Escolar Documentos
Profissional Documentos
Cultura Documentos
Ca pít u lo 1
I n t r odu çã o a o
W indow s Se r ve r 2 0 0 3
Be m - vin do à n ova fa m ília de Se r vidor e s da M icr osoft !
D u r a n t e e st e cu r so v ocê a pr e n de r á sobr e a s n ova s t e cn ologia s 2 0 0 3 e com o a plicá - la s.
As novas caract er íst icas do Windows Serv er 2003 fazem com que ele sej a, at é o m om ent o, o sist em a operacional
m ais est ável, robust o, escalável e principalm ent e m ais preparado para m elhorar o desem penho e os serviços de
servidor es que execut am diferent es funções: Aplicat ivos, Serviços da Web, Serviços de Dir et ór io, Serv iços de Arquivos
e I m pr essão e Serviços de I nfra- est rut ura. A ot im ização de t odas essas caract eríst icas, sem dúvida, t am bém faz da
fam ília Windows Server 2003 a plat afor m a m ais recom endável para as em presas, reduzindo de form a not ável
aspect os com o o TCO ( Cust o t ot al de propriedade) .
Um pou co de h ist ór ia
Desde o lançam ent o dos sist em as operacionais de r edes, passando pelo Window s NT, os sist em as foram se
aperfeiçoando à m edida que foram surgindo novas necessidades nas em presas. Desde as conhecidas diferenças
int roduzidas pelo Windows 2000 ao seu ant ecessor, o Windows NT 4.0, nós agora conseguim os chegar a um sist em a
operacional ideal para at ender às ex igências do m ercado de inform át ica, onde j á foram im plem ent ados grandes
aprim oram ent os em r elação ao seu ant ecessor, o Window s 2000.
O Windows Server 2003 baseia- se nas experiências do m ercado consum idor de inform át ica e, por isso, encont ram os
nele diversos recur sos que procurávam os, sem pre nos pergunt ando: é possív el fazer isso? .... e aquilo? Essas
pergunt as que ficavam sem r espost as a par t ir de agora podem ser at endidas com o Windows Server 2003.
Nest e m ódulo, farem os um a int rodução das novas caract eríst icas e funcionalidades da fam ília de serv idores Window s
Server 2003. Ao finalizar est e capít ulo, você deverá t er os conhecim ent os necessários para ident ificar funcionalidades,
caract eríst icas e requisit os dos difer ent es sist em as operacionais dessa fam ília.
1 .1 . Re cu pe r a çã o Au t om á t ica do Sist e m a
Essa nova ferr am ent a perm it e recuperar o est ado ant er ior do sist em a operacional. Com o funciona? Ela ut iliza
um disquet e com inform ações sobre a configuração e um conj unt o de back up. Par a iniciar o processo de
recuperação, você precisa t er esse disquet e, o conj unt o de backup da part ição do sist em a e o CD- ROM de
inst alação do Windows Serv er 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 2 |
Para esse processo, é preciso t er o disquet e e a m ídia de ASR que cont ém os arquivos de backup. O sist em a
operacional será rest aurado para o m esm o est ado em que est ava no m om ent o do Backup da ASR, perm it indo
a inicialização do seu sist em a.
Para criar um conj unt o de ASR, v isit e o seguint e link no TechNet ( inglês) :
ht t p: / / www .m icrosoft .com / r esources/ docum ent at ion/ WindowsServ/ 2003/ st andard/ proddocs/ en-
us/ Default .asp?url= / r esour ces/ docum ent at ion/ WindowsServ/ 2003/ st andard/ proddocs/ en-
us/ r ecovery_aut om at ic_sr .asp
N ot a : Durant e o processo de Rest auração, a Part ição do Sist em a será for m at ada elim inando t odos os dados, e
o backup será rest aurado ao seu local de or igem . Todos os arquivos m odificados após o m om ent o do backup
serão perdidos.
Cenário com duas localizações: um Cont rolador de Dom ínio na localidade A e a necessidade de inst alar um
Cont rolador de Dom ínio na localidade B. A princípio isso não ser ia um pr oblem a, m as se a rede WAN que une
os dois pont os for de 64 Kbps e o diret ório inicial cont iver 20.000 ou m ais obj et os, surge um a dificuldade: o
t em po necessário para a duplicação inicial, som ado ao fat o de que, dur ant e esse processo, obv iam ent e não
será possível usar a conexão norm alm ent e. Solução: no Windows Server 2003, pode- se inst alar o Cont rolador
de Dom ínio da localidade B a part ir de um Backup do Cont rolador exist ent e na localidade A. Esse processo será
descr it o det alhadam ent e no Capít ulo 4.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 3 |
Esse novo ser viço aj uda a r ecuperar arquivos excluídos por engano. Para isso, o ser viço de Cópia de Som bra
salva v ersões ant er iores dos arquivos para recuperação post er ior, elim inando a necessidade de recorrer a
rest auração do backup. Com o funciona? Ele ut iliza um cache em disco para o arm azenam ent o de v ersões de
arquivos, que podem ser recuperadas quando necessária a part ir dessa cópia.
Se quiser obt er m ais inform ações sobr e esse assunt o, recom endam os que você consult e o seguint e link do
TechNet ( inglês) :
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-
us/topnode_snapshot.asp?frame=true
A nova funcionalidade EFS no Windows Server 2003 perm it e cr ipt ogr afar o sist em a de arquivos de form a
segura e t am bém possibilit a que os out ros usuários t enham acesso a esses arquivos. Essa função é m uit o
im por t ant e porque, m uit o em bora em div ersas ocasiões sej a necessário prot eger det er m inados arquivos,
t am bém é m uit o im por t ant e poder com par t ilhá- los ent re os usuár ios. O sist em a de cr ipt ografia que ut iliza o
EFS é um a com binação de dois m ét odos, de cript ografia assim ét r ica e PKI ( Public Key I nfrast ruct ur e) , pont os
que serão explicados det alhadam ent e no capít ulo 8 " Segurança" .
1 .5 . Re ve r sã o de D r ive r
Esse é um novo ut ilit ár io para gerenciam ent o de versões em dr ivers de disposit ivos e perm it e volt ar à versão
ant er ior do dr iver se o novo causar problem as. Tam bém foram incluídos aprim oram ent os na verificação do
funcionam ent o dos drivers com a nova versão do " Driver Verifier V2" e firm war e de drivers.
Se quiser obt er m ais inform ações sobr e esse assunt o, recom endam os que você consult e o seguint e link do
TechNet ( I nglês) :
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 4 |
ht t p: / / www .m icrosoft .com / r esources/ docum ent at ion/ WindowsServ/ 2003/ st andard/ proddocs/ en-
us/ devm gr_reinst all_old_driv er.asp?fram e= t rue
1 .6 . Act ive D ir e ct or y
AD M T ve r sã o 2 .0
Agora ficou fácil m igrar par a o Act ive Dir ect ory ut ilizando os aprim or am ent os da Act ive Dir ect ory Migrat ion
Tool ( ADMT) . A ADMT 2.0 perm it e m igrar senhas do Microsoft Window s NT® 4.0 para o Windows 2000 e o
Windows Serv er 2003, ou do Windows 2000 para dom ínios do Window s Server 2003.
Re n om e a çã o de D om ín ios
Esse é o suport e para m odificar nom es do Dom ain Nam e Syst em ( DNS) e/ ou do Net BI OS de dom ínios
exist ent es em um a florest a conservando t oda a est rut ura do Diret ório. Em cenár ios de r eest rut uração de
dom ínios, ele proporciona um a grande flexibilidade.
Esqu e m a
A flexibilidade do Act ive Dir ect ory agora perm it e a desat ivação de at ribut os e a definição de classes no
esquem a do Act ive Direct ory . Tam bém foi adicionada um a nova funcionalidade que perm it e excluir o esquem a.
D ir e t iva de Gr upo
Junt o com o Window s Server 2003, a Microsoft lançou um a ferram ent a para adm inist ração de GPOs, o Group
Policy Managem ent Console ( GPMC) , que perm it e adm inist rar m últ iplos dom ínios, at iv ar e desat ivar diret ivas e
arrast ar e solt ar nas ferram ent as. Tam bém inclui a funcionalidade de Backup, Rest auração e cópia de diret ivas
e fornece um a ferram ent a de Relat órios para analisar a ut ilização das dir et ivas. Você observará
aprim oram ent os expressivos nas diret ivas e m uit as novas opções de configuração para adm inist ração
cent ralizada.
O Window s Server 2003 t am bém t raz aprim oram ent os significat ivos no gerenciam ent o das r elações de
confiança ent r e florest as. O recur so " Au t e n t ica çã o e n t r e Flor e st a s" perm it e que um usuár io da florest a
acesse de form a segura os recursos em out ras florest as, ut ilizando Kerberos ou NTLM, sem sacr ificar os
benefícios do " Single sing- on" e facilit ando a adm inist ração. Ele t am bém per m it e selecionar facilm ent e
usuár ios e gr upos para incluí- los em gr upos locais de out r as florest as, m ant endo a segurança e os SI D de cada
obj et o, m esm o em florest as diferent es.
At ravés dessas diret ivas, é possível prot eger os am bient es de produt os de soft ware não aut orizados,
especificando quais soft w ares não est ão aut orizados. Tam bém é possível est abelecer exceções criando regras
específicas.
D u plica çã o de m e m br os n os gr u pos
Ant er iorm ent e os m em bros de um grupo eram um at ribut o desse grupo, port ant o, quando durant e a
replicação o grupo era m odificado nos dois Cont rolador es de Dom ínio diferent es, o result ado era a duplicação
da últ im a m odificação. Port ant o, se fossem acrescent ados dois usuários aos grupos, um não era adicionado,
m as havia um a lim it ação em relação à quant idade de usuários por grupo ( Lim it ação de at ribut o) , no m áxim o
5000. A part ir do Windows Server 2003, cada usuário do grupo passou a ser um at ribut o diferent e, o que
elim ina a lim it ação de 5000 usuár ios e soluciona os problem as de duplicação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 5 |
Ge r e n cia m e n t o de Sit e s
O gerenciam ent o de sit es inclui um novo algorit m o do Gerador de Topologia ent r e Sit es ( I STG) , aum ent ando a
lim it ação do núm ero m áxim o de sit es de 500 para 5000 sit es ( com provado em laborat ór io 3000) .
N ot a : Todas essas caract er íst icas são explicadas em m ais det alhes no Capít ulo 4 " Act ive Dir ect ory" .
O Cont rolador de Event os é um a nova ferram ent a que perm it e reunir para análises fut uras os m ot ivos pelo
qual um Servidor foi reiniciado, parado ou desligado por falt a de energia. Nest e caso, a fer ram ent a
pergunt ará, no prim eiro login, o m ot ivo das falhas para r egist rá- lo.
Se quiser obt er m ais inform ações sobr e esse assunt o, recom endam os que você consult e o seguint e link do
TechNet ( inglês) :
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 6 |
ht t p: / / www .m icrosoft .com / r esources/ docum ent at ion/ WindowsServ/ 2003/ st andard/ proddocs/ en-
us/ sag_RI S_Default _t opnode.asp?fram e= t r ue
Est e com ponent e do sist em a operacional sofreu m odificações significat ivas com relação à versão ant erior que
est ão det alhadas a seguir :
O I I S 6.0 isola os sit es da Web e aplicat ivos em unidades cham adas " Classes de Aplicat ivos” . As Classes de
Aplicat ivos fornecem um a form a convenient e de adm inist rar os sit es na Web e aplicat ivos, e aum ent am a
confiabilidade, j á que erros em um a Classe de Aplicat ivos não provocam erros em out ras classes ou falhas no
servidor .
H e a lt h M onit or
O I I S 6.0 verifica periodicam ent e o st at us das Classes de Aplicat ivos r einiciando- as aut om at icam ent e em caso
de falhas nos sit es da Web ou em aplicat ivos nessa Classe de Aplicat iv os, aum ent ando a disponibilidade. Ele
t am bém prot ege o servidor e out ros aplicat ivos, desabilit ando aut om at icam ent e sit es na Web e aplicat ivos, se
falharem em um cur t o per íodo de t em po.
O Window s Server 2003 int roduz um novo driver k ernel, prot ocolo HTTP ( HTTP.sy s) , m elhorando o
desem penho e a escalabilidade. Esse driv er foi desenv olvido especificam ent e para m elhorar o t em po de
respost a do Servidor da Web.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 7 |
O I I S 6.0 oferece int egração com o ASP.NET, o Microsoft .NET Fram ework e os Serviços da Web em XML,
t ornando- se a plat afor m a especialm ent e proj et ada para aplicações .Net .
Se gu r a n ça
O I I S 6.0 é " Lock e d- dow n se r ve r By de fa ult " , em out ras palavras, est á prot egido na sua inst alação,
exigindo que o adm inist rador habilit e as funções especiais e necessár ias para ex ecut ar o sit e na Web. Sem
isso, ele só pode oferecer cont eúdo est át ico e ext ensões dinâm icas desabilit adas. I sso faz com que o I I S 6.0
sej a o serv idor de Web m ais seguro.
1 .1 0 . Ve r sõe s
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 8 |
O Window s Server 2003 apresent a quat ro versões com funcionalidades difer ent es que est ão descrit as no
quadro seguint e:
O suport e de m em ória, processador es e funcionalidade v aria conform e a versão. É por isso que você deve
considerar as suas necessidades ao escolher o sist em a oper acional.
- Se r ve r W e b Se r ve r En t e r pr ise Se r ve r D a t a ce n t e r
CPU / 2 CPU 2 CPU 8 CPU 8- 64 CPU
RAM 4 GB 2GB 32 GB ( x86) 64 GB ( x86)
64 GB ( 64 bit s) 512 GB ( 64 bit s)
Recursos N ovos Pode Todos os r e cu r sos do St a n da r d Todos os r e cu r sos do En t e r pr ise
Re cu r sos e x e cu t a r : e t a m bé m : e t a m bé m :
NLBS I I S 6.0 Clust er de 8 nós Program a Dat acent er
Firewall NLBS Versão de 64 bit s - Dat acent er HCL
Pessoal DNS, DHCP, - Manut enção
WI NS Suport e a m últ iplas inst âncias
Lim it a çõe s:
Sem DC Prom o
Sem aplicações
Sem Apl TS
Modo
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 9 |
1 .1 1 . Re qu isit os
No quadro a seguir, t em os os requisit os m ínim os e r ecom endados para cada versão do Windows Serv er 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 1 0 |
2 . Fu n cion a lida de s
Os serv idores desem penham vários papéis no am bient e client e/ ser vidor de um a rede. Alguns servidores são
configurados para fornecer aut ent icação e out ros para out ros usos. Muit os t am bém fornecem serv iços de rede que
perm it em que os usuários se com uniquem ou localizem out ros servidores e recur sos na rede. Com o adm inist rador de
sist em as, você deverá conhecer os principais t ipos de servidores e que funções que eles realizam na sua rede.
Os cont rolador es de dom ínio arm azenam os dados do diret ório e ger enciam a com unicação ent r e os usuários e
os dom ínios, incluindo processos de conexão do usuário, aut ent icação e pesquisas de diret ór ios. Quando você
inst ala o Act iv e Direct ory em um com put ador que execut a o Window s Server 2003, o com put ador passa a ser
um Cont rolador de dom ínio.
N ot a : Em um a rede do Windows Server 2003, t odos os servidor es no dom ínio que não sej am Cont roladores
de Dom ínio são cham ados de Serv idor Mem bro. Os servidores não associados a um dom ínio são cham ados de
Servidor de Gr upo de Trabalho.
2 .2 . Se r vidor de Ar qu ivos
Um Servidor de Arquivos oferece um a localização cent ral na sua rede onde é possível arm azenar e
com par t ilhar os arquivos com usuários at ravés da sua rede. Quando os usuár ios pr ecisam de um arquivo
im por t ant e, com o um plano de proj et o, é possível acessar o arquivo no Servidor de Arquivos, em vez de t er
que t ransfer i- lo ent re seus v ários com put adores.
2 .3 . Se r vidor de I m pr e ssã o
Um Servidor de I m pressão pr oporciona um a localização cent ral na sua r ede, onde os usuários podem im prim ir.
O Servidor de I m pressão oferece aos client es driv ers at ualizados de im pr essora e gerencia a fila de im pressão
e a segurança.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 1 | Pá gin a 1 1 |
2 .4 . Se r vidor de D N S
O Dom ain Nam e Syst em ( DNS) é um serviço padrão da I nt ernet e de TCP/ I P. O serv iço de DNS perm it e que os
com put adores client es coloquem em sua rede e solucionem nom es de dom ínio DNS. Um com put ador
configurado para fornecer serviços de DNS em um a r ede é um servidor de DNS, que é necessár io para colocar
em funcionam ent o o Act ive Dir ect ory.
Um Servidor de Aplicat ivos fornece a infra- est rut ura e os serviços de aplicat ivos em um sist em a. Os servidores
t ípicos de aplicações incluem os seguint es serviços:
O grupo de recursos ( por ex em plo, grupo de conexões de banco de dados e grupo de obj et os)
Adm inist ração de t ransações dist ribuídas
Com unicação assíncrona, norm alm ent e fila de m ensagens
Um m odelo de obj et os de at ivação j ust - in- t im e
XML ( Ext ensible Markup Language) Aut om át ico e I nt erfaces de Serviços Web para acessar obj et os de
negócios
Serviços de det ecção de falha e funcionam ent o de aplicat ivos com segur ança int egrada
O Microsoft I nt ernet I nfor m at ion Services ( I I S) fornece as ferram ent as e as caract eríst icas necessárias para
cont rolar facilm ent e um Ser vidor da Web seguro. Se planej ar cr iar um host de File Transfer Prot ocol ( FTP) da
Web e Sit es com o I I S, configure o Servidor com o Serv idor de Aplicat ivos.
2 .6 . Te r m ina l Se r ve r
Um Term inal Server oferece aos com put adores rem ot os, acesso a pr ogram as baseados no Windows que
funcionam em Windows Ser ver 2003 St andard Edit ion, Windows Serv er 2003 Ent er prise Edit ion ou Window s
Server 2003 Dat acent er Edit ion. Com um Term inal Server , você inst ala um aplicat ivo em um único pont o e em
um único serv idor. Os m últ iplos usuár ios poderão, ent ão, t er acesso ao aplicat ivo sem precisar inst alá- lo em
seus com put adores. Os usuários podem ex ecut ar program as, excet o arquivos, e ut ilizar os recursos da rede de
um local rem ot o, com o se eles est ivessem inst alados em seu próprio com put ador. Nós verem os esse assunt o
em m ais det alhes no capít ulo 6.
2 .7 . A fe r r a m e n t a Ge r e n cia r o Se r vidor
Quando o Windows Server 2003 é inst alado e um usuário faz o logon pela pr im eira v ez, a ferram ent a
Gerenciar o Servidor é execut ada aut om at icam ent e. Você ut iliza essa ferram ent a par a adicionar ou rem ov er
Funções dos Servidores. Quando adiciona um a função de serv idor a um com put ador, a ferram ent a Gerenciar
o Servidor adiciona essa função à list a de funções disponív eis. Depois que a função de servidor é adicionada à
list a, você poderá ut ilizar vários assist ent es que o aj udar ão a adm inist r ar funções específicas de ser vidor. A
ferram ent a Gerenciar o Servidor t am bém fornece arquivos de aj uda específicos sobre as funções de
servidor es, list as de ver ificações e recom endações para solução de problem as.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 |
Ca pít u lo 2
I n st a la çã o e M igr a çã o
1 . I n t r odu çã o
Durant e est e capít ulo, você conhecerá os m ét odos de inst alação do Windows Serv er 2003 e t am bém os m ét odos de
m igração a par t ir de out ras versões.
Para execut ar os exer cícios cont idos nest a unidade, você deverá t er um a cópia de avaliação do Windows Server 2003
que pode ser encont rada em :
Tam bém será necessário t er o hardware apropriado, que deve est ar de acordo com os requisit os par a inst alação do
Windows Server 2003 descrit os no Capít ulo 1. Se não t iver o hardware apropriado à sua disposição, nós sugerim os
que você ut ilize o soft ware de em ulação de Com put adores Virt uais, que pode ser obt ido em :
ht t p: / / www .m icrosoft .com / w indowsxp/ v irt ualpc/ prev ious/ default .asp
Est e soft w are perm it e criar Com put adores Virt uais dent r o do seu sist em a e at r ibuí- los recur sos de disco e m em ór ia,
ou sej a, um out ro com put ador dent ro do seu com put ador .
Lem br e- se de que est a unidade t am bém possui exer cícios de m igração do Windows NT Server 4.0. Para est a ver são e
o Windows 2000 Server, ser á necessário t er um CD de av aliação desses produt os.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 2 |
2 . I n st a la çã o
2 .1 . I n t r odu çã o à in st a la çã o do W in dow s Se r ve r 2 0 0 3
A inst alação e a configuração do Windows Server 2003 são sem elhant es ao processo de inst alação do Window s
2000 Server, port ant o os especialist as em gerenciam ent o de sist em a poderão ut ilizar seus conhecim ent os para
execut á- las. No ent ant o, foram incluídos diversos apr im oram ent os:
N ovo Assist e n t e pa r a I n st a la çã o: o novo Assist ent e para inst alação do Windows Server 2003 conserva
grande part e do design do Assist ent e par a inst alação do Windows 2000 Server. Ent ret ant o, o seu design foi
aprim orado para que sej a m ais fácil localizar infor m ações e t arefas relacionadas com a inst alação. O novo
Assist ent e r eflet e o design baseado em t ar efas do Windows Server 2003, at ravés de agrupam ent o das t ar efas
com uns com docum ent ação e inform ações necessár ias par a aj udar os adm inist rador es a realizá- las.
At u a liza çã o din â m ica : agora o Assist ent e oferece aos usuár ios a opção de fazer o download de arquivos
de inst alação e cont roladores at ualizados da Microsoft . Est a opção t am bém pode incluir um a seqüência de
com andos par a um a inst alação sem operadores.
Com pr ova çã o de com pa t ibilida de : o Assist ent e per m it e que os usuár ios realizem t est es de
com pat ibilidade det alhados em seus PCs. Com o part e do processo de com provação da com pat ibilidade, você
pode visit ar o sit e da Web da Microsoft em busca de at ualizações dinâm icas. Tam bém exist e um a fer ram ent a
adicional que pode ser ut ilizada para t est ar a com pat ibilidade de aplicat ivos. O “ Kit de Ferram ent as de
Com pat ibilidade de Aplicat ivos" pode ser obt ido em :
ht t p: / / www .m icrosoft .com / w indowsserver2003/ com pat ible/ appcom pat .m spx
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 3 |
Assist e n t e pa r a in st a la çã o do W in dow s Se r ve r 2 0 0 3
Depois que você t iv er cr iado a part ição onde planej a inst alar o Window s Server 2003, a inst alação lhe per m it e
selecionar um sist em a de arquivos. Com o no Window s NT 4.0, no Windows 2000 e no Windows XP Pr ofessional,
o Windows Server 2003 oferece suport e ao sist em a de arquivos NTFS e FAT16/ FAT32.
N TFS
Se gu r a n ça a n íve l de a r qu ivos e pa st a s O NTFS perm it e cont rolar o acesso aos arquivos e às past as.
Com pa ct a çã o de disco O NTFS per m it e com pact ar arquivos para criar m ais espaço disponível.
Cot a s de disco O NTFS perm it e cont rolar o uso do disco por usuár io.
Cr ipt ogr a fia de a r qu ivos. O NTFS perm it e exibir de for m a t ransparent e cr ipt ografias, arquivos e past as.
A versão do NTFS no Windows Server 2003 oferece suport e a arm azenam ent o r em ot o e m ont agem de volum es
em past as. O Microsoft Windows 2000, o Window s XP Professional, o Windows Server 2003 e o Windows NT são
os únicos sist em as operacionais que podem acessar dados em um disco r ígido local com o form at o NTFS.
Para com pat ibilidade com o NTFS e o Windows NT 4.0 em configurações de inicialização dupla, o Windows NT
4.0 exige o Service Pack 4, no m ínim o. Para obt ê- la, recom enda- se usar o Service Pack 6.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 4 |
FAT e FAT3 2
Norm alm ent e, você não ut ilizaria FAT ou FAT32 para form at ar a par t ição do sist em a, a m enos que pr ecisasse
de um a inicialização dupla com o Window s Server 2003 e out ro sist em a operacional m ais ant igo. FAT e FAT32
não oferecem os m esm os recur sos de segurança que o NTFS. Se você precisar dos recursos do NTFS,
part icularm ent e de segurança para arquivos e past as, é recom endável usar o sist em a NTFS.
N ot a : Se opt ar por form at ar a part ição usando o FAT, a inst alação form at a aut om at icam ent e as part ições
super iores a 2 GB em FAT32.
Em bora t enham ocorrido m odificações no m odelo de licenciam ent o do Windows Server 2003, os
seguint es elem ent os não foram m odificados:
Cada cópia inst alada do soft ware de ser vidor exige a com pra de um a licença de servidor do
Windows.
Não é preciso um a CAL se o acesso ao servidor for feit o at rav és da I nt ernet e ele não for
" aut ent icado" - por exem plo, o acesso a um sit e na Web para obt er inform ações gerais onde não
sej a necessár io fornecer cr edenciais de ident ificação.
Um a CAL do Windows ( por servidor ) t am bém pode ser designada para uso com apenas um
servidor , aut or izando acesso por m eio de qualquer disposit ivo ou usuário, quando o t ipo de licença
de soft ware para o servidor for definido com o " por servidor” . Nessa m odalidade, o núm ero de CALs
do Windows é igual ao núm er o m áxim o de conexões at uais.
Um a CAL do Windows ( por disposit ivo ou por usuár io) pode ser designada para uso com qualquer
quant idade de servidores, aut orizando o acesso at ravés de um disposit ivo específico ou de um
usuár io, quando a m odalidade da licença do soft ware do serv idor est iver definida com o " Por
disposit ivo ou Por usuár io" ( ant es cham ada de m odo " Per Seat " ) .
É preciso t er um licença de Acesso de Client e para o Ter m inal Server ( CAL TS) para ut ilizar um
Term inal Server ou oferecer um a sessão de int erface de usuário gráfica rem ot a ( GUI ) , excet o para
um a sessão do console. No Window s 2000, havia um a exceção para esse requisit o de licença e isso
foi m odificado.
CAL ba se a da e m n ovo u su á r io. A Micr osoft int roduziu um novo t ipo de CAL. Além da CAL ex ist ent e,
baseada em disposit ivo ( CAL por Disposit ivo) , um a nova CAL baseada em usuário ( CAL por usuário) est ar á
disponível. Você pode opt ar ent re um a CAL por Disposit ivo para o Windows, para cada disposit ivo que t enha
acesso a seus servidor es, ou um a CAL por Usuár io do Windows, para cada nom e de usuário que acesse
seus servidores. Com os dois t ipos de CALs, você pode opt ar pelo m odelo m ais adequado à sua em presa.
Por exem plo, um a CAL par a Usuár io do Windows pode ser m ais apropriada se a sua em presa t iver
funcionár ios que t enham acesso rem ot o ut ilizando m últ iplos disposit ivos. As CAL de Disposit ivo do Windows
podem ser m ais aconselháveis a em presas onde vários funcionários com part ilham os m esm os disposit ivos.
Da m esm a form a, os Term inal Serv ers ( TS) t am bém oferecerão CALs baseadas em Disposit ivo e em
Usuár io: CAL Per Dev ice TS ( CAL de TS por disposit ivo ) e CAL Per User TS ( CAL de TS por Usuár io) .
Para obt er m ais infor m ações: ht t p: / / www .m icrosoft .com / w indow sserv er2003/ howt obuy /
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 5 |
Durant e a inst alação, você deve escolher um dom ínio ou um gr upo de t rabalho com o grupo de segurança
para o com put ador.
2 .4 .1 . D om ín io
N ot a : Para obt er det alhes t eóricos r eferent es ao Act ive Dir ect oy , consult e o m ódulo 4 dest e curso.
Durant e a inst alação, você poderá adicionar o com put ador a um dom ínio exist ent e com o serv idor
m em bro. Para isso, é preciso:
Um nom e de dom ínio. Um exem plo de um nom e de dom ínio DNS válido seria m icrosoft .com .
Um a cont a de com put ador. Para unir um com put ador a um dom ínio, é preciso t er um a cont a para esse
com put ador no dom ínio. Você pode cr iar a cont a ant es da inst alação ou, se t iv er priv ilégios
adm inist rat ivos no dom ínio, pode cr iar essa cont a durant e a inst alação. Se a cont a do com put ador for
criada durant e a inst alação, o program a de inst alação lhe pedirá para inserir I D de usuário e senha com
aut orização para adicionar cont as de com put adores ao dom ínio.
Um cont rolador de dom ínio disponível e um servidor que execut a o serviço do Servidor DNS. Pelo
m enos um cont rolador de dom ínio e um servidor DNS devem est ar on- line no m om ent o em que o
com put ador é adicionado ao dom ínio.
2 .4 .2 . Gr u po de Tr a ba lh o
Com o no Windows NT 4.0, v ocê só adiciona o com put ador a um grupo de t rabalho se est iver em um a
rede pequena sem um dom ínio ou se est iv er preparando- o para adicionar um dom ínio post erior m ent e.
Você pode especificar o nom e de um grupo de t rabalho j á exist ent e ou de um novo grupo de t rabalho
que será criado durant e a inst alação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 6 |
2 .5 . List a de Ve r ifica çã o
Ant es de inst alar o Windows Server 2003, com plet e as t arefas a seguir:
Selecione a part ição do sist em a de arquivos, onde inst alará o Windows Server 2003,
a m enos que você necessit e de um a configuração de inicialização dupla usando o NTFS.
Det er m ine se você usa Por Disposit ivo ou Por Usuár io com o m odo de licenciam ent o.
Det er m ine o nom e do dom ínio ao qual você quer adicionar ou o grupo de t rabalho que será criado. Se for
usar um dom ínio, o nom e est ará no form at o DNS: servidor.dom ínio ( onde servidor é o nom e do seu
com put ador e dom ínio é o nom e do dom ínio ao qual o seu com put ador pert ence) . Se for adicionar a um grupo
de t rabalho, o nom e est ará no form at o Net BI OS.
Crie um a cont a de com put ador no dom ínio, usando o nom e do com put ador que você est á inst alando. Em bora
um adm inist rador de dom ínio possa criar a cont a do com put ador ant es da inst alação, v ocê t am bém pode criar
um a cont a de com put ador durant e a inst alação se t iv er pr ivilégios adm inist rat ivos no dom ínio. Por padrão, os
usuár ios podem cr iar at é 10 cont as de com put adores nest e dom ínio.
2 .6 . I n st a la r a pa r t ir de CD s
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 7 |
Para inst alar o Window s Serv er 2003 a part ir do CD, inicie o com put ador com o CD ou os disquet es e siga as
inst ruções dos diver sos Assist ent es. Em bora o processo de inst alação não sej a not avelm ent e diferent e do
Windows NT 4.0 ou do Windows 2000, t er experiência com o processo de inst alação do Windows Serv er 2003
o aj udará a execut ar esse processo com m aior eficácia.
2 .6 .1 . Fu n cion a m e n t o do Pr ogr a m a de I n st a la çã o
O m odo de t ext o da inst alação do Windows Server 2003 não é diferent e da par t e de inst alação no
m odo t ex t o do Windows NT 4.0 e do Windows 2000. Para inst alar, siga os passos abaix o:
Para com eçar a inst alação, desligue o com put ador, insira o CD- ROM na unidade e depois ligue o
com put ador . Com o alt ernat iva, t am bém é possível execut ar o Winnt .exe. Um a versão m ínim a do
Windows Serv er 2003 é copiada na m em ória e a inst alação em m odo t ext o é iniciada. DI CA: Se est iv er
usando um disquet e do MS- DOS com o dr iv er para a unidade de CD- ROM, cert ifique- se de que o driver
Sm art Dr ive sej a carregado. Caso cont rário, a inst alação deve dem orar m ais do que o norm al.
Selecione a part ição em que o Windows Server 2003 será inst alado.
Selecione um sist em a de arquivos para a nova part ição. Tam bém é possível escolher o form at o da
nova part ição.
A inst alação copia arquivos no disco e grava parâm et ros de configuração. Em poucos inst ant es, o
com put ador é reiniciado e o Assist ent e par a inst alação do Window s Serv er 2003 é iniciado. Por padrão,
a localização dos arquivos da inst alação dos sist em as oper acionais do Windows Serv er 2003 é a past a
do Windows.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 8 |
Depois de inst alar os recur sos de segurança e configur ar os disposit ivos, o Assist ent e solicit ará as
seguint es inform ações:
Configuração Regional
Nom e e organização
Chave de produt o ( de 25 caract er es)
Modo de Licenciam ent o
Nom e do com put ador e senha da cont a do Adm inist rador local.
Com ponent es opcionais do Window s Server 2003.
Se r viços de Ce r t ifica dos. Perm it e criar e solicit ar cert ificados digit ais para a aut ent icação X.509.
Os cer t ificados proporcionam m eios com prov áveis de ident ificar usuár ios em redes não seguras,
com o a I nt er net .
Se r viços de Fa x . Perm it e enviar e receber faxes a part ir do seu com put ador.
Se r viços de I n de x a çã o. Perm it e fazer pesquisas dinâm icas com t ex t o com plet o nos dados
arm azenados no com put ador ou na rede.
Fila s de M e n sa ge m Ofer ece suport e para aplicat ivos que enviam m ensagens para as filas.Tam bém
perm it e a com unicação de aplicat ivos at ravés de redes het erogêneas e com com put ador es que
podem est ar t em porariam ent e fora da linha.
Se r viços de I n st a la çã o Re m ot a . Perm it e a inst alação r em ot a do Windows XP Professional, do
Windows 2000 e do Windows Server 2003 at ravés de um a conexão de r ede.
Ar m a ze n a m e n t o Re m ot o. Perm it e que o usuár io ut ilize bibliot ecas de fit as, com o ex t ensões de
volum es NTFS, m ovim ent ando dados aut om at icam ent e e at ravés de fit as.
Te r m in a l Se r ve r .Configura o com put ador para perm it ir que m últ iplos usuários ut ilizem um ou m ais
aplicat ivos rem ot am ent e. Tam bém est á disponível durant e a inst alação, por exem plo, RI S e Servidor
de Aplicat ivos.
Lice n cia m e n t o do Te r m in a l Se r ve r .Configura o servidor com o Serv idor de Licenças do Term inal
Services e fornece licenças de client e.
At u a liza r Ce r t ifica dos Ra iz Faz aut om at icam ent e o download da list a m ais at ual de cert ificados
raiz do Windows Updat e, se necessário.
W in dow s M e dia Se r vice s Perm it e fazer st ream ing de cont eúdo m ult im ídia para usuários.
Depois que os com ponent es opcionais forem selecionados, o Assist ent e do Window s Server 2003 pedirá
que você aj ust e a dat a e a hora, o que é essencial para as operações de replicação dos bancos de dados
do Windows Server 2003.
2 .6 .3 . I n st a la çã o de Com pon e n t e s de Re de
Depois de recom pilar as inform ações sobr e o seu com put ador, o Assist ent e o orient ará at rav és da
inst alação dos com ponent es de rede. Esse segm ent o do processo de inst alação com eça com a
ident ificação das placas de r ede. Depois de configurar os adapt adores de rede, a inst alação localizar á o
servidor que est á execut ando o Servidor de DHCP na rede. Para prosseguir no Assist ent e, é necessário
execut ar os passos abaixo:
Em pr im eiro lugar, é pr eciso inst alar os com ponent es de rede com um a configuração t ípica ou
personalizada. A inst alação t ípica inclui:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 9 |
2 .6 .4 . Fim da in st a la çã o
Depois de inst alar os com ponent es de rede, o program a de inst alação t erm ina da seguint e for m a:
Copia os arquivos rest ant es; por exem plo, os acessór ios e os BI TMAPS
Aplica a configuração que você especificou ant er iorm ent e
Salva a configuração no disco rígido local
Fecha os arquivos t em porários e reinicia o com put ador
2 .6 .5 . Ex e r cício 1
2 .6 .5 .1 . Obj e t ivos
Depois de t er m inar esse ex ercício, você será capaz de inst alar o Windows Server 2003 com o
servidor m em bro de um grupo de t rabalho.
2 .6 .5 .2 . Pr é - r e qu isit os
Ant es de iniciar esse exercício, você dev erá t er um com put ador que at enda aos requisit os m ínim os
de hardware para inst alar o Windows Serv er 2003 ou o soft ware Connect ix Vir t ual PC para Windows.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 0 |
Ex e r cício 1
I n st a la çã o do W in dow s Se r ve r 2 0 0 3
1. Ligue o com put ador com o CD- ROM do Windows Server 2003.
2. Pressione ENTER quando for exibida a not ificação de I nst alação na t ela.
3. Pressione ENTER quando for exibida a m ensagem Be m - vin do à in st a la çã o na t ela. Leia o
Con t r a t o de Lice n ça do W in dow s e pressione F8 para aceit ar os t er m os de
licenciam ent o.
4. Pressione C na list a de part ições ex ist ent es para criar um a part ição no disco 0.
5. Quando for solicit ado a selecionar o t am anho da par t ição na caixa Cr ia r pa r t içã o de
t a m a n h o ( e m M B) , exclua o valor exist ent e, adicione um valor ent re 2 0 0 0 e 4 0 0 0 e
pressione ENTER.
6. Pressione ENTER na list a de part ições ex ibida para selecionar a part ição C: N ova ( Se m
for m a t o) XXX X M B.
7. Pressione ENTER para selecionar For m a t a r a pa r t içã o u t iliza ndo o sist e m a de a r qu ivos
N TFS.
8. Ret ir e o disquet e da unidade se a inst alação t iver sido iniciada.
9. Deixe o CD do Windows Serv er 2003 na unidade de CD- ROM.
10 O com pu t a dor se r á r e in icia do a u t om a t ica m e n t e .
10. Esper e a finalização do processo de det ecção de disposit ivos.
11. Clique em Ava n ça r na página Opçõe s Re giona is.
12. I nsira seu nom e e organização. Clique em Avançar.
13. I nsira a chave de produt o na página Ch a ve do Pr odu t o. Ela pode ser obt ida no sit e de
onde você fez o download do produt o.
14. Escolha Por disposit ivo ou por u su á r io no m odo de licenciam ent o.
15. Use a senha Pa ss@w 0 r d ( onde 0 é zero) para a cont a do Adm inist rador local.
16. Não inst ale com ponent es adicionais.
17. Aj ust e a dat a e a hora na página Con figu r a çõe s de D a t a e H or a e clique em Ava n ça r .
18. Clique em Con figu r a çõe s pe r son a liza da s na caixa de diálogo Con figu r a çõe s de Re de e
pressione Ava n ça r .
19. Clique nas pr opriedades de TCP/ I P e insira os parâm et ros a seguir: Endereço I P:
192.168.1.200 m áscara de sub- rede: 255.255.255.0
20. Clique em Ava n ça r na página Com pon e n t e s de Re de .
21. Adicione um gr upo de t rabalho cham ado " Gr upo de Trabalho" .
22. Deixe o CD- ROM do Windows Server 2003 na unidade durant e o rest o do processo.
23. Depois de com plet ado o processo de inst alação, o com put ador é aut om at icam ent e
reiniciado.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 1 |
2 .7 . I n st a la r a pa r t ir da r e de
As inst alações a part ir da rede funcionam da m esm a for m a que no Windows NT4.0 e no Windows 2000. No
ent ant o, há 3 requisit os para com eçar um a inst alação a part ir da rede:
Um Servidor de Dist ribuição que cont enha arquivos da inst alação i386. ( Os com put ador es I t anium
usam a past a ia64. Essas past as est ão no CD- ROM do Windows Server 2003) .
Um a par t ição disponível de 2Gb no com put ador.
Um client e de rede para conexão ao Servidor de Dist r ibuição.
N ot a : O Microsoft Windows Preinst allat ion Environm ent ( WinPE) perm it irá que um client e conect e- se ao
Servidor de Dist ribuição. Obt enha inform ações em :
Os passos para a inst alação são sem elhant es aos do Windows NT 4.0 e do Windows 2000; a única diferença é
que é preciso se conect ar ao Servidor de Dist ribuição e execut ar o Winnt .exe. Durant e o processo inicial, os
arquivos necessários são copiados no disco local e, em seguida, o com put ador é reiniciado. A part ir desse
m om ent o, o pr ocesso de inst alação é norm al.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 2 |
2 .8 . Usa r Se r viços de I n st a la çã o Re m ot a ( RI S)
Os Serviços de I nst alação Rem ot a ( RI S) perm it em que com put adores client es conect em - se com um servidor
durant e a fase inicial da inicialização e inst alem rem ot am ent e o Window s 2000 ( em t odas as suas versões) , o
Windows XP ( 32 e 64 bit s) ou o Windows Server 2003 ( em t odas as suas versões) . A inst alação a part ir da
rede é um pr ocesso t ot alm ent e difer ent e porque é realizada execut ando- se o Winnt .exe. Um a inst alação
rem ot a não exige que os usuários saibam onde est ão localizados os arquivos de inst alação ou as infor m ações a
fornecer ao pr ogram a de inst alação.
O RI S per m it e configurar as opções da inst alação. Por exem plo, você poderia oferecer aos usuár ios um a
inst alação m ínim a sem opções e out ra inst alação com opções adicionais. Por padrão, t odas as im agens est ão
disponíveis para t odos os usuários. No ent ant o, você pode rest r ingir as im agens que est ão disponíveis para os
usuár ios ut ilizando perm issões NTFS no ar quivo de r espost a. Os passos seguint es per m it em det er m inar que
im agens um usuário pode selecionar e fazer download.
1. I nst ale o RI S.
2. Configur e os com ponent es opcionais que v ocê planej a inst alar no com put ador do client e.
3. As im agens que são arm azenadas no servidor RI S.
4. O client e conect a- se usando o Pre- Boot Execut ion Env ironm ent ( PXE)
no adapt ador da rede ou usando o " Network Boot Disk " criado pelo RI S.
5. O sist em a oper acional é inst alado no client e a part ir do ser vidor RI S com pouca
ou nenhum a int ervenção de usuário.
Você pode cont rolar as infor m ações ex igidas pelo usuário, criando e usando script s. Tam bém é possível cr iar
script s m anualm ent e ou ut ilizando o Set up Manager Wizar d.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 3 |
2 .8 .1 . Re qu isit os pa r a o Se r vidor RI S
Se você quiser inst alar o Windows 2000, o Windows XP ou o Windows Server 2003 em vários com put adores
que possuam hardware idênt ico, um dos m ét odos possíveis é ut ilizar a duplicação do disco. Criando um a
im agem de disco de um a inst alação do Windows 2000, do Windows XP ou do Windows Server 2003 e
copiando essa im agem em diversos com put adores de dest ino, você econom iza t em po na im plem ent ação do
Windows 2000, do Window s XP ou do Windows Server 2003.
Para inst alar o Windows 2000, o Windows XP ou o Window s Server 2003 usando duplicação de disco, configur e
um com put ador de referência e duplique um a im agem do seu disco no servidor usando o Sysprep para
preparar o com put ador a ser duplicado. O processo de duplicação de disco consist e nos seguint es passos:
Tam bém é possível ex ecut ar o Set up Manager Wizard para criar o arquiv o Sysprep.inf. O Sysprep.inf fornece
respost as, com o, por ex em plo, o nom e do com put ador ao Mini- Set up que é execut ado nos com put adores de
dest ino. Além disso, esse arquivo pode ser ut ilizado para especificar drivers especiais. O Set up Manager
Wizard cr ia um a past a Sy sprep na raiz do disco e coloca o arquivo Sysprep.inf nessa past a. O Mini- Set up
verifica a past a Sysprep à pr ocura desse ar quivo para realizar a inst alação do sist em a operacional.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 4 |
Em seguida, desligue o com put ador de r eferência e execut e o soft ware de duplicação do disco.
Coloque o disco duplicado no com put ador de dest ino.
Ligue o com put ador de dest ino. Um Mini- Set up será ex ecut ando im ediat am ent e solicit ando: Nom e do
com put ador , senha do adm inist rador local e chave de produt o.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 5 |
Dev ido à pirat aria e a out ras form as de uso não aut or izado, os consum idores nem sem pre podem t er cer t eza
de que possuem um a cópia genuína do Windows Server 2003. É por isso que a Microsoft desenvolv eu para o
Windows Serv er 2003 a ferram ent a " At ivação de Produt o" que garant e que t odas as inst alações do seu
produt o Windows Server 2003 t enham um a licença válida.
I m por t a n t e : Client es que com pram Cont rat o de Licenciam ent o por Volum e não precisam at ivar seus
produt os. Se não t iv er um cont rat o de Licenciam ent o por Volum e, você t em 60 dias para at ivar a inst alação do
seu produt o. Se esse período expirar e você não t iv er concluído a at ivação, t odos os recursos deixarão de
funcionar, com exceção da função de at ivação do produt o. Depois de inst alar o Window s Server 2003, o
assist ent e de at ivação e r egist ro será ex ecut ado. Você pode cancelar o assist ent e e at ivar o Windows Server
2003 post eriorm ent e. Para at ivar o Windows Server 2003 usando o Assist ent e de At ivação do Produt o siga o
procedim ent o a seguir:
3 . M igr a çã o do W in dow s N T 4 .0
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 6 |
Em seguida, det alharem os a m igração de Cont rolador es de Dom ínio e Servidores Mem bro do Window s NT 4.0 para o
Windows Serv er 2003, nos sist em as operacionais de servidor.
De Re sult a do
Windows NT 3.51 ou 4.0 PDC ou BDC Cont rolador de Dom ínio do Window s Server 2003
Servidor Mem bro do Windows NT 3.51 ou 4.0 Servidor Mem bro do Windows Server 2003
Windows NT 3.1 ou 3.5 Deve- se prim eiro m igrar para o Windows NT 3.51 ou 4.0
Lem br e- se dos requisit os de hardware necessários para a m igração do Windows NT 3.1/ 3.5/ 3.51 para o Windows
Server 2003.
Ant es de m igr ar para o Windows Server 2003, é im port ant e fazer backup dos arquiv os crít icos par a garant ir
que seus dados sej am preser vados se houv er falha no processo. Para pr eservar seus arquivos e configurações
essenciais, as seguint es t ar efas devem ser realizadas:
Depois de com plet ar essas t arefas, insira o CD- ROM do Windows Server 2003 e inicie o processo de inst alação.
Esse processo é sem elhant e a um a inst alação nova. Se ele for realizado a part ir de um a rede, execut e o
Winnt 32.exe.
N ot a : É possív el que a par t ição do sist em a não t enha espaço para esse processo de m igração. No ent ant o, no
m esm o disco, você pode liberar espaço adicional excluindo dados desnecessários ou ut ilizando ferram ent as de
t erceiros para expandir a part ição.
Quando finalizar o processo, seu servidor passará a ser um serv idor m em bro do Windows Server 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 7 |
3 .2 . M igr a çã o de D om ín ios
Para com preender o processo de m igração, nós o dividirem os em dois processos possíveis: Migração Diret a (
I n- Place) ou reest r ut uração.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 8 |
3 .2 .1 . Te r m in ologia s
3 .2 .2 . M igr a çã o n o Loca l
Est e processo det er m ina as ações necessárias para conservar a est rut ura ant erior . Port ant o, se você
t inha 4 dom ínios no Windows NT 4.0; ao t erm inar , t erá os m esm os 4 dom ínios com a m esm a
est r ut ura no Window s Server 2003.
Migr e o PDC do Windows NT 4.0. Dica: I nst ale um novo BDC, r et ire- o da rede, prom ova- o a
PDC e inst ale o Windows Server 2003 nesse com put ador .
Em seguida, r einsira esse com put ador na r ede e rebaixe o PDC em produção à BDC.
Migre depois t odos os BDC do dom ínio.
A est r ut ura com plet a é preservada na nova est r ut ura do Window s Server 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 1 9 |
3 .2 .3 . Re e st r u t u r a çã o do D om ín io
Esse processo det er m ina as ações necessárias para m udar a est rut ur a ant er ior ( consolidação de
dom ínios) . Por t ant o, se você t inha 4 dom ínios do Windows NT 4.0; ao finalizar , t erá 1 dom ínio do
Windows Serv er 2003 que cont erá t odas as cont as.
Migr e prim eir o a part ir de um PDC do Windows NT 4.0 ou inst ale de um a florest a nova.
Ut ilize a ferram ent a Act ive Dir ect ory Migr at ion Tool ( ADMT v2) para copiar obj et os. Est a
ferram ent a per m it e preservar o SI D- Hist ory dos obj et os e est a nova versão perm it e a m igração
de senhas.
4 . M igr a çã o do W in dow s 2 0 0 0
O prim eiro passo é escolher o m elhor sist em a operacional equivalent e ao que você est á ut ilizando at ualm ent e. A
seguint e t abela m ost ra as equivalências:
W in dow s Se r ve r 2 0 0 3 W in dow s 2 0 0 0 Se r ve r
Ant es que você m igr e para o Windows Server 2003, é im port ant e fazer backup dos arquivos crít icos para
garant ir que seus dados sej am preservados se houver falha no processo. As t arefas a seguir servem para
preservar seus arquivos e configurações crít icos:
Depois de com plet ar essas t arefas, insir a o CD- ROM do Window s Server 2003 e com ece o processo de
inst alação. Esse processo é sem elhant e a um a nova inst alação. Se for realizá- lo at ravés de um a rede,
execut e o Winnt 32.ex e.
N ot a : Em alguns casos, a part ição do sist em a não t em espaço para o processo de m igração; no ent ant o, no
m esm o disco, você pode obt er espaço adicional excluindo arquivos desnecessár ios ou ut ilizando ferram ent as
de t er ceiros, que ex t endem a part ição.
Ao finalizar o processo, seu servidor passar á a ser um ser vidor m em bro do Windows Server 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 2 0 |
4 .2 . M igr a çã o de D om ín ios
A at ualização do Act ive Dir ect ory pode ser gradual e realizada sem int err upção das operações. Se você seguir
as recom endações de at ualização de dom ínio, não será necessário colocar o dom ínio offline para m igrar os
cont roladores de dom ínio, os servidores m em bro ou as est ações de t rabalho.
No Act iv e Dir ect ory , um dom ínio é um a coleção de com put adores, usuár ios e grupos definidos pelo
adm inist rador . Esses obj et os com par t ilham um banco de dados em com um de diret ório, Dir et ivas de
Segurança e Relações de Segurança com out ros dom ínios. Um a florest a é um a coleção de um ou m ais
dom ínios do Act ive Direct ory que com part ilham classes e at ribut os ( esquem a) , inform ações de sit es e
duplicação ( configuração) e capacidades de pesquisa em t oda a florest a ( cat álogo global) . Os dom ínios na
m esm a florest a cont êm r elações de confiança bilat erais.
Para se prepar ar para at ualizar os dom ínios que cont êm os Cont roladores de Dom ínio do Windows 2000, é
recom endáv el aplicar o Service Pack 2 ou post er ior a t odos os Cont roladores de Dom ínio do Windows 2000.
Ant es de m igr ar um Cont rolador de Dom ínio do Window s 2000 para o Window s Ser ver 2003 ou inst alar o
Act ive Direct or y no prim eiro Cont rolador de Dom ínio do Window s Server 2003, cert ifique- se de que o dom ínio
est ej a preparado.
Essas duas fer ram ent as de linha de com ando aj udarão na m igração do Cont rolador de Dom ínio:
W in n t 3 2 . Use o Winnt 32 par a com provar a com pat ibilidade de at ualização do servidor.
Adpr e p. Use o Adprep no Mest re de Operações de Esquem a para preparar a florest a.
O Adprep est á cont ido no CD- ROM do Windows Serv er 2003 na past a I 386 ou I A64. Lem bre- se de que essa
ferram ent a m odifica o Esquem a segundo o qual a quant idade de obj et os que cont êm o Act ive Direct or y
define o t em po necessár io para concluir as operações. Por out ro lado, é aconselháv el execut ar essa
ferram ent a som ent e no Mest re de Esquem a, considerando que, em caso de queda na com unicação da rede,
não haverá o risco de que a operação sej a int errom pida na m et ade do processo.
Ao concluir essas t arefas, você t erá at ualizado a versão ex ist ent e do Act ive Direct ory.
ht t p: / / www .m icrosoft .com / w indow sserv er2003/ evaluat ion/ whyupgrade/ win2k/ w2k t ow s03- 2.m spx
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 2 | Pá gin a 2 1 |
4 .2 .1 . Ex e r cício 2
Durant e est e exercício, você realizará um pr ocesso de m igr ação do servidor m em bro do Windows NT
4.0 para o Windows Server 2003 e um processo de m igração do servidor m em bro do Windows 2000
para o Window s Server 2003.
Pr óx im os pa ssos.
Prim eiro inst ale um Window s NT Server 4.0, na inst alação do servidor m em bro.
Siga os passos descrit os no exercício 1, iniciando a inst alação do sist em a operacional, ou
sej a, execut e o Winnt 32.exe ou faça a inst alação inser indo o CD- ROM.
Re su lt a do: Processo de m igr ação do Windows NT 4.0 para o Windows Server 2003
I nst ale agora o Windows 2000 Server com o Servidor Mem bro.
Siga os passos descrit os na prát ica 1, iniciando a inst alação do sist em a operacional, ou
sej a, execut e o Winnt 32.exe ou faça a inst alação inser indo o CD- ROM.
Re su lt a do: Pr ocesso de m igr ação do Windows 2000 para o Windows Server 2003
N ot a : Lem br e- se de que par a fazer esses exercícios você pode ut ilizar o soft war e Connect ix Virt ual
PC.
Opcion a l: Se t iver t em po, v ocê pode realizar o m esm o exercício, do PDC do Windows NT 4.0 e do
Cont rolador de Dom ínio do Window s 2000, execut ando o processo de at ualização.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 |
Ca pít u lo 3
I n st a la çã o e Con figu r a çã o de Se r viços D H CP, D N S e W I N S
1 . I n t r odu çã o
Durant e est e capít ulo, você assim ilará conhecim ent os sobr e serviços de r ede com o DHCP ( Dynam ic Host Configurat ion
Prot ocol) , WI NS ( Window s I nt ernet Nam e Syst em ) e DNS ( Dom ain Nam e Syst em ) . Est e últ im o, em part icular, lhe
será m uit o út il durant e o capít ulo 4.
Para a realização dos exercícios cont idos nest e m ódulo, será pr eciso usar a inst alação do Windows Serv er 2003
execut ada no exercício 1 do capít ulo 2 e um a inst alação adicional.
I dent ificar as caract eríst icas dos serv iços DHCP, DNS e WI NS
I nst alar e configurar serviços de rede
Solucionar problem as de serv iços de rede
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 |
2 .1 .1 . D e finiçã o
D yn a m ic H ost Con figu r a t ion Pr ot ocol ( D H CP) é um padrão I P para sim plificar a adm inist ração
da configuração I P do client e. O padrão DHCP per m it e que você ut ilize os servidores DHCP para
cont rolar a alocação dinâm ica dos ender eços e a configuração de out ros parâm et ros de I P para
client es DHCP na sua rede.
Nas redes TCP/ I P, o DHCP reduz a com plex idade do t rabalho adm inist rat ivo de reconfigurar os
com put adores client e.
Para ent ender por que o DHCP é út il par a configurar client es TCP/ I P, é im port ant e com parar a
configuração m anual do TCP/ I P com a configuração aut om át ica que ut iliza o DHCP.
Quando você realiza a configuração I P de cada client e inser indo m anualm ent e infor m ações com o
ender eço I P, m áscara de sub- rede ou gat eway padrão, podem ocorrer erros de digit ação, que
provavelm ent e gerarão problem as de com unicação ou problem as associados à I P duplicado. Por
out ro lado, ocorre um a sobrecarga adm inist rat iva nas redes quando os com put adores são m ovidos
com freqüência de um a sub- rede para out ra. Além disso, quando é preciso t rocar um valor I P par a
vários client es, é preciso at ualizar a configur ação I P de cada client e.
Quando você configura um servidor DHCP para oferecer suport e a client es DHCP, ele
aut om at icam ent e fornece inform ações de configuração aos client es DHCP e t am bém garant e que os
client es da rede ut ilizem a configuração corret a. Além disso, se você precisar realizar um a
m odificação na configuração I P de vár ios client es, poderá r ealizá- la um a única vez no servidor DHCP,
para que o DCHP at ualize aut om at icam ent e a configuração do client e par a reflet ir essa m udança.
Ex e m plo
Você precisa configurar 100 com put adores com a configuração I P, m as sem DHCP. Não lhe rest a
alt ernat iva além de configur ar m anualm ent e cada um dos com put ador es individualm ent e. Além
disso, t am bém é preciso docum ent ar a configuração I P de cada client e e realizar um a m odificação na
configuração I P dos client es e ainda r econfigurar m anualm ent e cada um deles.
Mas o DHCP oferece um a solução para esse problem a. Com o DHCP, v ocê só pr ecisa adicionar a
configuração ao servidor DHCP, que at ualizará os 100 client es da r ede. Além disso, quando precisar
realizar um a m odificação na configuração I P, ela será r ealizada um a única v ez no Servidor DHCP,
exigindo sim plesm ent e que cada client e TCP/ I P at ualize a sua configuração.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 |
2 .2 .2 .1 I n t r odu çã o
O DHCP perm it e cont rolar a at ribuição de I P de um local cent ral; por t ant o, você pode configurar o
servidor DHCP para at ribuir ender eços I P a um a única sub- rede ou a várias sub- redes. Da m esm a
form a, o Serv idor DHCP pode at ribuir a configuração I P aos client es de form a aut om át ica.
2 .2 .2 .2 D e fin içõe s
A con ce ssã o é o t em po no qual um client e DHCP pode ut ilizar um a configuração dinam icam ent e
at ribuída de I P. Ant es da expiração do t em po de concessão, o client e deve renová- lo ou obt er um a
nova concessão do DHCP.
Na prim eira vez em que um client e DHCP é adicionado à r ede, ele deve solicit ar a configuração I P ao
Servidor DHCP para que, quando for recebida a solicit ação, o servidor selecione um endereço I P do
int ervalo de ender eços que o adm inist r ador definiu no escopo. O Servidor DHCP fornece a
configuração I P ao client e do DHCP. Se o client e aceit ar a ofert a, o Servidor DHCP at ribuirá o
ender eço I P ao client e por um per íodo de t em po especificado. Dessa form a, o client e ut ilizará o
ender eço I P para t er acesso à rede.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 4 |
O clie nt e D H CP e n via o pa cot e D H CPD I SCOVER pa r a loca liz a r o Se r vidor D H CP. Esse pacot e
DHCPDI SCOVER é a m ensagem que os client es DHCP enviam na prim eira vez que se conect am à rede e
solicit am infor m ações de I P de um servidor DHCP. Exist em duas for m as de iniciar o pr ocesso de Geração de
Concessão de DHCP. A prim eira ocorre quando um com put ador client e é iniciado ou o TCP/ I P é iniciado pela
prim eira vez, e a segunda quando um client e t ent a renovar sua concessão e não consegue. ( Por ex em plo, um
client e pode não conseguir ex ecut ar um a renovação quando você o m ove para out ra sub- rede.)
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 5 |
N ot a : Você pode ver t odo o processo de concessão capt urando os pacot es com o Monit or de Rede. Lem bre-
se de que o client e e o servidor ut ilizam as port as 67 e 68 UDP. Para r ealizar o processo em am bient es
seguros, será necessário per m it ir a com unicação dessas port as ent re o client e e o serv idor.
2 .4 .1 . D e finiçõe s
Pr oce sso de Re n ova çã o de Con ce ssã o de D H CP é o processo pelo qual um client e DHCP renova
ou at ualiza seus dados de configuração I P com o Servidor DHCP.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 6 |
Um client e DHCP t ent a r enovar aut om at icam ent e sua concessão em 50% do t em po de expir ação. O
client e de DHCP t am bém t ent a renovar sua concessão cada vez que o com put ador é iniciado e, par a
isso, env ia o pacot e de DHCPREQUEST ao Servidor DHCP diret am ent e do qual se obt eve a
concessão. Se o Servidor DHCP est iver disponív el, ele renova a concessão e envia ao client e um
pacot e de DHCPACK com a nova duração da concessão e qualquer parâm et ro de configuração
at ualizado. O client e at ualiza sua configur ação quando r ecebe a confir m ação. Se o Servidor DHCP
não est iv er disponível, o client e cont inuará ut ilizando seus parâm et ros at uais de configuração. Se o
client e DHCP não conseguir renovar sua concessão na prim eira v ez, ele env iará um a t ransm issão
DHCPDI SCOVER para at ualizar sua concessão de endereço quando 87,5 % da duração da concessão
t iver expirado. Nessa et apa, o client e DHCP aceit a a concessão que qualquer Serv idor DHCP lhe
ofereça.
Se o client e DHCP reiniciar seu com put ador e o Ser vidor DHCP não responder ao pacot e
DHCPREQUEST, o client e DHCP t ent ará se conect ar ao Gat eway Padrão. Se essa t ent at iva falhar, o
client e deixará de usar o endereço I P. Se o Servidor DHCP responder a um pacot e DHCPOFFER para
at ualizar a concessão do client e, ele pode renovar sua concessão de acordo com a ofert a da
m ensagem do serv idor e cont inuar a sua operação. Mas se a concessão t iv er expirado, o client e
deverá suspender im ediat am ent e o uso do endereço I P at ual. O client e DHCP com eçará o novo
processo de Descobert a da Concessão DHCP, t ent ando obt er um a nova concessão de um novo I P. Se
o client e DHCP não receber o I P, ele obt erá um ender eço usando a at ribuição aut om át ica de I P no
int ervalo 169.254.0.0.
Se precisar at ualizar a configuração DHCP im ediat am ent e, você pode renovar m anualm ent e a
concessão de I P. ( Por exem plo, se quiser que os client es DHCP obt enham rapidam ent e o endereço
do Servidor DHCP de um novo rot eador inst alado na r ede, renove a concessão do client e para
at ualizar a configuração.)
Para adicionar um serv idor DHCP, você dev erá inst alar o Serviço de DHCP em um com put ador ex ecut ando o
Microsoft ® Windows® Server 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 7 |
2 .6 .1 . D e finiçõe s
A a u t or iza çã o do D H CP é o processo de regist rar o ser viço de Servidor DHCP em um dom ínio do
Serviço Act ive Dir ect ory® , com o propósit o de oferecer suport e aos client es DHCP. A aut orização de
DHCP é som ent e para Serv idores DHCP que execut am o Window s Server 2003 e o Windows 2000 no
Act ive Dir ect ory.
Aut orizar o Servidor DHCP perm it e cont rolar o acr éscim o dos servidores DHCP ao dom ínio. A
aut orização deve ocorrer ant es de o serv idor DHCP poder ent regar essas concessões a client es
DHCP. Solicit ar a aut or ização de Servidor es DHCP ev it a que os servidores DHCP desaut orizados
ofereçam endereços I P inválido aos client es.
Se você est iv er configurando um servidor DHCP, a aut or ização deve ser part e do dom ínio Act iv e
Dir ect ory. Se você não aut or izar o Servidor DHCP no Act iv e Dir ect ory, o serviço de DHCP não poderá
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 8 |
ser iniciado corret am ent e e, port ant o, o servidor DHCP não poderá r esponder aos pedidos dos
client es. O Servidor DHCP cont rola o endereçam ent o I P enviado aos client es DHCP na rede. Se o
Servidor DHCP for configurado de form a incorret a, os client es receberão um a configuração incorret a
do endereçam ent o I P.
O Act iv e Direct ory é necessário para aut orizar um Ser vidor DHCP. Com o Act ive Direct ory , os
Servidores DHCP não aut orizados não podem responder aos pedidos dos client es. O serviço do
Servidor DHCP, em um servidor m em br o do Act ive Dir ect ory, ver ifica o seu regist ro em um
cont rolador de dom ínio do Act ive Direct ory. Se o Servidor DHCP não est iver regist rado, o serviço não
se iniciará e conseqüent em ent e o Serv idor DHCP não designará endereços aos client es.
2 .6 .4 . Se r vidor D H CP Au t ôn om o
Em det erm inadas sit uações, um Servidor DHCP execut ando o Window s 2000 ou o Windows Serv er
2003 é iniciado se não est iv er aut or izado. Se o Servidor DHCP execut ando o Window s Server 2003
ou o Windows 2000 est iv er inst alado com o aut ônom o, ele não é m em bro do Act iv e Direct ory. E se
est iver sit uado em um a sub- rede onde o DHCPI NFORM não será t ransm it ido a out ros serv idores
DHCP, o serv iço do Servidor DHCP inicializará e fornecerá concessões a client es na sub- rede.
Um serv idor aut ônom o ex ecut ando o Windows 2000 ou o Window s Serv er 2003 envia um pacot e de
t ransm issão DHCPI NFORM. Se não houver respost a ao pacot e DHCPI NFORM, o serviço do Servidor
DHCP será iniciado e com eçará a at ender os client es. Se um servidor DHCP aut or izado receber um
pacot e DHCPI NFORM, ele responde com um pacot e DHCPACK e o serv iço de Serv idor DHCP pára.
Um servidor DCHP aut ônom o cont inua funcionando se você receber um DHCPACK de out ro Serv idor
DHCP que não sej a m em bro do Act ive Direct ory.
I M PORTAN TE: Só faça esse exercício depois de t er concluído a t eoria e o exercício do Capít ulo 4.
Para aut orizar o serv iço de Servidor DHCP, um m em bro do grupo Adm inist radores Cor porat ivos o adiciona a
um a list a de Servidores DHCP, que podem fornecer serviços a client es DHCP no dom ínio. O processo de
aut orização funciona som ent e com servidor es execut ando o Windows Server 2003 e o Windows 2000 em um
dom ínio. A aut orização não é possível se os Servidores DHCP execut arem versões ant eriores com o o
Microsoft Windows NT® ou out ros soft wares de Serv idor DHCP.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 9 |
2 .8 . O qu e sã o os e scopos do D H CP?
2 .8 .1 . D e finiçã o
Um e scopo é um int ervalo de ender eços I P válidos disponív eis para at ribuir aos com put adores
client e em um a sub- rede em part icular. Você pode configurar um escopo no servidor DHCP par a
det er m inar o grupo de ender eços I P que esse servidor at r ibuirá aos client es.
Os escopos det er m inam os ender eços I P at ribuídos aos client es. Você deve definir e at ivar um
escopo ant es que os client es possam usar o Servidor DHCP para um a configuração dinâm ica de
TCP/ I P. Da m esm a form a, pode- se configur ar t ant os escopos quant o forem necessários no serv idor
DHCP para seu am bient e de r ede.
2 .8 .2 . Pr opr ie da de s do e scopo
Cada sub- rede pode t er um escopo de DHCP que cont enha um int ervalo único e cont ínuo de
ender eços I P. Endereços específicos ou grupos de endereços podem ser excluídos do int ervalo do
escopo de DHCP. Em geral, som ent e um escopo pode ser at r ibuído a um a sub- rede. Se m ais de um
escopo for necessár io em um a sub- r ede, eles deverão ser criados pr im eiro e depois com binados em
um superescopo.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 0 |
2 .1 0 O que é u m a r e se r va de D H CP?
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 1 |
2 .1 1 . Qu a is sã o a s opçõe s do D H CP?
As opçõe s do D H CP são os parâm et ros de configuração que um serviço do DHCP at r ibui aos client es quando
lhes at r ibui o endereço I P.
2 .1 1 .1 . Opçõe s com u n s de D H CP
Rot e a dor ( Ga t e w a y pa dr ã o) : É o endereço de qualquer gat eway padr ão ou rot eador . O rot eador
é norm alm ent e cham ado de Gat eway Padrão.
N om e do D om ín io: Um nom e de dom ínio DNS define o dom ínio ao qual um com put ador client e
pert ence. O com put ador client e pode ut ilizar essas inform ações para at ualizar o Serv idor DNS para
que out ros com put adores possam localizar o client e.
Se r vidor e s D N S e W I N S: São os ender eços dos Serv idor es DNS e WI NS para os client es
ut ilizarem na com unicação da rede.
1. Abra o console DHCP e sob o escopo apropr iado, clique em Opçõe s do e scopo.
2. Clique em Con figu r a r Opçõe s no m enu Açã o.
3. Selecione, na caixa Opçõe s do Escopo, a opção que você desej a configurar na list a
Opçõe s D ispon íve is
4. Preencha, em En t r a da de da dos, as inform ações necessárias para configurar essa opção.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 2 |
2 .1 3 .1 . D e fin içã o
O D H CP Re la y Age nt é um com put ador ou rot eador configurado para escut ar a t ransm issão
DHCP/ BOOTP de client es DHCP e reenv iar essas m ensagens aos Serv idores DCHP em sub- redes
diferent es. Os Agent es de Ret ransm issão DHCP/ BOOTP são part e dos padrões DHCP e BOOTP e
funcionam segundo os docum ent os padrão Re qu e st for Com m e n t s ( RFCs) que descr evem o design
do prot ocolo e o com port am ent o relacionado.
Um Rot e a dor Com pa t íve l RFC 1 5 4 2 é um rot eador que suport a o reenvio de t ráfego de
t ransm issão DHCP.
Os client es DHCP ut ilizam broadcast s para obt er a concessão do Servidor DHCP. Os rot eador es
norm alm ent e não deixam est es broadcast s passarem , ex cet o quando est ão configurados
especificam ent e para deixá- las passar . No ent ant o, sem configuração adicional, os Ser vidores DHCP
só fornecem endereços I P a client es na sub- rede local. Para que você possa at ribuir ender eços a
client es em out ros segm ent os, é preciso configurar a rede para que os broadcast s DHCP possam
chegar do client e ao Servidor DCHP. I sso pode ser feit o de duas for m as: configurando os rot eador es
que conect am as sub- redes para deixar passar os broadcast s DHCP ou configurando o Agent e de
Ret ransm issão do DCHP. O Windows Serv er 2003 aceit a o serviço de Rot eam ent o e Acesso Rem ot o
configurado para funcionar com o Agent e de Ret ransm issão do DHCP.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 3 |
O Agent e de Ret ransm issão de DHCP ofer ece suport e à Geração de Concessão ent r e o client e de DHCP e o
Servidor DHCP, quando são separados por um rot eador. Ele per m it e que o client e DHCP receba um endereço
I P de Serv idor DHCP.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 4 |
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 5 |
O DNS é um serv iço de r esolução de nom es que resolve ender eços am igáv eis ( com o w ww.m icrosoft .com ) em
ender eços I P ( com o 192.168.0.1) .
Sist e m a de N om e s do D om ín io ( D N S) é um banco de dados hierár quico dist r ibuído que m apeia nom es de host s
DNS a ender eços I P. O DNS perm it e a localização de com put adores e serviços usando nom es alfanum ér icos m ais
fáceis de lem brar. O DNS t am bém per m it e a localização de serv iços de rede, com o Servidores de E- m ail e
Cont rolador es de Dom ínio no Act ive Dir ect ory® .
No DNS, os nom es de host residem em um banco de dados dist ribuído em m últ iplos servidores, reduzindo a carga em
um serv idor e a capacidade para adm inist r ar esses sist em as de nom es. Além disso, com o o banco de dados DNS é
dist ribuído, o seu t am anho é ilim it ado e o funcionam ent o não sofre prej uízos quando serv idor es adicionais são
adicionados.
O I nt er NI C é responsável por delegar responsabilidade adm inist rat iva de part es do espaço de nom e do dom ínio e
t am bém por r egist rar nom es de dom ínio. Est es últ im os são adm inist rados at ravés do uso do banco de dados
dist ribuído e arm azenados em Serv idores de Nom es, localizados em t oda a rede. Cada Servidor de Nom es cont ém
arquivos de bancos de dados que possuem inform ações para um a região, dom ínio, et c, criando assim um a hierarquia.
O Espa ço de N om e de D om ín io é um a árvore de nom es hierárquica que ut iliza o DNS para ident ificar e
localizar um host em um det er m inado dom ínio, em relação à raiz da árvore. Os nom es no banco de dados
DNS est abelecem um a est r ut ura lógica cham ada Espaço de Nom e de Dom ínio que ident ifica a posição de um
dom ínio na ár vore e em seu dom ínio superior. A conversão principal é sim plesm ent e: para cada nível de
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 6 |
dom ínio, um pont o ( .) é ut ilizado para separar cada descendent e do subdom ínio e do seu dom ínio de nível
super ior.
O Fu lly Qu a lifie d D om a in N a m e ( FQD N ) é o nom e do dom ínio de DNS que indica com cer t eza a
localização do host a que ele se refer e e a sua localização no Espaço de Nom e do Dom ínio.
Para adicionar um servidor DNS, você deverá inst alar o serv iço de DNS em um com put ador
execut ando o Microsoft ® Windows® Server 2003.
3 .2 O qu e é u m a con su lt a de D N S?
Um a Con su lt a é um a solicit ação de r esolução do nom e enviado a um servidor DNS. Exist em dois t ipos de
consult a: Recursiva e I t erat iv a.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 7 |
Diferent e das Consult as Recursivas, em que um client e faz um pedido de resolução e o Servidor DNS
não obt ém a respost a da sua própria base ou do cache, a Consult a I t erat iva consult a out ros
Servidores DNS em nom e do client e para devolver a respost a. Ex em plo: quando você precisa
acessar um sit e na I nt ernet , norm alm ent e consult a o DNS de seu I SP, e ele se encarrega de ent rar
em cont at o com out ros Servidores DNS at é obt er um a respost a. Mas analise o seguint e: é
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 8 |
im possível na I nt ernet que o DNS do seu I SP cont enha t odas as soluções possíveis em t oda a
I nt er net ; por isso, os bancos de DNS dist r ibuem e resolv em nom es de form a I t erat iva uns para os
out ros.
Ca ch in g é o processo t em porário de arm azenar inform ações recent es que r esult a em um subsist em a
especial da m em ória para um acesso m ais r ápido.
Quando um servidor est á pr ocessando um a Consult a Recursiva, é possível que sej a necessário o envio de
várias consult as para se encont rar respost a definit iva. Na pior das hipót eses, para solucionar um nom e, o
servidor local inicia na Raiz do DNS e com eça a t rabalhar para baixo at é encont rar seus dados solicit ados.
O servidor guarda as inform ações da resolução em seu cache por um t em po det erm inado. Est e período de
t em po é denom inado TTL ( Tem po de Vida) e é especificado em segundos. O adm inist rador do servidor que
cont ém a prim eira zona onde est ão os dados decide o valor do TTL. Quant o m enor for o valor de TTL, m ais
fácil será m ant er dados consist ent es em caso de m odificações. No ent ant o, ele t am bém gera m ais carga de
t rabalho para o Servidor de Nom es.
Depois que o Servidor DNS salva no cache os dados, o TTL com eça a dim inuir at é chegar a 0 ( zero) e, nesse
pont o, o regist ro é elim inado do cache do Servidor DNS. Enquant o o valor de TTL est á at ivo, o Serv idor DNS
soluciona os pedidos ut ilizando o regist ro de cache.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 1 9 |
Para configurar propriedades do serviço de Servidor DNS, você precisa at ualizar as Dicas da Raiz do Servidor
DNS. As Dicas de Raiz det erm inam se o seu servidor consult a a raiz da I nt ernet ou se a raiz é um servidor
int erno.
Um a zon a é um a part e cont ígua do espaço dos nom es de dom ínio no qual um serv idor DNS t em aut oridade
para solucionar consult as de DNS. O espaço de nom es de DNS pode se dividir em zonas diferent es, que
arm azenam inform ações de nom es sobre um ou vários dom ínios de DNS, ou part e deles. Para cada nom e de
dom ínio de DNS incluído em um a zona, ele se conver t e em or igem aut orizada das inform ações sobre est e
dom ínio.
Tipos de zon a s. Os serv idores DNS podem aloj ar vários t ipos de zona. Para lim it ar o núm ero de ser vidores
DNS na rede, é possível configurar apenas um que per m it a ou aloj e várias zonas. Tam bém é possív el
configurar vários serv idores para arm azenar um a ou m ais zonas com o obj et ivo de oferecer t oler ância a
falhas e dist r ibuir a carga de t rabalho adm inist rat iva e de r esolução de nom es.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 0 |
Ar qu ivo de zon a . Os regist ros de recur sos que são arm azenados em um arquivo de zona servem para sua
própria definição. O arquivo de zona ar m azena infor m ações ut ilizadas para conver t er nom es de host s em
ender eços I P e vice- versa.
I m por t a n t e : Para cr iar zonas e adm inist r ar um serv idor DNS que não é ex ecut ado em um cont rolador de
dom ínio, é preciso ser m em bro do grupo de adm inist radores dessa m áquina. Para configurar um ser vidor
DNS que é ex ecut ado em um cont rolador de dom ínio, é preciso ser m em bro dos grupos de adm inist radores
de DNS, adm inist radores de dom ínio ou adm inist radores da em presa ( Ent erprise) .
Na t abela seguint e, est ão descr it os os quat ro t ipos de zonas que podem ser configurados e os
arquivos de zona associados a elas.
Pr im á r ia Pa dr ã o: Cont ém um a versão de leit ura e gravação do arquivo da zona que é arm azenado
em um arquivo de t ex t o padr ão. As m odificações r ealizadas na zona são regist radas nesse arquivo.
Se cu n dá r ia Pa dr ã o: Cont ém um a ver são de leit ura som ent e do arquiv o da zona que é arm azenado
em um arquiv o de t ext o padrão. As m odificações realizadas na zona são regist radas no arquivo da
zona prim ár ia e replicadas no arquivo da zona secundár ia. Crie um a zona secundár ia padrão para
criar um a cópia de um a zona ex ist ent e e do seu arquivo de zona.
Dessa for m a, pode- se dist ribuir a carga de t rabalho da r esolução de nom es ent r e vários servidores
DNS.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 1 |
Zon a St u b: A zona St ub são cópias de um a zona que cont êm som ent e os regist ros necessár ios par a
ident ificação no serv idor DNS de aut or ização dessa zona. Um a zona st ub cont ém um subconj unt o de
dados da zona que consist e em regist ros SOA, NS e A. As zonas St ub podem ser ut ilizadas quando
um servidor int erno DNS repr esent a a raiz no lugar dos Servidores de Raiz da I nt er net .
3 .4 .1 .1 Zona Pr im á r ia Pa dr ã o
O m odelo pr im ário padrão define um pont o de concent ração de falhas. Por exem plo, se, por
qualquer m ot iv o, o servidor prim ár io de um a zona não est iver disponív el para a rede, não é
possível r ealizar nenhum a at ualização dinâm ica da zona. Lem br e- se de que as consult as de
nom es nas zonas não são afet adas e podem prosseguir sem int errupção sem pre que os
servidor es secundários da zona est ej am disponíveis para r espondê- las.
O acréscim o da nova zona prim ár ia a um servidor exist ent e pode ser concluído sem pr e que
é preciso t er dom ínios ou subdom ínios adicionais no espaço de nom es de dom ínio de DNS.
Por exem plo, era possível t er um a zona para um dom ínio de segundo nível com o
m crosoft .com e adicionar um a zona principal ao novo subdom ínio com o nwt raders.m sft .
Nesse ex em plo, é possível criar a zona nova para o subdom ínio com o assist ent e para
configuração da nova zona do com plem ent o de DNS. Depois de finalizar, é preciso criar um a
delegação na zona prim ár ia do novo dom ínio ( com o a zona m icrosoft .com ) para com plet ar o
acréscim o do novo subdom ínio e a sua zona prim ár ia.
Nas zonas prim árias padrão, pode ser necessário t rocar o servidor prim ário designado para
um a zona. Por exem plo, suponham os que o servidor pr im ário at ual de um a zona prim ária
padrão sej a o Servidor A e o novo servidor prim ár io da zona sej a o Ser vidor B. Para influir
na m udança do est ado do Servidor A para o Servidor B, faça as seguint es m odificações de
zona:
3 .4 .1 .2 Zona s Pa dr ã o Se cu n dá r ia s
As especificações de design do DNS recom endam o uso de, pelo m enos, dois serv idores
DNS para arm azenar cada zona. Para as zonas de t ipo padrão prim árias, é preciso t er um
servidor secundário para adicionar e configurar a zona que aparece ant es dos serv idores
DNS da rede. Os servidores secundários podem proporcionar um m eio para reduzir o
t ráfego de consult as de DNS nas ár eas da rede em que um a zona sej a m uit o consult ada e
ut ilizada. Além disso, se um serv idor prim ário parar de funcionar, o servidor secundário
pode realizar part e da resolução de nom es na zona at é que o serv idor prim ário est ej a
disponível.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 2 |
Ao inst alar um servidor secundário, t ent e colocá- lo o m ais próxim o possível dos client es que
precisam de m ais nom es na zona. Além disso, t am bém é r ecom endável colocar os
servidor es secundários at rav és de um rot eador, sej a em out ras sub- redes ( se for ut ilizada
um a rede LAN) ou em link s de WAN. Dest e m odo, ut iliza- se de form a eficaz um ser vidor
secundár io com o cópia de segurança local nos casos em que um link de rede int er m ediário
é convert ido em um pont o de concent ração de falhas ent re serv idores e client es de DNS
que ut ilizam a zona.
Com o o servidor prim ário sem pre m ant ém a cópia m est re das at ualizações e m udanças
efet uadas na zona, o servidor secundário depende de m ecanism os de t ransferências de
zonas de DNS para obt er suas inform ações e m ant ê- las at ualizadas. Algum as quest ões
com o os m ét odos de t ransferência de zona, sej am m ediant e t ransferências de zona
com plet as ou adicionais, são sim plificadas quando são ut ilizados serv idores secundários. Ao
considerar o im pact o dos servidores secundários nas t ransferências de zona, considere sua
vant agem com o origem da cópia de segur ança de infor m ações e com pare- a com o cust o
agregado est im ado da infra- est r ut ura de rede.
Um a regra sim ples é que para cada servidor secundár io adicionado aum ent a o uso da rede
( dev ido ao t ráfego adicional gerado na r eplicação de zona) e o t em po necessário para
sincronizar a zona em t odos os serv idores secundários.
No Windows Server 2003, é possível adicionar m ais serv idores pr incipais a um a zona devido
às caract eríst icas int egradas de arm azenam ent o e replicação de diret órios do serviço de
DNS. Para isso, é necessár io t rocar um a zona e int egrá- la ao Act ive Direct ory.
Para int egrar um a zona ex ist ent e ao Act iv e Dir ect ory, m odifique o t ipo de um a zona no
servidor pr incipal de or igem onde ela foi criada pela pr im eira vez. Quando o t ipo de zona for
t rocado de padrão principal para I nt egrada ao Act ive Dir ect ory, é possív el adicionar a zona
a out ros serv idores DNS. Par a isso, é preciso configurá- las para iniciar a part ir dos serviços
de diret ório quando o serviço de DNS for reiniciado.
Quando essa opção é selecionada, out ros servidores DNS que funcionam com o
cont roladores de dom ínio para o dom ínio do Act ive Dir ect ory podem consult ar o diret ório e
carregar aut om at icam ent e t odas as zonas int egradas a ele arm azenadas no banco de dados
de dir et ór ios. Não é preciso execut ar nenhum out ro passo. Qualquer servidor DNS que
funcione com o part e do Act ive Direct ory é t am bém , de form a predet erm inada, servidor
principal das zonas int egradas ao diret ório.
Nas zonas principais int egradas ao diret ór io, os serv idores secundários são adm it idos, m as
não são necessários para oferecer t olerância a erros. Por exem plo, os servidores DNS que
funcionam com o cont roladores de dom ínio do Windows Server 2003 podem ser servidores
principais redundant es de um a zona e oferecer as m esm as vant agens que um servidor
secundár io, além de out ras adicionais.
Com o o arquiv o de zona se m ant ém no cont ex t o de nom es de dom ínio do Act ive Direct ory,
os cont rolador es de dom ínio devem est ar no m esm o dom ínio para at uar com o servidores
principais redundant es em um a zona. Quando for necessár io com par t ilhar essas
inform ações de zona ent re dom ínios, dev er á ser cr iada um a zona secundária padrão.
N ot a : Esse t ipo de zona será vist o com m ais clar eza no capít ulo 4 " Act ive Direct ory" .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 3 |
Os arquivos de zona cont êm inform ações sobre as quais um servidor DNS faz referência para realizar duas
t arefas dist int as: convert er nom es de host em endereços I P e conver t er ender eços I P em nom es de host .
Essas inform ações são ar m azenadas com o regist ros de recur sos que preenchem o arquivo de zona. Um
arquivo de zona cont ém os dados de resolução de nom es de um a zona, incluindo r egist ros de r ecur sos com
inform ações para responder a consult as DNS. Os regist ros de recursos são ent radas do banco de dados que
incluem vários at ribut os de um a m áquina, com o o nom e do host ou o nom e do dom ínio com plet o, o endereço
I P e o alias.
A ( h ost ) : Cont ém inform ações de at ribuições de nom e a ender eços I P ut ilizados para at ribuir um nom e de
dom ínio de DNS a um endereço I P de host na rede. Os regist ros de recur sos A t am bém são conhecidos com o
regist ros de host .
N S ( se r vidor de n om e s) : Designa os nom es de dom ínio de DNS dos servidores com aut orização par a um a
det er m inada zona ou um a zona que cont enha o arquivo de zona desse dom ínio.
M X ( m a il e x ch a n ge r ) : Especifica o ser vidor que aplicat ivos de correio elet rônico podem ent regar
correspondência. Por ex em plo, se você t iv er um servidor de correio em execução em um equipam ent o
cham ado m ail1.nwt raders.m sft e quiser que t odo a correspondência de Nom edeUsuário@nwt raders.m sft sej a
ent r egue nesse serv idor, é necessário que o regist ro de recursos MX exist a na zona de nw t rader s.m sft e
apont e ao serv idor de correio desse dom ínio.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 4 |
SOA ( St a r t Of Au t h or it y) : I ndica o pont o de par t ida ou o pont o de origem da aut oridade para as
inform ações ar m azenadas em um a zona. O regist ro de r ecursos SOA é o prim eiro que é criado quando um a
nova zona é adicionada. Ele t am bém possui vários parâm et ros que out ros equipam ent os que usam DNS
ut ilizam para det er m inar por quant o t em po a inform ação da zona ser á ut ilizada e com que freqüência as
at ualizações devem ser realizadas.
PTR ( pont e ir o) : Se você ut ilizar um a zona de pesquisa inver sa cr iada no dom ínio in- addr .arpa para
designar um a at ribuição inv ersa de um endereço I P de host a um nom e de dom ínio DNS de host .
SRV ( se r viço) : É onde são regist rados os serviços par a os quais os client es podem encont rar um serviço
m ediant e DNS. Os regist ros SRV são ut ilizados para ident ificar serv iços no Act ive Direct ory e t am bém são
conhecidos com o regist ros de localização de serv iço.
Na m aior ia das pesquisas de DNS, os client es cost um am realizar um a busca diret a, que é um a solicit ação
para designar um nom e de equipam ent o a um ender eço I P. O DNS t am bém fornece um processo de pesquisa
inver sa que perm it e que os client es solicit em um nom e do equipam ent o confor m e o endereço I P do
equipam ent o.
Para cr iar um a zona de pesquisa diret a, clique em N ova zon a ... em Zon a de pe squ isa dir e t a para
iniciar o Assist ent e de nova zona. O assist ent e o guiará pelo processo de at ribuição de nom es à zona
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 5 |
e ao arquivo de zona, e t am bém criará aut om at icam ent e a zona, o arquiv o de zona e os regist ros de
recur sos necessários para o servidor DNS onde foi cr iada a zona.
Para criar um a zona de pesquisa inversa, clique em N ova zon a ... em Zon a de pe squ isa in ve r sa
para iniciar o Assist ent e de nova zona. O assist ent e indica com o especificar a ident ificação da rede
ou o nom e da zona e com o com provar o nom e do arquivo de zona segundo as inform ações de
ident ificação da rede. Tam bém são aut om at icam ent e criados a zona, o arquivo de zona e o regist ro
de recursos necessários para o servidor DNS onde a zona foi criada.
O dom ínio in- addr.arpa é um dom ínio DNS especial de nível super ior que est á reser vado para a
at ribuição inv ersa de endereços I P nos nom es do host de DNS. Para criar o espaço de nom es
inver so, são form ados subdom ínios no dom ínio in- addr .ar pa com a ordem inversa dos núm eros em
not ação decim al com pont os dos endereços I P.
Para cum prir os padrões RFC, o nom e da zona de pesquisa inver sa exige o sufixo do dom ínio in-
addr.arpa. Par a criar um a zona de pesquisa inv ersa, est e sufixo é aut om at icam ent e adicionado ao
final da ident ificação da rede. Por ex em plo, se a rede ut iliza o ident ificador de rede de classe B
172.16.0.0, o nom e da zona de pesquisa inversa é conver t ido em 16.172.in- addr.arpa.
Para cada zona, o servidor que m ant ém os arquivos de zona prim ár ia padrão é cham ado de se r vidor
pr im á r io, e os servidor es que arm azenam os arquivos de zona secundár ia padrão são cham ados se r vidor e s
se cu n dá r ios. Um servidor DNS pode ar m azenar o arquivo de zona prim ária padrão ( com o serv idor prim ár io)
de um a zona e o arquivo de zona secundár ia padrão ( com o servidor secundário) de out ra zona.
N ot a : Para criar um a zona secundária padr ão, é preciso criar prim eiro um a zona prim ária padrão.
Ao adicionar um a zona secundária padrão, é preciso designar um ou vár ios serv idores DNS de onde
obt er infor m ações de zona. O serv idor ou os serv idores designados são conhecidos com o Servidor es
DNS Mest r es. Um Se r vidor D N S M e st r e t ransfere inform ações da zona ao servidor DNS
secundár io. Você pode designar um servidor prim ário ou out ro serv idor secundário com o Serv idor
DNS Mest r e para una zona secundár ia padrão.
Para especificar um Servidor DNS Mest re na página Servidores Mest res no Assist ent e de nova zona,
insira o endereço I P do Servidor Mest r e na caixa de Endereço I P e clique em Adicionar.
N om e de z on a : n w t r a de r s.m sft
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 6 |
Depois de concluir essa t ar efa, você obt erá um a zona prim ária configurada.
Para proporcionar disponibilidade e t olerância a falhas na r esolução de nom es, os dados da zona devem est ar
disponíveis a part ir de m ais de um serv idor DNS de um a rede. Por exem plo, se você ut ilizar um único
servidor DNS e ele não responder, as consult as de nom es falharão. Quando você configura m ais de um
servidor para arm azenar um a zona, é preciso r ealizar t ransferências de zonas para r eplicar e sincronizar os
dados da zona ent r e os servidores que est ão configurados para arm azená- las.
A t r a n sfe r ê n cia de zon a é o processo no qual um arquivo de zona se replica em out ro serv idor
DNS. As t ransferências da zona são realizadas quando as at ribuições de nom es e endereços I P são
m odificadas no dom ínio. Quando isso ocorre, os arquiv os de zona m odificados são copiados do
Servidor Mest re para seus servidores secundários.
No Windows Server 2003, as infor m ações de um a zona são at ualizadas at ravés de t r a n sfe r ê ncia s
de zon a a dicion a is ( I XFR) , que só replicam as t rocas r ealizadas no arquivo de zona, em v ez de
replicar t odo o arquivo. Os servidores DNS que não aceit am I XFR solicit am o cont eúdo int eiro de um
arquivo de zona quando iniciam um a t ransferência de zona. I sso é conhecido com o AXFR ou
t r a n sfe r ê n cia de z on a com ple t a .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 7 |
nenhum a m odificação. I sso ocorre quando o serviço de Ser vidor DNS é iniciado no servidor
secundár io ou durant e o int er valo de at ualização no serv idor secundário.
Você pode configurar servidores DHCP para at ribuir aut om at icam ent e endereços I P para m áquinas client es.
Quando um client e recebe um novo endereço I P de um servidor DHCP, ele dev e at ualizar as inform ações de
at ribuições de nom es a endereços I P ar m azenados no servidor DNS. No Window s 2003, os servidores e os
client es DHCP podem regist r ar e at ualizar dinam icam ent e as infor m ações dos servidores DNS configurados
para perm it ir at ualizações dinâm icas.
O prot ocolo de at ualização dinâm ica per m it e que a m áquinas client es at ualizem aut om at icam ent e
seus regist ros de recursos em um servidor DNS, sem necessidade de int ervenção do adm inist rador.
As m áquinas com Windows 2000, Windows XP e Windows Server 2003 são configuradas para
realizar at ualizações dinâm icas quando são configuradas com um endereço I P est át ico t am bém .
Quando um servidor DHCP at ribui um endereço I P a um client e DHCP baseado no Windows 2000 ou
no Window s Server 2003, o seguint e processo é ex ecut ado:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 8 |
As m áquinas client es que execut am versões ant eriores do Window s não perm it em at ualizações
dinâm icas. É preciso configurar o serv idor DHCP para que ele sem pre at ualize os regist ros de
recur sos A e PTR desses client es. Nesse caso, o processo a seguir t em início:
Para configurar um servidor DNS para perm it ir at ualizações dinâm icas, abra a caix a de diálogo
Pr opr ie da de s da zona no servidor DNS que desej a configurar. Na guia Ge r a l, na caix a de list agem
Pe r m it ir a t u a liza çõe s din â m ica s?, clique em Sim . Na t abela seguint e, est ão descr it as as opções
disponíveis par a as at ualizações dinâm icas.
ht t p: / / www .m icrosoft .com / Windows2000/ t echnologies/ com m unicat ions/ dns/ default .asp
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 2 9 |
O m ét odo m ais com um para r esolv er nom es Net BI OS rem ot os e locais é o uso de um ser vidor de nom es Net BI OS.
Quando um usuário execut a det er m inados com andos, com o n e t u se , um aplicat ivo Net BI OS int erage com a rede e o
processo de resolução de nom es Net BI OS é iniciado. No cache de nom es Net BI OS, é possív el com provar se exist e a
at ribuição de nom e Net BI OS no endereço I P do host de dest ino. Se o nom e Net BI OS não est iver no cache, o client e
t ent ará det er m inar o endereço I P do host de dest ino at ravés de out ros m ét odos.
Se o nom e não puder ser resolvido com o cache, o nom e Net BI OS do host de dest ino é enviado ao servidor de nom es
Net BI OS configurado para o host de or igem . Quando o nom e é convert ido em um endereço I P, ele é devolvido ao host
de origem .
Regist rar seu nom e no banco de dados WI NS. Ao iniciar um client e, ele regist ra seu nom e no servidor WI NS
configurado.
Renovar o regist ro em int erv alos configuráveis. Os regist ros dos client es são t em porários e, por isso, os client es
WI NS dev em r enovar regular m ent e seu nom e ou a sua concessão será expirada.
Liberar os nom es dos bancos de dados ao fechar . Se o client e WI NS não precisar m ais do nom e, por exem plo,
quando ele é excluído, é env iada um a m ensagem para pedir ao serv idor WI NS que esse nom e sej a liberado.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 0 |
1. Se o client e não puder resolv er o nom e do seu cache, env ie um a consult a de nom e ao seu servidor
WI NS principal. Se ele não responder , o client e enviará a solicit ação m ais duas vezes.
2. Se o client e não receber um a respost a do servidor WI NS pr incipal, ele env ia out r a solicit ação a
t odos os serv idores WI NS adicionais, configurados no client e. Se um servidor WI NS resolver o
nom e, ele responderá ao client e com o endereço I P do nom e Net BI OS solicit ado.
3. Caso nenhum a respost a sej a recebida, o servidor WI NS enviará um a m ensagem indicando que o
nom e não foi encont rado e o client e passará para o m ét odo seguint e de resolução de nom es
configurado.
4 .1 Ex e r cício 1 0 : I n st a la çã o do W I N S
Para criar um servidor WI NS, inst ale o WI NS em um a m áquina onde o W in dow s Se r ve r 2 0 0 3 est ej a sendo
execut ado.
Pa r a in st a la r o W I N S:
A opção WI NS do Microsoft Managem ent Console ( MMC) perm it e que o usuár io vej a o cont eúdo do banco de
dados WI NS e busque ent radas específicas.
Abe r t u r a do ba n co de da dos W I N S
Pa r a a br ir o ba n co de da dos W I N S:
O WI NS m ost r a t odos os regist ros do banco de dados e or ganiza as inform ações de r egist ro do WI NS
nas colunas seguint es:
N om e de r e gist r o: O nom e Net BI OS regist rado, que pode ser um nom e único ou pode
represent ar um grupo, um grupo da I nt ernet ou um a m áquina com m últ iplas placas.
Tipo. O serviço que regist rou a ent rada, incluindo o ident ificador de t ipo hexadecim al.
En de r e ço I P. O endereço I P correspondent e ao nom e regist rado.
Est a do. O est ado da ent rada do banco de dados, que pode ser At ivo, Liberado ou Recusado. Se o
est ado da ent r ada for Recusado, ela não est á at iva e será r em ov ida do banco de dados.
Pr opr ie t á r io. O serv idor WI NS de onde a ent rada se originou. Devido à replicação, não é
necessariam ent e o m esm o servidor que est á sendo vist o no banco de dados.
Ve r sã o Núm ero hexadecim al único, at ribuído pelo servidor WI NS durant e o regist ro de nom es. Os
associados do servidor o ut ilizam para ident ificar novos regist ros durant e a replicação.
Ex pir a çã o. Most ra a dat a de expiração da ent rada. Quando um a replicação é arm azenada no
banco de dados, os dados de expiração correspondent es são est abelecidos conform e a hora no
servidor WI NS de recebim ent o e o int ervalo de renovação est abelecido no client e.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 1 |
4 .3 . Re plica çã o do W I N S
Em bora um servidor WI NS possa aceit ar m ais de 5.000 client es em condições nor m ais de carga de t r abalho,
é possível inst alar um segundo servidor para proporcionar t olerância a falhas na resolução dos nom es
Net BI OS. Esse servidor per m it irá, ao m esm o t em po, localizar o t ráfego de resolução. Dessa for m a, se ocorrer
um erro em um dos servidor es WI NS, o out ro cont inuará execut ando a resolução de nom es Net BI OS na rede.
Cada servidor WI NS de um a rede m ant ém seu própr io banco de dados WI NS. Port ant o, se houv er vários
servidor es WI NS na r ede, eles dev em ser configurados para replicar os regist ros de seus bancos de dados
nos out ros servidores WI NS. A replicação dos bancos de dados WI NS garant e que um client e WI NS
configurado para usar um ser vidor WI NS diferent e possa solucionar os nom es regist rados em out ro servidor
WI NS.
Por e x e m plo:
Com o result ado da replicação, os dois ser vidores WI NS dispõem de inform ações sobre os dois host s, e os
host s A e B podem solucionar m ut uam ent e seus nom es se ent rarem em cont at o com seu serv idor WI NS
local.
Para que sej a produzida um a replicação, cada serv idor WI NS deverá se configurar com um parceiro de
replicação, no m ínim o. Ao configurar um parceiro de r eplicação para um servidor WI NS, é possível especificá-
lo com o parceiro de ext ração, com o parceir o de inser ção ou com o par ceiro de ext ração e inser ção para o
processo de replicação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 2 |
4 .3 .1 .1 . D e fin içã o
1. O Parceiro de envio not ifica seus Parceiros de Replicação sem pre que o núm er o de
m odificações no seu banco de dados do WI NS ult rapassa um valor específico configurável.
Por exem plo, você pode configurar o Par ceiro de Envio para not ificar os Par ceiros de
Replicação quando ocorrerem 50 m odificações no banco de dados.
2. Quando os Par ceiros de Replicação respondem à not ificação com um pedido de replicação,
o Parceiro de Envio env ia a replicação das ent radas novas no banco de dados.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 3 |
4 .3 .2 .1 . D e fin içã o
A replicação de recepção Pu ll é o processo de cópia dos regist ros at ualizados a part ir de um servidor
WI NS para out ros servidores WI NS, em int ervalos específicos de t em po.
Para poder fazer est e exer cício, você precisará de duas inst alações do Windows Serv er 2003 com o ser viço de
WI NS inst alado.
Por padrão, os Parceiros de Replicação do WI NS são configurados com o Push/ Pull Part ners ( Parceiros de
Envio/ Recepção) . Para m odificar essa configuração e sat isfazer às necessidades da sua rede, você pode
especificar os parâm et ros Push e Pull para cada Parceiro de Replicação.
1. Selecione, no console WI NS, o Servidor WI NS ao qual você quer adicionar um Parceiro de Replicação
e clique em Pa r ce ir os de Re plica çã o.
2. Clique em N ovo Pa r ce ir o de Re plica çã o no m enu Açã o.
3. I nsira no cam po Se r vidor W I N S o nom e ou o I P do Servidor WI NS para adicionar com o Parceiro de
Replicação. ( Segundo Com put ador)
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 4 |
4. Clique em OK.
4 .5 . M a n u t e n çã o
4 .5 .1 . Ba ck u p
Você deve realizar t arefas de m anut enção em períodos de t em po específicos. Para aj udá- lo nessa
t arefa, o Servidor WI NS pode ser configurado para realizar os backups aut om at icam ent e. Lem bre- se
de que nem t odos os soft w ares de backup realizam essa t arefa porque o banco de dados é um
arquivo com pr ivilégios ex clusivos do sist em a operacional sem pre que o serviço é iniciado.
4 .5 .2 . Com pa ct a r o ba n co de da dos
Para realizar as operações de reparo e/ ou com pact ação, é preciso ut ilizar as ferram ent as
apropriadas: o banco do WI NS, que é um arquivo localizado em \ Windows\ syst em 32\ Wins e seu
nom e é Wins.m db. A ferram ent a que você deve ut ilizar é o j et pack , e o com ando é:
Onde % syst em root % é o diret ór io de inst alação do sist em a operacional e t em p.m db é um banco
t em porário.
Em seguida, exclua o arquiv o Wins.m db e renom eie o banco t em porár io com o nom e Wins.m db.
Lem br e- se de que, para r ealizar essa t arefa, o serviço do Servidor WI NS precisa est ar suspenso.
4 .6 .1 . Re solu çã o de n om e s de h ost
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 5 |
1. O client e verifica se j á obt ev e a resolução em out ra oport unidade. Se esse for o caso, a resolução é
localizada no cache local DNS do client e e o processo é finalizado. Se a r esolução não for obt ida, vai
para o passo seguint e.
2. O client e realiza um a consult a ao DNS pr im ár io. Se o DNS resolv er a consult a, o processo é
finalizado. Se a resolução não for obt ida, v ai para o passo seguint e.
3. O client e verifica se j á obt eve a resolução em out ra oport unidade. Nesse caso, a resolução é
localizada no cache local do Net BI OS do client e e o processo é finalizado. Se ainda não t iver obt ido a
resolução, vai para o passo seguint e.
4. O client e realiza um a consult a ao WI NS prim ár io. Se o WI NS resolver a consult a, o processo é
finalizado. Se não conseguir a resolução, vai para o passo seguint e.
5. Se ainda assim não conseguir resolver o nom e, o client e realiza um broadcast local. Se a consult a
for resolv ida, o processo é finalizado. Se ainda assim não obt iver obt ido a resolução, vai para o
passo seguint e.
6. Por últ im o, ele t erá que consult ar o arquivo HOST local localizado em
syst em root \ sy st em 32\ dr ivers\ et c. Esse arquivo é um banco est át ico de resolução; não t em
ext ensão e t am bém não é at ualizado. Se esse últ im o processo não obt iver êxit o, o client e não
consegue a resolução.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 6 |
4 .6 .2 . Re solu çã o de n om e s N e t BI OS
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 7 |
1. O client e v erifica se j á obt eve a resolução em out ra oport unidade. Se esse for o caso, a
resolução é localizada no cache local do Net BI OS do client e e o processo é finalizado. Se ainda
não t iv er obt ido a resolução, vai para o passo seguint e.
2. O client e realiza um a consult a ao WI NS prim ário. Se o WI NS r esolver a consult a, o pr ocesso
será finalizado. Se ainda não t iver obt ido a r esolução, vai para o passo seguint e.
3. Se ainda assim não conseguir r esolver o nom e, o client e realiza um broadcast local. Se a
consult a for resolvida, o processo é finalizado. Se não t iv er conseguido a resolução, v ai para o
passo seguint e.
4. Por últ im o, será preciso consult ar o arquivo LMHOST local encont r ado no
syst em root \ sy st em 32\ dr ivers\ et c. Esse arquivo é um banco est át ico de resolução; não t em
ext ensão e t am bém não se at ualiza. Se esse últ im o processo não obt iv er êxit o, o client e não
obt erá a resolução.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 8 |
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 3 | Pá gin a 3 9 |
4 .6 .3 . I n t r odu çã o à in t e gr a çã o W I N S e D N S
A int egração de WI NS com DNS habilit a os client es a usar em exclusivam ent e DNS para a resolução
de nom es. Os client es poder ão acessar os dados do WI NS at ravés do servidor DNS. No ent ant o, o
Servidor DNS não pode localizar recursos sem r ealizar um a consult a ao WI NS. No Window s Server
2003, você pode configurar a int egração ent re o WI NS e o DNS para perm it ir que os client es sem
WI NS resolvam nom es Net BI OS, usando um Serv idor DNS.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 |
Ca pít u lo 4
Act ive D ir e ct or y
1 . I n t r odu çã o
Durant e est e capít ulo, você obt erá conhecim ent os sobre os serviços de diret ório ( Act ive Dir ect ory Ser vices) do Window s
Server 2003, em part icular , sobre alguns dos novos recursos dest e serviço.
Para a realização dos ex ercícios cont idos nest a unidade, será preciso inst alar o Window s Serv er 2003 no exer cício 1 do
capít ulo 2 e fazer um a inst alação adicional.
Descrev er as caract eríst icas do serviço de diret ór io Act iv e Dir ect ory.
I dent ificar est rut uras lógicas e físicas.
I nst alar e configurar o Act iv e Dir ect ory na rede.
I dent ificar car act er íst icas referent es à replicação.
Solucionar problem as do Act ive Direct ory.
1 .1 . D e fin içã o
Em um a r ede do Microsoft ® Window s® Server 2003, o serviço de diret ório Act ive Direct ory® proporciona a
est r ut ura e as funções par a organizar , adm inist rar e cont rolar o acesso aos r ecur sos de rede. Para
im plem ent ar e adm inist rar um a rede do Windows Serv er 2003, você deverá com preender o obj et ivo e a
est r ut ura do Act ive Direct ory .
O Act ive Dir ect ory t am bém perm it e adm inist rar de form a cent ral a rede do Window s Ser ver 2003. Esse recurso
significa que é possível arm azenar de form a cent ral infor m ações sobre a em pr esa, por exem plo, inform ações
de usuários, gr upos e im pr essoras, e que os adm inist rador es podem adm inist rar a rede de um único lugar.
O Act ive Direct ory per m it e delegar o cont r ole adm inist rat ivo de seus obj et os. Essa delegação perm it e que os
adm inist rador es at ribuam a um grupo det er m inado de adm inist rador es perm issões adm inist rat ivas específicas
para obj et os, com o cont as de usuár ios ou de grupos.
O Act ive Dir ect ory é o serviço de diret ório de um a r ede do Window s Server 2003. Um se r viço de dir e t ór io
arm azena infor m ações sobre os recursos da rede e per m it e que os m esm os est ej am acessív eis aos usuários e
aos aplicat ivos. Os serviços de diret ório pr oporcionam um a form a coerent e de nom ear, descr ever , localizar ,
obt er acesso, adm inist rar e prot eger as inform ações relat ivas aos recursos da rede.
1 .2 . A fu n cion a lida de
O Act ive Dir ect ory oferece a funcionalidade de serv iço de diret ór io para organizar, adm inist rar e cont rolar de
form a cent ralizada o acesso aos recur sos de rede. Tam bém faz com que a t opologia física da rede e os seus
prot ocolos passem desper cebidos para que o usuár io de um a rede possa t er acesso a qualquer recurso sem
saber onde ele est á ou com o est á conect ado fisicam ent e à rede. Um exem plo dest e t ipo de recur so é um a
im pr essora.
O Act ive Direct ory est á organizado em seções que perm it em o ar m azenam ent o de um a grande quant idade de
obj et os. Dessa form a, é possível am pliar o Act ive Direct ory à m edida que a organização cresce, perm it indo que
um a organização que t enha um único servidor com cent enas de obj et os se expanda e chegue a t er m ilhares de
servidor es e m ilhões de obj et os.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 |
Um serv idor que ex ecut a o Windows Serv er 2003 arm azena a configuração do sist em a, as inform ações dos
aplicat ivos e as inform ações sobre a localização dos perfis de usuário no Act ive Direct ory. Em com binação com
as diret ivas de grupo, o Act ive Direct ory perm it e que os adm inist radores cont rolem escr it ór ios dist ribuídos,
serviços de rede e aplicações de um local cent ral, ao m esm o t em po em que ut ilizam um a int erface de
adm inist ração coerent e.
Além disso, o Act ive Direct ory proporciona um cont role cent ralizado do acesso aos recursos de rede, ao
perm it ir que os usuários só iniciem a sessão um a única v ez para obt er pleno acesso aos recursos at ravés do
Act ive Dir ect ory.
O Act ive Dir ect ory possibilit a o ar m azenam ent o seguro de infor m ações sobre obj et os na sua est rut ura
hierárquica lógica. Os obj et os do Act iv e Direct ory represent am usuários e recur sos com o, por exem plo, os
com put adores e as im pressor as. Alguns obj et os podem funcionar com o cont êineres par a out ros obj et os.
Com preendendo o obj et ivo e a função desses obj et os, você poderá realizar um a variedade de t arefas,
incluindo a inst alação, a configuração, a adm inist ração e a resolução de problem as do Act ive Dir ect ory.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 3 |
Obj e t os. Eles são os com ponent es básicos da est r ut ura lógica.
Cla sse s de obj e t o. São os m odelos de t ipos de obj et os que podem ser criados no Act ive Direct ory . Cada
classe de obj et o é definida por um grupo de at ribut os que est abelece os valores que podem ser associados a
um obj et o. Cada obj et o t em um a com binação única de valores de at ribut os.
Un ida de s Or ga n iza cion a is Você pode ut ilizar esses cont êineres de obj et os para organizar out ros obj et os
com propósit os adm inist rat ivos. Organizando os obj et os por Unidade Organizacional é m ais fácil localizar e
adm inist rar obj et os. Você t am bém pode delegar aut oridade para adm inist r ar as Unidades Organizacionais. Elas
podem cont er out ras Unidades Organizacionais para sim plificar a adm inist ração de obj et os.
D om ín ios. São as unidades funcionais básicas da est rut ura lógica do Act iv e Direct ory e, port ant o, é um a
coleção de obj et os adm inist rat ivos definidos que com par t ilham , at ravés de um banco de dados com um do
diret ório, diret ivas de segurança e relações de confiança com out ros Dom ínios. Os dom ínios oferecem as 3
funções a seguir:
Um lim it e adm inist rat iv o para os obj et os
Meios de adm inist rar a segurança dos recur sos com part ilhados
Um a unidade de replicação para os obj et os
Ár v or e s de dom ín io. São Dom ínios agrupados em est rut uras hierárquicas. Quando um segundo dom ínio é
adicionado a um a árvore, ele é conver t ido em Filho da árvore Raiz do Dom ínio. O dom ínio ao qual um Filho do
Dom ínio é adicionado é cham ado de Dom ínio Pai. O Dom ínio Filho pode t er seus próprios Dom ínios Filhos e seu
nom e é com binado com o nom e do seu Dom ínio Pai para form ar o seu próprio nom e ex clusivo, o DNS ( Dom ain
Nam e Syst em ) . Um exem plo seria corp.nwt r aders.m sft . Desse m odo, um a árvore t em um Nom e de Espaço
cont ínuo.
Flor e st a s. Um a Florest a é um a inst ância com plet a do Act ive Direct ory , e consist e em um a ou m ais árvores.
Em um a única árvore de 2 nív eis, recom endável para a m aioria das organizações, t odos os Dom ínios Filhos são
filhos do Dom ínio Raiz da Florest a para for m ar um a árvore cont ígua. O prim eiro dom ínio na florest a é cham ado
de Dom ínio Raiz da Florest a e o nom e desse dom ínio faz referência à flor est a, por exem plo, nw t rader s.m sft .
Por padrão, as inform ações no Act ive Direct ory só são com part ilhadas dent ro da florest a. Dessa form a, a
segurança da florest a est ará cont ida em um a única inst ância do Act ive Direct ory .
Em com paração com a est rut ura lógica e os requisit os adm inist rat ivos dos m odelos, a est r ut ura física do Act iv e
Dir ect ory ot im iza o t ráfego da rede, det er m inando com o e quando ocorre a replicação e o t ráfego do logon.
Para ot im izar o uso da largura de banda da r ede Act ive Direct ory, você precisa ent ender a sua est rut ur a física.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 4 |
Con t r ola dor e s de dom ín io. Est es com put adores ex ecut am o Microsoft ® Windows® Server 2003 ou o
Windows 2000 Server e o Act ive Direct ory. Cada Cont rolador de Dom ínio realiza funções de ar m azenam ent o e
replicação e, além disso, ofer ece suport e a apenas um dom ínio. Para garant ir um a disponibilidade cont ínua do
Act ive Dir ect ory, cada dom ínio deve t er m ais de um cont rolador de dom ínio.
Sit e s do Act ive D ir e ct or y Os sit es são gr upos de com put adores conect ados. Quando você est abelece sit es,
os Cont roladores de Dom ínios que est ão dent ro de um m esm o sit e podem se com unicar com freqüência. Essa
com unicação r eduz ao m ínim o o est ado de lat ência dent ro do sit e, isso é, o t em po necessário para que um a
m odificação realizada em um Cont rolador de Dom ínio sej a duplicada nos out ros cont rolador es de dom ínio.
Você cr ia sit es para ot im izar o uso da largura de banda ent r e cont roladores de dom ínio em div ersos locais.
Pa r t içõe s do Act ive D ir e ct or y Cada Cont rolador de Dom ínio cont ém as seguint es part ições do Act ive
Dir ect ory:
Part ições de Dom ínio, que cont êm a replicação de t odos os obj et os nest e dom ínio. Essa part ição é
duplicada apenas para out ros Cont rolador es de Dom ínio do m esm o dom ínio.
Part ição de Configuração, que cont ém a t opologia da florest a. A t opologia regist ra t odas as conexões
dos Cont roladores de Dom ínio na m esm a flor est a.
Part ição de Esquem a, que cont ém o esquem a da florest a. Cada flor est a t em um esquem a de m odo
que a definição de cada classe do obj et o sej a const ant e. As part ições de Configuração e Esquem a de
Part ições são duplicadas para cada Cont rolador de Dom ínio na florest a.
Opções de Par t ição de Aplicat ivos que cont êm os obj et os relacionados à segurança e são ut ilizados por um ou
m ais aplicat iv os. As part ições de aplicat ivos são duplicadas em Cont roladores de Dom ínio específicos na
florest a.
1 .5 . O qu e sã o M e st r e de Ope r a çõe s?
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 5 |
Quando é realizada um a m odificação em um dom ínio, essa m odificação é duplicada em t odos os seus
cont roladores de dom ínio. Algum as m odificações, com o as feit as no esquem a, são duplicadas em
t odos os dom ínios na florest a. Est e t ipo de replicação é cham ado de M u lt im a st e r Re plica t ion .
Durant e a replicação m ult im ast er , é possível que ocorra um conflit o de replicação que ger e
at ualizações sim ult âneas no m esm o at ribut o do obj et o e em dois Cont roladores de Dom ínio. Para
evit ar conflit os de replicação, você pode ut ilizar Sin gle M a st e r Re plica t ion , que designa um
Cont rolador de Dom ínio com o o único onde é possível realizar m odificações de diret ório.
Dessa m aneira, as m odificações não podem ocorrer em diversos lugar es da rede ao m esm o t em po. O
Act ive Direct ory usa o Single Mast er Replicat ion para m odificações im port ant es, por exem plo, o
acréscim o de um novo dom ínio ou m odificações no esquem a da florest a.
As operações que ut ilizam Replicação Mest re Única são r ealizadas j unt o com funções específicas na
florest a ou no dom ínio. Essas funções se cham am Fu n çõe s de M e st r e de Ope r a çõe s. Para cada
Função de Mest re de Operação, som ent e o Cont rolador de Dom ínio que t em a função pode realizar as
m odificações associadas ao diret ório. O Cont rolador de Dom ínio r esponsável pela função em part icular
é cham ado de M e st r e de Ope r a çõe s de st a fu n çã o. O Act ive Dir ect ory, por sua vez, arm azena as
inform ações sobre o Cont rolador de Dom ínio que execut a um a função específica.
As Funções de Mest re de Operações são r ealizadas no nível da florest a ou do dom ínio, e o Act ive
Dir ect ory define cinco delas, que possuem um a localização padrão.
M e st r e de I de n t ifica dor r e la t ivo. Quando se cria um novo obj et o, o Cont rolador de Dom ínio cria
um novo Obj et o de Segurança que represent a o obj et o, at ribuindo- lhe um I dent ificador de Segurança
Único ( SI D) . O SI D consist e em um Dom ínio SI D que é igual para t odos os Obj et os de Segurança
criados no dom ínio e um ident ificador relat ivo ( RI D) , único para cada obj et o de segur ança criado no
dom ínio. O RI D Mest re designa blocos de RI Ds para cada Cont rolador de Dom ínio no dom ínio. O
Cont rolador de Dom ínio designa o RI D aos obj et os criados do bloco designado dos RI Ds.
M e st r e de I n fr a - e st r u t u r a . Quando os obj et os são t ransferidos de um dom ínio para out ro, a I nfra-
est r ut ura Mest re at ualiza as referências ao obj et o nesse e no out ro dom ínio. A r efer ência do obj et o
cont ém o Obj ect Globally Unique I dent ifier ( GUI D) , o Nom e Dist int o e o SI D. O Act ive Direct ory
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 6 |
at ualiza periodicam ent e o Nom e Dist int o e o SI D, na refer ência ao obj et o para reflet ir as m odificações
realizadas no obj et o real, por exem plo, m ovim ent os em e ent re dom ínios ou a elim inação do obj et o.
Cada dom ínio na florest a cont ém seu próprio Em ulador de PDC, Mest re RI D e o Mest r e de I nfra-
est r ut ura.
Não ocorre nenhum a perda de dados quando você t ransfere a Função de Mest re de Operações. O
Act ive Direct or y duplica a Função de Mest r e de Operações real para o novo Cont rolador de Dom ínio,
assegurando que a nova Função de Mest re de Operações obt erá as infor m ações necessárias para essa
função. Essa t r ansfer ência ut iliza o m ecanism o da replicação do diret ór io.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 7 |
Um serviço de diret ório é um depósit o est rut urado de infor m ações sobre pessoas e recursos em um a organização. Em
um a rede do Windows Serv er 2003, o serviço de diret ório é o Act ive Direct ory .
Pe r m it e qu e u su á r ios e a plica t ivos t e n ha m a ce sso a in for m a çõe s sobr e obj e t os. Essas infor m ações
são ar m azenadas na form a de valores de at ribut os. Você pode procurar obj et os por classe, at r ibut o, valor do
at ribut o, localização na est rut ura do Act iv e Dir ect ory ou qualquer com binação desses v alores.
É possíve l fu n cion a r com o se r viço de sist e m a n ã o- ope r a cion a l O Act ive Direct ory no Modo
de Aplicação ( AD/ AM) é um novo recurso do Microsoft Act ive Direct ory e at ua em cenários de aplicat ivos em
diret órios. O AD/ AM funciona com o serviço de Sist em a Não- Operacional e, com o t al, não exige inst alação em
um Cont rolador de Dom ínio. Execut ar serviços de Sist em a Não- Operacional significa que m últ iplas inst âncias
de AD/ AM podem funcionar sim ult aneam ent e em um único servidor , sendo cada inst ância configurável de
form a independent e.
Para obt er m ais infor m ações sobre o ADAM ( Modo de Aplicat ivo do Act iv e Dir ect ory) :
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 8 |
2 .2 . O qu e é o e squ e m a ?
O esquem a do Act ive Dir ect ory cont ém as definições de t odos os obj et os, com o, por exem plo, usuár ios,
com put adores e im pr essoras arm azenados no Act ive Direct ory. Nos Cont roladores de Dom ínio que ex ecut am o
Windows Serv er 2003, só ex ist e um esquem a para t oda a florest a. Dessa form a, t odos os obj et os cr iados no
Act ive Dir ect ory seguem as m esm as regras.
O Esquem a t em dois t ipos de definições: classes de obj et o e at ribut os. Um exem plo de Classes de Obj et o são
os usuários, o com put ador e a im pressora, que descr evem os obj et os que podem ser cr iados no dir et ório. Cada
Classe de Obj et o é um a coleção de at ribut os. Os at r ibut os são definidos separadam ent e das Classes de Obj et o.
Cada at r ibut o é definido som ent e um a v ez e pode ser ut ilizado em vár ias Classes de Obj et o. Por ex em plo, o
at ribut o da descrição é ut ilizado em vár ias Classes de Obj et os, m as só é definido um a única vez no Esquem a
para garant ir a consist ência.
Você t am bém pode criar nov os t ipos de obj et os no Act ive Dir ect ory est endendo o Esquem a. Por exem plo, par a
um aplicat ivo de Serv idor de E- m ail, é possível am pliar a Classe de Usuário no Act ive Dir ect ory com at ribut os
de diret ório que cont enham inform ações adicionais, com o o endereço e o e- m ail dos usuários.
Nos Cont roladores de Dom ínio do Windows Server 2003, você pode rev ert er m odificações de
esquem a desat ivando- os e perm it indo que as organizações; dest a form a, m elhorem o uso dos recursos de
ext ensão do Act ive Direct ory.
Tam bém é possível redefinir um a classe ou at ribut o do Esquem a, por exem plo, m odificar a sint ax e
da seqüência de Unicode do at ribut o cham ado Gerenciador de Vendas par a um Nom e Dist int o.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 9 |
2 .3 O qu e é o Ca t á logo Globa l?
O Ca t á logo Globa l é um reposit ório de inform ações que cont ém um subconj unt o de at ribut os de t odos os
obj et os no Act ive Dir ect ory. Os m em bros do grupo Adm inist radores de Esquem a podem m odificar os at ribut os
arm azenados no Cat álogo Global, dependendo das necessidades da organização.
Os at ribut os ut ilizados com m ais freqüência em consult as, por exem plo, nom e, sobrenom e e nom e de logon
dos usuários.
As infor m ações necessár ias para det er m inar as localizações de qualquer obj et o no dir et ório.
Um subconj unt o padrão dos at ribut os de cada t ipo de obj et o.
As perm issões de acesso par a cada obj et o e at ribut os ar m azenados no Cat álogo Global. Se você est iv er
pesquisando um obj et o e não t iver perm issão apropriada para vê- lo, o obj et o não aparecerá nos r esult ados da
pesquisa. As perm issões de acesso garant em que os usuários só localizem os obj et os aos quais eles t êm
acesso.
O Se r vidor de Ca t á logo Globa l é um Cont rolador de Dom ínio que processa de form a eficient e consult as
ent r e florest as do Cat álogo Global. O prim eiro Cont rolador de Dom ínio que você cr ia no Act ive Dir ect ory é
aut om at icam ent e conv ert ido em Servidor de Cat álogo Global. Você pode configurar Servidores de Cat álogo
Global adicionais para equilibr ar o t ráfego para logon e consult as.
Pesquisar inform ações no Act ive Direct ory em t oda a flor est a, independent e da localização dos dados.
Usar inform ações de associação do Grupo Universal no pr ocesso de logon na rede.
Os serv idores de cat álogo global duplicam seu cont eúdo em um esquem a de replicação. At é o
Windows 2000, essas duplicações eram do t ipo sincronização t ot al, m as a part ir do Window s Server 2003 é
possível fazer a sincronização de m odo par cial, ou sej a, r eplicando as m odificações apenas, em vez de enviar o
cat álogo com plet o.
Para poder ut ilizar esse novo recurso do Windows Server 2003, você pode t er o nível de
funcionalidade do m odo Windows 2000 ou Windows Serv er 2003, m as só podem ser feit as duplicações parciais
ent r e os servidores de Cat álogo Global que execut am o Windows Serv er 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 0 |
O LDAP ut iliza um nom e que repr esent a obj et os no Act ive Dir ect ory por um a série de com ponent es
relacionados com a sua est r ut ura lógica. Essa represent ação é cham ada N om e D ist in t o do obj et o e ident ifica
o dom ínio onde est á localizado o obj et o e a t raj et ór ia com plet a at é chegar a ele. O Nom e Dist int o deve ser
único na flor est a Act iv e Direct ory.
O N om e D ist in t o Re la t ivo de um obj et o o ident ifica de m odo único no seu cont êiner. Dois obj et os no m esm o
cont êiner não podem t er o m esm o nom e. O Nom e Dist int o Relat ivo sem pre é o pr im eiro com ponent e do Nom e
Dist int o, m as pode não ser sem pre um Nom e Com um .
Para um a usuária cham ada Suzan Fine da Unidade Organizacional Sales ( Vendas) no dom ínio Cont oso.m sft ,
cada elem ent o da est r ut ura lógica est á r epr esent ando no seguint e nom e dist int o:
Os com ponent es de dom ínio dos Nom es Dist int os baseiam - se no Dom ain Nam e Syst em ( DNS) .
2 .5 . Fe r r a m e n t a s e sn a p- in s do Act ive D ir e ct or y
O Window s Server 2003 oferece div ersos snap- ins e fer ram ent as de linha de com ando para adm inist rar o
Act ive Direct ory. Você t am bém pode adm inist rar o Act ive Dir ect or y usando o Act ive Direct ory Service
I nt erfaces ( ADSI ) . O ADSI é um a int erface sim ples de grande alcance para criar script s reut ilizáveis para
adm inist rar o Act ive Dir ect ory.
N ot a : A ferram ent a ADSI Edit pode ser inst alada a par t ir do CD do Windows Serv er 2003. Ela pode ser
encont rada na past a \ Suppor t \ Tools.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 1 |
Sn a p- in D e scr içã o
É um Microsoft Managem ent Console ( MMC) ut ilizado para adm inist rar e publicar
Usuár ios e
inform ações no Act ive Dir ect ory. Você pode adm inist rar as cont as de usuário,
com put adores do
grupos e cont as de com put ador, adicionar com put adores ao dom ínio, adm inist rar
Act ive Dir ect ory
diret ivas de cont as, dir eit os de usuário e dir et ivas de audit oria.
É um MMC ut ilizado para adm inist rar Relações de Confianças de Dom ínio e
Dom ínios e Relações Relações de Confianças de Florest a, adicionar sufixos de nom e principal de usuár io
de Confianças do e m odificar níveis de funcionam ent o de dom ínios e flor est a.
Act ive Dir ect ory Os Sit es e Serviços do Act ive Dir ect ory são um MMC que você ut iliza para
adm inist rar a r eplicação do diret ório.
Esquem a do Act ive É um MMC ut ilizado para adm inist rar o esquem a. Não est á disponível por padrão
Dir ect ory no m enu.
Ferram ent as
Você dev e adicioná- las m anualm ent e.
Adm inist rat ivas
Fe r r a m e n t a D e scr içã o
Adiciona obj et os ao Act iv e Dir ect ory, com o com put adores, usuár ios, grupos, unidades
Dsadd
organizacionais e cont at os.
Dsm od Modifica obj et os no Act iv e Dir ect ory, com o com put adores, servidor es, usuár ios, grupos,
unidades organizacionais e cont at os.
Execut a consult as no Act ive Dir ect ory segundo crit ér ios especificados. Você pode execut ar
Dsquery consult as em servidores, com put adores, gr upos, usuár ios, sit es, unidades organizacionais e
part ições.
Move obj et os dent ro de um dom ínio para um a nova localização no Act ive Direct ory ou
Dsm ove
renom eia um único obj et o sem m ovê- lo.
Most ra at ribut os selecionados de um com put ador, cont at o, grupo, unidade organizacional,
Dsget
servidor ou usuário do Act iv e Dir ect ory.
Csvde I m port a e export a dados do Act ive Dir ect ory usando form at o separado por vírgulas.
Cria, m odifica e exclui obj et os do Act ive Direct ory . Tam bém pode est ender o Esquem a do
Ldifde Act ive Direct or y e export ar inform ações de usuár ios e gr upos para out ros aplicat ivos ou
serviços.
Para obt er m ais infor m ações sobre ferram ent as de linha de com ando:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 2 |
3 . I n st a la çã o do Act ive D ir e ct or y:
Ant es de inst alar o Act ive Direct ory, você deve garant ir que o com put ador est ej a pr eparado para ser um
Cont rolador de Dom ínio, cum pr indo requisit os de hardware e do sist em a operacional. Além disso, o
Cont rolador de Dom ínio deverá t er acesso ao serv idor de DNS, que dev e cum prir det er m inados requisit os para
oferecer suport e à int egração com o Act iv e Direct ory.
Um com put ador execut ando o Microsoft ® Windows® Server 2003 St andard Edit ion, Ent erprise Edit ion ou
Dat acent er Edit ion. O Windows Server 2003 Web Edit ion não oferece suport e ao Act iv e Dir ect ory.
Um m ínim o de 250 m egabyt es ( MB) de espaço no disco. 200 MB para o banco de dados do Act ive Dir ect ory e
50 MB para o log de t ransações do Act ive Direct ory. Os requisit os de t am anho do arquivo para a base do
Act ive Dir ect ory e os arquivos de regist r o, dependem do núm ero e do t ipo de obj et os no dom ínio. Ser á
necessário t er espaço de disco adicional se o Cont rolador de Dom ínio t am bém for Serv idor de Cat álogo Global.
Um a par t ição ou um volum e com form at o NTFS e com sist em a de arquiv os. A part ição NTFS é ex igida para a
past a SYSVOL.
Os priv ilégios adm inist rat ivos necessár ios para criar um dom ínio em um a rede ex ist ent e do Window s Server
2003.
Um Serv idor DNS de aut orização para o Dom ínio de DNS e suport e para os requisit os enum erados na t abela
seguint e.
Re gist r os de Re cu r sos do Se r vidor ( Obr iga t ór io) – Re cur sos Loca liza dor de Se r viço ( SRV) . São
regist ros de DNS que ident ificam os serviços específicos oferecido nos com put adores de um a rede do Window s
Server 2003. O Servidor DNS que oferece supor t e à inst alação do Act ive Dir ect ory precisa de suport e a
Regist ros de Recursos de Servidor. Caso cont rário, v ocê deve configurar o DNS localm ent e durant e a
inst alação do Act ive Direct ory ou configurar o DNS m anualm ent e após a inst alação do Act ive Direct ory .
At u a liza çõe s D in â m ica s ( Opcion a is) . A Microsoft r ecom enda que os servidores DNS t am bém perm it am
at ualizações dinâm icas. O pr ot ocolo dinâm ico de at ualização per m it e que os servidores e os client es em um
am bient e DNS adicionem e at ualizem o banco de dados do DNS aut om at icam ent e, o que dim inui os esforços
adm inist rat ivos. Se você ut ilizar soft ware DNS que oferece suport e aos Regist ros de Recur sos de Ser vidor, m as
que não ofer ece supor t e ao prot ocolo dinâm ico de at ualização, é pr eciso inserir os Regist ros de Recursos de
Servidor m anualm ent e no banco de dados DNS.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 3 |
secundár ios dessa zona. As t r ansfer ências increm ent ais da zona são opcionais, m as são recom endáv eis porque
econom izam largura de banda da rede, duplicando apenas os regist ros novos ou m odificados ent re os
Servidores DNS, em vez do arquivo do banco de dados int eiro da zona.
Aplica a dir e t iva de Au t or ida de de Se gu r a n ça Loca l ( LSA) . Essa configuração indica que o servidor é
um Cont rolador de Dom ínio.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 4 |
Depois as part ições são at ualizadas at rav és da replicação, em cada um dos Cont rolador es de Dom ínio criados
de form a subseqüent e na flor est a.
Cr ia o dom ín io r a iz da flor e st a . Se o ser vidor for o prim eiro Cont rolador de Dom ínio na rede, o processo de
inst alação cr ia o Dom ínio de Raiz de Florest a e at ribui as Funções de Mest re de Operações ao Cont rolador de
Dom ínio, incluindo:
Cr ia a pa st a com pa r t ilh a da do volu m e do sist e m a . Essa est r ut ura de past as reside em t odos os
Cont rolador es de Dom ínio do Windows Serv er 2003 e cont ém as seguint es past as:
A past a com part ilhada SYSVOL, que cont ém inform ações de Diret iva de Grupo.
A past a com part ilhada de Logon de Rede, que cont ém os script s de logon para com put adores que não
execut am o Windows Serv er 2003.
Con figu r a pr opr ie da de a o sit e a pr opr ia do pa r a o Con t r ola dor de D om ín io. Se o I P do serv idor que
você est á prom ovendo a Cont rolador de Dom ínio est iv er em um a sub- rede definida no Act ive Dir ect ory , o
assist ent e colocará o Cont rolador de Dom ínio no sit e associado com a sub- rede. Se não for definido nenhum
obj et o de sub- rede ou se o I P do serv idor não est iver dent ro do int ervalo da sub- rede do Act ive Direct ory, o
servidor será colocado no Prim eiro Sit e Padrão. O pr im eiro sit e é inst alado aut om at icam ent e quando você cr ia
o prim eiro Cont rolador de Dom ínio na florest a. O assist ent e de inst alação do Act ive Direct ory cria um servidor
de obj et o do Cont rolador de Dom ínio no sit e apropriado. O servidor de obj et os cont ém as inform ações
necessárias para a replicação e t am bém cont ém um a refer ência ao obj et o do com put ador nos Cont roladores de
Dom ínio OU, indicando que o Cont rolador de Dom ínio est á sendo criado.
Aplica a se n h a à con t a do a dm in ist r a dor . Você ut iliza a cont a par a iniciar o Cont rolador de Dom ínio no
Modo de Rest auração de Serviços de Diret ório.
Você ut iliza o Assist ent e para I nst alação do Act ive Direct ory para criar a est rut ura de flor est a e
dom ínio. Quando inst ala o Act ive Direct ory pela prim eira vez em um a rede, você t em que cr iar o
Dom ínio Raiz da Florest a e depois ut ilizar o assist ent e para criar árvores e dom ínios filhos adicionais.
O Assist ent e para I nst alação do Act ive Direct ory orient ará você no processo de inst alação e lhe
solicit ará as inform ações necessárias, que variam conform e as opções selecionadas.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 5 |
1. Clique em I n icia r e depois em Ex e cu t a r e escr eva dcpr om o. Em seguida, pressione Ent er.
O assist ent e v erificará:
Se o usuário validado é m em bro do grupo de adm inist radores locais.
Se o com put ador est á execut ando um sist em a operacional que ofereça supor t e ao Act ive
Dir ect ory.
Se foi realizada um a inst alação ou rem oção de um a v ersão ant erior do Act ive Direct ory
sem reiniciação do com put ador, ou se não há um a inst alação ou um a ret irada do Act ive
Dir ect ory em andam ent o. Se qualquer um a dessas quat ro verificações falhar, um a m ensagem
de erro aparecerá e você sair á do assist ent e.
2. Na página Be m - vin do, clique em Ava n ça r .
3. Na página Com pa t ibilida de do Sist e m a ope r a cion a l, clique em Ava n ça r .
4. Na página Tipo de Con t r ola dor de dom ín io, clique em Con t r ola dor de dom ín io pa r a u m
n ovo dom ín io, e depois clique em Ava n ça r .
5. Na página Cr ia r n ovo dom ín io, clique no D om ín io e m u m a n ova flor e st a e depois em
Ava n ça r .
6. Na página N ovo n om e de dom ín io, insira o Nom e do DNS para o novo dom ínio
( nw t raders.m sft ) e depois clique em Ava n ça r .
7. Na página N om e de dom ín io N e t BI OS v erifique o Nom e Net BI OS ( NWTRADERS) e depois
clique em Ava n ça r . O nom e Net BI OS ident ifica o dom ínio nos com put adores de client e
execut ando versões ant er iores do Window s e do Window s NT. O assist ent e ver ifica se o nom e
Net BI OS é único. Se não for, ele pedirá para que você m odifique o nom e.
8. Na página Pa st a s do ba n co de da dos e log, especifique a localização em que desej a inst alar
as past as do banco de dados e dos logs. Em seguida, clique em Ava n ça r .
9. Na página Volu m e de Sist e m a Com pa r t ilh a do, especifique o local onde você desej a inst alar
a past a SYSVOL ou clique em Pr ocu r a r ... para escolher um local e depois clique em Ava n ça r .
10. Na página D ia gn óst ico de r e gist r o de D N S ver ifique se há um servidor DNS de aut orização
para essa florest a; se necessário, clique em I n st a la r e con figu r a r o se r vidor D N S n e st e
com pu t a dor e de fin ir e st e com pu t a dor pa r a usa r o se r vidor D N S com o se u se r vidor
D N S, e depois clique em Ava n ça r .
11. Na página Pe r m issõe s, especifique se foram at ribuídas perm issões padrão aos obj et os de
usuár io e grupo com pat íveis com os servidores que execut am versões ant er iores do Window s
ou do Windows NT, ou som ent e com os serv idores do Windows Server 2003.
12. Quando for pergunt ado, especifique a senha para o m odo de rest auração dos serviços de. Os
cont roladores de dom ínio do Windows Server 2003 m ant êm um a ver são pequena do banco de
dados de cont as do Microsoft Windows NT 4.0. A única cont a nesse banco de dados é a cont a
do adm inist rador e ela é exigida para aut ent icação quando o com put ador é ligado no Modo
Dir ect ory Services Rest or e porque o Act ive Dir ect ory não é iniciado dest e m odo.
13. Revej a a página Su m á r io e depois clique em Ava n ça r para com eçar a inst alação.
14. Quando solicit ado, reinicie o com put ador .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 6 |
Para concluir esse ex ercício, você pr ecisar á de dois com put adores ou dois PCs Virt uais, com um
Cont rolador de Dom ínio inst alado ( Exercício 1) e um Windows Server 2003.
O procedim ent o é sem elhant e à criação de um novo Cont rolador de Dom ínio, com ex ceção de que é
preciso selecionar na prim eira t ela do assist ent e a opção Adicion a r con t r ola dor de dom ín io
a dicion a l pa r a u m dom ín io. O rest ant e do processo pode ser realizado de duas for m as:
No Windows Server 2003, você pode renom ear um Cont rolador de Dom ínio depois que ele j á t iver sido
inst alado. Para renom ear um Cont rolador de Dom ínio, você deve t er direit os de Adm inist rador do Dom ínio.
Quando você renom eia um Cont rolador de Dom ínio, é preciso adicionar o novo nom e do Cont r olador de
Dom ínio e rem over o nom e ant igo nos bancos de DNS e Act ive Direct ory . A renom eação de um Cont r olador de
Dom ínio só é possível se o Nív el Funcional do Dom ínio for configurado com o Windows Server 2003. Est a
configuração será abordada m ais a frent e nest e capít ulo.
Você poder t rocar o sufixo de DNS Pr im ário de um Cont rolador de Dom ínio quando renom eia o Cont rolador de
Dom ínio. No ent ant o, ao m odificar o sufixo do DNS Prim ário, não m ov a o Cont rolador de Dom ínio para um
novo dom ínio do Act ive Dir ect ory. Por exem plo, se você renom ear dc2.nwt rader s.m sft para dc1.cont oso.m sft ,
o com put ador cont inua sendo um Cont rolador de Dom ínio do nwt raders.m sft , em bora seu sufixo de DNS
prim ár io sej a cont oso.m sft . Para m over um Cont rolador de Dom ínio para out ro dom ínio, você dev e prim eiro
rebaixar o Cont rolador de Dom ínio e depois prom ovê- lo no novo dom ínio.
Obt enha inform ações sobr e a inst alação do Act ive Direct ory
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 7 |
Ao inst alar o Act iv e Dir ect ory, você pode t er problem as. Eles podem ser cr edenciais inadequadas de
segurança, uso de nom es que não são únicos, um a rede não confiável ou falt a de recursos.
Em seguida, são descr it os alguns problem as com uns que você pode encont rar enquant o inst ala o Act ive
Dir ect ory e algum as est rat égias para resolv ê- los.
Ace sso n e ga do e n qu a n t o cr ia ou a dicion a os Con t r ola dor e s de D om ín io. Feche a sessão e depois
reinicie com um a cont a que pert ença ao grupo local de adm inist rador es. As cr edenciais devem ser de um
usuár io que é m em bro do Adm ins de Dom ínio ou Adm ins da em presa.
O dom ín io n ã o pode se r con t a t a do Verifique se há conexão de rede ent re o servidor que você est á
prom ovendo a Cont rolador de Dom ínio e se há, pelo m enos, um Cont r olador de Dom ínio no dom ínio. Use o
com ando ping do prom pt de com ando para t est ar a conexão com qualquer Cont rolador de Dom ínio do dom ínio.
Verifique se o DNS proporciona a resolução de nom es, pelo m enos, a um Cont rolador de Dom ínio no dom ínio.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 8 |
4 .1 . I n t r oduçã o
Um a vant agem de int egrar o DNS e o Act ive Dir ect ory é a capacidade de int egrar as zonas de DNS no banco
de dados do Act ive Direct ory . Um a zona é part e do Espaço de Nom e de Dom ínio que agrupa regist ros de form a
lógica, perm it indo t ransferências de zona desses regist ros para funcionar com o um a unidade.
Os Servidor es DNS da Microsoft arm azenam as infor m ações que são ut ilizadas para resolver os nom es de host
em endereços I P e ender eços I P em nom es de host , usando um banco de dados em form at o de arquivo que
t enha um a ex t ensão .dns para cada zona.
As Zon a s do Act ive D ir e ct or y I n t e gr a da s são prim árias e st ub, e arm azenadas com o obj et os no banco de
dados do Act iv e Dir ect ory. Você pode arm azenar obj et os da zona na Part ição de Aplicat ivos do Act ive Dir ect or y
ou na Part ição de Dom ínio do Act iv e Direct ory. Se os obj et os de zona est iverem arm azenados na Part ição de
Aplicat ivos do Act ive Direct or y, som ent e os Cont roladores de Dom ínio sob essa Part ição de Aplicat iv o podem
part icipar na r eplicação dest a part ição. No ent ant o, se os obj et os de zona forem arm azenados na Part ição de
Dom ínio do Act ive Direct ory , t odos os Cont roladores de Dom ínio serão duplicados no dom ínio.
Re plica çã o m u lt im a st e r . Quando você configura Zonas no Act ive Direct ory I nt egrado, as at ualizações
dinâm icas do DNS baseiam - se no m odelo m ult im ast er . Nest e m odelo, qualquer servidor de aut orização do
DNS, por exem plo, um Cont rolador de Dom ínio ex ecut ando o Ser vidor DNS, é prim ár io par a a zona.
Considerando que a Cópia Mest re da zona se m ant ém na base do Act iv e Dir ect ory ( que é duplicado
com plet am ent e para t odos os Cont rolador es de Dom ínio) , a zona pode ser at ualizada pelos Servidores DNS
funcionando em qualquer Cont rolador de Dom ínio do dom ínio.
At u a liza çõe s din â m ica s de se gu r a n ça Com o as zonas do DNS são obj et os do Act ive Direct ory nas Zonas
do Act ive Direct ory I nt egrado, você pode aplicar per m issões aos regist ros dent ro dessas zonas e t am bém pode
cont rolar que com put adores podem at ualizar seus regist r os. Dessa m aneira, as at ualizações que ut ilizam o
prot ocolo dinâm ico de at ualização só podem ser recebidas dos com put adores aut orizados.
Para obt er m ais infor m ações sobre as Zonas do Act iv e Diret ory I nt egrado:
Durant e esse exercício, você verificará se o seu Servidor DNS t em a zona int egrada com o Act iv e Direct ory.
Pa r a ve r ifica r o D N S:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 1 9 |
5 .1 . I n t r oduçã o
No Windows Server 2003, a funcionalidade de flor est a e dom ínio proporciona um a m aneira de perm it ir os
novos recursos em t oda a florest a ou dom ínio do Act ive Direct ory no seu am bient e de r ede. Diver sos níveis da
funcionalidade da florest a e do dom ínio est ão disponíveis, dependendo do seu am bient e de rede.
A funcionalidade do dom ínio at iva os recursos que afet arão o dom ínio int eiro e som ent e esse dom ínio. Quat r o
níveis funcionais de dom ínio est ão disponíveis:
W in dow s 2 0 0 0 m ist a . Esse é o nív el operacional padrão. Você pode elevar o nível de
funcionam ent o do dom ínio para Windows 2000 nat ivo ou Window s Server 2003. Os dom ínios de m odo
m ist o podem cont er os Cont r oladores de Dom ínio de backup do Windows NT 4.0, m as não é possível
ut ilizar grupos de segurança univ ersais, aninham ent o de grupos ou recur sos do I dent ificador de
Segurança ( SI D) Hist ory.
W in dow s 2 0 0 0 n a t ivo. Você pode ut ilizar esse nív el funcional se o dom ínio cont iver som ent e os
Cont rolador es de Dom ínio do Windows 2000 e do Windows Server 2003. Em bora os Cont roladores de
Dom ínio funcionem no Windows 2000 Server, eles não est ão preparados para a funcionalidade de
dom ínio. Caract eríst icas do Act ive Direct ory, com o grupos de segurança univer sais, aninham ent o de
grupos e recur sos do Hist ór ico do I dent ificador de Segurança ( SI D) , est ão disponíveis.
W in dow s 2 0 0 3 Se r ve r Esse é o nív el funcional m ais alt o para um dom ínio. Você só pode ut ilizá- lo
se t odos os Cont rolador es de Dom ínio do dom ínio funcionarem no Windows Server 2003. Todos os
recur sos do Act ive Direct ory para o dom ínio est ão disponív eis para uso.
W in dow s 2 0 0 3 I n t e r im . É um nível funcional especial que suport a Cont roladores de
Dom ínio do Windows NT 4.0 e do Window s Server 2003.
A funcionalidade da florest a at iva os recursos at ravés de t odos os dom ínios dent ro da sua florest a. Dois níveis
funcionais de florest a est ão disponíveis: o Windows 2000 e o Windows Server 2003. Por padrão, as florest as
funcionam no nível funcional do Windows 2000. Você pode elevar o nível funcional da florest a ao Window s
Server 2003 para at ivar os r ecur sos que não est ão disponíveis no nív el funcional do Windows 2000, incluindo:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 0 |
I m por t a n t e : Você não pode rebaixar o nív el funcional do dom ínio ou da florest a depois que ele t iver sido elevado.
5 .4 .1 I n t r odu çã o
Além dos recursos básicos do Act iv e Direct ory nos Cont r oladores de Dom ínio indiv iduais, os novos
recur sos em t oda a florest a ( forest - w ide) e em t odo o dom ínio ( dom ain- w ide) est ão disponíveis
quando det er m inadas condições são cum pridas.
Para at ivar os novos recursos de t odo o dom ínio, t odos os Cont roladores de Dom ínio no dom ínio
devem execut ar o Windows Server 2003, e o nível funcional do dom ínio deve ser elevado para o
Windows Server 2003. Você precisa ser adm inist rador do dom ínio par a elevar o nív el funcional do
dom ínio.
Para at ivar os novos recursos de t oda a flor est a, t odos os Cont rolador es de Dom ínio na florest a devem
execut ar o Windows Server 2003, e o nível funcional da florest a dev e ser elevado ao Windows Server
2003. Você precisa ser adm inist rador Ent erprise para elevar o nível funcional da flor est a.
Elevar a funcionalidade da florest a e do dom ínio ao Windows Serv er 2003 at iva det er m inados recur sos,
por exem plo, confianças de florest a, que não est ão disponíveis em out ros níveis funcionais. Você pode
elevar a funcionalidade da florest a e do dom ínio usando a ferram ent a Dom ínios e Relações de
Confianças do Act ive Dir ect ory.
1. Abra a ferram ent a Dom ínios e Relações de Confiança do Act ive Direct ory.
2. Clique com o bot ão direit o do m ouse no dom ínio que você desej a elevar e depois clique em
Au m e n t a r o n ív e l fu n cion a l do dom ín io.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 1 |
3. Selecione o nív el funcional do Windows Serv er 2003 na caixa Se le cion e u m n íve l fu n cion a l
de dom ín io dispon íve l e depois clique em Au m e n t a r .
1. Na ferram ent a Dom ínios e Relações de Confianças do Act ive, no console, clique com o bot ão
direit o do m ouse em Act ive D ir e ct or y D om a in s a n d Tr u st s, e depois clique em
Au m e n t a r n íve l fu n cion a l da flor e st a .
2. Na caixa Se le cion e u m n íve l fu n cion a l de flor e st a dispon íve l, selecione W in dow s
Se r ve r 2 0 0 3 e depois clique em Au m e n t a r .
N ot a : Você deve elevar o nível funcional de t odos os dom ínios em um a florest a ao Window s 2000
nat ivo ou m ais alt o, ant es de elevar o nível funcional da florest a.
6 .1 . I n t r oduçã o
O Windows Server 2003 suport a confianças ent re florest as que per m it e que os usuários na florest a t enham
acesso a r ecursos em out ra florest a. Quando um usuário t ent a obt er acesso a um recurso em um a florest a
confiáv el, o Act ive Direct ory prim eiro localizará o recurso.
Depois de localizar o recurso, o usuár io poderá ser aut ent icado e t er acesso ao recurso. Ent ender com o est e
processo funciona o aj udará a ident ificar problem as que possam se apr esent ar com confianças ent r e florest as.
1. Um usuár io que inicie a sessão no dom ínio vancouver.nw t raders.m sft t ent a t er acesso a um a past a
com par t ilhada na florest a cont oso.m sft . O com put ador do usuár io ent r a em cont at o com o KDC em
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 2 |
um cont rolador de dom ínio no vancouver.nwt raders.m sft e solicit a um solicit ação de serviço usando o
SPN do com put ador, onde reside o recurso. Um SPN pode ser o nom e DNS de um host ou dom ínio ou
pode ser o Nom e Dist int o de um Obj et o de Pont o de Conexão do Serviço.
2. O recurso não est á em vancouver .nw t raders.m sft e o Cont rolador de Dom ínio de
vancouver .nw t raders.m sft faz consult as no Cat álogo Global para ver se o recur so est á sit uado em
out ro dom ínio da florest a. Considerando que o Cat álogo Global cont ém apenas inform ações sobr e sua
própria florest a, ele não encont ra o SPN. O Cat álogo Global t est a seu banco de dados para saber se
há infor m ações sobre relações de confianças de florest a est abelecidas com a sua florest a. Se o
Cat álogo Global encont rar um a, com pare os sufixos de nom e que est ão list ados na confiança da
florest a TDO com o sufixo de dest ino SPN. Se encont rar um pont o em com um , o Cat álogo Global
fornece as inform ações de encam inham ent o sobre com o localizar o recur so ao Cont rolador de
Dom ínio em vancouver .nw t raders.m sft .
3. O Cont rolador de Dom ínio em vancouv er.nwt raders.m sft envia um a referência para seu dom ínio Pai
nwt rader s.m sft , no com put ador do usuário.
4. O com put ador do usuário ent ra em cont at o com o Cont rolador de Dom ínio nw t raders.m sft pela
referência ao Cont rolador de Dom ínio do Dom ínio da Florest a Raiz da flor est a cont oso.m sft .
5. Usando a refer ência do Cont r olador de Dom ínio em nw t raders.m sft , o com put ador ent ra em cont at o
com o cont rolador de dom ínio na florest a cont oso.m sft par a solicit ar um a perm issão de serviço.
6. O recurso não est á sit uado no Dom ínio da Florest a Raiz da florest a cont oso.m sft e, por isso, o
Cont rolador de Dom ínio ent ra em cont at o com seu Cat álogo Global para pesquisar o SPN. O Cat álogo
Global busca o SPN e o envia ao Cont rolador de Dom ínio.
7. O Cont rolador de Dom ínio envia a referência seat t le.cont oso.m sft ao com put ador do usuário.
8. O com put ador do usuár io ent ra em cont at o com o KDC no cont rolador de dom ínio em
seat t le.cont oso.m sft e negocia a perm issão para acesso do usuár io ao recurso no dom ínio
seat t le.cont oso.m sft .
9. O com put ador env ia a per m issão de serviço do servidor ao com put ador onde est á o r ecurso
com par t ilhado e onde são lidas as cr edenciais de segurança do usuário e é cr iado o t oken de acesso
que per m it e o acesso do usuário ao recur so.
N ot a : Lem br e- se de que para poder ut ilizar esse novo recurso, é pr eciso t er as duas flor est as no nív el
funcional do Windows Serv er 2003. As r elações de confianças ent re florest as no Windows Serv er 2003 lhe
perm it em validar os usuár ios usando o Kerberos v5, ut ilizando a segur ança própr ia do prot ocolo. Tam bém é
perm it ido que as confianças t ransit em ent re duas florest as, e não em m últ iplas flor est as. Por exem plo: A
florest a A est abeleceu um a confiança com a florest a B, e t odos os dom ínios nas duas florest as podem ut ilizar
essa confiança. No ent ant o, se, por sua vez, a florest a B t em um a confiança na florest a C, não exist e nenhum
t ipo de r elação ent r e a florest a A e a florest a C.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 3 |
A r e plica çã o ocor r e qu a n do h á :
N ot ifica çã o da m odifica çã o. Quando ocorre um a m udança em um cont rolador de dom ínio, o cont rolador
de dom ínio not ifica seus par ceiros da replicação no m esm o sit e. Esse processo é cham ado de not ificação de
alt eração.
La t ê n cia da r e plica çã o. Tem po de espera ent re a hor a em que ocor re a m odificação e a hora em que a
at ualização at inge t odos os cont roladores de dom ínio no sit e. Por padr ão, a lat ência da replicação é de 15
m inut os.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 4 |
Con ve r gê n cia . Cada at ualização no Act iv e Dir ect ory é propagada a t odos os Cont r oladores de Dom ínio no
sit e que cont êm a part ição na qual a at ualização foi realizada. Essa propagação com plet a é cham ada de
convergência.
Pr opa ga t ion da m pe n in g. O processo de evit ar um a replicação desnecessár ia. Cada Cont rolador de Dom ínio
at ribui a cada m odificação de at ribut o ou obj et o um Núm ero de Seqüência de At ualização ( USN) para evit ar a
replicação desnecessária.
Con flit os. Quando at ualizações sim ult âneas originadas em dois m est res de replicações difer ent es são
inconsist ent es, podem ocorr er conflit os. O Act ive Dir ect ory resolv e t rês t ipos de conflit os: at ribut o, cont êineres
elim inados e conflit os de Nom e Dist int o Relat ivo ( RDN) .
Ca r im bo globa l ú n ico. O Act ive Direct or y m ant ém um carim bo que cont ém o núm ero da ver são, carim bo
de hora, e ident ificador global exclusivo ( GUI D) de serv idor que o Act ive Dir ect ory criado durant e a at ualização
originaria.
Quando o nív el funcional da florest a é inferior ao Window s Server 2003, qualquer m odificação r ealizada em um
at ribut o de m em bros de grupo inicia a replicação da list a int eira do at ribut o m em bro. O at ribut o m e m br o de
m últ iplos valores é consider ado um único at ribut o com o fim da r eplicação nesse caso. Essa r eplicação
aum ent a a probabilidade de subst it uir um a m odificação do at ribut o m em bro que out r o adm inist rador realizou
em out ro cont r olador de dom ínio, ant es da prim eira m odificação t er sido duplicada.
Quando o nível funcional da florest a é m odificado para o Windows Server 2003, um valor individual duplica as
m odificações de at r ibut os de m últ iplos valores vinculados. Essa funcionalidade aprim orada duplica apenas
m odificações do at ribut o m em bro do grupo, e não a list a int eira do at r ibut o de m em br o.
Dest a form a, elim ina- se a rest rição de um m áxim o de 5000 usuários por grupo. Essa r est r ição era for necida no
Windows 2000 pelo valor m áxim o que o at r ibut o de m em bro de um grupo podia t er .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 5 |
Quando você adiciona Cont roles de Dom ínio a um sit e, o Act ive Diret ory usa o Know ledge Consist ency Check er
( KCC) para est abelecer um cam inho de replicação ent r e os Cont rolador es de Dom ínio.
O KCC é um processo que funciona em cada Cont rolador de Dom ínio e gera a t opologia da replicação para
t odas as part ições do diret ório cont idas nesse Cont rolador de Dom ínio. O KCC é ex ecut ado em int ervalos
específicos, a cada 15 m inut os por padrão, e define os cam inhos de replicação ent re Cont rolador es de Dom ínio
nas conexões m ais favoráveis disponív eis no m om ent o.
Est e processo foi m elhorado com relação ao processo do Windows 2000, fazendo com que essa nov a
caract eríst ica elim ine a lim it ação exist ent e de um m áxim o de 500 sit es no Act ive Dir ect ory. At ualm ent e j á
foram t est ados at é 3000 sit es e o suport e m áxim o é de 5000 sit es.
N ot a : Para aproveit ar essa caract er íst ica, v ocê deve t er a florest a no nível funcional do Window s Ser ver 2003
ou do Windows Server 2003 I nt er im .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 6 |
Você ut iliza sit es para cont rolar o t ráfego de r eplicações, o t ráfego de logins e as consult as do client e ao
Servidor de Cat álogo Global.
7 .4 .1 . O que sã o os sit e s?
No Act ive Direct ory, os sit es aj udam a definir a est rut ura física de um a r ede. Um a ou m ais sub- redes
TCP/ I P em um int ervalo específico de ender eços define um sit e, no qual são definidos alt ernadam ent e
um grupo de Cont rolador es de Dom ínio que t em velocidade e cust os sem elhant es. Os sit es consist em
em servidor es de obj et os, que cont êm obj et os de conexão que per m it em a replicação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 7 |
7 .4 .2 . O que sã o os obj e t os su b- r e de ?
Os obj et os de sub- r ede ident ificam os ender eços de rede que ut ilizam os com put adores nos sit es.
Um a sub- rede é um segm ent o de um a rede TCP/ I P ao qual é at r ibuído um sist em a de endereços I P
lógicos. Considerando que os obj et os da sub- rede r epresent am a rede física, eles form am sit es. Por
exem plo, se 3 sub- r edes est iverem sit uadas em 3 cam pos em um a cidade e esses cam pos est iv erem
conect ados com conexões de alt a velocidade e alt a disponibilidade, você pode associar cada um a
dessas sub- r edes a um sit e.
Um sit e pode consist ir em um a ou m ais sub- redes. Por exem plo, em um a rede que t em 3 sub- redes
em Redm ond e 2 em Paris, você pode criar um sit e em Redm ond, um sit e em Par is e depois adicionar
as sub- redes nos respect ivos sit es.
At ivar a replicação
Cont rolar os horários em que você quer fazer a replicação
Cont rolar o cust o de acor do com o enlace que você est á ut ilizado e o prot ocolo de replicação I P
( RPC) ou SMTP.
1. Abra os Sit es e Serviços do Act ive Direct ory no m enu Fe r r a m e n t a s Adm in ist r a t iva s.
2. Clique com o bot ão direit o em Sit e s no console e depois clique em N ovo Sit e .
3. I nsira o nom e do novo sit e na caixa N om e .
4. Clique em um obj et o de link do sit e e depois clique em OK duas vezes.
1. Em Sit es e Serviços do Act ive Direct ory, no console, clique duas vezes em Sit e s, clique
com o bot ão direit o em Su b- r e de s e depois clique em N ova Su b- r e de .
2. Na caixa En de r e ço, insira o ender eço I P da sub- r ede.
3. Na caixa M á sca r a , insira a m áscara de sub- rede que descrev e o int er valo de endereços
da sub- r ede.
4. Selecione o sit e para associar à sub- r ede e depois clique em OK.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 8 |
8 . Fa ze r ba ck u p do Act ive D ir e ct or y.
Fazer o back up do Act ive Direct ory é essencial para m ant er o banco de dados do Act ive Direct ory . Você pode fazer o
backup do Act ive Dir ect ory usando um a int erface de usuár io gráfica ( GUI ) e fer ram ent as de linha de com ando
fornecidas pelo Windows Server 2003.
Você deve com freqüência fazer back up dos dados do Est ado do Sist em a nos Cont roladores de Dom ínio para que sej a
possível rest aurar os dados m ais at uais. Est abelecendo um cronogram a regular de backup, você t em m ais chances de
recuperação de dados quando necessár io.
Act ive D ir e ct or y Os Dados do Est ado do Sist em a não cont êm o Act ive Direct ory, a m enos que o serv idor no qual você
est á fazendo backup dos Dados de Est ado do Sist em a sej a um Cont rolador de Dom ínio. O Act iv e Direct ory só est á
present e nos Cont rolador es de Dom ínio.
A pa st a com pa r t ilh a da SYSVOL. Est a past a com par t ilhada cont ém arquivos de Diret ivas de Grupo e script s de login.
A past a com part ilhada SYSVOL est á present e som ent e em cont roladores de dom ínio.
O r e gist r o. Est e reposit ório de banco de dados cont ém as inform ações sobre a configuração dos com put adores.
Ar qu ivos de in icia liza çã o do sist e m a . O Windows Serv er 2003 exige esses arquivos durant e sua fase de
inicialização. Eles incluem os arquivos do sist em a e inicializações que est ão prot egidos pela prot eção do arquivo do
Windows.
O ba n co de da dos COM + Re gist r o de Cla sse . O banco de dados do Regist ro de Classe cont ém inform ações sobr e
aplicat ivos de Serviços de Com ponent e.
O ba n co de da dos dos Se r viços de Ce r t ifica do. Est e banco de dados cont ém os cer t ificados do ser vidor que o
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 2 9 |
Windows Serv er 2003 ut iliza para aut ent icar usuár ios. Esse banco só est á present e se o servidor est iver funcionando
com o servidor de cer t ificados.
8 .1 Re st a u r a çã o do Act ive D ir e ct or y
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 4 | Pá gin a 3 0 |
Você pode ut ilizar um dos t rês m ét odos para rest aurar o Act ive Direct ory de m eios de backup: rest auração
prim ár ia, r est auração nor m al ( sem aut oridade) e r est auração com aut or idade.
1. Re st a u r a çã o pr im á r ia . Est e m ét odo reconst rói o prim eir o cont rolador de dom ínio no dom ínio quando não há
out ra m aneira de reconst r uir o dom ínio. Faça um a rest auração prim ár ia som ent e quando t odos os
cont roladores de dom ínio em um dom ínio est iverem per didos e você quiser reconst ruir o dom ínio usando o
backup.
2. Re st a u r a çã o N or m a l. Est e m ét odo r einst ala os dados do Act iv e Dir ect ory no est ado ant es do backup e
at ualiza os dados com o pr ocesso nor m al de r eplicação. Realize um a rest auração norm al quando quiser
rest aurar um único cont rolador de dom ínio a um est ado pr eviam ent e conhecido.
3. Re st a u r a çã o com a u t or ida de . Você execut a esse m ét odo j unt o com um a rest auração nor m al. Um a
rest auração com aut oridade m arca os dados específicos e ev it a que a replicação subst it ua esses dados. Os
dados aut or izados são replicados at ravés do dom ínio.
1. Reinicie seu cont rolador de dom ínio no Modo Rest auração do Serviço de Dir et ór io.
2. I nicie o ut ilit ário de Backup.
3. Clique em M odo Ava n ça do na página Be m - vin do a o Assist e n t e pa r a Ba ck u p ou Re st a u r a çã o.
4. Na página Be m - vin do a o m odo a va n ça do do u t ilit á r io de ba ck u p, em Re st a u r a r e ge r e n cia r m ídia ,
selecione o que desej a rest aurar e depois clique em I n icia r Re st a u r a çã o.
5. Clique em Cu ida do e depois em OK.
6. Na caixa Con fir m a r Re st a u r a çã o, clique em Ava n ça do.
7. Na caixa Opçõe s Ava n ça da s de Re st a u r a çã o clique em Ao r e st a u r a r da dos r e plica dos, m a r ca r os
con j u n t os de da dos com o pr im á r ios pa r a t oda s a s r e plica çõe s e depois clique em OK duas vezes.
8. Na caixa Pr ogr e sso da Re st a u r a çã o, clique em Fe ch a r .
9. Na caixa Ut ilit á r io de Ba ck u p, clique em Sim .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 |
Ca pít u lo 5
I m ple m e n t a çã o, Adm in ist r a çã o e M on it or a çã o da D ir e t iva de
Gr u pos
Durant e est e capít ulo, você assim ilará os conhecim ent os necessár ios para adm inist ração, proj et o e im plem ent ação
adequados de Dir et iva de Gr upos.
Para poder realizar os exercícios dessa unidade, é necessário j á t er concluído os exercícios dos capít ulos 2 e 3.
1 . I n t r odu çã o
Você ut iliza a Dir et iva de Gr upo no Act ive Dir ect ory® par a cent ralizar o cont role de usuários e com put adores em um a
em presa. Configurando a Dir et iva de Grupos, é possível cent ralizar polít icas para t oda um a organização, dom ínio,
sit es ou unidades organizacionais e t am bém descent ralizar a configuração da Diret iva de Grupos, configurando- a para
cada depar t am ent o no nív el da unidade organizacional.
Você pode se cert ificar de que os usuár ios dispõem dos am bient es necessár ios para realizar seus t rabalhos e fazer
cum prir as polít icas das organizações, incluindo nor m as, m et as e requisit os de segurança da em presa. Além disso, é
possível baixar o Cust o Tot al da Propriedade cont rolando am bient es de usuár io e de com put adores, de form a que a
necessidade de aj uda t écnica e o prej uízo à produt iv idade decorrent es de erros sej a reduzido.
1 .1 . O qu e é a D ir e t iva de Gr u pos?
A Diret iva de Grupos lhe concede o cont role da adm inist ração sobre os usuár ios e os com put ador es da sua
rede; port ant o, lhe per m it e definir o est ado do am bient e de t rabalho dos usuár ios um a única vez, confiando
no Microsoft ® Windows® Ser ver 2003 para im plem ent ar cont inuam ent e a configuração de Diret iva de Grupo
que foi definida. Tam bém será possív el aplicar configurações da Diret iva de Grupos at ravés de um a
organização int eira ou grupos específicos de usuár ios e com put adores.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 |
Microsoft I nt elliMirror® .
Você pode ex ecut ar as Configurações de Dir et iva de Gr upos para os com put adores e os usuários usando
Configuração de Com put ador e Configuração de Usuário na Dir et iva de Gr upo.
A past a Configurações de Soft ware: cont ém configurações de soft war e que são aplicadas aos usuários,
independent e do com put ador em que a sessão foi iniciada. Essa past a t am bém cont ém configurações que são
incluídas conform e os provedores de soft ware independent es ( I SVs) .
A past a Configurações do Windows: cont ém configurações do Windows que são aplicadas aos usuários,
independe do com put ador em que a sessão foi iniciada. Est a past a t am bém cont ém os seguint es pont os:
Re dir e cion a m e n t o de Pa st a s, Con figu r a çõe s de Se gu r a n ça e Scr ipt s.
As Configurações de Dir et iva de Gr upo para os com put ador es incluem a form a com o o sist em a operacional se
com port a, o com port am ent o da área de t rabalho, as configurações de segurança, os script s de inicialização e
desligam ent o, as opções de aplicat ivos at ribuídas ao com put ador e as configurações de aplicat ivos. As
Diret ivas de Grupo relacionadas ao com put ador são aplicadas quando o sist em a operacional é iniciado e
durant e um ciclo per iódico de at ualização. Norm alm ent e, em caso de conflit o, as configurações da Diret iva de
Grupo do com put ador t êm pr ioridade em r elação à Dir et iv a de Grupo do usuár io.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 |
As Configurações de Diret iva de Grupo, que m odificam o am bient e conform e requisit os part icular es da área
de t rabalho e para t odos os usuár ios de um com put ador ou que aplicam as diret ivas de segur ança nos
com put adores de um a rede, podem ser encont radas em Con figu r a çã o do Com pu t a dor no edit or de Obj et o
de Diret ivas de Grupo.
A past a Configurações de Soft ware: cont ém configurações de soft war e aplicadas a t odos os usuár ios que
iniciam a sessão no com put ador. Essa past a possui configuração de inst alação do soft ware e pode cont er
out ras configur ações inser idas pelo I SVs.
A past a Configurações do Window s: cont ém as configurações do Windows aplicadas a t odos os usuár ios que
iniciam a sessão no com put ador. Est a past a t am bém cont ém os seguint es pont os: Con figu r a çõe s de
Se gu r a n ça e Scr ipt s.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 4 |
Para m ais inform ações sobr e o ex t ensor de Diret iva de Grupo, vej a os m ét odos Avançados est endendo
Dir et iva de Gr upo em :
1 .4 . As fe r r a m e n t a s u sa da s pa r a cr ia r os GPOs
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 5 |
O Group Policy Managem ent Console com bina a funcionalidade de m últ iplos com ponent es em um a única
int erface de usuário ( UI ) . A UI é est r ut urada conform e o m odo com o a Diret iva de Grupo é ut ilizada e
cont rolada. Ela t am bém incorpora a funcionalidade relacionada com a Diret iva de Grupo das ferram ent as
seguint es em um único snap- in MMC:
O Gerenciam ent o de Diret iv as de Grupos t am bém proporciona os seguint es recur sos am pliados que não
est avam disponíveis em ferram ent as ant eriores de Diret iv a de Grupos. Com o Gerenciam ent o de Dir et iva de
Grupos, você pode:
Depois de inst alar o Group Policy Managem ent , você ainda ut iliza cada um a das ferram ent as do Act ive
Dir ect ory para seus obj et ivos específicos de adm inist ração de diret órios, por exem plo, cr iar um usuár io,
com put ador e grupo. No ent ant o, você pode ut ilizar o Gerenciam ent o de Diret ivas de Grupo para realizar
t odas as t arefas relacionadas a Dir et ivas de Grupo. A funcionalidade de Diret iva de Grupo não est ará m ais
disponível nas ferram ent as do Act ive Direct ory quando o Group Policy Managem ent for inst alado.
O Group Policy Managem ent não subst it ui o edit or do Obj et o de Diret iv a de Gr upo. No ent ant o, você deve
edit ar os GPOs, usando o edit or de Obj et o de Dir et iva de Grupos. O Group Policy Managem ent int egra a
funcionalidade de edição proporcionando acesso dir et o ao edit or de Obj et o de Diret iva de Grupo.
N ot a : O Console do Group Policy Managem ent não é fornecido com o Serv er 2003.
ht t p: / / www .m icrosoft .com / downloads/ det ails.aspx?Fam ilyI d= F39E9D60- 7E41- 4947- 82F5-
3330F37ADFEB&display lang= en
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 6 |
Ut ilize os procedim ent os a seguir para criar um novo GPO ou um link par a um GPO exist ent e, usando o Act iv e
Dir ect ory User s and Com put ers, e para cr iar um GPO em um sit e, dom ínio ou unidade organizacional.
1. Clique com o bot ão direit o no con t ê in e r do Act ive D ir e ct or y ( dom ínio ou unidade
organizacional) , que est á em Usuár ios e Com put adores do Act iv e Direct ory, para criar um
GPO. Depois clique em Pr opr ie da de s.
2. Escolha um a das opções a seguir, na caixa Pr opr ie da de s, da guia D ir e t iva de Gr u po:
Pa r a cr ia r u m n ovo GPO, clique em Nov o, insira um nom e para o novo GPO e pressione
ENTER.
O GPO ou o link que você cria são ex ibidos na list a de GPOs que est ão vinculados ao cont êiner do Act iv e
Dir ect ory.
1 .6 . O qu e é u m Lin k de GPO?
Todo os GPOs são arm azenados em um cont êiner do Act ive Dir ect ory cham ado Obj et os de Diret iva de Grupo.
Quando um GPO é ut ilizado por um sit e, dom ínio ou unidade organizacional, o GPO é vinculado ao cont êiner
de Obj et os de Diret iva de Grupos. Conseqüent em ent e, você pode cent ralizar a adm inist ração e a
im plem ent ação de GPOs em m uit os dom ínios ou unidades organizacionais.
Quando cria um link de GPO em um sit e, dom ínio ou unidade organizacional, você pode r ealizar duas
operações diferent es: criar o novo GPO e vinculá- lo ao sit e, dom ínio ou unidade organizacional. Ao delegar
perm issões e vincular um GPO ao dom ínio, à unidade organizacional ou ao sit e, você poderá m odificar as
perm issões par a o dom ínio, a unidade organizacional ou o sit e que desej a delegar.
Por padrão, som ent e os m em bros dos grupos de Adm ins de Dom ínio e Adm ins da Em presa t êm as
perm issões necessárias para vincular GPOs a dom ínios e unidades organizacionais. Som ent e os m em bros do
grupo Adm ins da Em pr esa t êm per m issões para vincular GPOs a sit es. Mem bros dos Propriet ários Criadores
de Diret iva de Grupo podem criar GPOs, m as não podem v inculá- los.
Quando você cria um GPO no cont êiner de Obj et os de Diret iva de Grupo, o GPO não é aplicado a nenhum
usuár io ou com put ador at é que o link de GPO sej a criado. Você pode criar um GPO desvinculado usando o
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 7 |
Group Policy Managem ent e t am bém pode criar GPOs desvinculados em um a organização de grande port e,
onde um grupo cria GPOs e out ro cria links de GPOs para sit e, dom ínio ou unidade organizacional.
Para fazer esse exer cício, você deverá inst alar prev iam ent e o GPMC. ( Vej a o it em 4.3 a seguir .) Ut ilize os
procedim ent os seguint es par a criar e v incular GPOs.
1. No Group Policy Managem ent Console, expanda a florest a que cont ém o dom ínio no qual você desej a cr iar
e vincular o GPO. Expanda D om ín ios e siga os passos abaixo:
Pa r a cr ia r u m GPO e vin cu lá - lo a o dom ín io, clique com o bot ão direit o no dom ínio e depois em Cr ia r e
con e ct a r u m a dir e t iva a qu i.
Pa r a cr ia r u m GPO e vin cu lá - lo a u m a u n ida de or ga n iza cion a l, expanda o dom ínio que cont ém a
unidade organizacional, clique com o bot ão direit o da unidade organizacional e depois clique em Cr ia r e
con e ct a r u m a dir e t iva a qu i
2. Na caixa N ova dir e t iva ( Novo GPO) , insir a o nom e do novo GPO e depois clique em OK.
Para vincular o GPO exist ent e ao sit e, dom ínio ou unidade organizacional.
1. No Group Policy Managem ent Console, expanda a florest a cont endo o dom ínio ao qual você desej a
vincular um GPO exist ent e. Ex panda D om ín ios e o dom ínio.
2. Clique com o bot ão dir eit o no dom ínio, sit e ou unidade or ganizacional. Depois de clicar no Con e ct a r a
u m a dir e t iva e x ist e n t e .
3. Na caixa Se le cion a r dir e t iva , clique no GPO que desej a v incular e depois clique em OK.
A ordem em que o Window s Server 2003 aplica GPOs depende do cont êiner do Act iv e Direct ory ao qual é
vinculado o GPO. Os GPOs são aplicados prim eiro ao sit e e depois aos dom ínios e, por últ im o, às unidades
organizacionais nos dom ínios.
Você t am bém pode t er m últ iplos GPOs v inculados aos m esm os cont êineres. Por exem plo, é possível t er t rês
GPOs vinculados a um único dom ínio. A or dem em que são aplicados os GPOs pode afet ar o r esult ado da
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 8 |
configuração da Diret iva de Grupo. Tam bém há um a ordem ou pr ioridade de Diret iva de Grupos e de GPOs
para cada cont êiner.
As com binações com plexas de GPOs podem cr iar conflit os e conseqüent em ent e exigir a m odificação do
com port am ent o de herança padrão. Quando um a configuração de Diret iva de Gr upos é definida para um a
unidade organizacional pai e a m esm a configuração não é configurada para a unidade organizacional filha, os
obj et os dessa últ im a herdam a configuração de Dir et iva de Grupos da unidade organizacional pai.
Quando você configura um a Dir et iva de Gr upo para unidades organizacionais pais e filhas, as configurações
para essas unidades são aplicadas. Se as configurações forem incom pat íveis, a unidade organizacional filha
conserva sua própria configuração de Dir et iva de Grupo. Por exem plo, um a configuração de Dir et iva de
Grupo para a unidade organizacional aplicada por últ im o ao com put ador ou ao usuário subst it ui a que est ava
causando o conflit o de configuração de Diret iva de Grupo em um cont êiner, que é de um nível de hierarquia
m ais alt o no Act ive Direct ory .
Se a ordem de hierarquia padrão não at ender às necessidades da organização, você pode m odificar as regras
de herança em GPOs específicos. O Window s Server 2003 proporciona as duas opções a seguir para t r ocar a
ordem padrão da herança:
N ã o Su bst it u ir
Essa opção é ut ilizada para im pedir que cont êineres filhos não sej am pr iorizados em relação a um
GPO com prior idade m ais alt a de configuração. Essa alt ernat iva é út il par a fazer cum prir os GPOs
que represent am norm as de negócios da organização. A opção N ã o Su bst it u ir é fixada em um a
base individual do GPO. Você pode definir essa opção em um ou m ais GPOs conform e as
necessidades. Quando é definido m ais de um GPO em N ã o Su bst it u ir , o GPO m ais alt o da
hierarquia do Act ive Dir ect ory definido em N ã o Su bst it u ir t erá pr ioridade.
Você pode ev it ar que um cont êiner filho herde GPOs dos cont êineres pai, at ivando Bloqu e a r h e r a n ça de
dir e t iva no cont êiner filho. Dessa form a, ele ev it a que o cont êiner herde t odas as configurações de Dir et iva
de Grupos. I sso é út il quando um cont êiner do Act iv e Direct ory exige configurações únicas de Dir et iva de
Grupo e você desej a garant ir que as configurações de diret iva de grupos não sej am her dadas. Por ex em plo, é
possível ut ilizar Bloqu e a r h e r a n ça de dir e t iva quando o adm inist rador de um a unidade organizacional
precisa cont rolar t odos os GPOs de um det erm inado cont êiner.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 9 |
Não é possív el escolher selet ivam ent e o que os GPOs bloqueiam . Bloqu e a r h e r a n ça de dir e t iva afet a
t odos os GPOs de t odos os cont êineres pai, excet o os GPOs configurados com a opção N ã o Su bst it u ir , sem
GPMC inst alada e For ça do com GPMC inst alada.
Bloqu e a r h e r a n ça de dir e t iva não bloqueia a her ança de um GPO vinculado a um cont êiner pai se o
vínculo for configurado com a opção N ã o Su bst it u ir .
I m por t a n t e : Ant es de inst alar o Group Policy Managem ent Console, a opção For ça do ( En for ce d) é
cham ada Não Subst it uir em Usuár ios e Com put adores do Act ive Direct ory.
1. No Group Policy Managem ent Console, expanda a florest a cont endo o link no qual você desej a configurar a
aplicação. Depois siga um dos passos abaix o:
Pa r a con figu r a r a a plica çã o do lin k de GPO a u m dom ín io, expanda Dom ínios e o dom ínio
que cont ém o link de GPO.
Pa r a con figu r a r a a plica çã o do lin k de GPO a u m sit e , expanda Sit es e depois o sit e que
cont ém o link de GPO.
2. Clique com o bot ão direit o do m ouse no link de GPO e depois clique em For ça do para at ivar ou desat ivar a
aplicação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 0 |
Por padrão, t odas as Configurações de Diret iva de Grupos cont idas nos GPOs afet am o cont êiner e são
aplicadas a usuários e com put adores desse cont êiner , o que não produz os result ados que você desej a.
Usando o recurso de filt ro, é possív el det er m inar se as configurações se aplicam aos usuár ios e aos
com put adores no cont êiner específico.
Você pode filt r ar a im plem ent ação do GPO definindo per m issões no link de GPO para det er m inar o acesso de
leit ura ou negar a per m issão no GPO. Para que as Configurações de Diret iva de Grupo sej am aplicadas a um a
cont a de usuário ou de com put ador, a cont a deve t er , pelo m enos, perm issão de leit ura para um GPO. Por
padrão, as per m issões para um novo GPO t êm as seguint es Access Cont rol Ent ries ( ACEs) :
Usuár ios Aut ent icados. Perm it ir leit ura e aplicar Diret iva de Grupo
Adm ins de Dom ínio, Adm inis da Em presa e SYSTEM. Per m it ir leit ura, Perm it ir gravação, Perm it ir
criar t odos os obj et os filhos, Perm it ir ex cluir t odos os obj et os filhos
N e ga r e x plicit a m e n t e
Est e m ét odo é ut ilizado para negar o acesso à diret iva de grupo Por exem plo, você poderia negar
explicit am ent e a perm issão ao grupo de segurança dos adm inist rador es, que avisaria os
adm inist rador es da unidade organizacional sobre a recepção de Configurações de GPO.
Re m ove r u su á r ios a u t e n t ica dos
Você pode r em over os adm inist radores da unidade organizacional do grupo de segurança, o que
significa que não há nenhum a perm issão ex plícit a para o GPO.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 1 |
A adm inist ração do am bient e de usuário significa cont rolar o que eles podem fazer quando iniciam a sessão na r ede.
I sso é feit o at ravés da Dir et iva de Gr upo, cont rolando os com put ador es do escr it ór io, as conexões de rede e as
int erfaces de usuário. Você cont rola os am bient es de usuár io para garant ir que eles t enham apenas o acesso
necessário para realizarem seus t rabalhos. Dessa form a, eles não podem corrom per ou configurar incorret am ent e
seus am bient es.
Qu a n do você con figu r a ou con t r ola a m bie n t e s de u su á r io de for m a ce n t r a liza da , é possíve l r e a liza r a s
se gu in t e s t a r e fa s:
Con t r ola r os u su á r ios e os com pu t a dor e s: I sso é possível cont rolando- se a configuração da área de
t rabalho do usuário com diret ivas baseadas no regist ro. Dessa for m a, você garant e que os usuários t enham
os m esm os am bient es, m esm o quando iniciam a sessão em com put adores diferent es. Assim , você pode
cont rolar com o o Microsoft Windows® Server 2003 adm inist ra seus perfis de usuário, que especificam a
form a com o os dados pessoais de um usuár io est ão disponíveis. Redirecionando past as de usuár io dos discos
rígidos locais do usuár io para um local cent r al de um servidor, você pode garant ir que os dados dos usuários
est ej am disponíveis para eles, independent e do com put ador onde a sessão foi iniciada.
I m ple m e nt a r soft w a r e . O soft ware é inst alado nos com put ador es ou nos usuários com ser viço de
diret ório Act iv e Dir ect ory® . Com a inst alação do soft ware, você pode garant ir que os usuários t enham seus
program as, ser vice packs e hot fixes exibidos.
Se você desat ivar um a configuração de dir et iva, est ará desat ivando a ação da configuração de dir et iva. Por
exem plo, os usuários, por padrão, podem t er acesso ao Painel de Cont role. Para eles, você não precisa
desat ivar a configuração de dir et iva Re st r in gir a ce sso a o Pa in e l de Con t r ole , a m enos que t enha
previam ent e aplicado um a configuração de diret iva at ivando- a. Nessa sit uação, você t erá que definir out r a
configuração de diret iva para desat ivar a que foi aplicada previam ent e.
I sso é út il quando configurações de dir et iva são her dadas e não se desej a usar filt ros para aplicar
configurações de diret iva a grupos específicos. Você pode aplicar um GPO que per m it a um a configur ação de
diret iva na unidade organizacional pai e out ra definição de diret iv a que desat ive o GPO na unidade
organizacional filha.
Quando você aceit a um a definição de diret iva, est á consent indo a ação dessa configur ação de dir et iv a. Por
exem plo, para negar a alguém acesso ao Painel de Cont r ole, você pode perm it ir a configuração de diret iv a
Re st r in gir a ce sso a o Pa in e l de Con t r ole .
Um GPO execut a valores que m odificam o regist ro dos usuários e dos com put adores que est ão em
conform idade com o GPO. Por padrão, a configuração de um a diret iva é N ã o Con figu r a do. Se quiser
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 2 |
redefinir um a configuração de dir et iva de um com put ador ou um usuár io para o valor predefinido ou para a
diret iva local, você deverá selecionar a opção N ã o Con figu r a do. Por exem plo, você pode perm it ir um a
configuração de diret iva para alguns client es e, ao usar a opção N ã o Con figu r a do, a diret iva inv er t erá a
diret iva padrão ou a definição de diret iva local.
Alguns GPOs exigem que sej am fornecidas det er m inadas inform ações adicionais depois de perm it ir o obj et o.
Algum as vezes, pode ser necessár io selecionar um gr upo ou um com put ador se a configuração de diret iv a
precisar volt ar a fornecer ao usuár io um a det er m inada inform ação. Out r as vezes, para perm it ir configurações
proxy, você deverá fornecer o nom e ou o ender eço I P do servidor proxy e o núm ero da port a. Se a
configuração de diret iva t iver m últ iplos valores e as configurações est iv erem em conflit o com out ra
configuração de diret iva, as configurações com m últ iplos valores em conflit o são subst it uídas pela últ im a
configuração de diret iva aplicada.
Com o adm inist rador de sist em as, você deve edit ar as configurações de diret iva de grupo. Ut ilize o
procedim ent o a seguir para r ealizar essa t ar efa.
1. No Group Policy Managem ent Console, nav egue para os Gr oup Policy Obj e ct s.
2. Clique com o bot ão direit o do m ouse no GPO e depois em Edit .
3. No edit or de Obj et o de Dir et iva de Grupo, pesquise a configuração de Dir et iva de Grupo
que desej a edit ar e depois clique duas vezes nela.
4. Na caixa Pr ope r t ie s, defina a configuração de Diret iva de Grupo e depois clique em OK.
Você pode ut ilizar os script s de Dir et iva de Grupo para configurar script s cent ralizados que sej am execut ados
aut om at icam ent e quando o com put ador é iniciado e desligado, e t am bém quando os usuár ios iniciam e
fecham um a sessão. Você pode especificar qualquer script que execut e o Window s Server 2003, incluindo
arquivos em lot e, program as execut áv eis e script s supor t ados pelo Windows Script Host ( WSH) .
Execut ar os script s que realizam as t arefas que você não pode realizar com out ras configurações
de Dir et iva de Grupos. Por exem plo, configurar o am bient e de usuár io com conexões de rede,
conexões de im pressora, at alhos para aplicat ivos e docum ent os corporat ivos.
Lim par as áreas de t rabalho quando os usuários fecham a sessão e desligam o com put ador. Você
pode rem over as conexões adicionadas aos script s de logon ou inicialização, para que o com put ador
perm aneça no m esm o est ado de quando o usuário o ligou.
Execut ar script s pré- ex ist ent es, definidos para cont rolar os am bient es de usuár io at é que eles
sej am configur ados com out r as Diret ivas de Grupo que subst it uam esses script s.
N ot a : Com o Act ive Direct or y Users and Com put ers, você pode at r ibuir scr ipt s de login indiv idualm ent e para
as cont as de usuário na caix a Pr opr ie da de s de cada um a. Por isso, a Dir et iva de Grupo é o m elhor m ét odo
para execut ar scr ipt s porque é possível cont rolar esses script s cent ralizados j unt o com os scr ipt s de
inicialização e logoff.
Para m ais infor m ações sobr e os scr ipt s, vej a TechNet Scr ipt Cent er em :
ht t p: / / w w w .m icrosoft .com / t echnet / t reeview / default .asp?ur l= / t echnet / script cent er/ default .asp
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 3 |
Para im plem ent ar o script , v ocê ut iliza a Diret iva de Grupo e o adiciona à configuração apropriada em um
m odelo de Dir et iva de Grupos. I sso indica que o scr ipt pode ser execut ado na inicialização, desligam ent o,
logon ou logoff.
2 .5 . O qu e é o Re dir e cion a m e n t o de Pa st a s?
Quando você r edireciona past as, m odifica a localização das past as do disco rígido local do com put ador do
usuár io, a um a past a com part ilhada em um serv idor da rede. Depois de r edir ecionar um a past a a um
servidor , ela cont inuará aparecendo com o local para o usuário. O perfil de usuário é form ado por quat r o
past as de per fil de usuár io e que podem ser redirecionadas: Meus Docum ent os, Dados de Aplicat ivos,
Deskt op e Menu I niciar .
Os dados nas past as est ão disponív eis para o usuário; independent e do com put ador client e onde o
usuár io inicia a sessão.
Os dados nas past as est ão arm azenados em pont os cent r ais e, por isso, é m ais fácil adm inist rá- los
e fazer backup de segurança.
Os arquivos dent ro das past as redirecionadas, com o os arquivos de um perfil de usuário m óvel,
não são copiados e não são salvos no com put ador do usuário que inicia a sessão. I sso significa que
quando o usuário inicia a sessão no com put ador client e, não é ut ilizado espaço de ar m azenam ent o
para esses arquivos e os dados, que podem ser confidenciais, nesse com put ador.
Os dados são arm azenados em um a past a com par t ilhada da rede que pode ser part e das áreas de
rot inas de backup. I sso é m ais seguro porque não ex ige nenhum a ação por part e do usuário.
Com o adm inist rador, você pode ut ilizar a Dir et iva de Grupo para configurar cot as de disco,
lim it ando a quant idade de espaço ocupado pelos usuários.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 4 |
Você pode redirecionar as past as Meus Docum ent os, Dados de Aplicat ivos, Desk t op e Menu I niciar. Um a
organização deve r edir ecionar essas past as para preserv ar dados e configurações im port ant es do usuár io.
Exist em várias vant agens do redirecionam ent o de cada um a dessas past as, que variam confor m e as
necessidades da organização.
M e u s D ocu m e n t os
O redirecionam ent o de Meus Docum ent os é part icular m ent e vant aj oso porque a past a t ende a realizá- lo a
longo prazo.
A t ecnologia de Arquivos Offline perm it e que os usuários t enham acesso a Meus Docum ent os, m esm o
quando não est ão conect ados à rede. I sso é part icularm ent e út il para quem ut iliza com put adores port át eis.
D e sk t op
Você pode r edirecionar a área de t rabalho e t odos os arquivos, at alhos e past as a um servidor cent ralizado.
M e n u I n icia r
Quando o m enu I niciar é redirecionado, suas subpast as t am bém são redirecionadas.
Exist em 3 configurações disponív eis para Redirecionam ent o de Past a: nenhum , básico e avançado. O
Redirecionam ent o de Past a Básico é para usuários que devem r edirecionar suas past as a um a área com um
ou para os usuários que precisam m ant er a privacidade de seus dados.
Cr ie u m a pa st a pa r a ca da u su á r io n o ca m in h o r a iz
Para os usuários que precisam que suas past as sej am redirecionadas com
dados privados, escolha a configuração Bá sico e configure Cr ia r u m a pa st a
pa r a ca da u su á r io n o ca m in h o r a iz . É aconselháv el ut ilizar essa opção
para os usuários que precisam m ant er seus dados privados, com o ger ent es
que guardam dados pessoais sobre funcionários.
Quando você seleciona Ava nça do – Espe cifica os loca is dos vá r ios
gr u pos de u su á r ios, as past as são r edir ecionadas a locais difer ent es,
baseadas em grupos de segur ança dos usuár ios.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 5 |
Ca m in h o. Nessa caixa, especifique o serv idor e o nom e da past a com par t ilhada para a qual desej a
redirecionar.
Você configura Redirecionam ent o de Past a usando o edit or do Obj et o de Dir et iva de Gr upos.
2 .9 . O qu e é o Gpu pda t e ?
Gpu pda t e é um a ferram ent a de linha de com ando que at ualiza as configurações de Diret iva de Grupo locais
e configurações de Diret iva de Grupo arm azenadas no Act iv e Direct ory, incluindo as configurações de
segurança. Por padrão, as configurações de segurança são at ualizadas a cada 90 m inut os em um a est ação de
t rabalho ou um servidor, e a cada 5 m inut os em um Cont rolador de Dom ínio. Você pode execut ar gpupdat e
para t est ar um a configuração de Diret iva de Grupo ou aplicá- la diret am ent e.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 6 |
Gpu pda t e t e m os pa r â m e t r os a se gu ir .
/ Ta r ge t :{ Com pu t a dor | Usu á r io} Especifica a at ualização som ent e de usuários ou com put adores para
suas configurações de diret iv a. Por padrão, a diret iva de usuário e com put ador é at ualizada.
/ For ce Replica t odas as configurações de diret iva. Por padrão, som ent e as configurações de dir et iva que
foram m odificadas são replicadas.
/ W a it :{ Va lor } Defina o núm ero de segundos a aguardar o processam ent o da dir et iva. O padrão é 600
segundos. O valor ' 0 ' indica que não há espera. O valor ' - 1 ' indica um a espera indefinidam ent e.
/ Logoff Faz logoff depois de at ualizar a configuração de definições de Dir et iva de Gr upos.
/ Boot Faz com que o com put ador sej a reiniciado depois da at ualização das configurações de Dir et iva do
Grupo.
/ Syn c Faz com o que a próx im a configuração de definição de diret iva sej a aplicada de form a síncrona.
2 .1 0 . O qu e é o Gpr e su lt ?
Com o você pode aplicar níveis sobr epost os das configur ações de dir et ivas a qualquer com put ador ou usuár io,
a Diret iva de Grupo gera um relat ório da aplicação das diret ivas no logon. Gpr e su lt ex ibe o relat ório da
aplicação da diret iva no com put ador para o usuár io especificado no logon.
O com ando gpr e su lt exibe as configurações de Diret iv a de Grupo e o Conj unt o de Diret ivas Result ant e
( RSoP) para um usuár io ou um com put ador . Você pode ut ilizar gpr e su lt para verificar se as configurações de
GPO est ão em vigor e localizar problem as no aplicat ivo.
Gpr e su lt t e m os se gu in t e s pa r â m e t r os.
/ s Com pu t a dor Especifica o nom e ou o endereço I P de um com put ador rem ot o. Por padrão, é o
com put ador local.
/ u D om ín io/ Usu á r io O com ando funciona com as perm issões da cont a de usuário específicas de Usuário
ou Dom ínio/ Usuário. O padrão é ut ilizar as perm issões de usuár io que for am aut ent icadas no com put ador e
que execut am o com ando.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 7 |
/ scope { u su á r io| com pu t a dor } Exibe as configurações de diret iva de usuár io ou com put ador. Os valores
válidos para o parâm et ro / scope são usuário ou com put ador. Se não for incluído o parâm et ro / scope, o
gpresult exibe usuár io e com put ador.
/ v Especifica que a saída ex ibirá infor m ações det alhadas da diret iva.
/ v Especifica que a saída ex ibirá t odas as inform ações disponíveis sobre a Dir et iva de Grupo. Com o esse
parâm et ro ger a m ais inform ações que o par âm et ro / v, é preciso redirecionar a saída par a um arquivo de
t ext o quando esse parâm et ro é ut ilizado ( por exem plo, s pode ser gravado em gpr e su lt / z > policy.t x t ) .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 8 |
O Microsoft ® Windows® Server 2003 inclui um a caract eríst ica cham ada inst alação e m anut enção de soft ware que
ut iliza o serv iço do Act iv e Dir ect ory® , Diret iva de Grupo e Microsoft Windows I nst aller para inst alar, m ant er e desligar
soft ware nos com put adores da sua organização. Usando o m ét odo de adm inist ração e inst alação de soft ware baseado
em diret ivas, é possível garant ir que os program as de que os usuários precisam para realizar seus t rabalhos est ej am
disponíveis sem pre e onde necessár io.
No Windows Server 2003, você pode ut ilizar a Diret iva de Grupo para cont rolar o processo de inst alação do
soft ware cent r alizado a part ir de um a localização. Além disso, as configurações de Dir et iva de Gr upo podem
ser aplicadas aos usuár ios ou com put ador es em um sit e, dom ínio ou unidade organizacional para inst alar ,
at ualizar ou r em over aut om at icam ent e o soft ware. Aplicando as configurações de Dir et iva de Gr upo no
soft ware, você pode cont rolar várias fases de inst alação do soft w are sem inst alar soft ware em cada
com put ador individualm ent e.
1. Pr e pa r a çã o. Prim eiro, é pr eciso inst alar o soft ware usando a est rut ura at ual do Obj et o de
Diret iva de Gr upo ( GPO) , e t am bém ident ificar os riscos de usar a infra- est r ut ura at ual para inst alar
o soft ware. Par a preparar arquivos que perm it am que um program a sej a inst alado com a Dir et iva de
Grupo, você deve copiar os arquivos do pacot e do Windows I nst aller em um program a de um pont o
de dist ribuição de soft ware, que pode ser um a past a com part ilhada em um serv idor. Da m esm a
form a, é possível adquir ir o arquivo do pacot e do Window s I nst aller do fornecedor do program a ou
criar o pacot e de arquivo usando um ut ilit ár io de t erceiros.
2. I m ple m e nt a çã o. Nesse caso, é preciso criar um GPO que inst ale o soft ware em um com put ador
e vinculá- lo a um cont êiner apropriado do Act ive Direct or y. O soft ware est ará inst alado quando o
com put ador for ligado ou quando o usuár io iniciar o program a.
3. M a n u t e n çã o O soft ware é at ualizado com um a nova versão ou reinst alando o soft ware com um
service pack ou um a at ualização de soft ware. Dessa form a, o soft w are será aut om at icam ent e
at ualizado ou reinst alado quando o com put ador for ligado ou quando o usuário iniciar o program a.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 1 9 |
4. Re m oçã o. Par a elim inar program as de soft ware que não sej am necessários, é preciso rem over a
configuração de pacot e de soft ware do GPO que inst alou o soft ware or iginalm ent e. O soft ware será
aut om at icam ent e r em ov ido quando o com put ador for ligado ou quando um usuár io iniciar a sessão.
3 .2 . O qu e é o W in dow s I n st a lle r ?
Para at ivar a Dir et iva de Gr upo para inst alação e adm inist ração de soft ware, o Windows Server 2003 usa o
Windows I nst aller. Est e com ponent e aut om at iza a inst alação e a r em oção de program as, aplicando um
sist em a de regras definidas de form a cent ralizada durant e o processo de inst alação.
Se r viço do W in dow s I n st a lle r Est e serv iço no client e aut om at iza com plet am ent e a inst alação do
soft ware e o processo de configuração. O serviço Windows I nst aller t am bém pode m odificar ou
reparar um pr ogram a inst alado exist ent e. Um program a pode ser inst alado diret am ent e do CD- ROM
ou usando a Dir et iva de Gr upo. Para isso, o serviço do Window s I nst aller ex ige um pacot e do
Windows I nst aller.
Pa cot e do W in dow s I n st a lle r Esse pacot e de arquivo cont ém t odas as infor m ações que o serviço
do Windows I nst aller exige para inst alar ou rem over o soft ware. O arquiv o cont ém :
I n st a la çõe s pe r son a liza da s. Recur sos opcionais de um aplicat iv o. Por ex em plo, clipart ou
dicionár io, pode ser visualizado em um pr ogram a sem que o recur so sej a inst alado. Em bora os
com andos de m enu est ej am acessíveis, o recur so não é inst alado at é que o usuário acesse o m enu
de com andos. Est e m ét odo de inst alação aj uda a reduzir a com plex idade e a quant idade de espaço
de disco rígido que o program a ut iliza.
Aplica t ivos fle x íve is. Se um arquivo crít ico for excluído ou corrom pido, o program a
aut om at icam ent e obt ém um a nova cópia do arquivo da font e de inst alação, sem exigir a int ervenção
do usuár io.
Re m oçã o de lim pe za . O Windows I nst aller rem ov e aplicat ivos sem deixar arquiv os órfãos ou
inadver t idam ent e danificar out ro aplicat ivo, por exem plo, quando um usuár io apaga um arquiv o
com par t ilhado necessário par a out ro aplicat ivo. O Window s I nst aller r em ove t odas as configurações
de regist ro relacionadas e ar m azena as t ransações de inst alação em um banco de dados e arquivos
de regist ro subseqüent es.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 0 |
Quando você inst ala o soft w are, est á especificando com o os aplicat ivos são inst alados e m ant idos na sua
organização.
1. Cr ia r u m pon t o de dist r ibu içã o de soft w a r e . Est a past a com part ilhada no seu servidor
cont ém o pacot e e os arquiv os do soft ware para inst alá- la. Quando o soft ware é inst alado em
um com put ador local, o Windows I nst aller copia arquivos no com put ador .
2. Ut iliza r o GPO pa r a in st a la r soft w a r e . Você dev e criar ou realizar as m odificações
necessárias no GPO para o cont êiner onde é preciso inst alar o aplicat ivo. Ao m esm o t em po, é
preciso configurar o GPO para inst alar soft w are para a cont a de usuário ou de com put ador. Est a
t arefa t am bém inclui selecionar o t ipo de inst alação necessário.
3. M odifica r os r e cu r sos da in st a la çã o do soft w a r e . Dependendo das suas necessidades, você
pode m odificar as caract er íst icas que foram definidas durant e a inst alação inicial do soft ware.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 1 |
Usando a at ribuição de soft ware, você garant e que o soft ware est ej a sem pre disponível para o usuário.
Quando ele inicia a sessão, os at alhos do m enu I n icia r e os ícones da área de t rabalho do aplicat ivo são
exibidos. Por exem plo, se o usuár io abr ir um arquivo que ut ilize o Micr osoft Ex cel em um com put ador que
não t enha Ex cel, m as o Excel t iv er sido at ribuído ao usuár io, o Windows I nst aller inst ala o Excel no
com put ador quando abre o arquivo. Além disso, a at ribuição de soft war e o t orna flex ível. Se, por qualquer
m ot ivo, o usuário rem over o soft ware, ele será reinst alado pelo Window s I nst aller na pr óxim a v ez em que o
usuár io iniciar a sessão e iniciar o aplicat ivo.
Usando a publicação de soft ware, você garant e que o soft ware est ej a disponível para que os usuários o
inst alem em seus com put adores. O Windows I nst aller não adiciona at alhos na área de t rabalho do usuário ou
no m enu I n icia r e não insere ent radas no regist ro local. Com o os usuários precisam inst alar o soft war e
publicado, você pode publicar soft ware som ent e para os usuários e não para os com put adores.
M é t odo de
M é t odo 1 M é t odo 2
in st a la çã o
Configurando o usuár io. Quando um Configurando o com put ador . Quando você at ribui
soft ware é at ribuído a um usuário, ele é soft ware a um com put ador, não é exibido nenhum
exibido na sua área de t rabalho sem pre aviso. No ent ant o, o soft ware é inst alado
que ele inicia um a sessão. A inst alação aut om at icam ent e quando o com put ador é ligado.
não t erá início at é que o usuário clique At ribuindo soft ware a um com put ador, você garant e
duas vezes no início do aplicat ivo ou em que det erm inados aplicat ivos est ej am sem pre
At ribuição
um arquivo associado ao aplicat ivo. Esse disponíveis nesse com put ador, independent e de
é um m ét odo cham ado de at ivação por quem o ut iliza. Você não pode at ribuir soft ware a
docum ent o. Se o usuár io não at ivar o um com put ador que sej a cont rolador de dom ínio.
aplicat ivo, o soft ware não é inst alado.
Dessa form a, econom iza- se espaço no
disco rígido e t em po.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 2 |
Usando Adicionar ou Rem ov er Usando a at ivação por docum ent os. Se você
Program as. Um usuár io pode abrir o publicar um aplicat ivo no Act ive Direct ory, as
Painel de Cont r ole e clicar duas vezes em ext ensões de nom e de ar quivo dos docum ent os
Publicação Adicionar ou Rem over Program as para suport ados pelo aplicat ivo serão associadas no
exibir os aplicat ivos disponíveis. O diret ório.
usuár io pode selecionar um aplicat ivo e
depois clicar em Adicionar.
Depois de criar um pont o de dist ribuição de soft war e, você dev erá cr iar um GPO que inst ale esses aplicat ivos,
e depois vincular o GPO ao cont êiner que cont enha os usuários ou com put adores onde desej a inst alar o
soft ware.
I m por t a n t e : Não at r ibua ou publique um pacot e do Windows I nst aller m ais de um a v ez no m esm o GPO. Por
exem plo, se at ribuir o Microsoft Office XP a com put adores que sej am afet ados por um GPO, você não deverá
at ribuir ou publicar nos usuár ios afet ados por esse m esm o GPO.
Um GPO pode cont er várias configurações que afet am com o um aplicat ivo é inst alado, cont rolado e
rem ovido. Você pode definir as configurações padrão para os novos pacot es de GPO e t am bém m odificar
algum as dessas configurações fut uram ent e, edit ando as propriedades do pacot e durant e a inst alação do
soft ware. Depois de inst alar um pacot e de soft ware, você poderá m odificar as caract eríst icas da inst alação
que foram definidas durant e a inst alação inicial do soft war e. Por exem plo, você pode im pedir que os usuários
inst alem o pacot e de soft war e usando a at ivação do docum ent o.
Loca l pa dr ã o do pa cot e
Ao a dicion a r n ovos pa cot e s à s con figu r a çõe s de u su á r io
Opçõe s de in t e r fa ce do u su á r io da in st a la çã o
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 3 |
1. Na I nst alação do Soft ware, clique com o bot ão direit o do m ouse no pacot e inst alado e
depois clique em Pr opr ie da de s.
2. Na caixa Pr opr ie da de s da guia I m pla n t a çã o, m odifique as seguint es opções:
Tipo de im pla n t a çã o
Opçõe s de im pla n t a çã o
Opçõe s da in t e r fa ce do u su á r io da in st a la çã o
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 4 |
3 .7 . Qu a l é a m odifica çã o do soft w a r e ?
As m odificações são associadas a um pacot e do Windows I nst aller na inst alação ant er ior que ut ilize esse
pacot e do Windows I nst aller para inst alar ou m odificar o aplicat ivo.
I nst alar vár ias configurações de um aplicat ivo per m it e que vários grupos da sua organização ut ilizem um
pacot e de soft ware de várias form as difer ent es. Você pode ut ilizar m odificações de soft ware ou arquiv os .m st
( t am bém cham ado de a r qu ivos de t r a n sfor m a çã o) par a inst alar várias configurações de um aplicat ivo. Um
arquivo .m st é um pacot e de soft ware per sonalizado que m odifica com o o Windows I nst aller inst ala o pacot e
.m si associado.
O Windows I nst aller aplica m odificações nos pacot es conform e as suas especificações. Para salvar
m odificações em um arquivo .m st , é preciso execut ar o assist ent e de inst alação personalizada e escolher o
arquivo .m si no qual basear a t ransform ação. Você deverá det erm inar em que ordem aplicar as
t ransfor m ações aos arquivos ant es de at ribuir ou publicar o aplicat ivo.
Ex e m plo: Um a em pr esa de grande por t e, por exem plo, pode querer inst alar o Microsoft Office XP, m as as
necessidades do Office de cada depart am ent o var iam significat iv am ent e na or ganização. Em vez de
configurar m anualm ent e cada um dos depart am ent os, você pode ut ilizar GPOs e arquivos .m st diferent es
com binados com os arquivos .m si padrão, para que cada depart am ent o inst ale várias configurações do Office
XP. Nesse exem plo, você pode execut ar o assist ent e de inst alações personalizadas do Office XP do Office
Resource Kit para criar o arquivo de t ransform ação.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 5 |
As t arefas em um a organização são dinâm icas e variadas. Você pode ut ilizar a Diret iva de Grupo para inst alar
e adm inist rar at ualizações de soft ware que at endam às necessidades de cada depart am ent o na sua
organização. As at ualizações norm alm ent e envolv em m udanças im port ant es no soft ware e t êm novos
núm eros de versão. Em geral, um núm ero subst ancial de arquivos é m odificado em um a at ualização.
Um a nova v ersão do soft war e é lançada e cont ém recursos novos e apr im orados.
Pat ches de segurança ou aprim oram ent os de funções foram im plem ent ados no soft war e desde o
últ im o lançam ent o.
A organização decide ut ilizar um soft ware de diver sos fornecedor es
At u a liza çõe s obr iga t ór ia s. Essas at ualizações subst it uem aut om at icam ent e um a versão ant iga do
soft ware pela nova versão. Por exem plo, se os usuár ios ut ilizam at ualm ent e a versão do program a
1.0, eles rem ovem essa ver são e a versão do program a 2.0 é inst alada na próxim a v ez em que o
com put ador é ligado ou o usuário inicia a sessão.
At u a liza çõe s opcion a is. Essas at ualizações perm it em que os usuár ios decidam quando at ualizar
para a nova versão. Por exem plo, os usuár ios podem det er m inar se desej am at ualizar para a versão
2.0 do soft war e ou cont inuar usando a ver são 1.0.
At u a liza çõe s se le t iva s. Se alguns usuár ios precisarem de um a at ualização e out ros não, você pode
criar m últ iplos GPOs para que sej am aplicados aos usuár ios que exigem a at ualização e criar pacot es
de soft war e apropriados a eles.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 6 |
Você ut iliza a inst alação de soft ware para est abelecer o procedim ent o de at ualização de soft war e para a
versão at ual.
Pa r a in st a la r u m a a t u a liza çã o:
Re im pla n t a çã o é a aplicação de service packs e at ualizações de soft ware ao soft ware inst alado. Você pode
inst alar um pacot e inst alado forçando a reinst alação do soft ware. A reinst alação pode ser necessár ia se o
pacot e de soft ware inst alado previam ent e t iver sido at ualizado, m as cont inuar na m esm a versão, ou se
houver algum problem a de int eroperabilidade ou vírus que a reinst alação do soft ware possa corr igir .
Quando você m arca um pacot e de arquivos para reinst alação, o soft w are é anunciado em t odos os que t êm
acesso ao aplicat ivo, sej a at ravés de at r ibuição ou publicação. Sendo assim , dependendo de com o o pacot e
original t enha sido inst alado, um desses 3 cenários ocorrer á:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 7 |
Quando você at ribui soft war e a um usuár io, o m enu I n icia r , os at alhos da área de t rabalho e a
configuração de regist ro serão relevant es ao soft war e e at ualizados na próxim a v ez em que o
usuár io iniciar a sessão. Na próxim a vez em que o usuário iniciar o soft ware, o serv ice pack ou a
at ualização de soft ware serão aplicados aut om at icam ent e.
Quando você at ribui o soft w are a um com put ador, o service pack ou a at ualização de soft ware é
aplicado aut om at icam ent e na próxim a vez em que o com put ador é ligado.
Quando você publica e inst ala o soft ware, o m enu I n icia r , os at alhos da área de t rabalho e a
configuração de regist ro reflet irão o soft war e e serão at ualizados da próxim a v ez em que o usuár io
iniciar a sessão. Na próxim a vez em que o usuár io iniciar o soft ware, o service pack ou a at ualização
de soft war e serão aplicados aut om at icam ent e.
Você ut iliza a inst alação de soft ware para est abelecer o procedim ent o da sua r einst alação. Ant es de
reinst alar, cert ifique- se de que o serviço inclui um novo arquivo do pacot e do Windows I nst aller ( .m si ) . Caso
cont rár io, você não poderá reinst alar o soft ware porque som ent e o novo pacot e de arquivo cont ém inst ruções
para inst alar os arquivos nov os do service pack ou da at ualização de soft ware.
Pa r a r e in st a la r u m soft w a r e , é pr e ciso:
Obt er o serv ice pack ou a at ualização de soft ware do fornecedor do aplicat ivo e colocar os arquiv os nas
past as apropriadas de inst alação.
Pode ser preciso rem over o soft ware se um a versão não for m ais suport ada ou se os usuários não precisarem
m ais dele. Você pode forçar a rem oção do soft ware ou dar aos usuários a opção de cont inuar usando o
soft ware ant igo.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 8 |
Re m oçã o for ça da . Você pode forçar a rem oção do soft ware, o que rem overá o soft ware
aut om at icam ent e do com put ador na próxim a vez em que ele for ligado ou na próxim a vez que um
usuár io iniciar a sessão, em caso de um a configuração de Dir et iva de Grupo do usuário. O soft war e
será rem ovido ant es de apar ecer na área de t rabalho do usuário.
Re m oçã o opcion a l Você pode rem ov er o soft ware da inst alação do m esm o sem forçar a ret irada
física do soft w are. O soft war e não é realm ent e rem ov ido dos com put adores. O soft ware não aparece
m ais em Adicion a r ou Re m ove r Pr ogr a m a s, m as os usuár ios podem ut ilizá- lo. Se os usuár ios
rem over em m anualm ent e o soft ware, ele não poderá ser reinst alado.
Quando você ut iliza a Dir et iva de Gr upo para inst alar o soft ware, é possív el configurar o GPO para r em over o
soft ware ant igo se ele não for m ais necessário na sua organização. Tam bém é possível rem over soft ware
ant igo configurando o GPO que perm it e aos usuár ios um a at ualização opcionalm ent e a um pacot e de
soft ware novo.
1. Abrir o GPO que foi ut ilizado originalm ent e para inst alar o soft ware.
2. Na I nst alação do Soft ware, clicar com o bot ão direit o do m ouse no nom e do pacot e,
selecionar Toda s a s Ta r e fa s e depois clicar em Re m ove r .
3. Na caixa Re m ove r Soft w a r e , clicar em um a das opções seguint es e depois em OK.
N ot a : Você deve garant ir que os usuár ios reiniciem seus com put adores se a m odificação afet ar o com put ador
ou iniciem a sessão novam ent e se a m odificação afet ar o usuário.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 2 9 |
Junt am ent e com o Microsoft ® Window s Server. 2003, a Microsoft est á lançando um a nova ferram ent a Group Policy
Managem ent , que unifica a adm inist ração da Dir et iva de Grupo. O Microsoft Group Policy Managem ent Console
( GPMC) proporciona um a única solução par a cont rolar t odas as ár eas r elacionadas à Diret iva de Gr upo. Consist e em
um novo snap- in do Microsoft Managem ent Console ( MMC) e um sist em a de int erfaces de scr ipt s para a adm inist ração
de Diret iva de Grupo. A GPMC aj uda a gerenciar com m ais eficácia um a em presa.
O Group Policy Managem ent Console ( GPMC) é um a ferram ent a nova para cont rolar a Dir et iva de Gr upo no
Windows Serv er 2003.
O GPM C:
Perm it e que você cont role a Dir et iva de Gr upo para difer ent es florest as, dom ínios e unidades
organizacionais a part ir de um a int erface const ant e.
Exibe os links, herança e delegação da Dir et iva de Grupo
Most ra os cont êiner es aos quais a diret iva se aplica
Proporciona r elat ór ios em HTML das configurações.
Proporciona ferram ent as par a m ost rar o Conj unt o de Diret ivas Result ant es ( RSoP) e experim ent a
com binações propost as de dir et ivas.
N ot a : O GPMC não vem com o Windows Server 2003. Você pode fazer o download de
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 0 |
O GPMC aj uda a cont rolar am bos os dom ínios baseados no Windows 2000 e no Windows Serv er 2003 com o
serviço do Act ive Direct ory® .
Windows XP Professional com Serv ice Pack 1 ( SP1) e Microsoft .NET Fr am ework . Além disso, é necessár io
um hot fix pós- SP1 ( QFE Q326469) . Est e QFE at ualiza sua versão de gpedit .dll para a versão 5.1.2600.1186,
que é ex ibida para o GPMC. Est e QFE é incluído com o GPMC e a inst alação do GPMC pergunt a sobre sua
inst alação. Ent ret ant o, se o idiom a do GPMC não corresponder ao idiom a do seu sist em a operacional, o GPMC
não inst alará o QFE e será necessário obt er e inst alar separadam ent e est e QFE, que ser á incluído no Window s
XP Serv ice Pack 2.
4 .3 . I n st a la çã o do GPM C
A inst alação do GPMC é um processo sim ples que inclui a execução de um pacot e Windows I nst aller ( .MSI ) .
Os arquivos necessários serão inst alados na past a \ Ar qu ivos de Pr ogr a m a s\ GPM C.
Pa r a e le s:
Após a conclusão da inst alação, a guia Diret iva de Grupo que era ex ibida nas páginas de propriedades de
sit es, dom ínios e unidades organizacionais ( OUs) nos snap- ins do Act ive Direct ory é at ualizada para
proporcionar um acesso diret o ao GPMC. A funcionalidade que exist ia previam ent e na guia or iginal da
Dir et iva de Gr upo não est ará m ais disponív el, t oda a funcionalidade para cont rolar a Dir et iva de Gr upo est ará
disponível at ravés do GPMC.
Para r eparar ou rem over o GPMC, use Adicion a r ou Re m ove r Pr ogr a m a s no Painel de Cont role. Você
t am bém pode execut ar o pacot e gpm c.m si, selecionar a opção apropriada e clicar em Con clu ir .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 1 |
M ode la ge m de D ir e t iva de Gr u po
O Windows Server 2003 t raz um novo recurso de grande alcance: o Group Policy Managem ent Ele perm it e
que o usuário sim ule a aplicação de dir et ivas que seriam aplicadas aos usuários e aos com put adores ant es de
aplicá- las realm ent e. Esse r ecur so é conhecido com o Conj unt o de Dir et ivas Result ant e ( RSoP) . O m odo de
planej am ent o no Window s Server 2003 int egra- se no GPMC com o Modelagem de Dir et iva de Grupo. I st o
exige um cont r olador de dom ínio do Window s Serv er 2003 na flor est a por que a sim ulação é r ealizada por um
serviço que só est á pr esent e nos cont roladores de dom ínio do Windows Server 2003.
Ent r et ant o, usando est a caract er íst ica, você pode sim ular o conj unt o de diret ivas result ant es para qualquer
com put ador na florest a, incluindo aqueles que usam o Microsoft Windows® 2000.
D ir e t iva de Gr u po Re su lt a n t e s
Est e recurso perm it e que os adm inist rador es det erm inem o conj unt o de polít icas result ant e que foi aplicado a
um com put ador específico e ( opcionalm ent e) o usuár io que iniciou a sessão nesse com put ador. Os dados que
se apr esent am são sem elhant es aos dados de Modelagem de Polít ica de Grupo. Ent ret ant o, são diferent es
um a Modelagem de Diret ivas de Grupo, considerando que não são um a sim ulação. É o result ado real do
conj unt o de diret ivas result ant e obt ido do com put ador de dest ino. Tam bém é difer ent e da Modelagem de
Dir et iva de Gr upo, os dados dos Result ados de Diret iva de Grupo são obt idos do client e e não são sim ulados
no cont rolador de dom ínio. O client e pr ecisa execut ar o Windows XP, o Windows Server 2003 ou post er ior .
Não é possível obt er Result ados de Dir et iv a de Grupo em um com put ador que ex ecut e o Window s 2000 ou
versão ant erior .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 2 |
2. Especificar o nom e DNS ou Net BI OS do dom ínio criado na florest a que não foi carregado no GPMC, e
clicar em OK.
A florest a especificada apar ecerá com o um nó secundário no console e será carregada no console com o
dom ínio que foi incorporado na caixa Add For e st .
Para rem ov er um nó de flor est a, bast a clicar com o bot ão direit o no nó e selecionar Re m ove . Por padrão,
você pode adicionar som ent e a florest a ao GPMC se houver um a confiança bidir ecional com a flor est a do
usuár io que ex ecut a o GPMC.
Dent ro de cada dom ínio, o GPMC proporciona um a v ist a baseada nas diret ivas do Act ive Direct ory e nos
com ponent es associados à Dir et iva de Gr upo, por exem plo, GPOs, filt r os WMI e link s de GPO. A visão no
GPMC é sem elhant e à visão em snap- in do MMC de Usuários e Com put adores do Act iv e Dir ect ory que m ost ra
a hierarquia da Unidade Organizacional. No ent ant o, o GPMC difere desse snap- in porque em vez de m ost rar
usuár ios, com put adores e grupos das Unidades Organizacionais, exibe os GPOs que est ão vinculados a cada
cont êiner.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 3 |
A guia de configuração de GPO ou link de GPO no GPMC m ost ra um r elat ór io em HTML que exibe t odas as
configurações definidas no GPO. Clique nest a guia para gerar um relat ório das configurações no GPO. Est e
relat ório pode ser gerado por qualquer usuário com acesso de leit ura ao GPO. Sem GPMC, os usuár ios que
não t inham acesso de gravação a um GPO não podem ler e r evisar configurações com esse GPO. I sso ocorre
porque o edit or de Obj et o de Dir et iva de Gr upo exige que o usuário t enha perm issão de leit ura e gravação ao
abrir o GPO.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 4 |
Os relat órios de HTML t am bém facilit am que o adm inist rador t enha visão de t odas as configurações cont idas
em um GPO de um a v isualização. Selecionando a opção Sh ow All acim a do relat ório, ele é com plet am ent e
am pliado e m ost ra t odas as configurações.
Para ver ou salvar um relat ório diret am ent e em um nav egador da Web, v ocê deve ut ilizar o I nt ernet Explorer
6 ou o Net scape 7. O Net scape 7 não aceit a a funcionalidade que per m it e m ost rar ou ocult ar dados nos
relat órios.
A Rest auração de GPO rest aura um back up exist ent e e recria o GPO no dom ínio. O obj et ivo da rest aur ação é
reaj ust ar um GPO específico de novo ao est ado idênt ico que t inha quando foi realizado o backup. Port ant o, a
operação de rest auração não pode ser ut ilizada para t ransfer ir GPOs at ravés de dom ínios. Par a essa
operação, é preciso ut ilizar a im por t ação de GPO ou a oper ação de cópia.
4 .8 .1 . Ba ck u p
A operação de backup só faz backup de com ponent es do GPO que est ão no Act iv e Direct ory e na
est r ut ura dos arquivos do GPO em SYSVOL. A operação não capt ura dados arm azenados fora do
GPO, por exem plo, filt ros WMI e diret ivas de Segurança I P. Esses são obj et os separados com seus
próprios sist em as de per m issões e é possível que um adm inist rador qualquer faça o backup ou a
rest auração. Ele pode não t er as perm issões exigidas nesses out ros obj et os.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 5 |
Use os scr ipt s de backup do GPO. Você pode escrever seus próprios script s ou ut ilizar a
am ost ra de scr ipt s incluída com o GPMC na past a GPMC\ script s . Ex ist em dois script s
Ba ck u pGPO.w sf e Ba ck u pAllGPOs.w sf que são incluídos com o GPMC, que você pode
ut ilizar para fazer backup de GPOs.
4 .8 .2 . Re st a u r a çã o
A operação de Rest auração de GPO rest aura o GPO a um est ado ant erior e pode ser ut ilizado nos
casos seguint es: foi feit o o backup no GPO, m as ele foi rem ovido ou o GPO est á at ivo e você quer
volt ar a um est ado ant er ior.
Configurações de GPO.
ACLs no GPO.
Os links de filt ro de WMI .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 5 | Pá gin a 3 6 |
Para rest aurar um GPO exist ent e, clique com o bot ão dir eit o do m ouse no GPO no
cont êiner Gr ou p Policy obj e ct s e selecione Re st or e fr om Ba ck u p… Ele abre Re st or e
Gr ou p Policy Obj e ct W iza r d.
Use os scr ipt s de rest auração do GPO. Você pode gravar seus próprios scr ipt s ou ut ilizar
as am ost ras de scr ipt s incluídas com o GPMC na past a GPM C\ scr ipt s
Exist em dois script s Re st or e GPO.w sf e Re st or e AllGPOs.w sf.
4 .8 .3 . I m por t a r
A operação de im port ação t ransfere a configuração em um GPO exist ent e do Act iv e Direct ory ,
usando um backup de GPO na localização do sist em a de arquivos com o sua origem . As operações de
im por t ação podem ser ut ilizadas para t ransfer ir configurações at ravés de GPOs dent ro do m esm o
dom ínio, at rav és de dom ínios na m esm a flor est a ou em flor est as separadas.
As operações de im por t ação são ideais para im igrar a Diret iva de Grupo em am bient es de onde não
há confiança.
Clique com o bot ão dir eit o do m ouse no GPO no nó Obj et os de Diret iva de Grupo e clique
em I m port Set t ings. I sso inicia um assist ent e que o orient ará no processo de selecionar o
backup e especificar um a t abela de m igração se apropriado.
Use qualquer dos scr ipt s I m por t GPO.w sf ou I m por t AllGPOs.w sf incluídos no GPMC.
4 .8 .4 . Copia r
1. Um a operação de cópia t ransfere configurações usando um GPO ex ist ent e no Act ive Direct ory
com o origem e cria um GPO novo com o seu dest ino.
2. Um a operação de cópia pode ser ut ilizada para t ransferir configurações para um novo GPO
qualquer no m esm o dom ínio, em out ros dom ínios, na m esm a flor est a ou em florest as
separadas. Considerando que um a operação de cópia ut iliza um GPO exist ent e no Act ive
Dir et ory com o origem , é exigida confiança ent re a origem e os dom ínios do dest ino.
Clique com o bot ão direit o do m ouse na or igem de GPO, escolha a cópia e clique com o
bot ão direit o no cont êiner Gr oup Policy Obj e ct s do dom ínio desej ado de dest ino. Escolha
a opção Colar.
Use Arrast ar e solt ar para arrast ar o GPO da origem ao cont êiner Gr ou p Policy Obj e ct s
no dest ino de dom ínio.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 |
Ca pit u lo 6
I m ple m e nt a çã o e Adm inist r a çã o
do Te r m ina l Se r ve r n o W indow s Se r ve r 2 0 0 3 .
O Term inal Ser ver do Microsoft ® Window s Server 2003 perm it e diversificar o
hardware do escrit ório at ravés da em ulação de t er m inais.
Tornar a fam ília do Windows m ais escalável para em presas que queiram im plem ent ar a solução “ t hin client ”
para oferecer Windows de 32 bit s a um a grande variedade de disposit ivos de hardware do legado.
Com binar o baixo cust o de um t erm inal com os benefícios de um am bient e ger enciado, baseado no Windows.
Tam bém oferece o m esm o am bient e de baixo cust o e adm inist ração cent ral de um m a in fr a m e t radicional com
t er m inais, m as acr escent a a fam iliaridade, a facilidade de uso e a variedade de suport e a aplicat ivos
proporcionados por um a plat aform a de sist em a operacional do Window s.
1 . I n t r odu çã o
Os Term inal Services per m it em o acesso de m últ iplos usuários ao Windows Server 2003, perm it indo que várias pessoas
iniciem sessões em um único com put ador sim ult aneam ent e. Os adm inist radores podem inst alar aplicat ivos baseados no
Windows do Term inal Serv er e colocá- los à disposição de t odos os client es conect ados com o ser vidor. Em bora os
usuár ios possam t er div ersos hardware e sist em as operacionais, a sessão Term inal que é aber t a na ár ea de t rabalho do
client e conserv a o m esm o aspect o e funcionalidade para t odos.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 2 |
Te r m in a l Se r ve r : Est e núcleo de servidor m ult iusuár io perm it e m ant er várias sessões sim ult âneas
de client es no Windows Serv er 2003 e em versões fut uras do Windows Server. Tam bém é possível t er
de form a diret a áreas de t rabalho de client e m ult iusuários com pat íveis que execut em div ersos
equipam ent os de hardware baseados ou não no Windows. Os aplicat ivos padrão baseados no
Windows, se forem desenv olvidos adequadam ent e, não precisam de nenhum a m odificação par a
execut ar no Term inal Server, e é possív el ut ilizar t odas as infra- est rut uras de adm inist ração e
t ecnologias padrão baseadas no Window s Server 2003 para adm inist r ar as áreas de t rabalho do
client e.
Re m ot e D ispla y Pr ot ocol ( RD P) : Est e prot ocolo é um com ponent e chav e do Ter m inal Server e
perm it e que o client e se com unique com o Term inal Server em um a rede. Baseia- se no prot ocolo
T.120 da União I nt ernacional de Telecom unicações ( UI T) e é um prot ocolo de m últ iplos canais que
est ão aj ust ados para am bient es corporat iv os de largura de banda elev ada e que oferece supor t e a
t rês níveis de cript ografia.
Clie nt e do Te r m in a l Se r ve r : É o soft w are de client e que apresent a um a int erface fam iliar do
Windows de 32 bit s em um a grande variedade de hardwar e de área de t rabalho:
Fe r r a m e n t a s de a dm in ist r a çã o: Além de t odas as ferram ent as de adm inist ração fam iliar es do
Windows Serv er 2003, o Term inal Serv er acrescent a um adm inist rador de licenças de Ter m inal
Services, a configuração do Term inal Serv er ( MMC) e ferram ent as de adm inist ração para Term inal
Server e para sessões de client es. Tam bém disso, foram adicionados novos obj et os ao m onit or de
desem penho de sessão e usuário, para per m it ir aj ust á- los ao servidor em um am bient e de m últ iplos
usuár ios.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 3 |
1 .2 . Am bie n t e s de Usu á r io
Depois de inst alar o soft ware do client e, os usuár ios acessam o Term inal Server abr indo o Client e de Conexão
de Área de Tr abalho Rem ot a do m enu Todos os Pr ogr a m a s/ Ace ssór ios/ Com u n ica çõe s. Quando um
usuár io conect a e inicia a sessão no Ter m inal Server , a ár ea de t rabalho do Windows Server 2003 é exibida na
área de t rabalho do client e. Quando um usuário inicia um program a, é fácil per ceber se o program a não est iv er
funcionando de form a local.
1 .3 . Re cu r sos e va n t a ge n s
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 4 |
Os recur sos do Term inal Server proporcionam várias vant agens que um a organização pode ut ilizar com o
inst alação, acesso e cont role dos aplicat ivos de negócios.
I n st a la çã o Ce n t r a liza da
As organizações podem inst alar aplicat ivos de negócios, considerando que o funcionam ent o dos program as
ocorrerá int eir am ent e no ser vidor. O Term inal Server t em o m enor TCO para um único disposit ivo de aplicat ivo
que funciona em um a linha de negócio, por exem plo, um sist em a de reservas ou um a Cent ral de At endim ent o
ao Client e.
Ofe r e ce t a m bé m a s se gu in t e s va n t a ge n s:
Ace sso fá cil a soft w a r e n ovo ou a t u a liza do. Quando o Term inal Ser ver est á at ivado no Windows
Server 2003, os adm inist r adores não precisam inst alar os aplicat ivos em cada com put ador do
escr it ór io. O aplicat ivo j á est á inst alado no servidor e os client es possuem acesso aut om át ico à versão
nova ou at ualizada do soft ware.
O Term inal Server pode est ender o Windows Serv er 2003 e os aplicat ivos baseados no Windows a vários
client es.
Ao m e sm o t e m po, t a m bé m pe r m it e :
Ex e cu t a r a plica t ivos do W in dow s: O Term inal Server pode disponibilizar aplicat ivos do Windows
a um a am pla variedade de client es. Esses aplicat ivos baseados no Windows podem funcionar em
vários sist em as, de sist em a operacional ou hardware, com pouca ou nenhum a m odificação.
Adm in ist r a çã o r e m ot a . A Área de Trabalho Rem ot a é um novo recurso do Term inal Serv er no
Windows Serv er 2003. Ele foi desenvolvido para fornecer aos operadores e adm inist radores acesso
rem ot o aos servidores Microsoft BackOffice® e aos Cont roladores de Dom ínio. O adm inist rador t em
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 5 |
acesso às ferr am ent as de int erface gráfica disponíveis no am bient e do Windows, m esm o que não
est ej a ut ilizando um com put ador com Windows para adm inist rar o serv idor.
Su por t e r e m ot o. Os adm inist radores podem ofer ecer suport e rem ot o para um usuár io que inicie a
sessão no Ter m inal Serv er, acom panhando a sessão do client e a part ir de out ra sessão do client e. Os
adm inist rador es ou o pessoal de supor t e t am bém podem realizar ações de t eclado e m ouse por um
usuár io, usando o Cont role Rem ot o. O Cont role Rem ot o pode ser út il para oferecer t reinam ent o e
suport e de usuários nos sist em as ou aplicat ivos novos.
1 .4 . Pla n e j a m e n t o da in st a la çã o
Ant es de inst alar o Term inal Server, ident ifique os aplicat ivos que você pret ende inst alar na área de
t rabalho do client e. A m aioria dos program as que funciona corret am ent e no Windows Server 2003
t am bém funciona no Ter m inal Server.
Os aplicat ivos inst alados em um Ter m inal Server dev em ser com pat íveis com o Windows Serv er 2003.
Se um program a não funcionar no Window s Server 2003, ele não funcionará no am bient e m ult iusuár io
do Term inal Server. Os aplicat ivos de 32 bit s funcionam com m ais eficiência que os aplicat ivos de 16
bit s, aproveit ando com plet am ent e o hardware e o sist em a operacional de 32 bit s. Os aplicat ivos de 16
bit s ex ecut ados no Term inal Server podem reduzir o núm ero de usuár ios que o processador aceit a em
aproxim adam ent e 40% , e aum ent ar a m em ória exigida por cada usuário em aproxim adam ent e 50% .
Aplica t ivos do M S- D OS
Considerando que os aplicat ivos baseados no Microsoft MS- DOS® nunca foram desenvolvidos para
am bient es de m últ iplas t arefas, execut ar aplicat ivos do MS- DOS no Ter m inal Server pode ret ardar o
funcionam ent o do sist em a com processos ociosos. Se o funcionam ent o do servidor for ret ardado de
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 6 |
form a per cept ível quando os usuár ios ut ilizar em aplicat ivos do MS- DOS, é preciso aj ust ar as
configurações do sist em a.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 7 |
Com put adores de client e conect ados a um Ter m inal Serv er não exigem m uit o poder de
processam ent o e, por isso, é m uit o fácil int egrar o Term inal Serv er a um a rede que t enha
com put adores e equipam ent os ant igos.
Microsoft Windows 95
Microsoft Windows 98
Re qu isit os de H a r dw a r e
A t abela a seguir descrev e os requisit os de hardware específicos do client e para Ter m inal Server .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 8 |
Tipos de se r vidor . Recom enda- se inst alar o Term inal Server em um Servidor Mem bro e
não em um Cont rolador de Dom ínio. A inst alação do Ter m inal Server em um Cont rolador de
Dom ínio pode criar obst áculos para o funcionam ent o do servidor dev ido às necessidades de
m em ória, t ráfego da rede e o t em po que o processador pr ecisa para realizar as t arefas de um
cont rolador de dom ínio no dom ínio.
RAM . Geralm ent e, um Term inal Server exige um adicional de 4 a 10 MB de RAM para cada
sessão do t erm inal.
Sist e m a de a r qu ivos. Recom enda- se inst alar um Term inal Serv er em um a part ição
form at ada com o Sist em a de Arquivo NTFS, v ist o que ele proporciona segurança para os
usuár ios em um am bient e de m últ iplas sessões com acesso às m esm as est rut uras de dados.
D iscos r ígidos. A velocidade do disco é crít ica para o funcionam ent o do Term inal Server .
As unidades de disco SCSI ( Sm all Com put er Syst em I nt erface) , especialm ent e disposit ivos
com pat ív eis com o SCSI e Scsi- 2 rápidos, t êm um desem penho de processam ent o bem
m elhor do que os out ros t ipos de discos. I sso é m enos im por t ant e nos sist em as que não
arm azenam Perfis de Usuário e dados no Ter m inal Server, m as afet a o t em po de
carregam ent o inicial do program a. Para um m elhor desem penho do disco, é im port ant e
considerar o uso do Cont rolador RAI D ( Redundant Array of I ndependent Disks) SCSI . O
Cont rolador RAI D inser e aut om at icam ent e os dados em m últ iplos discos para aum ent ar o
desem penho e m elhorar a confiabilidade dos dados.
Ada pt a dor de r e de . Recom enda- se usar um adapt ador de rede de alt o desem penho,
especialm ent e se os usuár ios exigirem acesso a dados que sej am arm azenados nos
servidor es de r ede ou ex ecut em aplicat ivos client e/ servidor. Usando m últ iplos adapt adores, é
possível aum ent ar de for m a percept ível o rendim ent o da rede e t am bém a segurança do
sist em a na separação do acesso do client e de serv iços back- end.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 9 |
Os padrões de uso dos usuár ios de com put adores podem t er um im pact o im por t ant e no
funcionam ent o do Term inal Server.
Fu n cion á r io de e n t r a da de da dos: Esses funcionár ios t rabalham som ent e com um único
aplicat ivo ut ilizado na ent rada de dados ( por exem plo, aplicat ivos de negócios desenvolvidos
no Microsoft Visual Basic® ) .
Fu n cion á r io de con h e cim e n t o. Os funcionár ios que t rabalham com conhecim ent o
execut am t rês ou m ais program as sim ult aneam ent e e geralm ent e deixam seus program as
abert os. Os funcionários que ut ilizam conhecim ent os t am bém podem execut ar program as
que exij am processam ent o int enso do sist em a ( por exem plo, consult as det alhadas em
grandes bancos de dados) .
1 .5 . I n st a la r o Te r m in a l Se r ve r
Para inst alar o Term inal Server, é preciso at ivar o com ponent e do Term inal Serv er durant e a inst alação,
usando o assist ent e de Com ponent es do Windows. Você pode at ivar o Term inal Server de duas form as: com o
Servidor de Aplicat ivos do Term inal ou Adm inist ração de Área de Trabalho Rem ot a. Esse últ im o não exige
licença e per m it e som ent e 3 conexões. A licença do Term inal Server pode ser inst alada com o Term inal Serv er
ou sozinha em out ro com put ador. Quando a Licença do Term inal Server é inst alada, é preciso especificar se o
servidor de licenças serv irá ao dom ínio, ao grupo de t rabalho ou ao sit e.
Para at ivar o Term inal Server ( Aplicat ivo) , o processo é r ealizado at ravés do assist ent e de
com ponent es do Window s. Por sua vez, para at ivar a Área de Trabalho Rem ot a ( inst alado por padrão) , é
preciso ir para a guia “ Rem ot o” nas propriedades do sist em a e selecionar a opção " Perm it ir que usuários se
conect em rem ot am ent e a est e com put ador " .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 0 |
Os usuár ios que t êm cont as em um Term inal Server são habilit ados para iniciar a sessão no ser vidor por
padrão.
Para desabilit ar o processo de conexão par a um usuário, é preciso lim par a caixa Pe r m it ir logon n o Te r m in a l
Se r ve r na guia Pe r fil de se r viços de t e r m in a l na caix a Propriedades para a cont a do usuário e depois clicar
em Aplica r . Na guia, você t am bém pode especificar os dir et órios iniciais e os perfis de usuár io dos usuários.
1 .7 . I n st a la r a Con e x ã o de Ár e a de Tr a ba lh o Re m ot a
A Conexão de Área de Trabalho Rem ot a vem incluída no Windows XP e no Windows Server 2003, podendo
t am bém ser inst alada em out ros com put adores por vários out ros m ét odos.
Com pa r t ilh a m e n t o de pa st a % syst em root % \ syst em 32\ client s\ t sclient \ w in32 no Window s Server
2003. ( I sso t am bém pode ser feit o com o Windows 2000 Server.)
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 1 |
1 .7 .1 . I n t e r fa ce a pr im or a da
As sessões rem ot as que usam a Área de Trabalho Rem ot a podem ser realizadas em vídeo high- color e
full- screen com um a barra de conexão para perm it ir a com ut ação rápida ent r e a sessão rem ot a e a
área de t rabalho local. A conexão rem ot a pode ser m odificada de acordo com requisit os part iculares e
para sat isfazer suas necessidades específicas, com opções de t ela, r ecur sos locais, program as e
experiência. A configuração de exper iência perm it e que você escolha sua velocidade de conexão e
opções gráficas, por exem plo, anim ação de t em as ou m enu e j anela par a ot im izar o desem penho das
conexões com pouca largura de banda.
O redirecionam ent o de recursos est á disponível para os client es do Windows Serv er 2003 ou do
Windows XP Pr ofessional e oferece um a variedade de t ipos de dados a redirecionar . Par a m axim izar a
segurança, cada t ipo de redirecionam ent o pode ser at ivado ou desat ivado individualm ent e em cada
client e ou ser vidor. Tam bém é possível exibir um aler t a de segurança quando for solicit ado um
redirecionam ent o do sist em a de arquivos, port as ou um Cart ão I nt eligent e, per m it indo que o usuár io
negue o redir ecionam ent o ou cancele a conexão se preferir.
A Área de Trabalho Rem ot a perm it e repr odução de áudio ( por ex em plo, not ificações de " erro" ou
" nova m ensagem de correio" podem ser redirecionadas ao client e) . Com binações de t eclas, com o Alt -
Tab e Cont rol- Escape, são enviadas à sessão rem ot a por padrão, enquant o o Cont rol- Alt - Delet e é
m ant ido sem pre pelo com put ador do client e para preservar a segurança do servidor. As infor m ações
de Fuso Horário t am bém podem ser redir ecionadas do ser vidor para os client es, perm it indo que um
servidor ger encie m últ iplos usuár ios em diferent es fusos horários. Os program as com recursos de
calendár io podem aproveit ar o redirecionam ent o de Fuso Horário.
A cópia dos arquivos ent re client e e serv idor é m ais fácil. Os discos do client e, locais e de
rede, agora est ão disponíveis dent ro da sessão do servidor. Os usuár ios podem t er acesso a
seus própr ios discos locais e t ransfer ir os arquivos ent re o client e e o servidor sem precisar
sair da sessão rem ot a.
I m pressoras locais e de rede inst aladas no client e est ão disponíveis na rede rem ot a, com
nom es sim ples. As port as ser iais do client e podem ser m apeadas de for m a que o soft ware no
servidor possa t er acesso ao hardware conect ado. Os client es que r econhecem cart ões
int eligent es - Windows 2000, Windows XP e Windows CE .NET- podem fornecer cr edenciais
de Cart ões I nt eligent es para o início de sessão à sessão rem ot a no Windows Server 2003.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 2 |
1 .8 . I n st a la r a plica t ivos n o Te r m in a l Se r ve r
Para t ornar um aplicat ivo disponív el para m últ iplos usuários, a inst alação do aplicat iv o deve copiar os arquivos
do program a para um local cent ral do servidor, em v ez da Past a Base dos usuários.
N ot a : para fins de segurança, recom enda- se a inst alação dos aplicat ivos em um a part ição NTFS.
1. I niciar a sessão no Term inal Server com o adm inist rador e fechar t odos os program as.
2. Clicar em I n icia r , Con figu r a çõe s e depois em Pa in e l de Con t r ole .
3. No Painel de Cont role, clicar duas vezes em Adicion a r ou Re m ove r Pr ogr a m a s.
4. Clicar duas vezes em Adicion a r N ovos Pr ogr a m a s e depois em CD ou Floppy .
5. Selecionar o ar quivo de inst alação do aplicat ivo, clicar duas vezes no execut ável e depois
clicar em Ava n ça r .
6. Na página Opçã o de a lt e r a çã o de u su á r io, verificar se Todos os u su á r ios u t iliza r ã o
con figu r a çõe s com u n s pa r a o a plica t ivo est á selecionada.
7. I nst alar o program a no disco local segundo as inst r uções do program a de inst alação.
8. Seguir as inst r uções no assist ent e para concluir a inst alação.
1. I nicie a sessão no Term inal Server com o adm inist rador e feche t odos os program as.
2. Em um a j anela de linha de com ando, digit e ch a n ge u se r / in st a ll e depois pressione
ENTER.
3. I nst ale o program a no disco local segundo as inst r uções do program a de inst alação.
4. Em um a j anela de linha de com ando, digit e ch a n ge u se r / e x e cu t e quando a inst alação
for concluída.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 3 |
Adm inist ração gráfica dos servidores Windows Server 2003 e Window s 2000 de qualquer client e Term inal
Services. ( Os client es est ão disponíveis para com put adores que execut em Windows para Workgroups,
Windows 95, Windows 98, Windows CE 2.11, Windows CE.NET, Windows NT® , Windows 2000, Windows XP
Professional e Macint osh OS- X.)
At ualizações rem ot as, reinício e prom oção / rebaixam ent o de Cont rolador es de Dom ínio.
Acesso aos servidores, ut ilizando conexões de baixa largura de banda, com at é 128 bit s de cr ipt ografia.
I nst alação e execução rem ot as de aplicat iv os, com acesso a discos e m ídia locais ( por exem plo, quando são
copiados arquivos grandes e verificações de vírus) .
Possibilidade dos adm inist radores rem ot os com par t ilhar em um a sessão para fins de colaboração e suport e.
Rem ot e Deskt op Prot ocol ( RDP) . I nclui im pressão local e em rede, redir ecionam ent o de sist em a de arquivos,
m apeam ent o da área de t r ansfer ência ( r ecort ar , copiar e colar) , redirecionam ent o de Cart ão int eligent e,
redirecionam ent o de disposit ivos em sér ie e suport e a qualquer program a de canal vir t ual RDP.
2 .1 . I n t e gr a r Te r m in a l Se r vice s
O com ponent e Term inal Ser vices da fam ília Windows Server 2003 é t ot alm ent e int egrado no kernel e est á
disponível em t odas as inst alações do Windows Server 2003. A at ivação da Área de Trabalho Rem ot a não exige
espaço adicional no disco e t em um im pact o m ínim o no desem penho. São necessários apenas
aproxim adam ent e 2 m egabyt es ( MB) de m em ória do serv idor, com um im pact o insignificant e no uso da CPU.
O desem penho só é afet ado quando é iniciada um a sessão r em ot a, sem elhant e ao cust o do console.
É por esses m ot ivos que a Microsoft recom enda at ivar a Área de Trabalho Rem ot a em t odos os com put adores
e no Cont rolador de Dom ínio do Window s Server 2003. I sso oferecerá flexibilidade e sensibilidade subst anciais
na adm inist ração dos servidores de um a or ganização, independent e da sua localização.
2 .2 . Ex e r cício 1 : At iva r a Ár e a de Tr a ba lh o Re m ot a
O Term inal Server e a Área de Trabalho Rem ot a agora são configurados separadam ent e no Windows Server
2003, proporcionando opções m ais flex íveis para a adm inist ração.
Ár e a de Tr a ba lh o Re m ot a
A Área de Trabalho Rem ot a é inst alada por padrão no Windows Server 2003, m as, por razões de segurança,
vem pré- configurada desabilit ada. É possív el habilit á- lo em Sist e m a no Pa in e l de Con t r ole .
Além das duas sessões v irt uais disponíveis no m odo adm inist rat ivo do Term inal Services do Windows 2000,
um adm inist rador t am bém pode se conect ar rem ot am ent e ao console v erdadeiro de um serv idor, at ravés da
Área de Trabalho Rem ot a no Windows Server 2003. As ferram ent as que ant es não funcionar iam em um a
sessão vir t ual porque int eragiam com a ‘sessão 0' agora funcionam r em ot am ent e.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 4 |
Pa r a a t iva r a Ár e a de Tr a ba lh o Re m ot a :
1. I nicie a sessão norm alm ent e em out ro equipam ent o com Windows XP ou Window s Ser ver 2003.
2. Em I n icia r , Ex e cu t a r , digit e m st sc.e x e e depois pr essione EN TER.
3. Na caixa Com pu t a dor , insir a o nom e do servidor ao qual você desej a se conect ar e depois
pressione EN TER.
1. I nicie a sessão norm alm ent e em out ro equipam ent o com Windows XP ou Window s Ser ver 2003.
2. Em I n icia r , Ex e cu t a r , digit e m st sc.e x e / con sole / v:< n om e dose r vidor > e depois pressione
EN TER.
3. Verifique se, logo ao iniciar a sessão do console, o servidor ao qual você se conect ou bloqueou a
sessão at iva.
Le m br e - se de qu e : Para execut ar esse exercício, é preciso t er, pelo m enos, duas m áquinas, j á que é
im possível conect ar o console na m esm a sessão.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 5 |
2 .3 . Fe r r a m e n t a s de a dm in ist r a çã o
A seguir t em os um a am ost r a lim it ada das ferram ent as de adm inist ração que podem aj udá- lo a cont rolar
sessões rem ot as:
Pa r a con e x ã o com o con sole , os a dm in ist r a dor e s pode m e scolh e r u m dos m é t odos a se gu ir :
Execut ar o program a Rem ot e Deskt op Connect ion ( m st sc.exe) com o parâm et ro / console.
Criar páginas Rem ot e Desk t op Web Connect ion com a pr opriedade Connect ToServ erConsole.
D ir e t iva de Gr u po de Se r viços de Te r m in a l
A Diret iva de Grupo pode ser ut ilizada para adm inist rar os serviços de Ter m inal dos com put adores que
execut am sist em as operacionais do Windows Server. Diret ivas de Gr upo de Serviços de Term inal podem
configurar conexões de Serv iços de Ter m inal, de Diret iv as de Usuár io e de Clust er s do Ter m inal Server, e
adm inist rar sessões de Serviços de Term inal.
Re m ot e D e sk t ops M M C
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 6 |
Esse ut ilit ár io, t sadm in.exe, é ut ilizado para adm inist rar usuários de Serviços de Ter m inal, sessões e processos
em qualquer servidor da r ede que est ej a execut ando Serviços de Ter m inal. Usando essa ferram ent a, você
pode conect ar e desconect ar, fechar sessões, reiniciar e cont rolar rem ot am ent e as sessões. Tam bém é possív el
ut ilizá- la para se conect ar a out ros serv idores em dom ínios confiáv eis, cont rolar sessões em um serv idor
rem ot o, enviar m ensagens aos usuários ou fechar sessões e concluir processos.
Est e ut ilit ár io, t scc.m sc, é ut ilizado para m odificar a configuração da cr ipt ografia por padrão e para configurar
t em pos de espera para redefinir e desconect ar. Para configurar t em pos de espera para reiniciar e desconect ar
cont as individuais, é preciso ut ilizar a guia das sessões na caixa Propriedades da cont a do usuário. Muit as
configurações t am bém podem ser det erm inadas com a Dir et iva de Gr upo de Serv iços de Ter m inal ou o WMI
( Window s Managem ent I nst r um ent at ion) . Nesse caso, a configuração de Serviços de Term inal é subst it uída.
Use Visualizar Event os, event vwr.m sc, para pesquisar os acont ecim ent os que podem t er ocorrido, com o caixas
de diálogo pop- up no console do servidor.
Qu e r y Use r . É um ut ilit ár io de linha de com ando que list a usuár ios at iv os e desconect ados.
D iscon n e ct . Esse ut ilit ário de linha de com ando, t sdiscon, desconect a a sessão. Um procedim ent o
analógico apaga o m onit or e deixa o com put ador em funcionam ent o. A desconexão t am bém pode ser
feit a em I niciar/ Desligar . Par a reconect ar à sessão, inicie- a no servidor, out ra vez com o m esm o
usuár io a part ir da Conexão para Área de Tr abalho Rem ot a.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 7 |
O com ponent e de Serviços de Ter m inal do Microsoft ® Windows® Server 2003 é est rut urado em um a base sólida
proporcionada pelo Modo de Servidor de Aplicat ivo do Windows 2000 Ter m inal Serv ices, e inclui os novos recursos do
client e e do prot ocolo no Windows XP. Os Serviços de Ter m inal perm it em fornecer vir t ualm ent e aplicat ivos baseados no
Windows ou na área de t rabalho do Windows, para qualquer disposit ivo, incluindo os que não podem execut ar o
Windows.
Os Serviços de Term inal no Windows Ser ver 2003 podem aperfeiçoar os recur sos de inst alação do soft ware de um a
em presa em um a variedade de cenários, proporcionando um a flexibilidade subst ancial à infra- est rut ura e à
adm inist ração de aplicat ivos. Quando um usuário execut a um aplicat ivo no Ter m inal Server, a execução do aplicat ivo
ocorre no serv idor e som ent e as inform ações de t eclado, m ouse e vídeo são t ransm it idos na r ede. Cada usuár io vê
som ent e a sua sessão indiv idual, que é adm inist rada de form a t ranspar ent e pelo sist em a operacional do serv idor e é
independent e de qualquer out ra sessão do client e.
3 .1 . Be n e fícios
Os Serviços de Term inal no Windows Serv er 2003 fornecem t rês benefícios im port ant es:
I nst alação rápida e O Term inal Server é ót im o para inst alar rapidam ent e aplicat ivos baseados no
cent ralizada de Windows em t oda a em pr esa, especialm ent e que são ut ilizados com freqüência ou
aplicat ivos são de adm inist ração difícil.
O Term inal Ser ver reduz consideravelm ent e a largura de banda ex igida na rede para
t er acesso a dados rem ot am ent e. Usar o Term inal Server para execut ar um
Acesso a dados
aplicat ivo em conexões de baixa largura de banda, por ex em plo, discagem dir et a ou
ut ilizando conexões de
com par t ilham ent os de enlaces da WAN, é m uit o eficaz para fornecer acesso rem ot o
baixa largura de banda
e m anipular grandes quant idades de dados, considerando que som ent e a t ela de
dados é t ransferida, e não os próprios dados.
Windows em qualquer O Ter m inal Server aj uda os usuár ios a serem m ais produt ivos, possibilit ando o
part e acesso aos program as at uais em qualquer disposit ivo.
D ir e t iva de Gr u po A Diret iv a de Grupo pode ser at ualizada para cont rolar as propriedades dos Serviços de
Term inal. I sso perm it e a configuração sim ult ânea dos grupos de servidor es, incluindo a configuração dos novos
recur sos, por exem plo, cam inho de perfil de Serv iços de Ter m inal por com put ador , e desabilit a o papel de
parede, vist o que eles est ão conect ados rem ot am ent e.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 8 |
O Gerenciador de Serviços de Ter m inal aprim orado per m it e um a adm inist ração m ais fácil de um a grande
diversidade de servidores, reduzindo a enum eração aut om át ica do servidor. I sso dá acesso dir eit o aos
servidor es especificados por nom e e fornece um a list a dos servidores preferidos.
Ge r e n cia dor do Te r m in a l Se r ve r .
O Gerenciador de Licenças do Ter m inal Server foi aprim orado para facilit ar a at ivação de um Servidor de
Licenças do Term inal Server e at ribuir as licenças.
Configurando a Diret iva de Sessão Única, o adm inist rador pode lim it ar os usuár ios a um a única sessão,
independent e de ela est ar at iva ou não ( exat am ent e com o em um grupo de serv idores) .
M e n sa ge n s de Er r o do Clie n t e
Mais de 40 novas m ensagens de erro de client e facilit am o diagnóst ico de problem as da conexão do client e.
3 .3 . Apr im or a m e n t os na Se gu r a n ça
O m odelo de acesso ao Ter m inal Server agora se adapt a m elhor aos paradigm as de adm inist ração do Windows
Server.
Gr u po de Usu á r ios da Ár e a de Tr a ba lh o Re m ot a
Em v ez de adicionar usuár ios a um a list a no program a Configuração dos serviços de Ter m inal ( TSCC) , você
sim plesm ent e os t ornará m em bros do grupo Rem ot e Deskt op Users ( RDU) . Por ex em plo, o adm inist rador pode
adicionar o gr upo " Usuár ios do dom ínio" ao grupo RDU para perm it ir que t odos t enham acesso ao Term inal
Server.
Usar um grupo verdadeiro do NT t am bém significa que o acesso aos Term inal Serv ers pode ser cont rolado
at ravés da Diret iva de Grupo nos grupos de servidores.
Edit or de D ir e t iva de Se gu r a n ça .
Para configurações adicionais em Serviços de Term inal, os direit os de usuário podem ser at ribuídos a t odos os
usuár ios ou a grupos individuais, usando o Edit or de Dir et iva de Segur ança. Dessa form a, você ofer ece aos
usuár ios a capacidade de iniciar a sessão no Term inal Serv er, sem precisar ser um m em bro do grupo Usuários
de Área de Trabalho Rem ot a descr it a acim a.
Por padrão, as conexões aos Term inal Ser vers garant em cript ografia RC4 bidirecional com 128 bit s quando
est á sendo ut ilizado um client e que oferece supor t e de 128 bit s. ( RDC é de 128 bit s por padrão) . É possível
conect ar client es m ais ant igos com cript ogr afia infer ior a 128 bit s, a m enos que se especifique que som ent e os
client es de alt a cript ografia sej am habilit ados.
As diret ivas de rest r ição de soft ware no Windows Server 2003 perm it em que os adm inist rador es ut ilizem
Dir et ivas de Grupo para sim plificar o bloqueio de Ter m inal Server s, perm it indo que apenas det er m inados
program as sej am execut ados pelos usuár ios especificados.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 6 | Pá gin a 1 9 |
ht t p: / / www .m icrosoft .com / w indowsxp/ pro/ t echinfo/ adm inist rat ion/ rest r ict ionpolicies/ default .asp
Est e recurso do Windows subst it ui a ferram ent a AppSec ( Segurança de Aplicat ivo) ut ilizada em versões
ant er iores dos Serviços de Term inal.
3 .4 . D ir e t ór io de Se ssã o
Os Ter m inal Servers podem ser organizados em grupos. Essa configuração per m it e clust ers ut ilizando
Balanceam ent o de Carga em Rede ( NLB) nos com put adores para oferecer a seus usuár ios um serviço de
t olerância a falhas.
O novo recur so Dir et ór io de Sessão nos Serviços de Term inal perm it e que os usuários reconect em - se a um a
sessão específica desconect ada do grupo, dirigindo- se a um serv idor car regado quando conect ada.
O Session Dir ect ory pode ut ilizar o serviço de Equilíbrio de Carga do Windows ou um Equilibrador de Cargas de
t erceiros e o serviço pode funcionar em qualquer com put ador com o Window s Server 2003. No ent ant o, os
m em bros do grupo do Term inal Serv er dev em est ar execut ando o Windows Server 2003, Ent erprise Edit ion.
Durant e est e exercício, você inst alará um Term inal Server para execut ar aplicat ivos.
1. No Painel de Cont role, clique duas vezes em Adiciona r ou Re m ove r Pr ogr a m a s e depois em Window s
Com ponent es.
2. Selecione Te r m in a l Se r ve r e depois clique m e Ava n ça r .
3. Aceit e a configuração padrão e clique em Ava n ça r .
4. Ao finalizar a inst alação, clique em Con clu ir .
Para inst alar aplicat ivos, siga as inst ruções na seção 1.8 do capít ulo. Lem bre- se de que é possível inst alar, por
exem plo, o Microsoft Office XP. Para inst alar o Microsoft Office 2000, será necessár io o Resource Kit do Office
2000.
O Windows Server 2003 int r oduz um novo produt o que não é fornecido no CD do Windows Server 2003. Essa
ferram ent a é com pat ível apenas com as ver sões Ent erprise e Dat acent er .
O Windows Syst em Resour ce Manager ( WSRM) per m it e adm inist rar recur sos de hardware, por exem plo,
m em ória e processador, at r ibuindo aos usuários recur sos preest abelecidos. Dessa form a, você pode ev it ar que
um usuár io consum a m uit os recur sos, execut ando t arefas desnecessár ias ou m últ iplos processos sem lim it e de
recur sos. Tam bém é possível at ribuir aos r ecur sos um a agenda de horários, por ex em plo, at ribuir durant e o
dia um a quant idade de recursos lim it ada e, em horário not urno, um lim it e superior ou nenhum lim it e,
conform e o caso.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 1 |
Ca pit u lo 7
I m ple m e nt a çã o e Configur a çã o de I I S 6 .0
N e st e ca pit u lo, você obt e r á con h e cim e n t os sobr e os se r viços W e b e , a o con clu í- lo, pode r á :
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 1 |
1 . I n t r odu çã o
Os serviços do Microsoft I nt ernet I nfor m at ion Server ( I I S) 6.0 com o Windows Server 2003 fornecem recur sos de
servidor da Web int egrados, confiáv eis, escaláv eis, seguros e adm inist ráveis em um a int ranet , um a ext ranet ou na
I nt er net . O I I S 6.0 incorpora aperfeiçoam ent os significat iv os na arquit et ura para at ender às necessidades de client es
em várias part es do m undo.
1 .1 . Va n t a ge n s
O I I S 6.0 e o Windows Ser ver 2003 int roduzem vários recur sos novos de adm inist r ação, disponibilidade,
confiabilidade, segurança, r endim ent o e escalabilidade nos servidor es de aplicações da Web. O I I S 6.0
t am bém aprim ora o desenvolvim ent o de aplicat ivos da Web e a com pat ibilidade int er nacional. Junt os, o I I S
6.0 e o Windows Server 2003 proporcionam a solução para servidores da Web m ais confiável, produt iva,
conect ada e int egrada disponível.
Va n t a ge m D e scr içã o
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 2 |
Confiabilidade e escalabilidade
Segurança e capacidade de adm inist ração
Melhor desenv olvim ent o e com pat ibilidade int er nacional
Re cu r so D e scr içã o
O I I S 6.0 aprim orou a form a com o o sist em a operacional ut iliza os recur sos
int ernos. Por exem plo, o I I S 6.0 não localiza previam ent e os recur sos
durant e a inicialização. É possível arm azenar m uit os out r os sit es em um
Esca la bilida de dos único servidor que ex ecut e o I I S 6.0 e um grande núm ero de processos de
sit e s t rabalho pode est ar at ivo de form a sim ult ânea. A inicialização e o
desligam ent o de um servidor são processos m ais rápidos em com paração a
versões ant eriores do I I S. Todos esses aprim oram ent os cont r ibuem par a
aum ent ar a escalabilidade dos sit es com o I I S 6.0.
O Windows Server 2003 int r oduz um novo cont rolador no m odo kernel, o
HTTP.SYS, par a a análise e o cache de HTTP, m elhorando a escalabilidade
N ovo con t r ola dor
e o rendim ent o. O I I S 6.0 foi cr iado sobr e o HTTP.SYS e est á aj ust ado
e m m odo de n ú cle o,
especificam ent e para aum ent ar o rendim ent o do servidor da Web. Além
H TTP.SYS
disso, o HTTP.SYS processa diret am ent e solicit ações no kernel, sob
det er m inadas circunst âncias.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 1 |
1 .2 .2 . Se gur a n ça e r e cu r so de a dm in ist r a çã o
O Windows Server 2003 t raz os seguint es recur sos para proporcionar segurança e escalabilidade
aprim oradas.
Re cu r so D e scr içã o
O I I S 6.0 proporciona um a segurança significat ivam ent e aprim orada. Para reduzir a
superfície de at aque dos sist em as, o I I S 6.0 não é inst alado com o padrão no Window s
Server 2003; os adm inist radores precisam selecioná- lo e inst alá- lo de form a explícit a.
Se r vidor
O I I S 6.0 é fornecido em est ado bloqueado e serve unicam ent e ao cont eúdo est át ico.
bloqu e a do
At ravés do uso do nó da ext ensão de serviços da Web, os adm inist rador es de sit es da
Web podem at ivar ou desat ivar a funcionalidade do I I S conform e as necessidades
individuais da organização.
A m et abase de t ext o do I I S 6.0, com form at o XML, proporciona recursos aprim orados
de cópia de segurança e r est auração para os servidores com erros crít icos. Tam bém
M e t a ba se XM L proporciona recuperação de erros da m et abase e um a solução de problem as
aprim orada. A m odificação diret a, m ediant e ferram ent as com uns de m odificação de
t ext o, proporciona um a m aior capacidade de adm inist ração.
O Windows Ser ver 2003 proporciona as caract er íst icas a seguir para obt er desenvolv im ent o e
com pat ibilidade aprim orados.
Re cu r so D e scr içã o
O Window s Server 2003 oferece um a exper iência aprim or ada para o desenvolvedor
com a int egração do I I S e do Microsoft ASP.NET. Criados a part ir do I I S 6.0, os
I n t e gr a çã o do aprim oram ent os do Windows Server 2003 oferecem aos desenvolv edores níveis
I I S e do elevados de funcionalidade, com o o desenv olvim ent o de aplicat ivos rápido ( RAD) e
ASP.N ET um a am pla seleção de idiom as. No Windows Server 2003, a experiência de ut ilizar
ASP.NET e Microsoft .NET Fram ework foi aprim orada porque a arquit et ura de
processam ent o de solicit ações int egra- se ao I I S 6.0.
Com part ilhar inform ações at ravés de lim it es geográficos, em um a grande variedade
de idiom as, t orna- se cada vez m ais im port ant e na econom ia global. Ant es, a
est r ut ura no Unicode do prot ocolo HTTP lim it ava os desenvolvedores ao sist em a das
I n for m a çõe s
páginas de códigos. Agora com os endereços URL codificados em UTF- 8 ( For m at o de
com pa r t ilh a da s
t ransfor m ação de Unicode 8) , o uso de Unicode j á é possível. Esse é um
a t r a vé s dos
aprim oram ent o que perm it e t rabalhar com idiom as m ais com plexos, com o o chinês.
lim it e s
O I I S 6.0 perm it e que os client es obt enham acesso às variáveis do servidor em
ge ogr á ficos
Unicode. Tam bém adiciona novas funções de com pat ibilidade com o servidor que
perm it em que o desenvolvedor obt enha acesso à represent ação em Unicode de um
ender eço URL e, com isso, m elhor e a com pat ibilidade int ernacional.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 1 |
A função do servidor de aplicat ivos com bina essas t ecnologias em um a experiência coesa, perm it indo que os
desenvolvedores e adm inist r adores da Web disponham de aplicat ivos dinâm icos, por ex em plo, um aplicat ivo de banco
de dados do Microsoft ASP.NET, sem necessidade de inst alar qualquer out r o soft ware no servidor .
O servidor de aplicat ivos é configurável em dois pont os do Windows Ser ver 2003: no assist ent e Configurar o Serv idor
e no aplicat ivo Adicionar ou Rem over Com ponent es.
O assist ent e Configurar o Ser vidor é o pont o cent ral para configurar funções no Window s Server 2003 e agora inclui a
função de servidor de aplicat ivos. Para t er acesso ao assist ent e Configurar o Servidor, clique em Adicionar ou
Rem over Funções no assist ent e Configurar o Servidor. Essa função subst it ui a função exist ent e do servidor da Web.
Depois de inst alar essa nova função, a página Manage Your Server t am bém incluirá um a ent rada para a nova função.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 2 |
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 3 |
O serv idor de aplicat ivos t am bém foi incluído no Adicionar ou Rem over Com ponent es do Window s Ser ver 2003 com o
com ponent e opcional de alt o nível. Da m esm a form a, os aplicat ivos do servidor de aplicat ivos ( I I S 6.0, ASP.NET,
COM+ e MSMQ) podem ser inst alados e configurar os com ponent es secundár ios usando Adicionar ou Rem over
Com ponent es. Usando Adicionar ou Rem over Com ponent es para configurar o servidor de aplicat iv os, é possível t er
m aior cont role sobre os com ponent es secundários específicos que serão inst alados.
Os sit es da Web e o código de aplicat ivos est ão ficando cada vez m ais com plexos. Os sit es dinâm icos e os
aplicat ivos da Web podem cont er código im perfeit o que consum a m em ória ou prov oque erros com o, por
exem plo, violações de acesso. Por t ant o, um serv idor da Web dev e ser o responsável at ivo pelo am bient e de
execução do aplicat ivo e aut om at icam ent e det ect ar e responder aos erros do aplicat ivo.
Quando ocorre um erro de aplicat ivo, o serv idor deve ser t olerant e a falhas, o que significa que deve r eciclar
e reiniciar aut om at icam ent e o aplicat ivo responsável, enquant o cont inua colocando em fila as solicit ações
para o aplicat ivo, sem int err upção para o usuár io. É por isso que o I I S 6.0 oferece um a nova arquit et ura
t olerant e a falhas de processam ent o de solicit ações que foi desenvolvida para proporcionar um cont role at ivo
do t em po de execução e um aum ent o expressivo da confiabilidade e da escalabilidade, com binando um novo
m odelo de processam ent o isolado cham ado Worker Process I solat ion Mode. Ele t raz grandes apr im oram ent os
no funcionam ent o com o, por exem plo, Fila e Cache em Modo Kernel.
A versão ant er ior do I I S, o I I S 5.0, foi desenvolvida para t er um processo cham ado I net info.exe, que era o
processo principal do servidor da Web. Com parat ivam ent e, para o I I S 6.0, foram desenvolv idos dois nov os
com ponent es: o st ack do pr ot ocolo ht t p em m odo kernel ( HTTP.sys) e o com ponent e de adm inist ração e
m onit oram ent o em m odo usuário. Essa arquit et ura perm it e que o I I S 6.0 separe as operações do servidor da
Web do processo do sit e da Web e do código do aplicat iv o - sem sacrificar o desem penho.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 4 |
Ant es abordar esses com ponent es, é im port ant e int roduzir os novos conceit os do I I S 6.0: Grupos de
Aplicat ivos e Processos de Tr abalho.
Os gr u pos ( pools) de a plica t ivos são ut ilizados para adm inist rar sit es e aplicat ivos na Web.
Cada Grupo de Aplicat ivos corresponde a um a fila de solicit ação no HTTP.sys e aos processos do Window s
responsáveis por execut ar essas solicit ações. O I I S 6.0 pode oferecer supor t e a at é 2.000 grupos de
aplicat ivos por servidor e pode t er m últ iplos Grupos de Aplicação funcionando ao m esm o t em po. Por
exem plo, um servidor de depart am ent o pode t er o RH em um Gr upo de Aplicat ivos e o depar t am ent o
financeiro em out ro Grupo. Da m esm a for m a, um provedor de serviços da I nt er net ( I SP) pode t er sit es da
Web e aplicat ivos de um client e em um gr upo de aplicat iv os e os sit es da Web de out r o client e em um Gr upo
de Aplicat ivos diferent e. Os Grupos de Aplicat ivos são separados por lim it es de processam ent o no Window s
Server 2003. Port ant o, um aplicat ivo em um Gr upo de Aplicat ivo não é afet ado pelos aplicat ivos em out ros
Grupos de Aplicat ivos, e um a solicit ação do aplicat ivo não pode ser encam inhada a out ro gr upo de
aplicat ivos. Os aplicat ivos t am bém podem ser facilm ent e at ribuídos a out r os grupos de aplicat ivos enquant o o
servidor est á em funcionam ent o.
Um W or k e r Pr oce ss execut a pedidos de serviços dos sit es da Web e aplicat ivos em um Grupo de
Aplicat ivos. Todos os processos de aplicat iv os da Web, incluindo o carregam ent o dos filt ros e das ex t ensões
I SAPI , assim com o a aut ent icação e a aut orização, são execut ados por um novo serviço WWW DLL, no qual
se carr ega um ou m ais Worker Processes. O Worker Process execut ável cham a- se W3wp.exe.
2 .2 . H TTP.sys
No I I S 6.0, o HTTP.sys escut a as solicit ações e as coloca nas filas apropriadas. Cada fila de solicit ações
corresponde a um Gr upo de Aplicat ivos. Considerando que nenhum código de aplicat ivo funciona no
HTTP.sys, ele não pode ser afet ado por falhas no código do Modo Usuár io, que nor m alm ent e afet am o est ado
de Serviços da Web. Se um aplicat ivo falhar , o HTTP.sys cont inua aceit ando e colocando as novas solicit ações
na fila apropriada at é que um dos seguint es ev ent os ocorra: o processo sej a r einiciado e com ece a aceit ar
solicit ações, não haj a filas disponíveis, não haj a espaço nas filas ou o próprio serv iço da Web sej a fechado
pelo adm inist r ador. Com o o HTTP.sys é um com ponent e de m odo Kernel, a operação realizada é
especialm ent e eficient e, per m it indo que a arquit et ura do I I S 6.0 com bine o isolam ent o do processo com o
alt o desem penho ao solicit ar processos.
Quando o serv iço de WWW not ar que o aplicat ivo falhou, se algum t iver solicit ações especiais aguardando
para serem inseridas no Worker Process de um Grupo de Aplicat ivos, um novo Worker Process é iniciado.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 5 |
Port ant o, em bora possa hav er um a int errupção t em porária no processo da solicit ação do m odo de usuário, o
usuár io não percebe a falha porque as solicit ações cont inuam sendo aceit as e colocadas em filas.
O com ponent e WWW Service Adm inist rat ion and Monit oring m elhora um a part e básica do serviço WWW.
Com o no HTTP.sys, nenhum código do aplicat ivo funciona no com ponent e WWW Service Adm inist rat ion and
Monit oring. Est e com ponent e t em responsabilidades prim árias: configur ação do sist em a e adm inist ração do
Worker Process.
Durant e a inicialização, o Ger enciador de Configuração do serviço WWW ut iliza a configuração na m em ória da
m et abase para inicializar a t abela de cam inhos do Espaço de Nom es do HTTP.sys. Cada ent rada na t abela de
cam inhos cont ém inform ações para dir ecionar os URLs inseridos no Grupo de Aplicat ivos do aplicat ivo
associado ao URL. Esses passos de pré- regist ro infor m am ao HTTP.sy s que há um Gr upo de Aplicat iv os para
responder às solicit ações em um a par t e específica do Espaço para Nom es, e esse HTTP.sys pode solicit ar que
um Worker Process sej a iniciado para um Gr upo de Aplicat ivos quando chegar um a solicit ação.
Na função Worker Process Managem ent , o com ponent e de m onit oram ent o e adm inist ração do serviço WWW
é responsável por cont rolar o andam ent o do Worker Process que processa as solicit ações. I sso inclui a
det er m inação de quando com eçar, reciclar ou reiniciar um Worker Process se ele não puder m ais processar
as solicit ações ( for bloqueado) . Ele t am bém é responsável pela super visão dos Wor ker Processes e por
det ect ar quando um deles é finalizado inesperadam ent e.
O I I S 6.0 int roduz um novo m odo de isolam ent o de aplicat ivos para cont rolar o processo de sit es da Web e
aplicat ivos: o m odo de I solam ent o do Worker Process. Ele funciona em t odo o código do aplicat ivo em um
am bient e isolado. Os aplicat ivos podem ser t ot alm ent e isolados um do out ro, onde um erro em um aplicat ivo
não afet a out r o em um processo usando Grupos de Aplicat ivos. As solicit ações são ret iradas diret am ent e do
Kernel, em vez de criar um processo Modo de Usuár io e encam inhar a out ros processos Modo de Usuário.
Prim eiro, o HTTP.sys encam inha o sit e da Web e as solicit ações do aplicat ivo ao Grupo de Aplicat ivos corret o.
Em seguida, os Worker Processes que serv em ao Grupo de Aplicat ivos enviam as solicit ações dir et am ent e da
fila do aplicat ivo em HTTP.sy s. Est e m odelo elim ina os salt os de processo desnecessár ios durant e o envio de
um a solicit ação fora do processo DLLHost .exe ( exat am ent e com o no I I S 4.0 e 5.0) , e aum ent a o
desem penho.
O Modo de I solam ent o do Worker Process evit a que um aplicat ivo ou sit e int errom pa out ro. Além disso,
separar os aplicat ivos ou os sit es em Worker Processes diferent es sim plifica o núm ero de t arefas
adm inist rat ivas, por exem plo, coloca um sit e/ aplicat ivo on- line ou offline ( independent em ent e de t odos os
out ros sit e/ aplicat ivos em ex ecução no sist em a) .
Para m ais infor m ações sobr e o I I S 6.0 com servidor de aplicat ivos:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 1 |
3 . Apr im or a m e n t o n a Se gu r a n ça
A segurança sem pre foi um aspect o im port ant e do I nt ernet I nform at ion Services. Ent r et ant o, nas versões ant erior es
do produt o ( ex . O I I S 5.0 no Windows 2000 Server) , o servidor não era enviado no est ado " bloqueado" por padrão.
Muit os serviços desnecessários, por exem plo, im pressão pela I nt er net er am at ivados na inst alação.
Tornar o sist em a m ais resist ent e era um pr ocesso m anual e m uit as organizações sim plesm ent e m ant inham os aj ust es
do servidor sem m odificação. I sso provocou um a grande vulnerabilidade a at aques porque, em bora os servidores
pudessem se t ornar seguros, m uit os adm inist radores não fizeram o que precisavam ou não t inham as ferram ent as
para fazê- lo.
É por isso que a Microsoft aum ent ou significat ivam ent e seu foco em segurança desde o desenvolvim ent o de v ersões
ant er iores do I I S. Por ex em plo, no início de 2002, o t r abalho de desenvolv im ent o de t odos os engenheiros do
Windows – m ais de 8.500 pessoas – foi suspenso enquant o a com panhia r ealizava um t r einam ent o int ensivo sobr e
segurança. Quando o t reinam ent o t er m inou, as equipes de desenvolvim ent o analisaram a base do código do
Windows, incluindo o HTTP.sys e o I I S 6.0, para colocar o conhecim ent o adquirido em prát ica. I sso represent ou um
invest im ent o subst ancial no aum ent o da segurança da plat aform a do Windows. Além disso, durant e a fase de proj et o
do produt o, a Microsoft realizou um t est e de am eaça par a garant ir que os desenvolvedores de soft w are da em pr esa
t inham ent endido o t ipo de at aque que o ser vidor poderia sofrer em im plem ent ações do client e. Da m esm a for m a, os
especialist as de t er ceiros realizaram análises independent es na segurança do código.
3 .2 . M ú lt iplos N íve is de Se gu r a n ça
N íve l de Se gu r a n ça
D e scr içã o
do I I S 6 .0
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 2 |
Com o Windows Server 2003, os adm inist radores do dom ínio podem
Desat ivação v ia
inform ar os usuár ios sobr e a inst alação do I I S 6.0 em seus
Dir et iva de Gr upo
com put adores.
Cont a com baixo O Worker Process é execut ado em usuár ios com baixo privilégio por
privilégio I I S 6.0 padrão. I sso reduz drast icam ent e o efeit o dos possíveis at aques.
ASP Seguro de t odas O ASP incorporado sem pre é execut ado em cont as de baixo priv ilégio
as funções ( usuário anônim o) .
Ext ensões de arquivo Fornece apenas solicit ações aos arquivos que reconheceram ext ensões
reconhecidas de arquivos e r ecusa solicit ações de ex t ensões não reconhecidas.
Em um esforço de reduzir a superfície de at aque do seu Servidor da Web, o I I S 6.0 fornece apenas cont eúdo
est át ico após um a inst alação padrão. A funcionalidade program ada proporcionada por Ext ensões de I nt er net
Server API ( I SAPI ) ou I nt erfaces de Gat eway Com uns ( CGI ) deve ser at ivada m anualm ent e por um
adm inist rador do I I S 6.0 I SAPI . O CGI est ende a funcionalidade de suas páginas na Web e, por essa r azão, é
cham ado de Ext ensões de Serviço da Web. Por ex em plo, para execut ar o Act ive Server Pages ( ASP) nessa
versão do I I S 6.0, o I SAPI coloca o ASP.DLL em execução, habilit ando- o especificam ent e com o um a Ex t ensão
de Serviço Web.
Usando recursos de Ex t ensões de Serviços da Web, os adm inist rador es de sit es da Web podem at ivar ou
desat ivar a funcionalidade do I I S 6.0 conform e as necessidades indiv iduais da organização. Est a
funcionalidade global é realizada at ravés do servidor int eiro.
Os vários aplicat ivos em ex ecução ou sit es em um servidor da Web inserem requisit os adicionais no servidor .
Se um I SP r eceber duas em presas em um servidor ( que podem ser concorrent es) , é preciso garant ir o
funcionam ent o desses dois aplicat ivos de form a independent e. Principalm ent e o I SP precisa se cert ificar de
que um adm inist rador m al- int encionado de um aplicat ivo não poderá t er acesso aos dados de out ro. O I I S
6.0 proporciona esse nív el de isolam ent o com a ident idade configuráv el pelo Worker Process. Junt o com
out ros recur sos de isolam ent o com o largur a de banda e uso da CPU ou reciclagem ar m azenada na m em ória,
o I I S 6.0 proporciona um am bient e aos m últ iplos aplicat iv os em um serv idor para que eles sej am t ot alm ent e
separados.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 3 |
3 .5 . Apr im or a m e n t os de SSL
Pr ove dor de Se r viço Cr ipt ogr á fico. Se o SSL est iv er at ivado, o desem penho cai
significat ivam ent e porque a CPU precisa realizar diver sas operações de cript ografia int ensas. Por
isso, agora ex ist em placas aceleradoras baseadas em hardware que per m it em ext rair dados dessas
cript ografias. Os Provedor es de Serviços Cript ográficos podem inser ir seus próprios fornecedores de
API de cript ogr afia no sist em a. Com o I I S 6.0, é fácil selecionar um provedor de cript ografia API de
t erceiros.
3 .6 . Au t or iza çã o e a u t e n t ica çã o
Se a aut ent icação faz a pergunt a " Quem é você?" , a aut orização per gunt a " O que você pode fazer?" . A
aut orização é perm it ir ou negar a um usuário o direit o de realizar det er m inada operação ou t ar efa. O
Windows Serv er 2003 int egr a o .NET Passport com o m ecanism o para a aut ent icação do I I S 6.0. O I I S 6.0
am plia o uso de um novo fram ework de aut orização fornecido com o Window s Server 2003. Além disso, os
aplicat ivos da Web podem ut ilizar a aut orização de URL j unt o com o Gerenciador de Aut orizações par a
cont rolar o acesso.
I n t e gr a çã o do .N ET Pa sspor t com o I I S 6 .0
A int egração do .NET Passpor t com o I I S 6.0 proporciona serviços de aut ent icação .NET Passport no servidor
da Web. O .NET Passport 2.0 ut iliza as int erfaces de aplicat ivos fornecidas por com ponent es padrões
Passpor t , por exem plo, o Secure Socket s Layer ( SSL) Encrypt ion, Redir ecionam ent os de HTTP e cookies. Os
adm inist rador es podem colocar seus sit es e aplicat ivos da Web à disposição da base .NET Passpor t int eira,
que engloba aproxim adam ent e 150.000.000 usuár ios, sem precisar adm inist rar cont as públicas, por
exem plo, quant o à expiração ou ao fornecim ent o de senhas.
Depois de aut ent icar um usuário com a .NET Passpor t Unique I D ( PUI D) , é possív el m apear um a cont a no
Microsoft Act iv e Direct ory® - se esse recur so est iv er configurado para seus sit es da Web. O t ok en é criado
pela Local Securit y Aut horit y ( LSA) para o usuário e o sist em a do I I S 6.0 para a solicit ação da HTTP.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 7 | Pá gin a 4 |
4 . Ex e r cício 1 : I n st a la r o I I S 6 .0 n o W in dow s Se r ve r 2 0 0 3
Para poder realizar est e ex ercício, você t erá que inst alar o Windows Serv er 2003.
Pa r a in st a la r o I I S 6 .0 n o W in dow s Se r ve r 2 0 0 3 :
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 1 |
Ca pít u lo 8
Se gu r a n ça : N ova s fu n cion a lida de s n o W in dow s Se r ve r 2 0 0 3
Nest e capít ulo, você assim ilará conhecim ent os sobr e aprim oram ent os de segurança int roduzidos no Windows Serv er
2003.
N ot a : Considerando a quant idade de inform ações sobre t em as r eferent es à segurança e com o est e capít ulo é um
resum o das novas funcionalidades, suger im os que sej am rev ist os os conhecim ent os adquir idos no Window s 2000 e
t am bém as publicações do Technet .
Se você quiser receber o bolet im de segur ança da Microsoft , regist re- se no ender eço abaixo. O bolet im é grat uit o e
será de grande ut ilidade para suas t arefas diárias.
1 . I n t r odu çã o
As em presas am pliaram suas redes LAN t radicionais com um a com binação de sit es da I nt er net , int ranet s e ex t ranet s.
Conseqüent em ent e, agora é m ais im port ant e do que nunca garant ir um a m aior segurança nos sist em as. Para
proporcionar um am bient e de inform át ica seguro, o sist em a operacional Window s Ser ver 2003 t raz vários recursos
novos e im port ant es de segur ança em relação aos do Windows 2000 Server.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 2 |
Os vírus fazem part e da nossa realidade, por isso, a m anut enção da segurança do soft ware é um desafio
const ant e. Par a fazer frent e a esse desafio, a Microsoft t ransfor m ou a com put ação confiável em um a
iniciat iva chave para t odos os seus produt os. A Com put ação Confiável é um m arca para o desenvolv im ent o
de disposit ivos baseados em equipam ent os e soft ware seguros e confiáveis, com o os disposit iv os e os
equipam ent os dom ést icos que nós ut ilizam os diariam ent e. Em bora at ualm ent e não exist a nenhum a
plat afor m a de com put ação t ot alm ent e confiável, o novo design básico do Window s Ser ver 2003 é um passo
sólido para t ransform ar esse conceit o em realidade.
1 .2 . Lin gu a ge m com um e m t e m po de e x e cu çã o
O m ecanism o do soft war e de linguagem com um em t em po de ex ecução é um elem ent o chave do Window s
Server 2003 que m elhora a confiabilidade e facilit a a criação de um am bient e segur o de inform át ica. Da
m esm a for m a, t am bém são reduzidos os erros e fur os de segurança causados por erros com uns de
program ação, possibilit ando a redução das vulnerabilidades que podem ser exploradas por int r usos.
A linguagem com um em t em po de execução perm it e que os aplicat ivos sej am ex ecut ados sem erros e, por
sua vez, ver ifica se eles possuem perm issões de segur ança adequadas, garant indo que o código realize
exclusivam ent e as operações aut orizadas. I sso é feit o t est ando- se os seguint es aspect os: a localização de
onde o código foi obt ido por download ou inst alado, se o código t em um a assinat ura digit al de desenvolvedor
confiáv el e se foi alt erado após a sua assinat ura digit al.
1 .3 . Va n t a ge n s
O Windows Server 2003 fornece um a plat aform a m ais segura e econôm ica para a realização de at ividades de
em presas.
V a n t a ge m D e scr içã o
Engloba processos adm inist r at ivos de segurança sim plificados, com o list as de
D im in u içã o de cu st os
cont role de acesso e o adm inist rador de credenciais.
I m ple m e nt a çã o de O prot ocolo I EEE 802.1X facilit a a segurança das LANs sem fio frent e ao risco
pa dr õe s a be r t os de espionagem em um am bient e em pr esar ial.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 3 |
O Windows Server 2003 oferece diver sos recursos nov os e aprim or ados com binados para criar um a
plat afor m a m ais segura para realizar at ividades corporat ivas.
O Servidor de aut ent icação da I nt ernet ( I AS) é um serv idor RADI US que
adm inist ra a aut orização e a aut ent icação de usuários. Ele t am bém
Se r vidor I AS/ RAD I US
adm inist ra conexões com a rede at rav és de div ersas t ecnologias de
se gu r o
conect ividade, com o o acesso por discagem às redes privadas v irt uais
( VPN) e aos servidores de segurança.
O Window s Server 2003 perm it e que um adm inist rador de sist em as ut ilize
a exigência de diret ivas ou execução para im pedir que program as
execut áv eis sej am ex ecut ados em um a m áquina. Por exem plo, aplicat iv os
D ir e t iva s de Re st r içã o de
específicos de âm bit o corpor at ivo podem t er sua execução rest ringida, a
Soft w a r e
m enos que sej am ex ecut ados de um diret ório específico. As dir et ivas de
rest r ição de soft ware t am bém podem ser configuradas para evit ar a
execução de código m al int encionado ou infect ado por vír us.
Agora é possível cript ografar os arquiv os offline. Esse é um aprim oram ent o
em r elação ao Window s 2000, onde os ar quivos no cache não poder iam
Cr ipt ogr a fia dos a r qu ivos ser cr ipt ografados. Essa caract er íst ica é com pat ível com a codificação e
offlin e decodificação de t odos os bancos de dados cr ipt ografados offline. São
necessários privilégios adm inist rat ivos par a configurar a form a com o os
arquivos offline são cr ipt ografados.
Com pa t íve l com o FI PS, Est e m ódulo cript ográfico é execut ado com o um cont rolador no m odo de
m odo de n ú cle o, m ódu lo núcleo e im plem ent a algorit m os cript ogr áficos aprovados pelo Padrão
cr ipt ogr á fico Federal de Pr ocessam ent o de I nform ações ( FI PS) . Ent r e os algorit m os
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 4 |
est ão incluídos: SHA- 1, DES, 3DES e um gerador de núm ero aleat ório
aprovado. O m ódulo cr ipt ográfico, com pat ív el com o FI PS de m odo de
núcleo, per m it e que as organizações públicas im plem ent em Segurança de
Prot ocolo de I nt er net ( I PSec) com pat ível com o FI PS 140- 1. Para isso, é
preciso ut ilizar :
N ovo pr ot ocolo de O novo prot ocolo de aut ent icação ext ensível prot egido ( PEAP) é com pat ív el
a u t e n t ica çã o e x t e n síve l com o prot ocolo de aut ent icação ext ensível ( EAP) , j unt o com a RFC 2617 e
pr ot e gido a RFC 2222. Esst e prot ocolo aum ent a a segurança em redes sem fio.
No Window s Server 2003, o cache da sessão SSL pode ser com par t ilhado
Apr im or a m e n t os de
em m últ iplos processos. I sso reduz o núm ero de vezes que um usuário
a u t e n t ica çã o de clie n t e s
precisa ret ornar para ser aut ent icado nos aplicat ivos e t am bém os ciclos
SSL
de CPU no ser vidor de aplicat ivos.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 5 |
O Windows Server 2003 facilit a a im plem ent ação de um a infra- est r ut ura de chav es públicas, j unt o com
t ecnologias associadas com cart ões int eligent es.
Esses novos recur sos im por t ant es reduzem de form a drást ica a quant idade
de recursos necessár ios para adm inist rar cert ificados X.509.
O Windows Server 2003 possibilit a a inscr ição e a im plem ent ação aut om át ica
Re n ova çã o e in scr içã o
de cert ificados para os usuários. Da m esm a form a, quando o cert ificado
a u t om á t ica de
expira, é possível renová- lo aut om at icam ent e. A r enov ação e a inscrição
ce r t ifica dos
aut om át icas de cer t ificados facilit am a im plem ent ação m ais rápida de cart ões
int eligent es e aum ent am a segurança das conexões sem fios ( I EEE 802.1X)
com expiração e renovação aut om át ica de cert ificados.
A com pat ibilidade com a assinat ura digit al per m it e que os pacot es e os
Com pa t ibilida de do
cont êineres ex t ernos do Windows I nst aller obt enham um a assinat ura digit al.
W in dow s I n st a lle r com
I sso proporciona aos adm inist radores de t ecnologias de inform ação, pacot es
a a ssin a t u r a digit a l
do Windows I nst aller m ais seguros, o que é de ext r em a im port ância se o
pacot e foi env iado at ravés da I nt er net .
Um a em presa precisa est abelecer um a form a segura de com unicação com seus funcionár ios, client es e
parceiros que não est ej am dent ro da sua int ranet . O Windows Server 2003 facilit a esse aspect o am pliando de
form a segura a obt enção de acesso à rede para pessoas e out ras em presas que pr ecisem t rabalhar com
dados ou recur sos de usuár io.
É possível at r ibuir um a ident idade de Passport a um a ident idade do Act iv e Direct ory
no Window s Server 2003. Por exem plo, a associação de um a ident idade de Passpor t
I n t e gr a çã o com com um a ident idade do Act ive Direct ory perm it e que um a em pr esa par ceira possa
Pa sspor t ser aut orizada a obt er acesso aos recur sos at ravés do I I S, em vez de precisar iniciar
a sessão diret am ent e em um a rede do Windows. A int egração com o Passpor t
possibilit a um início de sessão único, at ravés do uso do I I S.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 1 |
2 .1 . Ex e r cício 1 : At iva r o I CF
Pa r a t e st a r a con figu r a çã o:
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 1 |
Você pode usar Modelos de Segurança para criar e alt erar Diret ivas de Segurança que at endam às necessidades da
sua em pr esa. As Diret ivas de Segurança podem ser im plem ent adas de form as diferent es. O m ét odo que você usará
depende do t am anho e das necessidades de segurança da organização. Dessa form a, as pequenas em presas, que não
possuem um a im plem ent ação do Act ive Direct ory, t erão que configur ar a segurança m anualm ent e, enquant o as
grandes em pr esas exigirão níveis de segurança elevados. Para elas, é aconselhável usar os Obj et os de Diret iva de
Grupos ( GPOS) para inst alar diret ivas de segurança.
3 .1 . O qu e é u m a D ir e t iva de Se gu r a n ça ?
As Diret ivas de Segurança são um a com binação de configurações de segurança que afet am a segurança de
um com put ador. Você pode usar a Diret iv a de Segurança para est abelecer : Diret ivas de Cont a e Diret ivas
Locais no com put ador local e no Act ive Dir ect ory.
Os Modelos de Segurança a seguir são um conj unt o de configurações de segurança predet erm inadas. Você
pode usar o Snap- in de Modelos de Segurança para m odificar os Modelos predefinidos ou criar novos m odelos
que at endam às suas necessidades. Port ant o, na cr iação ou m odificação, é possível ut ilizar as seguint es
ferram ent as para aplicar as configurações de segurança: o Snap- in de Configuração e Análise de Segurança,
a ferram ent a de linha de com ando Secedit ou a Diret iva de Segurança Local / Diret iva de Grupo para
im por t ar e export ar Modelos de Segurança.
Se gu r a n ça Pa dr ã o ( Se t u p Se cu r it y.in f)
Esse m odelo é usado durant e a inst alação do sist em a operacional e repr esent a a configur ação básica aplicada
durant e a inst alação, incluindo perm issões de arquivos par a a Raiz da Unidade do Sist em a.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 2 |
Esse Modelo é usado quando um servidor é prom ovido a cont rolador de dom ínio. Cont ém configurações de
segurança necessár ias em arquivos, regist ro e serv iços. Você pode aplicar esse m odelo usando o snap- in
Secur it y Configurat ion and Analysis ou com a ferram ent a Secedit .
Est e m odelo aplica configurações de segurança necessárias para t odos os aplicat ivos que não foram
cert ificados pelo Program a de Logot ipo do Window s.
Se gu r o ( Se cu r e * .in f)
Esse Modelo aplica configurações de segurança de alt o nível, afet ando a com pat ibilidade dos aplicat ivos. Por
exem plo, Senha Mais Sólida, Bloqueio, Configurações de Audit oria.
Est e m odelo aplica as configurações de segurança m ais elevadas possíveis. Para eles, são im post as rest rições
aos nív eis de cript ografia e à assinat ura de pacot es de dados em canais seguros e ent r e client es e servidores
nos pacot es Server Message Block ( SMB) .
A ferram ent a Secur it y Configurat ion and Analysis com par a a configuração de segurança do com put ador local
e um a configuração alt er nat iva que é im port ada do m odelo ( arquivo .inf ) e ar m azenada em um banco de
dados separado ( arquivo .sdb) . Quando a análise é concluída, você pode analisar os aj ust es da segurança na
árvore do console para ver os result ados. As discrepâncias est ão m arcadas com um a sinalização verm elha, as
consist ências est ão m ar cadas com um a m arca de seleção verde e os aj ust es que não est ão m arcados com
um a sinalização verm elha ou um a m arca ver de não podem ser configurados no banco de dados.
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.
Ca pít u lo 8 | Pá gin a 3 |
Elim inar as discrepâncias ent re os aj ust es nos bancos de dados e os aj ust es at uais do com put ador .
Para configurar aj ust es do banco de dados, clique na configuração do painel de det alhes.
I m port ar out r os m odelos, com binando seus aj ust es e subst it uindo aj ust es onde houver conflit o.
Para im port ar out ro m odelo, clique com o bot ão dir eit o em Se cu r it y Con figu r a t ion a n d An a lysis e
depois clique em I m por t Te m pla t e .
Export ar os aj ust es at uais do banco de dados para um m odelo. Para im port ar out ro m odelo, clique
com o bot ão direit o em Se cu r it y Con figu r a t ion a n d An a lysis e depois clique em Ex por t
Te m pla t e .
I n t r odu çã o Té cn ica à Se gu r a n ça .
Gu ia de Se gu r a n ça n o W in dow s Se r ve r 2 0 0 3 .
I Pse c n o W in dow s Se r ve r 2 0 0 3 .
www.microsoft.com/brasil/technet
© 2003 Microsoft Corporat ion. Todos os direit os reservados.