O Programa de certificação Microsoft, um dos mais reconhecidos em todo o mundo.

Atingir o status de MCSE (Microsoft Certified Systems Engineer) não é certamente um

dos feitos mais simples para um profissional de da área de tecnologia da informação.
Neste curso, você terá acesso a informações essenciais para passar no exame 70-290 –
Managing and Mantaining a Windows Server 2003 Environment (Gerenciando e
mantendo um ambiente Windows Server 2003), um exame obrigátório para as
certificações MCSE, MCSA.

Como funcionam as provas de certificação

As provas são eletrônicas. O candidato responde a em média, 50 questões em frente a

um computador. Ao final do exame o candidato já fica sabendo o resultado.
As questões da prova podem ser de múltipla escolha, ou questões que requerem a
interatividade do candidato, como por exemplo, arrastar itens para formular uma
resposta ou ainda realizar configurações em um simulador.
As provas podem sofrer alterações em seu formato ao longo do tempo, para manter a
sua credibilidade no mercado. Para obter as últimas informações sobre alterações e
novos exames acesse o site de treinamento e certificação da Microsoft
(http://www.microsoft.com/learning).

Quais metas você deve atingir para este exame

Este exame contém 50 questões. Você deverá acertar pelo 70% das questões (700
pontos de 1000 possíveis)
Como realizar uma prova de certificação
Duas empresas estão credenciadas para desenvolver os exames de certificação da
Microsoft, a Virtual University Enterprises – VUE (http://www.vue.com) e a Tomphson
Prometric (http://www.2test.com). Estas empresas mantêm contrato com outras
empresas chamados de centro de teste. Para saber qual é o centro de testes mais próximo
de você, acesse os sites e realize uma pesquisa.

Microsoft Certified Systems Engineer - MCSE

Um profissional com o status de MCSE, está apto a desenhar e implementar soluções

baseadas no Microsoft Windows Server 2003 e produtos da linha Backoffice, como o
Microsoft Exchange Server e Microsoft SQL Server. Esta é uma das principais
certificações da Microsoft e uma das mais reconhecidas por empresas ao redor do
mundo.
Para uma listagem completa e atualizada dos requirementos para a certificação MCSE
em Windows 2003, refira-se a este Web site:
http://www.microsoft.com/traincert/mcp/mcse/windows2003/

Como este curso irá ajudá-lo a se tornar um profissional certificado

As informações contidas neste curso cobrem os tópicos abordados no exame 70-290 e

são apresentadas de maneira concisa, identificando pontos importantes para o seu
estudo.
Algumas sessões assumem que o leitor já tem um conhecimento prévio do assunto
abordado, apontando apenas pontos críticos para a prova.
Exames simulados

O MCPBrasil.com traz um conjunto de exames simulados que vão ajuda-lo a testar seus
conhecimentos. Acesse http://www.mcpbrasil.com e selecione o exame simulado 70-
290.

Um candidato a MCSE deve saber como gerenciar dispositivos de hardware de um

servidor executando o Windows 2003. Neste capítulo, vamos estudar os seguintes
tópicos para atingir este objetivo:

• Gerenciar discos básicos e dinâmicos;

• Otimizar a performance do servidor por meio de configurações de disco;
• Instalar e configurar dispositivos de hardware do servidor.

Gerenciando discos básicos e dinâmicos

O Windows Server 2003 oferece duas maneiras diferentes de armazenamento das

informações em disco: Armazenamento básico e dinâmico. Os dois métodos se
diferenciam pela maneira de armazenar os dados em disco, propriamente dito e pela
compatibilidade com outros sistemas operacionais.

Armazenamento básico

O armazenamento básico utiliza tabelas de partição comuns, suportadas pelo MS-DOS e

outros sistemas operacionais da Microsoft. Um disco configurado para armazenamento
básico é chamado de disco básico e pode conter partições primárias, extendidas e drives
lógicos.
Os discos básicos podem conter até quatro partições primárias ou três partições
primárias e uma partição estendida. Uma partição é uma divisão lógica de seu disco, a
qual você assiná-la uma letra de unidade. Os tipos de partição nos discos básicos são:

• Partição primária: Uma porção do espaço em seu disco que você reserva para
poder escrever seus dados. Cada partição tem uma letra de unidade assinalada à
mesma. Você pode utilizar um espaço ainda não alocado em disco para criar
uma partição primária.
• Partição estendida: Uma porção de espaço para armazenamento de seus dados
que pode ser criado a partir de um espaço não alocado em disco. As partições
estendidas não são assinaladas letras de unidades. Você dividirá as partições
estendidas para criar Unidades Lógicas.
• Unidades Lógicas: Uma porção de espaço em disco utilizado para
armazenamento de dados criado a partir de espaço em um partição estendida.

Ao criar partições em discos básicos do Windows 2003, é importante que seja reservado
pelo 1 Mbytes para que os mesmos possam ser convertidos para discos dinâmicos, caso
exista esta necessidade.

Um disco dinâmico contém volumes em vez de partições. Um volume é uma área

reservada ao armazenamento de dados em disco para o qual você assinala uma letra de
unidade. Um volume somente pode ser criado em um disco dinâmico.
Entre as vantagens da utilização de discos dinâmicos está a possibilidade dos mesmos
serem estendidos utilizando espaço em vários discos físicos aumentando a capacidade
de armazenamento ou tornando-os tolerantes a falhas. Não existem limitações de
quantidade de volumes que podem ser criados por discos.
Todas as informações da configuração do disco é armazenada no próprio disco, em vez
do Registry ou qualquer outro método. O sistema operacional replica as informações em
todos os outros discos dinâmicos que a máquina possuir e então a falha de um único
disco não afetará o funcionamento dos demais.
Por padrão os discos no Windows 2003 são básicos, para que os mesmos se tornem
dinâmicos você deverá convertê-los. Este é um processo sem volta. A única maneira de
fazer com que um disco dinâmico volte a ser um disco básico é excluindo todos os
volumes do mesmo.

Um disco pode ser dinâmico ou básico, mas nunca os dois ao mesmo tempo. Quando
você tiver que fazer configurações diferenciadas em seus discos, como, por exemplo,
espelhamento ou aproveitar espaço disponível em vários discos para aumentar o espaço
de armazenamento disponível, você obrigatoriamente deverá converter os seus discos
para dinâmicos.

Podemos criar vários tipos de volumes com a utilização de discos dinâmicos. A tabela a
seguir descreve os tipos de volumes, suas implicações e funcionalidades:

• Simple Volume: Este tipo de volume é um espaço alocado em um único disco

rígido. Se estar formatado com o sistema de arquivos NTFS pode ser expandido,
exceto se for o volume onde residem o boot e o sistema.
• Spanned Volume: É utilizado para agregar espaço disponível em múltiplos
discos formando assim um único volume com as suas capacidades de
armazenamento aumentadas.
• Striped Volume: O Striped Volume permite que você utilize faixas de disco em
múltiplos discos físicos (mínimo 2, máximo 32). As informações serão gravadas
em blocos de 64 Kbytes, o que aumenta em muito o desempenho de gravação.
Se algum disco falhar, todos os dados serão perdidos, pois o Striped Volume não
é tolerante á falhas. Não é possível retirar apenas um disco do Striped Volume
sem remover o volume por completo.
• Mirrored Volumes: Consiste do espelhamento de um Simple Volume em outro
disco, ou seja, tudo que é gravado em um disco, também é gravado no outro. Em
caso de falha em um dos discos, você poderá recorrer aos dados que foram
espelhados no outro. Isto permite que seu sistema fique mais tolerante a falhas.
Para implementar volumes do tipo Mirrored é necessário a utilização de dois
discos.
• RAID-5 Volumes: Volumes do tipo RAID-5 também são tolerantes a falhas.
Cada um dos discos envolvidos (no mínimo 3, no máximo 32), reservam um
espaço para guardar informações de paridade. Estas informações serão utilizadas
para restaurar um dos discos em caso de falha. Se mais de um disco falhar, você
terá que recorrer ao backup para fazer com que seu sistema esteja disponível
novamente aos usuários.

Implementando sistemas de tolerância a falhas

O Windows Server 2003 suporta sistemas de tolerância a falhas gerenciados por
hardware ou por software. Em geral, sistemas de tolerância a falha baseados em
hardware tem um melhor nível de desempenho em confiabilidade, porém, seu custo é
equivalente. No exame você irá se deparar com questões relacionadas aos níveis de
tolerância a falha que o próprio sistema operacional pode prover.

Façamos uma comparação entre os dois níveis de RAID gerenciados por sofware que
são suportados pelo Windows Server 2003: Levando en conta o fator custo,
suponhamos que você vá implementar as soluções com a quantidade mínima de discos
exigida (3 para RAID-5, 2 para Mirrored). Certamente você dirá que a solução mais
barata é a solução Mirrored, pois a quantidade de discos que deverá ser comprada é
menor. Agora se analisarmos o custo por MB de disco, o resultado será outro. Quando
você utiliza um sistema espelhado para garantir a tolerância a falha de seu sistema
operacional, você terá dois discos funcionando, mas somente um deles é que realmente
está ativo, fazendo assim com que você perca 50% do espaço total de armazenamento.
Para a implementação de um sistema RAID-5, é utilizado um parte do disco para que
sejam guardadas as informações de paridade, informações que serão utilizadas para
recompor os outros discos em caso de falha. Para saber o quanto isso ocupará em disco,
você deverá utilizar a formula 1/x. Se você tem 5 discos envolvidos em seu volume
RAID-5, então utilizará 1/5 de espaço em disco, ou seja, um dos discos. No caso de três
discos, você utilizará 1/3, chegando a uma perda de espaço para armazenamento de
informações, ou seja, apenas 33%.

Não é possível utilizar volumes do tipo RAID-5 para volumes de sistema ou de Boot,
nestes casos você deverá utilizar volumes Mirrored. O desempenho de volumes
Mirrored é inferior a do RAID-5, por tanto para volumes que contenham os dados de
seus dados devem estar em uma volume do tipo RAID.
É comum a utilização de estratégias que combinam volumes Mirrored para as partições
de sistema e volumes do tipo RAID-5 para seus dados.
A conversão de discos básicos para discos dinâmicos é feita a partir da ferramenta Disk
Management.

Disk Management

Para a realização de tarefas comuns em seus discos você deverá utilizar o Disk
Management. Este utilitário permite o gerenciamento de seus discos e a criação de
partições e volumes. Utilize a ferramenta Computer Management do menu de
ferramentas administrativas, selecione Storage e então Disk Management. Isto o levará
a interface para administração de seus discos.
Figura 2.1 Disk Management

Vamos identificar quais são as tarefas que podem ser realizadas por meio do Disk
Management.

Identificando o Status de um disco

O Disk Management mostra informações sobre os discos instalados em nosso

computador executando o Windows Server 2003. Uma das informações mais
importantes é status do disco, que pode indicar um problema em potencial que podemos
estar enfrentando. A tabela a seguir mostra todos os status de disco e o seu significado,
além da ação necessária para solucionar o problema:

Status Descrição Ação necessária

on-line O disco está funcionando normalmente. Nenhuma.
O sistema operacional encontrou erros enquanto Tente a opção Reactivate Disk, clicando com o botão
lia ou escrevia em uma região de seu disco. direito para que o status volte a ficar on-line. Caso o er
continue a ocorrer, tente verificar o disco por meio da
on-line (Errors) ferramenta Chkdisk
O disco já esteve acessível, mas não se encontra Verifique como estão as conexões físicas de seu disco,
mais nessa condição. status pode ser ocasionado pela desconexão momentân
Offline de seu disco.
 Esse status é mostrado para um disco que foi Clique com o botão direito sobre o disco e então seleci
configurado originalmente em outro computador a opção Import Foreign Disks.
e ainda não foi configurado no computador atual.
Foreign
Todo o disco ou parte dele pode estar danificado O computador deve ser reinicializado para voltar esse
fisicamente. status para on-line, caso isto não ocorra, clique com o
botão direito sobre o disco e selecione a opção Reescan
Disks. Se esse status ainda assim permanecer, existe
realmente um problema físico no disco. Tente utilizar
ferramentas de terceiros para tentar extrair dados que
possam ser recuperados do disco.
Unreadable
O Disco está desligado, corrompido ou Depois de se certificar de que o disco está conectado e
desconectado. ligado de maneira apropriada, tente utilizar a opção
Reactivate Disk, que pode ser acessada ao se clicar com
Missing botão direito sobre o disco.
O disco não contém uma assinatura válida. Isto Clique com o botão direito sobre o disco e selecione a
acontece quando o disco foi inicializado em um operação initialize disk.
sistema operacional não Microsoft, como por
exemplo em um computador executando o
Linux.
Not initialized
Esse status aparece somente para drives que Insira um disco no drive e então clique com o botão
estejam se utilizando de mídia removível, como direito. A opção Rescan Disks, deve tornar o status on-
por exemplo, drives de ZipDrive. A mensagem
indica que não há nenhum disco no drive.
No Media

Tabela 1.1 – Mensagens de status de disco

Além de status de discos, podemos também coletar informações sobre a situação de

nossas partições ou volumes. A tabela a seguir mostra essas mensagens de status:

Status Descrição Ação Necessária

Healthy O Volume está OK. Nenhuma
O Sistema Operacional encontrou problemas ao A opção Reactivate Disk, que pode ser acionada ao se
Healthy ler ou escrever dados nesse volume. clicar com o botão direito sobre o disco deve soluciona
(At Risk) problema.
Partições criadas por outros sistemas Se você estiver utilizando um outro sistema operaciona
operacionais podem não ser reconhecidas pelo que tenha que acessar esse volume, não há muito o que
Healthy Windows Server 2003. fazer. Caso esse volume não seja mais necessário, cliqu
com o botão direito sobre este e o exclua, selecionando
opção Delete Partition..
(Unknow Partition)
O disco está sendo inicializado. Aguarde até que o processo de inicialização tenha se
Initializing completado.
O disco ou o sistema de arquivos está Para reparar um volume nessa situação, observe se o st
corrompido do disco não está como on-line. Caso não esteja, utilize
Failed opção Reactivate Disk. Selecione o volume, clique com
botão direito e escolha a opção Reactivate Volume.

O Boot Sector do volume está com problemas. Utilize uma ferramenta anti-vírus, para identificar a
Um vírus, por exemplo, é uma das causas presença de um vírus no Boot Sector. Caso o disco não
Unknow possíveis para esse status. esteja infectado, tente utilizar o Recovery Console para
acertar o Boot Sector.
Tabela 2.2 – Mensagens de status de volumes

Dica: geralmente, status representando problemas em volumes são apenas

conseqüências de status representando problemas no disco. Quando você quiser retornar
os status de seus volumes ou partições ao normal, tente primeiro verificar o status para o
disco que contém aquele volume.

Criando, excluindo e formatando volumes

Para criar partições em seu disco, você utilizará o Create Partition Wizard. Você
selecionará o tipo e tamanho da partição que deseja criar. Você acionar este Wizard
clicando em um espaço não particionado com o botão direito de seu disco e então
selecionando Create Partition.
O processo para criação de volumes é igual, modificando apenas o nome do Wizard
para Create Volume Wizard, e apresentando opções de tolerância a falhas que poderão
ser selecionados.
Ao criar uma nova partição ou volume, você terá a opção, ao final do Wizard, de
proceder a formatação do disco. Caso queira faze-lo posteriormente, isto também será
possível, clicando sobre o volume com o botão direito e selecionando Format. No
processo de formatação de seu disco todos os dados serão perdidos. Você não
conseguirá formatar a partição de sistema ou de Boot.

Gerenciamento de letras de unidade e caminhos

Você pode utilizar o Disk Management para gerenciar as letras de unidade que são
atribuídas a seus volumes ou partições. Por padrão as letras e A e B são reservadas para
drives de discos flexíveis, mas se você tem apenas uma unidade deste tipo, a letra B
poderá ser associada a um volume.
Para associar uma letra de unidade a um volume ou partição você deverá proceder da
seguinte maneira:

1. Clique com o botão direito do mouse sobre a partição ou volume que deseja
atribuir ou alterar a letra de unidade.
2. Percorra o menu e selecione Change Drive Letter and Paths. Assinale uma nova
letra de unidade clicando sobre o botão Add.
3. Remova uma letra de unidade que já havia sido associada anteriormente
clicando sobre o botão Remove.
4. Você pode ainda modificar a letra de unidade atribuída atualmente, clicando
sobre o botão Modify.

Existe ainda a possibilidade de montar uma unidade em uma pasta vazia de uma
partição ou volume NTFS, os Mounting Points. Esta característica elimina a limitação
de 24 letras de unidade que podem ser associadas a seus volumes. Outra funcionalidade,
é tornar possível a criação de pastas com nomes intuitivos para seus usuários.
Para criar um novo Mounting Point você deverá fazer o seguinte:
 1. Clique sobre o volume que deseja montar em uma pasta vazia de um volume
NTFS com o botão direito.
2. Percorra o menu e selecione Change Drive Letter and Paths.
3. Clique em Add e depois Browse.
4. Aponte a sua seleção para uma pasta vazia em uma partição NTFS e então clique
em OK.

Otimizando o desempenho do servidor por meio de configurações de disco

A configuração ou manutenção dos discos podem melhorar o desempenho do servidor.

Entre as atividades administrativas com este fim está a desfragmentação de discos.
O Disk Defragmenter é um utilitário de sistema que consolida as informações em um
volume, tornando o acesso aos dados mais veloz. A ferramenta permite que seja
realizada uma analise da situação do disco antes de realizar a desfragmentação
propriamente dita, isto é interessante para que você verifique a real necessidade de
realizar o processo que necessita pelo menos 15% de espaço livre em disco. É
recomendável que este processo seja realizado somente em horários onde o acesso as
informções seja menor, já que o acesso aos dados pode causar lentidão no processo de
desfragmentação e este poderá causar lentidão no acesso aos dados.
Você poderá atingir melhor desempenho de seus discos com a utilização de
configurações RAID. O RAID 0 ou Striped Volume, como mencionado anteriormente,
não protege o sistema de um problema em discos, porém, devido a maneira como os
dados são gravados, podemos obter o melhor desempenho de I/O de todas as
configurações de disco suportadas pelo Windows. Este desempenho é atingido por este
esquema de configuração de discos, pelo fato deste dividir a carga de gravação dos
dados em blocos de um mesmo tamanho. Por exemplo, supondo que temos um arquivo
de 192 kb a ser armazenado em um Striped Volume que compreende 3 discos, o sistema
irá armazenar blocos de 64k em cada um dos discos, fazendo com que a gravação seja
muito mais eficiente, conforme ilustra a imagem a seguir:
Figura 2.2 Gravação de dados em um Striped Volume

FSUtil e Diskpart

O FSUtil (File System Utility), foi desenvolvida para profissionais de suporte para
executar tarefas como alterar nomes curtos de arquivos, procurar arquivos pelo SID
(Security Identifier), além de outras tarefas que a interface do Disk Management não
permite.
A funcionalidade do Diskpart, é fundamentada na possibilidade de se utilizar uma
ferramenta console, em linha de comando para se gerenciar discos e volumes.
Veja a lista de comandos disponíveis com o DiskPart:

Função Descrição
ADD Adiciona um mirror a um Volume Simples
ACTIVE Ativa a partição básica atual
ASSIGN Assina-la uma letra de unidade ou ponto de montagem a um volume
BREAK Quebra um mirror
CLEAN Limpa as informações de configuração de um disco
CONVERT Converte entre formatações diferentes de disco
CREATE Cria um volume ou partição
DELETE Exclui um objeto
DETAIL Provê detalhes de um objeto
EXIT Abandona o DiskPart
EXTEND Extende um volume
HELP Mostra a lista de comandos e suas funcionalidades em tela.
IMPORT Importa um grupo de discos.
LIST Mostra uma lista de objetos
ONLINE Altera o status de um disco para on-line
REM Sua única função é permitir a utilização de comentários em scripts
REMOVE Remove uma letra de unidade ou ponto de montagem assinalado
RESCAN Busca pela configuração de discos no computador
SELECT Move o foco para um objeto

Para se utilizar do DiskPart, simplesmente digite DiskPart no prompt de comando. O

Shell será alterado mostrando o um prompt com o nome diskpart que aceitará os
comando citados anteriormente.
O comando LIST, por exemplo, com o parâmetro Volume, geraria o seguinte resultado:

2.3 – Output do diskpart

Instalando e configurando o hardware do servidor

A tarefa de manter e configurar o hardware do servidor faz parte do dia-a-dia de um

administrador de servidores baseados em Windows 2003. Você deverá conhecer muitos
dos aspectos dos procedimentos relacionados a esta tarefa para se dar bem no exame 70-
290.
A manutenção de hardware abrange a instalação e configuração de dispositivos como:

• Discos Rígidos
• Modens
• Drives de CD-ROM e DVD
• Impressoras
• Adaptadores de rede
• Etc

Nem todos os dispositivos do mercado foram testados e aprovados pelo Microsoft para
funcionar com o Windows Server 2003. Ao comprar um novo servidor para executar
este sistema operacional, você deverá estar atento e identificar se todos os componentes
de hardware estão listados na Hardware Compatibility List (HCL). Esta lista mantida
pela Microsoft fornece informações sobre dispositivos de hardware que são totalmente
suportados por seus sistemas operacionais. Você poderá consultar esta lista on-line em
http://www.microsoft.com/hcl. Configurações do Windows Server 2003 que contam
com componentes de hardware que não estejam listados na HCL podem não ser
suportados pela Microsoft.

Drivers

Para que um dispositivo funcione corretamente no Windows Server 2003, é necessário

que um driver apropriado seja instalado no sistema. O Driver faz a interface entre o
sistema operacional e o dispositivo de hardware. Esta peça de software conhece os
comandos básicos que o sistema operacional enviará ao tipo de dispositivo que ele
controla e as repassa. Quando o dispositivo necessita enviar alguma informação ao
sistema operacional, o driver também é responsável por levar está informação.

O Windows Server 2003 traz um conjunto de drivers disponíveis para uma grande
quantidade de marcas, modelos e tipos de dispositivos. A idéia destes drivers incluídos
com o sistema operacional é permitir que o dispositivo seja instalada de maneira prática.
Os fabricantes dos dispositivos, podem disponibilizar versões mais atualizadas destes
drivers, para que o administrador de servidor ou usuário final tirem ainda mais proveito
das funcionalidades do dispositivo. É possível atualizar o driver de um dispositivo que
já está instalado no sistema operacional, substituindo-o por uma versão mais recente,
que provavelemente terá maiores funcionalidades.

Para verificar qual são os dispositivos instalados atualmente no sistema operacional e

realizar as devidas atualizações necessárias, você utilizará o Device Manager. Esta
ferramenta pode ser encontrada no Snap-in Computer Management ou nas propriedades
de seu servidor no Control Panel.
Figura 2.4 – Interface do Device Manager

Por meio desta ferramenta você poderá ainda modificar as configurações de

determinado dispositivo ou solucionar problemas relacionados ao hardware.
Para atualizar o driver de um dispositivo você deverá realizar os seguintes passos:

1. No Device Manager, clique duas vezes sobre o dispositivo que deseja atualizar.
2. Na aba Driver, clique sobre o botão Update Driver.
3. Um Wizard será iniciado e lhe questionará sobre a localização dos arquivos
necessários a atualização do driver do dispositivos. Estes arquivos normalmente
são disponibilizados pelo forncedor do dispositivo.

Para realizar esta atualização, você deverá ser menbro do grupo local Adminstrators. Se
o computador é parte de um domínio, por padrão, o grupo Domain Admins tem esta
permissão.

Driver Signing

Drivers de dispositivos não testados suficientemente podem fazer com que o dispositivo
deixe de funcionar corretamente em seu computador. O Windows Server 2003 tem um
mecanismo que permite a implementação de drivers assinados digitalmente por seus
fabricantes. Essa assinatura digital garante que os drivers não foram alterados por outros
programas ou por um vírus, por exemplo. O sistema é configurado por padrão para
avisar quando um driver que não possui uma assinatura digital estiver sendo instalado
(Warn)e lhe dá a chance de parar com o processo de instalação. O sistema pode ser
configurado para ignorar (Ignore. ou impedir (Block) a instalação de drivers sem uma
assinatura digital.
Enquanto administrador de um computador executando o Microsoft Windows Server
2003, você poderá tornar a sua seleção padrão para o sistema.

Driver Rollback

Caso a atualização de um driver de dispositivo instalado em um computador executando

o Microsoft Windows Server 2003 venha a apresentar problemas e fazer com que o
dispositivo ou até mesmo o computador deixem de funcionar corretamente, é possível
voltar a uma versão anterior. Essa característica do Windows Server 2003 é o Driver
Rollback. Quando utilizado, o Driver Rollback reinstala o driver que estava sendo
executado anteriormente, mantendo as configurações que estavam funcionando
corretamente. Essa implementação pode ser utilizada com qualquer driver de
dispositivo, com exceção de drivers de impressora.

Para executar o Driver Rollback proceda da seguinte maneira:

1. No Device Manager, acesse as propriedades do Driver de dispositivo que deseja

restaurar a versão anterior.
2. Clique na aba Drivers.
3. Clique no botão Roll Back Driver.

Configurando dispositvos

Você poderá configurar os dispositivos instalados em seu servidor também por meio do
Device Manager. As configurações que você poderá realizar incluem:

• Alterar a interrupção (Interrupt Request - IRQ) utilizada pelo dispositivo.

• Modificar os canais de acesso direto a memória (Direct Memory Access -
DMA).
• Modificar endereços de Input/Output (I/O).
• E também alterar intervalos de endereços de memória.

Normalmente você somente fará este tipo de alteração em dispositivos mais antigos, já
que atualmente a grande maioria dos dispositivos são compatíveis com a tecnologia
Plug-and-Play, que permite que uma vez agregado ao sistema, o dispositivo seja
reconhecido e configurado automaticamente pelo sistema, sem interferir com o
funcionamento dos demais dispositivos.

O Device Manager permitirá também que você remova dispositivos que não estejam
mais conectados a seu sistema, cujos drivers continuam presentes.

Solucionando conflitos de Hardware

Utilizar dispositivos mais antigos, não compatíveis com o Plug and Play, em um
computador executando o Microsoft Windows Server 2003, pode ser um problema
quando tratamos de recursos de Hardware. A explicação para essa afirmação é muito
simples. Dispositivos mais antigos, utilizando, por exemplo, o padrão ISA, podem ter os
seus recursos de hardware, como a IRQ que deve ser utilizada, configurada na própria
placa, com a ajuda de Deep Swicthes ou ainda Jumpers. Dispositivos Plug and Play não
necessitam desse tipo de configuração.

Suponhamos que você, administrador de um computador executando o Windows Server

2003, faça a instalação de um modem mais antigo, configurado para se utilizar da IRQ 5
e você tenha uma placa de vídeo padrão PCI. Ao ser iniciado, o sistema carrega os
drives de dispositivo e não irá nem suspeitar que essa IRQ está reservada para um outro
dispositivo, ou seja, dois dispositivos estarão se utilizando do mesmo recurso, gerando
assim um conflito.

Para solucionar esse tipo de problema, podemos visualizar os dispositivos conflitantes

no Device Manager e então alterar suas configurações para que os dois dispositivos
possam funcionar corretamente. Podemos ainda alterar a BIOS do computador para
reservar as IRQs que estão configuradas fisicamente nos dispositivos mais antigos.
Existem dispositivos que podem funcionar com recursos compartilhados, ou seja, dois
dispositivos se utilizam de um mesmo recurso, porém, o sistema gerencia o acesso de
cada um, o que não gera um conflito. As propriedades do dispositivo no Device
Manager mostram dispositivos que se utilizam de recursos compartilhados.

Gerenciando usuários, grupos e computadores

A cada funcionário que começa ou deixa seu trabalho na empresa, a cada recurso criado
em um servidor, você, enquanto administrador de um servidor com o Windows Server
2003, deverá lidar com contas de usuário, grupos e contas de computadores. Se esta é
uma tarefa tão comum em um ambiente de rede, imagine a sua importância no exame
70-290.

Estudaremos os seguintes tópicos para alcançar este objetivo do exame:

• Introdução ao Microsoft Active Directory Services;

• Gerenciar contas de usuários locais e de domínio;
• Criar e gerenciar perfis de usuário;
• Gerenciar grupos.

Introdução ao Microsoft Active Directory Services

Para podermos colocar as informações no seu devido contexto, devemos inicialmente

adquirir algumas noções do serviço de diretórios da Microsoft. O Microsoft Active
Directory Services é o serviço de diretórios para redes baseadas em Windows Server
2003. Um serviço de diretórios é repositório central de informações sobre objetos da
rede. Esses objetos são, por exemplo, usuários, grupos de usuários, computadores, etc.
O Active Directory, provê um local centralizado para administração de recursos de rede
e autenticação de usuários.

Um computador que executa o Windows Server 2003 com o Active Directory instalado
é chamado de Domain Controller. Esse tipo de computador tem uma cópia do banco de
dados do Active Directory, com todas as informações sobre os objetos de rede. É
possível acrescentar múltiplos Domain Controllers em um ambiente de rede Windows
Server 2003 para otimizar o desempenho e ainda prover tolerância. Todas as
modificações geradas em um Domain Controller, como por exemplo, a criação de uma
nova conta de usuário, são replicadas para os outros Domain Controllers participantes.

Estrutura Lógica do Active Directory

A estrutura lógica do Active Directory permite aos administradores a organização dos

objetos de rede, de modo que a sua administração seja simplificada. O desenho de sua
estrutura lógica de Active Directory, vai evoluir de acordo com o processo de
administração de recursos de rede em sua empresa.

Domínios

Um domínio do Active Directory é um agrupamento lógico de computadores e outros

objetos. Essa é a unidade básica de replicação de informações, segurança e de
administração, ou seja, quando um novo objeto for criado ou alterado, será replicado
para todos os Domain Controllers do domínio no qual esta operação foi realizada. Um
usuário pertencente ao grupo Domain Admins, criado automaticamente durante a
instalação do Active Directory, tem privilégios suficientes para administrar todos os
objetos daquele domínio. A quantidade de objetos que pode ser armazenada em um
domínio do Active Directory é infinita, limitando-se apenas, obviamente, ao Hardware
empregado para a solução.

O método primário de resolução de nomes em uma rede Windows Server 2003 é o DNS
(Domain Name System). Os nomes de domínio no Active Directory devem seguir as
convenções de nomes do DNS e representar a empresa como um todo.

Dica
A Microsoft recomenda que se utilizem domínios com a extensão .local para distinguir
do domínio de Internet, evitando problemas resolução de nomes no futuro. Por exemplo,
ao invés de configurar o domínio de DNS para o Active Directory como mcpbrasil.com,
poderíamos configura-lo para mcpbrasil.local.

Organizational Units

Quando estamos falando de uma estrutura de arquivos, por exemplo, criamos pastas
para auxiliar na administração do conteúdo armazenado em disco, para separar
documentos que tenham similaridade ou relação. As Organizational Units, ou OUs, tem
essa mesma função para o Active Directory, organizar os objetos para simplificar a
administração. Trata-se de um objeto container, ou seja, um objeto criado para conter
outros objetos, como contas de usuários e grupos. A criação de uma estrutura de
Organizational Units é importante também para a delegação de permissões
administrativas e implementação de diretivas de segurança.
Dica
Quando se exclui uma Organizational Unit do Active Directory, todas as informações
contidas no objeto container também são excluídas. Por tanto, se você possuir em seu
ambiente uma OU com 500 objetos do tipo usuário dentro e essa for excluída, os
objetos do tipo usuário também serão excluídos. Cuidado!.

Árvores

Em um ambiente onde a administração de recursos seja descentralizada, podemos ter

múltiplos domínios para as que as questões de segurança sejam implementadas com
mais facilidade. Vamos supor, por exemplo, que a Microsoft Corporation, tivesse um
domínio em Redmond, que fosse utilizado apenas para manter os dados à respeito dos
usuários e recursos de rede da empresa nos Estados Unidos e mantive um outro domínio
para cada uma das suas subsidiárias em outros países. Poderíamos criar uma relação pai
e filho entre esses domínios, fazendo com que o domínio do Brasil, ou o domínio do
Chile, por exemplo, fossem filhos do domínio pai em Redmond. Esse conjunto de
domínios com uma mesma estrutura de nomes é considerada uma Árvore do Active
Directory. Poderíamos imaginar uma estrutura conforme a figura 3.1:

Figura 3.1 – Exemplo de uma Árvore para o domínio microsoft.com

A utilização de múltiplas árvores pode ser necessária para, por exemplo, um
conglomerado de empresas. Suponha, por exmplo, que uma holding irá implementar o
Active Directory e é um grupo industrial. Uma das empresas do grupo fabrica pneus e a
outra fabrica salsichas. Certamente essas duas empresas terão nomes diferentes e
deverão manter múltiplas árvores dentro de sua estrutura.

Florestas

Bem, se uma árvore é um conjunto de um ou mais domínios, uma floresta é um

conjunto de uma ou mais árvores, no sentido mais ecológico possível.Uma floresta
comporta múltiplas Árvores, utilizando, inclusive nomes diferentes.

Figura 3.2 – Exemplo de uma floresta com múltiplas árvores

Relacionamentos de confiança

Em um ambiente com múltiplos domínios se faz necessária a utilização de

relacionamentos de confiança. Um relacionamento de confiança define as regras de
acessos aos recursos de um domínio por usuários de um outro domínio. Por exemplo,
suponha que existam em uma árvore com os domínios DOMAINA e DOMAINB. Para
que os usuários do domínio DOMAINA possam acessar os recursos de DOMAINB,
este deve confiar em seus usuários. Nesse caso, o domínio DOMAINA, aquele cujos
usuários necessitam acessar os recursos, é chamado de domínio confiável e o domínio
DOMAINB, aquele que tem os recursos a serem acessados, é chamado de domínio
confiante.
No Active Directory, os relacionamentos de confiança entre domínios pai e domínios
filho ou subdomínios é gerada automaticamente e tem como características, o fato de ser
bidirecional e transitiva.
Figura 3.3 – Relacionamentos de confiança

Relacionamentos de confiança bidirecionais, indicam que ambos os domínios

participantes do relacionamento de confiança confiam e são confiados pelo outro
domínio. Para entender o relacionamento de confiança transitivo, podemos nos basear
em uma árvore como o da figura 3.4:

Figura 3.4 – Relacionamentos de confiança transitivos

Se o domínio DOMAINA confia em DOMAINB e DOMAINA também confia em

DOMAINC, o domínio DOMAINB confiará em DOMAINC, mesmo que não exista um
relacionamento de confiança direto entre eles.
Podemos criar relacionamentos de confiança com outros domínios que estejam
disponíveis em servidores de uma floresta diferente ou ainda em um domínio no
Microsoft Windows NT 4.0.

Dica
Os relacionamentos de confiança são criados entre domínios e não entre servidores.
Functional Levels

Os Functional Levels de um domínio ou de uma floresta definem o conjunto de sistemas

operacionais que poderão ser executados com funções de Domain Controller. Estes
níveis, também defininem as características do serviço de diretórios que poderão ou não
ser implementadas. Por exemplo, para um domínio funcione no nível de Windows
Server 2003 é necessário que todos os Domain Controllers estejam executando o
Windows Server 2003. Este é o mais alto nível da implementação do Active Directory e
permite a utilização de todas as funcionalidades, como por exemplo, renomear um
domínios.

Delegando permissões no Active Directory

Após instalar o Active Directory, qual usuário tem permissões para criar novas contas
de usuário ou editar contas existentes? Por padrão, os membros dos grupos Domain
Admins e Account Operators.

Em ambientes onde a administração é realizada de maneira centralizada, essa

configuração pode ser eficiente. Uma equipe é responsável pelo administração de
objetos do Active Directory em toda a organização.

Um cenário nos ajudará a compreender esse conceito. Suponha uma empresa seja
constituída por 5 escritórios regionais (Norte, Nordeste, Centro-Oeste, Sudeste e Sul).
Cada região tem múltiplos escritórios de representação.

Cada uma das regiões tem seu grupo de administradores, responsável por configurar
políticas válidas para todas os escritórios de representação. Cada escritório de
representação tem um administrador local, responsável por administrar as contas de
usuários locais.
Essa estrutura toda conta com uma floresta com um único domínio do Active Directory.
Para distribuir a administração nesse domínio, será necessário criar uma estrutura de
Organizational Units e delegar permissões. Para essa estrutura, poderíamos organizar o
Active Directory conforme a ilustração a seguir:

Entra figura
3.5 – Estrutura de Organizational Units
As Organizational Units são objetos container, ou seja, são objetos criados apenas para
conter outros objetos, permitindo uma melhor organização destes.
Podemos delegar permissões a um usuário ou grupo a qualquer objeto no Active
Directory, porém, normalmente realizamos essas operações em Organizational Units,
por ser muito mais simples administrativamente.

Quando delegamos permissões, configuramos o Active Directory, de modo que este

possa ser administrado por um usuário ou grupo que não tenha, necessariamente,
permissões de administrador.

Podemos configurar qual é o nível de permissões que este usuário ou grupo pode ter no
objeto. As permissões vão desde de controle total até tarefas específicas, como alterar as
senhas dos objetos do tipo usuário que estejam dentro de uma OU.

O processo de delegação, consiste basicamente de alterar as permissões para um

determinado objeto. Isso pode ser realizado acessando propriedades do objeto no Active
Directory User and Computers por meio da aba Security. Porém, esse método pode ser
complexo devido a quantidade de configurações de segurança que existem. Essas
configurações de segurança também podem variar de acordo com o objeto a ser
utilizado. Para facilitar essa tarefa, podemos utilizar o Delegation of Control Wizard,
uma ferramenta desenhada especificamente para esse fim. Utilizando o nosso exemplo,
vamos supor que tenhamos que delegar permissões de controle total para os
administradores da região Sul. Poderíamos criar um grupo global chamado
Administradores Região Sul, é seguir os passos do wizard.

Efetuando buscas no Active Directory

Em grandes organizações, a quantidade de objetos no Active Directory pode chegar a

casa do milhares. Colocando esses objetos em diferentes OUs, pode fazer com que o
processo de se encontrar determinado objeto para fazer uma manutenção seja demorado
e ineficiente.

Podemos utilizar o próprio Active Directory Users and Computers para realizar uma
busca pelos objetos que desejamos encontrar.
Para realizar esse procedimento, devemos clicar com o botão direito sobre a
representação de nosso domínio e então selecionar a opção Find.
3.6 – Tela para buscar no Active Directory

Podemos realizar uma busca mais simplificada, ou podemos utilizar as opções

avançadas, que permite buscar objetos pelos mais diversos atributos. Por exemplo, ao
invés de procurar um usuário pelo nome, podemos querer encontrar todos os usuários
que trabalham no departamento de vendas, então utilizaríamos uma busca avançada por
este parâmetro.

Implementando Group Policies

Podemos implementar Group Policies ou GPOs (Group Policy Objects) em nível de

Site, de Domínio ou de Organizational Unit, dependendo do alcance que desejamos que
esta política tenha.

As Group Policies, são um conjunto de configurações que nos permite controlar o

comportamento de nossas estações de trabalho, usuários ou servidores. Podemos
realizar uma configuração uma única vez em uma GPO e esta se aplicará a todas os
objetos.

Podemos, por exemplo, ter a necessidade de impedir que os usuários do departamento

administrativo tenham acesso ao painel de controle em suas estações executando o
Windows XP Professional. Supondo que todos esses usuários estejam em uma
Organizational Unit, podemos criar uma Group Policy com essa configuração e esta
será aplicada a todos os objetos do tipo usuário presentes nessa OU.

Utilizamos o Active Directory Users and Computers, para criar novas diretivas ou para
visualizar e alterar as diretivas existentes. Ao instalar o Active Directory, já temos
algumas diretivas criadas. Uma diretiva chamada Default Domain Policy, aplicada ao
domínio e outra chamada Default Domain Controller Policy, que é aplicada por padrão
a OU Domain Controllers, onde por padrão estão as contas de computador de todos os
Domain Controllers do domínio.

Dica
Não é possível aplicar um Group Policy a objetos do tipo container. Por padrão, os
usuários do sistema são armazenados no container Users. Caso queira aplicar uma
Group Policy a um desses objetos, deverá coloca-los em uma OU.
Para visualizar quais são as diretivas aplicadas a determinada OU ou Domínio, podemos
acessar as suas propriedades e então clicarmos na aba Group policy.

Contas de usuário

Como administrador de um servidor executando o Windows Server 2003, você

necessitará conhecer os tipos de contas de usuários que poderam ser criados em seu
sistema.
Contas de usuário são utilizadas para permitir que as pessoas ou serviços possam
acessar recursos em um computador local ou na rede.

Contas de usuário locais

Todos os computadores executando o Microsoft Windows Server 2003, que não sejam
Domain Controllers, possuem um banco de dados de contas de usuários locais. Usuários
locais são criados para que se conceda acesso a recursos locais de um computador. Em
um ambiente de Workgroup, por exemplo, para que os usuários possam acessar
computadores executando o Windows XP Professional, será necessário que se crie uma
conta de usuário.

A ferramenta utilizada para a criação de contas locais é o Computer Manager, que pode
ser acessada no menu Administrative Tools.

Contas de usuário de domínio

As contas de usuários de domínio são armazenadas no Active Directory e permitem que

um usuário tenha acesso a recursos de toda a rede aos quais ele tenha permissão sem ter
que se autenticar mais de uma única vez. Uma vez criada, a conta é armazenada no
banco de dados de objetos do Active Directory de um Domain Controller e logo é
replicada para os outros Domain Controllers do domínio.

Quando um usuário de domínio efetua logon, um Domain Controller qualquer do

domínio será responsável por autentica-lo, ou seja, identificar se a senha informada para
este usuário está correta, se ele tem permissões para efetuar logon naquele horário e
idenficar quais são os grupos aos quais ele pertence.
A ferramente para a criação e manutenção de contas de usuário de domínio é o Active
Directory Users and Computers. Esta ferramenta se localiza no menu Administrative
Tools.
Built-in User Accounts

Ao instalar o Windows Server 2003, algumas contas de usuário são criadas

automaticamente. Essas contas de a função de permitir que se executem tarefas
administrativas no sistema, como por exemplo, criar outras contas de usuário, ou
administrar determinadas áreas do servidor. Na instalação do primeiro servidor com o
Active Directory, o mesmo ocorre, porém, com contas de domínio.

Uma conta chamada Administrator é criada automaticamente, tanto no domínio, quanto

localmente, e tem direitos administrativos sobre o sistema. A senha dessa conta é
definida durante a instalação do sistema operacional, no caso da conta local ou na
instalação do Active Directory do primeiro Domain Controller do domínio. Esta conta
não pode ser excluída, porém, existe uma recomendação para que seja renomeada, por
questões de segurança.

A conta Guest também é criada automaticamente. Essa conta fica desabilitada por
padrão. Sua função é permitir acesso temporário ao sistema ou a recursos do domínio.
Um exemplo para a utilização desse recurso seria o de um funcionário de uma outra
filial que está visitando a sua empresa e precisa acessar a Internet. Você pode habilitar
essa conta e permitir que o usuário acesse a Internet sem ter que criar uma conta para
ele.

Criando contas de usuário locais

Para criar contas de usuário locais, proceda da seguinte maneira:

1. No Computer Manager, expanda Local Users and Groups

2. Clique com o botão direito sobre Users e selecione a opção New User
3. Preencha as informações solicitadas (Nome de usuario, Nome completo,
descrição)
4. Preencha e confirme a senha do usuário
5. Se for o caso, selecione as opções de conta (se a senha deve ser alterada no
próximo logon, ou se a conta está desabilitada)
6. Clique em Create
Figura 3.7 – Criação de conta de usuário local

Demonstração

Vejamos uma demonstração de como funciona o processo de criação de contas locais de

usuário:

Criando contas de usuário de domínio

Para criar contas de domínio, proceda da seguinte maneira:

1. No Active Directory Users and Computers, clique com o botão direito sobre o
container Users e selecione a opção New User
2. Na janela New User, Preencha as informações solicitadas, como Name, Last
Name, Description e User Name e clique em Next
3. Digite e confirme a senha do usuário e clique em Next
4. Clique em Finish para concluir o processo.

Usando templates de contas de usuário

Templates de contas de usuário são bastante úteis para ambientes onde a rotatividade de
funcionários é grande. Esse processo consiste da configuração de uma conta de usuário
com todas as características necessárias a um determinado tipo de usuários e depois,
simplesmente copiar essa conta no momento da criação do usuário. Por exemplo,
supondo que o departamento de vendas de sua empresa tenha uma grande rotatividade
de funcionários. Todos os usuários do departamento de vendas devem participar do
grupo vendas e devem ter o seu horário de logon configurado entre as 8h e as 17h. Crie
uma conta com essas características e então realize uma cópia quando o próximo
vendedor for contratado. Todos esses parâmetros serão copiados para a nova conta.

Dica
Uma conta de usuário usada como template é um conta normal, com direitos e
permissões de acesso a recursos da rede. Para evitar que essa conta seja utilizada por um
usuário mal intencionado, mantenha essa conta desabilitada.

Automatizando a criação de contas de usuário

Podemos automatizar a criação de contas de usuário por meio de scripts escritos, por
exemplo, em VBScript. O apêndice C traz uma referência a criação de objetos no Active
Directory e ainda, recursos na web que poderão ajuda-lo com esta tarefa.

Perfis de usuário

Em computadores executando o Windows Server 2003, os perfis de usuário podem criar

e manter as configurações de desktop e preferências de configuração de cada usuário.
Este perfil é criado automaticamente na primeira vez que um usuário efetua logon. Uma
das grandes vantagens na utilização de perfis de um usuário é a possibilidade de ter
vários usuários trabalhando em determinado computador, sem que suas configurações
afetem as preferências de outros usuários e vice-versa.

Perfil Local

Um perfil local é armazenado no disco do serviodor, mais precisamente, por padão na

pasta c:\documents and settings\username (onde username é o nome do usuário que
gerou o perfil ao se logar no computador).

Um perfil local é específico ao computador onde foi criado. Caso o usuário queira
manter a mesma configuração em um outro computador, utilizando perfis locais, terá
que reconfigurar as suas preferências.

Perfil Roaming

Um perfil do tipo Roaming estará disponível ao usuário, independente do computador

onde este se logar. Este tipo de perfil, criado pelo administrador, fica armazenado em
um servidor e é descarregado no momento em que o usuário efetua logon. Apesar da
vantagem de manter o desktop e as configurações do usuário independente de onde este
esteja se logando, uma implementação de Roaming Profiles pode gerar tráfego
indesejado na rede, já que os dados que compõe o perfil do usuário devem ser
descarregados do servidor até o computador no qual o usuário está efetuando logon e no
momento do logoff estes devem ser atualizados no servidor.

Perfil Obrigatório

Um perfil obrigatório, é um perfil do tipo Roaming que não pode ser alterado pelo
usuário. Na verdade ele pode ser alterado, mas no momento do logoff, estas alterações
não são salvas. Se, por algum motivo, um usuário não pode acessar a pasta onde seu
perfil obrigatório está na rede, este não poderá efetuar logon.

Perfil temporário

Um perfil temporário é criado cada vez que uma condição de erro impede que um perfil
de usuário seja carregado. No final da sessão do usuário este perfil será excluído e todas
as alterações realizadas neste perfil serão perdidas.

Gerenciar grupos

Para passar no exame 70-290 é importante que você conheça todo o processo de
gerenciamento de grupos locais e de domínio.

Grupos Locais

A função de Domain Controller não está presente, por padrão, em um computador

executando o Windows Server 2003. Neste servidor, são criados alguns grupos para que
se torne possível o processo de administração e o acesso a recursos. Estes grupos são
chamados de Built-in Groups.

Pertencer a um grupo de usuários dá a um usuário direitos e permissões para executar

tarefas específicas naquele computador.Você poderá criar grupos para satisfazer as
necessidades de acesso a recursos em seu ambiente. Por exemplo, você poderá criar um
grupo que tenha acesso a uma pasta compartilhada em seu servidor, definir as devidas
permissões e acrescentar os usuários que tenham acesso a esta informação a este grupo.
Veremos com mais detalhes a implementação de segurança no acesso a recursos no
próximo capítulo.

Grupos de domínio

Para compreender o gerenciamento de grupos em um domínio do Active Directory,

precisamos nos basear em alguns conceitos importantes, como o tipo e escopo de
grupos.

Tipos de grupos

Os tipos de grupo estão relacionados à sua funcionalidade dentro do serviço de diretório

do Windows Server 2003. Existem 2 tipos de grupo: Os Security Groups e os
Distribution Groups. Os Security Groups (Grupos de Segurança) são utilizados para a
implementação de acesso a recursos, já os grupos de distribuição são utilizados para o
envio de mensagens de correio eletrônico por meio de um gerenciador, como por
exemplo o Microsoft Exchange Server.

Quando um usuário efetua logon em um domínio do Windows Server 2003 e tem

participação em grupos de segurança, automaticamente é gerada uma lista contendo
informações à respeito do acesso a recursos por parte deste usuário. Esta lista se chama
DACL (Discretionary Access Control List). Para gerar esta lista, são consumidos
recursos da rede e recursos do servidor.
Seu usuário não precisa utilizar nenhum recurso compartilhado na rede, dê preferência à
utilização de Distribution Groups (Grupos de Distribuição). A participação do usuário
neste tipo de grupo não gera a DACL, e por tanto, faz com que exista um desempenho
melhor no processo de logon do usuário.

Escopos de grupo

Os escopos de grupo estão relacionados à maneira pela qual você vai gerenciar o acesso
aos recursos de seu servidor. Existem três escopos de grupo diferentes: Domain Local
Group, Global Group e Universal Group.

Domain Local Group

Os Domain Local Groups (grupos locais de domínio) são utilizados para dar acesso a
recursos. Por exemplo, suponha que você tenha uma pasta chamada “Docs” em seu
servidor. Você quer dar acesso a esta pasta para todos os usuários do departamento
financeiro. Provavelmente os usuários do departamento financeiro estão em grupo
global. Então você deve criar um grupo domain local, chamado “Docs” por exemplo,
dar as devidas permissões a este grupo e associar os grupo global financeiro a este.

Domain Local Groups podem conter grupos globais, grupos universais e usuários de
qualquer domínio de sua floresta. Um Domain Local Group também pode conter outros
grupos deste mesmo escopo de seu próprio domínio.

Global Groups

Os Global Groups (Grupos Globais) são utilizados para agrupar usuários que possuam
uma afinidade, por exemplo, o país ou estado onde vivem / trabalham, o departamento
em que trabalham, cargo ou função que exercem. O Departamento de Marketing de sua
empresa, por exemplo, concentra uma gama de profissionais que em geral, necessitam
acesso aos mesmos recursos, mesmas impressoras, mesmas pastas compartilhadas no
servidor. Para facilitar a administração destes usuários, é interessante que todos eles
façam parte de um mesmo grupo.

Global Groups podem conter usuários, outros grupos globais (dependendo do nível de
funcionalidade do domínio) e fazer parte de Domain Local Groups em seu próprio
domínio.

Universal Groups (Grupos Universais)

Um grupo Universal é um grupo de distribuição ou segurança que pode ser utilizado em

qualquer lugar da árvore de domínios ou da floresta. Grupos deste escopo podem conter
membros de qualquer domínio de sua floresta. Também podem ser membros de um
grupo Universal, outros grupos universais, grupos globais e contas de usuário de
qualquer domínio. Grupos Universais podem ser membros de qual Domain Local
Group, mas não podem ser membros de grupos globais.

A utilização de grupos universais agrega um melhor desempenho no acesso aos recursos

de seus servidores, pois somente são registrados no Global Catalog Server informações
a respeito do grupos globais que nele estão contidos e não todos os usuários envolvidos.
A possibilidade de se utilizar grupos universais tem dependência do Funcitional Level
de sua floresta.

Group Nesting

O conceito de Group Nesting, consiste de se incluir grupos dentro de outros grupos para
se diminur a quantidade membros existentes ao se conceder uma permissão. Essa
medida pode mehorar o processo administrativo e otimizar o desempenho geral de sua
rede.
Vamos trabalhar com um exemplo para facilitar a compreensão desse conceito.
Suponha que sua empresa tenha 5 filiais (Santiago, Buenos Aires, Caracas, La Paz, Belo
Horizonte) e a matrz (Rio de Janeiro). Sua implementação conta com uma única floresta
e 6 domínios

Cada uma de suas filiais tem um departamento de contas à pagar e um de contas à

receber. Todos os funcionários desses departamentos acessam algumas pastas que estão
compartilhadas em servidores locais. Foram criados grupos globais para reunir usuários
de cada departamento.

Na matriz existe uma pasta compartilhada que deve ser acessada por todos os usuários
da divisão financeira, que é constituída por usuários dos departamentos de contas à
pagar e a receber de todas as filiais e da matriz.

Se você criar um grupo Domain Local e conceder as devidas permissões a esse grupo, e
incluir todos os grupos globais de cada domínio nesse grupo, o grupo terá 10 membros.

Para minimizar a quantidade de membros do grupo Domain Local, podemos utilizar o

conceito de Group Nesting. Podemos criar, por exemplo, um grupo chamado financeiro
em cada domínio e acrescentar os grupos dos departamentos de contas à pagar e contas
a receber neste. Se incluirmos apenas os grupos financeiro de cada um dos domínios no
grupo domain local ao qual o recurso no servidor da matriz está associado, então
reduziremos a quantidade de grupos membros para 5.

Podemos melhorar dimiuir ainda mais a quantidade de membros do grupo domain local.
Podemos, por exemplo, no Domínio Raiz (riodejaneiro.novateceditora.local) criar um
grupo universal chamado divisão financeira e então acrescentar os grupos chamados
financeiro (que incluem os usuários dos departamento de contas à pagar e receber de
cada domínio) e incluir apenas esse grupo na lista de membros do grupo domain local
que está associado ao recurso no servidor da matriz.

Gerenciando e mantendo o acesso a recursos

Em um ambiente de rede com o Windows Server 2003, a correta configuração e

manutenção de acesso a recursos como pastas compartilhadas e impressoras é um dos
pontos fundamentais. Isto se reflete de maneira bastante sensível no exame 70-290.
Estudaremos os seguintes tópicos neste capítulo:

• Configurando permissões de acesso no sistema de arquivos;

• Configurando o acesso a pastas compartilhadas;
 • Combinando permissões NTFS e de pastas compartilhadas.

Configurando permissões de acesso no sistema de arquivos

Ao configurar permissões no sistema de arquivos, você estará determinando a que

pastas e arquivos um usuário ou grupo terá acesso, mesmo que esteja logado
diretamente no servidor. A implementaçao de permissões no sistema de arquivos
somente é possível se a particacao ou volume nos quais os arquivos estiverem
armazenados estiver formatada com o sistema de arquivos NTFS.

Configurando permissões NTFS

O Windows Server 2003, traz um conjunto padrão de permissões que são uma
combinação de tipos específicos de acesso a arquivos e pastas.

As permissões padrão são as seguintes:

Permissão Descrição
Full Control Permite ao usuário controle total sobre a pasta, arquivos e sub-pastas.
Modify Modificar arquivos existentes e criar novos arquivos.
Read & Execute Ler arquivos existentes e executar aplicações.
List Folder Contents Listar o conteúdo da pasta.
Read Ler arquivos existentes na pasta.
Write Criar, excluir e alterar arquivos existentes.

Verificando as permissões efetivas de um usuário

A permissão efetiva de um usuário, se dará pela combinação das permissões indivíduais

configuradas para o usuário e as permissões concedidas a grupos dos quais este usuário
seja um membro. Por exemplo, supondo que uma pasta residente em um volume NTFS
tenha as seguintes permissões configuradas:

Grupo Permissão
Grupo Allow/Full
Administrators Control
Grupo Users Allow/Read
Grupo
Gerentes Allow/Write

Por padrão todos os usuários são membros do grupo Users, isto significa que neste caso,
todos os usuários poderiam ler as informações contidas na pasta. Se um usuário é
gerente e participa do grupo Gerentes, então, ele passará a ter também as permissões
concedidas a este grupo. Em nosso exemplo, o grupo Gerentes tem permissão para
escrever nesta pasta, o que indica que um usuário comum que participa do grupo
Gerentes, terá permissão para acessar esta pasta para leitura e escrita. A permissão
efetiva do usuário é a soma das permissões dos grupos aos quais ele pertence.

Se neste mesmo exemplo, tivessemos ainda um outra permissão especìfica para um

usuário, esta permissão seria somada as permissões existentes aos grupos aos quais ele
pertence. Supondo que tenhamos a seguinte permissão agregado ao quadro anterior:
 Usuário Permissão
Administrator Allow/Read

Por padrão, o usuário Administrator, pertence ao Grupo Administrators e por tanto, já

tinha controle total sobre a pasta, a soma da permissão de leitura, neste caso, não
modifica a permissão configurada anteriormente.
Supondo agora, que queremos que somente umas das gerentes chamada Pedro Alvarez
Cabral (PCabral), tenha necessidade de modificar os arquivos contidos na pasta,
poderiamos agregar a seguinte permissão:

Usuário Permissão
PCabral Allow/Modify

Neste caso teriamos que somar as permissões dos grupos Users e Gerentes, dos quais o
usuário em questão é membro, com as permissões delegadas específicamente para o
usuário. O usuário Pedro Alvarez Cabral (pcabral), teria permissões de Read, Write e
também de Modify.

É possível também, negar explicitamente o acesso a determinada pasta ou arquivo.

Vamos utilizar como exemplo, uma situação onde temos um gerente chamado Alberto
Santos Dumont (ADumont), ao qual não queremos conceder qualquer tipo de acesso a
pasta em questão. Poderiamos implementar a seguinte permissão NTFS:

Usuário Permissão
ADumont Allow/Modify

A implementação de um permissão com Deny vai garantir que este usuário não acesse
os arquivos desta pasta, já que o Deny, se sobrepõe a qualquer outra permissão
configurada no arquivo ou pasta. Detalhando a soma que se faria neste caso, o usuário
ADumont, teria permissão de Read, por petencer ao grupo Users, que seria somada as
permissões concedidas ao grupo Gerentes ao qual este usuário também pertence, e que
neste caso são permissões de Write. Como o usuário tem uma negativa explicita em
qualquer uma permissões que possam ser configuradas na pasta, o usuário terá o seu
acesso negado a pasta.

A herança de permissões minimiza o número de vezes que você precisa configurar as

mesmas. Ao conceder permissões para uma determinada pasta, por padrão as sub-pastas
recebem as mesmas permissões. Por exemplo, vamos supor que você crie uma pasta na
raiz do seu disco rígido: c:\herança. Esta pasta herdará as permissões configuradas para
a raiz do seu disco. Por padrão Everyone\Full-Controll. Continuando em nosso
exemplo, você modifica as permissões para a pasta herança, colocando uma permissão
Administrators\Full-Controll. Ao criar uma sub-pasta chamada, por exemplo,
c:\herança\nova herança, esta pasta receberá as permissões herdadas do objeto que está
imediatamente acima dela na hierarquia de pastas. Portanto terá tanto as permissões
para Everyone quanto para o grupo administrators.

Para quebrar a herança de uma determinada pasta ou arquivo, você deverá desmarcar a
opção que permite a herança do objeto pai, na aba Security das propriedades do objeto.
Figura 4.1 – Check box configurando herança de permissões

Ao desmarcar esta opção você receberá uma mensagem perguntando se você quer
simplesmente remover as permissões herdadas do objeto-pai, ou se quer copiar estas
permissões.

Figura 4.2 – Confirmação da exclusão da configuração de herança

Caso as permissões sejam removidas, serão mantidas somente as permissões

configuradas para o objeto em questão. Se as forem copiadas as mesmas serão mantidas.
Copiando e movendo arquivos.

Ao copiar um arquivo armazenado em uma partição NTFS, este herda as permissões de

destino. Isto se deve ao fato de estarmos criando um novo arquivo ao realizar a cópia.

Se o arquivo for movido para uma pasta dentro da mesma partição NTFS, as permissões
são mantidas. Quando movemos um arquivo para outra partição, o processo realizado é
copiar o arquivo e depois excluí-lo, por este motivo, as permissões serão retidas.

Configurando o acesso a pastas compartilhadas

Pastas compartilhadas permitem que usuários da rede tenham acesso a recursos de

arquivos em seu servidor com o Windows Server 2003. Quando uma pasta é
compartilhada, os usuários podem se conectar a estas e obter acesso aos arquivos que lá
estão contidos, desde de que tenham as devidas permissões.
Pastas podem ser compartilhadas tanto a partir do Windows Explorer quanto da
ferramenta Computer Management.

Acessando uma pasta compartilhada

Para ter acesso acesso a uma pasta compartilhada, um usuario deverá descriminar a sua
localização por meio de um caminho UNC (Universal Naming Convention). Um
caminho UNC é composto do nome do servidor, mais o nome do compartilhamento. O
usuário poderá, por exemplo, utilizar o a seguinte sintaxe no menu Run:

\\servidor\compartilhamento
Onde a palavra deve servidor deverá ser substiuída pelo nome do servidor no qual a
pasta foi compartilhada e o nome do compartilhamento deverá ser inserido no lugar da
palavra compartilhamento. Se por exemplo, um usuário deseja acessar uma pasta
compartilhada que se chama controladoria que se encontra em um servidor chamado
SERVER01, deveria digitar o seguinte comando no menu Run:

\\server01\controladoria

É possível ainda verificar quais são as pastas compartilhadas em um servidor, ou outro

computador qualquer da rede, incluindo na sintaxe do comando, somente a parte
relativa ao servidor. Executando esse comando no menu Run, uma janela deverà se abrir
listando todos os compartilhamentos disponìveis naquele servidor.

Para facilitar a vida dos usuários, é provável que um administrador de um servidor com
o Windows Server 2003, faça mapeamentos de letras de unidade dos computadores
cliente aos compartilhamentos mais utilizados pelos usuários no servidor. Podemos por
exemplo, designar que a pasta compartilhada Users, que contém os documentos
pessoais de cada um dos usuários, seja mapeada para a letra de unidade U:. Desta forma,
o usuàrio poderá ter acesso as suas informações pessoais ao acessar esta letra de
unidade, como se estivesse acessando uma unidade local em seu computador. É possível
ainda mapear compartilhamentos a letras de unidade dos computadores locais por linha
de comando. Isto se torna especialmente importante, quando desejamos automatizar este
processo por meio de scripts de logon por exemplo. Caso eu queira mapear a unidade U:
a pasta users, que se encontra compartilhada no servidor SERVER01, por exemplo,
poderia acrescentar a seguinte linha de comando a meu logon script:

Net use u: \\server01\users

Compartilhamentos especiais

Quando instalado, o Windows Server 2003 cria compartilhamentos especiais, que são
utilizados para propósitos administrativos. Por padrão, são criados compartilhamentos
para cada um dos volumes do servidor. Estes compartilhamentos tem a letra da unidade,
seguido do simbolo $. Um administrador, pode, por exemplo, necessitar acesso ao disco
C de seu servidor desde sua estação na rede para copiar um arquivo. Ele poderia realizar
este procedimento utilizando o seguinte caminho UNC:

\\server01\c$

Além dos volumes, a pasta onde o Windows foi instalado também é compartilhada com
o nome admin$. Este share é bastante útil, já que não obriga o administrador a saber
exatamente em que volume o Windows Server 2003 foi instalado.

O compartilhamento dos volumes e da pasta onde o Windows foi instalado para a rede
pode parecer pouco seguro, porém, por terem o simbolo $ ao final do nome do
compartilhamento, estas pastas não estaram visíveis quando um usuário estiverem
navegando na rede e estiver verificando os recursos do servidor. Além disso, mesmo
que o usuário saiba que servidores Windows compartilham estas pastas especiais,
somente administradores tem acesso a estas pastas. Ainda assim, é possível desabilitar
estes compartilhamentos. Este procedimento deverá ser realizado por meio de diretivas
de segurança. Se você desabilitar o compartilhamento pelo Computer Manager, os
shares apareceram novamente assim que o serviço Server for reiniciado, por exemplo,
no próximo boot do servidor. Também não é possível alterar as permissões para estes
compartilhamentos.

Você pode ainda criar compartilhamentos “escondidos” em seus servidores. Se tratam

de compartilhamentos comuns, que levam o simbolo $ ao final de seu nome. Os
usuários não serão capazes de visualizar estes recursos no ambiente de rede, porém,
caso saibam que o recurso está compartilhado e tenham as devidas permissões, vão
conseguir acessa-lo normalmente.

Gerenciando as permissões de pastas compartilhadas

A quantidade de permissões disponíveis para pastas compartilhadas é bastante inferior a

de permissões NTFS. As permissões de pasta compartilhada em um servidor Windows
Server 2003 são:

• Full control
• Change
• Read

O acesso ao conteùdo de pastas compartilhadas vai variar de acordo com a combinação

destas permissões com as permissões NTFS.

Combinando permissões NTFS e de pasta compartilhada

Para liberar o acesso do usuário a uma pasta ou arquivo na rede, o Windows vai
verificar a combinação das permissões existentes no compartilhamento e das permissões
NTFS que se aplicam. Sempre a permissão mais restritiva será utilizada para garantir ou
não o acesso a um arquivo ou pasta. Por exemplo, se uma pasta que reside em um
volume NTFS é compartilhada com a permissão Read para o grupo users e dentro desta
pasta existe um arquivo, cujas permissões NTFS são Write e Read para este mesmo
grupo. Quando um usuário pertencente ao grupo users tentar acessar esta pasta
localmente, ou seja, logado diretamente no servidor Windows Server 2003, somente se
aplicaram as permissões NTFS. Neste caso, a soma das duas permissões existentes
(Read e Write). Se o usuário tentar acessar esta mesma pasta pela rede, se aplicará a
permissão mais restritiva entre as permissões do compartilhamento e as permissões
NTFS. Neste exemplo, a permissão mais restritiva é Read, o que fará com que o usuário
somente possa ler o arquivo especìficado.

Podem existir situações onde o usuário pertença a mais de um grupo com diferentes
permissões NTFS e de Share. Vamos analisar um exemplo: um gerente de vendas de
sua empresa deseja acessar um arquivo que está em uma pasta compartilhado no
servidor. Temos as seguintes permissões configuradas:

Permissão Permissão
Grupo compartilhamento NTFS
Vendas Read Full Control
Gerentes Modify Full Control
Por ser um gerente de vendas, este funcionário pertence ao grupo Vendas e ao Grupo de
Gerentes. Se levassemos em conta somente o grupo Vendas, e se o usuàrio estivesse se
conectando diretamente ao servidor onde somente se aplicam permissões NTFS, ele
teria acesso completo as pasta em questão, porém, como está acessando o arquivo pela
rede e no compartilhamento sua permissão é apenas de leitura, a permissão mais
restritiva a ser aplicada seria Read. Considerando apenas o grupo Gerentes, temos a
mesma situação para um logon local no servidor, ou seja, a permissão NTFS de Full
Control vai permitir ao usuário controle total sobre a pasta. Ao se conectar pela, a
permissão Modify, mais restririva irá se aplicar. Comparando as permissões mais
restritivas resultante no acesso individual de cada grupo (Grupo vendas - Read, Grupo
Gerentes Modify) e seguindo o mesmo conceito se aplicaria a permissão de leitura, já
que esta é a mais restritiva de todas.

Na prática, você somente deverá se preocupar com permissões de compartilhamento, se

estiver compartilhando pastas que estejam em um volume FAT, já que não existirá
outro tipo de controle possível. Administrativamente, é muito mais simples controlar o
acesso a pastas compartilhando levando em consideração somente as permissões NTFS.
Para alcançar isso, basta que se mantenham as permissões da pasta compartilhada para o
grupo Everyone, com permissão de controle total. Como a permissão mais restritiva é a
que vai se aplicar ao final do processo, você poderá definir as restrições de acesso via
permissões NTFS.

Implementando o terminal services

No exame 70-290, você irá se deparar com muitas questões relacionadas a

implementação do Terminal Services no Microsoft Windows Server 2003. Vamos
estudar as seguintes funcionalidades:

• Introdução ao Terminal Services;

• Licenciamento do Terminal Services;
• Gerenciamento de conexões ao servidor;
• Instalação de programas;
• Remote Administration.

Introdução ao Terminal Services

Em uma implementação de Windows Server 2003 o Role de Terminal Services tem

como principal função, criar um único ponto de instalação de aplicações, permitindo o
acesso de múltiplos usuários. Administradores podem ser aproveitar das
funcionalidades do serviço para administrar de maneira remota seus servidores.
Por meio do Terminal Services, um cliente poderá se conectar a um servidor Windows
2003 e ter acesso a interface deste, mesmo que esteja se conectando por meio de um
sistema operacional mais antigo. O cliente poderá executar, como se estivesse
trabalhando localmente; aplicações que sejam compatíveis.
Este processo é possível devido a utilização do protocolo RDP (Remote Desktop
Protocol) que para o Windows Server 2003 está em sua versão 5.2. Este protocolo,
captura as requisições do cliente e as envia ao servidor. Depois, identifica a resposta do
servidor e atualiza a tela do cliente, como se fossem diferentes imagens da tela do
servidor que são constantemente atualizadas no cliente.
Licenciamento do Terminal Services

Para permitir conexões de usuários ao seu servidor de Terminal Services, será

necessário instalar um pacote de licenças para seu ambiente. Este licenciamento poderá
ser feito por dispositivo ou por usuário, de acordo com as suas necessidades.

O componente que controla o licenciamento é o Terminal Services Licensing. O

processo de instalação deste componente é feita a parte do processo de instalação do TS.
Caso um TS Licensing não esteja disponível, os computadores cliente se conectando ao
servidor, irão obter um licença temporária, que funcionará durante 90 dias. Após este
período, o servidor não poderá atender mais a solicitações de conexão.

Gerenciando conexões a seu servidor TS

Ao instalar o serviço de Terminal, somente usuários que façam parte do grupo de

Adminstradores locais e um chamado Remote Desktop Users poderam se conectar ao
seu servidor de Terminal. Você poderá alterar essa configuração para que as permissões
de acesso se ajustem as suas necessidades.

A definição de quem poderá se conectar ao servidor via TS poderá ser realizada via
Group Policies, com a opção “Allow logon to Terminal Services”. A ferramenta
Terminal Services Configuration, lhe permite granularizar o nível de acesso requerido
por cada grupo de usuários que irá estabelecer a conexão. Você poderá “Ligar e
desligar” o acesso a seu servidor por meio da aba Remote, das propriedades do item My
Computer, conforme ilustração a seguir:
5.1 – Propriedades do meu computador relacionadas a configuração de TS

No Terminal Services configuration, você deverá acessar o item Connections, depois

acessar as propriedades da conexão RDP, e a aba Permissions. As permissões padrão
que podem ser concedidas a um usuários ou grupo são:

• Full Control;
• User Access;
• Guest Access;
• Special Permissions
5.2 – Aba permissions da configuração do RDP

O nível Special Permissions, lhe permite granularizar ainda mais o nível de acesso aos
recursos do servidor TS, permitindo que você controle, por exemplo, se será possível
fazer controle remoto de uma conexão.

A um outro Snap-in utilizado no processo de gerenciamento do TS, que é conhecido

como Terminal Services Manager. Esta ferramenta lhe permite identificar quais
conexões seu servidor está atendendo atualmente e ainda realizar tarefas administrativas
sobre estas conexões, como por exemplo, desconecta-las ou fazer acesso a sessão de um
usuário para fins de suporte.

5.3 – Terminal Services Manager

Instalando programas no Terminal Services

Por meio do TS, usuário poderam executar as aplicações que necessitem desde uma
localização Remota. Isto facilita, por exemplo, a distribuição de aplicações dentro de
uma corporação. Ao invés de instalar a aplicação em cada uma das estações de trabalho,
é possível simplesmente instalar a aplicação no servidor e configurar o acesso do cliente
ao servidor TS.

Para instalar uma aplicação que será executada em um servidor TS, você poderá
escolher um dos seguintes métodos:

• Instalação via Add/Remove Programs: Você não conseguirá fazer a instalação de uma
aplicação somente clicando no executável de instalação. Você deverá utilizar o
Add/Remove Programs, sempre que possível.
• Change User: Este comando será utlizado sempre que você for realizar a instalação de
um componente que não tenha disponibilidade pelo Add/Remove Programs. Por
exemplo, situações onde você tenha que fazer instalações On Demand, como a
instalação de um componente do Internet Explorer. O comando Change User, faz a
troca entre o modo de usuário para instalação ou para execução de programas. Para
modo de usuário de instalação a sintáxe é:change user /install. Para modo de usuário de
execução a sintáxe que se deve utilizar é: change user /execute

• Group Policy: Todo software associado ao usuário em uma GPO, estará disponível no
processo de logon em um servidor de TS, seja esta aplicação publicada ou assinalada
para este usuário. Você poderá criar diretivas que contemplem a instalação dos
softwares necessários em seu servidor TS.
Algumas aplicações podem requerer um script de compatibilidade para poderem
funcionar corretamente. Estes scripts ficam armazenados na pasta
systemroot\Application Compatibility Scripts\Install do servidor TS.
Segurança
O Terminal Services opera em 2 diferentes modos de segurança, que estão diretamente
ligados ao processo de instalação e execução de aplicações:
• Full Security: Este modo provê o ambiente mais seguro para usuários que estejam se
conectando ao servidor TS. Para poderem ser executadas neste modo, as aplicações
devem ser escritas para executarem no contexto de um usuário comum, ou seja, se a
aplicação necessitar de qualquer “poder” administrativo para ser executada
corretamente, não irá funcionar de acordo ao esperado. Este é o modo de segurança
padrão.
• Relaxed Security: Este modo está disponível para manter compatibilidade com
aplicações onde os usuários que as estão executando tem necessidade de alterar chaves
de registry e confgurações do sistema.

Caso o seu servidor TS tenha sido atualizado a partir de uma versão anterior, você o
estará executando em modo Relaxed. Como recomendação, você testar as suas
aplicações em modo Full Security e caso esta aplicação não funcione de acordo, talvez
você deverá modificar o modo para Relaxed. Para alterar a configuração do modo de
segurança, você deverá realizar o seguinte procedimento:

1. No menu Administrative Tools, selecione Terminal Services Configuration;

2. Expanda Server Settings;
3. Clique duas vezes sobre a opção Permission Compatibility e selecione entre as
opções disponíveis (Relaxed ou Full Security)

Remote Administration

A utilização dos serviços de Terminal para administração remota é realizado por meio
do Remote Desktop for Remote Administration. Por meio desta caracteristica do
sistema operacional, você, enquanto administrador do sistema, poderá se conectar e
gerenciar de maneira remota seu servidor. O Remote Desktop for Remote
Administration é apresentado no sistema operacional como um console do Microsoft
Management Console (MMC). Este console também está disponível para
administradores que se utilizem do Microsoft Windows XP para tarefas de
administração de sua rede.

Entra figura
5.5 – Console de administração do Terminal Services

Solucionando problemas de conexão ao Terminal Services

Claro que conhecer o funcionamento do TS é importante, porém, certamente este é o

tópico mais cobrado pelos examinadores no exame 70-290 em relação a configuração de
um servidor TS.

No exame, basicamente, você irá se deparar com contas de usuário que não podem se
conectar ao servidor TS. Verifique as propriedades da conta que são mostradas na tela
na prova e identifique a que grupos o usuário pertence e se tem as devidas permissões
para estabelecer conexão. Verifique também se a quantidade de conexões disponíveis
foi ou não atingida e se há algum problema de conectividade com o servidor.
5.4 - Remote Desktops

Monitorando e otimizando o ambiente

Como administrador de um servidor Windows Server 2003, uma de suas principais

tarefas, é monitorar a carga de trabalho gerada. Este procedimento permite que seu
sistema permaneça sempre com o melhor desempenho possível. No exame 70-290, o
candidato deverá estar preparado para responder a diversas questões sobre estes tópicos:

• Monitorar e otimizar a utilização de recursos do sistema;

• Monitorando eventos do sistema.

Monitorar e otimizar a utilização de recursos do sistema

Para monitorar e o otimzar a utilização de recursos do sistema, podemos utilizar

ferramentas como o Task Manager e o System Monitor.

Utilizando o Task Manager

O Windows task Manager é um aplicativo do Microsoft Windows Server 2003 que
permite que se tenha uma noção das condições de desempenho do computador, além de
identificar cada um dos processos e aplicativos que estão sendo executados atualmente.

Applications

A aba Aplications do Task Manager, mostra todos os aplicativos que estão sendo
executados atualmente no computador executando o Windows Server 2003. Caso um
desses aplicativos apresentem problemas e estiverem com um status indicando falha
(Not Responding), é possível utilizar o botão End Task para encerrar o aplicativo sem
afetar outros processos.

Figura 6.1 – Aba Applications do Task Manager

Processes

Além dos aplicativos que estamos utilizando e interagindo, como por exemplo, um
editor de textos, existem processos que são executados em background, como serviços,
e apesar de não estarmos visualizando uma interface de gerenciamento, ou algo que o
valha, os mesmos estão lá, atendendo a solicitações realizadas por clientes ou processos
específicos do sistema operacional.
Figura 6.2 – Aba Processes do Task Manager

Podemos alterar a prioridade que um processo irá ter em nossa configuração, basta
clicar com o botão direito sobre o processo em questão, e então selecionar a opção Set
Priority. Os níveis de prioridade disponíveis são os seguintes:

• Real Time;
• High;
• Above Normal;
• Normal;
• BelowNormal;
• Low.

Alterar as prioridades de um processo que está sendo executado em seu servidor

Windows Server 2003 poderá fazer com que o mesmo seja executado mais rapidamente
ou mais lentamente. Se você der uma prioridade muito alta a um determinado processo,
este poderá travar todos os outros processos que estão sendo executados.

Performance

Essa área do Task Manager permite uma visualização geral do desempenho do

computador que executa o Windows Server 2003. A partir dessa tela, podemos
identificar detalhes da utilização de memória e processador. Esta certamente não é a
melhor ferramenta para se medir o desempenho de seu computador. Para esta tarefa,
podemos utilizar o Performance Console, que será abordado mais tarde.
Figura 6.3 – Aba Performance do Task Manager

Networking

Podemos obter o percentual de utilização das conexões de rede do computador por meio
dessa aba. Essa medição é interessante quando há a necessidade de solucionar
problemas de desempenho no acesso a recursos de rede.
Figura 6.4 – Aba Networking do Task Manager

Utilizando o System Monitor

Outra ferramenta que pode ser utilizada para a otimização de performance é o System
Monitor. Esta ferramenta permitirá que se obtenha informações a respeito dos
processadores, discos, memória e atividade de rede de seu computador e outros
computadores da rede. Você poderá verificar os dados apresentados em tempo real, ou
analisar informações previamente coletadas.

As informações do System Monitor, poderão ser visualizadas em modo gráfico, em

modo de histograma, ou em modo de relatório. Você pode exportar estes dados para o
padrão HTML e visualizar estas informações a partir de um browser, como por
exemplo, o Microsoft Internet Explorer.
Figura 6.5 - System Monitor em modo gráfico

O processo de monitoramento de seu sistema com o System Monitor, é realizado por

meio da utilização de 3 componentes básicos: Objects, Instances e Counters.
• Objects (Objetos): Os objetos, no System Monitor, representam os Subsistemas que
compõe o seu sistema. Por exemplo, para mensurar qualquer característica do
processador de seu computador, você deverá utilizar o Objeto Processor.
• Instances (Instâncias): Quando o objeto a ser medido possui mais de uma unidade,
você poderá selecionar qual a instância do mesmo deverá ser medida. Por exemplo,
suponha que você possua 2 discos rígidos instalados em seu computador e queira
realizar medições apenas no primeiro. Neste caso, você deverá selecionar somente a
instância correspondente a este disco.
• Counters (Contadores): Cada objeto tem contadores específicos, que vão permitir a
medição de características de seu sistema. Por exemplo, o objeto que referência a
memória RAM de seu computador, tem contadores que permitem examinar, a
quantidade de memória utilizada, outro para a memória em paginação, e outro para a
memória disponível.
Para adicionar os contadores que devem ser medidos em seu servidor, proceda da
seguinte maneira:
• Clique em Start, vá até Programs, selecione Administrative Tools, e então acesse o
programa Performance. Um gráfico em branco do System Monitor aparecerá.
• Clique com o botão direito na página de detalhes do System Monitor, e então
selecione a opção Add Counters.
• Selecione o objeto que deseja realizar a medição.
• Selecione os contadores disponíveis para este objeto.
• Clique em Add.
• Clique em OK para fechar esta janela.
Depois de adicionar os contadores, você poderá observar as informações coletadas para
analisar as mesmas. Você pode observar as informações em tempo real de 3 maneiras
diferentes:
• Histogram (Histograma): Este método de visualização mostra as informações em
barras de gráfico. O histograma, facilita a visualização de medições com múltiplos
contadores.
• Report (Relatório): Os dados numéricos dos contadores são mostrados em colunas.
Esta visualização é muito útil para coletar dados a serem exportados para uma planilha
eletrônica do Microsoft Excel, por exemplo.
• Chart (Gráfico): O modo de visualização em gráfico, permite uma visualização de
dados em tempo real, ou dados que foram coletados durante um determinado período.
Você pode ainda personalizar a exibição dos dados coletados. Clique com o botão
direito no painel de detalhes do System Monitor e acesse suas propriedades.
Identificando gargalos de memória
Pouca memória pode causar a diminuição do desempenho dos aplicativos que estiverem
rodando no servidor. Os seguintes contadores podem ser utilizados para análise da carga
de utilização de memória sofrida pelo seu servidor:
• Pages/sec (páginas por segundo): Quando algum aplicativo solicita memória ao
sistema operacional, esta será concedida, mesmo que não exista mais memória física
disponível. Para isto, o sistema operacional escreve os dados em disco, ou seja, faz a
paginação. Quando houver uma grande quantidade de paginação, os seus discos podem
ser afetados, tornando o sistema mais lento. O contador Pages/Sec, mede a quantidade
de páginas de memória que foram escritas em disco, por segundo.
• Available Bytes (Bytes Disponíveis): Este contador indica a quantidade de memória
física disponível em seu sistema. Quanto mais alta a sua medição, melhor.

Em relação à memória, também devem ser levados em conta o(s) arquivo(s) de

paginação. O arquivo de paginação (pagefile.sys), por padrão, reside na raiz da partição
onde o sistema operacional reside. Neste arquivo são gravadas as informações de
paginação de memória. É recomendável que este arquivo tenha um tamanho de pelo
menos 1,5 vezes o tamanho de sua memória física. Portanto, se você tiver utilizando
256 MB RAM em seu servidor, deverá ter um arquivo de paginação de pelo menos 384
MB.

Para alterar as configurações do seu arquivo de paginação você deverá acessar a aba
Advanced, das propriedades de sistema que pode ser alcançado através do ícone
System, no Control Panel. Selecione a opção Performance Options e então o botão
Change para poder alterar o tamanho do arquivo de paginação.

Para obter um melhor desempenho, você deve distribuir o seu arquivo de paginação
através de discos, preferencialmente que não contenham o sistema operacional
instalado, já que este fato faria com que os dois concorram por acesso a disco reduzindo
assim o desempenho de maneira geral.

Entra figura
Figura 6.6 – Tela de configuração do arquivo de paginação

Utilizando o Performance Logs and Alerts

O Windows Server pode executar determinada ação baseando nas condições de

desempenho do sistema. Você pode desejar, por exemplo, que o sistema envie uma
mensagem de rede (NET SEND), caso a quantidade de espaço em disco esteja abaixo de
10%. Podemos também, fazer com que o sistema seja monitorado durante determinado
intervalo de tempo, sem que seja necessário a interatividade de um usuário. Ambas
funções são realizadas pelo Performance Logs and Alerts. Essa ferramenta também
resido no menu Performance (Performance Console. no menu Administrative Tools.

Entra figura
Figura 6.7 – Performance Logs and Alerts

Configurando logs de desempenho

Para configurar logs de desempenho, você deverá proceder da seguinte maneira:

• No Performance Console, selecione Performance Logs and Alerts;

• Clique com o botão direito sobre a opção Counter Logs e selecione a opção New
Counter Logs;
• Na tela New Log Settings, crie um nome para sua configuração de log e clique em
OK. A tela de configuração dos logs será apresentada;
• Na aba General, adicione os contadores que deseja medir. Configure nessa tela
também, qual o intervalo que deseja que o sistema colete informações de desempenho;
• Você poderá configurar o tipo de arquivo de log que deseja que seja gerado. As opções
vão desde um arquivo texto até um banco de dados do SQL Server. A opção-padrão é
Binary Files (Arquios Binários). A escolha que você fizer determinará o quanto de
espaço em disco será utilizado para os seus logs. Para nosso exemplo, vamos manter a
opção-padrão (Binary Files);

• Clique no botão configure para identificar a localização dos arquivos. A pasta-padrão

para armazenamento é “c:\perflogs”. Caso essa pasta não exista em seu sistema, esta
será criada. Selecione também o nome do arquivo de log. Você poderá limitar o
tamanho do arquivo. Isto impedirá que o arquivo de log encha o seu disco rígido. Esse
procedimento deverá ser realizado na aba Log Files;
• Na aba Schedule, configure quando você deseja que o log seja iniciado e concluído.

Entra figura
Figura 6.8 – Aba General da criação de um log

Entra figura
Figura 6.9 – Aba Log Files da criação de um log
Entra figura
Figura 6.10 – Opções de configuração do arquivo de log (botão configure)

Entra figura
Figura 6.11 – Aba Log Schedule da criação de um log

Para criar um alerta, o procedimento é similar:

• No Perfomance Logs And Alerts, clique com o botão direito sobre Alerts e então
selecione a opção New Alert Settings;
• Na janela New Alert Settings, selecione um nome para seu alerta;
• Na aba General, você deverá selecionar os contadores que deseja monitorar e
configurar qual é o intervalo de valores que devem disparar o alerta. Por exemplo, se
você deseja disparar um alerta caso o espaço em disco fique abaixo de 10%, selecione o
objeto de desempenho LogicalDisk, o contador %Free Space. Configure a opção “Alert
when the value is” para Under e coloque o valor de 10%. Configure o intervalo de
tempo entre as amostras de desempenho.
• Na aba Action, configure o que o alerta deverá fazer caso seja disparado. Você pode
fazer com que o alerta envie uma mensagem de rede, inicie uma medição de
desempenho por meio dos logs ou execute um programa.
• Configure na aba Schedule, quando o sistema deve iniciar e parar a coleta de dados
para este alerta.

Entra figura
Figura 6.12 – Aba General da criação de um alerta

Entra figura
Figura 6.13 – Aba Action da criação de um alerta

Entra figura
Figura 6.14 – Aba Schedule da criação de um Alerta

Alterando a inicialização de aplicações para otimizar o desempenho

Alterar as propriedades de inicialização de uma aplicação, pode ser benéfico no

gerenciamento do desempenho de um servidor. Se uma aplicação tem uma prioridade
muito alta, o desempenho geral do servidor pode ser afetado, impedindo que outras
aplicações funcionem corretamente.

O comando Start pode ser utilizado em um arquivo de lote (.bat ou .cmd) para alterar a
inicialização no momento da execução.

A sintaxe para a utilização do comando Start é a seguinte:

Start /[opções]

As opções disponíveis são as seguintes:

• Low: Inicia uma aplicação no modo de prioridade IDLE, ou seja, o processador irá dar
prioridade para esta aplicação, somente quando não estiver sendo utilizado com outros
processos.
• BelowNormal: Prioridade intermediária entre IDLE e Normal.
• Normal: Inicia uma aplicação no modo de prioridade Normal. Quando a aplicação
tiver necessidade irá solicitar recursos ao computador.
• AboveNormal: Prioridade intermediária entre Normal e High.
• High: Inicia uma aplicação com alta prioridade. Esta configuração irá forçar o
computador a disponibilizar recursos para a aplicação.
Aplicações de 16-Bit, são executadas no mesmo espaço de memória. Caso uma das
aplicações venha a falhar, as demais também não funcionaram corretamente.
Para iniciar uma aplicação de 16-Bit em um espaço de memória separado, para
solucionar problemas, podemos também utilizar o comando Start com as seguintes
opções:

• Sepaterated: Inicia uma aplicação 16-Bit em um espaço de memória separado.

• Shared: Inicia uma aplicação 16-Bit em um espaço de memória compartilhado.

Podemos também utilizar a opção Run on a Separeted Memory Space, no menu Run, do
menu iniciar.

Interpretando dados de desempenho

Durante o exame você serão apresentados contadores e valores e você deverá definir
qual é o gargalo do sistema. Os valores podem ser simplesmente descritos, ou podem
aparecer a aba Performance do Task Manager e o System Monitor. Para que você possa
identificar mais facilmente qual é o problema de desempenho do sistema, procure
memorizar esta tabela de valores aceitáveis para os principais contadores:

Processor

Contador Consideração
%Processor Time Valores acima de 80% representam um gargalo. Este contador indica
o tempo que o processador está ocupado.
%User Time Pode ser utilizado em conjunto com o %Processor Time para maior
detalhamento. Indica o volumes de requisições de clientes ao processador. Um valor
sustentado próximo a 100% pode indicar um gargalo de processador.
Memory
Contador Consideração
Pages/Sec Indica a quantidade de páginas de dados que são escritas em disco devido a
falta de memória física. Valores constantemente acima de 20 representam um gargalo.
Available Bytes Esse contador e suas variantes (Available Kbytes e Available MBytes),
mostra a quantidade de memória disponível no sistema, por tanto, quanto mais alto este
contador estiver, melhor. Se em sua medição você tiver valores constantes na casa do
4MB, isso pode representar um gargalo.
LogicalDisk
Contador Consideração
%Free Space Quanto menos espaço em disco você tiver, menor será o desempenho
geral de seu sistema. Este contador permite que você verifique o percentual de espaço
em disco disponível. Isso pode ser feito em cada uma das partições que você tiver.
PhysicalDisk
Contador Consideração
Disk Reads e Disk Writes Esses contadores representam a quantidade leituras e
gravações realizadas em disco.
Avg. Disk Queue Length Representa a media de solicitações de leitura e gravação que
foram colocados em fila para o disco selecionado. Um valor constantemente alto, pode
indicar um gargalo.
%Disk Time Indica o percentual de tempo que o disco selecionado estava ocupado
atendendo a solicitações.

Dica
Sempre que você encontrar um valor alto para qualquer um dos contadores de disco,
observe o contador Memory – Pages/Sec. O processo de paginação realiza um grande
número de leituras e gravações em disco.

Network Interface

Contador Consideração
Bytes Total/Sec Representa a taxa de transmissão em Bytes por segundo para a interface
de rede selecionada. Um valor alto pode significar que essa estação está executando
uma aplicação que faz um grande número de acessos a rede ou está sendo acessada por
outros computadores da rede, o que pode ser o gargalo.

Monitorando eventos do sistema

Event Viewer

O Windows Server 2003, armazena informações de status, mensagens de erro e avisos

do sistema operacional e aplicações no Event Log. Estas informações podem ser muito
úteis na resolução de problemas.

Para ler as informações do Event Log, utilizamos o Event Viewer, uma ferramenta que
além de permitir acesso as informações logadas no sistema, tem uma interface bastante
simples, que permite a utilização de filtros, facilitando o processo administrativo.

Os logs de eventos armazenados no Event Viewer são divididos em 3 categorias:

• System Logs: Armazena eventos relacionados ao sistema operacional.

• Security Logs: Armazena eventos relacionados a auditoria do sistema.
• Application Logs: Armazena informações relacionadas a aplicações instaladas no
Windows Server 2003. Se implementarmos, por exemplo, o Microsoft SQL Server 2000
em um servidor, os eventos gerados por este aplicativo poderão ser visualizados nesta
categoria.

Entra figura
Figura 6.15 – Interface do Event Viewer

Temos 3 tipos de eventos que podem ser apresentados no Event Viewer:

• Information: Este não é um tipo de evento crítico, que requeira qualquer intervenção
do administrador. Estes eventos são gerados apenas para que seja possíveis verificar
funcionamento adequado de componentes do servidor. Quando o serviço DHCP é
inicializado, por exemplo, o mesmo escreve um evento no event log do Windows com
esta informação.
• Warning: Este tipo evento representa que um problema ocorreu em um servidor, mas o
mesmo não requer uma intervenção imediata do administrador pois nenhum serviço
essencial deixou de funcionar corretamente. É importante investigarmos as causas dos
Warnings no Event Viewer para evitarmos que problemas maiores ocorram no futuro.
• Error: Quando temos uma linha no Event Viewer que com a indicação do tipo Error,
temos um problema que requer uma intervenção imediata do administrador. Quando
iniciamos um computador executando o Microsoft Windows Server 2003 e recebemos
uma mensagem dizendo que pelo menos um serviço não foi inicializado corretamente,
podemos recorrer ao Event Viewer e procurar por eventos deste tipo para identificar o
que ocorreu.

Cada evento gerado no pelo sistema no Event Log, possui um identificador, o Event ID.
Este número pode ser utilizado para pesquisas no Knowledge Base da Microsoft, onde
podemos saber o que gerou o erro e como podemos solucionar o problema.

Podemos importar e exportar logs do Event Viewer, isto facilita a apuração de

problemas que possam estar ocorrendo em um servidor. Geralmente, quando
recorremos ao serviços de suporte da Microsoft (PSS), uma das primeiras solicitações
dos engenheiros de sistema da Microsoft é justamente o log de eventos. (para maiores
informações sobre os serviços de suporte da Microsoft, acesse
http://www.microsoft.com/brasil/suporte).

Os formatos nos quais podemos exportar logs no Event Viewer são os seguintes:

• Event Log Format (.evt): Este formato permite que as informações exportadas sejam
visualizadas em um outro computador exatamente da mesma maneira que elas são
apresentadas no momento em que são geradas, incluindo o Event ID e descrição do
problema. Estes arquivos tem um tamanho maior.
• Text File Format (.txt): Quando exportamos para o formato texto, temos um arquivo
pequeno e fácil de gerenciar. Este formato é ideal para armazenarmos informações de
tendência de utilização de recursos em nosso ambiente, já que as informações do
arquivo são resumidas.
• Comma Separated Values (.csv): O formato CSV, armazena os eventos do Event Log
de maneira que possamos importa-los para um banco de dados. Arquivos neste formato
também podem ser visualizados no Microsoft Excel.

Para exportar eventos gerados no Event Log do Windows Server 2003, proceda da
seguinte maneira:

• Abra o Event Viewer no menu de ferramentas administrativas do Microsoft Windows

Server 2003 Server.
• Clique com o botão direito sobre o log que deseja exportar e então selecione a opção
Save log as...
• Ma caixa de salvar arquivo que é apresentada, selecione a pasta onde deseja armazenar
o arquivo, o nome do arquivo e o formato e clique em salvar.
Os procedimentos para importar um arquivo de log salvo anteriormente estão descritos
a seguir:
• Abra o Event Viewer no menu de ferramentas administrativas do Microsoft Windows
Server 2003 Server.
• Clique com o botão direito sobre o item Event Viewer (Local) e selecione a opção
Open Log File.
• Na caixa abrir arquivo que é apresentada, selecione o arquivo que deseja importar e
então selecione o tipo de log que será aberto (System, Security ou Application).

Cada log tem na configuração padrão um tamanho máximo de 512k, o que pode não ser
suficiente para armazenar eventos durante períodos mais longos. Nas propriedades do
log, podemos aumentar este tamanho para que nossas necessidades de armazenamento
sejam satisfeitas. Neste mesma tela, podemos configurar qual será o comportamento do
Event Log, quando o arquivo de Log chegar ao tamanho máximo configurado.

Entra figura
Figura 6.16 – Propriedades de um Log de Eventos dentro do Event Viewer.

Gerenciando a infraestrutura de atualização de software

Após o lançamento de um produto, a Microsoft continua trabalhando no mesmos para

adicionar novas características e corrigir possível falhas que possam comprometer a
segurança do ambiente.

Estas atualizações são disponibilizadas de forma gratuita a qualquer usuário. O processo

de distribuição destas atualizações dentro de um ambiente com o Windows Server 2003
é uma tarefa que deve ser realizada com muita cautela pelo administrador.

Para entender as possibilidades de distribuição de atualização de software em um

ambiente Windows Server 2003, vamos estudar os seguintes tópicos neste capítulo:

• Microsoft Windows Update;

• Software Update Services

Microsoft Windows Update

Se você deseja fazer a implementação das atualizações disponibilizadas pela Microsoft

em um único computador, talvez, o Windows Update seja a melhor solução.

O processo é bastante simples. Desde o computador para o qual se deseja aplicar as

atualizações, um usuário com permissões de administração se conecta ao site
http://windowsupdate.microsoft.com (ou acessa o atalho que está disponível no menu
Start). A página irá fazer uma varredura no sistema para identificar quais são as
atualizações disponíveis para o sistema operacional que ainda não estão instaladas. Isso
inclui Service Packs e outras atualizações críticas Depois deste processo, o sistema
indicará quais atualizações estão disponíveis.

Para instalar as atualizações, você deverá selecionar a opção Install Updates. O processo
de download e instalação das atualizações irá começar automaticamente.
Existem atualizações que deveram ser instaladas em separado, por exemplo, os service
pack normalmente são instalados em separado e depois as demais atualizações podem
ser realizadas, simplesmente regressando ao site do Windows Update.
As atualização do Windows Update para um computador com o Windows Server 2003
estão dividas em 3 categorias:

• Critical updates and Service Packs;

• Windows Server 2003 Family;
• Driver Updates

O site permite ainda que você visualize um histórico das instalações realizadas e visite o
Windows Update Catalog.

Windows Update Catalog

O Windows Update Catalog permite que você encontre atualizações disponíveis para
diversos sistemas operacionais Microsoft. Você poderá baixar as atualizações que tenha
necessidade e depois implementa-las em servidores e estações de trabalho, conforme
sua disponibilidade.

Software Update Services (SUS)

O Microsoft Update Services permite aos administradores de ambientes com o

Windows Server 2003 realizarem a distribuição de atualizações críticas a servidores
baseados em Windows Server 2003 ou Windows 2000 e a estações de trabalho que
estejam executando o Windows 2000 Professional e o Windows XP Professional.

A implementação do SUS faz com as atualizações disponíveis para os sistemas

operacionais disponíveis na empresa sejam armazenados de forma centralizada. Isto
otimiza o processo de atualização das estações de trabalho em seu ambiente, já que não
é necessário que cada estação de trabalho se conecte ao site do Windows Update e
realize downloads dos arquivos necessários.

Instalando o SUS no Windows Server 2003

O primeiro passo na instalação do SUS é o download da versão mais atualizada no site

da Microsoft. Você pode ir diretamente a http://www.microsoft.com/sus. A versão mais
atual disponível enquanto este manual estava sendo escrito era a SP1 (5.4.3630.2552).

A administração do SUS deve ser feita a partir de uma página Web de administração,
por tanto, o IIS é um requerimento no servidor onde o SUS estará instalado.

Os passos para a instalação são os seguintes:

1. Execute o arquivo Sus10sp1.exe (o nome do arquivo pode mudar de acordo com a

versão que você estiver instalando);
2. Clique Next na tela de boas vindas;
3. Leia e aceita o contrato de licença de usuário final e clique em Next;
4. Escolha o tipo de instalação. Em nosso caso vamos selecionar a opção Typical;
5. Tome nota da URL que é mostrada. Esta URL será utilizada para conexão dos
clientes.
6. Clique em Finish.
Dica
Se você não selecionar a opção Typical, poderá configurar a maoria das opções
disponíveis na área de configuração do SUS.

Configuando o SUS

Para acessar a interface de administração do SUS, você deverá utilizar o seu web
browser e se direcionar para a URL http://nomedoservidor/susadm (você deverá
substituir o nomedoservidor pelo nome de netbios de seu servidor). Ao clicar em Set
Options, você poderá configurar o seguinte:

• Select a Proxy Server Configuration: permite que você identifique se seu

servidor deverá buscar os updates disponíveis passando ou não por um servidor
Proxy. Caso você selecione a opção use a proxy server, você poderá configurar o
servidor para utilizar as configurações padrão do Internet Explorer ou
especificar o proxy.
• Specify the name your clients use to locate this update server: Você poderá
alterar o nome para um fqdn caso os clientes não possam acessar o servidor via
nome de NetBios.
• Select how you want to handle new versions of previously approved updates:
Você pode selecionar se deseja aprovar os updates antes de sua instalação ou se
estes podem ser instalados de forma automática após seu download.
• Select where you want to store updates: Nesta opção você poderá configurar o
servidor para armazenar os updates em uma pasta local ou permtir que os
computadores cliente façam acesso direto ao Windows Update. Nesta segunda
opção, a única vantagem da implementação do SUS é a possibilidade de
escolher quais updates podem ser instalados ou não.
• Synchronize instalation packages only for this locales: permite escolher quais os
idiomas nos quais os arquivos de atualização serão baixados.

Sincronizando o servidor

Depois de configurar o servidor de acordo as suas necessidades, você deverá sincroniza-

lo com o servidor do Windows Update. Você poderá fazer uma sincronização manual
ou então agendar para que a atualização ocorra um dia e horário específico.

Dica
Configure o servidor para fazer os updates em horários onde a quantidade de usuários
conectados a rede seja menor. Desta maneira, você irá otimizar a utilização do tráfego
de rede em seu ambiente.

Aprovando updates

O item Aprove Updates irá mostrar uma lista das atualizações que foram baixadas para
seu servidor e irá permitir que você as aprove, simplesmente clicando no botão
Approve.
Instalando o cliente

O Windows XP e o Windows 2000 Server (a partir do service pack 3) tem um cliente de

updates automáticos instalado. Além das caracteristicas existentes neste cliente, o
cliente do SUS permite:

• Suporte para o download de conteúdo autorizado do servidor SUS;

• Suporte para agendamento da instalação de conteúdo;
• Todas as opções de instalação são configuráveis utilizando o Group Policy
Object Editor ou editando o registry.
• Suporte a instalação de updates em computadores onde o usuário logado
atualmente não é um administrador.

O cliente está disponível para a instalação em um pacote MSI separado, o que permite a
aplicação de uma GPO para sua instalação.

Implementando e gerenciando um Servidor Web

O Internet Information Server (IIS) em sua versão 6.0 é parte integrante do Windows
Server 2003, apesar de não ser instalado na configuração padrão do sistema operacional.
O IIS permite que seu servidor com o Windows Server 2003 possa ser utilizado para a
pubilicação de Web sites e sites FTP. Esse serviço é necessário para a implementação
de outros produtos da Microsoft, como por exemplo, o Microsoft Exchange (2000 e
2003), Project Server e Sharepoint Portal Server. Para efeitos do exame 70-290, vamos
estudar os seguintes pontos da implementação de um servidor Web com o Windows
Server 2003:

• Administração do IIS
• Configurando um Web Site;
• Publicando Multiplos Web Sites;

Conforme mencionando anteriormente, a instalação padrão do Windows Server 2003,

não traz o IIS. Para que este serviço seja instalado, é necessário que o papel de Web
Server seja adicionado ao sistema operacional.

O processo de adição do papel de servidor Web ao sistema operacional pode ser

realizado por meio do Manage your server Wizard. Você também poderá realizar a
instalação por meio do item Add/Remove Programs no Control Panel.

Você poderá configurar o IIS para receber conexões utilizando os protocolos HTTP,
FTP, SMTP e NNTP.

Administração do IIS

Para administrar o IIS, você deverá utilizar o Snap-in Internet Information Services.
Essa ferramenta poderá ser utilizada para administração remota do servidor, já que está
incluída nas ferramentas de administração do Windows Server 2003.
Caso tenha necessidade de administrar um servidor IIS desde um computador cliente,
que esteja executando, por exemplo, o Windows XP Professional, você poderá instalar
as ferramentas de administração, apenas executando o arquivo adminpack.msi, que está
localizado tanto no CD de instalação do Windows 2003, quanto na pasta %systemroot
%/system32.

É possível ainda, utilizar scripts de administração para realizar tarefas, como criar e
modificar Web sites. Estes scripts são baseados em Windows Management
Instrumentation (WMI) ou em Active Directory Interfaces (ADSI).

Configurando um Web Site

Quando instalado, o IIS cria automaticamente um Web site chamado Default Web Site.
Este é um site de exemplo, mas, você poderá configura-lo para armazenar as
configurações de seu Web site.

As propriedades de um Web Site configurado no IIS, permitem que realizemos

diferentes configurações para adequar o servidor web as nossas necessidades. A seguir,
vamos verificar as principais configurações que podem ser realizadas.

Web Site

Nesta área, poderemos configurar as opções de endereçamento IP, porta e host header
do web site. Entraremos em maiores detalhes sobre a configuração da identificação do
web site, mais adiante neste capítulo.

Outra configuração importante desta aba, é a possibilidade de identificar como e onde o

IIS fazer logar informações de acesso a este website. Estes logs de acesso permitem que
o administrador do IIS gere estatísticas de acesso o Website, com informações como a
quantidade de hits recebidos pelo site e quais sãos os principais web browsers que
fazem acesso ao site. Por padrão, os logs são armazenados em %system root
%/System32/logfiles. Existem 3 tipos de logs:

• W3C Extended Log file format (Padrão);

• Microsoft IIS Log File format;
• NCSA Common log file format;
• ODBC Logging (permite que você armazene os dados estatísticos em um banco
de dados que possa ser acessado via ODBC, como por exemplo, o Microsoft
SQL Server)-

Home Directory

Aqui definimos onde as páginas que compõe o web site estão armazenadas. É possível
manter as páginas localmente, em uma pasta compartilhada na rede, ou redirecionar
todas as requisições realizadas para uma outra URL. A pasta padrão para o Default Web
site é c:/inetpub/wwwroot.
Esta aba também mantém a área de permissões de acesso ao web site. Estas permissões
se combinam com permissões NTFS para negar ou garantir acesso ao web site. As
opções de que demovos configurar são:
 • Script Source Access
• Read
• Write

Directory Browsing

È importante observar que o Directory Browsing vai permitir ao visitante do site a

visualização do conteúdo das pastas que compõe o site no caso de uma pàgina padrão
não existir.Além destas configurações, esta pasta também permite ao administrador
configurar o comportamento das aplicações que estão sendo executadas no Web site.

Directory Security

Nesta aba você irá configurar como os usuários que se irão se conectar ao web site, vão
realizar o processo de autenticação com o servidor. Temos 5 métodos de autenticação:

• Anonymous: se a opção Enable Anonymous Access estiver habilitada, usuários

poderão se conectar ao Web site se a necessidade de se autenticar. O usuário que
será utilizado para este acesso está configurado nesta mesma área. Por padrão,
um usuário chamado IUSR_COMPUTERNAME (onde COMPUTERNAME é o
nome de Netbios do servidor) é criado automaticamente quando o IIS é instalado
para se encarregar deste trabalho.
• Integrated Windows Authentication: quando um usuário estiver tentando acessar
uma página ou pasta na qual o usuário configurado para conexões anonimas não
tiver acesso, o IIS irá requerer autenticação do usuário. Se este método estiver
habilitado, o IIS irá tentar autenticar utilizando o usuário logado atualmente.
• Digest Authentication: este método de authenticação funciona somente com
contas do Active Directory. Uma das vantagens deste tipo de autenticação é que
ela funciona normalmente quando se está utilizando um servidor proxy para a
conexão.
• Basic Authentication: a autenticação básica envia os dados de senha em clear
text, sem nenhum tipo de criptografia. Isso faz com que o site seja compatível
com qualquer browser e não somente com o Internet Explorer. É recomendável
que somente se habilite este tipo de autenticação sob uma conexão SSL para
garantir a segurança na transmissão de senhas.
• .Net Passport authentication: é um método de autenticação baseado em Web,
usando a conta do .Net Passport (a mesma que você normalmente utiliza para
autenticar-se com o MSN Messenger)

É importante ter em mente que o conceito de Host Header funciona somente com web
sites. Se você deseja manter mais de um FTP site em um único servidor IIS, deverá
utilizar as outras opções para distinguir um site do outro: Trocar a porta (não
recomendável) ou agregar um novo endereço IP ao servidor Web.

Master Properties

Podem existir situações onde, você queira realizar uma configuração que será padrão
para todos os Web sites ou FTP sites de seu servidor. Você poderá otimizar esta tarefa
utilizando as Master Properties. Quando um item é configurado nas Master Properties
todos os sites do servidor receberam esta nova configuração. Novos sites tem seus itens
configurados de acordo com as Master Properties.

Configurando Múltiplos Web Sites

O conceito do Host Header

Não é possìvel manter em um mesmo servidor, mais de uma aplicação utilizando o

mesmo endereço IP e a mesma porta, ou seja, se temos apenas um endereço IP
configurado no Windows Server 2003, a ùnica maneira de fazer a publicação de um
segundo Web site, seria alterando a porta padrão para o serviço HTTP (porta 80), o que
seria pouco pràtico, já que todos os Web Browsers, quando acionados para abrir uma
URL, buscam por padrão a porta 80.

O conceito de Host Header, permite que um administrador de um servidor IIS, tenha

uma terceira possibilidade para distinguir um web site que está sendo publicado, além
da porta e do endereço IP. Com o IIS, é possível distinguir este web site, pela URL que
o usuário indica no momento de acessar a página.

O processo é bastante simples. Em cada um dos web sites configurados, devemos

discriminar qual é a URL pela qual este Web Site deve responder. O IIS vai ler o header
do pacote que foi encaminhado pelo Web Browser até o servidor web. A partir do
HTTP 1.1, este pacote contèm a URL digitada pelo usuário. O sistema operacional vai
receber este pacote, encaminhar para o IIS e este vai identificar qual é o Web site que
deverá ser acionado. Por exemplo, suponhamos que o site da Microsoft e o
MCPBrasil.com estejam configurados como Web sites em um mesmo servidor IIS. No
site da Microsoft, devemos configurar o IIS para atender requisições que cheguem a
este servidor e que estejam destinadas para http://www.microsoft.com, ao passo que no
web site definido para o MCPBrasil.com, devemos configura-lo de maneira que
somente atenda requisições para http://www.mcpbrasil.com. Caso não configuremos o
Host Header dos web sites, o segundo site não poderá ser iniciado.

Podemos configurar o host header de um web site durante a sua criação, mas se
desejamos configurar esta opção posteriormente, devemos seguir estes passos:

1. Abra o Internet Information Services(IIS) Manager por meio do menu Administrative

Tools;
2. Expanda Web Sites e acesse as propriedades do weh site que você deseja configurar,
3. Na guia Web Site, clique no botão Adavanced..;
4. A tela Advanced Web Site Identification será aberta. Clique em Add…;
5. Selecione o endereço IP, digite o número da porta, e então escreva a URL que deverá
ser atendida por este web site;
6. Clique em OK para fechar todas as propriedades.

Dica
Você deverá configurar o DNS de maneira apropriada, para que a resolução dos nomes
do múltiplos web sites configurados em um servidor IIS sejam mapeados para o mesmo
endereço IP.
Gerenciando e implementando proteção contra desastres

Um dos pontos mais importantes no exame 70-290 é o processo de manutenção e

restauraução de cópias de segurança em servidores executando o Windows 2003. Isso
não é para menos, dada a importância que a informação tem para as empresas nos dias
atuais. Neste capítulo, vamos estudar os seguintes pontos:

• Implementando o ASR;
• Implementando o Volume Shadow Copy;
• Executando o Utilitário de backup do Windows Server 2003;
• Realizando um processo de recovery para um servidor.

Restaurando dados de um volume Shadow Copy

O Volume Shadow Copy realiza backups periódicos dos dados contidos em uma pasta
compartilhada. Estes backups permitem que um cliente com o Windows XP ou sistema
operacional superior possam recuperar versões mais antigas de documentos. Esta
caracterìstica do Windows Server 2003, vai ajuda-lo, principalmente naquelas situações
onde um usuário altera um arquivo para poder gerar um novo, acaba se equivocando e
pressionado o Save ao invés do Save as e assim sobrescrevendo o conteúdo do arquivo
original.

Esta característica do sistema operacional somente disponível em volumes NTFS e deve

ser configurada por volume. Isto significa que se o servidor tem 3 partições NTFS ( por
exemplo, H, P e J), você, enquando administrador, deverá realizar o processo de
configuração em cada uma das unidades. Vejamos uma demonstração de como
configurar o Volume Shadow Copy:

O tamanho padrão desta configuração é de 300MB e uma agenda que cria Shadow
Copies todos os dias úteis da semana duas vezes por dia (as 7h e as 12h).

Você poderá excluir cópias mais antigas e ainda desabilitar novas cópias na mesma aba
das propriedades do volume NTFS em questão.

Para que um cliente possa ter acesso a versões anteriores de documentos que estejam
disponíveis em pastas compartilhadas, será necessário instalar o cliente para Volume
Shadow Copy. O arquivo de instalação está disponìvel na pasta %Systemroot
%/System32/Clients/twclient. Em um computador com o cliente instalado em um
Windows XP ou Windows Server 2003, será adicionada as propriedades do arquivo
dentro da pasta compartilhada uma aba chamada Previous Versions. Nesta aba o usuário
poderá selecionar a versão anterior e decidir se quer substitiuir a versão atual ou apenas
copiar a versão mais antiga para uma outra pasta.

Gerenciando procedimentos de backup

Para poder recuperar um servidor de falhas, é necessário que você enquanto

administrador de um servidor executando o Windows Server 2003, tenha formada um
estratégia de backup e restore. Para estas contigências, é necessário que você leve
alguns pontos em consideração:
 • Que tipo de backup realizar;
• De que informações devo realizar backup;
• Qual é a periodicidade desta cópia de segurança;
• Quem deve ter acesso a essas informações de backup;
• Como restaurar informações no caso de perda de dados;
• Como restaurar informações no caso problemas de hardware com o servidor.

Tipos de backup

O tipo de backup que iremos realizar irá determinar quanto tempo um backup demorará
para ser realizado e quanto tempo o acesso a estes dados irá demorar para ser
reestabelecido no caso de uma falha.

Antes de começarmos a descrever cada um dos tipos de backup, é importante que

entendamos a função do atributo A (archive) de um arquivo. Este atributo indica se o
arquivo foi ou não guardado em um cópia de segurança. Quando criamos um novo
arquivo, este tem o atributo A automáticamente configurado, já que supostamente o
arquivo não tem nenhuma cópia de segurança.

Dependendo do tipo de backup que estamos realizando, este atributo será desmarcado,
indicando que não é necessário que seja guardado na próxima cópia de segurança. Se o
arquivo for modificado, o atributo será automaticamente marcado novamente pelo
sistema, o que indica que o arquivo foi alterado e necessita ser guardado em uma cópia
de segurança de novo. A diferença entre os tipos de backup está baseado praticamente
em desmarcar ou não este atributo do arquivo.

Temos 5 tipos de backups que podem figurar em sua estratégia:

• Backup Normal ou Full;

• Backup Incremental;
• Backup diferencial;
• Copia;
• Diário;

O backup Normal é a base para sua estratégia. Seja qual for a combinação de tipos de
backup que você pretende realizar, você deverá obrigatóriamente realizar um backup do
tipo Normal. Este tipo de backup copia todos os arquivos selecionados e desmarca o
atributo A de cada um deles, indicando que uma cópia de segurança dos mesmos foi
realizada.

Se a quantidade de dados em seu backup não for muito grande, talvez valha a pena
incluir somente backups completos em seu ambiente. Isto irá otimizar o processo de
restauração dos dados. Mas se você tem uma quantidade de dados muito grande, talvez
seja necessário escolher entre combinar este backup Normal com backups Incrementais
ou Backups diferenciais.

Os backups incrementais, irão copiar somente arquivos cujo atributo A tenha sido
desmarcado depois do último backup normal, e depois de copiar cada arquivo, irá
desmarcar este atributo novamente. Isto fará com que o processo de backup dos
arquivos seja rápido, já que, basicamente o que será copiado no backup serão as
modificações existentes. Você pode criar uma estratégia de backup que tenha um
backup normal as segundas-feiras, por exemplo, e backups incrementais nos demais
dias úteis da semana.

Backups diferenciais, também tem como base um backup normal. A diferença entre este
tipo de backup e um backup diferencial, é que os arquivos que tenham sido modificados
desde o último backup serão copiados normalmente, porém o atributo de arquivo não
será modificado. Isto significa que se um arquivo for modificado todos os dias, será
copiado todos os dias por seu backup diferencial. Sua estratégia pode contemplar a
utilização de um backup normal as segunda-feiras, por exemplo, e backups diferenciais
nos demais dias da semana.

Analisando estas duas estratégias de backup, se nota que teremos uma velocidade de
backup muito maior ao escolher a combinação de backups normais com backups
incrementais, o que se utilizado como único parametro para decisão poderia excluir a
possibilidade da utilização de backups diferenciais, porém, para a corporação em sí, o
parametro mais importante não seja o tempo que o backup demore para ser executado e
sim o tempo que este demora para ser restaurado, já que os usuários estarão dependendo
deste restore para seguirem trabalhando.

Inicializando o sistema em modo de segurança

O safe mode boot (boot em modo de segurança. dá ao Administrador de um computador

executando o Microsoft Windows Server 2003 mais flexibilidade para solucionar
problemas em computador que não esteja inicializando corretamente.

Ao pressionar F8, no momento da inicialização do sistema operacional, o menu

Advanced Startup Options é apresentado com as seguintes opções:

• Safe mode: esta opção incializa o sistema operacional, carregando somente os

drivers básicos para o funcionamento do computador, como teclado, mouse e
vídeo.
• Safe mode with networking: similar ao safe mode, porém, também carrega os
drivers básicos para conectividade de rede.
• Safe mode with command prompt: ao término da carga dos drivers básicos,
como acontece com o safe mode, o sistema operacional é inicializado, porém, o
prompt de comando (cmd.exe), é utilizado como Shell, ao invés do Windows
Explorer (explorer.exe)
• Enable Boot Logging: a opção gera um arquivo chamado ntbtlog.txt na pasta de
instalação do Windows Server 2003, que armazena informações a respeito de
todos os drivers carregados pelo sistema operacional.
• Enable VGA Mode: esta opção é interessantes para solucionar problemas de
configuração de vídeo, por exemplo, uma resolução muito alta. O sistema é
iniciado em modo VGA.
• Last Know Good Configuration: esta é a configuração utilizada pelo sistema
operacional na última operação de inicialização bem sucedida. Tenha em mente
que o sistema considera o processo de inicialização completo somente após o
logon de um usuário, por tanto, se você executar o logon, utilizando uma
configuração com problemas, esta será conhecida como a última configuração
válida.
 • Directory Services Restore Mode: esta opção é válida somente para
computadores executando o Windows Server 2003 e atuando como um Domain
Controller e é necessária para algumas tarefas de manutenção, como por
exemplo, para restaurar um backup do Active Directory.
• Debugging Mode: utilizando esta opção, podemos conectar o computador com
problemas de inicialização através de um cabo serial na porta COM2 e
identificar problemas no processo de boot.
• Start Windows Normally: Esta opção sai do modo de segurança e coloca carrega
o sistema operacional normalmente.

Quando inicializamos o computador utilizando qualquer uma das opções Safe mode
(with command prompt ou with networking), o sistema irá carregar somente os drivers
de dispositivos indispensáveis.

Utilizando o Recovery Console

Você pode se utilizar do Recovery Console, quando um computador não pode ser
inicializado e você não consegue inicializar este computador em modo de segurança
(safe mode boot). Utilizando uma conta de usuário e senha, você conseguirá acessar os
arquivos de sistema do Windows Server 2003, executar algumas ferramentas de
diagnóstico e ter acesso limitado ao Registry para habilitar ou desabilitar serviços. O
acesso a arquivos independe do sistema de arquivos, que pode ser qualquer um dos
suportados pelo Windows Server 2003 (NTFS, FAT e FAT32).

Você poderá acessar o Recovery Efetuando Boot com o CD de instalação do Windows

Server 2003 para isso, proceda da seguinte maneira:

1. Inicie o computador com o disco do Windows Server 2003 e siga as instruções

na tela.
2. Quando a tela Welcome to Setup, for mostrada, selecione R para reparar uma
instalação do Windows Server 2003 existente.
3. Ao serem listadas as opções de recuperação para o Windows Server 2003,
pressione C para selecionar o Windows Server 2003 Recovery Console.
4. A próxima tela mostra todos os sistemas operacionais instalados, selecione a
instalação de sistema operacional que você deseja recuperar.
5. Digite a senha do administrator e pressione Enter.
6. Uma tela de prompt de comando será apresentada na pasta de instalação do
Windows Server 2003.

Depois deste procedimento, é possível, executar ferramentas como o Chkdsk, para

verificar ou solucionar problemas em um disco, copiar arquivos de um CD ou disquete
para substituir um arquivo corrompido, parar e iniciar serviços para retornar seu
computador a um estado em que o mesmo possa ser inicializado novamente.

É prudente manter o Recovery Console instalado no computador (nem sempre temos

um disco de instalação do Windows Server 2003 em mãos). Para instalar o Recovery
Console, você deverá executar o arquivo winnt32.exe, que está localizado no diretório
I386 do CD de instalação do Windows Server 2003, com a opção /cmdcons. Este
procedimento irá copiar aproximadamente 7 MB de arquivos para o seu disco local, e
criará uma nova opção no menu apresentando os sistemas operacionais instalados
atualmente no computador no momento da inicialização do sistema.

Opções de Startup e Recovery

Quando um sistema que executa o Windows Server 2003 encontra um erro fatal, que
impede que ele continue funcionando normalmente, toma uma série de medidas para
manter sua integridade. Uma delas é exibir uma mensagem de parada (stop message),
que se trata daquela tela azul, tão temida pelos administradores. Outra ação é jogar todo
o conteúdo da memória para um arquivo que poderá ser analisado posteriormente. Esse
processo é chamado de Memory Dump.
Você pode alterar o comportamento do Windows 2003 em relação a falhas em dois
aspectos. Se você deseja ou não que o sistema seja reiniciado após o Memory Dump e
qual é o tamanho do arquivo que irá receber o conteúdo da memória.

Por padrão o Windows Server 2003 é reiniciado após uma mensagem de parada. Essa
estratégia pode ser interessante, caso se tratar de um problema que acontece de maneira
esporádica. Para realizar essas configurações, você deverá realizar o seguinte
procedimento:

1. No control panel, acesse o applet System;

2. Selecione a aba Advanced e clique no botão Settings;
3. Na área System Failure, você poderá alterar as seguintes opções, que estão
selecionadas por padrão:
o Write an event to the event viewer: Faz com que seja criada uma
mensagem de event no System Event Log do Windows, que pode ser
visualizado pelo Event Viewer.
o Send Administrative Alert: Envia um alerta ao administrador para
informa-lo do evento.
Automatically Restart: Faz com que o sistema seja reiniciado após o
Memory Dump.

4. Clique em OK.

Na mesma janela, você pode definir as opções do arquivo de Dump. Por padrão, os
arquivos gerados por um Dump são mantidos com o menor tamanho possível pelo
Windows. São arquivos de 64K chamados de Mini-Dumps que são armazenados na
pasta %SystemRoot%\minidump, onde %SystemRoot% representa a pasta onde o
Windows Server 2003 foi instalado.
Você pode configurar o sistema para utilizar dois outros métodos de armazenamento
das informações de Dump: Kernel Memory Dump e Complete Memory Dump.

• Kernel Memory Dump: Esse método, inclui a memória alocada ao modo Kernel
do sistema, onde ocorrem a maioria do erros. Essa é uma opção interessante, já
que espaço de memória não alocado no momento da falha, não são armazenados
no arquivo.
 • Complete Memory Dump: Essa opção salva todo o conteúdo da memória para o
arquivo de dump, incluindo espaço não alocado em memória. Isso significa que
se sua estação possuir 512MB de RAM, será gerado um arquivo com o mesmo
tamanho em seu disco rígido no caso de uma falha do sistema.

Ainda na janela Startup and Recovery, temos as opções de inicialização do sistema.

Podemos definir nessas opções, a lista de sistemas operacionais que irão aparecer
quando um computador com Dual Boot for inicializado. Podemos definir, por exemplo,
qual é o sistema operacional padrão do sistema, que será inicializado automaticamente
caso não haja nenhum tipo de interferência, e também, quanto tempo a lista ficará
aparecendo e aguardando uma intervenção do usuário.
Quando uma alteração é realizado nas opções de inicialização do sistema, essas
informações são armazenadas em um arquivo chamado boot.ini, que reside na partição
de boot do sistema. Quando o sistema é inicializado, esse arquivo é lido para determinar
qual é o sistema operacional a ser inicializado. Caso não exista um arquivo boot.ini, o
sistema operacional selecionado será aquele instalado na primeira partição do primeiro
disco.
Vejamos o formato de um arquivo boot.ini:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2003
Standard Edition" /fastdetect

A sessão Boot Loader, contém a configuração timeout, que indica quanto tempo à lista
com os sistemas operacionais será exibida. O valor padrão é de 30 segundos, mas
podemos alterar esse valor editando diretamente o boot.ini, ou por meio das
configurações de inicialização do sistema, no applet System do Control Panel. Outra
configuração presente na sessão Boot Loader é a default, que indica o caminho ARC
padrão do sistema. Caso não exista nenhuma intervenção do usuário durante a
inicialização do computador este sistema operacional será inicializado.

Na sessão operating systems, do boot.ini, temos o caminho ARC para todos os sistemas
operacionais instalados no computador e ainda a descrição.
Um caminho ARC (Advanced RISC), dá a posição exata da instalação do sistema
operacional instalado, indicando o tipo de disco, o disco, a partição e o diretório onde os
arquivos de inicialização do sistema operacional podem ser encontrados. Em nosso
arquivo de exemplo, temos uma instalação do sistema operacional Windows Server
2003, instalado em um disco IDE de número 0, na partição 1, sendo o sistema
operacional padrão do computador.

Dica
Discos começam a ser contados do 0, enquanto partições começam a ser contadas do 1.

Uma configuração incorreta do boot.ini ou a falta do mesmo, pode gerar problemas de

inicialização. Se o caminho ARC para o sistema operacional estiver incorreto, você
pode receber a seguinte mensagem de erro:
"Windows Server 2003 could not start because the following file is missing or corrupt:
<winntroot>/system32/ntoskrnl.exe. Please re-install a copy of the above file."
Esse erro pode ser causado por uma alteração no números da partições. Para nos
recuperarmos desta situação, podemos utilizar o Recovery Console.

Implementando o Automated System Recovery (ASR)

O ASR deve ser utilizado como um último recurso no processo de recuperação de um

servidor. Antes de tentar restaurar seu servidor utilizando o ASR, você deverá tentar
outras alternativas, como acessar o servidor em Safe Mode ou utilizar o Last Know
Good Configuration.
Esta opção de recuperação está dividida em 2 partes: o ASR Backup e o ASR Restore.
A ferramenta de backup do Windows Server 2003 permite que você faça o ASR
Backup.

O Wizard do ASR Backup, faz uma cópia do System State Data, Serviços do sistema e
todos os discos relacionados com componentes do sistema operacional. Este processo
ainda cria um disquete que contém as informações a respeito do próprio Backup e das
configurações de disco.
O processo de restore é iniciado pressionando a tecla F2 durante a parte texto do setup.
O ASR irá ler o disquete e restaurar as assinaturas dos discos, volumes e partições nos
discos requeridos para iniciar o sistema. Depois disto, o ASR faz uma instalação
simples do Windows e restaura o backup criado anteriormente.

Dica
O ASR não faz cópia de segurança de nenhum arquivo de dados de usuário. Você
deverá fazer um backup em separado dos dados por meio da ferramenta de backup do
Windows Server 2003.