
Este comando exibe apenas informações básicas, tais como o número IP e a máscara de sub-rede.
ipconfig /all
Este comando exibe informações detalhadas sobre as configurações do protocolo TCP/IP em todas
as interfaces do computador. No Capítulo 2, você aprendeu alguns detalhes sobre este comando.
Clientes mais antigos como o Windows 95, 98 ou Me, não disponibilizam o comando ipconfig.
Nestes clientes, você pode utilizar o comando winipcfg para verificar as configurações do protoco-
lo TCP/IP e para liberar ou renovar uma concessão do servidor DHCP.
l O servidor DHCP precisa ser autorizado no Active Directory. Somente mebros do grupo Enter-
prise Admins é que tem permissão para autorizar um servidor DHCP no Active Directory.
l Após a criação de um escopo, este deve ser ativado para que possam ser feitas concessões para
os clientes.
l O comando ipconfig/renew é utilizado para renovar uma concessão e o comando ipconfig/re-
lease é utilizado para liberar uma concessão.
l Revise em detalhes o conceito de APIPA, abordado no Capítulo 4.
l Entenda, em detalhes, como funciona a integração do DHCP com o DNS e como é feito o regis-
tro dinâmico no DNS, dos registros A e PTR para clientes com versões antigas do Windows, tais
como Windows 95, Windows 98, Windows Me e NT 4.0.
l Entenda como funciona o mecanismo de registro dinâmico em zonas integradas com o Active
Directory e a utilização do grupo DNSUpdateProxy.
l O DHCP permite que sejam criadas reservas de endereços. As reservas são feitas com base no
endereço MAC da placa de rede e não no nome da estação de trabalho.
l Se o cliente não receber uma oferta de um servidor DHCP após ter enviado quatro requisições,
utilizará um endereço na faixa reservada do recurso APIPA: 169.254.0.1 -> 169.254.0.254 e
continuará a tentar encontrar um servidor DHCP a cada 5 minutos.


l Um superescopo é um grupo de dois ou mais escopos, os quais são combinados e gerenciados

como se fossem um único escopo.
l O uso de superescopos é indicado nas seguintes situações:
– É necessária a adição de mais hosts em uma sub-rede.
– Você precisa substituir faixas antigas de endereços com novas faixas, devido a uma reestrutu-
ração do esquema de endereçamento IP da sua rede.
– O endereçamento IP utilizado pela rede da empresa não está em uma faixa contínua de
endereços.
l A configuração de um superescopo elimina a necessidade de excluir e recriar os escopos exis-
tentes, no caso de uma reestruturação do esquema de endereçamento da sua rede.
Sites com informações adicionais, artigos e tutoriais sobre o DHCP:
l http://www.windows2000faq.com/Articles/Index.cfm?DepartmentID=774.
l http://www.kapoho.com/articles/Art01.htm.
l http://www.microsoft.com/Seminar/1033/NT4DHCP100_24895/Seminar.htm.
l http://www.microsoft.com/Seminar/1033/NT4DHCP200_32767/Seminar.htm.
l http://www.microsoft.com/TechNet/network/dhcp.asp.
l http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/dhcpnt5.asp.


l http://support.microsoft.com/?kbid=266675 (recomendo a leitura deste artigo).

l http://www.winnetmag.com/Login/Index.cfm?Proc=Login&ArticleID=2265.
l http://networking.earthweb.com/netsysm/nettroub/article/0,,12474_623271,00.html.
O QUE VOCÊ NÃO PODE ESQUECER SOBRE O WINS

l Após ter instalado o servidor WINS, você deve configurar as propriedades do protocolo
TCP/IP do cliente, informando o número IP do servidor WINS. Esta configuração pode ser
feita manualmente (se você está utilizando endereço IP fixo) ou através das opções do servi-
dor DHCP.
l O cliente WINS, ao inicializar, registra o seu nome e endereço IP, automaticamente com o ser-
vidor WINS.
l A base WINS é uma base plana (flat), não existe nenhuma hierarquia de nomes no WINS.


l Para que servidores WINS localizados em diferentes redes possam trocar informações, você
precisa configurar o mecanismo de replicação entre os servidores WINS.
l Existem dois tipos de parceiros de replicação: Parceiro de envio (Push Partner) e Parceiro de re-
cepção (Pull partner), conforme descrito a seguir.
l Pull partner (Parceiro de recepção): Um servidor WINS configurado como Pull partner (lembre
que Pull é puxar e Push é empurrar) de outro servidor WINS puxa as atualizações a partir do ou-
tro servidor WINS, em intervalos definidos. Por exemplo, de 3 em 3 horas ou a cada 24 horas e
assim por diantes. Assim, a iniciativa é do servidor configurado como Pull partner, que inicia o
processo de replicação, entrando em contato com o outro servidor WINS e solicitando as atua-
lizações existentes na base de dados. Você também pode configurar para que a replicação seja
iniciada sempre que o serviço WINS for iniciado.
l Push partner (Parceiro de envio – neste a tradução está bem melhor): É o servidor configurado
como parceiro de envio, que inicia o processo de enviar as alterações para outro servidor
WINS, para o parceiro de replicação. Este tipo de replicação pode ser configurado para iniciar
quando um número pré-configurado de alterações tiver ocorrido na base de dados do WINS.
Quando o número de alterações pré-configurado for atingido, o servidor WINS inicia o envio
das alterações para o seu Push partner (Parcero de envio).
l Entenda, em detalhes, como funciona a integração do WINS com o DNS, descrita no Capítulo
3, sobre DNS.
l Todo computador tem dois nomes: um chamado nome de hosts e um nome NetBIOS. Claro
que estes nomes devem ser iguais. Por exemplo, o computador micro01.abc.com.br tem um
nome de host micro01 e, por coerência, o nome NetBIOS também deve ser micro01. Eu digo
deve ser porque em clientes mais antigos, tais como o Windows 95, Windows 98 ou Windows
Me, o nome de host e o nome NetBIOS são configurados em diferentes opções do Windows e
podem ser diferentes, embora não seja nada coerente.
l O WINS é um serviço que permite que os clientes façam o seu registro dinamicamente durante
a inicialização. O cliente registra o seu nome NetBIOS e o respectivo endereço IP. Com isso o
WINS vai criando uma base de nomes NetBIOS e os respectivos endereços podendo, com isso,
fornecer o serviço de resolução de nomes NetBIOS na rede.
INTEGRAÇÃO ENTRE DNS E WINS
O DNS pode “pedir socorro” ao WINS (caso o WINS esteja instalado) quando o DNS não consegue
resolver um nome. Na prática, quando for habilitada a integração entre o DNS e o WINS, primeiro
o DNS tenta resolver o nome usando um dos processos descritos anteriormente (recursão ou inte-
ração). Caso o DNS não consiga resolver o nome, se a integração com o WINS estiver habilitada, o
DNS consulta o WINS como uma tentativa final de resolução do nome. Se o WINS conseguir re-
solver o nome, o DNS responde positivamente a consulta para o cliente, caso contrário o DNS res-


ponde negativamente (“não consegui resolver o nome”) para o cliente. Este processo também é
conhecido como “Integração da pesquisa WINS”.
O suporte ao uso do WINS (Windows Internet Name Service) é fornecido para pesquisar nomes
DNS que não podem ser resolvidos por meio de consulta ao espaço de nomes de domínio DNS.
Para executar uma pesquisa WINS, dois tipos de registros de recursos específicos são usados e po-
dem ser ativados para toda zona carregada pelo serviço DNS.
l O registro de recurso WINS, que pode ser ativado para integrar a pesquisa WINS em zonas de
pesquisa direta.
l O registro de recurso WINS-R, que pode ser ativado para integrar a pesquisa inversa WINS em
zonas de pesquisa inversa.
O REGISTRO DE RECURSO WINS
Os serviços WINS e DNS são usados para fornecer resolução de nomes para o espaço de nomes
NetBIOS (Network Basic Input Output System) e o espaço de nomes de domínio DNS, respectiva-
mente. Embora tanto o DNS quanto o WINS possam fornecer um serviço de nomes útil e inde-
pendente aos clientes, o WINS é principalmente necessário porque fornece suporte a clientes e
programas mais antigos que exigem suporte para nomes NetBIOS.
A presença de um registro de recurso WINS é que orienta o serviço DNS a usar o WINS para pesqui-
sar quaisquer consultas diretas para nomes de host ou nomes que não foram encontrados no ban-
co de dados da zona. Essa funcionalidade é particularmente útil no caso de resolução de nomes
exigida por clientes que não reconhecem o WINS (por exemplo, UNIX) para nomes de computa-
dores não registrados no DNS, como computadores do Windows 95 ou Windows 98.
COMO A PESQUISA WINS FUNCIONA
Um cliente envia uma pesquisa para o servidor DNS. O servidor DNS tenta resolver a consulta usando
o processo normal de resolução de nomes no DNS, descrito anteriormente. Se o servidor que é autori-
dade para o nome pesquisado não puder responder à consulta (ou seja, o registro não existe na zona
pesquisada) e a integração com o WINS estiver ativada, as seguintes etapas serão executadas:
– O servidor DNS separa a parte host do nome no nome de domínio totalmente qualificado
contido na consulta DNS. Apenas para recordar, o parte host do nome é a primeira parte do
nome. Por exemplo, o nome host para srv01.abc.com.br é srv01.
– O servidor então envia uma solicitação de nome NetBIOS para o servidor WINS usando o
nome do host identificado no item anterior.


– Se o servidor WINS puder resolver o nome, retorna o endereço IP associado com o nome, para
o servidor DNS.
– O servidor DNS então retorna essa informação de endereço IP para o cliente.
COMO A PESQUISA INVERSA WINS FUNCIONA
Há também um registro WINS-R ou uma entrada de pesquisa inversa WINS que pode ser ativada e
adicionada às zonas de pesquisa inversa. No entanto, como o banco de dados WINS não é indexa-
do por endereço IP, o serviço DNS não pode enviar uma pesquisa de nome inversa para o WINS
obter o nome de um computador a partir de seu endereço IP.
Como o WINS não fornece recursos de pesquisa inversa, o serviço DNS, em vez disso, envia uma
solicitação de status do adaptador do nó diretamente para o endereço IP implicado na consulta
inversa DNS. Quando o servidor DNS obtém o nome NetBIOS a partir da resposta de status do nó
de rede, anexa o nome de domínio DNS ao nome NetBIOS fornecido na resposta de status do nó e
encaminha o resultado para o cliente solicitante.
Os registros de recursos WINS e WINS-R são proprietários do serviço DNS fornecido pelo DNS
do Windows 2000 Server e do Windows Server 2003 (e também do Windows NT Server 4.0).
l O WINS tem muitas diferenças em relação ao DNS. A primeira, e fundamental, é que o WINS
não forma um espaço de nomes hierárquico como o DNS. O espaço de nomes do WINS é plano
(flat). Em uma base de dados WINS, fica registrado apenas o nome NetBIOS do computador e o
respectivo número IP. Poderíamos até dizer que o WINS está para a resolução de nomes
NetBIOS, assim como o DNS está para a resolução de nomes FQDN.
l Existem quatro tipos de configurações possíveis para o cliente WINS, conforme descri-
to a seguir:
– b-node: Um cliente configurado com este método de resolução utiliza somente broadcast
para a resolução de nomes NetBIOS. Se não houver um servidor WINS na rede ou o servidor
WINS não estiver configurado nas propriedades avançadas do TCP/IP, este é o método pa-
drão utilizado.
– p-node: Utiliza somente o servidor WINS. Se o WINS falhar em resolver o nome, o cliente não
tentará outro método.
– m-node: Utiliza primeiro broadcast, se não conseguir resolver o nome usando broadcast, en-
tão utiliza o servidor WINS.
– h-node: Primeiro utiliza o servidor WINS, somente se o WINS falhar é que será tentado o bro-
adcast. Este método reduz o tráfego de broadcast na rede. É o método padrão para clientes con-
figurados para utilizar um servidor WINS.


l O arquivo lmhosts pode ser utilizado para a resolução de nomes NetBIOS. Por padrão, é forne-
cido um arquivo de modelo lmhosts.sam na pasta systemroot\system32\drivers\etc. O admi-
nistrador pode renomear este arquivo para lmhosts e utilizá-lo para resolução de nomes NetBi-
os. Este arquivo somente deve ser utilizado em carater emergencial. O arquivo lmhosts
representa para o WINS, o que o arquivo hosts representa para o DNS.
l Em redes que existem clientes que não são capazes de se registrar no WINS, você deve configu-
rar um computador da rede para fazer o papel de um WINS Proxy. O computador que faz este
papel, recebe os pedidos de registro dos clientes não compatíveis com o WINS, passa estes pe-
didos para o WINS, o nome é registrado, a resposta é passada para o computador configurado
como WINS Proxy, o qual passa a confirmação de registro para o cliente. Para configurar um
servidor com o Windows 2000 instalado, para atuar como WINS Proxy, você deve configurar o
valor EnableProxy, contido na registry do Windows 2000, com o valor 1. Este parâmetro está
contido no seguinte caminho:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBt\Parameters
Basta dar um clique duplo no parâmetro EnableProxy e definir o seu valor em 1.
l Para criar uma entrada estática no WINS, basta seguir os seguintes passos:
– Abra o console WINS.
– Clique no sinal de + ao lado do servidor WINS. Serão exibidas as opções deste servidor
– Clique com o botão direito do mouse na opção Registros ativos.
– No menu de opções que é exibido, clique em Novo mapeamento estático. Será exibida a jane-
la Novo mapeamento estático, indicada na Figura 10.2.
– Digite as informações para o mapeamento (Nome do computador e endereço IP) e clique em OK.
l Com o WINS, sempre que um cliente, configurado para utilizar um servidor WINS, é iniciali-
zado, o cliente, automaticamente, registra o seu nome NetBIOS e o respectivo endereço IP,
na base de dados do servidor configurado como Wins Primário nas propriedades do TCP/IP.
Os nomes NetBIOS podem ter até 15 caracteres. Na verdade, são 16 caracteres, mas o décimo
sexto é reservado para uso do sistema operacional. O Windows 2000 Server registra, para um
mesmo computador, o nome NetBIOS mais de uma vez, apenas mudando o décimo sexto ca-
ractere. Este caractere indica um serviço específico no computador. Falarei mais sobre estes
nomes logo adiante.
l Fique atento a este ponto, ou seja, criação de entradas estáticas. Por exemplo, se você tem cli-
entes antigos, como o Windows 95 ou Windows 98, que precisam acessar recursos em um ser-
vidor UNIX, o qual não pode ser cliente do WINS, ou seja, não é capaz de registrar seu nome no
WINS. O que fazer? Neste caso, você deve criar uma entrada estática no WINS para o nome do
servidor UNIX e o respectivo endereço IP. Com isso, os clientes mais antigos poderão acessar
os recursos do servidor UNIX.


Figura 10.2 Criando um mapeamento estático.
l O WINS é instalado como um serviço e configurado para ser inicializado automaticamente. O

serviço do WINS é configurado para executar no contexto da conta “Local System”. Após a ins-
talação do WINS, basta informar o número IP do servidor WINS, nas propriedades avançadas
do TCP/IP, nas estações de trabalho da rede. Uma vez configurado o número IP do servidor
WINS, as estações de trabalho passarão a registrar seu nome NetBIOS, automaticamente, com
o servidor WINS, durante a inicialização da estação de trabalho. As estações de trabalho tam-
bém passarão a utilizar o servidor WINS para a resolução de nomes NetBIOS.
l Você pode utilizar a seqüência de comandos a seguir, para parar o serviço WINS, compactar a
base wins.mdb e reinicializar o serviço WINS:
2. Alterne para o diretório onde está a base WINS. Substitua systemroot pelo nome da
pasta onde o Windows 2000 Server está instalado:
cd\
cd systemroot\system32\wins
3. Execute a seqüência de comandos a seguir:

net stop wins
jetpack wins.mdb tempwins.mdb
net start wins
Sites com informações adicionais, artigos e tutoriais sobre o DHCP:
l http://www.microsoft.com/TechNet/win2000/win2ksrv/prodfact/nt5wins.asp.


l http://www.windows2000faq.com/Articles/Index.cfm?DepartmentID=814.
l http://www.microsoft.com/technet/prodtechnol/windows2000serv/res-
kit/tcpip/part2/tcpch07.asp.
l http://support.microsoft.com/?kbid=272510.asp.
l http://www.winnetmag.com/Articles/Index.cfm?ArticleID=117&SearchString=wins.
l http://support.microsoft.com/?kbid=244810.asp.
l http://www.winnetmag.com/Articles/Index.cfm?ArticleID=4872&SearchString=wins.
l http://support.microsoft.com/default.aspx?scid=kb;en-us;255639.
O QUE VOCÊ NÃO PODE ESQUECER SOBRE O ACESSO REMOTO COM O RRAS
l O RRAS não é um servidor SLIP, somente atua como cliente SLIP. Como servidor de acesso re-
moto, dá suporte ao PPP para conexões dial-up e ao PPTP ou L2TP/IPsec para conexões VPN.
l Para a conexão remota, usando autenticação via Smart Card, deve ser utilizado o protocolo
EAP. Não esqueça mesmo.
l Não esqueça que, para estabelecer uma conexão do tipo VPN são realizadas duas conexões.
A primeira é uma conexão PPP padrão. Esta conexão estabelece a ligação, um caminho físi-
co entre o cliente e o servidor RRAS. A próxima etapa é estabelecer a conexão VPN propria-
mente dita, utilizando um dos protocolos disponíveis (PPTP ou L2TP). O objetivo desta se-
gunda conexão é garantir a segurança dos dados, através do uso de técnicas de criptografia
e encapsulamento.
l Conheça bem as diferenças entre o PPTP e o L2TP/IPsec, indicadas na Figura 10.3.


Figura 10.3 PPP versus L2TP/IPSec.
l Lembre, que para a autenticação usando cartões do tipo Smart-card, é necessária a habilitação
do protocolo EAP no servidor de acesso remoto e também nos clientes. O EAP-TLS é um tipo de
EAP usado em ambientes de segurança baseados em certificado. Se você está usando cartões in-
teligentes (Smart-card) para autenticação de acesso remoto, deve utilizar o método de autenti-
cação EAP-TLS. A troca de mensagens EAP-TLS proporciona a autenticação mútua, negociação
do método de criptografia e troca segura de chave particular entre o cliente de acesso remoto e
o autenticador. O EAP-TLS proporciona o método mais seguro de troca de chaves e autentica-
ção. O EAP-TLS recebe suporte apenas em um servidor de acesso remoto que executa o Windows
2000 Server (ou Windows Server 2003) que é um membro de um domínio (member server ou
DC). Um servidor de acesso remoto configurado como standalone server (não pertencente a
um domínio) não tem suporte ao EAP-TLS.
l O protocolo EAP é necessário para a implementação de autenticação usando Smart-card.
l Entenda bem como funciona a integração do DHCP com o RRAS.
l Não esqueça que, para usar as conexões múltiplas, o suporte deve estar habilitado no
cliente e também no servidor. Também não esqueça do uso e da função do protocolo BAP,
o qual é necessário para o gerenciamento automático de banda com o uso da funcionali-
dade de multilink.
l Não esqueça a condição para que uma conexão multilink possa ser estabelecida (este recurso
deve estar habilitado no cliente e no servidor de acesso remoto) e a função do protocolo BAP
(adicionar ou remover links dinamicamente, dependendo do volume de tráfego entre o clien-
te e o servidor).
l Não esqueça em hipótese alguma: Se você está se preparando para os exames do MCSE 2000 ou
para o MCSE 2003 conheça exatamente a função do DHCP Relay Agent. Lembre que este é ins-
talado na rede onde não existe servidor DHCP disponível e que é configurado com o número
IP do servidor DHCP que será utilizado pelos clientes.
l Não esqueça: Não esqueça, de maneira alguma, os detalhes a seguir:
– Para que uma conexão possa usar multilink, este deve estar habilitado no cliente e no
servidor.


– Para fazer o gerenciamento dinâmico de linhas, o protocolo BAP deve ser utilizado em con-
junto com a funcionalidade de multilink.
l A função de um servidor de acesso remoto é permitir que os clientes façam uma conexão
com a rede da empresa, usando uma linha telefônica comum ou outro meio de conexão re-
moto, tal como um link ISDN ou ADSL. Quando você faz uma conexão discada com o seu
provedor de Internet, você está fazendo a conexão com o servidor de acesso remoto do pro-
vedor de Internet. Pode este servidor de acesso remoto ser baseado em alguma versão do
Windows (NT Server 4.0, Windows 2000 Server ou Windows Server 2003), pode ser basea-
do em outros sistemas operacionais (UNIX/Linux, Novell, etc.) ou pode até mesmo ser um
equipamento de hardware dedicado a esta função. O importante é entender a função de
um servidor de acesso remoto.
l No Windows 2000 Server, o servidor configurado como servidor de acesso remoto, é um servi-
dor com o Windows 2000 Server e o RRAS instalado e no qual está instalado um grupo de mo-
dems, para receber as ligações dos usuários. Além de receber a ligação, o servidor de acesso re-
moto deve ser capaz de verificar as informações de autenticação fornecidas pelo usuário,
verificar se o usuário tem permissão para fazer a conexão remotamente, aplicar as políticas de
segurança definidas no servidor RRAS, fornecer um endereço IP para o cliente e definir a quais
recursos de rede o cliente que está se conectando terá acesso.
l Os usuários executam o software de acesso remoto e iniciam uma conexão com o servidor de
acesso remoto. O software de acesso remoto pode ser algo tão simples como configurar uma
conexão discada, via dial-up. O servidor de acesso remoto, que é um computador que executa
o Windows 2000 Server e o serviço de roteamento e acesso remoto (RRAS), autentica sessões de
usuários e serviços (por exemplo, um usuário lendo o seu e-mail ou acessando uma pasta com-
partilhada em um servidor), até que a sessão seja terminada pelo usuário ou administrador da
rede. Todos os serviços normalmente disponíveis a um usuário conectado à rede local, incluin-
do compartilhamento de arquivos e impressão, acesso a Intranet e e-mail, estarão disponíveis
pela conexão de acesso remoto.
l Um servidor de acesso remoto que esteja executando o Windows 2000 Server possibilita dois
tipos diferentes de conectividade de acesso remoto:
– Rede dial-up. Conexão discada tradicional, como a que a maioria de nós ainda utiliza para fa-
zer acesso à Internet. Rede dial-up é quando um cliente de acesso remoto efetua uma conexão
dial-up, não permanente com uma porta física de um servidor de acesso remoto, usando o ser-
viço de um provedor de telecomunicações, como um telefone analógico (linha telefônica co-
mum), ISDN (Integrated Services Digital Network, rede digital de serviços integrados) ou X.25.
O melhor exemplo de rede dial-up é o de um cliente que disca o número de telefone de uma
das portas de um servidor de acesso remoto. Por exemplo, o vendedor que está no cliente e usa
o seu notebook, equipado com uma placa de fax/modem, para fazer uma conexão com o servi-
dor RRAS da empresa, usando uma linha telefônica comum (e provavelmente um número
0800, para que o cliente não tenha que pagar o custo da ligação). O papel da rede dial-up, fa-


zendo uma conexão através de um telefone analógico ou ISDN, é efetuar uma conexão física
direta entre o cliente e o servidor da rede dial-up, ou seja, estabelecer um caminho físico, para
que os dados possam ser transmitidos do cliente para o servidor e vice-versa. Os dados envia-
dos através de uma conexão deste tipo poderão ser criptografados.
– Virtual Private Network (Rede virtual privada) – VPN. Rede virtual privada é a criação de co-
nexões seguras, ponto a ponto em uma rede privada ou pública, como a Internet. Em outras
palavras, é criar uma conexão segura, usando um meio não seguro, como a Internet. Um clien-
te de rede virtual privada usa protocolos especiais com base em TCP/IP denominados protoco-
los de encapsulamento para efetuar uma chamada virtual para uma porta virtual em um servi-
dor de rede virtual privada. O melhor exemplo é o de um cliente de rede virtual privada que
efetua uma conexão de rede virtual privada com um servidor de acesso remoto que está conec-
tado à Internet. O servidor de acesso remoto responde a chamada virtual, autentica o cliente,
além de transferir dados entre o cliente da rede dial-up e a rede da empresa de forma segura,
usando técnicas de criptografia.
l O Layer Two Tunneling Protocol (L2TP) é um protocolo de encapsulamento com base em pa-
drões definidos em RFCs e destinado a ser o padrão da indústria. Diferentemente do PPTP (Po-
int-to-Point Tunneling Protocol, protocolo de encapsulamento ponto-a-ponto), o L2TP não
utiliza a Microsoft Point-to-Point Encryption (MPPE, criptografia ponto a ponto da Microsoft)
para criptografar os pacotes PPP. O L2TP trabalha em conjunto com o protocolo Internet Pro-
tocol Security (IPSec) e usa os serviços do IPSec para serviços de criptografia. A combinação de
L2TP e IPSec é conhecida como L2TP através de IPSec. O “2” significa camada 2 do modelo OSI.
Lembrando que as camadas do modelo OSI, começando da 1 são: Física, Enlace, Rede, Trans-
porte, Autenticação, Apresentação e Aplicação.
l Algumas considerações importantes sobre o uso do protocolo L2TP:
– O uso do L2TP exige que você tenha implementado uma infra-estrutura de chave pública (PKI
– Public Key Infrastructure) na rede da empresa, pois o L2TP depende do uso de Certificados
Digitais. Não precisa ser, necessariamente, uma infra-estrutura de PKI baseada em tecnologia
Microsoft. Porém neste caso, você terá mais algumas tarefas administrativas a considerar, tais
com a emissão manual de certificados, para os computadores que irão utilizar o L2TP/IPsec.
– O L2TP é um “terrível monstro consumidor de processador”. Em outras palavras, o uso do

L2TP cria uma carga adicional, considerável, no processador. Isso ocorre porque o algoritmo
de criptografia utilizado pelo L2TP (3DES) é bem mais complexo (e também bem mais seguro)
do que o algoritmo utilizado pelo PPTP (MPPE – Microsoft Point-to-point Encryption). Além
disso, com o L2TP, a assinatura digital de cada pacote é verificada. Uma das maneiras de redu-
zir o impacto no processador e melhorar o desempenho dos computadores que usam o
L2TP/IPSec, é instalando placas de rede equipadas com co-processadores de IPSec na própria
placa. Embora melhore bastante o desempenho, é importante salientar que estas placas tem
um custo bem mais elevado do que as placas sem o co-processador de IPSec.


– Um problema que pode ser difícil de resolver é o fato que o protocolo IPSec não é, digamos as-
sim, muito amigo dos Firewall. O que acontece é que a maioria dos Firewall bloqueia a passa-
gem dos pacotes IPSec.
l Para a autenticação usando cartões do tipo Smart-card, é necessária a habilitação do protocolo
EAP no servidor de acesso remoto e também nos clientes. O EAP-TLS é um tipo de EAP usado
em ambientes de segurança baseados em certificado. Se você está usando cartões inteligentes
(Smart-card) para autenticação de acesso remoto, deve utilizar o método de autenticação
EAP-TLS. A troca de mensagens EAP-TLS proporciona a autenticação mútua, negociação do
método de criptografia e troca segura de chave particular entre o cliente de acesso remoto e o
autenticador. O EAP-TLS proporciona o método mais seguro de troca de chaves e autenticação.
O EAP-TLS recebe suporte apenas em um servidor de acesso remoto que executa o Windows
2000 Server (ou Windows Server 2003) que é um membro de um domínio (member server ou
DC). Um servidor de acesso remoto configurado como standalone server (não pertencente a
um domínio) não tem suporte ao EAP-TLS.
l Os protocolos de autenticação MS-CHAP e MS-CHAP v2 somente são suportados por clientes
Microsoft.
l O Password Authentication Protocol (PAP) utiliza senhas de texto simples, sem criptografia e é
o protocolo de autenticação menos sofisticado. O PAP normalmente é utilizado como um últi-
mo recurso, somente se o cliente de acesso remoto e o servidor de acesso remoto não puderem
negociar uma forma mais segura de validação. Isso se o PAP estiver habilitado em ambos, ou
seja, no cliente e no servidor. O administrador pode desabilitar o protocolo PAP no servidor,
de tal maneira que somente sejam aceitos protocolos de autenticação seguros.
l O serviço RRAS é instalado, por padrão, quando o Windows 2000 Server é instalado. Porém
este serviço não é automaticamente habilitado para aceitar chamadas remotas. Por isso, o pri-
meiro passo é habilitar o RRAS para que aceite chamadas remotas (supondo que o hardware
necessário já esteja devidamente instalado e reconhecido pelo Windows 2000 Server). Após a
habilitação do serviço remoto, para aceitar chamadas, o administrador pode fazer uma série de
configurações, tais como: definir os protocolos de autenticação que serão aceitos, criar e apli-
car políticas de segurança e assim por diante.
l Um único servidor RADIUS pode ser utilizado para fornecer autenticação para vários servido-
res de acesso remoto. O servidor RADIUS também pode ser utilizado como um ponto para apli-
cação centralizada de políticas de segurança de acesso remoto. O administrador configura as
políticas de segurança de acesso remoto no servidor RADIUS e estas são aplicadas a todos os
servidores RRAS que utilizam os servidor RADIUS como servidor de autenticação. Este procedi-
mento é bem mais prático do que configurar as políticas de segurança em cada servidor RRAS
individualmente.
l A implementação do RADIUS no Windows 2000 é conhecida com IAS – Internet Authentica-
tion Services.


l O IAS executa autenticação, autorização, auditoria e estatísticas centralizadas de usuários que se

conectam ao servidor de acesso remoto, tanto usando uma conexão do tipo VPN, quanto usan-
do uma conexão do tipo dial-up. O objetivo com o uso do IAS é ter um servidor centralizado, no
qual é feita a autenticação para os vários servidores de acesso remoto da rede. Com isso as cre-
denciais são verificadas de maneira única, existe uma única base de usuários a ser mantida, as es-
tatísticas e logs de acesso ficam centralizadas e, a principal vantagem (na minha opinião), é pos-
sível criar as políticas de segurança de uma maneira centralizada. Cria-se as políticas no IAS e
estas são aplicadas a todos os servidores RRAS que utilizam o IAS para autenticação.
l Quando o acesso não autenticado é ativado, os usuários de acesso remoto são conectados sem
enviar as credenciais de usuário (logon e senha). Um cliente de acesso remoto não autenticado
não negocia o uso de um protocolo de autenticação comum durante o processo de estabeleci-
mento de conexão e não envia um nome de usuário ou senha.
l Revise, detalhadamente, como funcionam as Políticas de Acesso Remoto e lembre-se: se você
está utilizando o IAS para fazer a autenticação de uma maneira centralizada, as políticas devem
ser criadas no servidor onde o IAS está instalado e não em cada servidor RRAS individualmente.
l Para usar sempre o número da chamada como a identidade do usuário, defina a seguinte chave
da registry com o valor 1 no servidor de autenticação:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Override User-Name
No entanto, se você definir Override User-Name como 1 e User Identity Attribute como 31, o
servidor de autenticação só pode executar autenticações baseadas em ANI/CLI. A autenticação
normal usando os protocolos de autenticação como MS-CHAP, CHAP e EAP será desativada.
l Se você não deseja ativar a conta Guest (Convidado), crie uma conta de usuário e defina a per-
missão de acesso remoto para Permitir acesso ou Controlar acesso através de diretiva de acesso
remoto. Em seguida, defina a seguinte chave da registry no servidor de autenticação (servidor
RRAS, se você utiliza autenticação do Windows ou servidor IAS se você utiliza autenticação
RADIUS) com o nome da conta criada especialmente para o acesso remoto não autenticado:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Default User Identity
INTEGRAÇÃO RRAS X DHCP
Atribuição de endereço IP: Quando o cliente faz uma conexão remota com o servidor RRAS, o
cliente deve receber as configurações do protocolo TCP/IP a partir do servidor RRAS. É exata-
mente o que acontece quando você faz a conexão com o seu provedor de Internet. A partir do
servidor de acesso remoto, do provedor de Internet, o computador que você está utilizando
para a conexão, recebe as configurações do protocolo TCP/IP a partir do servidor de acesso re-
moto. Com o RRAS, as configurações fornecidas para o cliente podem ser obtidas a partir do
servidor DHCP da rede (ver o Capítulo 4 para informações detalhadas sobre o DHCP) ou estas


informações podem ser configuradas, manualmente, nesta guia. A seguir, apresento mais al-
guns detalhes sobre a integração do RRAS com o DHCP.
O uso integrado do RRAS com o DHCP permite que os clientes recebam, dinamicamente, as
configurações do protocolo TCP/IP, durante a conexão com o servidor RRAS. Quando o servi-
dor RRAS e o servidor DHCP estão instalados no mesmo servidor, existem diferenças na ma-
neira como o servidor DHCP fornece as configurações para os clientes de rede e como as confi-
gurações são fornecidas para os clientes que fazem o acesso remotamente.
As informações fornecidas aos clientes da rede local são baseadas totalmente em definições
configuradas no console DHCP para o servidor DHCP (ver Capítulo 4). Quando um cliente da
rede local é configurado a partir do servidor DHCP, recebe, diretamente do servidor DHCP, as
seguintes configurações:
– Um endereço IP fornecido a partir do pool de endereços disponíveis de um escopo ativo no

servidor DHCP (de um servidor DHCP autorizado no Active Directory). O servidor DHCP ge-
rencia e distribui diretamente o endereço para o cliente DHCP baseado em LAN.
– Parâmetros adicionais e outras informações de configuração fornecidas através de opções de

DHCP atribuídas na concessão do endereço. Os valores e a lista de opções usados correspon-
dem a tipos de opção configurados e atribuídos no servidor DHCP, tais como o número do Ga-
teway padrão, o número IP de um ou mais servidores DNS, o número IP de um ou mais servido-
res WINS e assim por diante.
Quando o servidor RRAS utiliza a integração com o servidor DHCP, para fornecer configura-
ções dinamicamente, para os clientes que fazem a conexão remotamente, o servidor RRAS, ini-
cialmente, segue os seguintes passos:
– Quando o serviço RRAS é inicializado e a opção de obter as configurações a partir do DHCP

está habilitada, o servidor RRAS instrui o cliente DHCP a obter dez endereços IP a partir do ser-
vidor DHCP.
– O servidor DHCP utiliza o primeiro dos endereços IP obtidos a partir do servidor DHCP para a
interface de rede de acesso remoto.
– Os nove endereços restantes são reservados para serem utilizados pelos clientes que fazem
conexões com o servidor RRAS.
Quando um cliente encerra a sessão, o endereço IP utilizado pelo cliente é liberado e poderá
ser utilizado por um dos próximos clientes que fizer a conexão com o servidor RRAS. Quando
os dez endereços IP, obtidos a partir do servidor DHCP, estiverem em uso, o servidor RRAS so-
licita mais dez endereços para o servidor DHCP. Quando o serviço RRAS for parado, todos os
endereços solicitados ao servidor DHCP serão liberados. O que o servidor RRAS faz é manter
um cache de lease de endereços IP obtidos a partir do servidor DHCP. Quando os clientes fa-
zem uma conexão remota e solicitam um endereço IP, o servidor RRAS fornece um dos ende-
reços a partir do cache de lease de endereços IP, os quais foram obtidos, previamente, a partir
do servidor DHCP.


Quando o endereço IP for fornecido ao cliente dial-up, o cliente não saberá que o endereço foi
obtido através desse processo intermediário entre o servidor DHCP e o servidor de roteamento
e acesso remoto. O servidor RRAS mantém essa concessão em nome do cliente. Desta forma, a
única informação que o cliente recebe do servidor DHCP é a concessão de endereço IP.
Os servidores DHCP, baseados no Windows 2000 Server ou no Windows Server 2003, fornecem
uma classe de usuário predefinido, a classe de acesso remoto padrão para atribuir opções específi-
cas e fornecidas somente para clientes de roteamento e acesso remoto. Estas opções podem ser con-
figuradas diretamente no servidor DHCP. Quaisquer informações adicionais, que devam ser forne-
cidas para os clientes de acesso remoto, devem ser configuradas nesta classe chamada: Routing
and Remote Access Class.
Cada vez que o servidor RRAS obtém um grupo de dez endereços IP, a partir do servidor DHCP,
registra as seguintes informações:
– O endereço IP do servidor DHCP.
– O endereço IP utilizado pela interface de acesso remoto do servidor RRAS.
– A data e hora de obtenção do lease.
– A data e hora da expiração do lease.
– A duração do lease.
– Todas as outras opções retornadas pelo servidor DHCP (como, por exemplo, número IP do
gateway padrão, informações sobre reservas e assim por diante) são descartadas.
DHCP RELAY AGENT
No Capítulo 4, você aprendeu como o cliente entra em contato com o servidor DHCP usando
uma série de mensagens: DHCPDiscover, DHCPOffer, DHCPRequest e DHCPAck. Acontece
que a maioria destas mensagens utiliza broadcast. Por isso, o cliente somente será capaz de ob-
ter as configurações do TCP/IP, de um servidor DHCP que esteja na mesma rede local do clien-
te, uma vez que os roteadores, por padrão, não passam tráfego de broadcast.
Porém, na prática, pode haver situações em que existem pequenos escritórios da empresa, com
um número reduzido de equipamentos e que, por algum motivo, não existe servidor DHCP
neste escritório. A questão é: seria possível que estes clientes, que não tem um servidor DHCP
disponível na sua própria rede local, utilizassem um servidor DHCP localizado em outra rede
local da empresa? A resposta é sim.
Para isso, o administrador deve configurar um DHCP Relay Agent na rede onde não existe ser-
vidor DHCP. No exemplo deste item, o DHCP Relay Agent deve ser configurado na rede do pe-


queno escritório, onde não está disponível um servidor DHCP. O DHCP Relay Agent “ouve” os
pacotes enviados pelos clientes DHCP, transforma estes pacotes em um formato que pode ser
encaminhado pelo roteador e envia estes pacotes para o servidor DHCP (O DHCP Relay Agent
é configurado com o número IP do servidor DHCP). O DHCP Relay Agent também é responsá-
vel por receber as respostas vindas do servidor DHCP e repassá-las para os clientes DHCP. Em
resumo, o DHCP Relay Agent é um intermediário entre os clientes DHCP (em uma rede que
não tem servidor DHCP) e o servidor DHCP de uma rede remota (sendo que o número IP deste
servidor DHCP remoto, foi informado nas propriedades do DHCP Relay Agent). É isso.
O DHCP Relay Agent faz parte do servidor RRAS, ou seja, somente estará disponível quando o
servidor RRAS estiver ativado. No exemplo prático a seguir, eu mostro os passos para configu-
ração do DHCP Relay Agent.
Pode ocorrer situações em que os clientes de acesso remoto, ao fazer a conexão com o servidor
RRAS, estão recebendo apenas o número IP e a máscara de sub-rede, mas não estão recebendo as
demais configurações do protocolo TCP/IP, tais como Default Gateway e servidor DNS. Nestas si-
tuações a solução é habilitar o DHCP Relay Agent na interface externa do servidor RRAS.
Sites com informações adicionais, artigos e tutoriais sobre o acesso remoto com o RRAS:
l http://www.microsoft.com/windows2000/techinfo/planning/incremental/connectremote.asp.
l http://www.microsoft.com/TechNet/win2000/ias.asp.
l http://www.microsoft.com/TechNet/win2000/dguide/ndgch06.asp.
l http://www.microsoft.com/technet/exchange/technote/rascon.asp.
l http://www.microsoft.com/windows2000/techinfo/howitworks/communications/remote-
access/ias.asp.


O QUE VOCÊ NÃO PODE ESQUECER SOBRE O NAT, ICS E CERTIFICADOS DIGITAIS
l Com o uso do ICS, é possível fazer com que todos os computadores da rede tenham acesso à
Internet, através de uma conexão compartilhada no servidor Windows 2000 Server. Após ter
sido habilitado o compartilhamento da conexão Internet, os demais computadores da rede
utilizam a internet como se estivessem diretamente conectados, ou seja, para os usuários o uso
da conexão compartilhada é transparente.
l Para que o ICS possa funcionar são necessárias duas conexões de rede, no computador onde o
ICS foi habilitado. Uma conexão normalmente é a placa de rede que liga o computador à rede
local e é conhecida como conexão interna. A outra conexão, conhecida como conexão exter-
na, faz a conexão do computador com a Internet. Normalmente, é uma conexão do tipo
ADSL, ISDN, a cabo ou até mesmo uma conexão discada, via telefone comum.
l Quando você habilita o ICS no computador conectado à Internet, algumas alterações são efe-
tuadas neste computador. É muito importante entender estas alterações, porque pode aconte-
cer de alguns serviços deixarem de funcionar após a habilitação do ICS. Sabendo quais as mu-
danças efetuadas pelo ICS, você poderá reconfigurar a sua rede, para que todos os serviços
voltem a funcionar normalmente.
Devido às diversas mudanças que são introduzidas ao habilitar o ICS não é recomendado o
uso do ICS em um ambiente em que está configurado um domínio do Windows 2000 Server,
baseado no Active Directory. O uso do ICS é realmente recomendado para pequenas redes
baseadas em um modelo de Workgroup, conforme descrito anteriormente. Além disso, se
você tiver uma rede maior, baseada em um domínio e no Active Directory, é muito provável
que você já tenha uma conexão da rede local com a Internet, através do uso de roteadores e
outros equipamentos de rede.
– A primeira mudança a ser ressaltada é que o computador no qual o ICS foi habilitado, auto-
maticamente, é configurado um servidor DHCP, o qual passa a fornecer endereços IP para os
demais computadores da rede.
– Outra mudança que é efetuada é no número IP da interface interna. Este número é alterado
para: 192.168.0.1 com uma máscara de sub-rede: 255.255.255.0. Esta é uma das mudanças
para as quais você deve estar atento. Pois se, antes de habilitar o ICS, você utiliza um esquema
de endereçamento, por exemplo: 10.10.10.0/255.255.255.0, este esquema será alterado, para
um esquema 192.168.0.0/255.255.255.0. Com isso, pode ser necessário reconfigurar alguns
mapeamentos de drives de rede e de impressoras.


Não esqueça este detalhe, ou seja, quando o ICS é habilitado, é atribuído o endereço IP
192.168.0.1 para a interface interna do computador onde este foi habilitado. Com isso, se houver
compartilhamentos no servidor onde foi habilitado o ICS, estes deixarão de estar acessíveis para os
demais computadores da rede. Isso até que os demais clientes da rede sejam configurados para uti-
lizar o DHCP e obter um endereço da rede 192.168.0.0/255.255.255.0 a partir do computador
onde o ICS foi habilitado.
– A funcionalidade de discagem sob demanda é habilitada na conexão Internet, do computa-

dor onde o ICS foi habilitado. Com isso quando um computador da rede tentar acessar a Inter-
net, se a conexão não estiver disponível, será inicializada automaticamente uma discagem (se
for uma conexão discada) para estabelecer a conexão.
– O serviço do ICS será configurado para inicializar automaticamente, de tal maneira que as
funcionalidades do ICS possam ser utilizadas.
– Além de habilitar o computador com o ICS habilitado, como um servidor DHCP, será criado
o seguinte escopo: 192.168.0.2 -> 192.168.0.254, com máscara de sub-rede 255.255.255.0.
– A funcionalidade de DNS Proxy é habilitada no computador com o ICS habilitado. Isso signi-
fica que este computador recebe as requisições de resolução DNS dos clientes da rede, repassa
estes pedidos para o servidor DNS do provedor de Internet, recebe a resposta e passa a resposta
de volta para o cliente que fez a requisição para a resolução do nome. O resultado prático é que
os clientes têm acesso ao serviço DNS, sendo que todas as requisições passam pelo ICS, que está
atuando como um DNS Proxy.
Você não tem como alterar as configurações padrão do ICS. Por exemplo, você não pode desabili-
tar a funcionalidade de servidor DHCP do computador no qual foi habilitado o ICS e nem pode defi-
nir um esquema de endereçamento diferente do que é definido por padrão ou desabilitar a função
de DNS Proxy. Para que você possa personalizar estas funcionalidades, precisa utilizar o recurso
de NAT, ao invés do ICS. O NAT será descrito no próximo tópico.
l O esquema de endereçamento utilizado pelo ICS é um dos chamados endereços internos ou

endereços privados. As faixas de endereços definidas como endereços privados são endereços
que não são válidos na Internet, ou seja, pacotes endereçados para um endereço de uma destas
faixas serão descartados pelos roteadores. Os endereços privados foram reservados para uso in-
terno das empresas. Na rede interna, qualquer empresa, pode utilizar qualquer uma das faixas de
endereços privados. Existem três faixas de endereços definidos como Privados. Estas faixas es-
tão definidas na RFC 1597. Os endereços definidos como privados são os seguintes:
10.0.0.0 -> 10.255.255.255

172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255


Observe que a faixa de endereços usada pelo ICS (192.168.0.1 -> 192.168.0.254) é uma faixa de
endereços privados. Por isso, o ICS também tem que executar o papel de “traduzir” os endere-
ços privados, os quais não são válidos na Internet, para o endereço válido, da interface pública
do servidor com o ICS.
Memorize as faixas de endereços que são definidas como endereços privados.
l Considerações importantes sobre ICS x NAT:
O Internet Connection Sharing (ICS) foi projetado para fornecer as configurações mais simpli-
ficadas possíveis. Conforme você verá na parte prática, habilitar o ICS é uma simples questão
de marcar uma caixa de opção, todo o restante é feito automaticamente pelo Windows 2000
Server. Porém uma vez habilitado, o ICS não permite que sejam feitas alterações nas configura-
ções que são definidas por padrão. O ICS foi projetado para obter um único endereço IP a partir
do provedor de Internet. Isso não pode ser alterado. É configurado como um servidor DHCP e
fornece endereços na faixa B= 192.168.0.0/255.255.255.0. Isso também não pode ser mudado.
Em poucas palavras: o ICS é fácil de habilitar, mas não permite alterações nas suas configura-
ções padrão. É o ideal para pequenos escritórios que precisam de acesso à Internet, a todos os
computadores da rede, porém não dispõem de um técnico qualificado para fazer as configura-
ções mais sofisticadas exigidas pelo NAT e pelo RRAS.
Figura 10.4 Comparando NAT com ICS.
Por sua vez, o NAT foi projetado para oferecer o máximo de flexibilidade em relação as suas
configurações no servidor RRAS. As funções principais do NAT são a tradução de endereço
(conforme descrito anteriormente) e a proteção da rede interna contra tráfego não autorizado,
vindo da Internet. O uso do NAT requer mais etapas de configuração do que o ICS, contudo em
cada etapa da configuração você pode personalizar diversas opções. Por exemplo, o NAT per-
mite que seja obtida uma faixa de endereços IP a partir do provedor de Internet (ao contrário
do ICS, que recebe um único endereço IP do provedor de Internet) e também permite que seja
definida a faixa de endereços IP a ser utilizada para os clientes da rede interna.


Na tabela da Figura 10.4, você encontra uma comparação entre NAT e ICS.
(não esqueça, de jeito nenhum, se você estiver se preparando para o MCSE 2000 ou MCSE 2003):
O ICS é projetado para conectar uma rede doméstica ou uma rede pequena, com não mais do que
dez computadores, com a Internet. O protocolo NAT foi projetado para conectar redes de porte pe-
queno para médio, com a Internet (eu diria entre 11 e 100 computadores). Porém, nenhum dos dois
foi projetado para ser utilizado nas seguintes situações.
l Fazer a conexão entre redes locais.

l Conectar redes para formar uma Intranet.
l Conectar as redes dos escritórios regionais com a rede da sede da empresa.
l Conectar as redes dos escritórios regionais com a rede da sede da empresa, usando como meio
a Internet.
l Conheça bem as portas utilizadas pelos principais serviços do FTP.
l Para uma lista completa de todas as portas utilizadas pelos protocolos TCP e UDP, consulte o
seguinte endereço: http://www.iana.org/numbers.htm
A seguir, listo as portas utilizadas pelos principais serviços da Internet:

Servidor de FTP 21
POP3 110
Telnet 23
SSL (https) 443
l Com o uso do NAT, a empresa fornece acesso à Internet para um grande número de computa-
dores da rede interna, usando um número bem menor de endereços IP válidos na Internet. Por
exemplo, uma rede com 100 computadores, usando um esquema de endereçamento
10.10.0.0/255.255.0.0, poderá ter acesso à Internet, usando o NAT, usando um único endere-
ço IP válido: o endereço IP da interface externa do NAT. Observe que, com isso, temos uma
grande economia de endereços IP: no nosso exemplo, temos 100 computadores acessando a
Internet (configurados com endereços IP privados), os quais utilizam um único endereço IP
válido, que é o endereço IP da interface externa do servidor configurado como NAT.
Como o NAT inclui as funcionalidades de endereçamento e resolução de nomes, você terá as se-
guintes limitações para o uso de outros serviços, no mesmo servidor onde o NAT foi habilitado:


– Você não poderá executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT.
– Você não poderá executar o servidor DNS no servidor NAT.

l Ao configurar o NAT, o administrador poderá excluir faixas de endereços que não devem ser
fornecidas para os clientes. Por exemplo, se você tiver alguns equipamentos da rede interna
(impressoras, hubs, switchs, etc.) que devam ter um número IP fixo, você pode excluir uma fai-
xa de endereços IP no servidor NAT e utilizar estes endereços para configurar os equipamentos
que, por algum motivo, precisam de um IP fixo.
l Permitindo acesso a um servidor da rede interna para usuários da Internet.
O funcionamento normal do NAT permite que sejam feitas conexões da rede privada para re-
cursos na Internet. Por exemplo, um cliente da rede acessando um servidor de ftp na Internet.
Neste caso, o cliente, executando um programa cliente de ftp, faz a conexão com um servidor
ftp da Internet. Quando os pacotes de resposta chegam no NAT, podem ser repassados ao cli-
ente, pois representam a resposta a uma conexão iniciada internamente e não uma tentativa
de acesso vinda da Internet.
Você pode querer fornecer acesso a um servidor da rede interna para usuários da Internet. Por
exemplo, você pode configurar um servidor da rede interna com o IIS e instalar neste servidor
o site da empresa. Em seguida, você terá que configurar o NAT, para que os usuários da Internet
possam acessar este servidor da rede interna. Observe que, nesta situação, chegarão pacotes da
Internet, os quais não representarão respostas a requisições dos clientes da rede interna, mas
sim requisições de acesso dos usuários da Internet, a um servidor da rede interna. Por padrão,
este tráfego será bloqueado no NAT. Porém o administrador pode configurar o NAT para acei-
tar requisições vindas de clientes da Internet para um servidor da rede interna. Para fazer estas
configurações você deve seguir os seguintes passos:
– O servidor da rede interna, que deverá ser acessado através da Internet, deve ser configurado
com um número IP fixo (número que faça parte da faixa de endereços fornecidos pelo NAT,
para uso da rede interna) e com o número IP do Default Gateway e do servidor DNS (o número
IP da interface interna do computador com o NAT habilitado).
– Excluir o endereço IP utilizado pelo servidor da rede interna (servidor que estará acessível
para clientes da Internet) da faixa de endereços fornecidos pelo NAT, para que este endereço
não seja alocado dinamicamente para um outro computador da rede, o que iria gerar um con-
flito de endereços IP na rede interna.
– Configurar uma porta especial no NAT. Uma porta especial é um mapeamento estático de
um endereço público e um número de porta para um endereço privado e um número de porta.
Esta porta especial faz o mapeamento das conexões chegadas da Internet para um endereço es-
pecífico da rede interna. Com o uso de portas especiais, por exemplo, você pode criar um servi-
dor HTTP ou FTP na rede interna e torná-lo acessível a partir da Internet.
l Você pode habilitar a resolução DNS via NAT. Para isso você usa a guia Name Resolution, da ja-
nela de propriedades do NAT. Nesta guia, você pode habilitar o NAT para prestar o serviço de


resolução de nomes para os clientes da rede interna. Na verdade, conforme descrito no Capítu-
lo 7, o NAT apenas repassa os pedidos de resolução de nomes dos clientes, para o servidor DNS
configurado na interface externa do NAT. Quando o NAT recebe a resposta, a retorna para o
cliente que iniciou a consulta. Para habilitar a resolução DNS através do NAT, marque a opção
Clients using Domain Name System (Clientes utilizando DNS). Ao marcar esta opção, as de-
mais opções desta janela serão habilitadas. Ao marcar a opção Connect to the public network
when a name needs to be resolved (Conectar-se a rede pública quando for necessária a resolu-
ção de um nome), você está orientando ao NAT para iniciar uma conexão (se já não houver
uma estabelecida) sempre que for enviada uma consulta de nomes por um dos clientes. Ao
marcar esta opção, a lista Demand-dial interface (Interface de discagem sob demanda) estará
disponível para que você selecione a conexão a ser utilizada.
l Uso de Certificados Digitais e criptografia de chave pública:
Em uma rede que usa PKI, um Certificado Digital é criado para cada usuário. O Certificado
Digital fica associado com a conta do usuário no Active Directory. Para cada usuário, é criado
um par de chaves: uma chave pública e uma chave privada. A chave pública fica disponível
no Active Directory e a chave privada fica com o usuário. O mais comum é a chave privada fi-
car gravada no Certificado Digital do usuário, em um disquete que fica com o usuário. Agora
vamos entender como funciona a criptografia baseada em um par de chaves: uma pública e
outra privada. Dados que são criptografados com uma das chaves, somente poderão ser des-
criptografados com a outra chave. Por exemplo, se você criptografar dados com a chave pú-
blica do usuário jsilva, estes dados somente poderão ser descriptografados com a chave pri-
vada deste mesmo usuário.
Vamos imaginar que o usuário jsilva precisa enviar dados para o usuário maria. Os dados são
criptografados com a chave pública do usuário Maria – chave pública do destinatário. Com a
infraestrutura de PKI, as chaves públicas ficam disponíveis para serem acessadas por quaisquer
usuário. A chave pública fica gravada no Certificado Digital do usuário e a lista de Certificados
Digitais fica publicada para acesso em um servidor de Certificados Digitais (este é o papel do
Microsoft Certificate Services, ou seja, emitir, publicar e revogar Certificados Digitais para os
usuários). A chave pública do usuário maria é utilizada pelo usuário jsilva para criptografar os
dados, antes de enviá-los para o usuário maria. Como os dados foram criptografados com a
chave pública do usuário maria, a pergunta é: qual a única chave que poderá descriptografar
estes dados? A chave privada do usuário maria, a qual somente o usuário maria tem acesso.
Com este método, quando o usuário maria recebe os dados, utilizará a sua chave privada para
descriptografá-los. Se um hacker interceptar os dados, não conseguirá descriptografá-los, pois
não tem acesso à chave privada do usuário maria. Observe que, com este método, a chave de
criptografia não é enviada junto com a mensagem. Além disso, a mensagem é criptografada de
tal maneira que somente o destinatário é capaz de descriptografá-la, ou melhor, a chave priva-
da do destinatário. Como a mensagem é criptografada com a chave pública do destinatário, so-
mente o próprio destinatário (que é quem tem acesso a sua chave privada) será capaz de des-
criptografar a mensagem.


Observe que, com este método, é solucionado o problema de ter que enviar a chave de cripto-
grafia junto com a mensagem. O problema de verificação da identidade, de ter certeza que o re-
metente é quem diz realmente ser, é solucionado com o uso de Certificados Digitais. De uma
maneira simples, podemos resumir uma PKI como sendo uma infra-estrutura de segurança,
baseada no uso de um par de chaves (uma pública e uma privada) e de Certificados Digitais.
l Certificados podem ser emitidos para uma série de funções, como autenticação de usuário na
Internet, autenticação de um servidor Web, correio eletrônico seguro (S/MIME), IPSec, para
utilização com o protocolo Transaction Layer Security (TLS, segurança de camada de transa-
ção) e assinatura de códigos (por exemplo, todos os programas desenvolvidos pela Microsoft
são assinados, digitalmente, com o Certificado Digital da Microsoft. O Windows 2000 Server
pode ser configurado para não instalar drives ou programas que não estejam assinados digital-
mente ou cujos certificados, com os quais foram assinados, não possam ser verificados). Os
Certificados Digitais têm que ser emitidos por uma Autoridade Certificadora (CA – Certificate
Authority). Uma opção é usar uma autoridade certificadora externa, como por exemplo a Veri-
Sign, que é uma empresa especializada em segurança e em certificação digital (www.veri-
sign.com). Com o Windows 2000 Server (e também com o Windows Server 2003), está dispo-
nível o Microsoft Certificate Services, que é um servidor que permite criar uma autoridade
certificadora na própria rede da empresa, sem ter que fazer uso de uma entidade certificadora
externa. Ao utilizar o Certificate Services para a emissão e gerenciamento de certificados, os
Certificados Digitais poderão ser utilizados pelos usuários, para fazer o logon na rede. Os certi-
ficados também são emitidos de uma autoridade de certificação para outra a fim de estabelecer
uma hierarquia de certificação. Usando o Certificate Services, você poderá criar uma hierar-
quia de certificação na rede da empresa.
l Certificados e autoridades certificadoras:
Todo certificado é emitido por uma Autoridade de Certificação (CA – Certifcate Authority).
A autoridade de certificação, a partir de agora denominada apenas CA, é responsável pela
verificação sobre a veracidade dos dados do usuário que está requisitando o certificado. Por
exemplo, qualquer usuário pode solicitar um certificado para utilizar na Internet. Para ob-
ter o certificado, precisa utilizar os serviços de uma CA, como por exemplo a VeriSign
(www.verisign.com).
Uma autoridade de certificação é uma entidade encarregada de emitir certificados para indi-
víduos, computadores ou organizações, sendo que os certificados é que confirmam a identi-
dade e outros atributos do usuário do certificado, para outras entidades. Uma autoridade de
certificação aceita uma solicitação de certificado, verifica as informações do solicitador e, em
seguida, usa sua chave privada para aplicar a assinatura digital no certificado. A autoridade
de certificação emite então o certificado para que o usuário do certificado o use como uma
credencial de segurança dentro de uma infra-estrutura de chave pública (PKI). Uma autorida-
de de certificação também é responsável por revogar certificados e publicar uma lista de cer-
tificados revogados (CRL).


Uma autoridade de certificação pode ser uma empresa que presta o serviço de autoridade certi-
ficador, como o VeriSign, ou pode ser uma autoridade de certificação que você cria para ser
usada por sua própria organização, instalando os serviços de certificados do Windows 2000.
Cada autoridade de certificação pode ter requisitos diferentes de prova de identidade, como
uma conta de domínio do Active Directory, crachá de empregado, carteira de motorista, solici-
tação autenticada ou endereço físico. Verificações de identificação como essa geralmente asse-
guram uma autoridade de certificação no local, de tal modo que as organizações possam vali-
dar seus próprios empregados ou membros.
As autoridades de certificação corporativas do Windows 2000 Server usam as credenciais da

conta de usuário do Active Directory de uma pessoa, como prova de identidade. Em outras pa-
lavras, se você tiver efetuado logon em um domínio do Windows 2000 Server e solicitar um
certificado de uma autoridade de certificação corporativa, a autoridade de certificação saberá
que você é quem o Active Directory diz que você é.
Todas as autoridades de certificação têm um certificado para confirmar sua própria identidade,
emitido por outra autoridade de certificação confiável ou, no caso de autoridades de certifica-
ção raiz, emitido por si mesmas. É importante lembrar que qualquer pessoa pode criar uma au-
toridade de certificação. A questão real é se você, como um usuário ou um administrador, con-
fia naquela autoridade de certificação e, por extensão, nas diretivas e procedimentos que
emprega para confirmar a identidade dos certificados emitidos para entidades por essa autori-
dade de certificação.
Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o administra-
dor também pode utilizar uma CA externa. Porém, com o uso do Certificate Services, o admi-
nistrador pode criar sua própria autoridade certificadora. O Certificate Services da Microsoft
permite a criação de sofisticados ambientes de certificação, com a criação de uma hierarquia de
CAs. Com o uso do Certificate Services, podem ser criados os seguintes tipos de autoridades
certificadoras, os quais serão descritos mais adiante:
– Enterprise Root CA.
– Enterprise Subordinate CA.
– Standalone Root CA.
– Standalone Subordinate CA.
l Criptografia é o processo de converter dados em um formato que não possa ser lido por um ou-
tro usuário, a não ser o usuário que criptografou o arquivo. Depois que um usuário criptografar
um arquivo, esse arquivo permanecerá automaticamente criptografado quando for armazena-
do em disco.
l Descriptografia é o processo de converter dados do formato criptografado no seu formato ori-

ginal. Depois que um usuário descriptografar um arquivo, esse arquivo permanecerá descrip-
tografado quando for armazenado em disco.


l Com as permissões NTFS, existem alguns problemas quanto a segurança dos dados:
– O administrador da máquina pode usar o recurso de Take Ownership (tornar-se dono), tor-
nando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permissão de aces-
so a estes arquivos/pastas. Após ter “dado um Take Ownership”, o administrador pode atribuir
permissões de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.
– Um usuário pode utilizar um disquete de boot ou instalar um outro sistema operacional no

computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e arqui-
vos protegidas por permissões NTFS.
l A grande questão é a seguinte: “Com o uso da criptografia, mesmo que o seu computador seja
roubado ou que outro usuário tenha acesso ao computador, não será possível acessar os arqui-
vos e pastas que você criptografou. A única maneira de ter acesso é fazendo o logon com a sua
conta e senha”. Em resumo: com a criptografia, os dados estão protegidos; mesmo que outras
pessoas tenham acesso ao seu computador, a única maneira de acessar os arquivos criptografa-
dos é fazendo o logon com a conta do usuário que criptografou os arquivos ou com a conta
configurada como Agente de Recuperação, conforme descreverei mais adiante. Já com as per-
missões NTFS, conforme descrito anteriormente, este nível de proteção não existe, no caso do
computador ser roubado ou de um usuário mal intencionado ter acesso ao computador.
Claro que existem situações adversas que podem surgir com o uso da criptografia. Por exemplo,
vamos supor que um funcionário criptografou arquivos importantes para a empresa. Neste meio
tempo o funcionário foi demitido. Como é que a empresa poderá ter acesso aos arquivos cripto-
grafados se o funcionário demitido se negar a fazer o logon com a sua conta e descriptografar os
arquivos ou se a sua conta tiver sido excluída?? Por isso que o EFS permite que uma conta seja
configurada como Agente de Recuperação, a qual pode ser utilizada em situações como a descri-
ta agora. Mais adiante tratarei, em detalhes, sobre o agente de recuperação.
Existe uma conta configurada como Agente de recuperação. Esta conta pode fazer o logon e des-
criptografar pastas e arquivos criptografados por outros usuários. O agente de recuperação pa-
drão é a conta administrador.
l O uso de criptografia é especialmente recomendado para usuários de notebooks e outros dis-

positivos semelhantes. Não é raro a ocorrência de roubos de notebooks, sendo que estes po-
dem conter dados importantes da empresa, tais como planos estratégicos e relatórios de pes-
quisa e desenvolvimento de novos produtos. O uso da criptografia é a forma mais indicada
para proteger estes dados, mesmo em situações de roubo de um notebook.
l Somente arquivos e pastas em volumes NTFS podem ser criptografados.
l As pastas e os arquivos compactados não podem ser criptografados. Se o usuário marcar um ar-
quivo ou pasta para criptografia, este será descompactado


Se você mover arquivos descriptografados para uma pasta criptografada, esses arquivos serão au-
tomaticamente criptografados na nova pasta. No entanto, a operação inversa não descriptografa
automaticamente os arquivos. Nesse caso, é necessário descriptografar manualmente os arquivos.
Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os ar-
quivos da pasta raiz do sistema, isto é C:\ ou D:\ e assim por diante.
l Criptografar um arquivo ou uma pasta não protege contra exclusão ou listagem de arquivos ou
pastas. Qualquer pessoa com permissões NTFS adequadas pode excluir ou listar pastas ou ar-
quivos criptografados. A proteção da criptografia é contra o acesso aos arquivos, ou seja, so-
mente o usuário que criptografou o arquivo terá acesso. Para proteção contra listagem e exclu-
são, recomenda-se o uso do EFS em combinação com permissões NTFS, utilizando as
permissões NTFS para impedir que outros usuários possam excluir e até mesmo listar os arqui-
vos que estão em um pasta criptografada.
l Você pode criptografar ou descriptografar pastas e arquivos localizados em um computador re-
moto ativado para criptografia remota. No entanto, se você abrir o arquivo criptografado na
rede, os dados transmitidos na rede através desse processo não serão criptografados. Outros pro-
tocolos, como a camada de soquetes de segurança/segurança da camada de transporte (SSL/TLS)
ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmissão.
l As pastas e os arquivos compactados não podem ser, ao mesmo tempo, criptografados. Se
você criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo será
descompactado.
l Ao criptografar um único arquivo, você poderá optar se deseja criptografar a pasta que contém
o arquivo. Se você escolher essa opção, todos os arquivos e subpastas que forem adicionados
posteriormente à pasta serão criptografados quando forem adicionados.
l Ao criptografar uma pasta, você poderá optar se deseja que todos os arquivos e subpastas den-
tro da pasta também sejam criptografados. Se você escolher essa opção, todos os arquivos e
subpastas atualmente na pasta serão criptografados, bem como quaisquer arquivos e subpas-
tas que forem adicionados à pasta mais tarde. Se você optar por criptografar somente a pasta,
todos os arquivos e subpastas que se encontram atualmente na pasta não serão criptografados.
No entanto, quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde serão
criptografados quando forem adicionados. É aconselhável que você sempre opte por cripto-
grafar todo o conteúdo da pasta. Com isso, você não terá que manter um controle sobre quais
pastas e/ou arquivos estão criptografados e quais não estão.
l Operações com arquivos criptografados.
Ao copiar ou mover arquivos criptografados, diferentes situações podem ocorrer dependendo

de a pasta de destino ser ou não criptografada e de estar ou não em um volume formatado com
NTFS. A seguir, descrevo algumas situações envolvendo ações de copiar e mover com arquivos
criptografados.


– Ao copiar um arquivo não criptografado para uma pasta criptografada, a cópia do arquivo
será criptografada na pasta de destino. Por exemplo, você copia o arquivo não criptografado
memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual está cripto-
grafada. O arquivo memo.doc copiado para a pasta Documentos pessoais será criptografado.
– Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o

Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manterá a crip-
tografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formata-
do com FAT, a cópia do arquivo não será criptografada.
– Se você mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo
mantém a criptografia. Se você mover um arquivo criptografado para outro volume, o Win-
dows 2000 Server considerará esta operação como sendo uma cópia, onde o arquivo é excluído
na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras ex-
plicadas no primeiro item.
Se você tentar mover um arquivo criptografado por outro usuário, para um volume formatado com
FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberá uma mensagem
de Acesso negado, pois para descriptografar o arquivo (o que é necessário para movê-lo para um
volume FAT), você teria que ter acesso ao Certificado Digital do usuário que criptografou o arquivo,
conforme descrito anteriormente.
– Se você renomear um arquivo criptografado, o arquivo continuará criptografado.

– Ao excluir um arquivo, a cópia do arquivo que fica na Lixeira, continuará criptografada.
– Se você fizer uma cópia de segurança de arquivos criptografados para uma fita de backup ou
para um outro volume NTFS, a cópia de segurança permanecerá criptografada.
– Se você quiser utilizar arquivos criptografados em outro computador, terá que importar o seu
Certificado Digital no computador de destino, conforme descrito anteriormente.
l Antes de qualquer alteração na diretiva de recuperação, você deve fazer um backup das chaves
de recuperação em um disquete, conforme descrito nos exemplos anteriores. Este procedi-
mento garante que os arquivos poderão ser descriptografados caso haja algum problema com
as configurações do Agente de Recuperação.
l É necessário fazer logon como administrador ou com uma conta com permissões de adminis-
trador para executar estas ações.
l Se a sua conta for configurada como Agente de Recuperação, você poderá descriptografar ar-
quivos criptografados por outros usuários, simplesmente acessando as propriedades do arqui-
vo, clicando no botão Avançado... e desmarcando a opção Criptografar o conteúdo para prote-
ger os dados. Para realizar tal operação, o Certificado Digital correspondente à conta do Agente
de recuperação deve estar instalado no computador onde a operação será realizada. Para mais
detalhes sobre a Importação e Exportação de certificados, consulte a parte inicial deste tópico.


l Para obter o máximo de segurança, criptografe as pastas antes de criar arquivos importantes
nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus da-
dos nunca sejam gravados em disco como texto sem formatação.
l Se você salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a.
Isso assegura que seus documentos pessoais sejam criptografados por padrão. No caso de perfis
de usuários móveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada
para um local de rede.
l Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos
temporários durante a edição, estes também sejam criptografados.
l O Agente de Recuperação designado deverá exportar o certificado de recuperação de dados e a
chave particular para um disco, guardá-los em um local seguro e excluir do sistema a chave
particular de recuperação de dados. Dessa forma, a única pessoa que poderá recuperar dados
do sistema será aquela que possui acesso físico à chave particular de recuperação de dados.
Estes procedimentos foram descritos no início deste tópico.
l Deve-se manter o menor número possível de Agentes de Recuperação designados. Desse
modo, menos chaves ficarão expostas ao ataque criptográfico e haverá mais garantias de que
os dados criptografados não sejam descriptografados inadequadamente.
Sites com informações adicionais, artigos e tutoriais sobre NAT, ICS, PKI, Certificados e criptografia:
l http://www.winnetmag.com/Articles/Print.cfm?ArticleID=9749.
l http://support.microsoft.com/servicedesks/Webcasts/WC101700/wcblurb101700.asp.
l http://support.microsoft.com/servicedesks/Webcasts/WC112399/WCBLURB112399.asp.
l http://www.microsoft.com/TechNet/win2000/connint.asp.
l http://www.zdjournals.com/ntp/9912/ntp99c1.htm.


l http://support.microsoft.com/support/IE/ie5/topics/ICS/icsFAQ.asp.
l http://support.microsoft.com/support/IE/ie5/topics/ICS/icsHT.asp.
l http://www.practicallynetworked.com/.
l http://support.microsoft.com/servicedesks/Webcasts/WC111899/WCBLURB111899.asp.
l http://support.microsoft.com/support/win2000/tips.asp.
l http://www.murky.org/cryptography/index.shtml.
l http://www-theory.dcs.st-and.ac.uk/~sal/school/CS3010/Lectures/forhtml/node4.html.
l http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp
l http://web.mit.edu/kerberos/www/index.html.
l http://www.microsoft.com/technet/prodtechnol/windows2000serv/res-
kit/distsys/part2/dsgch16.asp.
O QUE VOCÊ NÃO PODE ESQUECER SOBRE O ROTEAMENTO NO RRAS

l No Capítulo 2, você aprendeu que a máscara de sub-rede é utilizada para determinar qual “par-
te” do endereço IP representa o número da rede e qual parte representa o número da máquina
dentro da rede. A máscara de sub-rede também foi utilizada na definição original das classes de
endereço IP. Em cada classe existe um determinado número de redes possíveis e, em cada rede,
um número máximo de máquinas (para mais detalhes veja a descrição sobre redes Classe A, B,
C, D e E, no Capítulo 2). Com base na máscara de sub-rede, o protocolo TCP/IP determina se o
computador de origem e o de destino estão na mesma rede local ou em redes locais diferentes.
Com base em cálculos binários, o TCP/IP pode chegar a dois resultados distintos:
– O computador de origem e de destino estão na mesma rede local. Neste caso, os dados são en-
receber os dados cada computador analisa o campo número IP do destinatário. Se o IP do desti-
natário for igual ao seu próprio IP, os dados são capturados e processados pelo sistema, caso
contrário são simplesmente descartados. Observe que, com este procedimento, apenas o com-
putador de destino é que efetivamente processa os dados enviados, os demais computadores
simplesmente descartam os dados.
– O computador de origem e de destino não estão na mesma rede local. Neste caso, os dados
são enviados para o equipamento com o número IP configurado no parâmetro Default Gate-
way (Gateway Padrão). Assim, se após os cálculos baseados na máscara de sub-rede, o TCP/IP


chegar a conclusão que o computador de destino e o computador de origem não fazem parte
da mesma rede, os dados são enviados para o Default Gateway (o roteador), o qual será encarre-
gado de encontrar um caminho (uma rota) para enviar os dados até o computador de destino.
Esse “encontrar o caminho“ é tecnicamente conhecido como rotear os dados até o destino. O
responsável por “rotear” os dados é o equipamento que atua como Default Gateway o qual é
conhecido como roteador. Este processo é conhecido como Host Routing. Com isso fica fácil
entender o papel do roteador:
“É o responsável por encontrar um caminho entre a rede em que está o computador que envi-
ou os dados (computador de origem) e a rede onde está o computador que irá receber os dados
(computador de destino).”
l Roteador é apenas um conceito. O papel do roteador pode ser desempenhado por um equipa-
mento especificamente projetado para este fim (equipamento este conhecido, obviamente,
como roteador) ou pode ser desempenhado por um servidor com software de roteamento ins-
talado (Windows 2000 Server com RRAS habilitado e com o roteamento configurado). Por
exemplo, servidores baseados no Windows 2000 Server ou no Linux, podem ser configurados
para exercer o papel de roteador.
l Quando ocorre um problema com o roteador, tornando-o indisponível, você consegue se co-
municar normalmente com os demais computadores da sua rede local, porém não conseguirá
comunicação com outras redes de computadores, como por exemplo a Internet.
l Nem sempre um roteador consegue entregar os pacotes de dados diretamente para o computa-
dor de destino. Muitas vezes, tudo o que o roteador pode fazer é saber para quem deve enviar o
pacote, baseado no endereço da rede de destino. O roteador não está diretamente conectado à
rede de destino, mas com base em sua tabela de roteamento e no número de rede de destino,
sabe para qual das interfaces devem ser enviados os dados. Este processo pode continuar de ro-
teador em roteador, até que os pacotes sejam entregues na rede de destino, ou até que os paco-
tes tenham atravessado o número máximo de roteadores que, por padrão, é 16. Este número
também é conhecido como número máximo de hopes. É definido um número máximo de ro-
teadores pelos quais um mesmo pacote pode passar, para evitar que pacotes fiquem circulando
indefinidamente na rede, o que causaria, simplesmente, a paralisação de toda a rede, devido a
grande quantidade de pacotes que ficaria circulando, indefinidamente. Este processo de não
saber enviar diretamente para a rede de destino, mas saber para quem enviar é conhecido
como router routing. A decisão “para quem” enviar, é tomada com base na máscara de rede da
rede de destino e na tabela de roteamento de cada roteador.
l Com o uso dos protocolos de roteamento dinâmico, os roteadores trocam informações entre
si, periodicamente e “aprendem” sobre a rede; vão “descobrindo” as rotas existentes e gravan-
do estas rotas em suas tabelas de roteamento. Se um roteador ficar off-line, em pouco tempo os
demais roteadores “saberão” que este roteador está off-line e atualizarão, automaticamente,
suas tabelas de roteamento. Com isso, cada roteador aprende novos caminhos, já consideran-
do a indisponibilidade do roteador com problemas, e repassam estas informações para os de-


mais roteadores. Esta possibilidade não existe quando as tabelas são criadas manualmente,
conforme descrito anteriormente. Evidentemente que, para redes maiores, a única alternativa
viável é o uso de um dos protocolos de roteamento dinâmico, ou até mesmo uma combinação
de ambos, conforme descreverei mais adiante.
l O protocolo RIP é baseado em um algoritmo conhecido como distance-vector (distância veto-
rial). Este algoritmo é baseado na distância entre dois roteadores, sendo que esta “distância” é
medida em termos do número de roteadores existentes no caminho entre os dois roteadores –
também conhecido como hopes. Já o protocolo OSPF utiliza um algoritmo baseado em propa-
gação de rotas entre roteadores denominados como adjacentes (veja o conceito de formação
de adjacências mais adiante), conforme descreverei à frente. As principais diferenças entre os
protocolos RIP e OSPF são referentes as seguintes características:
l Quais informações sobre rotas são compartilhadas entre os roteadores. Quando um roteador
apresenta problemas, a rede deve ser capaz de reconfigurar-se para definir novas rotas, já
baseadas na nova topologia da rede, sem o roteador com problemas. O tempo que a rede leva
para reconfigurar-se é conhecido como convergência. Um dos principais problemas do pro-
tocolo RIP é o alto tempo de convergência em relação ao OSPF, que tem um tempo de conver-
gência bem menor.
l Como as informações sobre rotas e sobre a topologia da rede são compartilhadas entre os ro-
teadores. Este aspecto também influencia o tempo de convergência da rede e apresenta dife-
renças significativas no RIP e no OSPF.
l As informações entre roteadores são trocadas quando o roteador é inicializado, quando o ro-
Aqui a primeira desvantagem do RIP. Mesmo que não exista nenhuma alteração nas rotas da
rede, os roteadores baseados em RIP, continuarão a trocar mensagens de atualização em in-
tervalos regulares, por padrão a cada 30 segundos. Por isso que o RIP não é indicado para re-
des maiores, pois nestas situações o volume de tráfego gerado pelo RIP, poderia consumir
boa parte da banda disponível.
l O protocolo RIP é baseado em broadcast e somente é recomendado para uso em pequenas redes.
l O protocolo RIP troca informações periodicamente, mesmo que não existam alterações nas ro-
tas da rede, o que acaba gerando um grande volume de tráfego na rede. Este é mais um dos mo-
tivos pelos quais o RIP não é indicado para grandes redes.
l A maior vantagem do RIP é ser extremamente simples para configurar e implementar em uma
rede. Sua maior desvantagem é a incapacidade de ser ampliado para interconexões de redes de
tamanho grande a muito grande. A contagem máxima de hopes usada pelos roteadores RIP é 15.
l O protocolo RIP v1 apresenta diversos problemas, sendo que os principais são os destaca-
dos a seguir:
– O protocolo RIP v1 usa broadcast para fazer anúncios na rede. Com isto, todos os hosts da
rede receberão os pacotes RIP e não somente os hosts habilitados ao RIP. Uma contrapartida do


uso do broadcast pelo protocolo RIP v1, é que isso torna possível o uso dos chamados hosts de
RIP Silencioso (Silent RIP). Um computador, configurado para ser um Silent RIP, processa os
anúncios do protocolo RIP (ou seja, reconhece os pacotes enviados pelo RIP e é capaz de pro-
cessá-los), mas não anuncia suas próprias rotas. Esta funcionalidade pode ser habilitada em
um computador que não esteja configurado como roteador, para produzir uma tabela de rotea-
mento detalhada da rede, a partir das informações obtidas pelo processamento dos pacotes do
RIP. Com estas informações detalhadas, o computador configurado como Silent RIP pode to-
mar melhores decisões de roteamento para os programas e serviços nele instalados. No exem-
plo a seguir, mostro como habilitar uma estação de trabalho com o Windows 2000 Professio-
nal instalado, a tornar-se um Silent RIP.
Exemplo: Para configurar uma estação de trabalho com o Windows 2000 Professional instalado,
como Silent RIP, siga os passos indicados a seguir:
1. Faça o logon como administrador.
3. Abra a opção Adicionar ou remover programas.
4. No painel da esquerda, clique em Adicionar ou remover componentes do Windows.
5. Clique na opção Serviços de rede para marcá-la (sem selecionar a caixa de seleção ao lado
desta opção, senão todos os serviços de rede serão instalados).
6. Clique no botão Detalhes...
7. Nas opções que são exibidas, marque a opção RIP Listener.
8. Clique em OK. Você estará de volta à janela de componentes do Windows.
9. Clique em Avançar para concluir a instalação.
– A máscara de sub-rede não é anunciada juntamente com as rotas. Isso porque o protocolo
RIP v1 foi projetado em 1988 para trabalhar com redes baseadas nas classes padrão A, B e C,
ou seja, pelo número IP da rota, deduzia-as a respectiva classe. Com o uso da Internet e o
uso de um número variável de bits para a máscara de sub-rede (número diferente do núme-
ro de bits padrão para cada classe, conforme descrito no Capítulo 2), este fato tornou-se um
problema sério do protocolo RIP v1.
– Sem proteção contra roteadores não autorizados. O protocolo RIP v1 não apresenta ne-
nhum mecanismo de autenticação/proteção para evitar que roteadores não autorizados
possam ser inseridos na rede e passar a anunciar várias rotas falsas. Qualquer usuário pode-
rá instalar um roteador com RIP v1 e adicionar várias rotas falsas, que o RIP v1 se encarrega-
rá de repassar estas rotas para os demais roteadores da rede.
l O protocolo RIP v2 oferece diversas melhorias em relação ao RIP v1, dentre as quais vamos des-
tacar as seguintes:


– Os anúncios do protocolo RIP v2 são baseados em tráfego multicast e não mais broadcast
224.0.0.9. Com isso, os roteadores habilitados ao RIP formam como se fosse (na verdade é)
um grupo multicast, registrado para “escutar” os anúncios do protocolo RIP v2. Outros hosts
da rede, não habilitados ao RIP v2, não serão “importunados” pelos pacotes do RIP v2. Por
questões de compatibilidade (em casos nos quais parte da rede ainda usa o RIP v1), é possível
utilizar broadcast com roteadores baseados em RIP v2. Mas esta solução somente deve ser
adotada durante um período de migração, assim que possível, todos os roteadores devem ser
migrados para o RIP v2.
– Informações sobre a máscara de sub-rede são enviadas nos anúncios do protocolo RIP v2.
Com isso, o RIP v2 pode ser utilizado, sem problemas, em redes que utilizam sub netting, super
netting e assim por diante, uma vez que cada rede fica perfeitamente definida pelo número da
rede e pela respectiva máscara de sub-rede.
– Segurança, autenticação e proteção contra a utilização de roteadores não autorizados. Com o

RIP v2 é possível implementar um mecanismo de autenticação, de tal maneira que os roteado-
res somente aceitem os anúncios de roteadores autenticados, isto é, identificados. A autentica-
ção pode ser configurada através da definição de uma senha ou de mecanismos mais sofistica-
dos como o MD5 (Message Digest 5). Por exemplo, com a autenticação por senha, quando um
roteador envia um anúncio, envia juntamente a senha de autenticação. Outros roteadores da
rede, que recebem o anúncio, verificam se a senha está OK e somente depois da verificação, ali-
mentam suas tabelas de roteamento com as informações recebidas.
l É importante salientar que tanto redes baseadas no RIP v1 quanto no RIP v2 são redes chamadas
planas (flat), ou seja, não é possível formar uma hierarquia de roteamento, baseada no protocolo
RIP. Por isso que o RIP não é utilizado em grandes redes. A tendência natural do RIP é que todos
os roteadores sejam alimentados com todas as rotas possíveis (isto é um espaço plano, sem hie-
rarquia de roteadores). Imagine como seria utilizar o RIP em uma rede como a Internet, com mi-
lhões e milhões de rotas possíveis, com links caindo e voltando a todo momento? Impossível.
Por isso que o uso do RIP (v1 ou v2) somente é indicado para pequenas redes.
l O RIP pode ser configurado para os seguintes modos de operação:
– Modo de atualização auto-estático: Neste modo, os anúncios do RIP somente são envidados
quando outros roteadores enviam uma requisição de atualização para este roteador. As rotas
que o roteador aprender, estando neste modo, serão gravadas como rotas estáticas, na tabela
de roteamento. Se o serviço RRAS for parado e iniciado novamente, as rotas marcadas como es-
tática serão mantidas. Estas rotas somente deixarão de ser utilizadas, quando forem manual-
mente excluídas da tabela de roteamento. Este é o modo padrão para interfaces do tipo disca-
gem por demanda.
– Modo de atualização periódica: Este é o modo mais comum, ou seja, os anúncios do RIP são
enviados periodicamente, de acordo com o intervalo de tempo configurado na guia Avança-
do, que será descrita logo a seguir. Neste modo, o roteador “aprende” novas rotas e “informa”


novas rotas para os demais roteadores da rede, através dos pacotes de anúncio, nos quais cada
roteador informa as rotas que “conhece”. Rotas que são “aprendidas” desta maneira são consi-
deradas rotas dinâmicas e quando o servidor RRAS for parado e inicializado novamente, estas
rotas serão descartadas. Ao iniciar novamente o servidor RRAS, o processo de aprendizagem
das rotas, baseado em anúncios do RIP é utilizado novamente. Este é o modo definido por pa-
drão para interfaces de rede local, habilitadas ao RIP.
l Na lista Protocolo de pacote enviado, você pode selecionar uma das seguintes opções:
– Difusão RIP v1: Os anúncios de RIP versão 1 são enviados como broadcast.
Mais uma vez os meus mais sinceros protestos contra as traduções. Tudo bem, difusão até pode ser
a tradução correta para broadcast. Mas quem dentre os milhares de profissionais de TI que traba-
lham com rede, utiliza o termo difusão? Já broadcast, na hora, formamos a imagem do que é, em
nossa mente. Pena que o pessoal da tradução não leve estes fatos em consideração, apenas tradu-
za literalmente.
– Difusão RIP v2: Os anúncios de RIP versão 2 são enviados usando broadcast. Se você tiver um
ambiente misto com RIP versões 1 e 2, selecione este protocolo. Este é o padrão para interfaces
de rede local.
– Difusão seletiva RIP v2: Os anúncios de RIP versão 2 são enviados como difusões seletivas (eu
prefiro o termo original: multicast). Selecione este protocolo somente se todos os roteadores
RIP vizinhos, que estiverem conectados a esta interface, também estiverem utilizando o RIP
versão 2 que são configurados para RIP versão 2. Um roteador RIP versão 1 não pode processar
um anúncio de difusão seletiva RIP versão 2.
– RIP silencioso: Desativa os anúncios RIP de saída desta interface. No modo silencioso, o com-
putador procura por anúncios e atualizações RIP e atualiza sua tabela de roteamento, mas não
anuncia suas próprias rotas. Em outras palavras, esta interface fica só “escutando” a rede e atuali-
zando sua tabela de roteamento, sem se pronunciar (sem anunciar suas rotas). Esta é a opção a
ser selecionada para configurar um roteador como Silent RIP, citada anteriormente.
l O protocolo OSPF – Open Shortest Path First (OSPF, abrir primeiro caminho mais curto) é a al-
ternativa para redes de grande porte, onde o protocolo RIP não pode ser utilizado, devido a
suas características e limitações, conforme descrito anteriormente. O OSPF permite a divisão
de uma rede em áreas e torna possível o roteamento dentro de cada área e através das áreas,
usando os chamados roteadores de borda. Com isso, usando o OSPF, é possível criar redes hie-
rárquicas de grande porte, sem que seja necessário que cada roteador tenha uma tabela de rotea-
mento gigantesca, com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF
é projetado para intercambiar informações de roteamento em uma interconexão de rede de ta-
manho grande ou muito grande, como por exemplo a Internet.


l A maior vantagem do OSPF é ser eficiente em vários pontos: requer pouquíssima sobrecarga de
rede mesmo em interconexões de redes muito grandes, pois os roteadores que usam OSPF tro-
cam informações somente sobre as rotas que sofreram alterações e não toda a tabela de rotea-
mento, como é feito com o uso do RIP. Sua maior desvantagem é a complexidade: requer pla-
nejamento adequado e é mais difícil de configurar e administrar.
l O OSPF usa um algoritmo Shortest Path First (SPF, primeiro caminho mais curto) para calcular as
rotas na tabela de roteamento. O algoritmo SPF calcula o caminho mais curto (menor custo) entre
o roteador e todas as redes da interconexão de redes. As rotas calculadas pelo SPF são sempre livres
de loops (laços). O OSPF usa um algoritmo de roteamento conhecido como link-state (estado de li-
gação). Lembre que o RIP usava um algoritmo baseado em distância vetorial. O OSPF aprende as
rotas dinamicamente, através de interação com os roteadores denominados como seus vizinhos.
l Em vez de intercambiar as entradas de tabela de roteamento como os roteadores RIP (Router

Information Protocol, protocolo de informações do roteador), os roteadores OSPF mantêm
um mapa da interconexão de redes que é atualizado após qualquer alteração feita na topolo-
gia da rede (é importante salientar novamente que somente informações sobre as mudanças
são trocadas entre os roteadores usando OSPF e não toda a tabela de roteamento, como acon-
tece com o uso do RIP). Esse mapa, denominado banco de dados do estado de vínculo ou es-
tado de ligação, é sincronizado entre todos os roteadores OSPF e é usado para calcular as rotas
na tabela de roteamento. Os roteadores OSPF vizinhos (neighboring) formam uma adjacên-
cia, que é um relacionamento lógico entre roteadores para sincronizar o banco de dados com
os estados de vínculo.
l As alterações feitas na topologia de interconexão de redes são eficientemente distribuídas por

toda a rede para garantir que o banco de dados do estado de vínculo em cada roteador esteja
sincronizado e preciso o tempo todo. Ao receber as alterações feitas no banco de dados do esta-
do de vínculo, a tabela de roteamento é recalculada.
l À medida em que o tamanho do banco de dados do estado de vínculo aumenta, os requisitos

de memória e o tempo de cálculo do roteamento também aumentam. Para resolver esse pro-
blema de escala, o OSPF divide a interconexão de redes em áreas (conjuntos de redes contí-
guas) que são conectadas umas às outras através de uma área de backbone. Cada roteador man-
tém um banco de dados do estado de vínculo apenas para aquelas áreas com as quais estão
conectadas. Os ABRs (Area Border Routers, roteadores de borda de área) conectam a área de
backbone a outras áreas.
l Cada anúncio de um roteador OSPF contém informações apenas sobre os estados de ligação dos
roteadores vizinhos. Com isso, a quantidade de informação transmitida na rede, pelo protocolo
OSPF, é bem menor do que a quantidade de informação transmitida quando é usado o RIP. Ou-
tra vantagem é que os roteadores OSPF páram de enviar anúncios quando a rede atinge um esta-
do de convergência, ou seja, quando não existem mais alterações a serem anunciadas. O RIP, ao
contrário, continua enviando anúncios periodicamente, mesmo que nenhuma alteração tenha
sido feita na topologia da rede (tal como um link ou roteador que tenha falhado).


l Na Internet, existe a divisão nos chamados Sistemas Autônomos. Um sistema autônomo, por
exemplo, pode representar a rede de um grande provedor. Neste caso, o próprio sistema autô-
nomo pode ser dividido em uma ou mais áreas usando OSPF e estas áreas são conectadas por
um backbone central. O roteamento dentro de cada sistema autônomo é feito usando os cha-
mados protocolos de roteamento interno (IGP – Interior Gateway Protocol). O OSPF é um pro-
tocolo IGP, ou seja, para roteamento dentro dos sistemas autônomos. O roteamento entre os
diversos sistemas autônomos é feito por protocolos de roteamento externos (EGP – Exterior
Gateway Protocol) e pelos chamados protocolos de roteamento de borda (BGP – Border Gate-
way Protocol).
Pode ocorrer situações em que uma nova área que é conectada a rede, não pode ter acesso físico di-
reto ao backbone OSPF. Nestas situações, a conexão da nova área com o backbone OSPF é feita
através da criação de um link virtual (virtual link). O link virtual fornece um caminho “lógico” entre a
área fisicamente separada do backbone e o backbone OSPF. Criar o link virtual significa criar uma
rota entre a área que não está fisicamente conectada ao backbone e o backbone, mesmo que este
link passe por dois ou mais roteadores OSPF, até chegar ao backbone. Você aprenderá a criar links
virtuais do OSPF na parte prática, mais adiante.
l O OSPF tem as seguintes vantagens sobre o RIP:
– As rotas calculadas pelo algoritmo SPF são sempre livres de loops.
– O OSPF pode ser dimensionado para interconexões de redes grandes ou muito grandes.
– A reconfiguração para as alterações da topologia de rede é muito rápida, ou seja, o tempo de

convergência da rede, após alterações na topologia é muito menor do que o tempo de conver-
gência do protocolo RIP.
– O tráfego de informações do protocolo OSPF é muito menor do que o do protocolo RIP.
– O OSPF permite a utilização de diferentes mecanismos de autenticação entre os roteadores

que utilizam OSPF.
– O OSPF envia informações somente quando houver alterações na rede e não periodicamente.
l A implementação OSPF do roteador do Windows 2000 Server e no Windows Server 2003 tem
os seguintes recursos:
– Filtros de roteamento para controlar a interação com outros protocolos de roteamento.
– Reconfiguração dinâmica de todas as configurações OSPF.
– Coexistência com o RIP.
– Adição e exclusão dinâmica de interfaces.


O Windows 2000 Server não oferece suporte ao uso do OSPF em uma configuração de discagem
por demanda (demand-dial) que usa vínculos dial-up temporários.
l Uma rede baseada em OSPF é dividia em áreas e as diversas áreas são conectadas através de um
backbone comum a todas as áreas. O algoritmo SPF é baseado na sincronização do banco de
dados de estados de ligação entre os roteadores OSPF. Porém, ao invés de cada roteador fazer a
sincronização com todos os demais roteadores OSPF da sua área, cada um faz a sincronização
apenas com seus vizinhos (neghboring routers). A relação entre roteadores OSPF vizinhos,
com o objetivo de sincronizar suas bases de dados é conhecida como “Adjacência”. O termo
mais comum é “formar uma adjacência”.
Porém, mesmo com o uso de adjacências, em uma rede com vários roteadores dentro da mes-
ma área, um grande número de adjacências poderá ser formado, o que implicaria em um gran-
de volume de troca de informações de roteamento. Por exemplo, imagine uma rede com seis
roteadores OSPF dentro da mesma área. Neste caso, cada roteador poderia formar uma adja-
cência com os outros cinco roteadores da área, o que resultaria em um total de 15 adjacências.
O número de adjacências é calculado usando a seguinte fórmula, onde n representa o número
de roteadores:
Número de adjacências = n*(n-1)/2

l Com um grande número de adjacências, o tráfego gerado pela sincronização do OSPF seria
muito elevado. Para resolver esta questão é utilizado o conceito de Designated Router (Rotea-
dor designado). Um roteador designado é um roteador que será considerado vizinho de todos
os demais roteadores da rede. Com isso é formada uma adjacência entre cada roteador da rede
e o roteador designado. No nosso exemplo da rede com seis roteadores OSPF dentro da mesma
área, seriam formadas apenas cinco adjacências. Uma entre cada um dos cinco roteadores, di-
retamente com o sexto roteador, o qual foi feito o roteador designado. Neste caso, cada rotea-
dor da rede troca informações com o roteador designado. Como o roteador designado recebe
informações de todos os roteadores da área, fica com uma base completa e repassa esta base
para cada um dos roteadores da mesma área. Observe que, com o uso de um roteador designa-
do, obtém-se uma sincronização da base completa dos roteadores e com o uso de um número
bem menor de adjacências, o que reduz consideravelmente o tráfego de pacotes do OSPF.
l Por questões de contingência, também é criado um Designated Backup Router (Roteador designa-
do de backup), o qual assumirá o papel de roteador designado, no caso de falha do roteador desig-
nado principal. A eleição de qual será o roteador designado é feita automaticamente pelo OSPF,
mediante uma troca de pacotes Hello, de acordo com as regras contidas no protocolo, um dos ro-
teadores será eleito como roteador designado e um segundo como roteador designado backup.
l O serviço de roteamento do RRAS no Windows 2000 Server (e também no Windows Server
2003) inclui o suporte ao demand-dial routing (roteamento de discagem por demanda) tam-
bém conhecido como roteamento dial-on-demand. Usando uma interface de discagem por
demanda (como por exemplo uma conexão via modem e linha discada), o roteador pode ini-


ciar uma conexão com um roteador remoto quando um pacote a ser roteado é recebido pelo
roteador. A conexão se torna ativa apenas quando dados precisam ser enviados para o site re-
moto. Quando houver um determinado período de inatividade no link, a conexão é cancela-
da e somente quando houver um novo pacote a ser roteado é que a conexão será criada nova-
mente – sob demanda. Fazendo uma conexão de discagem por demanda, você pode usar
linhas telefônicas dial-up existentes em vez de linhas dedicadas. Este uso gera economia,
principalmente em situações de pouco tráfego. O roteamento de discagem por demanda
pode reduzir significativamente os custos de conexão. A principal desvantagem deste méto-
do é que existe um retardo no roteamento dos pacotes, quando a conexão não está estabele-
cida e é preciso fazer uma discagem para fazer o roteamento. Durante o tempo de estabeleci-
mento da conexão, os pacotes a serem roteados ficarão em espera. Por isso que este recurso
somente é indicado para pequenas redes, com pouco tráfego de replicação, preferencialmen-
te para empresas que precisam fazer o roteamento em horários específicos. Nestes casos, se
justifica o uso do roteamento sob demanda, por causa da redução de custo em comparação
com o uso de um link dedicado.
l Outra situação em que o uso do roteamento sob demanda é recomendado é para a criação de
um link de reserva, para contingência, no caso de falha do link principal. Por exemplo, você
pode criar uma conexão de roteamento sob-demanda e configurá-la com um custo bem mais
elevado do que o custo da conexão padrão. Nestas situações, a conexão de roteamento sob de-
manda somente será utilizada quando a conexão dedicada falhar. Neste caso, a conexão de ro-
teamento sob demanda funciona como um “backup”, a ser utilizado na contingência de falha
da conexão principal.
l O roteador do RRAS também inclui o suporte a filtros de discagem por demanda e a horários
para discagem externa, ou seja, você pode configurar em qual horários será permitida a disca-
gem para dar suporte ao roteamento de pacotes. Você pode definir horários de discagem exter-
na para especificar os períodos em que um roteador tem permissão para fazer conexões de dis-
cagem por demanda. Você pode configurar quando o roteador pode aceitar conexões de
entrada por meio de diretivas de acesso remoto.
l Você pode usar filtros de discagem por demanda para especificar os tipos de tráfego permitidos
para criar a conexão. Os filtros de discagem por demanda são separados dos filtros de pacotes
IP (Internet Protocol, protocolo Internet), que você configura para especificar qual o tráfego
permitido para uma interface, e a partir dela, depois que a conexão é feita.
l Uma conexão de roteamento sob demanda é feita entre um roteador “chamador”, que é o ro-
teador que inicia a conexão e um roteador “respondedor”, que é quem atende a conexão. Os
dois roteadores devem ter o RRAS instalado e configurado para aceitar conexões de rotea-
mento sob demanda.
l Quando um roteador configurado para iniciar chamadas de roteamento sob demanda, recebe
um pacote, o RRAS determina (com base nas tabelas de roteamento), qual a melhor rota a ser
utilizada para enviar o pacote. Se a rota selecionada é uma rota de uma interface de discagem


sob demanda, e se a conexão não estiver estabelecida, será iniciada a discagem, para estabele-
cer uma conexão com o roteador de destino. Será iniciada uma conexão do tipo PPP. A cone-
xão PPP pode utilizar uma linha telefônica comum ou uma conexão de alta velocidade, como
ISDN ou ADSL. Pode inclusive ser uma conexão do tipo VPN, baseada em PPTP ou L2TP, con-
forme descrito no Capítulo 6.
l Existem mais alguns fatores que devem ser considerados, em relação ao uso do roteamento sob
demanda:
– Endereçamento do ponto de extremidade da conexão. A conexão deve ser feita por meio de
redes de dados públicos, como o sistema de telefonia analógico. O ponto de extremidade da
conexão deve ser identificado por um número de telefone ou outro identificador de ponto de
extremidade. Se for uma conexão do tipo VPN, a identificação da outra “extremidade” da co-
nexão pode ser o número IP do roteador e assim por diante.
– Autenticação e autorização do chamador. Qualquer um que chama o roteador deve ser au-
tenticado e autorizado. A autenticação é baseada no conjunto de credenciais do chamador
que são passadas durante o processo de estabelecimento da conexão. As credenciais que são
passadas devem corresponder a uma conta do Windows 2000 Server. A autorização é conce-
dida com base na permissão de discagem desta conta do Windows 2000 Server nas diretivas
de acesso remoto. Por exemplo, a conta que está sendo utilizada deve ter recebido permissão
para fazer discagem remota. Esta permissão é configurada nas propriedades da conta, no
Active Directory.
– Diferenciação entre clientes de acesso remoto e roteadores. Os serviços de roteamento e de

acesso remoto coexistem no mesmo computador que executa o RRAS no Windows 2000 Ser-
ver. Os clientes de acesso remoto e roteadores podem chamar o mesmo número de telefone. O
computador que executa o RRAS e que responde à chamada deve ser capaz de distinguir um cli-
ente de acesso remoto de um roteador que está chamando para criar uma conexão de discagem
por demanda. Para diferenciar um cliente de acesso remoto de um roteador de discagem por
demanda, o nome de usuário nas credenciais de autenticação enviadas pelo roteador que fez a
chamada deve corresponder exatamente ao nome de uma interface de discagem por demanda
no roteador que está respondendo. Caso contrário, a conexão de entrada será considerada
uma conexão de acesso remoto.
– Configuração das extremidades da conexão. As duas extremidades da conexão devem ser

configuradas mesmo que somente uma delas esteja iniciando uma conexão de discagem por
demanda. A configuração de apenas um lado da conexão significa que os pacotes só serão ro-
teados com êxito em uma direção. A comunicação normal requer que as informações transi-
tem nas duas direções.
– Configuração de rotas estáticas. Você não deve usar protocolos de roteamento dinâmico em
conexões de discagem por demanda. Dessa forma, as rotas para as identificações de rede que es-
tão disponíveis através da interface de discagem por demanda devem ser adicionadas à tabela de
roteamento como rotas estáticas. Você pode executar isso manualmente ou usando atualizações


auto-estáticas. Não que não seja possível usar os protocolos RIP e OSPF em uma interface de dis-
cagem sob demanda, é possível. Porém como estes protocolos enviam e recebem informações
constantemente, a cada envio de um pacote de atualização, a conexão teria que ser inicializada.
Por exemplo, o protocolo RIP envia anúncios, por padrão, a cada 30 segundos. Não daria nem
tempo de conectar e desconectar e um novo anúncio do RIP já estaria sendo enviado.
l Outro cuidado especial que deve ser tomado é em relação a configurar a conexão de roteamen-
to sob demanda, como sendo a rota padrão (0.0.0.0). Rota padrão significa: se não houver uma
rota específica, manda para a rota padrão. Esta configuração fará com que a conexão sob de-
manda seja inicializada sempre que houver um pacote a ser enviado e não houver uma rota es-
pecífica ou até mesmo um quando um endereço inválido for utilizado, o RRAS não terá uma
rota específica e mandará para a rota padrão. Claro que, em determinadas situações, pode ser
necessária a definição da rota padrão, associada com a conexão de discagem sob demanda. Nós
até já fizemos esta configuração no Capítulo 7, ao configurar e habilitar o NAT. Um dos passos
era criar uma conexão de discagem sob demanda e configurá-la como rota padrão. Mas, no
exemplo do NAT, esta é a configuração necessária, já que todo acesso à Internet deve passar
pelo NAT e se não houver uma conexão estabelecida, uma nova conexão deve ser iniciada –
exatamente o que faz o roteamento em uma interface de discagem sob demanda.
l Diversos recursos podem ser utilizados para garantir a segurança na utilização de roteamento
de conexões sob demanda. O primeiro é o uso de uma conta do domínio para fazer a autentica-
ção com o roteador de destino (servidor RRAS que irá atender a chamada). Com o uso de uma
conta do Active Directory, o roteador que recebe a chamada, tem como verificar se o que está
solicitando a conexão é um roteador autorizado, pois está informando uma conta e senha váli-
das no domínio. Estou usando o termo roteador, mas entenda-se como sendo um servidor
RRAS executando a função de roteamento, já que para estabelecer uma conexão de roteamen-
to sob demanda, as duas pontas tem que ser servidores RRAS. Além disso, o administrador
pode definir qual conta será utilizada para fazer a conexão sob demanda, habilitando esta con-
ta a fazer a conexão com o servidor RRAS. Esta habilitação pode ser feita diretamente nas pro-
priedades da conta, na guia Dial-in (Discagem) ou usando uma política de acesso remoto para
dar permissão de discagem para o grupo ao qual pertence a conta. Também pode ser uma polí-
tica de acesso remoto configurada em um servidor RADIUS, caso você esteja utilizando o IAS
para autenticação de conexões no RRAS.
Para detalhes sobre o RRAS, RADIUS, IAS e políticas de acesso remoto, consulte o Capítulo 6, onde
estes assuntos foram discutidos em detalhes.
l Como a conexão de discagem sob demanda é feita com base no PPP, estão disponíveis os pro-
tocolos de autenticação aceitos pelo PPP: PAP, SPAP, CHAP, MS-CHAP v1, MS-CHPA v2 e
EAP-MD5. Para mais detalhes sobre estes protocolos de autenticação, consulte o Capítulo 6.
Os mecanismos de autenticação baseados em certificados, tais como EAP-TLS também são su-


portados em conexões de discagem sob demanda. Outra opção é o uso de uma conexão do tipo
VPN, baseada em LT2P/IPSec. Neste caso, não são usadas informações de autenticação de uma
conta do usuário. Ao invés disso, o próprio protocolo IPSec é responsável por fazer que os dois
lados da conexão se autentiquem mutuamente. Os mecanismos de call back e de identificador
de segurança (security ID), discutidos no Capítulo 6, também podem ser utilizados para cone-
xões de roteamento sob demanda.
l Um mecanismo importante de segurança, disponível para conexões de roteamento usando
discagem sob demanda, é a possibilidade de bloqueio de conta (lockout account). O adminis-
trador pode definir um número máximo de tentativas de autenticação sem sucesso, dentro de
um período de tempo, que podem ser feitas antes que a conta seja bloqueada. Uma vez bloque-
ada, dependendo das configurações do Active Directory, somente o administrador poderá des-
bloquear a conta.
l O IPSec é um conjunto de padrões utilizados para garantir uma comunicação segura entre dois
computadores, mesmo que as informações estejam sendo enviadas através de um meio não se-
guro, como por exemplo a Internet. Observe que esta definição é parecida com a definição de
VPN apresentada no Capítulo 6. Por isso que a combinação L2TP/IPSec é uma das opções mais
indicadas para a criação de conexões do tipo VPN (ver Capítulo 6).
l O IPSec é baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar in-
formações de maneira segura, usando IPSec, devem “concordar” com um conjunto comum de
regras e definições do IPSec. Com o uso do IPSEc e das tecnologias associadas, os dois computa-
dores são capazes de se autenticar mutuamente e manter uma comunicação segura, com dados
criptografados, mesmo usando um meio não seguro, como a Internet.
l A configuração e habilitação do IPSec é baseada no uso de Polices. Não existe outra maneira de
criar, configurar e habilitar o IPSec a não ser com o uso de uma GPO. Isso facilita a configura-
ção e aplicação do IPSec a grupos de computadores, como por exemplo, todos os computado-
res do domínio ou de um site ou de uma unidade organizacional.
l Quando dois computadores vão trocar dados usando IPSec, a primeira etapa é fazer a autenti-
cação mútua entre os dois computadores. Nenhuma troca de dados é efetuada, até que a au-
tenticação mútua tenha sido efetuada com sucesso.
l O IPSec utiliza o protocolo Kerberos para autenticação dos usuários.
l Quando dois computadores vão se comunicar via IPSec, é criada uma SA (Securtiy Association
– associação de segurança) entre os computadores. Na SA, estão definidas as regras de comuni-
cação, os filtros a serem aplicados e o conjunto de chaves que será utilizado para criptografia e
autenticação.
l O protocolo IPSec pode utilizar certificados de chave pública para confiar em computadores
que utilizam outros sistemas operacionais, como por exemplo o Linux.
l O IPSec fornece suporte ao pré-compartilhamento de uma chave de segurança (preshared key
support). Em situações onde não está disponível o uso do protocolo Kerberos, uma chave,


como por exemplo a definição de uma senha, pode ser configurada ao criar a sessão IPSec. Esta
chave tem que ser informada em todos os computadores que irão trocar dados de forma segu-
ra, usando IPSec.
l Conforme descrito anteriormente, o uso do IPSec é absolutamente transparente para os usuá-
rios e aplicações. O computador é que é configurado para usar o IPSec. Os programas instala-
dos neste computador passam a usar o IPSec, sem que nenhuma modificação tenha que ser
efetuada. Os dados são interceptados pelo sistema operacional e a comunicação é feita usando
IPSec, sem que os usuários tenham que fazer quaisquer configurações adicionais.
l A conta que será configurada para o uso do roteamento de discagem sob demanda, deve ser
configurada com as seguintes características:
– A opção Senha nunca expira deve ser marcada.
– Não marcar a opção O usuário deve alterar a senha no próximo logon.
– O nome da conta deve ser o mesmo nome do utilizado para a interface de discagem por
demanda.
l O protocolo OSPF é a solução para o roteamento em grandes redes.
l Uma rede baseada em OSPF é dividida em áreas e os roteadores somente contêm informações
para rotas dentro da área e uma rota padrão que é o roteador de borda.
l Os roteadores OSPF formam adjacências, dois a dois, e as informações sobre rotas somente são
trocadas entre os roteadores que formam uma adjacência.
l Para reduzir o número de adjacências, um dos roteadores da área é nomeado como Designated
Router (Roteador designado). Todos os demais roteadores da área, formam uma adjacência
com o roteador designado. Além do roteador designado, também é eleito um roteador desig-
nado de backup. A eleição de qual será o roteador designado e qual será o roteador designado
de backup é feita automaticamente, através da troca de pacotes OSPH Hello entre os roteado-
res OSPF da área.
l Para interligar áreas OSPF, é utilizada uma área de backbone. A interligação entre as diversas
áreas e a área de backbone é feita pelos roteadores de borda. Um roteador de borda é uma inter-
secção entre uma determinada área e a área de backbone.
l Pode acontecer de uma área não ter uma conexão direta com o backbone. Neste caso, você
pode criar um link virtual entre a referida área e o backbone. O link virtual pode ser representa-
do pelo caminho de dois ou mais roteadores em áreas diferentes.
l Um link virtual não poderá ser criado passando por uma área do tipo Stub Area.
l O RIP v2 suporta o anúncio usando multicast, autenticação e anuncia a máscara de sub-rede,
juntamente com as rotas. O RIP v1 não anuncia a máscara de sub-rede.
l Você pode configurar um servidor RRAS para apenas ouvir (listener) as rotas, sem anunciar as
próprias rotas. Com isso, o servidor RRAS passará a ser um Router Listener.


l O principal objetivo do protocolo IPSec é garantir a segurança/proteção no transporte dos pa-

cotes TCP/IP. Fornece as seguintes funcionalidades:
– Garante a integridade dos dados.
– Garante a confidencialidade dos dados, usando criptografia.
– Proteção para os computadores que estão se comunicando usando IPSec.

l A privacidade na comunicação via IPSec é garantida com o uso de criptografia. O IPSec utiliza o
L2TP para serviços de criptografia.
l O IPSec garante a autenticidade de cada pacote, mediante a criação de um código de verifica-
ção (Checksum). Este código é calculado com base nas chaves de criptografia. Ao receber um
pacote, o cliente pode verificar se o código de verificação está OK. Se não estiver, o pacote é
descartado, pois poderá ter sido modificado durante o envio.
l Para que a comunicação via IPSec possa ser estabelecida, é feita uma autenticação mútua, ou
seja, cada lado da comunicação autentica o outro lado. Somente após a autenticação mútua ter
sido realizada com sucesso, é que começa o envio e o recebimento de pacotes. Nenhum pacote
será enviado antes que a autenticação mútua seja realizada com sucesso.
l Ao criar uma política para aplicação do IPSec, você pode definir filtros com base no protocolo
de comunicação, permitindo ou negando determinado protocolo.
Sites com informações adicionais, artigos e tutoriais sobre NAT, ICS, PKI, Certificados e criptografia:
l www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/main-
tain/security/ipsecarc.asp.
l http://www.microsoft.com/technet/itsolutions/network/maintain/security/ipsecimp.asp.
l http://www.networkmagazine.com/magazine/tutorial/management/9802tut.htm.
l http://www.microsoft.com/TechNet/security/ipsecloc.asp.
l http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/ipsecure.asp.
l http://www.cylan.com/files/whpaper.htm.
l http://online.securityfocus.com/infocus/1559.
l http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/ispstep.asp.
l http://www.8wire.com/headlines/?AID=1748.
l www.microsoft.com/technet/treeview/default.asp?url=/TechNet/itsolutions/network/main-
tain/security/ipsecld.asp.


l http://www.microsoft.com/technet/itsolutions/network/maintain/security/VPNClntA.asp.
l http://www.techtutorials.com/cgibin/links/jump.cgi?ID=384.
l http://www.microsoft.com/windowsxp/home/using/productdoc/en/netsh_routing.asp.
l http://www.microsoft.com/windows2000/en/server/help/sag_rras-ch3_04e.htm.
l http://www.microsoft.com/windows2000/en/advanced/help/sag_rras-ch3_04e.htm.
l http://www.microsoft.com/windows2000/en/datacenter/help/sag_rras-ch3_04e.htm.
l http://www.microsoft.com/windows2000/en/server/help/sag_rras-ch3_04d.ht.m
SITES COM EXCELENTES INFORMAÇÕES SOBRE

CERTIFICAÇÕES E SOBRE O EXAME 70-216
l No endereço a seguir, você pode adquirir um arquivo PDF com um bom resumo para este exa-
me. O resumo tem cerca de 120 páginas e está em Inglês:
http://studyguides.cramsession.com/cramsession/microsoft/Win2KNet_Infra/
l No endereço a seguir, você encontra um resumo, em Inglês, gratuito:
http://www.examnotes.net/MCSE-examdetails-20.html
A seguir, uma lista de outros bons sites com informações sobre certificações Microsoft:
l www.juliobattisti.com.br.
l www.certificacoes.com.br.
l www.mcmcse.com.


l www.mcseguide.com.
l www.certcities.com.
l www.msexperts.com.
l www.ucertify.com.
l www.certifiyourself.com.
l www.mcpmag.com.
l http://www.mcmcse.com/win2k/70216.shtml.
l http://www.mcmcse.com/win2k/guides/2000networkguide.shtml.


Capítulo 11
SIMULADO PARA O EXAME 70-216

Neste capítulo, eu apresento um simulado com 60 questões. Em cada questão apresento, além da
resposta, comentários sobre a questão, sempre salientando os pontos principais relacionados e
cobrados na referida questão. Peço que o amigo leitor estude com muita atenção o conteúdo que
foi apresentado neste livro, bem como o resumo do Capítulo 10 e este simulado. Além disso, ao fi-
nal do simulado, apresento links para alguns sites que têm mais simulados para o exame 70-216,
porém todos em inglês.
Outra excelente fonte de informações e de estudos para o exame 70-216 é o simulado Transcender
(www.transcender.com). Este simulado tem dois pontos, digamos assim, que podem representar
problemas: é caro (cerca de 150 dólares) e somente está disponível em inglês. Mas para o amigo lei-
tor que domina a leitura do inglês técnico, o Transcender é uma excelente opção. São três simula-
dos com 51 questões cada um. Além das questões, você encontra explicações detalhadas sobre cada
questão. Você também tem a opção de imprimir os simulados com as respostas e comentários de
cada questão. Ao imprimir, os três simulados serão cerca de 200 páginas de excelente conteúdo.
SIMULADO PARA O EXAME 70-216 –

60 QUESTÕES – RESPOSTAS – COMENTÁRIOS
Questão 01: Você é o administrador de uma rede com servidores baseados no Windows 2000
Server e no Active Directory. Os clientes são baseados no Windows 2000 Professional e alguns
clientes no Windows XP Professional. Como serviço de resolução de nomes da sua rede você uti-
liza somente o DNS do Windows 2000 Server. O administrador responsável pelo DNS criou zo-
nas primárias diretas para todos os domínios da sua rede. Mesmo assim os clientes informam
que não estão conseguindo, dado um endereço IP, descobrir o nome do host associado com este
endereço IP. O que deve ser feito para que a resolução do endereço IP para nome possa funcionar
corretamente?
a) Crie um arquivo hosts no servidor e configure este arquivo via Group Polices Objects.
b) Crie um arquivo lmhosts.sam no servidor e configure este arquivo via Group Polices
Objects.
c) Peça para o administrador do DNS criar zonas reversas e criar registros PTR nestas zonas.
d) Peça para o administrador do DNS criar zonas diretas com o nome do domínio invertido,
isto é, de trás para frente e criar registros PTR nestas zonas.
e) Instale e configure o WINS como uma segunda opção de resolução de nomes.
Resposta certa: c
Comentários: Esta questão testa conhecimentos básicos do DNS. No DNS, podemos criar zonas di-
retas (que fazem a resolução do nome do host para o respectivo endereço IP) e zonas reversas (que,


Capítulo 11 – SIMULADO PARA O EXAME 70-216
dado um endereço IP, localizam o nome correspondente). Para que a resolução reversa funcione,
devem ser criadas zonas reversas. Os registros das zonas reversas são conhecidos como Pointers,
também chamados registros PTR. Alguns utilitários, como por exemplo o tracert, também utilizam
a resolução reversa para o seu funcionamento. Nesta questão, o que tem que ser feito é criar as zonas
reversas e adicionar os respectivos registros PTR. Por isso a resposta correta é a letra “c".
Para detalhes sobre DNS, zonas e tipos de registro do DNS, consulte o Capítulo 3.
rectory. Todos os clientes são baseados no Windows 2000 Professional. Você está utilizando o
DNS do Windows 2000, com a atualização dinâmica habilitada. Você está em fase de migração de
alguns servidores Web da Intranet. Estes sites estão em servidores Linux, hospedados em servido-
res Apache 2.0. Em um dos clientes com o Windows 2000 Professional, você tenta acessar um site
que ainda está em um servidor Apache 2.0, porém recebe uma mensagem de que não foi possível
achar o endereço informado. Você concluiu que o problema é com a resolução DNS. O que você
deve fazer para poder acessar o site que está no servidor Apache 2.0, da maneira mais rápida possí-
vel e que a solução funcione também para os demais clientes?
a) Crie uma entrada no servidor DNS, apontando para o endereço do site a ser acessado.
b) Crie uma entrada no arquivo hosts da sua estação de trabalho, apontando para o endereço
c) Crie uma entrada no servidor DNS, apontando para o endereço do site a ser acessado.
d) Crie uma entrada no servidor DNS, apontando para o endereço do site a ser acessado.
Utilize o comando ipconfig/clearcache na sua estação de trabalho.
e) Crie uma entrada no arquivo hosts da sua estação de trabalho, apontando para o endereço
Resposta certa: a
Comentários: Esta questão envolve uma série de conceitos interessantes em relação ao DNS.
Quando você tenta acessar um serviço pelo nome (www.juliobattisti.com.br, FTP.abc.com.br e
assim por diante), o Windows 2000 guarda o resultado desta resolução no que chamamos de ca-
che do DNS no cliente. Se a resolução for feita com sucesso, será gravado no cache o nome e o res-
pectivo IP. Com isso, sempre que o nome for utilizado novamente, o DNS poderá utilizar a infor-
mação que está no cache do DNS, evitando ter que fazer todo o processo de resolução novamente.


O uso do cache faz com que as resoluções subseqüentes sejam mais rápidas. Quando o DNS não
consegue resolver um nome, esta informação também fica no cache, com uma referência ao
nome e a informação de que não foi possível resolvê-lo. Quando o cliente fez a primeira tentativa
de acessar o referido site da Intranet da empresa, não havia entrada para o site no DNS. Como não
havia entrada, o nome não foi resolvido e então “não resolução” ficou gravada no cache DNS da
estação de trabalho do usuário. O próximo passo é adicionar a entrada ao DNS. Porém, somente
isto não basta, pois no cache do DNS, na estação de trabalho do usuário, ainda está a informação
de que o nome não foi resolvido. Para que o nome possa ser resolvido (a partir do registro que foi
adicionado ao DNS), é preciso limpar o cache DNS da estação de trabalho do usuário. Isto é feito
com o comando ipconfig/flushdns. A solução do arquivo hosts também iria funcionar, porém so-
mente para a estação de trabalho onde o hosts foi configurado. Já a criação de uma entrada no
DNS, resolve o problema para todas as estações da rede. Em resumo: cria-se a entrada no DNS e
limpa-se o cache DNS da estação de trabalho em questão. É isso.
Para maiores detalhes sobre DNS, zonas e tipos de registro do DNS, cache de DNS e o comando ip-
config, consulte o Capítulo 3.
Questão 03: Você administra o domínio abc.com, baseado em servidores com o Windows 2000
Server e no Active Directory. Cada vez que você adiciona um novo servidor, você tem que confi-
gurar, manualmente, um registro no DNS, para o novo servidor que está sendo adicionado. Se
você não criar o registro manualmente, os clientes não conseguem acessar o servidor pelo nome,
somente pelo endereço IP. Você gostaria que, sempre que um novo servidor fosse adicionado, o
respectivo registro no DNS fosse criado automaticamente. O que você deve fazer para que o regis-
tro automático no DNS possa ser executado?
a) Configure o DNS para descoberta automática de novos servidores.
b) Configure a zona primária do DNS para aceitar atualizações dinâmicas.
c) Configure uma GPO para atualização dinâmica do DNS.
d) Configure o Active Directory para atualização dinâmica do DNS.
e) Configure um script WSH para atualização dinâmica do DNS.
Resposta certa: b
Comentários: O DNS do Windows 2000 Server aceita atualizações dinâmicas, porém esta confi-
guração não é a configuração padrão. Após a instalação do DNS você deve configurar as respecti-
vas zonas diretas para aceitar a atualização dinâmica. Para isso você deve acessar o console do
DNS, clicar com o botão direito do mouse na zona a ser configurada, clicar em propriedades, para
exibir a janela de Propriedades da respectiva zona. Na janela de propriedades, na guia Geral, na
lista Permitir atualizações dinâmicas, você deve selecionar Sim, conforme indicado na figura a se-
guir. Por isso que a resposta correta é a letra “b”.
Para maiores detalhes sobre DNS, zonas e tipos de registro do DNS, consulte o Capítulo 3.


Questão 04: Você é o administrador da rede da sua empresa. A rede é baseada em servidores com
o Windows 2000 Server instalado e com o Active Directory. A rede tem um único domínio:
abc.com.br. A sede da empresa é em São Paulo, onde ficam três servidores com dados que for-
mam a base de dados financeiros, de vendas e demais dados corporativos. Na sede em São Paulo,
também ficam os servidores Web, com aplicações que dão acesso aos dados da empresa. Nos
escritórios no Rio de Janeiro, Porto Alegre e Belo Horizonte, você tem um servidor com o Win-
dows 2000 Server instalado. No servidor de cada escritório, está instalado o DNS e configurado
como servidor DNS somente cache. No escritório em SP, está o servidor DNS primário, responsá-
vel pela zona abc.com.br. Os clientes, nas estações de trabalho das filiais, utilizam bastante apli-
cações Web, disponíveis em diversos servidores do escritório central em SP. Estas aplicações
Web fornecem acessos aos dados da empresa. Você utilizou um equipamento para monitoração
do tráfego nos links entre os escritórios e a sede em SP e chegou à conclusão de que um grande
volume de tráfego DNS, devido à resolução de nomes, está sendo gerado entre as filiais e o escri-
tório em SP. Quais soluções podem ser adotadas para reduzir o volume de tráfego de resolução
DNS, entre as filiais e o escritório em SP?
a) No servidor em SP, aumente o TTL para o registro SOA – Start of Authority. Configure os
servidores das filiais para serem servidores DNS secundários.
b) Nos servidores somente cache, das filiais, aumente o TTL. Configure os servidores das fi-
liais para serem servidores DNS secundários.
c) No servidor em SP, diminua o TTL para o registro SOA – Start of Authority. Configure os
servidores das filiais para serem servidores DNS secundários.
d) Nos servidores somente cache, das filiais, diminua o TTL. Configure os servidores das filiais
para serem servidores DNS secundários.
e) Configure os servidores somente cache, das filiais, para aceitar atualizações dinâmicas e
para compactar os pacotes de resolução DNS.
Resposta certa: a
Comentários: Para resolver esta questão o candidato deve ter um bom domínio sobre o DNS no
Windows 2000 Server. O primeiro ponto importante é o seguinte: o tempo em que os registros são
mantidos em um servidor somente cache é determinado pelo TTL (Time to Live) do registro SOA,
do servidor a partir do qual o respectivo nome foi resolvido e não configurado diretamente no ser-
vidor cache. Com isso, já eliminamos as letras “b”, “d” e “e”. O segundo ponto para definir a ques-
tão é que o TTL deve ser aumentado e não diminuído. Ao aumentar o TTL, os registros permane-
cem por mais tempo válidos no servidor cache DNS, o que reduz a necessidade de resoluções no
servidor DNS da matriz em SP, reduzindo com isso o tráfego DNS. A colocação de servidores DNS
secundários nas filiais também é uma boa opção, já que o tráfego de replicação, com certeza, é
bem menor do que o de resolução no caso apresentado. Com isso nos resta a letra “a”, que é a al-
ternativa correta.


Questão 05: Como administrador da rede você gostaria de utilizar o serviço de DHCP para fazer a
configuração automática do TCP/IP nas estações de trabalho. Você instala o DHCP e cria um esco-
po com 30 endereços para serem utilizados pelos notebooks. Para as estações de trabalho, você
criar reservas de endereços para o MAC Address da placa de rede. Tanto as estações de trabalho
quanto os notebooks estão configurados com o Windows 2000 Professional. Você reinicializa o
servidor e todas as estações de trabalho e notebooks (todos configurados para usar DHCP). Porém
nenhuma das estações ou notebooks consegue se comunicar na rede local e nem com as redes ex-
ternas. O que você deve fazer para resolver este problema?
a) Configure o DHCP para fornecer a máscara de sub-rede e o IP do default gateway para

os clientes.
b) Ative o escopo criado no servidor DHCP.
c) Ative o servidor DHCP no Active Directory.
d) Autorize o servidor DHCP no Active Directory.
e) Execute o comando ipconfig/renew em todas as estações de trabalho e notebooks.
Resposta certa: d
Comentários: O ponto principal desta questão é que não basta instalar o serviço DHCP e configu-
rar os escopos, reservas e opções necessárias. Além disso, é preciso autorizar o servidor DHCP no
Active Directory. Sem esta autorização é como se o servidor DHCP não existisse. Somente contas
do grupo Enterprise Admin têm permissão para autorizar servidores DHCP no Active Directory.
Por isso que a resposta é a letra “d”. O comando ipconfig/renew até deve ser executado, depois
que o servidor DHCP estiver OK, ou seja, autorizado no Active Directory. Com este comando, as
estações de trabalho e os notebooks conseguirão obter as configurações a partir do servidor
DHCP, sem que tenham que ser reinicializados. Porém de nada adianta executar este comando,
enquanto o servidor DHCP não tiver sido autorizado no Active Directory.
Para maiores detalhes sobre DHCP, escopos e autorização de servidores DHCP, consulte o Capítulo 4.
consegue acessar os recursos da rede local, porém não consegue acessar a Internet e nem sistemas
localizados em servidores de redes externas. Os demais usuários da rede, em suas estações de tra-
balho, conseguem acessar a Internet normalmente, bem como os demais recursos em redes exter-
nas. Você executa o comando ipconfig/all na estação de trabalho do usuário jsilva e obtém o re-
sultado indicado na Figura 11.1.
Internet e com outras redes externas?


c) Não existe um Gateway padrão (Default gateway) definido.
d) O servidor DHCP está fora do ar.
e) O servidor DNS está fora do ar.
Resposta certa: c
Figura 11.1 Configurações do TCP/IP.
Comentários: Esta questão é longa no seu enunciado, porém é uma questão simples. Basta que o
candidato lembre que, para comunicar com redes externas, o TCP/IP utiliza um roteador, o qual é
conhecido como Gateway. O número IP do roteador deve estar configurado no parâmetro Gate-
way padrão (Default Gateway). Sem esta configuração, a estação de trabalho do jsilva não terá
acesso às redes externas, por isso a resposta é a letra “c”.
Para outros detalhes sobre as configurações do TCP/IP e sobre Default Gateway, consulte o Capí-
tulo 2. Para as configurações práticas do TCP/IP, consulte o Capítulo 9.
não consegue acessar os recursos da rede local, nem acessar a Internet e nem sistemas localizados
em servidores de redes externas, ou seja, ele simplesmente não consegue conectar-se à rede da em-
presa. Os demais usuários da rede, em suas estações de trabalho, conseguem acessar a Internet,
bem como os demais recursos em redes externas. Você executa o comando ipconfig/all na estação
de trabalho do usuário jsilva e obtém o resultado indicado na Figura 11.2.
rede da empresa?


c) Não existe um Gateway padrão (Default Gateway) definido.
d) A estação de trabalho do usuário jsilva não conseguiu conectar o servidor DHCP.
e) O servidor DNS está fora do ar. Resposta certa: d
Figura 11.2 Configurações do TCP/IP.
Comentários: A dica nesta questão é o número IP 169.254.x.y com a máscara de sub-rede

255.255.0.0. No Windows 2000, existe um recurso chamada APIPA – Automatic Private IP Addres-
sing. Quando uma estação de trabalho com o Windows 2000 instalado não é configurada com um
endereço IP e não consegue obter este endereço IP a partir de um servidor DHCP, o Windows 2000,
automaticamente, atribui um endereço da rede 169.257.0.0, com máscara 255.255.0.0. De tempos
em tempos, o Windows 2000 fica monitorando a rede (a cada cinco minutos). Se um servidor
DHCP responder às requisições do cliente, o Windows 2000 descarta o endereço automaticamente
atribuído e obtém as configurações a partir do servidor DHCP. No cenário descrito na questão, as
demais estações estão comunicando normalmente na rede. A estação do jsilva, por algum motivo,
não conseguiu se comunicar com o servidor DHCP e por isso recebeu uma configuração de rede di-
ferente do padrão da rede local (10.10.10.0 e máscara 255.255.255.0). Com isso é como se a estação
do jsliva estivesse em outra rede, a rede 169.254.0.0, a qual não consegue se comunicar com a rede
local da empresa. Por isso a alternativa correta é a letra “d”.


Para mais informações sobre DHCP, escopos e autorização de servidores DHCP, APIPA e endere-
ços IP consulte o Capítulo 4.
Questão 08: Você é o administrador da rede da sua empresa. A empresa tem um escritório em
São Paulo, no qual está instalado um Controlador de Domínio, um servidor DNS e DHCP. Todas
as estações de trabalho e notebooks estão configurados para usar o DHCP. O DHCP está funcio-
nando corretamente. A rede de SP utiliza a seguinte rede: 10.10.10.0/255.255.255.0. A empresa
também tem uma filial no Rio de Janeiro. A rede da filial do Rio de Janeiro utiliza o seguinte es-
quema de endereçamento: 10.10.20.0/255.255.255.0. O servidor DHCP está corretamente con-
figurado com escopos para as duas redes. Na filial em SP está tudo OK, as estações de trabalho e
os notebooks estão conseguindo obter as configurações IP, a partir do servidor DHCP. O DNS
está funcionando normalmente, porém os clientes, da filial do RJ, não estão conseguindo obter
as configurações IP a partir do servidor DHCP da matriz em São Paulo. O que você deve fazer
para solucionar esta questão.
a) Utilize o comando ipconfig/renew em todas as estações de trabalho no RJ.
b) Utilize o comando ipconfig/fluship em todas as estações de trabalho no RJ.
c) Utilize o comando ipconfig/renew no servidor DHCP em SP.
d) Configurar, na rede no RJ, o DHCP Relay Agent.
e) Configurar, na rede em SP, o DHCP Relay Agent.
Resposta certa: d
Comentários: Mais uma questão de DHCP. Os clientes no RJ não têm como acessar o servidor
DHCP em SP. Isso acontece porque, por padrão, o protocolo Bootp, utilizado pelos clientes
para localizar o servidor DHCP e trocar informações com o servidor, não é habilitado nos rotea-
dores. Para que essa comunicação possa existir, você precisa do DHCP Relay Agent, o qual faz o
papel de intermediário, ou seja, intercepta a requisição dos clientes e consegue enviá-la, atra-
vés do roteador, para que chegue até o servidor DHCP em SP. O DHCP Relay Agent também re-
cebe a resposta vinda do servidor DHCP e passa para o respectivo cliente. Nas situações onde o
servidor DHCP fica em uma rede externa, acessível somente através de um roteador, a solução
passa a ser o uso do DHCP Relay Agent, na rede que não tem servidor DHCP. Por isso a resposta
correta é a letra “d”.
Para detalhes sobre o papel do DHCP Relay Agent e as configurações deste protocolo, consulte o
Capítulo 8, sobre Roteamento.
Questão 09: A rede da sua empresa é formada por três domínios: abc.com.br é o domínio root,
vendas.abc.com.br e producao.abc.com.br são os outros dois domínios. Você é administrador do
domínio vendas.abc.com.br. Uma nova filial da sua empresa foi aberta em Belo Horizonte. Você
instalou o DHCP no servidor da nova filial e agora precisa autorizá-lo no Active Directory, para
que os clientes possam receber as configurações a partir do servidor DHCP. Ao tentar autorizá-lo


você recebe uma mensagem que não tem permissões suficientes, embora a sua conta de usuário
pertença ao grupo Administradores do domínio vendas.abc.com.br. Qual a causa de você estar re-
cebendo a mensagem de acesso negado, mesmo tendo sua conta como membro do grupo Admi-
nistradores do domínio vendas.abc.com.br.
a) Somente membros do grupo Enterprise Admin (Administradores da Empresa) têm permis-

são para autorizar servidores DHCP no Active Directory.
b) Provavelmente a sua conta esteja bloqueada.
c) Somente membros do grupo Enterprise DHCP Admins (Administradores DHCP da empre-

sa) têm permissão para autorizar servidores DHCP no Active Directory.
d) O servidor no qual você instalou o DHCP ainda não está com o Service Pack 2.0 ou superior.
e) As Polices do domínio impedem que a sua conta autorize o servidor DHCP.
Resposta certa: a
Comentários: Esta questão é bastante simples. Por padrão, somente membros do grupo Enterpri-
se Admin têm permissão para autorizar servidores DHCP no Active Directory. Neste caso, você te-
ria que solicitar que um dos membros do grupo Enterprise Admin fizesse a autorização ou que a
sua conta de usuário fosse adicionada ao grupo Enterprise Admin.
Questão 10: Você é o administrador da rede da sua empresa. A rede é formada de um único domí-
nio. Você instala um novo servidor, o qual conterá informações sigilosas sobre as estratégias da
sua empresa. Dentre outras configurações de segurança, este servidor terá o IPSec habilitado, atra-
vés da aplicação da Política Padrão de IPSec para o servidor. Após a aplicação desta política, ne-
nhuma estação de trabalho da rede consegue se comunicar com este servidor, nem mesmo a esta-
ção de trabalho do presidente e dos vice-presidentes, os quais devem ser os únicos usuários com
permissão para se comunicar com este servidor. O que você deve fazer para permitir que as esta-
ções de trabalho do presidente e dos vice-presidentes possam se comunicar com o servidor onde o
IPSec foi habilitado?
a) Configure as diretivas de segurança do servidor para que somente as contas do presidente e

dos vice-presidentes possam acessar o servidor através da rede.
b) Crie um grupo chamado AcessoSeguro.

Adicione a conta do presidente e dos vice-presidentes ao grupo AcessoSeguro.
Configure as diretivas de segurança do servidor para que somente o grupo AcessoSeguro
possa acessar o servidor através da rede.
c) Crie um grupo chamado AcessoSeguro.

Adicione a conta do presidente e dos vice-presidentes ao grupo AcessoSeguro.
Configure as diretivas de segurança do servidor para que somente o grupo AcessoSeguro
possa fazer o logon localmente no servidor.


d) Configure o IPSec nas estações de trabalho do presidente e dos vice-presidentes.
e) Configure o acesso ao servidor, para o grupo AcessoSeguro, através das políticas de segu-
rança do servidor.
Resposta certa: d
Comentários: A questão básica é que, para que dois computadores possam estabelecer uma comu-
nicação segura, usando IPSec, o protocolo IPSec deve estar configurado em ambos os computado-
res. Na situação descrita, o IPSec foi configurado apenas no servidor. Para que as estações de traba-
lho do presidente e dos vice-presidentes possam estabelecer comunicação com o servidor, é
preciso configurar o IPSec também nestas estações de trabalho. Com isso a resposta é a letra “d”.
Questão 11: Você é o administrador da rede da sua empresa. A rede é composta de um único
domínio: abc.com.br. Com o projeto de modernização da empresa, a equipe de vendas e di-
vulgação recebeu notebooks. Os membros da equipe utilizarão estes notebooks para fazer
acesso remoto aos recursos da rede, tais como aplicações Web, pastas compartilhadas e correio
eletrônico. Você instala o serviço de acesso remoto (RRAS), para que os usuários possam fazer
uma conexão discada com a rede da empresa. Os usuários conseguem se conectar normalmen-
te, porém não conseguem acessar os servidores utilizando o nome dos servidores. Você execu-
ta o comando ipconfig/all em um dos notebooks, enquanto conectado via conexão discada e
observa que o servidor RRAS forneceu apenas o endereço IP e a máscara de sub-rede, mas não
forneceu as demais opções, tais como servidor DNS, WINS e Gateway padrão. O que você deve
fazer para solucionar este problema, de tal maneira que os clientes possam utilizar todos os
serviços da rede da empresa?
a) Configure o servidor RRAS para aceitar Autenticação Básica.
b) Configure o servidor RRAS para utilizar a opção Set By Caller.
c) Configure o servidor RRAS para funcionar como um DHCP Relay Agent.
d) Configure o servidor RRAS para atuar como um Proxy.
e) Configure o servidor RRAS para autenticar os usuários remotos no domínio abc.com.br.
Resposta certa: c
Comentários: Esta é uma configuração muito importante e que, normalmente, é esquecida ao

configurar o servidor RRAS. Para que os clientes possam obter as demais configurações (Servidor
DNS, WINS e Gateway padrão), a partir do servidor RRAS, é preciso que este seja configurado
como um DHCP Relay Agent. Se isso não for feito, os clientes receberão apenas o endereço IP e a
máscara de sub-rede. Para configurar o servidor RRAS como um DHCP Relay Agent, basta insta-
lar e habilitar o DHCP Relay Agent Routing Protocol na interface de comunicação externa, do
servidor RRAS.


Questão 12: A sua empresa está em fase de migração do NT Server 4.0 para o Windows 2000 Server
e Active Directory. Os primeiros servidores já foram instalados e o Active Directory também. A
migração das contas de usuários e grupos já foi feita com sucesso, sem maiores problemas. Você
está em fase de migração dos demais serviços: IIS, Proxy Server, Exchange Server e assim por dian-
te. Após a migração, você começou a receber chamados de diversos usuários de notebooks, com o
Windows 2000 Professional instalado e que não estão mais conseguindo se conectar remotamen-
te à rede da empresa. A conexão remota ainda é feita através de um servidor RAS, baseado no Win-
dows NT Server 4.0. O que você deve fazer para que os clientes possam se conectar remotamente e
o mais rapidamente possível?
a) Migre o servidor RAS com o NT Server 4.0 para um servidor Windows 2000 com RRAS.
b) Migre o servidor RAS para o Windows 2000 Server.
c) Instale o Service Pack 5.0 ou superior no servidor RAS.
d) Habilite o acesso anôniomo no servidor RAS
e) Adicione o grupo Everyone (Todos), ao grupo Pre-Windows 2000 Compatible Access group.
Resposta certa: e
Comentários: O grupo Pre-Windows 2000 Compatible Access é um grupo a ser utilizado para
questões relacionadas a compatibilidade, questões estas bastante comuns no cenário descrito:
fase de migração para o Windows 2000. O grupo Pre-Windows 2000 Compatible Access tem per-
missão de acesso leitura em todos os objetos de usuários e grupos do domínio. O problema que
está acontecendo é que o servidor RAS, no NT 4.0, precisa de acesso leitura às contas dos usuários,
no domínio Windows 2000 e não está conseguindo. Ao incluir o grupo Everyone (Todos), no gru-
po Pre-Windows 2000 Compatible Access, você está dando permissão de leitura nas contas do do-
mínio, para todo mundo, inclusive a conta com a qual roda o serviço RAS no NT 4.0. Com isso, os
usuários poderão se autenticar remotamente e ter acesso aos recursos da rede.
Para maios informações sobre Acesso Remoto, RRAS, segurança e autenticação, consulte os
Capítulos 6 e 8.
Questão 13: Você é o administrador de uma rede baseada no Windows 2000 Server. Nesta rede,
você utiliza o DNS do Windows 2000. Em um dos escritórios remotos da sua rede, você precisa de
um servidor DNS, porém não dispõe de um servidor com o Windows 2000 para cumprir esta fun-
ção. Neste escritório, você dispõe de um servidor UNIX. Qual o requisito para que este servidor
UNIX possa atuar como um servidor DNS na rede Windows 2000?
a) Deve ter, no mínimo, 192 MB de memória RAM.
b) Deve ter, no mínimo, 256 MB de memória RAM.
c) Deve ter, no mínimo, a versão 3.2 do protocolo TCP/IP.


d) Deve ser compatível com a RFC 1222.
e) Deve ter uma versão do DNS compatível com a versão BIND 8.2 ou superior.
Resposta certa: e
Comentários: Para que uma série de recursos do DNS estejam disponíveis, tais como a atualização
dinâmica, é preciso que você utilize uma versão BIND 8.2 ou superior.
Um tipo de registro do tipo SRV é utilizado pelos clientes Windows 2000 Professional para locali-
zar um servidor com o Active Directory (DC – Domain Controler). Este tipo de registro somente é
suportado pela versão BIND 8.2 ou superior do DNS.
Questão 14: Os usuários da equipe de vendas trabalham com notebooks. Quando eles estão na
empresa, se conectam diretamente com a rede local, usando um cartão PCMCIA de rede. Os note-
books também estão equipados com cartões PCMCIA de fax modem. Os vendedores utilizam o
cartão de fax modem para discar para um servidor RRAS da empresa quando eles estão atendendo
clientes. Através da conexão discada, os vendedores obtêm listas de preços atualizadas, prazos de
entrega e lista de ofertas disponíveis. Quando se trata de acesso discado, as questões de segurança
são muito importantes. Você quer usar o mecanismo de Call Back, para garantir um nível razoável
de segurança, ou seja, você gostaria que, ao fazer a chamada, o vendedor informasse o número do
telefone para o qual o servidor deve discar de volta (Call Back), que no caso será o número do tele-
fone do cliente que está sendo atendido pelo vendedor. Qual configuração você deve fazer no ser-
vidor RRAS para implementar a solução proposta?
a) Configure o protocolo de autenticação EAP.
b) Configure o protocolo de autenticação MS-CHAP ou MS-CHAP V2.
c) Configure uma VPN.
d) Selecione a opção Set by caller nas propriedades do servidor RRAS.
e) Configure multilink.
Resposta certa: d
Comentários: A opção Set By Caller permite que o usuário que está iniciando a conexão, defina
o número para o qual será feito o Call Back. O protocolo EAP é necessário quando temos uma au-
tenticação através de Smart Card. MS-CHAP ou MS-CHAP 2 são utilizados quando é necessária a
criptografia dos dados transmitidos através da conexão, o que também poderia ser obtido atra-
vés de uma VPN. Multilink é uma opção a ser utilizada quando queremos usar várias linhas de
conexão como se fosse uma única linha de alta velocidade. Tanto o cliente quanto o servidor
RRAS tem que estar configurados corretamente para que uma conexão multilink possa ser esta-
belecida, caso contrário a conexão será estabelecida com um único número, ou seja, uma única
linha será utilizada.


Para detalhes sobre o RRAS consulte o Capítulo 6.
Questão 15: Você administra a rede da empresa ABC Ltda. A matriz da empresa fica em São Paulo,
com filiais no Rio de Janeiro, Belo Horizonte, Porto Alegre e Salvador. A rede é formada por um
único domínio DNS: abc.com.br. O domínio da Intranet é o mesmo da Internet. Na matriz em
São Paulo, está instalado um servidor DNS primário e também o servidor DNS secundário para a
zona abc.com.br. Os usuários das filiais queixam-se da demora na resolução de nomes pelo DNS.
Em cada filial está instalado um controlador de domínio do domínio abc.com.br. Que configura-
ção você deve implementar para resolver o problema de demora na resolução de nomes DNS in-
ternos e externos, nas filiais?
a) Instale o WINS nos servidores das filiais.
b) Configure o servidor de cada filial como um DNS secundário para o domínio abc.com.br.
Configure as estações de trabalho de cada filial para usar como DNS primário, o servidor
DNS da própria filial e como secundário o servidor DNS da Matriz.
c) Instale um servidor Proxy em cada filial. Configure este servidor para fazer Cache de páginas.
d) Configure o servidor de cada filial como um DNS secundário para o domínio abc.com.br.
e) Crie subdomínios para cada uma das filiais.
Resposta certa: b
Comentários: O primeiro passo é instalar o DNS no servidor de cada filial como um servidor DNS
secundário para o domínio abc.com.br. Em seguida, você deve configurar as estações de trabalho
da filial para usar o servidor DNS da própria filial como DNS primário. Estas configurações são fei-
tas nas propriedades do TCP/IP ou podem também ser feitas, automaticamente, via DHCP se esti-
ver sendo utilizado um servidor DHCP para automatizar as configurações das estações de traba-
lho. Com a utilização de um DNS secundário em cada filial, haverá uma melhora considerável no
desempenho da resolução DNS.
Para mais detalhes sobre o DNS consulte o Capítulo 3.
Questão 16: A seguir estão as configurações básicas do TCP/IP de três estações de trabalho: mi-
cro01, micro02 e micro03.
Número IP: 100.100.120.3

Gateway: 100.100.100.1


Número IP: 100.100.100.4

Gateway: 100.100.100.1
Número IP: 100.100.100.5

Gateway: 100.100.100.1
Os micros 01 e 02 não estão conseguindo comunicação com a rede local. Quais alterações você
deve fazer para que todos os computadores possam se comunicar normalmente, tanto na rede lo-
cal quanto com as redes externas?
Altere o IP do micro03 para 100.100.120.5
c) Altere o IP do micro01 para 100.100.100.3
d) Altere a máscara de sub-rede de todos os micros para 255.255.255.0
e) Altere o IP do micro 01 para 100.100.100.3
Resposta certa: c
Comentários: A rede formada pelos três computadores é a rede 100.100.100.0 com máscara de
sub-rede 255.255.255.0. O micro01 está com o IP errado, está com o IP da rede 100.100.120.0, por
isso devemos alterar o IP do micro01. O micro02 está com a máscara de sub-rede incorreta, por
isso devemos alterá-la para 255.255.255.0.
Para detalhes sobre o protocolo TCP/IP consulte o Capítulo 2.
Questão 17: A rede da sua empresa apresentou alguns problemas na resolução de nomes DNS da
Internet. Os problemas no servidor DNS já foram solucionados. A partir da sua estação de traba-
lho, você consegue acessar alguns sites da Internet, porém existem sites para os quais o DNS não
está conseguindo resolver o nome. Na sua estação de trabalho, está instalado o Windows 2000
Server. Qual comando você pode utilizar para rapidamente resolver este problema, sem ter que re-
inicializar a sua estação de trabalho?


a) ipconfig
b) ipconfig/renew
c) ipconfig/flushdns
d) ipconfig/release
e) ipconfig/clear
Resposta certa: c
Comentários: Pela descrição do problema, a causa mais provável é que, durante o período de pro-
blemas no servidor DNS, você tentou acessar alguns sites. Como o servidor DNS estava com pro-
blemas pode ter ficado uma associação incorreta no cache local do DNS. Para acelerar a resolução
de nomes, o Windows 2000 Professional mantém um cache local de nomes DNS. Com o coman-
do ipconfig/flushdns você limpa o cache local, o que na situação descrita será suficiente para re-
solver o problema, uma vez que o servidor DNS voltou a funcionar normalmente.
Para detalhes sobre o DNS consulte o Capítulo 3.
Questão 18: Você é o administrador de rede da sua empresa. A rede utiliza o seguinte esquema de
endereçamento: 10.10.20.0/255.255.0.0. A equipe de RH está implementando um projeto de trei-
namento à distância, baseado em multicasting. Você precisa alocar endereços multicasting, dina-
micamente, sendo que o número máximo de estações que participarão do treinamento será, nes-
ta primeira etapa, de 100 estações. Que ações você deve adotar?
a) Configure os endereços multicast como uma opção do Escopo DHCP atualmente ativo.
b) No servidor DHCP, crie um escopo que esteja na faixa: 224.0.0.1 -> 224.0.0.100
c) No servidor DHCP, crie um escopo que esteja na faixa: 10.10.20.150 -> 10.10.20.250
d) No servidor DHCP, crie um escopo que esteja na faixa: 10.10.224.150 -> 10.10.224.250
e) Crie uma segunda reserva de IP, usando um endereço multicasting, para cada estação de
trabalho que participará do treinamento.
Resposta certa: b
Comentários: Para endereços de multicasting é reservada a Classe D de endereços, a qual vai de

224.0.0.0 -> 239.255.255.255. Nesta questão, o que deve ser feito é criar um escopo de endereços,
com no mínimo 100 endereços, dentro da faixa de endereços da Classe D. Por isso a alternativa
correta é a letra B.
Para todos os detalhes sobre Classes de endereço IP, consulte o Capítulo 2.


Questão 19: As portas padrão, utilizadas pelos serviços HTTP, FTP e TELNET são, respectivamente:
a) 80, 21 e 23
b) 80, 23 e 25
c) 80, 23 e 21
d) 110, 21 e 23
e) 110, 23 e 25
Resposta certa: a
Comentários: Esta questão testa os conhecimentos básicos do TCP/IP. Cada serviço trabalha em
uma porta específica. O uso de portas é a maneira que o TCP/IP tem para identificar os pacotes de
cada serviço e endereçá-los ao serviço correspondente. Por padrão, o HTTP trabalha na porta 80, o
FTP na porta 21 (na verdade existem duas portas, uma de dados e outra de comandos do FTP) e o
Telnet na porta 23. Você encontra a definição oficial das portas padrão do TCP/IP, no seguinte en-
dereço: http://www.iana.org/assignments/port-numbers.
Questão 20: Você é o administrador de uma rede com uma diversidade de sistemas operacionais
em funcionamento. Nos servidores você possui o Windows 2000 Server e servidores com Linux.
Nos servidores Linux, está instalado o servidor SMB (Samba) para permitir que os clientes
Windows acessem pastas compartilhadas nos servidores Linux. Nos clientes você tem estações
de trabalho com Windows 98, Me e Windows 2000 Professional. Os clientes, de estações de tra-
balho Windows 98/Me não conseguem localizar os servidores Linux pelo nome para poder aces-
sar as pastas compartilhadas nestes servidores. O que você deve fazer para solucionar este pro-
blema, considerando que todos os equipamentos da rede utilizam o TCP/IP como único
protocolo de comunicação?
d) No servidor WINS, crie um mapeamento estático para todos os clientes Windows 98/Me.
Resposta certa: c
servidores Linux.


Para detalhes sobre o WINS consulte o Capítulo 5.
rectory. Todos os servidores estão com o Windows 2000 Server instalado e o domínio está no
modo Misto. As estações de trabalho utilizam ou o Windows 2000 Professional ou o Windows XP
Professional. A sua rede utiliza o seguinte esquema de endereçamento:
10.100.144.0/24
As configurações do protocolo TCP/IP nas estações de trabalho são feitas utilizando um servidor
DHCP. A sua rede tem, atualmente, 100 estações de trabalho. O servidor DHCP está configurado
com o escopo indicado a seguir:
– 10.100.144.10 – 10.100.144.130 com máscara 255.255.255.0.
– Tempo de leasing de 8 horas.
Como parte do projeto de ampliação da rede da empresa, cinqüenta novas estações de trabalho
foram conectadas à rede, todas com o Windows 2000 Professional instalado. Algumas estações de
trabalho (novas ou antigas) apresentam problemas intermitentes de comunicação com a rede.
Em uma das estações de trabalho que está apresentando problemas, você executa o comando ip-
config/all e observa que o endereço IP está configurado como 0.0.0.0
O que você deve fazer para solucionar este problema?
a) Nas configurações do escopo, no servidor DHCP, altere a máscara de sub-rede para

255.255.0.0.
b) Altere o escopo no servidor DHCP para que contenha um número suficiente de endereços
IP, capaz de acomodar as estações de trabalho já existentes mais as 50 novas estações.
c) Altere o tempo de Leasing para 24 horas.
d) Altere o tempo de Leasing para infinito.
e) Utilize o comando ipconfig/renew, em cada estação de trabalho que apresentar problemas.
Resposta certa: b
Comentários: Com o escopo definido no DHCP (10.100.144.10 – 10.100.144.130), você pode ter
um máximo de 120 estações de trabalho utilizando o DHCP. A rede já estava com 100 estações, ao
adicionar mais 50, você ficou com um total de 150 estações de trabalho e com apenas 120 endere-
ços IP disponíveis. O que aconteceu é que algumas estações não conseguem obter as configura-
ções do TCP/IP durante a inicialização, devido a todos os endereços IP do escopo já estarem sendo
utilizados. Quando o cliente não consegue obter o IP, fica com um IP 0.0.0.0. Na questão propos-
ta, a solução é simplesmente aumentar o número de endereços IP disponíveis no escopo.


Para mais detalhes sobre DHCP e configurações do TCP/IP, consulte os Capítulos 2 e 4.
Questão 22: A rede da sua empresa tem sedes nas capitais dos estados de SP, RJ, MG, BA, RS e SC.
Na rede da empresa, na sede em cada capital, está instalado um domínio baseado no Windows
2000 Server e no Active Directory. Para configuração do protocolo TCP/IP é utilizado o serviço
DHCP. A empresa tem pequenas filiais, com redes de até 30 estações de trabalho, em cidades do
interior. Cada rede das filiais do interior tem um DC instalado, o qual pertence ao mesmo domí-
nio da rede do escritório na Capital. Na rede das filiais no interior, está configurado o DHCP Re-
lay agent, para que as estações de trabalho destas redes possam obter as configurações do TCP/IP
a partir do servidor DHCP instalado na rede do escritório na capital do estado. As redes das filiais
do interior estão ligadas à rede da capital através de links dedicados de 129 Kbps. Em determina-
dos momentos durante o expediente, alguns usuários reclamam que após inicializarem suas es-
tações de trabalho, não conseguem conexão com os demais recursos da rede. Você utiliza o co-
mando ipconfig/all em uma destas estações de trabalho e observa que ela está foi configurada
com um endereço na seguinte faixa: 169.254.0.0/255.255.0.0. O que você deve fazer para solu-
cionar este problema?
a) Instale o DHCP Relay Agent também na rede do escritório da capital.
b) Utilize o comando ipconfig/renew nas estações de trabalho com problema.
c) Instale um servidor DNS na rede de cada filial do interior.
d) Instale um servidor DHCP na rede de cada filial do interior.
e) Instale um servidor WINS na rede de cada filial do interior.
Resposta certa: d
Comentários: O ponto principal desta questão é a baixa velocidade do link de conexão das redes do
interior com a rede do escritório na capital. O que está acontecendo é que, devido a baixa velocida-
de, as estações de trabalho, nas redes do interior, não estão conseguindo se comunicar com o servi-
dor DHCP em tempo hábil. Quando isso acontece, o Windows 2000 atribui um endereço IP na fai-
xa 19.2540.0. Esta atribuição automática de endereço é conhecida como APIPA – Automatic Private
IP Addressing. Ao instalar um servidor DHCP em cada rede das cidades do interior (na qual já existe
um servidor com o Windows 2000 Server instalado e configurado como DC), você evita este proble-
ma durante a inicialização dos clientes. Como já existe um servidor nas redes do interior, é só uma
questão de instalar o DHCP, autorizar o servidor DHCP no Active Directory, criar e configurar um
escopo que atenda às necessidades da respectiva rede. Por isso a resposta correta é a letra d.
Para mais sobre DHCP, Relay Agent e escopos, consulte os Capítulos 4 e 8.
Questão 23: Você é o responsável pela administração do serviço DHCP na rede da sua empresa.
Você criou um escopo para fornecer endereços IP para os equipamentos de rede. Alguns equipa-
mentos devem ter um endereço fixo, ou seja, deve receber sempre o mesmo endereço IP. Para so-
lucionar este problema você deve seguir as seguintes etapas:


a) Criar e ativar o escopo.
Criar reservas de IP para o MAC Address dos equipamentos que devem receber sempre o
mesmo IP.
b) Criar e ativar o escopo.
Criar uma faixa de exclusão no escopo.
Criar reservas de IP para o MAC Address dos equipamentos que devem receber sempre o
mesmo IP. Utilizar IPs dentro da faixa de exclusão.
c) Criar e ativar o escopo.
Incluir na faixa de exclusão os IPs que serão utilizados pelos equipamentos que devem re-
ceber sempre o mesmo IP.
d) Criar e ativar o escopo.
Definir tempo de leasing infinito para os IPs da faixa de exclusão.
e) Não é possível fazer esta configuração via DHCP.
Configure os equipamentos com necessidade de IP Fixo, manualmente.
Resposta certa: a
Comentários: Quando você cria uma faixa de exclusão, os endereços da faixa de exclusão não são
mais utilizados pelo DHCP, mesmo que você crie reservas para estes IPs. Na prática, é como se não
existissem. Não é preciso criar a faixa de exclusão, basta criar o escopo e depois as reservas para os
equipamentos que devem ter IP fixo. Por exemplo, vamos supor que você tenha uma rede com
100 computadores, dos quais 20 devem ter IP fixo. Você pode criar um escopo com uma faixa de
90 endereços (para deixar uma folga) e fazer reserva para os 20 equipamentos com necessidade de
IP fixo, usando IPs fora do escopo criado anteriormente. Por isso a resposta correta é a letra a, ou
seja, crie o escopo e as reservas.
Questão 24: A rede que você administra está ligada à Internet. Todo o acesso é feito através do
servidor SRV-NAT, no qual está configurado o NAT – Network Address Translation. A rede da
empresa utiliza o seguinte esquema de endereçamento: 10.10.20.0/255.255.255.0. O Provedor
de Internet da sua empresa forneceu uma faixa de números IP para ser utilizada pelo NAT. Os
usuários conseguem acessar a Internet sem problemas. Na rede da empresa, você tem um servi-
dor – SRV-WEB, com o IIS instalado. Este servidor conterá aplicações e informações que devem
ser acessadas por fornecedores e clientes a partir da Internet. Que configurações você deve fazer
no servidor com o NAT instalado, para que o servidor SRV-WEB possa ser acessado a partir da
rede da empresa?


a) Com o uso do NAT não será possível permitir o acesso a partir da Internet.
b) Obtenha com o provedor de Internet da sua empresa, um número de IP válido e configure
este número como segundo número IP no servidor SRV-WEB.
c) Desinstale o NAT e use o NAT no provedor de Internet da sua empresa.
d) No servidor com o NAT, crie uma rota estática, associando um IP válido na Internet com o
IP do servidor SRV-WEB.
e) Configure a interface pública (conectada à Internet) do NAT para usar a faixa de IPs válidos
fornecidos pelo Provedor de Internet da sua empresa.
Reserve um dos endereços da faixa de IPs públicos para fazer um mapeamento para o ende-
reço IP do servidor SRV-WEB.
Faça a configuração no servidor NAT, fazendo o mapeamento do IP público para o IP inter-

no do servidor SRV-WEB.
Resposta certa: e
Comentários: Esta é uma questão que envolve conhecimentos detalhados das configurações e do
uso do protocolo NAT. A rede da empresa utiliza um esquema de endereçamento que não é válido
na Internet: 10.10.20.0/255.255.255.0. Para que os clientes da rede interna possam acessar a
Internet é utilizado o NAT. No servidor com o NAT, chegam os pacotes de informação para acesso
à Internet. Estes pacotes chegam com um IP de origem da rede interna. O NAT altera o IP de ori-
gem para um IP que seja válido na Internet (um dos IPs fornecidos pelo provedor de Internet) e
acrescenta informações adicionais para que este possa identificar qual cliente está se comunican-
do com a Internet. Com estas informações adicionais, um grande número de clientes internos,
pode acessar a Internet, usando apenas alguns endereços IPs. Por exemplo, você pode ter 200 esta-
ções de trabalho conectadas à Internet, usando apenas quatro ou cinco IPs válidos no NAT. Quan-
do um pacote chega da Internet para o NAT, este, com base nas informações adicionais, identifica
para qual cliente interno é o pacote, altera o endereço IP público de destino por um IP da rede in-
terna e encaminha o pacote para o destinatário na rede interna. Se o pacote que chega da Internet
não for resposta de uma requisição de um dos clientes internos, é simplesmente bloqueado. Sem
configurações adicionais, o servidor SRV-WEB não poderá ser acessado a partir da Internet. Mes-
mo que você configurasse este servidor com um IP público, válido na Internet, as requisições da
Internet, para acessar o servidor SRV-WEB, seriam bloqueadas. Como estas requisições partiram
da Internet, não são resposta a nenhuma requisição interna. Com isso, o NAT vai bloquear estas
requisições, conforme descrito anteriormente.
Para permitir o acesso ao servidor SRV-WEB a partir da Internet (este procedimento é conhecido
como Tornar o servidor visível na Internet), você deve, primeiro, configurar a faixa de IPs válidos
fornecidos pelo provedor de Internet, excluindo desta faixa o IP que será utilizado para fazer o
mapeamento com o servidor SRV-WEB. Este IP (excluído da faixa) será do servidor SRV-WEB na
Internet. Em seguida, você deve criar uma porta especial, a qual é um mapeamento estático entre
o IP público e o IP privado do servidor SRV-WEB. Uma vez criado este mapeamento, o NAT se en-


carrega de fazer o serviço. Quando chegar uma requisição para o IP público associado com o servi-
dor SRV-WEB, o NAT encaminha esta requisição para o IP da rede interna, configurado no servidor
SRV-WEB. O NAT sabe como encaminhar os pacotes, com base nas informações contidas no ma-
peamento estático.
Para detalhes sobre as configurações do NAT, consulte o Capítulo 7.
Questão 25: Você administra uma rede baseada no Windows 2000 Server e no Active Directory. A
rede é composta por 80 estações de trabalho nas quais está instalado o Windows 2000 Professio-
nal. Você quer utilizar o servidor SRV-CON-01 para fornecer acesso à Internet, através de uma co-
nexão discada. O servidor SRV-CON-01 fará a conexão da rede local com a Internet, mediante o
uso de um modem e do protocolo NAT. A conexão será sob demanda, ou seja, quando um dos
clientes da rede tentar acessar a Internet, o servidor fará a conexão, caso não exista uma conexão
ativa. Quais configurações você deve fazer no servidor SRV-CON-01 para que os clientes da rede
possam ter acesso à Internet através do servidor SRV-CON-01?
a) – Instale e habilite o serviço RRAS – Routing and Remote Access Service.
– Configure a interface de rede com o IP que será utilizado como Default Gateway pelas
estações de trabalho da rede e com a mesma máscara de sub-rede utilizada nas estações
de trabalho.
– Habilite o roteamento na interface pública (modem).
– Crie uma nova interface de conexão sob demanda, para fazer a conexão com o provedor
de Internet.
– Crie uma rota estática padrão, a qual utiliza a interface de pública.
– Instale o protocolo NAT.
– Adicione ambas as interfaces (pública e da rede interna) ao NAT.
– Habilite a “tradução” de endereços e a resolução de nomes no NAT.
b) – Instale e habilite o serviço RRAS – Routing and Remote Access Service.
de trabalho.
– Crie uma nova interface de conexão sob demanda para fazer a conexão com o provedor
de Internet.


c) – Instale e habilite o serviço RRAS – Routing and Remote Access Service.
de trabalho.
– Crie uma nova interface de conexão sob demanda, para fazer a conexão com o provedor
de Internet.
d) – Habilite o roteamento na interface pública (modem).
– Crie uma nova interface de conexão sob demanda para fazer a conexão com o provedor
de Internet.
– Habilite a “tradução” de endereços e a resolução de nomes no NAT.
e) – Instale e habilite o serviço RRAS – Routing and Remote Access Service.
de trabalho.
– Habilite o roteamento na interface pública (modem)
Resposta certa: a
Comentários: A própria resposta já descreve e comenta esta questão. Na resposta, estão os passos
necessários para a configuração do acesso à Internet com o uso do RRAS e do NAT. Estes passos são
detalhadamente explicados, inclusive a implementação prática, no Capítulo 7.
Questão 26: Você é o administrador de uma rede com dez domínios baseados no Windows 2000
Server e no Active Directory. Todos os domínios ainda estão no modo misto, pois o processo de
migração ainda não foi concluído e ainda existem DCs baseados no NT Server 4.0. Também exis-
tem servidores UNIX, nos quais estão hospedadas diversas aplicações Web baseadas no servidor
Apache e na linguagem PHP. Os servidores UNIX também atuam como servidores DNS secundá-
rios, para prover tolerância à falhas. Os servidores UNIX rodam versões antigas do DNS, mais es-
pecificamente uma versão BIND 2.x.y. Você recebe várias ligações dos usuários, informando que
não estão conseguindo acessar as aplicações Web, residentes nos servidores UNIX. Você verifica o
servidor DNS primários do seu domínio e verifica que este está com problemas e o servidor DNS


secundário (baseado no UNIX) não está conseguindo resolver os nomes corretamente. Qual a ca-
usa mais provável deste problema e o que você deve fazer para solucioná-lo?
a) Está sendo utilizada a transferência rápida de zonas, a qual não é suportada por versões
mais antigas do DNS.
Desabilite a transferência rápida, marcando a opção BIND secondaries na guia Avançado,

da janela de propriedades do servidor DNS primário.
b) Está sendo utilizada a transferência incremental de zonas, a qual não é suportada por ver-
sões mais antigas do DNS.
Desabilite a transferência rápida, marcando a opção BIND secondaries na guia Avançado,

c) Está sendo utilizada a transferência rápida de zonas, a qual não é suportada por versões
mais antigas do DNS.
Desabilite a transferência rápida, marcando a opção Enable round robin na guia Avançado,
d) Está sendo utilizada a transferência incremental de zonas, a qual não é suportada por ver-
sões mais antigas do DNS.
Desabilite a transferência rápida, marcando a opção Enable round robin na guia Avançado,
e) Não é possível instalar servidores UNIX como servidores secundários de um servidor DNS
baseado no Windows.
Instale como servidor secundário um DNS no Windows 2000 Server.
Resposta certa: a
Comentários: O ponto principal desta questão é que os servidores UNIX, os quais devem atuar
como servidor DNS secundário, estão com uma versão antiga do DNS, mais especificamente o
BIND 2.x.y. Por padrão, os servidores DNS baseados no Windows 2000 Server utilizam o formato
de transferência rápida de zonas para enviar informações do servidor DNS primário para os servi-
dores DNS secundários. Neste formato, as informações a serem transmitidas são compactadas e é
possível enviar vários registros do DNS em uma única mensagem TCP. Porém este formato de
transferência não é compatível com versões do BIND anteriores a versão 4.9.4. Neste caso, o que
acontece é que os servidores secundários não estão recebendo as informações a partir do servidor
primário. Quando o servidor DNS primário está fora do ar, os servidores secundários não conse-
guem fazer a resolução de nomes. Você deve desabilitar o formato de transferência rápida, no ser-
vidor DNS primário. Para desabilitar o formato de transferência rápida, acesse as propriedades do
servidor DNS primário, clique na guia Avançado e marque a opção Bind secondaries.


No Capítulo 3, você encontra a descrição detalhada de todas as opções de configuração da guia

Avançado.
Questão 27: Você administra uma rede baseada no Windows 2000 Server e no Active Directory.
Todos os computadores clientes estão configurados com o Windows 2000 Professional e perten-
cem a um único domínio. A sua empresa trabalha com pesquisa e desenvolvimento de novos pro-
dutos, de tal maneira que segurança é um fator crítico para a empresa. Você decide utilizar o pro-
tocolo IPSec para garantir a segurança na comunicação de todos os computadores da rede. Qual o
procedimento para implementar o IPSec em todos os computadores do domínio?
a) Configure as propriedades do protocolo TCP/IP, em todos os computadores, para que pas-

sem a utilizar o IPSec.
b) Configure a registry, em todos os computadores, para que passem a utilizar o IPSec.
c) Configure a GPO padrão do domínio para habilitar uma política de IPSec ou, se for necessá-
rio, crie uma nova política de IPSec, com as configurações necessárias, na GPO padrão do
domínio.
d) Configure o script de logon do domínio para executar o comando secedit, o qual é utiliza-
do para habilitar o IPSec.
e) Configure a GPO padrão do domínio para configurar o script de inicialização do computa-

dor, para executar o comando secedit, o qual é utilizado para habilitar o IPSec.
Resposta certa: c
Comentários: O IPSec é configurado através de políticas de segurança, políticas estas que são defi-
nidas via GPO. Como todos os computadores do domínio devem ser configurados para utilizar o
IPSec, a maneira mais fácil de habilitar o IPSec em todos os computadores do domínio é configu-
rando a GPO padrão do domínio. Nesta GPO, você pode habilitar uma das políticas já existentes,
ou criar uma nova política para aplicação do IPSec, definindo as configurações e os filtros que fo-
rem necessários.
Para mais detalhes sobre IPSec, consulte o Capítulo 8.
Questão 28: Você é o administrador da rede da sua empresa. A empresa está em fase de migração do
NT Server 4.0 para o Windows 2000 Server. Com o NT Server 4.0, você tem uma estrutura de DNS,
na qual foram criados registros do tipo “A” para todos os servidores da sua rede. Após a migração
para o Windows 2000 Server, o DNS continua funcionando normalmente. Você instala um novo
servidor, o qual será utilizado como servidor de arquivos- SRV-FIL-10. Os usuários reclamam que
não conseguem acessar este servidor pelo nome. O que você deve fazer para solucionar este proble-
ma e também evitar que o problema se repita quando novos servidores forem instalados?
a) Configure o DNS para utilizar zonas primárias integradas com o Active Directory.
b) Crie um registro do tipo “A” para o servidor: SRV-FIL-10.


c) Crie um registro do tipo “A” para o servidor: SRV-FIL-10.

Crie registros adicionais já prevendo os novos servidores.
d) Habilite o round-robin no servidor DNS.
e) Configure a zona primária do servidor DNS para aceitar atualizações dinâmicas.
Resposta certa: e
Comentários: No NT Server 4.0, o DNS não suporta atualizações dinâmicas. Sempre que um novo
servidor for criado, deveriam ser criados os respectivos registros no DNS. Ao fazer a migração para
o Windows 2000 Server, os registros existentes foram mantidos, porém a zona primária manteve
a configuração para não aceitar atualizações dinâmicas. Para solucionar o problema proposto em
definitivo, de tal maneira que novos servidores possam se registrar automaticamente no DNS,
basta acessar as propriedades da zona DNS primária e habilitar a opção que permite atualizações
dinâmicas no DNS. Com isso, sempre que um novo servidor for criado, este será automaticamen-
te registrado no DNS.
rectory. A rede é composta de quatro redes locais conectadas através de links de WAN. Para reduzir o
tráfego de rede e garantir a disponibilidade quando o link de WAN está com problemas, você insta-
lou um servidor da Intranet em cada rede local. Cada um dos quatro servidores da Intranet tem exa-
tamente o mesmo conteúdo e são acessados através do mesmo endereço: http://intranet.abc.com.
Como você deve configurar o DNS para que ao digitar o endereço http://intranet.abc.com, o usuá-
rio acesse o servidor Intranet da sua própria rede e não um servidor de uma das outras redes?
a) Utilize o round robin do DNS.

b) Habilite a funcionalidade “auto-subnet discovery” no servidor DNS primário.
c) No servidor DNS primário, crie quatro registros do tipo “A”, todos associados ao nome in-
tranet.abc.com, porém cada um associado com um endereço IP diferente, ou seja, um re-
gistro associado com o endereço IP de cada uma das redes.
d) Crie quatro aliases (registros CNAME) para o nome intranet.abc.com.
e) No servidor DNS primário, habilite as atualizações dinâmicas.
Resposta certa: c
Comentários: A resposta correta é a letra “c”. Esta questão envolve um tipo de configuração bem
interessante do DNS. O objetivo é que, ao digitar http://intranet.abc.com, o usuário acesse o ser-
vidor Web da sua própria rede para evitar tráfego adicional nos links de WAN. O papel do DNS é
retornar para o usuário, o IP do servidor Web da rede local do usuário. Para fazer esta configura-
ção, o administrador deve criar quatro registros do tipo A, no servidor DNS primário. Todos os re-
gistros tem o mesmo nome: intranet.abc.com, porém um endereço IP diferente. Este é um exem-
plo da funcionalidade conhecida como “Subnet Prioritization”. Quando o cliente tenta acessar


http://intranet.abc.com, ele recebe quatro respostas diferentes (pois existem quatro registros A
associados com o nome intranet.abc.com). O cliente DNS, na estação de trabalho do usuário (co-
nhecido como Resolver), seleciona o endereço IP que está na mesma rede do cliente. Com isso, o
cliente irá acessar o servidor Web da sua própria rede, sem gerar tráfego adicional de WAN. Claro
que neste exemplo também tem que ser considerado o tráfego de replicação, necessário para
manter os servidores Web sincronizados. Tem que ser feito um estudo para chegar-se a uma rela-
ção custo x benefício, para saber com certeza se é realmente esta a solução mais indicada.
Questão 30: Você administra uma rede baseada no Windows 2000 Server e no Active Directory.
Todos os computadores clientes estão configurados com o Windows 2000 Professional e per-
tencem a um único domínio. A sua empresa trabalha com pesquisa e desenvolvimento de no-
vos produtos, de tal maneira que segurança é um fator crítico para a empresa. Você decide utili-
zar o protocolo IPSec para garantir a segurança na comunicação de todos os computadores da
rede. Você implementou o IPSec e este está funcionando normalmente. Devido a questões in-
ternas você deverá desabilitar o este protocolo em todo o domínio. Para tal você exclui a política
de segurança que era utilizada para aplicar o IPSec na GPO padrão do domínio. Porém os com-
putadores continuaram configurados para usar este protocolo. O que você deve fazer para que
os computadores deixem de utilizar o IPSec?
a) Configure as políticas de IPSec da GPO padrão do domínio para negar a aplicação do IPSec.
b) Crie a política novamente, porém negando a aplicação de IPSec e aplique-a novamente.
c) Crie um grupo chamado AcessoSeguro.
Negue acesso as políticas de IPSec para este grupo.
Adicione às contas de todos os computadores como membros deste grupo.
d) Exclua as configurações de IPSec da registry de todos os computadores do domínio.
e) Crie uma nova política de IPSec com as configurações padrão.
Habilite esta nova política e em seguida desabilite-a.
Execute o comando secedit/refreshpolicy machine_policy em todos os computadores

da rede.
Resposta certa: e
Comentários: Esta já é uma questão mais sutil. O ponto fundamental é que excluir a política que
aplica o IPSec não irá remover as configurações que foram aplicadas pela política nos computado-
res. Neste caso, você terá que criar uma política padrão, habilitá-la, em seguida desabilitá-la e, por
último, usar o comando secedit para atualizar as configurações em todos os computadores. Isso
irá remover as configurações da primeira política de IPSec que foi aplicada.
Questão 31: Você é o responsável pela administração dos servidores DNS da sua rede. A rede é for-
mada por um único domínio. Na rede da matriz em SP está instalado um servidor DNS primário.


Nas redes de algumas cidades maiores, tais como Campinas e Ribeirão Preto, estão instalados ser-
vidores DNS secundários. Em redes menores, conectadas por links de WAN de 64 Kbps estão ins-
talados servidores DNS somente cache. Os usuários das redes conectadas por links de 64 Kbps,
queixam-se de problemas de sobrecarga nos links. Ao monitorar os links de 64 Kbps você observa
um volume expressivo de tráfego relacionado com o DNS. O que você deve fazer para reduzir o
tráfego relacionado com o DNS nos links de 64 Kbps?
a) Aumentar o tempo do parâmetro TTL para o registro SOA do servidor DNS primário.
b) Diminuir o tempo do parâmetro TTL para o registro SOA dos servidores somente Cache.
c) Marque o parâmetro “Prioritizing local subnets” nas propriedades de configuração do ser-

vidor DNS primário.
d) Habilite a transferência incremental de zonas entre o servidor DNS primário e os servidores

somente cache.
e) Habilite a Atualização Dinâmica nos servidores somente cache.
Resposta certa: a
Comentários: Os servidores somente cache (Cache only) mantem em cache o resultado das resolu-
ções de nome que foram realizadas com sucesso. Estes resultados são mantidos durante um tempo
definido pelo parâmetro TTL – Time to Live. O parâmetro TTL é definido no registro SOA – Start of
Authority do servidor DNS primário. Ao aumentar o TTL no DNS primário, este será automatica-
mente aumentado nos servidores somente cache, com isso as resoluções de nome serão mantidas
durante mais tempo em cache, reduzindo com isso o tráfego nos links de WAN. O problema em au-
mentar muito o TTL é que pode haver inconsistências nos endereços armazenados. Nesta questão a
resposta correta é a letra a, ou seja, aumenta-se o TTL no DNS primário, o que fará com que os ende-
reços sejam mantidos por mais tempo em cache, nos servidores somente cache. A conseqüência
disso é a redução do tráfego de rede nos links de WAN, tráfego relacionado como o DNS.
Questão 32: Em relação à transferência de informações entre um servidor DNS primário e os servi-
dores DNS secundários, quais ações são recomendadas para reduzir o tráfego de replicação entre o
servidor DNS primário e os servidores DNS secundários, ao mesmo tempo que seja garantida a
consistência das informações, ou seja, sempre que houver alterações no DNS primário, estas se-
jam repassadas de imediato para os servidores DNS secundários?
a) Habilitar a atualização dinâmica no DNS primário.
Criar aliases do tipo CNAME para todos os DNS secundário.
b) Habilitar a atualização dinâmica no DNS primário.
Utilizar somente servidores DNS baseados no Windows 2000 Server.
c) Configurar a lista de notificação no servidor DNS primário para notificar os servidores DNS
secundários, sempre que houver alterações para serem replicadas.


Aumentar o valor do parâmetro “Refresh Interval” (Intervalo de atualização) no registro

SOA do DNS primário.
d) Configurar a lista de notificação no servidor DNS primário para notificar os servidores DNS
secundários, sempre que houver alterações para serem replicadas.
Diminuir o valor do parâmetro “Refresh Interval” (Intervalo de atualização) no registro

SOA do DNS primário.
e) Habilitar a atualização dinâmica no DNS primário.
O servidor DNS primário deve, obrigatoriamente, ser um servidor Windows 2000 Server.
Resposta certa: c
Comentários: A questão básica proposta neste teste é conseguir um equilíbrio entre reduzir o vo-
lume de tráfego de replicação, ao mesmo tempo em que os servidores DNS secundários são atuali-
zados constantemente. Para reduzir o tráfego, você deve aumentar o parâmetro Refres interval
(Intervalo de atualização) do registro SOA, no DNS primário. Este parâmetro define de quanto em
quanto tempo os servidores DNS secundários verificam se existem alterações. O padrão é 15 mi-
nutos. Esta configuração é feita em cada zona individualmente. Para garantir que os servidores
DNS secundários estejam sempre atualizados, você pode configurar uma lista de servidores DNS
que devem ser notificados, sempre que houver alterações no DNS primário. Para configurar esta
lista, basta dar um clique duplo no registro SOA, do DNS primário, para exibir as propriedades do
registro. Na janela que é exibida clique na guia Transferência de zona (Zone transfer). Na guia
Transferência de zona, clique no botão Notificar. Será exibida a janela Notificar, na qual você con-
figura quais servidores DNS secundários devem ser notificados.
Para mais informações sobre o DNS, consulte o Capítulo 3.
Questão 33: Você é o administrador de uma rede baseada no Windows 2000 Server. Nesta rede,
você utiliza o DNS do Windows 2000. Em um dos escritórios remotos da sua rede, você precisa de
um servidor DNS, porém não dispõe de um servidor com o Windows 2000, para cumprir esta fun-
ção. Neste escritório, você dispõe de um servidor UNIX. Qual o requisito para que este servidor
UNIX possa atuar como um servidor DNS na rede Windows 2000?
a) Deve ter, no mínimo, 192 MB de memória RAM.
b) Deve ter, no mínimo, 256 MB de memória RAM.
c) Deve ter, no mínimo, a versão 3.2 do protocolo TCP/IP.
d) Deve ser compatível com a RFC 1222.
e) Deve ter uma versão do DNS compatível com a versão BIND 8.2 ou superior.
Resposta certa: e


Comentários: Para que uma série de recursos do DNS estejam disponíveis, tais como a atualização
dinâmica, é preciso que você utilize uma versão BIND 8.2 ou superior.
Um tipo de registro do tipo SRV é utilizado pelos clientes Windows 2000 Professional para locali-
zar um servidor com o Active Directory (DC – Domain Controler). Este tipo de registro somente é
suportado pela versão BIND 8.2 ou superior do DNS.
Questão 34: Você é o administrador da rede da sua empresa, a qual é baseada no Windows 2000 Ser-
ver e no Active Directory. A rede utiliza o esquema de endereçamento 10.10.100.0/24. O número IP
do roteador é 10.10.100.1. No departamento de projeto e design, existem três funcionários que tra-
balham com projetos de CAD e precisam transmitir arquivos de grande tamanho durante o horário
de expediente. Ao transmitir estes arquivos, estes usuários sobrecarregam o link de WAN, compro-
metendo o desempenho de todas as demais aplicações da empresa. Para resolver este problema, a
sua empresa contratou um novo link de WAN, de 1,5 Mbps. O acesso a este novo link será feito atra-
vés de um roteador configurado com o IP 10.10.100.2. A configuração do TCP/IP de todas as esta-
ções de trabalho é feita com o uso de um servidor DHCP. Você gostaria que as estações de trabalho
dos usuários que trabalham com projetos, utilizassem este novo link, de tal maneira que a transmis-
são de arquivos não impactasse no desempenho das demais aplicações. O que você deve fazer para
que as estações de trabalho da seção de projetos possam utilizar o novo link??
a) Em cada estação de trabalho da seção de projetos, execute o seguinte comando:

route print
b) Em cada estação de trabalho da seção de projetos, execute o seguinte comando:

route add -p
c) Em cada estação de trabalho da seção de projetos, execute o seguinte comando:

route add -f
d) Faça uma reserva de Default Gateway 10.10.100.2 para o MAC Address de cada estação de
trabalho da seção de projetos.
e) Crie um GPO que associa o Default Gateway 10.10.100.2 com as estações de trabalho da se-
ção de projetos.
Resposta certa: b
Comentários: Esta questão é uma simples utilização do comando route. A resposta correta é a letra
b. O comando route add -p ... é utilizado para adicionar uma rota permanente à tabela de rotas da
estação de trabalho. Um rota permanente fica gravada em disco e não será descartada quando o
computador for reinicializado. Ao definir uma rota permanente, esta terá prioridade sobre o Defa-
ult Gateway fornecido através das configurações do TCP/IP. O efeito prático é que as estações de
trabalho da seção de projetos passarão a utilizar como Default Gateway o que for definido no co-
mando route add -p.


Questão 35: Você pretende conectar a rede de um escritório remoto com a rede da matriz. Para
isso, você utilizará servidores baseado no RRAS e em roteadores, tanto na matriz quanto na filial.
Em relação às configurações, que podem ser feitas no RRAS, considere as afirmações a seguir:
1. O protocolo de autenticação EAP-TLS permite uma autenticação mútua segura, cada um

dos roteadores autentica o outro de uma maneira segura.
2. O protocolo de autenticação EAP-TLS também permite que seja feita a criptografia dos da-
dos transmitidos, o que garante um maior nível de segurança.
3. O protocolo RIP v2 pode ser utilizado para que os roteadores troquem informações sobre
roteamento, mantendo as tabelas de roteamento sempre atualizadas.
São verdadeiras as seguintes afirmativas:
a) Nenhuma.
b) Somente 1.
c) Somente 1 e 2.
d) Somente 1 e 3.
e) Todas.
Resposta certa: e
Comentários: Esta questão dispensa comentários. As três afirmativas são verdadeiras. O protoco-
lo EAP-TLS proporciona tanto a criptografia dos dados quanto a autenticação mútua segura entre
os roteadores. O protocolo RIP v2 é utilizado para a atualização automática das tabelas de rotea-
mento. Por isso as três alternativas estão corretas.
Questão 36: A seguir estão as configurações básicas do TCP/IP de três estações de trabalho: mi-
cro01, micro02 e micro03.
Número IP: 100.100.120.3

Gateway: 100.100.100.1
Número IP: 100.100.100.4

Gateway: 100.100.100.1


Número IP: 100.100.100.5

Gateway: 100.100.100.1
Os micros 01 e 02 não estão conseguindo comunicação com a rede local. Quais alterações você
deve fazer para que todos os computadores possam se comunicar normalmente, tanto na rede lo-
cal quanto com as redes externas?
Altere o IP do micro03 para 100.100.120.5
c) Altere o IP do micro01 para 100.100.100.3
d) Altere a máscara de sub-rede de todos os micros para 255.255.255.0
e) Altere o IP do micro 01 para 100.100.100.3
Resposta certa: c
Comentários: A rede formada pelos três computadores é a rede 100.100.100.0 com máscara de
sub-rede 255.255.255.0. O micro01 está com o IP errado, está com o IP da rede 100.100.120.0, por
isso devemos alterar o IP do micro01. O micro02 está com a máscara de sub-rede incorreta, por
isso devemos alterá-la para 255.255.255.0.
Para uma descrição detalhada do protocolo TCP/IP e de máscara de sub-rede consulte o Capítulo 2.
Questão 37: Quais as etapas para a criação de um tunel multicast entre dois servidores RRAS,
atuando como roteadores, de tal forma que o tráfego multicast possa ser transmitido entre os
dois reoteadores, mesmo que hajam outros roteadores no caminho, os quais não suportam o
tráfego multicast?
a) Não é possível esta configuração. Todos os roteadores do caminho devem suportar tráfego
multicast.
b) Basta configurar um IP adicional na interface de WAN dos roteadores na faixa reservada

para os endereços de multicast.
c) Basta instalar o protocolo RIP v2 em ambos os roteadores, independentemente da versão
do RIP habilitada nos roteadores intermediários.


d) Crie uma interface do tipo IP-in-IP entre os dois servidores RRAS.

Associe esta interface com o protocolo IGMP routing protocol.
Faça com que esta interface execute no modo IGMP proxy mode.
e) Crie uma interface do tipo IP-in-IP entre os dois servidores RRAS.
Associe esta interface com o protocolo IGMP routing protocol.
Resposta certa: d
Comentários: O ponto chave desta questão é que você tem dois servidores RRAS atuando como
roteadores e estes servidores precisam permitir o tráfego IGMP entre si. Porém, “no meio do cami-
nho” podem haver outros roteadores, os quais não dão suporte ao protocolo IGMP. Pode ser o
exemplo de uma empresa que está conectada a dois escritórios remotos. A conexão entre os dois
escritórios é feita através do link de um provedor e dentro da rede do provedor, a informação po-
derá passar por roteadores que não dão suporte ao IGMP. Neste caso, você terá que criar um tunel
IP-in-IP e colocar esta conexão no modo IGMP Proxy.
Questão 38: Você tem dois segmentos de rede conectados por um servidor RRAS. Somente em um
dos segmentos está disponível um servidor DHCP. Para que as estações de trabalho que estão no
segmento de rede onde não há servidor DHCP, possam obter as configurações a partir de um ser-
vidor DHCP que está no outro segmento, qual(is) etapa(s) você deve executar?
a) No servidor DHCP, adicione o segmento de rede sem servidor DHCP como um escopo au-
torizado.
b) Crie um tunel IP entre os roteadores das duas redes e habilite o DCHP Relay Protocol atra-
vés deste túnel.
c) Configure o protocolo DCHP Relay Agent no segmento de rede que não tem servidor DHCP.
Configure o DHCP Relay Agent para utilizar como número IP, o número IP do servidor
DHCP.
d) Crie um servidor DHCP secundário no segmento de rede onde ainda não existe servidor
DHCP.
e) A única maneira é instalando um servidor DHCP no segmento de rede que ainda não tem
servidor DHCP.
Resposta certa: c
Comentários: Esta é uma questão interessante e uma situação que é bem provável de ocorrer na
prática. Um dos segmentos precisa obter as configurações do TCP/IP a partir de um servidor
DHCP que está em outro segmento. Por padrão, as mensagens do DHCP não passam no roteador,
no nosso exemplo, no servidor RRAS. Para implementar a solução proposta, deve ser instalado o
protocolo DHCP Relay Agent. Este protocolo é instalado na interface de rede que conecta o servi-


dor RRAS com o segmento de rede que não tem servidor DHCP. Após instalado, este protocolo
deve ter o seu número IP configurado com o número IP do servidor DHCP. Quando um cliente da
rede que não tem servidor DHCP é inicializado, envia mensagens tentando localiar um servidor
DHCP. Estas mensagens são interceptadas pelo DHCP Relay Agent e enviadas diretamente para o
servidor DHCP. O servidor DHCP responde, o DHCP Relay Agent intercepta a resposta e a direcio-
na para o cliente. Com isso as estações de trabalho que estão em uma rede sem servidor DHCP,
conseguem obter as configurações do TCP/IP a partir de um servidor DHCP que está em outro seg-
mento de rede, exatamente o que propõe a questão.
Questão 39: As portas padrão, utilizadas pelos serviços HTTP, HTTPS, FTP, DNS e TELNET são, res-
pectivamente:
a) 80, 443, 21, 53 e 23
b) 80, 443, 21, 69 e 23
c) 80, 443, 21, 110 e 23
d) 70, 443, 21, 53 e 23
e) 80, 443, 21, 53 e 105
Resposta certa: a
Comentários: Esta questão testa os conhecimentos básicos do TCP/IP. Cada serviço trabalha em
uma porta específica. O uso de portas é a maneira que o TCP/IP tem para identificar os pacotes
de cada serviço e endereçá-los ao serviço correspondente. Por padrão, o HTTP trabalha na porta
80, o FTP na porta 21 (na verdade existem duas portas, uma de dados e outra de comandos do
FTP) e o Telnet na porta 23. Você encontra a definição oficial das portas padrão do TCP/IP, nos
seguintes endereços:
http://www.iana.org/assignments/port-numbers
http://www.networksorcery.com/enp/protocol/ip/ports00000.htm
Questão 40: Você é o Administrador de uma rede com uma diversidade de sistemas operacionais
em funcionamento. Nos servidores você tem o Windows 2000 Server e servidores com Linux.
Nos servidores Linux, está instalado o servidor SMB (Samba) para permitir que os clientes Win-
dows acessem pastas compartilhadas nos servidores Linux. Nos clientes você tem estações de
trabalho com Windows 98, Me e Windows 2000 Professional. Os clientes de estações de traba-
lho Windows 98/Me não conseguem localizar os servidores Linux pelo nome para poder acessar
as pastas compartilhadas nestes servidores. O que você deve fazer para solucionar este proble-
ma, considerando que todos os equipamentos da rede utilizam o TCP/IP como único protocolo
de comunicação?



d) No servidor WINS, crie um mapeamento estático para todos os clientes Windows 98/Me
Resposta certa: c Você Respondeu:
servidores Linux.
Questão 41: Você é o administrador de um servidor com o IIS instalado: srv01.abc.com. Neste
servidor, também está instalado o Certificate Services, o qual é utilizado para emissão de certifi-
cados para os usuários da sua rede. A rede tem um mix de diferentes clientes, baseados no Win-
dows 2000 Professional, Windows XP Professional, Linux e Macintosh. Os usuários com com-
putadores Macintosh não estão conseguindo requisitar certificados, usando o endereço:
http://srv01.abc.com/certsrv. O que você deve fazer para que estes usuários de computadores
Macintosh possam solicitar certificados?
a) Oriente-os a utilizar o endereço: https://srv01.abc.com/certsrv.
b) Oriente-os a utilizar o endereço: http://srv01.abc.com/certsrv/mac.
c) Configure a pasta virtual CertSrv para aceitar o método de autenticação: Autenticação

Básica.
d) Configure a pasta virtual CertSrv para aceitar o método de autenticação: MS-CHAP.
e) Configure a pasta virtual CertSrv para aceitar o método de autenticação: MS-CHAP v2
Resposta certa: c
Comentários: Clientes não Microsoft devem utilizar Autenticação Básica para acessar áreas do IIS
que exigem autenticação. Somente clientes Microsoft são capazes de utilizar as autenticações
MS-CHAP e MS-CHAP v2. No cenário descrito na questão, os clientes Macintosh não estão conse-
guindo solicitar certificados, porque a pasta virtual CertSrv não está configurada para aceitar Au-
tenticação Básica.
Questão 42: Em relação às políticas de segurança, no servidor RRAS, considere as afirmativas a seguir:
I. As políticas são aplicadas na ordem em que são definidas pelo administrador.
II. A primeira política que atender as condições do usuário que está tentando o acesso, será
aplicada.


III. Somente uma política será aplicada, a primeira que atender às condições.
IV. As políticas que negam acesso, devem ser aplicadas antes das políticas que concedem per-
missão, se não as políticas que negam acesso nunca serão aplicadas.
São verdadeiras as alternativas:
a) I, II e III e IV
b) I e II
c) I e III
d) II e III
e) III e IV
Resposta certa: a
Comentários: Todas as afirmativas são verdadeiras. As políticas são aplicadas na ordem definida
pelo administrador, a primeira política que atender as condições será aplicada e não serão aplica-
das outras políticas, ou seja, somente uma política será aplicada. As políticas que negam acesso
tem que estar em primeiro lugar, se não nunca serão aplicadas, uma vez que se uma política que
permite acesso atender as condições, esta será aplicada e nenhuma outra política será aplicada.
Neste caso, todas as alternativas estão corretas. Por isso a resposta correta é a letra “a”.
Questão 43: Você é o administrador do servidor RRAS da sua empresa. Você quer configurar o ser-
vidor de tal maneira que somente os membros do grupo administradores possam se comunicar
com este servidor. Além disso, estes usuários devem ter permissão para usar mais de uma linha te-
lefônica para fazer a conexão. O gerenciamento da banda deve ser automático, ou seja, quando o
nível de ocupação do link cair abaixo de um nível pré-configurado, deve ser desconectada uma ou
mais linhas e quando o nível de ocupação estiver aumentando, novas linhas devem ser adiciona-
das automaticamente. O que você deve fazer para implementar a política de acesso requerida?
a) Crie uma política de segurança que permite a conexão do grupo dos administradores.
Habilite o uso de multilink.
b) Crie uma política de segurança que permite a conexão do grupo dos administradores.
Habilite o uso do protocolo EAP.
c) Crie uma política de segurança que permite a conexão do grupo dos administradores.
Habilite o uso do protocolo SPAP.


d) Crie uma política de segurança que permite a conexão do grupo dos administradores.
Habilite o uso do protocolo MS-CHAP.
e) Crie uma política de segurança que permite a conexão do grupo dos administradores.
Habilite o uso do protocolo BAP.
Resposta certa: e
Comentários: O primeiro passo é a criação de uma política que permite o acesso dos membros do
grupo administradores. Quando usuários de outros grupos tentarem a conexão, nenhuma políti-
ca se aplicará. Neste caso, serão usadas as propriedades da guia Discagem, da conta do usuário no
Active Directory. Por padrão todos os usuários têm negada a permissão de discagem. Com isso
apenas os membros do grupo de administradores terão permissão de fazer o acesso remoto. O pró-
ximo passo é habilitar o multilink e o BAP, que é o protocolo que faz a gerência automática da
banda. Os protocolos MS-CHAP, EAP e SPAP são protocolos de autenticação e não tem nada a ver
com o controle de banda. Aliás, não esqueça que o protocolo de autenticação EAP é exigido para a
autenticação através de Smart-Card.
Questão 44: Você é o administrador do serviço RRAS da sua empresa. O RRAS está instalado em di-
versos servidores dentro da rede da empresa. Estes servidores serão utilizados por funcionários
que executam operações especiais fora da empresa e que irão transmitir dados altamente confi-
denciais e que devem ter um nível máximo de segurança. Para facilitar a administração dos servi-
dores RRAS, você instalou o IAS e utiliza o IAS como servidor de autenticação RADIUS para todos
os servidores RRAS da empresa. Você deseja implementar uma política de segurança de tal manei-
ra que somente os membros do grupo Usuários de campo tenham acesso ao servidor RRAS e que a
comunicação seja segura. Quais ações você deve executar?
a) Remova a política de acesso padrão do servidor IAS.

Crie uma política de acesso remoto no servidor IAS, a qual dê permissão de conexão apenas
para o grupo Usuários de campo.
Configure esta política de acesso remoto para somente aceitar o nível de criptografia: Strong.
b) Remova a política de acesso padrão do servidor IAS.
Configure esta política de acesso remoto para somente aceitar o nível de criptografia: Basic.
c) Remova a política de acesso padrão do servidor IAS.


Configure esta política de acesso remoto para somente aceitar o nível de criptografia:
IPSec/L2TP.
d) Remova a política de acesso padrão do servidor IAS.
e) Remova a política de acesso padrão do servidor IAS.
Resposta certa: a
Comentários: Esta é uma questão que envolve conhecimentos básicos do RRAS e do IAS como ser-
vidor RADIUS. Como os servidores RRAS estão utilizando o IAS como servidor de autenticação
(servidor RADIUS), as políticas de segurança devem ser configuradas no servidor RADIUS e não
em cada servidor RRAS individualmente. O primeiro passo é excluir a política padrão e criar uma
política que dê permissão de acesso apenas aos usuários do grupo Usuários de campo. O próximo
passo é configurar esta política para exigir o nível máximo de criptografia, de tal forma que so-
mente poderão estabelecer a conexão e enviar dados, os clientes que atendam aos requisitos de
criptografia, configurados na política de acesso remoto, no servidor IAS. É isso.
Questão 45: Você pretende habilitar o servidor RRAS para fornecer acesso remoto à equipe de ven-
das da sua empresa. Os vendedores devem fazer a conexão a partir do escritório dos clientes, usan-
do o recurso de Call Back, para que a ligação não seja paga pelos clientes. Você quer que além do
número IP, os clientes também recebam, do servidor RRAS, as demais informações do DHCP, tais
como número IP do Default Gateway, número IP dos servidores DNS, número IP dos servidores
WINS e assim por diante. Estas informações serão necessárias, pois ao se conectar remotamente,
os vendedores terão que acessar recursos em diversos servidores da rede e irão acessar os servido-
res pelo nome, por isso a necessidade da utilização de um servidor DNS. Para que os clientes pos-
sam receber todas as informações do DHCP, o que você deve fazer?
a) Instalar o servidor RRAS no mesmo equipamento onde está instalado o servidor DHCP.
b) Instalar e configurar o DHCP Relay Agent no servidor RRAS.
c) Habilitar o roteamento IP e a discagem por demanda no servidor RRAS.
d) Configurar o servidor RRAS para usar um servidor RADIUS para autenticação.
e) Configure as informações sobre o Default Gateway, servidor DNS e servidor WINS nas pro-
priedades do servidor RRAS, na guia Endereçamento IP.
Resposta certa: b
Comentários: Nesta questão, o ponto principal é que as demais informações do DHCP, além do
número IP, são repassadas em uma mensagem do tipo DHCPInform, mensagem esta que so-
mente será repassada para os clientes remotos, se o DHCP Relay Agent estiver instalado e confi-


gurado no servidor RRAS. Veja o Capítulo 6, para informações detalhadas sobre o RRAS e o
DHCP Relay Agent.
Questão 46: Você é o administrador de uma rede baseada no Windows 2000 Server. Os clientes da
rede são baseados em diferentes versões do Windows: Windows 95/98, Windows 2000 Professio-
nal e Windows XP Professional. Os clientes baseados em Windows 95/98 dependem da resolução
WINS para acessar uma série de sistemas. Após alguns problemas com o WINS, você está descon-
fiado de que a base de dados do WINS contém um grande percentual de registros inválidos, o que
está impedindo que registros novos e atualizados sejam gerados e, em conseqüência, os clientes
com Windows 95/98 estão com dificuldades para acessar alguns sistemas. Qual o comando você
deve executar, no servidor onde está instalado o servidor WINS, para excluir os registros existen-
tes, de tal maneira que registros novos e atualizados possam ser gerados?
a) Ipconfig /flushwins.
b) Nbtstat -RR.
c) Nbtstat -A.
d) Ipconfig /renew WINS.
e) jetpack wins.mdb winstemp.mdb.
Resposta certa: b
Comentários: O comando ipconfig/flushwins não existe. Existe o comando ipconfig /flushdns,

o qual limpa o cache local do DNS na estação de trabalho. O comando ipconfig /renew WINS
também não existe. Existe o comando ipconfig /renew, o qual é utilizado para renovar uma con-
cessão de endereço IP do cliente. O comando jetpack é utilizado para compactar a base de dados
do WINS, porém antes de utilizá-lo, deve ser parado o serviço WINS. Na situação descrita, a sim-
ples compactação da base WINS não iria resolver o problema. Nesta situação, a solução mais
adequada é limpar a base WINS e enviar a solicitação de novos registros, o que é feito pelo co-
mando Nbtstat – RR.
Questão 47: Você é o administrador da rede da sua empresa. A rede é formada por um único domí-
nio, baseado no Windows 2000 Server e no Active Directory. A rede é formada pelo escritório cen-
tral e cinco escritórios regionais, conectados ao escritório central, por links de 256 Kbps. A zona
DNS primária abc.com está no servidor DNS do escritório central. Você está planejando a estrutu-
ra do DNS para o restante da rede da empresa. Considere as afirmações a seguir em relação a im-
plementação do DNS:
I. Você pode criar um servidor com uma zona primária para o domínio abc.com no servidor
DNS em cada escritório regional.
II. Você somente pode criar zonas secundárias para o domínio abc.com no servidor DNS em
cada escritório regional. Isso reduz o tráfego devido à resolução de nomes DNS.


III. Você somente pode criar zonas secundárias para o domínio abc.com no servidor DNS em
cada escritório regional. Isso reduz o tráfego devido à replicação do DNS.
IV. Para que o tráfego de replicação do DNS seja seguro, você deve utilizar zonas DNS integra-
das ao Active Directory.
Estão corretas as seguintes alternativas:
a) I, II, III e IV
b) I e IV
c) II, III e IV
d) II e IV
e) I, II e III
Resposta certa: d
Comentários: Esta questão envolve os conhecimentos básicos sobre zonas do DNS no Windows
2000 Server. Você somente pode ter uma zona primária para um determinado domínio. As demais
zonas serão secundárias e irão copiar as informações a partir da zona secundária. Neste caso, o uso
de zonas secundárias, reduz o tráfego de resolução de nomes, mas aumenta o tráfego de replicação
do DNS. Para que a replicação seja segura, você tem que utilizar zonas DNS integradas com o Acti-
ve Directory. Para detalhes completos sobre a instalação, configuração, planejamento e adminis-
tração do DNS, consulte o Capítulo 4.
Questão 48: Você é o administrador da rede da sua empresa, a qual é baseada no Windows 2000
Server e no Active Directory. Você é o responsável por implementar o servidor RRAS da empresa, o
qual dará suporte à conexão remota para a equipe de vendas da empresa. A equipe de vendas fará
uma conexão do tipo VPN. Os vendedores utilizam notebooks. Ainda estão em uso versões anti-
gas do Windows, tais como o Windows 98, além de notebooks com o Windows 2000 Professional
e Windows XP Professional. No servidor RRAS, você configurou 20 portas L2TP para que os usuá-
rios possam fazer a conexão via VPN, porém alguns usuários não conseguem fazer a conexão re-
mota. Qual a causa mais provável do problema?
a) Os clientes mais antigos, como o Windows 98 somente podem fazer a conexão VPN usan-
do PPTP, pois não têm suporte para L2TP.
b) Você deve instalar Certificados Digitais em todos os clientes.
c) Para que os clientes mais antigos, tais com o Windows 98 possam fazer a conexão, você pre-
cisa habilitar o protocolo de autenticação EAP, no servidor RRAS.
d) Os clientes mais antigos, como o Windows 98, não são capazes de fazer conexões do tipo VPN.
e) Configure o nível de criptografia para “baixo”, para que todos os clientes possam fazer a co-
nexão via VPN.
Resposta certa: a


Comentários: Clientes mais antigos, tais como o Windows 98 não suportam a dobradinha
L2TP/IPSec para conexões do tipo VPN. Somente o Windows 2000 Professional e o Windows XP
Professional é que dão suporte ao L2TP/IPSEC. O PPTP é um protocolo proprietário da Microsoft,
que apresenta problemas de segurança. O PPTP vem sendo substituído pelo L2TP/IPSec.
Questão 49: Você administra o servidor RRAS da empresa. A rede é formada por 50 clientes basea-
dos no Windows 2000 Professional e no Windows XP Professional. Existem também três servido-
res: ras.abc.com, files.abc.com e www.abc.com. O servidor files.abc.com é utilizado para compar-
tilhamento de arquivos e impressoras, apenas na rede interna da empresa. O servidor ras.abc.com
tem uma conexão permanente com a Internet e será utilizado como um servidor de comunicação
e de acesso remoto, o qual permitirá que os demais computadores da rede também tenham acesso
à Internet. Após algumas avaliações, você decidiu utilizar o compartilhamento de Internet – ICS,
para fornecer acesso à Internet para todos os computadores da rede. O ICS será habilitado no ser-
vidor ras.abc.com, o qual tem a conexão com a Internet. Em relação ao uso do ICS, considere as
afirmações a seguir:
I. O ICS é bem mais simples de configurar do que o NAT.
II. O ICS é mais flexível do que o NAT, permitindo que o administrador defina a faixa de ende-
reços IP a ser utilizada pela rede interna.
III. O ICS fornece bem mais segurança na conexão à Internet do que o NAT.
IV. O ICS permite a alocação dinâmica de endereços IP para os clientes da rede, mesmo que
não exista um servidor DHCP na rede.
São FALSAS as seguintes alternativas?
a) I e II
b) II, III e IV
c) I, II, III e IV
d) II e III
e) III e IV
Resposta certa: d
Comentários: Esta questão exige que o candidato conheça bem as diferenças entre o ICS e o NAT.
A principal característica do ICS é a simplicidade de configuração. Porém esta simplicidade tem
um preço: não é possível alterar as configurações padrão do ICS, que permite somente a utilização
de endereços IP na faixa 192.168.0.0/255.255.0.0. Com isso, a alternativa II se torna falsa. Já o
NAT oferece bem mais recursos de proteção e segurança do que o ICS. Isso torna a alternativa III
também falsa. As demais alternativas são verdadeiras. Para uma descrição completa destes dois re-
cursos, consulte o Capítulo 7.


Questão 50: Você administra o servidor RRAS da empresa. A rede é formada por 50 clientes basea-
dos no Windows 2000 Professional e no Windows XP Professional. Existem também três servido-
res: ras.abc.com, files.abc.com e www.abc.com. O servidor files.abc.com é utilizado para compar-
tilhamento de arquivos e impressoras, apenas na rede interna da empresa. O servidor ras.abc.com
tem uma conexão permanente com a Internet e será utilizado como um servidor de comunicação
e de acesso remoto, o qual permitirá que os demais computadores da rede também tenham acesso
à Internet. Você decide utilizar o recurso de NAT – Network Address Translation do servidor RRAS,
para fornecer acesso à Internet para todos os computadores da rede. Os computadores da rede in-
terna utilizam o seguinte esquema de endereços privados: 10.10.20.0/255.255.255.0. O endereço
10.10.20.1 está associado à interface interna do servidor RRAS. Os demais computadores da rede
utilizam o endereço 10.10.20.1 como Default Gateway. O provedor de Internet forneceu três en-
dereços para uso pela interface externa do NAT: 144.155.156.20, 144.155.156.21 e
144.155.156.22. Você quer configurar o site da empresa no servidor www.abc.com e quer que este
site possa ser acessado por usuários da Internet. O servidor www.abc.com utilizará o endereço in-
terno 10.10.20.2 e na Internet deverá responder no e-mail 144.155.156.20. Quais configurações
você deve fazer no NAT?
a) Configure o NAT para fornecer os seguintes endereços para a rede Interna: 10.10.20.1 –
10.10.20.50.
Aloque os endereços fornecidos pelo provedor de Internet para a interface externa do NAT.
Crie uma porta especial, criando um mapeamento entre o IP externo: 144.155.156.20 e o

IP interno 10.10.20.2.
b) Configure o NAT para fornecer os seguintes endereços para a rede Interna: 10.10.20.1 –
10.10.20.50.
Exclua desta faixa de endereços os endereços 10.10.20.1 e 10.10.20.2.
Aloque os endereços fornecidos pelo provedor de Internet para a interface externa do NAT.
c) Configure o NAT para fornecer os seguintes endereços para a rede interna: 10.10.20.1 –
10.10.20.50.

d) Configure o NAT para fornecer os seguintes endereços para a rede interna: 10.10.20.1 –
10.10.20.50.
e) Configure o NAT para fornecer os seguintes endereços para a rede interna: 10.10.20.1 –
10.10.20.50.


Aloque os endereços fornecidos pelo provedor de internet para a interface externa do NAT.
Resposta certa: e
Comentários: Esta é uma questão que envolve um bom conhecimento de como o NAT funciona.
A primeira etapa é configurar as propriedades do NAT para que forneça endereços para os compu-
tadores da rede interna. Na faixa de endereços, devem ser excluídos os endereços do próprio servi-
dor onde o NAT está configurado e os endereços que serão configurados para equipamentos que
utilizarão IP fixo, que é o caso do servidor www.abc.com. Por isso, o endereço 10.10.20.2 deve ser
excluído dos endereços que são oferecidos pelo NAT, pois este endereço será utilizado pelo servi-
dor www.abc.com. O próximo passo é configurar os endereços informados pelo provedor de
Internet, na interface pública do servidor com o NAT habilitado. A última etapa é a criação de
uma porta especial, a qual faz o mapeamento entre o endereço IP externo e o endereço IP associa-
do do servidor www.abc.com, na rede interna da empresa. Para uma descrição detalhada da insta-
lação e configuração do NAT, consulte o Capítulo 7.
Questão 51: Você instalou o servidor RRAS para dar acesso à Internet a uma pequena rede de um
dos escritórios da sua empresa. Neste servidor, você instalou e configurou o recurso de NAT do
RRAS, através de uma interface externa de discagem por demanda. Agora você quer configurar a
interface do NAT, de tal maneira que somente seja permitido o uso do protocolo HTTP usando a
porta 80. Quais configurações você deve fazer para aplicar o filtro descrito?
a) Clique com o botão direito do mouse na interface externa do NAT.

Selecione a opção Definir filtros de discagem por demanda IP.
Crie um novo filtro para o protocolo TCP, porta 80.
Marque a opção Somente para o seguinte tráfego.
b) Clique com o botão direito do mouse na interface externa do NAT.
Marque a opção Somente para o seguinte tráfego.
c) Clique com o botão direito do mouse na interface externa do NAT.
Marque a opção Para todos os tráfegos exceto.
d) Clique com o botão direito do mouse na interface externa do NAT.


e) Clique com o botão direito do mouse na interface externa do NAT.
Resposta certa: a
Comentários: Nesta questão, você tem que definir um filtro de tal maneira que somente seja per-
mitida a utilização de HTTP na porta 80, com qualquer rede de destino. Se os usuários tentarem
outros protocolos, como por exemplo FTP na porta 21 ou Telnet na porta 23, estes não consegui-
rão fazer as respectivas conexões. Caso você precise também liberar o acesso ao HTTPS, ou seja,
HTTP seguro, será necessário liberar também a porta 443. Não é o caso nesta questão, cujo enun-
ciado, explicitamente, solicita que seja liberada somente HTTP na porta 80. Por isso que a alterna-
tiva correta é a letra “a”. Para uma descrição detalhada da instalação e configuração do NAT, con-
sulte o Capítulo 7.
Questão 52: Você é o administrador da rede da empresa ABC Ltda. A WAN da empresa é formada
pela rede no escritório central em SP e pelas redes das filiais no RJ, RS, SC e PR. O DHCP será utili-
zado para fornecer configurações do protocolo TCP/IP para todas as estações de trabalho da rede,
em todas as localidades da rede da empresa. Você está fazendo uma explanação para a equipe do
financeiro para justificar porque é necessária a instalação de um servidor com o Windows 2000
Server em cada localidade, no qual ou deve ser instalado o RRAS e habilitado o DHCP Relay Agent
ou deve ser instalado um servidor DHCP local. De uma maneira simples, como você poderia justi-
ficar a necessidade ou de um servidor DHCP ou de um RRAS com DHCP Relay Agent configurado
em cada unidade, ao invés de utilizar um único servidor DHCP na matriz da empresa?
a) Explicando que o desempenho ficaria muito comprometido, devido a baixa velocidade

dos links.
b) Explicando que o tráfego de replicação seria muito grande, se você usasse um servidor
DHCP remoto.
c) Explicando que o DHCP utiliza, em algumas das etapas, pacotes baseados em broadcast.
Os roteadores da rede não transmitem o tráfego de broadcast, senão seria gerado um volu-
me de tráfego excessivo nos links de WAN.
Por isso, você precisa de um servidor DHCP em cada localidade ou de um DHCP Relay
Agent, o qual intercepta os pacotes dos clientes tentando se comunicar com o servidor
DHCP e envia estes pacotes para o servidor DHCP. O DHCP Relay Agent recebe as respostas
do servidor DHCP e as repassa para o cliente.


d) Explicando que, por questões de segurança, não é recomendado o uso de um servidor

DHCP na rede remota.
e) Explicando que o servidor DHCP deve estar instalado no mesmo servidor que atua como
DC e que faz a autenticação do usuário.
Resposta certa: c
Comentários: Quando um cliente configurado para usar o DHCP é inicializado, este troca uma série
de mensagens para tentar “descobrir” um servidor DHCP e obter as configurações do protocolo
TCP/IP, a partir do servidor DHCP. Como o cliente ainda não tem número IP, as primeiras mensa-
gens são trocadas utilizando broadcast. Os roteadores, por padrão, bloqueiam todo o tráfego de bro-
adcast. Não é, de maneira alguma, uma boa idéia habilitar a passagem de broadcast nos roteadores.
Neste caso, existem duas alternativas possíveis. Ou instalar um servidor DHCP em cada rede ou ha-
bilitar o RRAS e adicionar o DHCP Relay Agent para que este repasse as mensagens dos clientes para
um servidor DHCP na rede remota e receba as respostas do servidor DHCP, repassando-as para os
clientes. Para uma descrição detalhada do DHCP, consulte o Capítulo 4. Para uma descrição com-
pleta do RRAS, roteamento e da habilitação do DHCP Relay Agent, consulte os Capítulos 6, 7 e 8.
Questão 53: Como administrador da rede, você foi solicitado a fornecer uma solução para imple-
mentar uma comunicação segura entre os computadores da Unidade Organizacional “Pesquisa e
desenvolvimento”. Você resolveu criar uma GPO e associá-la a esta OU. Nesta GPO, você criou
uma nova política para tornar obrigatório o uso do IPSec nas comunicações entre os computado-
res desta OU. Além das diversas configurações efetuadas, você também quer garantir um nível ele-
vado de segurança. Para isso o que você deve fazer para que a cada nova sessão estabelecida usan-
do IPSec, uma nova chave seja gerada para cada sessão, sem que seja reutilizada a mesma chave
para mais de uma sessão?
a) Acesse as propriedades da Política de Segurança que será implementada e marque a opção:

Sigilo total na transferência de chave mestra.
b) Acesse as propriedades da Política de Segurança que será implementada e informe o valor 0

no campo: Autenticar e gerar nova chave a cada.
c) Acesse as propriedades da Política de Segurança que será implementada e selecione o méto-

do IKE 3 DES com Integridade MD5.
d) Acesse as propriedades da Política de Segurança que será implementada e habilite o uso de

L2TP em conjunto com o IPSec.
e) Acesse as propriedades da Política de Segurança que será implementada e crie uma nova re-
gra que proíbe a reutilização de chaves.
Resposta certa: a


Comentários: Para evitar a reutilização de chaves, você deve acessar as propriedades da política
que irá implementar o IPSec, clicar na guia Geral, em seguida no botão Avançado e marcar a op-
ção: Sigilo total na transferência de chave mestra, conforme indicado na Figura 11.3.
Figura 11.3 Propriedades da Política de Segurança.
Questão 54: Você é o administrador de uma rede que é formada por seis redes locais, sendo que no
máximo existem 30 equipamentos em cada rede local. Você tem à disposição somente uma rede
Classe C: 10.15.210.0/255.255.255.0. Você precisará usar o recurso de divisão em sub-redes, para
poder dividir a rede Classe C em, pelo menos, seis sub-redes com, no mínimo, 30 números IP em
cada sub-rede. Qual a máscara de sub-rede que você deverá utilizar para a sua rede:
a) 255.255.255.128
b) 255.255.255.192
c) 255.255.255.224
d) 255.255.255.240
e) 255.255.255.248
Resposta certa: c
Comentários: Esta é uma questão típica de sub-rede. Como você precisa seis sub-redes, deve utili-
zar 3 bits a mais do que os 24 da máscara de sub-rede padrão. O número de sub-redes é calculado
pela fórmula 2^n – 2. Com n=3 teremos seis sub-redes, exatamente o que precisamos. Usando 3
bits para a sub-rede, sobram 5 para hosts. Com isso teremos 2^5 – 2 = 32 -2, ou seja, 30 hosts por
rede. Também atende as necessidades da questão. Usando 3 bits adicionais para a máscara de
sub-rede, ficaremos com os três primeiros bits iguais a 1: 128+64+32 = 224. Por isso que a máscara
de sub-rede fica: 255.255.255.224. Para uma descrição completa do processo de divisão de uma
rede em sub-redes, consulte o Capítulo 2.


Questão 55: Para habilitar o backup automático e periódico da base de dados de um servidor
WINS, qual configuração deve ser efetuada no servidor WINS?
a) Criar uma tarefa agendada para fazer o backup da base de dados WINS.
b) Criar um script para compactação e backup da base WINS.
c) Habilitar a replicação no servidor WINS.
d) Habilitar a replicação na pasta Winnt\System32\WINS.
e) Definir um caminho padrão para o backup, no campo “Caminho de backup padrão”, na
guia Geral, da janela de propriedades do servidor WINS.
Resposta certa: e
Comentários: Ao marcar a opção “Caminho de backup padrão”, na guia Geral, da janela de pro-
priedades do servidor WINS, será feito um backup completo da base de dados do WINS a cada 3
horas. As opções “a” e “b” também poderiam ser uma solução, porém o enunciado da questão es-
pecifica: “...qual configuração deve ser efetuada no servidor WINS?”
Questão 56: Você é o administrador de uma rede cuja WAN é formada por três redes locais:
– Uma rede local no escritório central em SP.
– Uma rede local no escritório no RJ.
– Uma rede local no escritório no RS.
Na rede de cada escritório, você instalou o serviço WINS. Os clientes informam que conseguem
acessar os servidores do próprio escritório pelo nome, mas não conseguem acessar recursos em
outros escritórios. Por exemplo, os usuários do escritório de SP, conseguem acessar os servidores
da rede local de SP pelo nome, mas não conseguem acessar os servidores das redes do RJ e do RS,
pelo nome. O que você deve fazer para solucionar o problema descrito?
a) Configurar todos os clientes para serem do tipo h-node.
b) Configurar o servidor DHCP para fornecer uma lista com os três servidores WINS, ao invés
de somente o servidor WINS da própria rede.
c) Nas configurações do protocolo TCP/IP, nos clientes, habilite a opção:
Ativar exame de LMHOSTS.
d) Configure os servidores WINS como parceiros de replicação.
e) Habilite a passagem de broadcast nos roteadores da rede.
Resposta certa: d


Comentários: Na situação descrita, cada servidor WINS está somente com a sua própria base, ou
seja, apenas com os registros dos clientes da sua própria rede, os quais se registram no servidor
WINS. Para que cada servidor WINS possa ficar com uma base completa, ou seja, com os registros
dos computadores das demais redes, você deve configurar os servidores WINS como parceiros de
replicação, de tal maneira que todos os servidores WINS fiquem com a base completa. Para uma
descrição detalhada da instalação e configuração do WINS, consulte o Capítulo 5.
Questão 57: Considere as afirmativas a seguir, em relação às políticas padrão para aplicação do
IPSec e em relação ao protocolo IPSec:
I. A implementação do IA, implementação do IPSec na camada de rede 3, fornece proteção

para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como
TCP, UDP, ICMP, etc. A principal vantagem de informações seguras nessa camada é que to-
dos os aplicativos e serviços que usam IP para transporte de dados podem ser protegidos
com IPSec, sem nenhuma modificação nos aplicativos ou serviços (para proteger protoco-
los diferentes de IP, os pacotes devem ser encapsulados por IP).
II. A configuração e habilitação do IPSec é baseada no uso de Polices. Não existe outra maneira
de criar, configurar e habilitar o IPSec a não ser com o uso de uma GPO. Isso facilita a confi-
guração e aplicação do IPSec a grupos de computadores, como por exemplo, todos os com-
putadores do domínio ou de um site ou de uma unidade organizacional.
III. Quando dois computadores vão trocar dados usando IPSec, a primeira etapa é fazer a au-
tenticação mútua entre os dois computadores. Nenhuma troca de dados é efetuada, até que
a autenticação mútua tenha sido efetuada com sucesso.
IV. O IPSec não pode utilizar o protocolo Kerberos para autenticação dos usuários.
São verdadeiras as seguintes alternativas:
a) I e II e IV
b) I, II e III
c) I, II, III e IV
d) II e IV
e) II, III e IV
Resposta certa: b
Comentários: A própria questão já é uma descrição da resposta. Somente as alternativas I, II e III

apresentam características verdadeiras do protocolo IPSec. A alternativa IV é falsa, pois o IPSec
utiliza o protocolo Kerberos para autenticação dos usuários. Para mais informações sobre o IPSec
consulte o Capítulo 8.
Questão 58: Considere as afirmativas a seguir, em relação as políticas padrão para aplicação do IPSec:


I. Server (Request Security) – Servidor (Solicitar segurança): Ao habilitar esta diretiva, tam-
bém serão aceitas comunicações não seguras, porém para estabelecer uma conexão segura,
os clientes devem utilizar um método de autenticação aceito pelo servidor. Com esta polí-
tica serão aceitas comunicações não seguras (não utilizando IPSec), se o outro lado não su-
portar o uso do IPSec.
II. Client (Respond only) – Cliente (responder somente): Esta política é indicada para compu-
tadores da rede interna, da Intranet da empresa. Ao iniciar a comunicação com outros
computadores, não será utilizado o IPSec. Contudo, se o outro computador exigir o uso do
IPSec, a comunicação via IPSec será estabelecida.
III. Security Server (Request Security) – Servidor seguro (requer segurança): Aceita um início de
comunicação não seguro, mas requer que os clientes estabeleçam uma comunicação segu-
ra, usando IPSec e um dos métodos aceitos pelo servidor. Se o cliente não puder atender es-
tas condições, a comunicação não será possível.
a) Somente I
b) Somente II
c) Somente I e II
d) Somente II e III
e) II, III e III
Resposta certa: e
Comentários: A própria questão já é uma descrição da resposta. O enunciado descreve as três polí-
ticas padrão de IPSec, as quais estão disponíveis mas não são habilitadas por padrão. A descrição
está correta nas três alternativas. Para habilitar uma das políticas, basta clicar com o botão direito
do mouse e, no menu de opções que é exibido, clicar em Atribuir. Se for uma política a ser aplicada
via GPO, a configuração é feita no Group Policy Editor. Se for uma política local, em um Member
Server ou em uma estação de trabalho, a configuração é feita usando o console Diretivas locais de
segurança, na opção “Diretivas de segurança IP em máquina local”.
Questão 59: Considere as afirmativas a seguir, em relação ao protocolo de roteamento dinâmico RIP.
I. O protocolo RIP é baseado em uma troca de mensagens entre os roteadores que utilizam o
RIP. Cada mensagem do RIP contém uma série de informações sobre as rotas que o rotea-
dor conhece (com base na sua tabela de roteamento atual) e a distância do roteador para
cada uma das rotas.
II. As informações entre roteadores são trocadas quando o roteador é inicializado, quando o ro-


III. Porém se não houver mudanças nas rotas, não serão trocadas informações periódicas entre
os roteadores RIP, até que uma nova mudança seja introduzida na rede. Isso reduz o volu-
me de tráfego gerado pelo protocolo RIP.
IV. O protocolo RIP é indicado para o uso em redes de grande porte, devido a sua capacidade de
dividir uma grande rede em áreas e montar uma hierarquia de roteamento.
a) Somente I e II
b) Somente II
c) Somente I e II e III
d) Somente II e III e IV
e) Somente IV
Resposta certa: a
Comentários: A própria questão já é uma descrição da resposta. As alternativas I e II descrevem ca-

racterísticas verdadeiras do protocolo RIP. Já as alternativas III e IV descrevem características fal-
sas do RIP, as quais representam justamente dois dos maiores problemas deste protocolo. O pri-
meiro é o grande volume de tráfego gerado pelo RIP, uma vez que continuam sendo trocadas
informações, periodicamente entre os roteadores (por padrão a cada 30 segundos), mesmo que
não haja mudanças na rede. Por isso a alternativa III é falsa. A alternativa IV é uma característica
do protocolo OSPF e não do RIP. O RIP somente é indicado para pequenas redes. Por isso a alterna-
tiva IV também é falsa.
Questão 60: São melhorias/vantagens do RIP v2 em relação ao RIP v1:
I. Os anúncios do protocolo RIP v2 são baseados em tráfego multicast e não mais broadcast
224.0.0.9. Com isso, os roteadores habilitados ao RIP formam como se fosse (na verdade é)
um grupo multicast, registrado para “escutar” os anúncios do protocolo RIP v2. Outros
hosts da rede, não habilitados ao RIP v2, não serão “importunados” pelos pacotes do RIP
v2. Por questões de compatibilidade (em casos onde parte da rede ainda usa o RIP v1), é
possível utilizar broadcast com roteadores baseados em RIP v2. Mas esta solução somente
deve ser adotada durante um período de migração, assim que possível, todos os roteadores
devem ser migrados para o RIP v2.
II. Informações sobre a máscara de sub-rede são enviadas nos anúncios do protocolo RIP v2.
Com isso o RIP v2 pode ser utilizado, sem problemas, em redes que utilizam sub netting,
super netting e assim por diante, uma vez que cada rede fica perfeitamente definida pelo
número da rede e pela respectiva máscara de sub-rede.


III. Segurança, autenticação e proteção contra a utilização de roteadores não autorizados: Com o
RIP v2 é possível implementar um mecanismo de autenticação, de tal maneira que os rotea-
dores somente aceitem os anúncios de roteadores autenticados, isto é, identificados. A au-
tenticação pode ser configurada através da definição de uma senha ou de mecanismos mais
sofisticados como o MD5 (Message Digest 5). Por exemplo, com a autenticação por senha,
quando um roteador envia um anúncio, envia juntamente a senha de autenticação. Outros
roteadores da rede, que recebem o anúncio, verificam se a senha está OK e somente depois da
verificação, alimentam suas tabelas de roteamento com as informações recebidas.
a) Somente I
b) Somente II
c) Somente III
d) Somente II e III
e) I, II e III
Resposta certa: e
Comentários: A própria questão já é uma descrição da resposta. O enunciado descreve as três princi-
pais vantagens do protocolo RIP v2 em relação ao RIP v1. Por isso estão corretas as três alternativas.
CONCLUSÃO
Muito bem amigo leitor. Aqui encerro minha contribuição para ajudá-lo na batalha para o Exame
70-216. Recomendo que você estude e revise cuidadosamente os conceitos apresentados neste li-
vro e procure aprofundar os seus estudos usando a Ajuda do Windows 2000 Server, os endereços
indicados neste site e outras fontes de estudo que você possa ter acesso.
É um exame difícil? Sim. Mas é perfeitamente possível de ser aprovado. Com uma boa dose de de-
dicação e estudo você conseguirá ser aprovado, não tenha dúvidas disso.
Agradeço imensamente por ter adquirido e estudado este livro. É meu mais sincero desejo que
você seja aprovado em mais este exame. Não deixe de enviar suas sugestões e críticas para o meu
e-mail: webmaster@juliobattisti.com.br.



Índice

Apple Talk, 82 Backup da base, 448

A Application Center 2000, 43 Certificados Pendentes, 441
Arquivo hosts, 147 Chave de Criptografia,
Active Directory, 54 Árvores de Domínios, 56 421
Catálogo Global, 65 Conceito, 56 Chave Privada, 422
Definição, 54 Exemplo, 56 Chave Pública, 422
Florestas, 60 Atualização Dinâmica no DNS, Como Funcionam, 423
Funções, 55 178 Conceito, 423
O que é?, 54 Como Funciona, 178 Emissão, 435
Objetos, 55 Conceito, 178 Exemplo de Mapeamento,
Recursos disponíveis, 55 Integração com o DHCP, 444
Relações de Confiança, 60 178 Gerenciando com o
Replicação, 69 Via DHCP, 178 Browser, 440
Schema, 75 Autenticação ANI-CLI, 346 Informações do Certificado,
Serviço de nomeação, 55 Como Funciona, 346 445
Serviço de rede, 55 Conceito, 346 Introdução, 420
Sites, 69 Lista de Pendentes, 441
Autenticação de Usuários, 53
Administração do Tempo, 6 Mapeamento
Autoridades de Certificação,
AIX, 33 Muitos-para-um, 443
424
APIPA, 232
Autônomas, 429 Mapeamento Um-para-um,
Ativar Log, 262 443
Corporativas, 427
Atualizar Estatísticas, 262
Enterprise root CA, 430 Mapear Certificados, 442
Base de Dados, 264
Enterprise Subordinate CA, Par de Chaves, 422
Comandos de
430 Renovar Certificado, 447
Administração, 266
Instalação, 431 Restore da base, 448
Como funciona, 233
Standalone root CA, 431 Revogação, 435
Conceito, 232
Standalone subordinate CA, Revogar Certificados, 446
Configuração Automática
431 CHAP, 328
do Cliente, 232
Autorização DNIS, 345 Características, 328
Configurações Avançadas,
263 Como Funciona, 345 Definição, 328
Endereços Utilizados, 233 Conceito, 345 Classes de Endereços, 98
Gerenciando com ipconfig, Classe A, 99
265 Classe B, 100
Propriedades do Servidor, Classe C, 101
261 B Classe D, 102
Relay Agent, 267 Classe E, 102
Tabela de BOOTP, 262 BIND, 197 Quadro Resumo, 102
Aplicações em 2 Camadas, 34 Versões, 197 Classificação de máscaras de
Apresentação, 35 BizTalk Server 2000, 42 rede, 199
Lógica do Negócio, 35 Cliente DNS, 211
Modelo, 34 Configurar nome, 211
Aplicações em 3 Camadas, 36 Considerações, 211
Apresentação, 36 C Lista de Servidores DNS,
Dados, 37 212
Lógica, 36 Catálogo Global, 65 Lista de Sufixos, 214
Modelo, 37 Conteúdo, 66 Prioridade, 213
Aplicações em n Camadas, 37 Funções, 67 Cliente Servidor, 32
Apresentação, 38 Replicação, 68 Aplicações em 2 Camadas,
Cliente, 38 Servidor, 65 34
Dados, 38 Certificações Microsoft, 2 Clientes, 33
Lógica, 38 Visão geral, 4 Modelo, 33
Modelo, 38 Certificados Digitais, 420 Servidores, 33


Índice
Comandos Introdução, 509 Conceito, 44

Hostname, 130 Observações, 519 Diretório Único, 47
ipconfig, 87-130 Opções da Conexão, 516 Integração com o Active
Nslookup, 130-217 Roteador Chamado, 510 Directory, 47
Pint, 130 Roteador Chamador, 510 Múltiplas Senhas, 46
Tracert, 130 Descentralização, 32 No Mainframe, 44
Commerce Server 2000, 43 DHCP Relay Agent, 267-355 Outros, 45
Contas de Usuários, 53 Como Funciona, 268-355 Redes baseadas em, 48
Conversão, 92 Conceito, 267-355 Sistema de e-mail, 45
Binário x Decimal, 92 Configurar, 355 DNS, 140
Decimal x Binário, 92 Habilitar, 355 Administração, 157
Exemplos, 93 Quando Usar, 267-355 Arquivo hosts, 144
Criptografia, 449 DHCP, 224 Atualização Dinâmica,
Agente de Recuperação, 452 Administração, 240 178
Backup do Agente de APIPA, 232 Autorizar Secundários, 183
Recuperação, 453 Autorizar no Active Cache do Servidor, 153
Certificado do Usuário, 454 Directory, 242 Cache Local, 147
Comando cipher, 464 Classe de opções, 229 Classes, 146
Conceito, 449 Cliente DHCP, 228 Clientes DNS, 145
Considerações, 451 Clientes Suportados, 231 Comandos, 215
De Arquivos, 458 Como Funciona, 229 Como funciona, 145
De Pastas, 458 Concessão, 228 Componentes, 142
Descriptografar, 464 Concessão, 234 Console DNS, 157
Diretiva de Recuperação, Concessão Inicial, 234 Contadores, 157
462 Configurando o Cliente, Definição, 141
Importar Certificado, 456 230 DNS Admins, 182
Introdução, 449 Contadores, 565 Domínios, 154
Operações com Arquivos, DHCPDecline, 236 Espaço de nomes, 145
461 DHCPDiscover, 235 Estrutura Hierárquica, 143
Recomendações, 459 DHCPOffer, 235 FQDN, 144
Recuperação dos Dados, DHCPRelease, 237 Função, 141
452 DHCPRequest, 235 Implementação, 157
CSNW, 546 Escopo, 228 Instalação, 158
Configurar, 554 Implementação, 240 Integração com o Active
Instalar, 552 Instalação, 240 Directory, 207
Introdução, 551 Intervalo de Concessão, 239 Integração com WINS, 187
Intervalo de Exclusão, 228 Limitar acesso, 182
Intervalo de Exclusão, 244 Linha de Comando, 157
Lease, 238 Log de Eventos, 157
D O que é, 224 O que é, 141
Pool de Endereços, 228 Permitir Transferência de
Demand-dial Routing, 509 Projetando Escopos, 243 Zonas, 190
Autenticação, 510 Renovação da Concessão, Pesquisa WINS, 188
Conceito, 509 237 Registro WINS, 187
Configurar, 512 Reserva, 229 Registros do DNS, 145
Criar Nova Interface, 515 RFCs, 227 Replicação de Zonas, 156
Definir Filtros, 518 Servidor DHCP, 227 Resolver, 146
Definir Horários, 517 Superescopo, 228 Segurança, 182
Endereçamento de Vantagens, 226 Servidor DNS, 145
Extremidade, 510 Diretórios, 44 Tipos de Pesquisa, 146
Filtros de Discagem, 510 Aplicações, 45 Top-level-domain, 143
Habilitar, 512 Como funciona, 51 Zonas, 154


Domínio, 52 Com Exclusividade, 195 Benefícios, 208

Agrupamento Lógico, 53 Conceito, 194 Como funciona, 207
Características, 53 Configurar, 196 Conceito, 207
Controlador de, 52 Sem recursão, 195 Configurar, 209
Definição, 52 Uso, 194 IP v6, 98
Domínios DNS, 154 FQDN, 144 IPSec, 519
Atualização Dinâmica, 178 Autenticação dos Usuários,
Comparando com Zonas, 523
155 Características, 522
Configurar Propriedades, 177 H Client (Respond Only), 524
Componentes, 522
Host Integration Server 2000, Conceito, 519
43 Criar Políticas, 524
E HP-UX, 33 Definir Regras, 529
Diretivas de Segurança, 520
EAP, 324 Introdução, 520
Como Funciona, 324 Kerberos, 523
Definição, 324 I Nível 1, 521
Infra-estrutura, 324 Proteção dos Dados, 521
EFS, 449 IAS, 337 Security Server (Request
Endereços Especiais, 103 Adaptabilidade, 340 Security), 525
Endereços Privados, 388 Auditoria, 340 Server (Request Security), 524
Escopos, 243 Cliente, 339 IPX/SPX, 82-544
Alterar Opções, 256 Conceito, 337 Como Funciona, 546
Ativar, 252 Configurações, 339 Definição, 544
Configurar Opções, 253 Exportação, 340 Desinstalar, 554
Configurar Propriedades, 257 Importação, 340 Instalação, 548
Considerações, 243 Monitoramento Remoto, 340 Interoperabilidade, 547
Criar Escopos, 247 Recursos, 338 Tipos de Pacote, 551
Criar Intervalo de Exclusão, Uso com o RRAS, 337 ISA Server 2000, 43
254 IBM, 43
Criar Reservas, 255 ICS, 385
Duração da Concessão, 250 Como Funciona, 389
Informando Gateways, 251 Comparando com NAT, 390 L
Informando Servidores Conceito, 385
DNS, 252 Configurações, 389 L2TP, 320
Integração com o DNS, 258 Configurar os Clientes, Com IPSEc, 321
Intervalo de Exclusão, 244 387-396 Comparação com PPTP, 322
Regra 20 x 80, 245 Considerações, 388 Considerações, 321
Exame 70-215, 2 Endereços Privados, 388 Duplo Encapsulamento, 321
Exame 70-216, 2 Habilitando o ICS, 392 Infra-estrutura de PKI, 321
A quem se destina, 3 Introdução, 385 Lista de Usuários, 53
Nível de Dificuldade, 2 Mudanças Efetuadas, 385
Plano de Estudo, 25 Portas de Comunicação, 395
Programa para o Exame, 17 Quando Usar, 391
Integração com Novell, 545 M
Integração DNS x Active
Directory, 207 Mainframe, 29
F Alterar zona para integrada, Modelo de Aplicações, 30
209 Terminal burro, 30
Florestas, 60 Atualização multimaster, Vantagens, 31
Forwarders, 194 208 Volta ao?, 39


Índice
Máscara de sub-rede, 83 Habilitar na Interface Vantagens, 496

Como é Usada, 94 Externa, 416 Vizinhos NBMA, 502
Exemplo, 95 Habilitar na Interface
Uso pelo Roteador, 95 Interna, 416
Máscara padrão, 117 Habilitar o NAT, 403
MCSA, 20 Habilitar Roteamento, 411 P
A quem se destina, 20 Interface de Discagem, 413
Exames Eletivos, 22 Introdução, 396 PAP, 329
Exames Obrigatórios, 22 Planejamento, 400 Características, 329
Requisitos, 22 Resolução de Nomes, 400 Definição, 329
MCSE, 13 Resolução DNS, 409 PKI, 420
Exames de Design, 14 Roteamento na Interface Conceito, 420
Exames Eletivos, 14 Externa, 412 Políticas de Acesso no RRAS,
Exames obrigatórios, 14 Timeout, 406 357
O que é?, 13 Tradução de Endereços, 399 Como Funciona, 358
Observações, 16 NETBEUI, 81 Conceito, 357
Mobile Information Server, 44 Novell, 33 Configurações, 359
Modelo Centralizado, 29 NT Server 3.51, 33 Configurações, 369
Monitorar Desempenho, 556 NT Server 4.0, 33 Exemplo de Criação, 366
Como Funciona, 557 Número IP, 83 Usos, 358
Conceito, 556 NWLink, 545 Portas de Comunicação, 395
Console Desempenho, 559 PPP, 317
Contadores do DHCP, 565 PPTP, 318
Gargalos, 557 Comparação com L2TP, 322
Monitorar Memória, 559 O Criptografia, 318
Monitorar Processador, 559 Definição, 318
Monitorar Serviços de Rede, Operador E, 93 Desvantagens, 320
564 OSPF, 493 Encapsulamento, 318
MS-CHAP v1, 325 Adjacências, 497 Instalação, 318
Características, 325 Área de Backbone, 495 Profissional Atual, 4
Definição, 325 Áreas, 495 Administração do Tempo, 6
MS-CHAP v2, 326 Ativar Senha, 501 Carreira de Sucesso, 7
Ativação, 327 Como Funciona, 495 Delegação de Tarefas, 7
Características, 327 Configurações Avançadas, Estudo continuado, 5
Definição, 326 503 Estudo eficaz, 5
Melhorias, 327 Criar Interface, 499 Marketing Pessoal, 7
Criar Link Virtual, 506 Não é Só Trabalho, 10
Criar Novas Áreas, 505 Não Procrastinar, 6
Custo, 501 Organização, 6
N Designado Backup, 497 Planejamento, 11
Habilitar Border Routing, Protocolo, 82
NAT, 396 507 Definição, 82
Atribuição de Endereços, 407 Identificação de Área, 500 Exemplos, 82
Como Funciona, 397 Instalação, 498
Componentes, 399 Introdução, 494
Configurações Adicionais, Lista Branca, 508
410 Lista Negra, 508 R
Configurar o Log, 405 Operação, 497
Configurar o NAT, 404 Prioridade de Roteador, RADIUS, 337,
Criar Rota Padrão, 415 500 Conceito, 337
Endereçamento, 400 Roteador Designado, 497 Configurar, 341
Exclusão de Endereços, 408 Roteadores de Borda, 495 Uso com o RRAS, 337


Recursão, 148 Servidor DNS, 148 Roteamento Dinâmico, 477

Authoritative answer, 151 Usando Recursão, 148 Protocolos, 477
Exemplo, 150 Resumo Final, 570 RIP, 477
Exemplo de Interação, RIP v1, 477 Round Robin, 198
153 Count-to-infinity, 479 Conceito, 198
Negative answer, 152 Desvantagens, 479 Configurar, 199
Positive answer, 152 Instalar, 482 Usos, 198
Processo de Interação, 153 Poison Reverse, 480 RRAS, 306
Referral answer, 152 Problemas, 480 Acesso Remoto, 307
Redes, 28 RIP v1 x RIP v2, 480 Como Funciona, 307
Com Windows 2000, 28 Split horizon, 479 Contadores, 567
Registros DNS, 164 Triggered Updates, 480 Onde se Aplica, 307
A, 165 Vantagens, 478 PPP, 317
AAAA, 165 RIP v2, 481 Protocolos para Dial-up,
Class, 164 Aceitar Rotas, 489 316
CNAME, 165 Ativar Autenticação, 488 Rede Dial-up, 310
Criar Registros, 174 Broadcast, 491 Servidor Dial-up, 312
Definição, 164 Configurar, 483 SLIP, 317
Dono, 164 Criar Nova Interface, 485 Usos, 307
Eliminação, 180 Custo de Rotas, 488 Visão Geral, 308
Expiração, 180 Difusão RIP v2, 487 VPN, 310
HINFO, 166 Difusão Seletiva, 491
MX, 166 Instalar, 482
NS, 166 Intervalo de Anúncio, 492
PTR, 167 Modo de Atualização, 487 S
Scavenging, 180 Modo de Operação, 487
SOA, 167 Omissão de Rotas, 492 Scavenging, 180
Time to live, 164 Poison-reverse, 492 Como funciona, 180
Tipo, 165 RIP Silencioso, 487 Conceito, 180
Relações de Confiança, 60 Rotas de Entrada, 490 Condições de eliminação,
Definição, 60 Rotas de Saída, 490 181
Entre florestas, 64 Vizinhos, 491 Configurar, 185
Exemplo, 62 Roteador, 103 Roteamento, 474
Externa, 63 Conceito, 103 Schema, 75
No NT Server 4.0, 60 Considerações, 110 Armazenamento, 75
No Windows 2000, 62 Exemplo de Roteamento, Cache, 75
Número de Relações, 61 104 Definição, 75
Realm, 64 Interface de LAN, 105 Definição de Objetos, 75
Shortcut, 64 Interface de WAN, 105 Funções, 75
Tipos, 62 Papel do, 103 SCO, 33
Transitiva, 63 Rede de Roteadores, 105 Servidor Dial-up, 312
Replicação no Active Roteamento, 103 Ativar Roteamento IP, 348
Directory, 72 Considerações, 110 Atribuição de Endereços,
Definição, 72 Exemplo, 104 349
KCC, 73 Roteamento, 473 Autenticação ANI-CLI, 346
Replicação Intersite, 74 Computador de Destino, Autenticação de
Replicação Intra-site, 73 474 Convidado, 347
Topologia, 74 Computador de Origem, Autenticação x Autorização,
Resolução de Nomes DNS, 145 474 323
Cache do Servidor, 148 Definição, 473 Autorização DNIS, 345
Cache Local, 146 Roteador, 474 Callback, 364
Resolver, 146 Tabela de Roteamento, 475 CHAP, 328


Índice
Clientes Dial-up, 312 Servidor Somente Cache, Número de hosts, 120

Compactação por Software, 210 Número de Sub-redes, 120
353 Vincular secundários, 197 O que alterar?, 119
Configurações do PPP, 352 Servidor Membro, 52 Sufixos DNS, 214
Configurações do Servidor, Servidor VPN, 314 Como funciona, 214
334 Clientes VPN, 315 Conceito, 214
Configurar Autenticação, Protocolos de LAN, 316 Funções, 214
336 Protocolos de Tunneling, Ordem, 214
Configurar Autenticação, 316
344 Protocolos dos Clientes, 315
EAP, 324 Usando o RRAS como, 314
Extensões LCP, 353 Sistema Binário, 90 T
Faixa Estática de Endereços, Conversão Para Decimal, 92
351 Dígitos, 91 Tabela de Roteamento, 475
Funcionalidades dos Formação dos Números, 91 Definição, 475
Clientes, 313 Valor Decimal, 92 Protocolo de Roteamento,
Habilitação, 331 Sistema Decimal, 90 476
Habilitar Roteamento, 336 Converter Para Binário, 92 Tabelas de Roteamento, 111
IAS, 337 Dígitos do, 90 Campos, 112
L2TP, 320 Exemplo, 91 Conceito, 111
Métodos de Autenticação, Formação dos Números, 90 Entradas, 112
322 Sistemas de Numeração, 90 Network ID, 112
MS-CHAP v1, 325 Sites, 69 Network Mask, 112
MS-CHAP v2, 326 Definição, 69 Next Hope, 112
Opções de Log, 354 Definição, 70 TCP/IP, 80
Opções de Retorno de Organização Física, 69 Adicionar Endereço IP,
Chamada, 364 Por que Usar?, 70 538
PAP, 329 Relação com Domínios, 71 Características, 83
Políticas de Acesso Remoto, Replicação, 72 Classes de Endereços, 98
357 Sub-redes, 70 Configurações, 83
PPTP, 318 SLIP, 317 Configurações Avançadas,
Propriedades da Conta do SNA, 43 538
Usuário, 362 SOA, 173 Configurações DNS, 539
Protocolos para VPN, 318 Expira após, 173 Configurações WINS, 541
RADIUS, 337 Intervalo de Atualização, 173 Configurar, 537
SPAP, 329 Intervalo de Repetição, 173 Configurar Propriedades,
Tipo de Conexões Aceitas, Número de série, 173 535
332 Responsável, 173 Default Gateway, 85
Verificar Identificação do Servidor primário, 173 Definir manualmente, 86
Chamador, 364 Tempo de vida mínimo, Definir via DHCP, 86
Servidor DNS, 192 173 Diretiva de IPSec, 543
Ativar rodízio, 198 SPAP, 329 Endereço IP, 537
Configurações do Log, 203 Características, 330 Exame de LMHOSTS, 541
Configurações padrão, 201 Definição, 329 Gateway Padrão, 537
Desativar Recursão, 197 SSL, 521 Instalação, 536
Forwarders, 194 Subnetting, 117 Máscara de sub-rede, 83
Interfaces, 193 Sub-redes, 117 Máscara de sub-rede, 537
Número IP, 193 Como usar, 117 NetBIOS sobre TCP-IP, 541
Opções Avançadas, 197 Conceito, 117 Número IP, 83
Propriedades, 192 Exemplo, 118 O que é?, 81
Proteger Cache, 200 Listar Faixas de Endereços, Propriedades, 535
Segurança, 204 124 Sufixos DNS, 540


Verificar Configurações, 87 Servidor Web, 41 Propriedades do Registro,

Visão Geral, 81 Servidor WINS, 41 287
Top-level-domain, 143 Tabela de Roteamento, 113 Propriedades do TCP-IP no
Windows Server 2003, 33 Servidor, 280
WINS, 274 Pull Partner, 293
Backup do Banco de Dados, Push Partner, 294
U 299 Quando Utilizar, 276
Base de Dados, 296 Replicação no WINS, 293
Unidades Organizacionais, 57 b-node, 279 Restaurar Banco de Dados,
Como funciona, 57 Características, 275 299
Exemplo de uso, 58 Clientes Suportados, 277 Tempo Limite de Extinção,
O que é, 57 Como Funciona, 278 289
Quando Usar, 58 Configurações Avançadas, Varrer Banco de Dados, 298
Vantagens, 58 291 Verificar Consistência, 299
UNIX, 33 Configurações do Servidor, Workgroups, 48
288 Como funciona, 49
Configurar Replicação, 295 Redes baseadas em, 48
Considerações de Uso, 276
W Console de Administração,
285
Windows 2000 Server, 40 Contadores, 566 Z
Controlador de Domínio, Exemplo de Replicação, 294
41 Exibir Estatísticas, 298 Zonas DNS, 154
Papel do, 40 h-node, 280 Autoridades para, 186
Servidor de Acesso Remoto, Instalar, 283 Comparando com
42 Intervalo de Extinção, 289 Domínios, 155
Servidor de arquivos, 41 Intervalo de Renovação, Criar Zona Primária Direta,
Servidor de Banco de 289 161
Dados, 41 Intervalo de Verificações, Criar Zona Reversa, 168
Servidor de Comunicação, 290 Criar Zona Secundária, 205
42 jetpack, 297 Permitir Transferência, 190
Servidor de e-mail, 42 m-node, 279 Zonas Diretas, 154
Servidor de Impressão, 41 O que é, 274 Zonas Primárias, 155
Servidor DHCP, 41 Pesquisar na Base, 287 Zonas Reversas, 167
Servidor DNS, 41 p-node, 279 Zonas Secundárias, 155


Ebook MCSE Dif 70 216 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ebook MCSE Dif 70 216 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Copyright©2003 Júlio Battisti

Copyright©2003 by Axcel Books do Brasil Editora Ltda.

Editora de Produção: Gisella Narcisi

Certificação Microsoft: Guia de Estudos Para o MCSE – Exame 70-216

Os conceitos emitidos nesta obra são de inteira responsabilidade do Autor.

Axcel Books do Brasil Editora

Av. Paris, 571 – Bonsucesso

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

Segurança no Windows XP - Básico

Nota sobre direitos autorais:

SE VOCÊ RECEBEU UMA CÓPIA DESTE E-BOOK EM UM CD

NÃO COLABORE COM A PIRATARIA, POIS É CRIME.

PIRATARIA É CRIME, COM PENA DE CADEIA. EU

Autor: Júlio Cesar Fabris Battisti

É proibido usar este material em treinamentos ou em sala de aula.

É proibido usar este material em treinamentos ou em sala de aula.

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

É proibido usar este material em treinamentos ou em sala de aula.

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

É proibido usar este material em treinamentos ou em sala de aula.

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

Capítulo 1 – Fundamentos de Redes Baseadas no

É proibido usar este material em treinamentos ou em sala de aula.

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216

Relações de Confiança e Florestas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Capítulo 2 – O Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

VIII ¥ C ERTIFICAÇÕES M ICROSOFT

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

Capítulo 3 – Implementação e Administração do DNS . . . . . . . . . . . . . . . . . 139

Capítulo 4 – Implementação e Administração do DHCP . . . . . . . . . . . . . . . . 223

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216

DHCP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Capítulo 5 – Implementação e Administração do WINS. . . . . . . . . . . . . . . . . 273

Capítulo 6 – Configurando o Acesso Remoto com o RRAS . . . . . . . . . . . . . . . 305

Capítulo 7 – ICS, NAT e Certificados Digitais . . . . . . . . . . . . . . . . . . . . . . . . . 383

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

Capítulo 8 – Roteamento com o RRAS e o Protocolo IPSec . . . . . . . . . . . . . . . 471

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216

Uma Introdução ao Roteamento de Discagem por Demanda . . . . . . . . . . . . . . . . . . . . . 509

Capítulo 9 – Protocolos, Desempenho e Monitoração da Rede . . . . . . . . . . . 533

Capítulo 10 – Resumo Final e Dicas de Sites com Material de Estudo . . . . . . 569

Capítulo 11 – Simulado Para o Exame 70-216 . . . . . . . . . . . . . . . . . . . . . . . . 639

XII ¥ C ERTIFICAÇÕES M ICROSOFT

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 14 – 2ª PROVA

É proibido usar este material em treinamentos ou em sala de aula.

GUIA DE ESTUDOS PARA O MCSE – EXAME 70-216

UMA VISÃO GERAL SOBRE CERTIFICAÇÕES MICROSOFT

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 1 – 2ª PROVA

l Entre 200 e 26.000 usuários.

l Entre 5 e 500 localizações físicas: diferentes redes em diferentes localidades/escritórios da

l Compartilhamento de arquivos e impressoras.

l Servidores de banco de dados e de mensagens.

l Servidores Web baseados no IIS.

l Proxy Server ou Firewall.

l Servidor de Acesso Discado – RRAS.

l Gerenciamento de estações de trabalho (GPOs).

ED. AXCEL – GUIA DE ESTUDOS PARA O MCSE – CAPÍTULO 1 – 2ª PROVA