Você está na página 1de 249

CURSO TCNICO EM INFORMTICA

Redes Avanado















Eudes Danilo da Silva Mendona
Tecnlogo em informtica
eudesdanilo@gmail.com




2










Dedicatria


Dedico este trabalho primeiramente a Deus,
que me deu a oportunidade de viver
todos estes instantes de minha vida, com
alegria e sade. Dedico tambm aos meus
pais, minha famlia e amigos, que sempre me
apoiaram e estiveram ao meu lado, dentre
eles destaco especialmente a minha esposa
Michelle Mendona e meus pais (Eudes
Mendona e Rubelucia Mendona), pelo
incentivo e pela pacincia diante das
dificuldades impostas pelo dia a dia. Por fim,
meus sinceros agradecimentos











3

NDICE

I. Reviso dos Conhecimentos Bsicos .................................................................6
1. O que Redes de Computadores?
....................................................................................................6
2. Porque ligar Micros em Rede .............................................................................................7
3. Palavra Chave Compartilhamento ...................................................................................8
4. Tipos de Redes ..................................................................................................................8
4.1 Redes Ponto-a-ponto ..........................................................................................11
4.2 Redes Cliente Servidor .......................................................................................11
5 Noo de Cabeamento Estruturado ................................................................................11
5.1 - Importncia dele na rede ..................................................................................12
5.2 conector RJ45 ..................................................................................................12
5.3 - Cabo UTP ........................................................................................................12
5.4 - Categorias ........................................................................................................12
5.5 - Crimpador ........................................................................................................12
5.6 - Testador de Cabos ............................................................................................12
5.7 - Delay ................................................................................................................12
5.8 Processo de Crimpagem ..................................................................................12
5.9 Cabeamento Estruturado .................................................................................12
5.10 Sugesto para a Rede Eltrica .......................................................................xx
5.11 Sistema de Aterramento ................................................................................xx
5.11.1 - Consequncias da falta de aterramento ...........................................xx
5.12 Documentar uma Rede ..................................................................................xx
6 Protocolos .......................................................................................................................13
6.1 O que protocolo? ..............................................................................................15
6.2 Como trabalham os protocolos ...........................................................................15
6.3 Pilhas de protocolos mais comuns ......................................................................15
6.4 Classificao dos protocolos ..............................................................................15
6.4.1 Aplicativos ..........................................................................................20
6.4.2 Transporte ...........................................................................................20
6.4.3 Rede .....................................................................................................20
6.4.4 Fsica ...................................................................................................20
6.5 Protocolos de Mercado .....................................................................................22
6.5.1 Netbeui ...............................................................................................23
6.5.2 IPX/ SPX e NWLINK .............................................................................25
6.5.3 TCP/IP ..............................................................................................30
6.5.3.1 Benefcios na utilizao do TCP ...........................................32
6.5.3.2 Conceitos necessrios .........................................................34
6.5.3.3 Configurao ........................................................................xx
6.5.3.1 Como configurar .....................................................40
6.5.3.2 Onde Configurar ......................................................xx
6.5.3.4 Solucionar Principais problemas .........................................44
7 Que Software Utilizar ? ................................................................................................xx

II - Reviso Prtica do Curso de Redes
(Workstation).................................................................xx
1 Conceito ................................................................................................................................xx
2 tutorial de como configurar uma rede Windows XP .............................................................xx
4


III Segurana de Redes
..............................................................................................................xx
1 Introduo .....................................................................................................................xx
2 Tipos de Segurana .......................................................................................................xx
2.1 Segurana Fsica .............................................................................................xx
2.1.1 Introduo ........................................................................................xx
2.1.2 Objetivos ..........................................................................................xx
2.2 Segurana Lgica ........................................................................................... xx
3 Objetivos ..................................................................................................................xx
4 Introduo a ataques .................................................................................................xx
4.1 O que o ataque ? .........................................................................................xx
4.2 Vulnerabilidades ............................................................................................xx
4.3 - Um ataque tpico .............................................................................................xx
4.4 O que o hacker ataca ? .....................................................................................xx
4.5 - Fonte de Problemas ou Ataques ........................................................................xx
4.6 - Tipos de ataques conhecidos ............................................................................xx
4.7 - Como Evitar ....................................................................................................xx
4.8 - Como prevenir e evitar Ameaas Internas? .........................................................xx
4.9 Exemplo de cases ..........................................................................................xx
5 - Anlise de Segurana .......................................................................................................xx
6 Custo de Segurana ......................................................................................................xx
7 - Custo Visveis x Invisveis ................................................................................................xx
8 - Erros mais comuns ........................................................................................................xx
9 - Manual do motorista Virtual .............................................................................................xx
10 - Jogos dos erros: ...........................................................................................................xx

IV - Sistemas Operacionais de Redes
1 Windows 2000
1 Tutorial de Instalao.......................................................................................................11
2.1. Domnio ...............................................................................................................................11
2.1.1. Grupos de Trabalho Windows 2000 .....................................................................11
2.1.2. Domnios Windows 2000..............................................................................12
2.2. Servio de Diretrio ...............................................................................................13
3. Active Directory ..............................................................................................................14
3.1. Caractersticas do Active Directory.....................................................................14
3.1.1 Escalabilidade .............................................................................................14
3.1.2. Suporte a Padres Abertos..........................................................................14
3.1.3. DNS ...........................................................................................................15
3.2. Estrutura do Active Directory ...............................................................................15
3.2.1. Estrutura Lgica ........................................................................................15
3.2.2. Objetos e Atributos ...................................................................................15
4. Instalando o Active Directory .......................................................................................18
5. Administrando Contas de Usurios ............................................................................26
5.1. Planejando Novas Contas de Usurios .............................................................26
5.1.1. Convenes para Nomes de Contas de Usurio .....................................26
5.1.2. Diretrizes para as Senhas ..........................................................................27
5.1.3. Opes de Conta.........................................................................................27
5.2. Contas de Usurio Local ......................................................................................29
5.3. Contas de Usurio do Domnio ...........................................................................30
3

5.3.1. Propriedades para Contas de Usurios do Domnio ...............................34
5.3.2. Cpia de Contas de Usurio do Domnio ..................................................35
6. Gerenciamento de Grupos ...........................................................................................37
6.1. Grupos em um Domnio........................................................................................37
6.1.1. Tipos de Grupos.........................................................................................37
6.1.2. Escopos de Grupos......................................................................................37
6.1.3. Estratgias de Grupos ................................................................................38
6.1.4. Criao de Grupos de Domnio ..................................................................38
7. Segurana do Sistema de Arquivos ...........................................................................41
7.1. Pastas Compartilhadas.........................................................................................41
7.1.1. Permisses de Pastas Compartilhadas .....................................................41
7.1.2. Conexo de Usurios Remotos a Pastas Compartilhadas.....................44
8. Conexo de Clientes ao Windows 2000 ....................................................................46
8.1. Configurando Clientes Windows 9x....................................................................46
8.2. Configurando Clientes Windows 2000 Professional ........................................48
9. Viso Geral sobre TCP/IP no Windows 2000 ...........................................................51
9.1. Endereo IP Dinmico: DHCP.............................................................................52
9.2. Endereo IP Esttico.............................................................................................53
9.2.1. Configurao de Endereos IP Estticos ..................................................53
9.3. Verificao da Configurao TCP/IP..................................................................54
9.3.1. Depurando Problemas com o Protocolo TCP/IP ......................................55
10. DHCP Service ............................................................................................................ 56
10.1. Instalao e Configurao do DHCP Service ............................................... 56
10.1.1. Instalao do DHCP Service ...................................................................... 56
10.1.2. Configurao do Servidor DHCP ............................................................ 57
10.1.3. Autorizao do Servidor DHCP ................................................................... 59
11. WINS............................................................................................................................ 60
11.1. Implementao de WINS.................................................................................. 61
11.1.1. Consideraes sobre Servidores WINS.................................................... 61
11.1.2. Instalao do WINS ................................................................................. 62
11.1.3. Configurao do Servidor WINS ............................................................. 63
11.1.4. Configurao de Replicao WINS ......................................................... 65
11.1.5. Backup do Banco de Dados WINS ...................................................... 66
12. Segurana NTFS ....................................................................................................... 67
12.1. Permisses NTFS de Pasta ............................................................................. 67
12.2. Permisses NTFS de Arquivo ......................................................................... 67
12.3. Mltiplas Permisses NTFS ............................................................................. 68
12.4. Concesso de Permisses NTFS ................................................................... 68
12.5. Herana de Permisses ................................................................................... 69
12.6. Mover e Copiar Pastas e Arquivos ................................................................. 70
12.6.1. Copiar Pastas e Arquivos ........................................................................ 70
12.6.2. Mover Pastas e Arquivos ......................................................................... 70
12.7. Recomendaes para Concesso de Permisses NTFS........................... 71
13. Gerenciamento de Impresso ................................................................................. 72
13.1. Requisitos para Impresso em Rede ............................................................. 72
13.2. Diretrizes para um Ambiente de Impresso em Rede ................................. 73
13.3. Instalao de uma Impressora ........................................................................ 73
13.4. Configurao de Computadores Clientes ...................................................... 74
13.4.1. Clientes Windows 9x ou Windows NT 4.0 ............................................. 74
13.5. Compartilhamento de uma Impressora .......................................................... 74
13.6. Prioridades de Impressoras ............................................................................. 75
13.7. Permisses para as Impressoras.................................................................... 76
14. Gerenciamento de Discos ........................................................................................ 77
6

14.1. Discos Bsicos ................................................................................................... 77
14.2. Discos Dinmicos .............................................................................................. 77
14.3. Criando Parties em Discos Bsicos ........................................................... 78
14.4. Atualizando um Disco Bsico para Disco Dinmico .................................... 80
14.4.1. Reverter para um Disco Bsico ............................................................... 81
14.4.2. Criando Volumes Simples ...................................................................... 81
14.4.3. Estendendo Volumes Simples ................................................................ 81
14.5. Tarefas Comuns do Disk Management.......................................................... 82
14.5.1. Status do Disco ........................................................................................ 82
14.5.2. Reparando Parties e Volumes............................................................... 82
14.5.3. Excluindo Parties e Volumes ..................................................... 82
14.6. Adicionando Discos ........................................................................................... 82
14.6.1. Adicionando Discos de Outros Computadores ........................................ 83
14.6.2. Importando Volumes Completos ............................................................. 83
14.7. Desfragmentando Parties............................................................................. 83
14.8. Prticas Recomendadas................................................................................... 84
15. Proteo contra Perda de Dados ............................................................................ 85
15.1. Tolerncia a Falhas e Recuperao de Desastres ...................................... 85
15.2. Sistema de Alimentao Ininterrupta.............................................................. 85
15.2.1. Configuraes do Servio UPS ............................................................... 85
15.3. Tipos de Implementaes de RAID ................................................................ 87
15.3.1. Implementao de RAID de Software ..................................................... 87
15.3.2. Implementao de RAID de Hardware..................................................... 88
15.3.3. Implementao de RAID 1 no Windows 2000: Volumes Espelhados... 88
16. Ferramentas para Recuperao de Desastres ..................................................... 92
16.1. Opes Avanadas de Inicializao ............................................................... 92
16.2. Recuperando um Computador com o Recovery Console... ......................................xx
16.2.1. Instalando o Recovery Console................................................................ 93
16.2.2. Comandos do Recovery Console ............................................................. 93
16.3. Recuperando um Computador com o Processo de Reparao de Emergncia ...... 94
16.3.1. Usando o Processo de Reparao de Emergncia ................................. 94
17. Tcnicas de Medio de Performance ......................................... 92
17.1. Anlise e Otimizao do Servidor ..................................................... 92
17.2. Objetos, Ocorrncias e Contadores ..................................................... 92
17.3. Usando o System Monitor ..................................................... 92
17.4. Adicionando Contadores ..................................................... 92
17.5. Otimizando o Desempenho ..................................................... 92
17.5.1. Examinando o desempenho da memria ................................................ 92
17.5.2. Examinando o desempenho do processador .......................................... 92
17.5.3. Examinado o desempenho do disco ..................................................... 92
17.5.4. Examinado o desempenho da rede ..................................................... 92
17.5.5. Usando Alertas ..................................................... 92
18 Ferramentas de Group Policy ..................................................... 92
19 - IIS 6.0 Instalao, Administrao e Configurao
19.1 - Objetivos
19.2 - Introduo
19.3 - IIS Arquitetura Viso Geral
19.3.1 - Arquitetura de Processos Tolerante a Falhas
19.3.2 Health Monitor
19.3.3 Novo modo driver kernel, HTTP.sys
19.3.4 Integrao com Aplicativos e Segurana
19.3.5 Confiabilidade Modo de Isolamento
19.3.6 Worker Processes
7

19.3.7 IIS 5.0 Isolation Modes
19.4 - Instalao
19.5 Servio de FTP
19.5.1 Objetivos
19.5.2 O Protocolo FTP
19.5.3 Transferncia de dados e firewalls
19.5.4 Segurana
19.5.5 Servio de FTP no IIS
19.5.6 Autenticao de Usurios no IIS
19.5.7 Autenticao de Usurios em site FTP
19.5.8 Servio de FTP no IIS 5.0
19.5.9 Servio de FTP no IIS 6.0
19.5.10 Instalao
19.5.11 Criando um novo site FTP
19.5.12 Configurando o Servio de FTP para Acesso Annimo
19.5.13 Simulao de criar os sites com IPs diferentes
19.5.14 Site FTP com isolamento de usurios
19.5.14.1 Configurando o isolamento do usurio de FTP com o Active
Directory
19.5.15 Monitorando o Servio de FTP
19.5.15.1 Configurando o Logging de Sites FTP
19.5.15.2 Log da atividade do site
19.5.15.3 Formatos de arquivo de log
19.5.16 Parando e Iniciando Sites FTP


4.2 Linux Suse.

4.3 Ambiente Misto.















8






























9


I. Reviso dos Conhecimentos Bsicos
1 O que Redes de computadores?
Atualmente praticamente impossvel no se deparar com uma rede de computadores, em
ambientes relacionados informtica, principalmente porque a maioria dos usurios de
computadores se conectam a Internet que a rede mundial de computadores.
Mesmo em ambientes que no esto relacionados informtica, mas fazem uso de
computadores, a utilizao de redes pode ser facilmente evidenciada. Observe o ambiente de um
supermercado, cada caixa registradora pode ser um computador, que, alm de estar somando o
total a ser pago, est automaticamente diminuindo o do controle de estoque dos produtos que
voc est comprando. O responsvel pelo controle de estoque tem acesso em tempo real lista
de mercadorias que tem dentro do supermercado, assim como o responsvel pelo fluxo de
finanas tem acesso ao fluxo de caixa daquele momento, facilitando enormemente o processo de
gerncia e controle do supermercado.
As redes de computadores surgiram da necessidade de troca de informaes, onde possvel ter
acesso a um dado que est fisicamente localizado distante de voc, por exemplo em sistemas
bancrios. Neste tipo de sistema voc tem os dados sobre sua conta armazenado em algum
lugar, que no importa onde, e sempre que voc precisar consultar informaes sobre sua conta
basta acessar um caixa automtico.
As redes no so uma tecnologia nova. Existe desde a poca dos primeiros computadores, antes
dos PCs existirem, entretanto a evoluo da tecnologia permitiu que os computadores
pudessem se comunicar melhor a um custo menor.
Alm da vantagem de se trocar dados, h tambm a vantagem de compartilhamento de
perifricos, que podem significar uma reduo nos custos de equipamentos. A figura abaixo
representa uma forma de compartilhamento de impressora (perifrico) que pode ser usado por 3
computadores.

importante saber que quando nos referimos a dados, no quer dizer apenas arquivos, mas
qualquer tipo de informao que se possa obter de um computador. Outra aplicao para redes
de computadores a criao de correio eletrnico, o que facilita a comunicao interna em uma
empresa, e se esta empresa estiver conectada a Internet, pode-se usar esse tipo de correio.
Resumindo
Como foi visto, as redes de computadores so um conjunto de computadores autnomos
interligados atravs de um meio fsico de comunicao para o compartilhamento de recursos,
isso os diferencia bem de um sistema multiterminal onde os terminais funcionam como uma
unidade de entrada e sada de dados do computador principal chamado Servidor. Nas Redes os
computadores conectados so sistemas independentes, cada computador, ou n da rede,
processa localmente suas informaes, executa seus prprios programas e opera de maneira
autnoma em relao aos demais.
Os principais motivos que levam a implantao de uma rede de computadores so:

Possibilitar o compartilhamento de informaes (programas e dados)
armazenadas nos computadores da rede;
10



Permitir o compartilhamento de recursos associados s mquinas interligadas;

Permitir a troca de informaes entre os computadores interligados;

Permitir a troca de informaes entre usurios dos computadores interligados;

Possibilitar a utilizao de computadores localizados remotamente;

Permitir o gerenciamento centralizado de recursos e dados;

Melhorar a segurana de dados e recursos compartilhados

2 Porque ligar micros em rede?
A partir do momento em que passamos a usar mais de um micro, seja dentro de uma empresa,
escritrio, ou mesmo em casa, fatalmente surge a necessidade de transferir arquivos e
programas, compartilhar a conexo com a Internet e compartilhar perifricos de uso comum
entre os micros. Certamente, comprar uma impressora, um modem e um drive de CD-ROM para
cada micro e ainda por cima, usar disquetes, ou mesmo CDs gravados para trocar arquivos, no
a maneira mais produtiva, nem a mais barata de se fazer isso.
A melhor soluo na grande maioria dos casos tambm a mais simples: ligar todos os
micros em rede. Montar e manter uma rede funcionando, tem se tornado cada vez mais fcil e
barato. Cada placa de rede custa apartir de 35 reais, um Hub/switch simples, 10/100 pode ser
encontrado por 100 reais, ou at um pouco menos, enquanto 10 metros de cabo de par tranado
no custam mais do que 6 ou 8 reais.Se voc mesmo for fazer o trabalho, ligar 10 micros em
rede, custaria entre 500 e 800 reais, usando cabos de par tranado e um hub e placas 10/100 em
todos os micros.
Com a rede funcionando, voc poder compartilhar e transferir arquivos, compartilhar a
conexo com a Internet, assim como compartilhar impressoras, CD-ROMs e outros
perifricos, melhorar a comunicao entre os usurios da rede atravs de um sistema de
mensagens ou de uma agenda de grupo, jogar jogos em rede, entre vrias outras
possibilidades.

3 Palavra Chave Compartilhamento
Num grupo onde vrias pessoas necessitem trabalhar nos mesmos arquivos (dentro de um
escritrio de arquitetura, por exemplo, onde normalmente vrias pessoas trabalham no mesmo
desenho), seria muito til centralizar os arquivos em um s lugar, pois assim teramos apenas
uma verso do arquivo circulando pela rede e ao abri-lo, os usurios estariam sempre
trabalhando com a verso mais recente.
Centralizar e compartilhar arquivos tambm permite economizar espao em disco, j que ao
invs de termos uma cpia do arquivo em cada mquina, teramos uma nica cpia localizada
no servidor de arquivos. Com todos os arquivos no mesmo local, manter um backup de tudo
tambm torna-se muito mais simples.
Simplesmente ligar os micros em rede, no significa que todos tero acesso a todos os arquivos
de todos os micros; apenas arquivos que tenham sido compartilhados, podero ser acessados. E
se por acaso apenas algumas pessoas devam ter acesso, ou permisso para alterar o arquivo,
basta proteg-lo com uma senha (caso esteja sendo usado o Windows 95/98/XP/VISTA) ou
estabelecer permisses de acesso, configurando exatamente o que cada usurio poder fazer
(caso esteja usando Windows 2000, XP, Linux, Netware, ou outro sistema com este recurso).
11

Alm de arquivos individuais, possvel compartilhar pastas ou mesmo, uma unidade de disco
inteira, sempre com o recurso de estabelecer senhas e permisses de acesso.

4 Tipos de Redes
Do ponto de vista da maneira com que os dados de uma rede so compartilhados podemos
classificar as redes em dois tipos bsicos:

Ponto-a-ponto: que usado em redes pequenas;

Cliente/servidor: que pode ser usado em redes pequenas ou em redes grandes.

Esse tipo de classificao no depende da estrutura fsica usada pela rede (forma como est
montada), mas sim da maneira com que ela est configurada em software.

4.1. Redes Ponto-a-Ponto

Esse o tipo mais simples de rede que pode ser montada, praticamente todos os Sistemas
Operacionais j vm com suporte a rede ponto-a-ponto (com exceo do DOS).
Nesse tipo de rede, dados e perifricos podem ser compartilhados sem muita burocracia,
qualquer micro pode facilmente ler e escrever arquivos armazenados em outros micros e
tambm usar os perifricos instalados em outros PCs, mas isso s ser possvel se houver uma
configurao correta, que feita em cada micro. Ou seja, no h um micro que tenha o papel de
servidor da rede, todos micros podem ser um servidor de dados ou perifricos.



Apesar de ser possvel carregar programas armazenados em outros micros, prefervel que
todos os programas estejam instalados individualmente em cada micro. Outra caracterstica
dessa rede na impossibilidade de utilizao de servidores de banco de dados, pois no h um
controle de sincronismo para acesso aos arquivos.


Vantagens e Desvantagens de uma rede Ponto-a-Ponto:

Usada em redes pequenas (normalmente at 10 micros);

Baixo Custo;
12


Fcil implementao;

Baixa segurana;

Sistema simples de cabeamento;

Micros funcionam normalmente sem estarem conectados a rede;

Micros instalados em um mesmo ambiente de trabalho;

No existe um administrador de rede;

No existe micros servidores;

A rede ter problemas para crescer de tamanho.

4.2 Redes Cliente/Servidor

Este tipo de rede usado quando se deseja conectar mais de 10 computadores ou quando
se deseja ter uma maior segurana na rede.
Nesse tipo de rede aparece uma figura denominada servidor. O servidor um computador que
oferece recursos especializados, para os demais micros da rede, ao contrrio do que acontece
com a rede ponto-a-ponto onde os computadores compartilham arquivos entre si e tambm
podem estar fazendo um outro processamento em conjunto.
A grande vantagem de se ter um servidor dedicado a velocidade de resposta as solicitaes do
cliente (computador do usurio ou estaes de trabalho), isso acontece porque alm dele ser
especializado na tarefa em questo, normalmente ele no executa outra tarefas. Em redes onde o
desempenho no um fator importante, pode-se ter servidores no dedicados, isto , micros
servidores que so usados tambm como estao de trabalho.
Outra vantagem das redes cliente/servidor a forma centralizada de administrao e
configurao, o que melhora a segurana e organizao da rede.
Para uma rede cliente/servidor podemos ter vrios tipos de servidores dedicados, que vo variar
conforme a necessidade da rede, para alguns tipos desses servidores podemos encontrar
equipamentos especficos que fazem a mesma funo do computador acoplado com o
dispositivo, com uma vantagem, o custo desses dispositivos so bem menores. Abaixo temos
exemplos de tipos de servidores:

Servidor de Arquivos: um servidor responsvel pelo armazenamento de arquivos de
dados como arquivos de texto, planilhas eletrnicas, etc... importante saber que esse
servidor s responsvel por entregar os dados ao usurio solicitante (cliente), nenhum
processamento ocorre nesse servidor, os programas responsveis pelo processamento dos dados
dos arquivos deve estar instalados nos computadores clientes.

Servidor de Impresso: um servidor responsvel por processar os pedidos de
impresso solicitados pelos micros da rede e envi-los para as impressoras disponveis. Fica a
cargo do servidor fazer o gerenciamento das impresses.

Servidor de Aplicaes: responsvel por executar aplicaes do tipo cliente/servidor
como, por exemplo, um banco de dados.
Ao contrrio do servidor de arquivos, esse tipo de servidor faz processamento de
informaes.

13

Servidor de Correio Eletrnico: Responsvel pelo processamento e pela entrega de
mensagens eletrnicas. Se for um e-mail destinado a uma pessoa fora da rede, este dever ser
passado ao servidor de comunicao (firewall)

Servidor de Comunicao (Firewall): Usado para comunicao da sua rede com outras
redes, como a Internete Se voc acessa a Internet atravs de uma linha telefnica convencional,
o servidor de comunicao pode ser um computador com uma placa de modem ou conexes
com ADSL ou LPCD.

Alm desses, existem outros tipos de servidores que podem ser usados, vai depender da
necessidade da rede.

Vantagens e Desvantagem: Usada normalmente em redes com mais de 10 micros ou redes que
necessitem de alto grau de segurana;

Custo Maior desempenho do que as redes ponto-a-ponto;

Implementao necessita de especialistas;

Melhor desempenho que as redes ponto-a-ponto;

Alta segurana;

Configurao e manuteno na rede feita de forma centralizada;

Existncia de servidores, que so micros capazes de oferecer recursos aos demais
micros da rede

5 Noes de Cabeamento Estruturado
Antes de iniciarmos este tpico trabalho, interessante termos em mente a real necessidade de
padronizao em nosso mundo. Antes de qualquer coisa, a padronizao serve para uma
montagem rpida e segura de qualquer processo, e no futuro, no haver quaisquer problemas de
expanso e melhorias. Na criao de uma rede, desde sua idealizao no papel at sua
14

concepo fsica, que o que realmente fica de permanente em toda a sua vida, a filosofia da
informao que trafegar por ela. Filosofia da informao? Como assim? Teremos informao
refletindo sobre algo? Exatamente o que pretendemos neste trabalho mostrar o quo
importante conhecer seu cliente e principalmente o tipo de informao. Para que a rede
realmente se destinar? Qual o investimento necessrio? Que equipamentos comprar?
Obviamente quando falamos de cabos, nem pensar em trabalhar algo que no esteja ligado a
boas marcas do mercado, certificadas, resistentes e sobretudo a preos justos (preo justo no
significa ser caro). No cogitamos nada fora da categoria de cabos nvel 5 (como veremos
adiante). Mas uma nota deve ser registrada: mesmo com massa ruim o bom pedreiro constri.
No pretendemos aqui tratar o assunto de forma ampla e tcnica demais, mas o assunto deve
abranger e preencher o conhecimento do leitor com alguns subsdios tcnicos e que no estejam
apenas restritos a termos meramente elegantes e charmosos de se referir a cores de cabos de
cobre. Interessante saber que este material inicialmente, apenas dizia a respeito de crimpagem
de cabos e seus padres, mas devido importncia tamanha da padronizao, organizao e
sobretudo Carinho com a informao, pouco a pouco abrangemos outros termos e conceitos,
que abrangem toda a rede

Tendo em vista, que todos os tipos de cabeamento j foram mostrados no curso bsico,
falaremos rapidamente apenas dos itens mais utilizados no mercado.

5.1 Importncia dele na Rede:
A funo primordial de uma rede local (LAN, ou Local Area Network) ligar fisicamente
vrios computadores entre si e tambm a um servidor (que no nada mais que um simples
micro, porm preparado para ficar 24hs. Disponvel para as tarefas da rede). Isto conseguido
atravs de cabos de pares tranados, fibra tica, linhas telefnicas e at mesmo sinais de rdio e
infra-vermelhos! incrvel o que podemos fazer. H vrias formas de interligar computadores.
Cada configurao de rede ou topologia precisa ainda realizar as mesmas tarefas que o
computador exercia antes. A situao mais comum o envio de mensagens de um computador
para outro. A mensagem pode ser uma solicitao de dados, uma resposta de solicitao de
algum outro computador ou uma instruo para executar um programa que esteja armazenado
na rede. Os dados ou o programa que a mensagem solicita podem estar armazenados em um
computador utilizado por um colega de trabalho em rede, em um servidor de arquivos ou por
um computador especfico. Um servidor de arquivos geralmente um computador de alto
desempenho, com disco rgido grande no utilizado exclusivamente por qualquer usurio da
rede. Ele existe simplesmente para atender todos os computadores em rede, fornecendo um
lugar comum no qual so armazenados os dados a serem recuperados com a mxima rapidez
possvel. Existem grandes vantagens em se manter um servidor de rede. As principais podemos
destacar como: centralizao das informaes proporcionando facilidade de acesso atravs de
simples padronizao de pastas, e a realizao simples de backup em disco, em fita, em CD ou
mesmo ZIP Disk. A rede deve receber as solicitaes de acesso atravs dos computadores ou
ns ligados a ela; a rede tambm precisa achar uma forma de gerenciar todas essas solicitaes
simultneas de seus servios. A rede precisa gerenciar tudo o mais rpido possvel, enquanto
distribui seus servios entre todos os ns. Trs topologias de rede de barramento (bus), anel
(token ring) e estrela respondem pela maioria das configuraes de LAN. A comunicao em
rede vai alm do envio de mensagens. No simplesmente um processo de transmisso de bits
representando caracteres alfanumricos. As comunicaes em rede podem envolver
computadores que funcionam com MS-DOS, Windows, modelos da linha Macintosh,
computadores de grande porte e qualquer outra famlia de computadores, todos tendo sua forma
prpria de gerenciamento de cdigos de dados e de transmisso. Para que todos estes sistemas
possam estar em comunicao eles tm que seguir um padro: o modelo OSI (Open Systems
Interconnection, ou Interligao de Sistemas Abertos), que seguido pela maioria dos
computadores em rede. Este padro baseado em camadas: cada componente da rede existe
13

numa determinada camada do sistema, e cada componente pode comunicar-se somente com a
camada diretamente abaixo ou diretamente acima dele. Cada camada fornece servios camada
superior e pode solicitar os servios da camada inferior. Mas no vamos entrar neste assunto to
tcnico assim. Apenas precisamos de saber que, tanto fisicamente quanto logicamente uma rede
precisa de padronizao. Padronizao a associao de signos a smbolos que tenham
significado comum, igualitrio e normativo em todo o mundo. Montar uma rede em Belm deve
ser a mesma tarefa de se montar uma rede em Tquio. Se no houvesse padronizao os grandes
bancos, por exemplo, nunca iriam se comunicar para realizar as milhares de operaes
financeiras por todo o mundo. Entendemos agora por onde vai nosso dinheiro. Para onde
o mistrio.

5.2 Conector RJ45 Macho



o responsvel pelo acabamento das pontas de nossos cabos par tranado. Abordaremos
este tipo de cabeamento em especial por ser o mais comum, barato e simples. dentro dele
que determinamos a ordem dos pares.

Aplicao
Conexes de terminaes de cabos UTP de condutores slidos (solid wire) com bitolas de 22 a
26 AWG.

Funcionamento
Conexo com conectores RJ-45 macho atravs do contato eltrico e de travamento mecnico
(trava do conector fmea).

Material
Corpo principal em termoplstico fosco classe UL V-0 com 8 contatos metlicos banhados com
uma fina camada em ouro e terminal de contatos para os cabos UTP do tipo 110 IDC.

Dimenses (AxLxP)
(21,8x26,4x32,7) mm.

Instalao
Devem ser obedecidos os seguintes procedimentos:
1. Preparao do Cabo: Desemcapar a capa externa cerca de 50 mm com o cuidados de no
danificar os condutores.
2. Observar a posio final do conector na tomada ou espelho, efetuando a acomodao do cabo.
3. Em um dos lados do conector, posicionar os dois pares dos condutores nos terminais
ordenadamente segundo a correspondncia de cores.
4. Inserir os condutores com a ferramenta 110 Puch Down Tool na posio de baixo impacto
perpendicular ao conector apoiando-o contra uma base firme e com o auxlio do suporte que
acompanha o produto. Com o uso da ferramenta 110 Puch Down Tool as sobras dos fios so
automaticamente cortadas.
5. Repetir os passos 3 e 4 com os outros 2 pares para o lado oposto do conector.
16

6. Acomodar o cabo convenientemente e encaixar as travas de segurana manualmente sobre os
terminais.
7. Encaixar o conector na tomada ou espelho e identificar o ponto com os cones de
identificao.
8. Como o conector inclinado, encaixe a trava fixa na parte inferior da abertura do espelho e
empurre at a trava flexvel ficar perfeitamente encaixada.
9. Aps a instalao do conector RJ-45 fmea, encaixar a tampa de proteo do conector qua
acompanha o produto (dust cover).


CUIDADO O raio de curvatura do cabo no deve ser inferior a 4 vezes o dimetro do mesmo
(21,2 mm) e evitar que o comprimento dos pares destorcidos ultrapasse 13 mm.

Abaixo, esquema de funo de caba cabo dentro do conector RJ-45:


1 Transmisso de dados (Transmit Data) TD
2 - Transmisso de dados (Transmit Data) TD
3 - Recepo de dados (Receive Data) RD
4 No utilizado
5 - No utilizado
6 Recepo de dados (Receive Data) RD
7 - No utilizado
8 No utilizado

ATENO Importante notar que esta a ordem padro no CONECTOR e no no padro
escolhido pelos cabos.

Lembrando que as cores somente representam uma sinalizao para as vias. s vezes,
importante saber separar o smbolo do signo.


5.3 Cabo UTP

O cabo normalmente vem em uma caixa padro com 300m, pesando cerca de 10 Kg. Vrios
fabricantes hoje se destacam como marcar assumidamente de qualidade, como Furukawa,
Alcatel, Nexans, e outros. Hoje o Brasil fabrica cabos de excelente qualidade.
17


A disposio padro dos cabos quando vm de fbrica a seguinte:
UTP Color Codes
Par 1 Branco-Azul (BA) / Azul (A)
Par 2 Branco-Laranja (BL) / Laranja (L)
Par 3 Branco-Verde (BV) / Verde (V)
Par 4 Branco-Marrom (BM) / Marrom (M)



Detalhe do cabo com os pares originalmente dispostos.

Alguns cabos possuem blindagem, que uma cobertura protetora que elimina a interferncia
eletromagntica e interferncia por rdio-freqncia.


5.4 Categorias

O cabo par tranado foi usado durante dcadas para transmitir sinais analgicos e digitais. Sua
utilizao permite percorrer muitos metros sem amplificao. Contudo, quando se desejar
atingir maiores distncias necessrio utilizar repetidores.
A aplicao mais comum do par tranado o sistema telefnico. As categorias seguintes de
cabos so freqentemente usadas, mas o padro TIA/EIA-568 reconhece apenas as categorias
3,4 e 5.
Categoria 1 cabo de par tranado tradicional, que o utilizado para telefonia (instalado antes
de 1983). No recomendado para utilizao em redes locais.
Categoria 2 cabo certificado para transmisso de dados (possui 4 pares tranados). Sua
utilizao em redes tambm no recomendvel.
Categoria 3 esta categoria suporta 10 Mbit/sec numa rede Ethernet, 4Mbit/s em uma Token
Ring. Este cabo permite que at quatro telefones normais ou dois multilinhas sejam conectados
ao equipamento da companhia telefnica.
Categoria 4 esta categoria suporta taxas de transmisso de at 16 Mbit/s em uma rede Token
Ring. Este cabo possui quatro pares.
Categoria 5 possui 4 pares tranados com oito tores. Suporta taxas de transmisso de 100
Mbit/s. Sua utilizao adequada para redes Fast Ethernet e redes ATM. No incio dos anos 90,
60% dos edifcios possuam este tipo de cabo (EUA).
Categoria 6 tambm possui 4 pares tranados. Suporta taxas de transmisso de at 155
Mbit/s. Sua utilizao adequada a redes Fast Ethernet para transmisso de dados e voz.
18


Pares Mbit/s

Categoria 1 1

n/d
Categoria 2 4

n/d
Categoria 3 4

10
Categoria 4 4

16
Categoria 5 4

100
Categoria 6 4

155

O cabo Categoria 5 foi desenvolvido para tratar redes de alta velocidade podendo transmitir at
100 Mbps (mega bits por segundo). Cabos par tranado categoria 5 interligam segmentos de
rede de at 100 metros (normalmente os clculos so feitos em torno de 90m. Notar que esta
distncia pode tem de ser respeitada mquina a hub/switch ou hub/switch a hub/switch). Vale
ressaltar tambm que muitas tecnologias de redes podem utilizar o cabo par tranado, dentre
elas, os padres Ethernet e Token Ring. UTP Unshielded Twisted Pair.
O cabo categoria 5 foi um padro criado em 1991 pela ANSI (American National Standards
Institute), EIA (Electronics Industries Association), e TIA (Telecommunications Industry
Association).Nas redes de cabos UTP, a norma EIA/TIA padronizou o conector RJ-45 para a
conectorizao de cabos UTP. So conectores que apresentam uma extrema facilidade, tempo
reduzido na conectorizao e confiabilidade, sendo que estes fatores influem diretamente no
custo e na qualidade de uma instalao. Os conectores esto divididos em 2 tipos, macho (plug)
e fmea ( ack). O conector RJ-45 macho possui um padro nico no mercado, no que diz
respeito ao tamanho, formato e em sua maior parte material, pois, existem vrios fabricantes
deste tipo de conector, portanto, todos devem obedecer um padro para que qualquer conector
RJ-45 macho de qualquer fabricante seja compatvel com qualquer conector RJ-45 fmea de
qualquer fabricante. J o conector RJ-45 fmea pode sofrer algumas alteraes com relao
sua parte externa. Para a conectorizao do cabo UTP, a norma EIA/TIA 568 A/B determina a
pinagem e configurao. Esta norma necessria para que haja uma padronizao no mercado.
Contudo, existem, no mercado, duas padronizaes para a pinagem categoria 5, o padro 568 A
e 568 B, que diferem apenas nas cores de dois pares de condutores dos cabo UTP (laranja e
verde).


5.5 Crimpador
19


Normalmente estes alicates permitem a utilizao tanto de conectores RJ45 como RJ11 (usados
em telefones).
Tambm possuem uma seo para corte dos cabos e descascar o isolamento.
importante verificar se o local onde feito a prensagem, feito de forma uniforme ao invs de
diagonal, pois se for da forma diagonal bem provavelmente ir gerar muitos problemas nas
prensagens dos conectores.

5.6 Testador de Cabos

Normalmente a ferramenta mais cara neste tipo de montagem de rede por conta prpria
(existem testadores de cabos que so muito caros, mas so utilizado em montagens profissionais
de grande redes). De novo vale a recomendao: comprar uma ferramenta de m qualidade,
pensando somente no preo, pode resultar em problemas na crimpagem dos conectores no cabo,
muitas vezes imperceptveis inicialmente, mas gerando no futuro erros de rede que podero
tomar muito de seu tempo.
Apesar de no ser um item obrigatrio, voc encontrar modelos simples e no muito caros que
podero ser de grande ajuda quando voc est montando vrios cabos.


5.7 Delay

um dos itens mais importantes, pois a estruturao fsica pode influenciar na performance e
velocidade da rede. ideal que tenha o menor nmero de segmentao e quando ocorrer a
segmentao que seja centralizado os servidores, pontos de sada da rede e principais clientes no
switch principal.

5.8 Processo da Crimpagem

A crimpagem tem um papel muito importante e deve ser bastante considerada no planejamento
de tempo de execuo da rede. O alicate de crimpagem deve estar em ordem e a pessoa que for
executar a crimpagem deve ter habilidade suficiente para evitar ao mximo as perdas com
20

grimpagens erradas, pares soltos, entre outros. Boa parte do tempo da montagem da rede pode ir
embora nesta fase.

Padronizao EIA/TIA 568 Conhecida como seqncia de crimpagem de normal.
Utilizada para conexo de um microcomputador a um HUB ou SWITCH.

EIA/TIA-568
1. Branco-Verde
2. Verde
3. Branco-Laranja
4. Azul
5. Branco-Azul
6. Laranja
7. Branco-Marrom
8. Marrom


ATENO importante lembrar que NO H qualquer problema uma rede inteira ser
montada com a trava do conector RJ-45 (jack) apontada para cima ou para baixo em relao
ordem dos cabos, pois, desde que se obedea a ordem at o fim desta rede, a mesma estar
operacional em quaisquer condies.
Usualmente, a trava apontada para baixo, como os pontilhados do esquema mostram.
As cores somente representam uma sinalizao para as vias. s vezes, importante saber
separar o smbolo do signo.

Crossover
Para ligar PC/PC (crossover)
1 ponta do cabo
branco verde verde
branco laranja
azul
branco azul laranja
branco marrom
marrom

2 ponta do cabo
branco laranja
laranja
branco verde azul
branco azul
verde
branco marrom
marrom

Crossover (cabo)
Um cabo crossover consiste na interligao de 2 (dois) computadores pelas respectivas placas
de rede sem ser necessrio a utilizao de um concentrador (Hub ou Switch) ou a ligao de
modems a CABO com a maquina cliente com conectores do tipo RJ45. A alterao dos padres
das pinagens dos cabos torna possvel a configurao de cabo crossover ou cabo direto. A
ligao feita com um cabo de par tranado (na maioria das vezes) onde se tem: em uma ponta
o padro T568A, e, em outra o padro T568B (utilizado tambm com modems ADSL). Este
cabo denomina-se CABO CROSSOVER.

Processo de Crimpagem:
Primeiro importante voc decidir que tipo de cabo voc deseja! Existem 2 tipos de cabo rede
mais comumente utilizados: Direto (ou normal) e Invertido (ou cross ou cross-over).

21

Cortando o cabo:
Corte um pedao do cabo de rede do tamanho que voc ir necessitar! Lembre-se! Nunca conte
em fazer emendas, portanto, ao medir o tamanho necessrio, tenha muito cuidado, considere
curvas, subidas, descidas, salincias, reentrncias, etc. E no se esquea: se sobrar voc pode
cortar, mas se faltar a soluo fica bem mais cara... Aps a medio, faa um corte reto e limpo.
Como a imagem abaixo:




Retire a proteo/isolamento (capa azul na figura) da extremidade, em mais ou menos uns 3
centmetros. Alguns alicates de crimpagem possuem uma seo de corte especfica para isto
(voc coloca o cabo na seo de corte que no realiza o corte at o fim, somente retirando o
isolamento veja figura em anexo), caso contrrio, pode ser usado um estilete ou canivete.

ATENO: muito importante que seja cortado APENAS o isolamento (na figura acima seria
a capa azul) e no os fios que esto internamente. Se alguns dos fios internos for danificado,
poder comprometer toda a sua conexo. Normalmente nesta fase so cometidos erros de
danificar os fios internos e no se perceber, ocasionando erros posteriores que sero muito
difceis de serem identificados.
A presso a realizar no corte, o tamanho da seo de isolamento a ser removido, etc., sero mais
fceis de serem controlados com o tempo e a experincia.

Preparando/separando o cabo:
Aps o corte do isolamento, necessrio voc separar os cabo/fios internos conforme a cor de
cada um. Voc ver que so 4 pares de cabo coloridos, sendo cada par composto por uma cor
(azul, verde, laranja ou marrom), e seu par branco (branco com listas azuis, branco com listas
verdes, branco com listas laranja, branco com listas marrom). Se o cabo padro UTP categoria
5, sero SEMPRE estas cores!
22


Ateno, algumas lojas vendem cabos com 8 fios, porm de outras cores e principalmente com
os fios brancos SEM as listas: so cabos telefnicos. Vo funcionar, porm iro dar muito mais
trabalho na identificao do par correto, e pode vir a ser um problema se algum dia voc
quiser fazer alguma alterao no cabo...

Concluso:
No vale a economia que oferecem!

Bom, agora que os cabos internos esto separados, voc dever alinh-los conforme a ordem
desejada (se um cabo direto ou um cabo cross-over), da esquerda para a direita. A ordem
importante pois seguem um padro definido na indstria, e mesmo funcionando utilizando um
padro diferente, poder resultar em mais trabalho na hora de fazer algum tipo de manuteno
posterior no cabo, ou reconectorizao, ou identificao, etc. A prtica me ensinou que muito
mais prtico e rpido seguir um padro!
O padro que seguimos o da Associao de Industrias de Telecomunicao
(Telecommunications Industry Association TIA) http://www.tiaonline.org/. O padro
chamado EIA/TIA-568.
Seguindo o padro ao lado, alinhe os cabos internos no seu dedo indicador, de maneira
uniforme. Aps o alinhamento, corte as pontas, de forma a que fiquem exatamente do mesmo
tamanho, e com cerca de 1 a 1,5 centmetros da capa de isolamento


Colocando o conector RJ-45
A maneira mais prtica de inserir o cabo em um conector RJ-45 assim:
Segure o conector RJ-45 firmemente, em uma das mos e o cabo separado na outra, como a
figura acima. A medida que for inserindo os cabos para dentro do conector, force os cabos de
forma CONJUNTA, para que no haja problemas de contato. Empurre os cabos olhando bem se
todos esto seguindo o caminho correto dentro do conector, mantendo-se paralelos. Voc pode
23

sentir uma *pequena* resistncia, mas o conector e o caboso dimensionados para entrar
*justos*, sem folgas, e sem muita dificuldade. Empurre os cabos por toda a extenso do
conector RJ-45. Eles devem encostar a parede contrria ao orifcio de entrada. Voc pode
conferir olhando de lado (como na imagem abaixo) e na parede onde eles terminam (uma srie
de pontos). Se algum dos cabos no estiver entrado correto, VOC DEVER RETIRAR O
CONECTOR E COMEAR TUDO NOVAMENTE! No final, force um pouco o revestimento
do cabo tranado, de forma que este revestimento passe completamente o ressalto no conector
(que ser pressionado pelo alicate de crimpagem mais tarde). Veja na imagem lateral
abaixo.Inserir todos os cabos corretamente, sem folgas, de forma justa, puramente JEITO e
PRTICA! Depois de vrios cabos, voc se sentir mais a vontade nesta tarefa e parecer
simples, porm as primeiras conexes podem ser irritantes, demoradas,sem jeito, mas no
difcil! No *economize tempo* nesta tarefa! Uma conexo mal feitapode arruinar toda sua rede
e ser um problema de difcil identificao.
CERTO ERRADO



O quem no pode ocorrer:


Crimpando o cabo com o alicate:
Antes de partir para o uso do alicate, verifique novamente se os cabos esto bem montados nos
conectores: os fios at o fim e a capa de cobertura passando o ressalto do conector.Estando tudo
24

ok, insira o conector montado, com cuidado para no desmontar, na abertura prpria do seu
alicate de crimpagem (veja imagem abaixo) Com a outra mo no alicate, comece a apertar,
finalizando com as 2 mos em um bom aperto, porm sem quebrar o conector! Aps a
crimpagem, verifique lateralmente no conector se todos os contatos foram para dentro do
conector, estando uniformes e encostando nos fios. Se houver algum problema, que no seja
falta de presso no alicate, no h como recuperar o conector, o cabo dever ser retirado, ou
cortado, e o conector estar perdido. Bom, agora s continuar com o restante das
conectorizaes. Um lembrete: verifique sempre com cuidado se as conexes esto bem feitas,
se os fios esto bem encaixados e os contatos bem feitos. Se tiver um testador de cabos,
aproveite para logo em seguida testar se est tudo ok! Verifique com ateno se os cabos sero
diretos ou cross-over na montagem dos fios no conector.



5.9 - Cabeamento Estruturado.
A idia bsica do cabeamento estruturado fornece aoambiente de trabalho um sistema de
cabeamento que facilite a instalao e remoo de equipamentos, sem muita perda de tempo.
Dessa forma, o sistema mais simples de cabeamento estruturado aquele que prov tomadas
RJ-45 para os micros da rede em vez de conectarem o hub diretamente aos micros.
Podendo haver vrios pontos de rede j preparados para receber novas maquinas. Assim, ao
trocar um
micro de lugar ou na instalao de um novo micro, no haver a necessidade de se fazer o
cabeamento
do micro at o hub; este cabeamento j estar feito, agilizando o dia-a-dia da empresa.


23

A idia do cabeamento estruturado vai muito alem disso. Alm do uso de tomadas, o sistema de
cabeamento estruturado utiliza um concentrador de cabos chamado Patch Panel (Painel de
Conexes).
Em vez de os cabos que vm das tomadas conectarem-se diretamente ao hub, eles so
conectados ao patch panel. Dessa forma, o patch panel funciona como um grande concentrador
de tomadas.





O patch panel um sistema passivo, ele no possui nenhum circuito eletrnico. Trata-se
somente de um painel contendo conectores. Esse painel construdo com um tamanho padro,
de forma que ele possa ser instalado em um rack.



O uso do patch panel facilita enormemente a manuteno de redes medis e grandes. Por
exemplo, se for necessrio trocar dispositivos, adicionar novos dispositivos (hubs e switches,
por exemplo) alterar a configurao de cabos, etc., basta trocar a conexo dos dispositivos no
26

patch panel, sem a necessidade de alterar os cabos que vo at os micros. Em redes grandes
comum haver mais de um local contendo patch panel. Assim, as portas dos patch panels no
conectam somente os micros da rede, mas tambm fazem a ligao entre patch panels.
Para uma melhor organizao das portas no patch panel, este possui uma pequena rea para
poder rotular cada porta, isto , colocar uma etiqueta informando onde a porta esta fisicamente
instalada.
Dessa forma, a essncia do cabeamento estruturado o projeto do cabeamento da rede. O
cabeamento deve ser projetado sempre pensado na futura expanso da rede e na facilitao de
manuteno.
Devemos lembrar sempre que, ao contrario de micros e de programas que se tornam obsoletos
com certa facilidade, o cabeamento de rede no algo que fica obsoleto com o passar dos anos.
Com isso, na maioria das vezes vale pena investir em montar um sistema de cabeamento
estruturado.

5.10 - SUGESTO PARA REDE ELTRICA
A rede eltrica deve possuir um circuito exclusivo para a alimentao da rede de computadores.
ideal que seja estabilizada e possuir filtros de linha caso no haja nos estabilizadores, e um
sistema de no-break , para uma possvel falta de energia.

Quando toda a rede estiver conectada a apenas um estabilizador o quadro de fora dever ser
montado aps o estabilizador. Ideal ter a cada circuito at 3 tomadas.

No permitir que sejam ligados outros equipamentos como: Copiadoras, ventiladores, motores
eltricos, ou qualquer outro que exija ou produza rudo na linha.

Quando forem utilizados estabilizadores individuais de voltagem para cada estao de trabalho,
o quadro de fora para os micros dever ser montado aps o quadro geral de fora. Conforme
esquema abaixo :
27


Para os circuitos que alimentam as estaes de trabalho , recomenda-se disjuntores de no
Maximo 10 A (dez ampres).
Para a ligao das tomadas, dever ser usado cabos de tima qualidade, de dimetro compatvel,
a bitola deve ser de no mnimo 4mm.
As tomadas devem ser do tipo universal de trs pinos (tripolares) e a ligao fase/neutro/terra
conforme figura a seguir:

As tenses aproximadas na rede eltrica devero ser as seguintes:
Entre terra e fase = 117 V
Entre neutro e fase = 115 V
Entre terra e neutro = 2,5 V(valor Maximo tolerado)

5.11 SISTEMA DE ATERRAMENTO
O terra dos equipamentos de informtica DEVE ser totalmente independente dos demais terras
existentes.
Observando o seguinte na instalao:
Ser construdo distncia mnima de 2,40m dos outros terras do quadro e do neutro e a uma
distncia mnima de 25,00 do terra de pra-raios.
O cabo que liga as barras de aterramento ao quadro deve ser encapado, possuir bitola
compatvel com a distancia entre o sistema e o quadro, e NO DEVER ESTAR NUNCA
CONECTADO AO NEUTRO.No so aconselhveis distncias maiores que 50m entre o terra e
o quadro de distribuio.
28

Material necessrio para um aterramento simples:
3 barras de cobre, com 2 a 3 metros de comprimento e 15cm de dimetro.
6 abraadeiras de bronze para as barras de cobre.
10 metros de fio isolado, de bitola idntica dos fios fase e neutro.
Sal grosso, carvo vegetal e enxofre em quantidades suficientes para cobrir o poo dos
eletrodos.
gua destilada suficiente para regar a mistura.
As barras de cobre so chamadas eletrodos de aterramento; do uma referncia de terra de 0 volt
e uma conexo terra para descargas eltricas atmosfricas. Tambm fornecem uma trajetria
de impedncia baixa terra ( valor mximo de 25 ohms).

5.11.1 Consequncias da falta de aterramento:
Apario de BAD CLUSTERS no HD ou at mesmo a perda total. Isto no demora a acontecer.
Voc poder perder seu HD em 2 ou 3 meses.
Danos na placa me.
Danos na memria, que podem vir a causar perda repentina de dados e ou congelamento de todo
o sistema.

5.12 - DOCUMENTAR UMA REDE
Nos itens anteriores vimos o que devemos ou no fazer com a parte fsica da rede, como
manusear cabos e a melhor maneira de se instalar uma rede eltrica e o aterramento.
Agora, antes de sairmos passando os cabos e colocando canaletas devemos primeiro analisar o
local para melhor dimensionar a passagem dos mesmos.
O ideal fazer um projeto, verificando toda a estrutura do local o layout as mesas e possveis
expanses. Fazer um levantamento de material necessrio (como canaletas, cabos, conectores,
etc..), procurar apresentar mais de uma opo de projeto sempre bom, e no esquecer de
identificar cada ponto de rede.

Obs.: Veja quando falamos em projeto, no queremos e no vamos formar engenheiros aqui,
nossa inteno e mostrar que uma documentao bem feita pode ser o diferencial dentro desta
rea , o projeto pode ser escrito, no necessariamente um desenho, lgico que se possuir o
desenho muito melhor, mesmo porque hoje existem ferramentas para auxiliar neste propsito.

6 Protocolos
6.1 - O que so protocolos?

Pacote uma estrutura de dados utilizada para que dois computadores possam enviar e receber
dados em uma rede. Atravs do modelo OSI, cada camada relaciona-se com a superior e inferior
a ela agregando informaes de controle aos pacotes. Cada camada do modelo OSI se comunica
com a camada adjacente sua, ou seja, as camadas de um computador se comunicam com as
mesmas camadas em um outro computador.

Para que dois computadores possam enviar e receber pacotes e para que as camadas
possam comunicar-se de forma adjacente (no mesmo nvel) necessrio um tipo de
software chamado de protocolo.

Mas o que so protocolos?

Protocolos so padres que definem a forma de comunicao entre dois computadores e
seus programas.


29

Quando uma camada OSI em um computador deseja enviar dados para outra camada adjacente
sua, preciso que o dado seja preparado e enviado segundo regras que tanto o primeiro
computador quanto o segundo possam entender. Dessa forma, a condio bsica para que dois
computadores se falem na rede que utilizem o mesmo protocolo, ou seja, o mesmo conjunto de
regras e padres para a preparao e entrega dos pacotes.
Algumas caractersticas dos protocolos:

Protocolos podem ser proprietrios ou abertos. Os protocolos proprietrios so
limitados a um tipo de aplicao ou empresa. Por exemplo, o protocolo APPC
(Advanced Program-to-Program Communication) de propriedade da IBM e
utilizado em sua arquitetura de rede SNA.

Os protocolos abertos so extensveis s empresas Os protocolos abertos so
extensveis s empresas, so divulgados e padronizados por organismos e
associaes internacionais e so aderidos pela indstria de informtica. Por
exemplo, o TCP/IP um tipo de protocolo aceito universalmente para a
comunicao de computadores na Internet.

Protocolos podem fornecer diversas informaes sobre a rede. Em funo e
atravs do tipo de protocolo utilizado pode-se obter diversas informaes sobre a
rede, tais como performance, erros, endereamento, etc.

Protocolos podem ser analisados com ferramentas de software. De onde o pacote
est saindo, para onde vai, quanto tempo demorou para chegar, quanto tempo ficou
parado em um roteador, se utilizou rota nica ou alternativa, etc., so informaes
que podem ser muito importantes na avaliao de uma rede. Estas informaes
podem ser fornecidas atravs de um pacote de software de monitorao de rede.

Existe um grande nmero de protocolos. Quando nos referimos quantidade de
protocolos que existe na rea tcnica, dizemos que uma verdadeira sopa de letras.
Fica impossvel lembrar ou decorar cada um deles. Por exemplo, vamos citar
apenas alguns, X.400, TCP/IP, DLC, FTP, NWLink, ATP, DDP. Para se ter uma
idia ainda mais clara, TCP/IP considerado uma sute de protocolos. Dentro dele
existe mais de 10 protocolos distintos. Cada protocolo tem funes diferentes,
vantagens e desvantagens, restries e a sua escolha para implementao na rede
depende ainda de uma srie de fatores.

A camada na qual um protocolo trabalha descreve as suas funes. Existem
protocolos para todas as camadas OSI. Alguns protocolos trabalham em mais de
uma camada OSI para permitir o transporte e entrega dos pacotes.

Os protocolos trabalham em grupos ou em pilhas. Protocolos diferentes trabalham
juntos em diferentes camadas. Os nveis na pilha de protocolos correspondem s
camadas no modelo OSI. A implementao dos protocolos nas pilhas feita de
forma diferente por cada vendedor de sistema operacional. Apesar das diferentes
implementaes, os modelos se tornam compatveis por serem baseados no padro
OSI.

6.2 - Como trabalham os protocolos

Os protocolos devem trabalhar em conjunto para garantir o envio e entrega dos pacotes.
Quando um computador vai enviar dados, eles so divididos pelo protocolo em pequenos
pedaos chamados pacotes. No pacote o protocolo adiciona informaes de status e
30

endereamento para que na rede, o computador de destino possa conseguir acessar o pacote. O
protocolo tambm prepara os dados para serem transmitidos atravs do cabo de rede.
Todas as operaes que foram realizadas pelo computador que est emitindo o dado, tambm
sero realizadas pelo computador que recebe os dados, mas agora na forma inversa.


Para que a transmisso de dados tenha sucesso na rede, ser necessrio que o computador que
envia e o computador que recebe os dados cumpram sistematicamente as mesmas etapas, e para
tanto, devem possuir em suas camadas os mesmos protocolos.
Se dois computadores tiverem protocolos diferentes em suas camadas OSI, com certeza a
comunicao no ser realizada, pois o pacote de dados, gerado no computador emissor, no
conseguir ser traduzido pelo computador de destino.
Para que os protocolos possam trabalhar nas camadas OSI eles so agrupados ou ainda
colocados em pilhas, ou seja, a pilha uma forma de combinar e organizar protocolos por
camadas. As camadas vo ento, oferecer os servios baseados no protocolo a ser utilizado para
que o pacote de dados possa trafegar na rede.

6.3. Pilhas de protocolos mais comuns

Cada fornecedor de sistema operacional desenvolve e implementa a sua prpria pilha de
protocolos a partir do modelo OSI, que especifica os tipos de protocolos que devem ser
utilizados em cada camada. Microsoft, Novell, IBM, Digital e Apple implementaram sua pilha
de protocolos baseados na evoluo de seus sistemas operacionais. Adotam tambm modelos de
pilhas pr -estabelecidos pela indstria para melhorar o seu prprio padro, como o caso do
uso do TCP/IP.

6.4 - Classificao de protocolos

Existem protocolos em cada uma das camadas do modelo OSI realizando tarefas gerais de
comunicao na rede. Eles so classificados em quatro nveis: Aplicativo, Transporte, Rede e
Fsica.

6.4.1. Aplicativo

Neste nvel situam-se nas camadas mais altas do modelo OSI. Sua misso a de
proporcionar interao entre os aplicativos que esto sendo utilizados na rede. Exemplos.

FTP (File Transfer Protocol) -Suite TCP/IP: Protocolo de Transferncia de Arquivo.
Permite a cpia de arquivos entre computadores na Internet.

Telnet -Suite TCP/IP: Permite que um computador remoto se conecte a outro.
Quando conectado, o computador age como se o seu teclado estivesse atachado ao
computador remoto. O computador conectado pode utilizar os mesmos servios do
computador local.

SNMP (Simple Network Management Protocol) -Suite TCP/IP: Protocolo de
Gerenciamento de Rede Simples. Utilizado para estabelecer a comunicao entre
um programa de gerenciamento e um agente de software sendo executado em um
computador host.

SMTP (Simple Mail Transfer Protocol) -Suite TCP/IP: Protocolo de Transferncia
de Correio Simples. Protocolo Internet para Transferncia de Correio Eletrnico.

31

X.400: Protocolo para Transmisses Internacionais de Correio Eletrnico. Foi
desenvolvido pelo CCITT (International Consultative Committee on Telephony
and Telegraphy) baseado no modelo OSI. O gol do X.400 permitir usurios
trocarem mensagens no importando o sistema de correio em uso.

X.500: Servio de diretrio global para correio eletrnico. Conjunto de padres OSI
que descreve a interconexo de diferentes sistemas de informao. Desenvolvido pelo
CCITT.


SMB (Server Message Block): Blocos de Mensagens de Servidor. Protocolo de
compartilhamento de arquivo desenvolvido pela Microsoft e utilizado nas redes
Windows.

NCP (Novell Core Protocol): Protocolo Novell Core. Protocolo de compartilhamento
de arquivo desenvolvido pela Novell e utilizado nas redes Netware.

AppleShare: Protocolo de compartilhamento de arquivo desenvolvido pela Apple
para as redes MAC.

APPC (Advanced Program-to-Program Communication): Comunicao Avanada
Programa a Programa. Protocolo SNA, Par-a-Par IBM, utilizado nos computadores
AS-400.

6.4.2. Transporte

Os protocolos de transporte asseguram o empacotamento e a entrega segura dos dados.
Estabelecem sesses de comunicao entre os computadores. Exemplos:

SPX (Sequencial Packet eXchange): Constitui uma parte do grupo de protocolos
para dados seqenciais IPX/SPX da Novell.

TCP (Transmission Control Protocol): Protocolo de Controle de Transmisso.
Protocolo da suite TCP/IP que realiza a entrega garantida dos dados seqenciais.

UDP (User Datagram Protocol): Protocolo semelhante ao TCP que realiza a entrega
dos dados mas sem garantia de que eles chegaro ao seu destino.

NWLINK: Implementao nas redes Microsoft do protocolo IPX/SPX.
Desenvolvido pela Microsoft para permitir a comunicao entre os sistemas
operacionais da famlia Windows e o sistema Netware.

ATP (AppleTalk Transaction Protocol) e NBP (Name Binding Protocol): Protocolo
de transao AppleTalk e protocolo de ligao de nomes. Protocolos AppleTalk
para estabelecimento de sesso de comunicao e transporte de dados.

NetBEUI: Utilizado para estabelecer sesses entre computadores NetBIOS e
proporcionar servio de transporte de dados. NetBIOS uma interface que
utilizada para estabelecer nomes lgicos na rede, estabelecer sesses entre dois
nomes lgicos, entre dois computadores na rede, e suportar a transferncia de
dados entre os computadores.

6.4.3. Rede
32


Protocolos que controlam informaes de endereamento e roteamento, estabelecem
regras de comunicao e realizam testes de erro e pedidos de retransmisso.

NetBEUI: Protocolo de transporte. Proporciona servios de transporte de dados para
as sesses estabelecidas entre os computadores utilizando a interface NetBIOS.

IPX (Internetwork Packet Exchange): Intercmbio de pacote de interconexo de
rede. Utilizado nas redes Netware. Realiza o encaminhamento de roteamento do
pacote padro IPX/SPX.

IP (Internet Protocol): Protocolo da sute TCP/IP para encaminhamento e roteamento
do pacote. Realiza o roteamento das informaes de um computador para outro.
Roteamento a sua funo primria.

NWLINK: Implementao pela Microsoft do protocolo IPX/SPX.

DDP (Datagram Delivery Protocol): Protocolo de entrega de datagrama. No garante
a entrega dos dados. Pertence ao grupo de protocolos AppleTalk.

6.4.4. Fsica

Os protocolos da camada fsica so definidos pelo IEEE no projeto 802. O driver da placa
adaptadora de rede o responsvel por realizar o controle de acesso mdia, fornecendo acesso
de baixo nvel s placas adaptadoras de rede Para que o driver acesse a mdia fsica ou o cabo,
ser necessria a utilizao de um protocolo. Esse protocolo chamado de protocolo de acesso
mdia e responsvel por dizer, em um determinado momento, qual computador deve utilizar o
cabo. Os protocolos da camada fsica so os seguintes:
802.3 -Ethernet: o padro mais utilizado mundialmente. Transmite dados a 10Mbps
utilizando o mtodo de acesso CSMA/CD que faz com que os computadores possam transmitir
os dados apenas se o cabo estiver desocupado. Os dados so enviados a todos os computadores
e copiados por aqueles que so os donos. Os computadores ficam passivos na rede esperando os
dados chegarem.
802.4 - Token Passing: o protocolo padro para passagem de smbolo ou basto (Token
Passing) utilizado nas redes Token Ring. O token ou basto um smbolo (sinal eltrico) que
trafega pelo cabo, de mquina em mquina, verificando qual computador deseja realizar o
broadcast (difuso) dos dados. Os computadores so ativos no processo, recebendo e enviando
token atravs da mdia fsica.

6.5. Protocolos de Mercado
Com o desenvolvimento das redes LAN e WAN, e mais recentemente com o crescimento da
Internet, alguns protocolos tornaram-se mais comuns. Entre eles pode-se citar: NetBEUI,
IPX/SPX e TCP/IP
Cada um desses protocolos apresenta caractersticas prprias e que podem ser utilizados em
situaes diferentes.

6.5.1. NetBEUI (NetBIOS Extended User Interface)

o mais simples dos protocolos. auto-configurvel, no exigindo do usurio ou
administrador de rede esforo para sua implantao. NetBEUI foi introduzido pela IBM pela
primeira vez em 1985 quando ficou claro que uma LAN poderia ser segmentada em grupos de
trabalho de 20 a 200 computadores e que gateways poderiam ser usados para conectar
segmentos de LAN e ainda mainframes. O objetivo primrio da IBM na utilizao do
33

NetBEUI era conectar LANs a mainframes. Inicialmente a IBM desenvolveu a interface de
programao chamada NetBIOS (Network Basic Input/Output System) que significa sistema
bsico de entrada/sada de rede. NetBIOS uma interface de LAN da camada de sesso que
atua como uma interface de aplicativo para a rede. Ela fornece as ferramentas para que um
programa estabelea uma sesso com outro programa em computadores distintos na rede.
Mquinas clientes, servidores, repetidores, roteadores, bridges (pontes) so chamados de ns de
uma rede. Um n em uma LAN o dispositivo que conectado rede e pode se comunicar
com outros dispositivos nesta rede.
NetBIOS no um pacote de software. NetBIOS so funes. NetBIOS so APIs
(Application Program Interface) que os programadores utilizam para que os aplicativos possam
requisitar os servios de rede das camadas mais baixas, estabelecendo sesses entre os ns da
rede e permitindo a transferncia de informaes entre eles.
A funo principal de NetBIOS a de permitir que uma aplicao utilize os servios de um
protocolo de transporte.
A Interface NetBIOS responsvel por:

Estabelecer nomes lgicos na rede (nomes de mquinas)

Estabelecer conexes chamadas sesses, entre dois computadores usando os seus
nomes lgicos na rede

Transmitir dados entre computadores na rede

NetBIOS uma interface de programao. NetBEUI o protocolo. NetBEUI faz uso
de NetBIOS para realizar as tarefas relacionadas anteriormente. NetBIOS permite que as
aplicaes faam uso dos servios de um protocolo.
O NetBEUI possui diversas vantagens, entre elas:

Protocolo pequeno e rpido

No requer configurao

Utiliza uma pequena quantidade de memria

Possui performance excelente em links lentos (por exemplo, acesso remoto)

NetBEUI tem duas desvantagens:

NetBEUI no rotevel

NetBEUI tem performance pobre atravs de WANs

Diversos fornecedores de sistemas operacionais perceberam as vantagens de NetBIOS
como interface e a separaram de NetBEUI. Com isso foi possvel passar a utilizar NetBIOS
tambm com outros protocolos como o TCP/IP e o IPX/SPX. Assim sendo, uma aplicao de
rede podia falar com outra utilizando nomes amigveis em vez de endereos complexos de
rede. essa caracterstica de NetBIOS que permite que se encontre mquinas na rede pelo seu
nome. Usurios podem se conectar a drivers simplesmente fornecendo o nome na mquina e o
nome do recurso.

6.5.2. IPX/SPX e NWLink

34

O XNS (Sistema de Rede Xerox) foi desenvolvido pela Xerox para uso de suas LANs
padro Ethernet. A partir desse protocolo da Xerox, a Novell desenvolveu o protocolo IPX/SPX.
O IPX/SPX (Intercmbio de pacote de interconexo de rede/Intercmbio seqencial de
pacote) uma pilha de protocolos padro utilizada pelo sistema operacional NetWare da
Novell. A implementao da Microsoft do IPX/SPX chamada de NWLINK IPX/SPX. Se o
computador estiver com Windows e for preciso se conectar a uma rede NetWare, ser
necessrio utilizar esse protocolo.
O IPX/SPX um protocolo pequeno e rpido, diferente do NetBEUI, pois pode ser rotevel.
Um protocolo chamado de rotevel quando permite a passagem do pacote de dados entre
segmentos de redes diferentes atravs de ns ou dispositivos chamados de roteadores. A idia de
dividir uma rede e m segmentos existe com o objetivo de torn-la mais rpida e eficiente. O
protocolo IPX/SPX, sendo rotevel, pode ser utilizado em redes que esto segmentadas por
bridges (pontes) ou roteadores que sejam compatveis com IPX/SPX.
Para que os dados possam trafegar na rede preciso que sejam formatados em pequenos
pedaos chamados de pacotes ou frames. O protocolo IPX/SPX suporta mais de um tipo de
frame e para que uma mquina em um segmento de rede possa visualizar a outra preciso que
ambas estejam utilizando o mesmo tipo de frame.
Para a rede Ethernet existem trs tipos de frames suportadas pelo IPX/SPX utilizando o sistema
operacional de rede NetWare: Ethernet II, IEEE 802.2 e IEEE 802.3
Esses formatos de frame so definidos pelo IEEE e so implementados como padro no
NetWare da Novell.
Formato de frame padro Ethernet para IPX. Para configurar o IPX/SPX preciso saber
previamente qual frame est sendo utilizado na rede pelo IPX/SPX e tambm o nmero de cada
segmento de rede IPX que ser estabelecido na comunicao entre os roteadores
O IPX/SPX implementa e suporta a interface NetBIOS, permitindo a comunicao com
qualquer outra mquina ou sistema operacional que tenha uma implementao IPX/SPX com
NetBIOS. Tanto a Novell quanto a Microsoft implementam NetBIOS over IPX/SPX (NetBIOS
sobre IPX/SPX) em seus sistemas operacionais. A implementao Microsoft do protocolo
IPX/SPX recebe o nome de NWLink.

6.5.3 TCP/IP (Transmission Control Protocol / Internet Protocol)

O TCP/IP (Protocolo de Controle de Transmisso/Protocolo Internet) no apenas um
protocolo, mas uma sute ou grupo de protocolos que se tornou padro na indstria por oferecer
comunicao em ambientes heterogneos, tais como sistemas operacionais UNIX, Windows,
MAC OS, minicomputadores e at mainframes.
Hoje o TCP/IP se refere a uma sute de protocolos utilizados na Internet, a rede das redes. Este
conjunto padro de protocolos especifica como computadores se comunicam e fornece as
convenes para a conexo e rota no trfego da Internet atravs de conexes estabelecidas por
roteadores.

6.5.3.1. Benefcios na utilizao de TCP/IP

O TCP/IP sempre foi considerado um protocolo bastante pesado, exigindo muita memria e
hardware para ser utilizado. Com o desenvolvimento das interfaces grficas, com a evoluo
dos processadores e com o esforo dos desenvolvedores de sistemas operacionais em oferecer o
TCP/IP para as suas plataformas com performance igual ou s vezes superior aos outros
protocolos, o TCP/IP se tornou o protocolo indispensvel. Hoje ele tido como The Master of
the Network (O Mestre das Redes), pois a maioria das LANs exige a sua utilizao para acesso
ao mundo externo. O TCP/IP oferece alguns benefcios, dentre eles:

Padronizao: Um padro, um protocolo rotevel que o mais completo e aceito
protocolo disponvel atualmente. Todos os sistemas operacionais modernos
33

oferecem o suporte para o TCP/IP e a maioria das grandes redes se baseia em
TCP/IP para a maior parte de seu trfego.

Interconectividade: Uma tecnologia para conectar sistemas no similares. Muitos
utilitrios padres de conectividade esto disponveis para acessar e transferir
dados entre esses sistemas no similares, incluindo FTP (File Transfer Protocol) e
Telnet (Terminal Emulation Protocol).

Roteamento: Permite e habilita as tecnologias mais antigas e as novas se conectarem
Internet. Trabalha com protocolos de linha como PPP (Point to Point Protocol)
permitindo conexo remota a partir de linha discada ou dedicada. Trabalha como
os mecanismos IPCs e interfaces mais utilizados pelos sistemas operacionais,
como Windows Sockets e NetBIOS.

Protocolo robusto, escalvel, multiplataforma, com estrutura para ser utilizada em
sistemas operacionais cliente/servidor, permitindo a utilizao de aplicaes desse
porte entre dois pontos distantes.

Internet: atravs da sute de protocolos TCP/IP que obtemos acesso a Internet. As
redes locais distribuem servidores de acesso a Internet (proxy servers) e os hosts
locais se conectam a estes servidores para obter o acesso a Internet. Este acesso s
pode ser conseguido se os computadores estiverem configurados para utilizar
TCP/IP

6.5.3.2 Conceitos Necessrios

Roteador: Componente da rede que se encarrega de destinar os dados que devem ser
encaminhados a outras redes que no a que seu computador se encontra.

Host: chamado de host (em portugus significa anfitrio) qualquer cliente TCP/IP, como
computadores, roteadores, impressoras conectadas diretamente rede e assim por diante.

Default Gateway: Quando voc tenta enviar dados para outra estao da rede, o seu
computador verifica se o endereo de destino pertence rede local. Caso isso no ocorra, ele o
enviar para o endereo configurado no campo "Default Gateway" (geralmente o IP de um
roteador) que se encarregar de destinar os dados para o seu destino.

Mscara de Subrede (Subnet Mask): A mscara de subrede um mtodo para determinar
qual a parte correspondente identificao da rede e qual a parte do endereo IP que
corresponde identificao de Host. Foi criada para substituir o obsoleto conceito de classes de
IPs, que disperdiava muitos endereos de Host vlidos. Com o tempo a internet foi crescendo e
os endereos IP ficaram escassos, e mudanas foram implementadas para evitar maiores
problemas (note como a histria do TCP/IP se confunde com a histria da Internet!). Uma
mscara de subrede do tipo 255.255.255.0. Como se pode notar, o valor mximo para cada um
dos campos 255 e o mnimo 0. Uma mscara de subrede obrigatoriamente deve ter valores
mximos seguidos de valores mnimos. Assim sendo, 0.255.0.255 no uma mscara de
subrede vlida.
Antigamente, na Internet, existia o conceito de Classes de IPs para que os clientes TCP/IP
pudessem determinar qual parte do endereo correspondia identificao de rede e qual
determinava um Host. Dado um endereo IP da forma w.x.y.z, as classes eram as seguintes:
*Classe A: Reserva o primeiro nmero dos quatro (w) para endereo de redes e o resto fica
36

para endereos de Host, onde "w" pode variar de 1 a 126. Permite 126 redes e 16.777.214 hosts
por rede. Por essa definio, o endereo 110.224.16.15 da classe A. Seria o equivalente a uma
mscara de subrede 255.0.0.0.
*Classe B: Reserva os dois primeiros nmeros para endereo de rede (w.x) e os dois restantes
para endereos de Host. Neste caso, "w" pode variar de 128 a 191. Permite 16.384 redes e
65.534 hosts por rede. Exemplo de endereo classe B: 135.200.223.5. Equivalente a uma
mscara de subrede 255.255.0.0.
*Classe C: Reserva os trs primeiros endereos para identificao de rede (w.z.y) e o ltimo
para identificao de Host. Os valores de "w" variam entre 192 e 223. Nesse caso, 2.097.152
redes so possveis, com 254 hosts por rede. Exemplo: 200.248.170.1. Equivalente a uma
mscara de subrede 255.255.255.0.
*Classes D e E: Os endereos da classe D e E so reservados para usos especficos. Para os
mais familiarizados, a Classe D reservada para endereos de Multicast e a classe E e para uso
futuro.
A identificao de rede 127.0.0.0 (normalmente seria um endereo classe A) est reservada para
testes de conectividade do TCP/IP. Explicaremos isso mais adiante neste tutorial. Note que o
endereo 127.0.0.1 chamado de endereo de loopback, ou seja, ele aponta para a prpria
mquina.

6.5.3.3 Configurao

6.5.3.3.1 Como Configurar

Quando utilizamos o protocolo TCP/IP como protocolo de comunicao em uma rede de
computadores, temos alguns parmetros que devem ser configurados em todos os equipamentos
que fazem parte da rede (computadores, servidores, hubs, switchs, impressoras de rede, etc). Na
Figura a seguir temos uma viso geral de uma pequena rede baseada no protocolo TCP/IP:


No exemplo da Figura acima temos uma rede local para uma pequena empresa. Esta rede local
no est conectada a outras redes ou Internet. Neste caso cada computador da rede precisa de,
pelo menos, dois parmetros configurados:

Nmero IP
Mscara de sub-rede
O Nmero IP um nmero no seguinte formato:
x.y.z.w
37

Ou seja, so quatro nmeros separados por ponto. No podem existir duas mquinas, com o
mesmo nmero IP, dentro da mesma rede. Caso eu configure um novo equipamento com o
mesmo nmero IP de uma mquina j existente, ser gerado um conflito de Nmero IP e um dos
equipamentos, muito provavelmente o novo equipamento que est sendo configurado, no
conseguir se comunicar com a rede. O valor mximo para cada um dos nmeros (x, y, z ou w)
255.
Uma parte do Nmero IP (1, 2 ou 3 dos 4 nmeros) a identificao da rede, a outra parte a
identificao da mquina dentro da rede. O que define quantos dos quatro nmeros fazem parte
da identificao da rede e quantos fazem parte da identificao da mquina a mscara de sub-
rede (subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura
acima:

Nmero IP: 10.200.150.1
Mscara de Sub-rede: 255.255.255.0

As trs primeiras partes da mscara de sub-rede (subnet) iguais a 255 indicam que os trs
primeiros nmeros representam a identificao da rede e o ltimo nmero a identificao do
equipamento dentro da rede. Para o nosso exemplo teramos a rede: 10.200.150, ou seja, todos
os equipamentos do nosso exemplo fazem parte da rede 10.200.150 ou, em outras palavras, o
nmero IP de todos os equipamentos da rede comeam com 10.200.150.
Neste exemplo, onde estamos utilizando os trs primeiros nmeros para identificar a rede e
somente o quarto nmero para identificar o equipamento, temos um limite de 254 equipamentos
que podem ser ligados nesta rede. Observe que so 254 e no 256, pois o primeiro nmero
10.200.150.0 e o ltimo nmero 10.200.250.255 no podem ser utilizados como nmeros IP
de equipamentos de rede. O primeiro o prprio nmero da rede: 10.200.150.0 e o ltimo o
endereo de Broadcast: 10.200.150.255. Ao enviar uma mensagem para o endereo de
Broadcast, todas as mquinas da rede recebero a mensagem. Nas prximas partes deste tutorial,
alaremos um pouco mais sobre Broadcast.

Com base no exposto podemos apresentar a seguinte definio:

Para se comunicar em uma rede baseada no protocolo TCP/IP, todo equipamento deve
ter, pelo menos, um nmero IP e uma mscara de sub-rede, sendo que todos os
equipamentos da rede devem ter a mesma mscara de sub-rede.

No exemplo da figura anterior observe que o computador com o IP 10.200.150.7 est com uma
mscara de sub-rede diferente da mscara de sub-rede dos demais computadores da rede. Este
computador est com a mscara: 255.255.0.0 e os demais computadores da rede esto com a
mscara de sub-rede 255.255.255.0.
Neste caso como se o computador com o IP 10.200.150.7 pertencesse a outra rede. Na prtica
o que ir acontecer que este computador no conseguir se comunicar com os demais
computadores da rede, por ter uma mscara de sub-rede diferente dos demais. Este um dos
erros de configurao mais comuns. Se a mscara de sub-rede estiver incorreta, ou seja,
diferente da mscara dos demais computadores da rede, o computador com a mscara de sub-
rede incorreta no conseguir comunicar-se na rede.
Na Tabela a seguir temos alguns exemplos de mscaras de sub-rede e do nmero mximo de
equipamentos em cada uma das respectivas redes.

Tabela: Exemplos de mscara de sub-rede.

Mscara
255.255.255.0
255.255.0.0
Nmero de equipamentos na rede
254
65.534
38

255.0.0.0 16.777.214

Quando a rede est isolada, ou seja, no est conectada Internet ou a outras redes externas,
atravs de links de comunicao de dados, apenas o nmero IP e a mscara de sub-rede so
suficientes para que os computadores possam se comunicar e trocar informaes.
A conexo da rede local com outras redes feita atravs de links de comunicao de dados. Para
que essa comunicao seja possvel necessrio um equipamento capaz de enviar informaes
para outras redes e receber informaes destas redes. O equipamento utilizado para este fim o
Roteador. Todo pacote de informaes que deve ser enviado para outras redes deve,
obrigatoriamente, passar pelo Roteador.
Todo pacote de informao que vem de outras redes tambm deve, obrigatoriamente, passar
pelo Roteador. Como o Roteador um equipamento de rede, este tambm ter um nmero IP. O
nmero IP do roteador deve ser informado em todos os demais equipamentos que fazem parte
da rede, para que estes equipamentos possam se comunicar com os redes externas. O nmero IP
do Roteador informado no parmetro conhecido como Default Gateway. Na prtica quando
configuramos o parmetro Default Gateway, estamos informando o nmero IP do Roteador.
Quando um computador da rede tenta se comunicar com outros computadores/ servidores, o
protocolo TCP/IP faz alguns clculos utilizando o nmero IP do computador de origem, a
mscara de sub-rede e o nmero IP do computador de destino (veremos estes clculos em
detalhes nas prximas lies deste curso). Se, aps feitas as contas, for concludo que os dois
computadores fazem parte da mesma rede, os pacotes de informao so enviados para o
barramento da rede local e o computador de destino captura e processa as informaes que lhe
foram enviadas. Se, aps feitas as contas, for concludo que o computador de origem e o
computador de destino, fazem parte de redes diferentes, os pacotes de informao so enviados
para o Roteador (nmero IP configurado como Default Gateway) e o Roteador o responsvel
por achar o caminho (a rota) para a rede de destino.
Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP e
conectada a outras redes ou a Internet, devemos configurar, no mnimo, os seguintes
parmetros:

Nmero IP
Mscara de sub-rede
Default Gateway

Em redes empresarias existem outros parmetros que precisam ser configurados.
Um dos parmetros que deve ser informado o nmero IP de um ou mais servidores DNS
Domain Name System. O DNS o servio responsvel pela resoluo de nomes. Toda a
comunicao, em redes baseadas no protocolo TCP/IP feita atravs do nmero IP. Por
exemplo, quando vamos acessar um site:
http://www.google.com.br/, tem que haver uma maneira de encontrar o nmero IP do Servidor
onde fica hospedado o site. O servio que localiza o nmero IP associado a um nome
conhecido como Servidor DNS. Por isso a necessidade de informarmos o nmero IP de pelo
menos um servidor DNS, pois sem este servio de resoluo de nomes, muitos recursos da rede
estaro indisponveis, inclusive o acesso Internet.

Existem aplicativos antigos que so baseados em um outro servio de resoluo de nomes
conhecido como WINS Windows Internet Name System. O Windows NT Server 4.0 utilizava
intensamente o servio WINS para a resoluo de nomes. Com o Windows 2000 o servio
utilizado o DNS, porm podem existir aplicaes que ainda dependam do WINS. Nestes casos
voc ter que instalar e configurar um servidor WINS na sua rede e configurar o IP deste
servidor em todos os equipamentos da rede.
As configuraes do protocolo TCP/IP podem ser definidas manualmente, isto , configurando
cada um dos equipamentos necessrios com as informaes do protocolo, como por exemplo o
39

Nmero IP, Mscara de sub-rede, nmero IP do Default Gateway, nmero IP de um ou mais
servidores DNS e assim por diante. Esta uma soluo razovel para pequenas redes, porm
pode ser um problema para redes maiores, com um grande nmero de equipamentos conectados.
Para redes maiores recomendado o uso do servio DHCP Dynamic Host Configuration
Protocol. O servio DHCP pode ser instalado em um servidor com o Windows NT Server 4.0,
Windows 2000 Server, Windows Server 2003 ou Windows Longhorn Server. Uma vez
disponvel e configurado, o servio DHCP fornece, automaticamente, todos os parmetros de
configurao do protocolo TCP/IP para os equipamentos conectados rede. Os parmetros so
fornecidos quando o equipamento inicializado e podem ser renovados em perodos definidos
pelo Administrador. Com o uso do DHCP uma srie de procedimentos de configurao podem
ser automatizados, o que facilita a vida do Administrador e elimina uma srie de erros.
Dica Importante: Servios tais como um Servidor DNS e um Servidor DHCP, s podem ser
instalados em computadores com uma verso de Servidor do Windows, tais como o Windows
NT Server 4.0, Windows 2000 Server, Windows Server 2003 ou Windows Longhorn Server.
Estes servios no esto disponveis em verses Clientes do Windows, tais como o Windows
95/98/Me, Windows 2000 Professional, Windows XP Professional ou Windows Vista.

O uso do DHCP tambm muito vantajoso quando so necessrias alteraes no nmero IP dos
servidores DNS ou WINS. Vamos imaginar uma rede com 1000 computadores e que no utiliza
o DHCP, ou seja, os diversos parmetros do protocolo TCP/IP so configurados manualmente
em cada computador. Agora vamos imaginar que o nmero IP do servidor DNS foi alterado.
Neste caso o Administrador e a sua equipe tcnica tero que fazer a alterao do nmero IP do
servidor DNS em todas as estaes de trabalho da rede. Um servio e tanto. Se esta mesma rede
estiver utilizando o servio DHCP, bastar alterar o nmero do servidor DNS, nas configuraes
do servidor DHCP. O novo nmero ser fornecido para todas as estaes da rede,
automaticamente, na prxima vez que a estao for reinicializada. Muito mais simples e prtico
e, principalmente, com menor probabilidade de erros.

6.5.3.3.2 Onde configurar

A maioria das configuraes do protocolo TCP/IP feita atravs da janela Internet Protocol
(TCP/IP) Properties. Para acess-la, siga os seguintes passos: na rea de trabalho, clique com o
boto direito do mouse no cone "My Network Places" e clique em Properties. Localize o cone
da sua conexo de rede local (normalmente "Local Area Connection"), clique com o boto
direito em seu cone e clique em Properties.

40



Na janela que se abrir, navegue pela lista de protocolos como mostrado abaixo at encontrar
"Internet Protocol (TCP/IP)". Selecione-o e clique no boto Properties.



41



Normalmente, em uma estao de trabalho, a caixa de seleo "Obtain an IP Address
Automatically" estar selecionada, o que significa que o DHCP est sendo utililizado para
configurao do Host em vez de "Use the following IP adress" (que permite especificar as
configuraes do TCP/IP manualmente). Caso seu computador esteja se conectando
redenormalmente, estas configuraes NO devem ser modificadas. Se voc identificar algum
erro a configurao que, no entanto, no atrapalhe sua conexo com a rede, chame seu
administrador.
Ele ter mais condies de avaliar qual a configurao que lhe render maior performance.

6.5.3.4 Solucionar Principais Problemas

Identificando o Erro
Se voc no est conseguindo acessar a rede da maneira usual, algum componente deve estar
falhando ou alguma configurao deve ter sido trocada erroneamente. Para determinar qual o
erro, existe uma srie de passos a serem seguidos.

1. Usando o Utilitrio IPConfig
O utilitrio IPConfig muito til para determinar se as configuraes de rede atuais so
desejadas. Vrios erros podem ser detectados atravs deste utilitrio. Execute-o atravs de um
Prompt de Comando (clique em Start -> Run e digite CMD), digitando ipconfig /all e teclando
Enter.

42



Entre outros problemas que podem ser detectados atravs do IPConfig temos:
- Conflito de IP: Ocorre quando um IP manual atribudo mquina e j existe outro
computador na rede com o mesmo IP. Nesse caso, a tela do Ipconfig deve se parecer com a
seguinte:


Note que os campos IP e Mscara de Subrede esto zerados. Essa a principal caracterstica de
um conflito de IPs.
- Configurao incompleta: Certifique-se de que os campos DNS Servers e Default Gateway
no esto em branco.
- DHCP no Disponvel: Caso o computador no receba resposta de um servidor DHCP no
tempo limite, seu IP ser automaticamente reconfigurado para um do tipo 169.254.x.y (classe
B). Este IP foi reservado pela Microsoft (no existe um IP assim na internet) especialmente para
o APIPA - (Automatic Private IP Adressing - Endereamento IP Privado Automtico): O
Windows 2000 (assim como o XP) possui este mecanismo de endereamento. Caso o
computador no consiga se conectar ao servidor DHCP dentro do tempo limite e a utilizao de
IPs automticos tenha sido ativada, ser atribudo ao computador um endereo de rede do tipo
169.254.x.z, onde "x" e "z" variam de 0 254. Desse modo, o computador poder ter
conectividade bsica na rede em que se encontra.

43



Note que, como no h servidor DNS e nem Default Gateway configurados, o computador
somente poder enviar e receber dados dentro da rede local e com outros computadores com
endereamento APIPA.

2. "Pingue" o endereo de loopback (127.0.0.1)
A expresso entre aspas pode parecer um pouco estranha para a maioria dos usurios. Ela se
refere ao utilitrio do TCP/IP denominado "Ping", que tem como funo testar se um host est
ativo, enviando um pacote de dados para esse host e pedindo uma reposta caso ele esteja online
e funcionando corretamente. Ento, "pingar" o endereo de loopback simplesmente testa se sua
mquina inicializou o TCP/IP corretamente. Para fazer isso, entre em um Prompt de Comando e
digite: ping 127.0.0.1 e tecle Enter.



Voc saber que seu computador est com o TCP/IP devidamente funcionando se a resposta
obtida for parecida com a mostrada acima. Caso contrrio, veja se o TCP/IP est selecionado
nas Propriedades de sua conexo local.

44


Certifique-se que a caixa de seleo mostrada acima est selecionada.

3. Pingue o endereo IP do Computador Local
Pingue o endereo IP local para determinar se a placa de rede est funcionando corretamente.



Caso este procedimento no esteja funcionando, provvel que o driver da placa de rede ou ela
mesmo estejam com problemas. Tente reinciar a mquina.
Um driver uma interface entre o hardware e o sistema operacional. ele que permite a
comunicao entre o sistema operacional e, por sua vez, o usurio e os componentes de seu
computador.

4. Pingue o endereo IP do Default Gateway
Este procedimento testa se seu computador consegue se conectar uma estao localizada na
rede local e, j que o default gateway (normalmente um roteador) geralmente um componente
que roda 24 horas por dia, dificilmente ele estar offline. Voc pode encontrar o endereo do
gateway atravs do IPConfig (reveja a primeira imagem desta pgina).
43




Note os valores, em milissegundos, do tempo de ida e volta do pacote. Valores altos e pacotes
perdidos podem indicar gargalos na rede.

5. Pingue um computador de outra rede
O objetivo desta vez obvio: saber se seu computador pode se conectar a um host remoto
atravs de um roteador. Caso este passo tenha sido bem sucedido, no h necessidade de tentar
os outros.
Solucione os Principais Problemas de Conexo TCP/IP

6.1. Pingue o nome de domnio DNS
Se todos os passos anteriores foram bem-sucedidos mas ainda assim voc est tendo problemas
para se conectar rede, pingue um nome de domnio para ter certeza de que o servidor DNS
est funcionando corretamente.



Perceba que o computador automaticamente resolve o endereo
p3SERVER3.INTERNO.LOCAL para o IP 10.0.0.3.

6.2. Teste o DNS atravs do utilitrio Nslookup
O utilitrio nslookup melhor para determinar qual o problema no caso do ping acima ter
falhado. Acesse-o atravs de um Prompt de Comando digitando simplesmente "nslookup". No
prompt que aparecer, digite o nome de um computador para o qual voc quer que o DNS
resolva o IP.

46



Caso este utilitrio lhe mostre uma mensagem de erro, verifique o servidor DNS.

Nada disto resolveu?
Agora voc tem certeza que o problema no dos mais fceis de resolver. Verifique se os cabos
esto devidamente conectados atrs do gabinete (especialmente os azuis). Considere a
possibilidade do computador que voc est tentando acessar estar desligado ou fora da rede.



7 - Que software utilizar ?

Comparao entre diversos softwares de rede

Windows 9x /XP
Fcil instalao
Valor software baixo
Nvel baixo de segurana
At 10 terminais
Servidor internet fraco
Windows 2003
Instalao mais complicada
Valor alto software
Nvel alto segurena
Varios terminais + depende
de licena
Bom servidor de internet
Linux
Exige qualificao tcnica
Valor baixssimo software
Nvel alto de segurana
Numero ilimitado
Muito bom serv. Internert

Estes so os softwares para redes existentes hoje no mercado, cada um tem a suas vantagens e
desvantagens, mas quem deve optar pelo tipo de rede a ser utilizada no seu ambiente a pessoa
que vai adquirir o produto, no o tcnico que ir executar a instalao, o tcnico deve mostrar ao
cliente custo beneficio de cada software.
Nesta apostila iremos explicar e exemplificar cada um destes aplicativos. Mas antes temos que
conhecer alguns itens importantes para instalao de qualquer tipo de rede.












47

II - Reviso Prtica do Curso de Redes (Workstation ou Redes
ponto-a-ponto)
1 Conceito
Em uma rede ponto-a-ponto, no existem servidores dedicados ou hierrquicos entre os
computadores. Todos os computadores so iguais. Normalmente cada computador funciona
tanto como clientes como servidor, e nenhum deles designado para ser o um administrador
responsvel por toda a rede. O usurio do seu computador determina quais dados ou perifricos
sero compartilhados na rede.

2 - 1utor|a| de como conf|gurar uma rede domst|ca no W|ndows k

LsLe LuLorlal e um passo-a-passo para voc monLar uma rede de dols compuLadores, da lnsLalao da
placa de rede as conflguraes do Wlndows x. voc preclsar de duas placas de rede, um cabo de
llgao dlreLa, e os drlvers de sua placa (que podero vlr em um dlsqueLe, Cu-8CM ou balxados pela
lnLerneL).

Se voc [ possulr uma placa de rede lnsLalada e conflgurada correLamenLe, comece do lLem 02.

01. Insta|ando uma |aca de kede

uma placa de rede e uma placa que comunlca dols ou mals compuLadores: voc pode comprar uma em
qualquer lo[a de lnformLlca por um preo relaLlvamenLe balxo (placas de rede bsclas cusLam cerca de
8$ 30) sendo que e necessrlo uma placa para cada compuLador.

Cs requlslLos so a prprla placa (de 10 ou 10/100 Mbps) e o dlsco do drlver que a acompanha. A
lnsLalao e slmples: desparafuse a Lampa do gablneLe de seu compuLador e locallze na placa-me um
sloL Cl llvre. Lncalxe a placa e a prenda com um parafuso.

48

Ao llgar a mqulna, o slsLema deLecLar o novo hardware e poder pedlr o dlsco com o drlver da placa
(caso o Wlnx no Lenha um drlver naLlvo para ela). Caso nenhum Cu de lnsLalao acompanhou sua
placa, voc poder balxar drlvers na lnLerneL no slLe do fabrlcanLe.

02. Montando um Cabo de kede

C cabo de rede e o que llga as placas de rede de compuLadores dlferenLes e voc Lambem acha-o em
lo[as de lnformLlca. voc deve presLar aLeno: h dols Llpos de cabo: o cabo para llgar em Pu8s
(aparelho usado quando voc preclsa llgar mals de dols compuLadores) e o cabo de llgao dlreLa.
usaremos esLe segundo pols s llgaremos dols compuLadores.

voc pode monLar o cabo ou compr-lo pronLo. ara monLar o seu prprlo, voc preclsar comprar um
cabo de rede, dols plugs 8!-43 (lmagem abalxo) e preclsar de um allcaLe para crlmpar os conecLores
(prend-los correLamenLe no cabo). ara lsso voc dever desflar o cabo nas ponLas e organlzar os flos
de acordo com a ordem. LsLe cabo conforme [ vlsLo noe formado por 8 flos marcados por cores e a
ordem correLa e a segulnLe:

onta 01: (8ranco/verde) (verde) (8ranco/Laran[a) (Azul) (8ranco/Azul) (Laran[a) (8ranco/Marrom)
(Marrom)

onta 02: (8ranco/Laran[a) (Laran[a) (8ranco/verde) (Azul) (8ranco/Azul) (verde) (8ranco/Marrom)
(Marrom)




Aps fazer lsLo, encalxe os flos nos plugs e, uLlllzando o allcaLe, crlmpe as ponLas e seu cabo [ esL
monLado e pronLo para llgar os compuLadores.

03. Conflgurando o Lndereo l

Agora que os dols compuLadores [ esLo flslcamenLe llgados, voc preclsa conflgur-los para que um
reconhea o ouLro, alem de aLlvar o comparLllhamenLo para que eles possam Lrocar arqulvos e
lnformaes. vamos dlvldlr esLa eLapa em passos, que devero ser felLos nos dols compuLadores:

1. Cllque no menu lnlclar e cllque com o boLo dlrelLo do mouse sobre 'Meus Locals de 8ede',
49

escolhendo a opo 'roprledades'. A [anela 'Conexes de 8ede' abrlr com suas conexes ulal-up e
uma denomlnada 'Conexo Local'. Cllque sobre ela com o boLo dlrelLo do mouse e escolha
roprledades:


Fig. 02

2. Ao abrlr esLa [anela, cllque sobre 'roLocolo 1C/l' e escolha roprledades: e aqul que lr especlflcar
o endereo dos seus compuLadores (o endereo l). C endereo dos dols compuLadores preclsa Ler um
radlcal comum (Mscara de sub-rede) e um endereo l dlferenLe: usaremos o radlcal 100.100.100.x,
onde x e o numero do compuLador. no prlmelro compuLador o LnuL8LC l ser 100.100.100.1 e no
2 ser 100.100.100.2.

voc deve cllcar a opo 'usar o segulnLe endereo l' e dlglLar os dados correLamenLe. Coloque na
mscara de sub-rede o numero 233.0.0.0:

30


llg. 03

Aps esLe processo relnlcle o compuLador para que as alLeraes faam efelLo.

04. Conf|gurando o Compart||hamento

ronLo ! Agora seus compuLadores [ esLo llgados e se reconhecendo. Conflra na llg. 02 se Lodass as
quaLro calxas esLo marcadas nas proprledades da conexo. Agora slga os passos abalxo nos dols
compuLadores:

1. Lscolha os drlves, as pasLas e/ou as lmpressoras que voc dese[a que o ouLro compuLador Lenha
acesso.

2. Lm 'Meu CompuLador', cllque com o boLo dlrelLo do mouse sobre os drlvers que voc dese[a
comparLllhar e escolha o menu 'ComparLllhamenLo e segurana':

31


llg. 04

3. Lscolha a opo 'ComparLllhar esLa pasLa na rede' e 'ermlLlr que usurlos da rede alLerem meus
arqulvos'. laa lsso com Lodos os drlves, pasLas e lmpressoras que devero ser comparLllhados.

ronto! Seus compuLadores [ esLo llgados e Lrocando arqulvos na rede! ara conflrmar, abra o 'Meus
Locals de 8ede' no Menu lnlclar :) ...

















32

III SEGURANA DE REDES






O sistema informtico mais seguro no utilizvel
O sistema informtico mais utilizvel inseguro
S existe um computador 100% seguro, o desligado.


1 Introduo

A Segurana da Informao pode ser definida como a proteo de dados contra a
revelao acidental ou intencional a pessoas no autorizadas, e contra alteraes no
permitidas.
A segurana no universo computacional divide-se em:
Segurana Fsica
Segurana Lgica

O que voc est tentando proteger?
Seus dados
Integridade
Privacidade
Disponibilidade
Seus recursos
Sua reputao

Contra o que voc est tentando se proteger?
Roubo de senhas
Engenharia Social
BUG & Backdoors
Falha de autenticao
33

Falha de protocolo
Obtendo Informaes
Negando servios (DoS)

Devemos cuidar de nossa identidade digital!




2 Tipos de Segurana

2.1 Segurana Fsica

2.1.1 - Introduo
Deve-se ter em ateno que as ameaas esto sempre presentes, mas nem sempre lembradas,
como por exemplo:
Incndios
Desabamentos
Alagamentos
Relmpagos
Problemas na rede eltrica,
Acesso indevido de pessoas ao Centro de Informtica
Formao inadequado de funcionrios
etc.
O ponto-chave que as tcnicas de proteo de dados por mais sofisticadas que sejam, no
servem se a segurana fsica no for garantida.
Consiste ento no desenvolvimento de medidas de segurana dos equipamentos, visando
garantir a integridade fsica e a prontido dos mesmos.

Medidas de Proteo Fsica

Servios de guarda, alarmes, fechaduras, circuito interno de televiso e sistemas de escuta so
realmente uma parte da segurana de dados.

34


Salas-cofre
No-breaks
Reservas (Backups)
CPD/Data Center reserva
Cpias em fita, etc
Sistema redundantes


2.2 Segurana Lgica

Ento esta consiste no desenvolvimento de medidas de segurana que permitam garantir a
confidencialidade e a integridade da informao (dados).
Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet, a utilizao de um
programa de criptografia que embaralha o contedo da mensagem, de modo que ela se torna
incompreensvel para aqueles que no sejam nem o receptor ou dono da mesma.

Ex: Criptografia o processo de transformao de conjuntos de dados legveis para
uma forma ilegvel (cifra) com a finalidade destes poderem circular em canais inseguros.
A criptografia no s fornece proteo contra tentativas de acesso no autorizado
como assegura a deteco de tentativas de modificao da informao.


3 Objetivos

A segurana de dados tem por objetivo restringir o uso de informaes (softwares e dados
armazenados) no computador e dispositivos de armazenamento associados a indivduos
selecionados.
O objetivo da segurana da informao abrange desde uma fechadura na porta da sala de
computadores at o uso de tcnicas criptogrficas sofisticadas e cdigos de autorizao.
O estudo no abrange somente o crime computacional (hackers), envolve qualquer tipo de
violao da segurana, como erros em processamento ou cdigos de programao

Quem?
O que?
Quando?
Como?
Onde?
Porque?



Preservao do patrimnio da empresa (os dados e as informaes fazem parte do patrimnio).
Deve-se preserv-lo protegendo-o contra revelaes acidentais, erros operacionais e contra as
infiltraes que podem ser de dois tipos:
Ataques passivos (interceptao)
Ataques ativos (interrupo, modificao e Fabricao)

4 Introduo a ataques

4.1 - O que ataque?
Ataque toda ao realizada com intuito ou no de causar danos

33



Os velhos e os novos meios de cometer crimes!

4.2 - Vulnerabilidades
Todo computador vulnervel a ataques. (Possui informao)
Tipos de Vulnerabilidades
Vulnerabilidades Fsicas (Meio, Construo)
Vulnerabilidades Naturais (Desastres Naturais)
Vulnerabilidades de Hardware e Software(Falhas)
Vulnerabilidades de Media (Roubos de Media)
Vulnerabilidades de Comunicao (Hacker)
Vulnerabilidades de Humanos (Usurios)
Vulnerabilidades sobre Exploit (Brechas, Copias)

4.3 - Um ataque tpico
36


4.4 O que um hacker ataca ?



4.5 - Fonte de Problemas ou Ataques

Estudante Alterar ou enviar e-mail em nome de outros
Hacker - Examinar a segurana do Sistema; Roubar informao
Empresrio - Descobrir o plano de marketing estratgico do competidor
Ex-empregado - Vingar-se por ter sido despedido
Contador - Desviar dinheiro de uma empresa
Corretor - Negar uma solicitao feita a um cliente por e-mail
Terrorista - Roubar segredos de guerra
Outros

Ex: Oliberal 10/02/08
37



4.6 - Tipos de ataques conhecidos

Negao de servios
Syn Flood inundar a fila de SYN para negar novas conexes
Buffer overflow colocar mais informaes do que cabe no buffer
Distributed DoS (DDoS) ataque em massa de negao de servios
Ping of Death envio de pacote com mais de 65507 bytes
Smurf envio de pacote ICMP em broadcast a partir de uma mquina, sendo
inundada com as respostas recebidas
CGI exploit
Land, syn flooding, ...
Simulao
IP Spoofing uso do IP de uma mquina para acessar outra
DNS Spoofing assumir o DNS de outro sistema
Investigao
Port scanning varredura de portas para tentar se conectar e invadir
Spam
Acesso a um grande nmero de pessoas, via email, com link para sites clonados
que pedem informaes pessoais
Escutas
Packet Sniffing escuta e inspeciona cada pacote da rede
IP/Session Hijacking interceptao da seo pelo invasor
Senha
Uso de dicionrio de senhas
Fora bruta tentativa e erro
Outros ataques
Alterao de site (web defacement)
Engenharia social
Ataque fsico s instalaes da empresa
Uso de cavalos de tria e cdigos maliciosos
38

Trashing revirar lixo em busca de informaes
War dialing liga para vrios nmeros de telefone para identificar os que tem
modem instalado
Penetrao de sistemas
Falsificao de endereo (spoffing)
Ataque dissimulado
Penetrao do controle de segurana do sistema
Escoamento
Comprometimento de recursos
Uso malicioso

4.7 - Como Evitar

Muitos meios e ferramentas
Diminuirmos a vulnerabilidades.
Firewalls (fornecem limites fisicos)
DMZ
Conjuntos, de medidas que envolvem aspectos de negcios, humanos, tecnolgicos,
processuais e jurdicos.
Polticas de segurana de usurios.
Separao entre rede publica e privada.
Sistemas de deteco de intruso.
Implementao de Criptografia.
Autenticao.
Controles de acesso
Conhecer seus possveis inimigos
Poltica de senhas
Poltica de acesso remoto
Poltica de segurana (em ambientes cooperativos)
Treinamento
Conscientizao
Sistema de Deteco de intruso IDS


4.8 - Como prevenir e evitar Ameaas Internas?

Restringir ao mximo o acesso dos usurios s informaes vitais da organizao;
Restringir o acesso fsico s reas crticas;
Definir e divulgar normas e polticas de acesso fsico e lgico;
Implementar solues de criptografia para informaes crticas;
Implementar solues de auditoria para informaes crticas;
Controlar o acesso de prestadores de servios as reas crticas e as informaes.
Nunca d sua senha ou informaes pessoais a estranhos na Internet
Nunca clique em links desconhecidos
Nunca d download e execute arquivos desconhecidos
Fique alerta sobre qualquer empresa que no divulgar seu nome, endereo web ou
nmero telefnico de forma clara


4.9 - Exemplos de cases:

Email para roubo de informaes:
39

60





61

62



Clonagem de carto de banco

63





8ocal reparado
lmpercepLlvel
para o cllenLe

64





Mlcro cmera
dlsfarada de
porLa panfleLo

vlso
compleLa da
Lela e Leclas
dlglLadas

63




Email de Promoo (roubo de informao)



Antivrus Grtis:

AnLena
Lransmls-
sora
Mlcro
cmera
8aLerla
66



Engenharia Social

Ao atender um telefonema, o interlocutor se identifica como vice-diretor da empresa.
Voc j o viu pelos corredores, mas nunca falou com ele por telefone. Ele informa que
se encontra na filial da empresa, em reunio, e est com problemas para acessar o
sistema. Assim sendo, solicita a senha para que possa ter acesso. Informa, ainda, que
est acompanhado de 10 pessoas que possuem outros compromissos e que no podem
esperar por muito tempo.

Email Receita Federal

67





Email correios
68



Email Polcia civil



69






70




5 - Anlise de Segurana

- Origem de ataques informticos:
85% so originados na rede interna de uma organizao
15% so originados em plataformas externas
- Mtodo de levantamento remoto de recursos
Recolher o mximo de informao para caracterizar o sistema alvo
Analisar a informao que o sistema disponibiliza atravs das mensagens
de servios instalados
Utilizar aplicaes especializadas e desenvolvidas para esse fim, com
base nas idiossincrasias da pilha IP do sistema a analisar
- So falhas em servios, aplicativos e sistemas operacionais que pode acarretar acesso ao
sistemas parcial ou total em nvel de administrao.
- Hoje temos ferramentas de escaneamento de vulnerabilidades que detecta falhas de sistemas,
mais tambm so utilizadas para invaso.
- Segundo o site sectools.org temos as 10 principais ferramentas de escaneamento de
vulnerabilidades de sistemas.
Nessus, GFI LANguard, Retina, Core Impact, ISS Internet Scanner, X-scan,
Sara, QualysGuard, SAINT, MBSA

6 - Custo de Segurana:
71



7 - Custo Visveis x Invisveis:



8 - Erros mais comuns

Reaproveitamento de polticas
Reaproveitar polticas sem levar em conta aspectos culturais e legais da regio
72

Compromisso da alta direo
Falta de envolvimento da alta direo
Falta de uniformidade de pensamento na alta direo
Participao
Falta de envolvimento dos principais setores da empresa na elaborao da
poltica
Divulgao
Falta de divulgao e treinamento
Atualizao
Falta de atualizao ou atualizao parcial







Falar em um chat que alguem cometeu algum
crime (ex. ele um ladro...)
Calnia Art.138 do C.P.
Dar forward para vrias pessoas de um boato
eletrnico
Difamao Art.139 do C.P.
Enviar um email para a Pessoa dizendo sobre
caracteristicas dela (gorda, feia, vaca,...)
Injria Art.140 do C.P.
Enviar um email dizendo que vai pegar a
pessoa
Ameaa Art.147 do C.P.
Enviar um email para terceiros com Divulgao de Art.153 do C.P.
73

informao considerada confidencial segredo
Enviar um virus que destrua equipamento ou
conteudos
Dano Art.163 do C.P.
Copiar um conteudo e no mencionar a fonte,
baixar MP3
Violao ao
direito autoral
Art.184 do C.P.
Criar uma Comunidade Online que fale sobre
pessoas e religies
Escrnio por
motivo de
religio
Art.208 do C.P.
Acessar sites pornogrficos Favorecimento
da prostituio
Art.228 do C.P.
Criar uma Comunidade para ensinar como
fazer um gato
Apologia de
crime ou
criminoso
Art.287 do C.P.
Enviar email com remetente falso (caso
comum de spam)
Falsa
identidade
Art.307 do C.P.
Fazer cadastro com nome falso em uma loja
virtual
Insero de
dados falsos
em sistema
Art.313-A do
C.P.
Entrar na rede da empresa ou de concorrente
e mudar informaes (mesmo que com uso de
um software)
Adulterar
dados em
sistema de
informaes
Art.313-B do
C.P.
Se voc recebeu um spam e resolve devolver
com um vrus, ou com mais spam
Exerccio
arbitrrio das
prprias
razes
Art.345 do C.P.
Participar do Cassino Online Jogo de azar Art.50 da L.C.P.
Falar em um Chat que algum isso ou aquilo
por sua cor
Preconceito ou
Discriminao
Raa-Cor-
Etnia
Art.20 da Lei
7.716/89
Ver ou enviar fotos de crianas nuas online
(cuidado com as fotos de seus filhos)
Pedofilia Art.247 da Lei
8.069/90
Usar logomarca de empresa em um link na
pagina da internet, em uma comunidade, em
um material, sem autorizao do titular, no
todo ou em parte.
Crime contra
a propriedade
industrial
Art.195 da Lei
9.279/96
Emprega meio fraudulento, para desviar,
clientela de outrem, exemplo, uso da marca do
concorrente como palavra-chave ou link
patrocinado em buscador
Crime de
Concorrncia
Desleal
Art.195 da Lei
9.279/96
Usar copia de software sem ter a licena para
tanto
Crimes Contra
Software
Art.12 da Lei
9.609/98
74

Pirataria


9 - Manual do motorista Virtual



10 - Jogos dos erros:
73



































76

IV - Sistemas Operacionais de Redes

1 Windows 2003

1.Instalao
Um computador com os seguintes requisitos mnimos: Processador Pentium II, 256 MB de
RAM ( possvel instalar com apenas 128MB, mas eu no recomendo), e uma partio com no
mnimo 2 GB (Na verdade, no preciso ter a partio j criada, pois ela poder ser criada no
incio da instalao, mas preciso ter no mnimo 2GB de espao livre em disco).
. O CD do Windows 2003, Enterprise Edition.
Para comearmos, vamos colocar o CD do Windows no CD-ROM, e reiniciar o computador.
Ele j deve estar configurado ( no Setup da mquina) para inicializar pelo CD.
Feito isso, quando comear a inicializao da mquina, solicitado que pressionemos alguma
tecla para inicializar pelo CD. Prestem ateno nesse detalhe, pois se no pressionarmos, no
poderemos comear a instalar o Windows.
Depois disso, o Setup do windows comea a reconhecer o hardware e se preparar para as
configuraes necessrias.

Quando esse procedimento finalizado, ele nos solicita pressionar a tecla ENTER para
comearmos a instalao.
77


E pressionem ENTER novamente:

Agora, vocs devem ler e concordar com o EULA, pressionando a tecla F8.

78

Chegou a hora de configurarmos a parito na qual iremos instalar o Windows:

No meu caso, eu tenho um disco de 4GB. Vou deix-lo selecionado e pressionar a tecla C
para criar uma partio no meu disco.

Vou determinar que a minha partio ter 3GB colocando 3000 como tamanho da partio e
pressionar ENTER

79

Se desejarmos instalar o Windows na partio recm criada, s apertar a tecla ENTER. Se
vocs quiserem criar outras parties nesse momento, s realizar os ltimos procedimentos
novamente. No meu caso, vou instalar na partio que acabei de criar:

Vou formatar a partio com NTFS, ento s pressionar a tecla ENTER novamente:

O Setup do Windows formata a partio, copia os arquivos necessrios e reinicia o cmputador.
80



Nesse momento, comea a parte grfica da instalao. Se vocs repararem, ela melhorou
bastante comparando com a instalao do 2000, e agora tambm temos um indicador de tempo
para finalizar a instalao.
81


O Setup comea a instalar os Drivers:

Em seguida, podemos configurar as opes regionais, como por exemplo o idioma que iremos
utilizar... No nosso caso, vamos deixar as configuraes padro e clicar em NEXT.
82


Agora vocs devem colocar o seu nome e o nome de sua empresa e clicar em NEXT.

O Serial Key (Geralmente ele vem em uma etiqueta amarela na caixa em que o CD veio.) :
83


Em seguida, o Setup nos pergunta como ser o licenciamento do nosso servidor. Temos 2
opes, licenciamento Per Server ( essa opo determina quantas conexes simultneas o
nosso servidor poder ter ) ou licenciamento Per User (No h limite mximo para as
conexes ao servidor, pois cada cliente ter sua licena). Eu vou escolher a primeira opo e
configurar com 5 conexes simultneas.

Agora a hora de configurar o nome de nosso servidor (fiquem vontade para escolher) e a
senha da conta de Administrador (lembrem-se que altamente recomendado usar senhas
complexas no 2003).
84


E configuramos a data e o horrio de nosso servidor:

Feito isso, a instalao continua:
83


E para finalizarmos, vamos configurar as opes de rede. No meu caso, vou deixar como
configuraes tpicas ( Typical Settings) e clicar em Next:

A instalaio continua mais uma vez:
86


E por ltimo, o Setup nos pergunta se desejamos ingressar o nosso servidor em um
WORKGROUP ou em um DOMNIO. No meu caso vou deixa-lo no Workgroup, pois mais
tarde, poderei ingress-lo em qualquer domnio minha escolha.

llnallzada essa ulLlma conflgurao, a lnsLalao conLlnua sem nos requlslLar qualquer ouLra
lnformao, e quando flnallzada, relnlcla auLomaLlcamenLe o nosso servldor.
2. Conceitos Fundamentais
Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000 e
2003, at porque so peas fundamentais para a construo de ambientes baseados neste
sistema operacional. Vamos conhecer agora dois destes conceitos: Domnio e Servio de
Diretrio.

87

2.1. Domnio
Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) j sabemos que no
existe um banco de dados central com as informaes de todos os usurios da rede. Por esse
motivo neste tipo de arquitetura no existe um nico computador responsvel por administrar
os recursos da rede e efetuar a autenticao de usurios. Cada computador gerencia seus
prprios recursos e utentica seus usurios localmente.
J em uma rede cliente/servidor uma lista de informaes relacionadas com os usurios (os
nomes, senhas e outras informaes a respeito de pessoas autorizadas a utilizar o
sistema) mantida de forma centralizada.
A Microsoft adota uma terminologia prpria para referenciar-se a redes apartir do
Windows 2000 baseadas nestas duas arquiteturas: grupos de trabalho e domnios.
2.1.1. Grupos de Trabalho Windows 2000
Um grupo de trabalho (ou workgroup) um agrupamento lgico de computadores em rede
que compartilham recursos, como arquivos e impressoras, sem existir um servidor
dedicado, responsvel pelo gerenciamento e funcionamento da rede. Cada computador
Windows 2000 Server
1

ou Professional participantes de um grupo de trabalho mantm um banco de dados de
segurana local, o qual contm uma lista de contas de usurios e informaes de segurana
de recurso para aquele computador.
Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de
segurana local, a administrao de contas de usurios e recursos descentralizada. Um
usurio precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer
mudana na contado usurio (como a troca de senha, por exemplo) precisa ser
executada em cada um dos computadores do grupo de trabalho que ele utilizar.
Os grupos de trabalho baseados em Windows 2000 tm as seguintes vantagens:
No requer um computador rodando Windows 2000 Server para manter as informaes de
segurana centralmente.
simples para planejar e implementar; ele no requer o extensivo planejamento e
administrao que um domnio exige.
conveniente para um limitado nmero de computadores localizados proximamente,
portanto um grupo de trabalho torna-se impraticvel em ambiente com mais de 10 computadores.
apropriado para um pequeno grupo de usurios com boa desenvoltura tcnica para
dispensar o trabalho de um administrador para a rede.


1
Lm um grupo de Lrabalho, um compuLador execuLando Wlndows 2000 ou 2003 Server e chamado de
stooJ-olooe Server.
88







Wlndows 2000
rofesslonal

8u de
segurana

local
Wlndows
2000
Server



Wlndows 2000
rofesslonal



8u de
segurana
local
Grupo de 1raba|ho
W|ndows 2000

8u de
segurana local




Wlndows 2000
Server


Figura 1 Grupo de trabalho Windows 2000
2.1.2. Domnios Windows 2000
Um domnio Windows 2000 um agrupamento lgico de computadores em rede que
compartilham um banco de dados de segurana centralizado, responsvel dentre outras coisas
por armazenar as informaes dos usurios da rede e informaes de segurana para o
domnio. Este banco de dados conhecido como diretrio e parte do Active Directory, que
o servio de diretrio do Windows 2000.
Em um domnio, o diretrio reside em computadores configurados como controladores de
domnio
2
(domains controllers). Um controlador de domnio (domain controller) um
servidor que gerencia todas as informaes de segurana relacionadas a usurios, interao
entre domnios e administrao centralizada.

89

8epllcao

ConLrolador
de
uomlnlo


Serv|os
do Act|ve
D|rectory
ConLrolador de
uomlnlo






CompuLador
CllenLe
Dom|n|o
W|ndows
2000 ou
2003



CompuLador
CllenLe




Figura 2 Domnio Windows 2000
Um domnio no refere-se a uma nica localizao ou a um tipo especfico de configurao
de rede. Os computadores em um domnio podem estar fisicamente prximos em uma pequena
rede local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se
sobre vrios tipos de conexes (WAN). Os domnios Windows 2000 provm as seguintes
vantagens:


2 No Windows NT, controladores de domnio eram configurados como controladores de
reserva (Backup Domain Controller, BDC) ou como controladores primrios (Primary Domain
Controller, PDC). No Windows 2000, existe apenas um tipo de controlador de domnio e todos
os controladores so pares, ou seja, exercem esta funo de forma igualitria.
90


r Prov administrao centralizada porque todas as informaes de usurios esto
armazenadas centralmente.
Prov um processo nico de logon para usurio obterem acesso aos recursos da rede,
como arquivos, impressoras ou aplicaes para as quais ele tenha permisso. Um usurio
pode autenticar-se em um computador (controlador de domnio) e acessar recursos em
qualquer outro computador do domnio, desde que tenha as permisses apropriadas para tal.
Prov escalabilidade para atender desde pequenas redes locais at redes de extenso
mundial.
2.2. Servio de Diretrio
Uma definio sobre diretrios que remonta aos primrdios dos PCs de que so uma
estrutura organizacional (geralmente hierrquica) para armazenamento de informaes.

Figura 3 Estrutura de diretrios em uma partio de disco rgido
Um conceito mais abrangente sobre diretrios define que um banco de dados hierrquico de
informaes de recursos e servios. Estes recursos e servios so organizados sob a forma de
objetos com propriedades e valores. Os diretrios sempre foram usados para
organizar as informaes a fim de facilitar sua localizao quando necessrio. No
universo das redes esta finalidade tambm a principal.
Monitorar tudo em uma rede uma tarefa demorada. Mesmo em redes pequenas, os
usurios tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de
rede. Sem algum tipo de diretrio de rede, impossvel gerenciar redes grandes e mdias e os
usurios freqentemente tero dificuldades em localizar recursos na rede.
Vamos tentar imaginar a dificuldade de administrao que existiria em uma rede sem servio
de diretrio em uma empresa mdia que utilize recursos como: um gerenciador de correio
eletrnico, uma aplicao cliente/servidor que acesse um gerenciador de banco de dados,
um servidor proxy com autenticao para acesso Internet. Um usurio deveria possuir uma
conta para cada um destes recursos alm da prpria conta para acesso rede.
A admisso ou demisso de um funcionrio exigiria do administrador da rede a repetio da
ao de incluso ou excluso de usurio em cada uma das aplicaes alm do prprio
sistema operacional de rede. A simples alterao de senha de um usurio geraria um trabalho
significativo.
Em uma rede com um servio de diretrio cada conta de usurio seria criada uma nica vez.
91

Os dados de cada usurio ficariam armazenados em um banco dados do servio de diretrio e
seriam utilizados pelo gerenciador de correio eletrnico, pelo gerenciador de banco de dados,
pelo servidor proxy, etc. O usurio seria autenticado pelo sistema operacional da rede uma
nica vez e seria identificado automaticamente por todas estas aplicaes.
3. Active Directory
Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o servio de
diretrio da Microsoft. Na verdade, o AD oriundo de um acrscimo de uma srie de
melhorias e modificaes no servio de diretrio j existente no Windows NT 4.0 (NT
Directory Service, NTDS).
O conceito de domnio, por exemplo, j existia no Windows NT. Mas os domnios do Windows
NT trabalhavam melhor em ambientes de tamanho pequeno e mdio. Os
administradores de ambientes grandes eram forados a particionar sua rede em mltiplos
domnios interconectados atravs de um recurso chamado relao de confiana. O Active
Directory continuar a fazer o trabalho dos domnios do Windows NT, porm de uma maneira
muito mais eficiente.
Os servios do Active Diretory provm um ponto nico para gerenciamento da rede,
permitindo aos administradores adicionar, remover e realocar usurios e recursos facilmente.
O AD a parte mais importante do Windows 2000 e, infelizmente, tambm a mais complexa.
Uma de suas complexidades sua alta difuso, j que virtualmente qualquer recurso
importante do Windows 2000 requer o AD.
3.1. Caractersticas do Active Directory
Os servios do AD organizam recursos hierarquicamente em domnios. Como j visto
anteriormente, um domnio um agrupamento lgico de servidores e outros recursos da rede
sob um nome de domnio simples. O domnio a unidade bsica de replicao e segurana
em uma rede Windows 2000.
Cada domnio inclui um ou mais controladores de domnio. Um controlador de domnio um
computador com Windows 2000 Server que armazena uma rplica completa do diretrio do
domnio. Para simplificar a administrao, todos os controladores de domnio no AD so
pares, ento possvel efetuar mudanas em qualquer controlador de domnio e as
atualizaes sero replicadas para todos os outros controladores no domnio.

3.1.1. Escalabilidade
No AD, o diretrio armazena informaes utilizando parties, as quais so divises lgicas
que organizam o diretrio em sees e permitem armazenar um grande nmero de objetos.
Portanto, o diretrio pode expandir-se para acompanhar o crescimento de uma organizao,
possibilitando a existncia desde de uma instalao pequena com pouco mais de uma centena
de objetos a grandes instalaes com milhes de objetos.

92

3.1.2. Suporte a Padres Abertos
Os servios do AD integram o conceito Internet de espao de nomes com os servios de
diretrio do Windows NT. Esta integrao permite unificar e gerenciar os mltiplos espaos de
nome que existem hoje em ambientes heterogneos de software e hardware de redes
corporativas. O AD usa Domain Name System (DNS) para seu sistema de nomes e pode
trocar informaes com qualquer aplicao ou diretrio que usa Lightweight Directory Access
Protocol (LDAP). Os servios do AD tambm compartilham informaes com outros servios
de diretrio que suportam LDAP verses 2 e 3, como o Novell Directory Services (NDS).
3.1.3. DNS
Em funo do AD usar DNS como sua forma de denominao de domnios e localizao de
servios, os nomes de domnio do Windows 2000 so tambm nomes DNS. Windows 2000
Server utiliza DNS dinmico, o qual habilita computadores clientes com associao
de endereos dinamicamente registrados no servidor DNS e com atualizao da tabela tambm
de forma dinmica.
O DNS dinmico pode eliminar a necessidade de outros servios de nome Internet, como o
Windows Internet Naming Service (WINS).
3.2. Estrutura do Active Directory
O Active Directory prov um mtodo para planejamento de uma estrutura de diretrio que
atenda s necessidades das empresas. Portanto, preciso examinar a estrutura de negcios e
de operao da organizao antes de instalar os servios do AD. O Active Directory separa a
rede em duas estruturas: lgica e fsica.
3.2.1. Estrutura Lgica
Nos servios do AD voc organiza recursos em uma estrutura lgica. O agrupamento lgico
de recursos possibilita localizar um recurso pelo seu nome ao invs de sua localizao fsica.
3.2.2. Objetos e Atributos
Tudo o que o AD rastreia considerado como um objeto. Um objeto qualquer usurio,
sistema, recurso ou servio rastreado dentro do AD. O termo genrico objeto utilizado porque
o AD capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar
atributos comuns.
Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User
compartilham atributos para armazenar o nome de um usurio na rede, seu nome completo e
uma descrio. Os computadores tambm so objetos, mas tm um conjunto separado de
atributos que inclui um nome de host, um endereo IP e uma localizao.
Um continer um tipo de objeto especial utilizado para organizar o AD. Ele no representa
nada fsico, como um usurio. Em vez disso, utilizado para agrupar outros objetos. Os
objetos contineres podem ser aninhados dentro de outros contineres.
93

Nos servios do AD possvel ainda organizar objetos em classes, os quais so
agrupamentos de objetos. Exemplos de classes de objetos so usurios, grupos,
computadores, domnios ou unidades organizacionais.
a. Unidades Organizacionais
Uma unidade organizacional um objeto continer usado para organizar objetos como contas de
usurios, grupos, computadores, impressoras, aplicaes, compartilhamento de arquivos e
outros.
b. Domnios
A principal unidade da estrutura lgica nos servios do AD o domnio. Grupamentos de
objetos em um ou mais domnios permite refletir a organizao da empresa no ambiente de rede.
Todos objetos da rede existem dentro de um domnio, e cada domnio armazena informaes
somente dos objetos que ele contm. Teoricamente, um domnio pode conter at 10
milhes de objetos, mas 1 milho de objetos por domnio o limite testado.
O acesso aos objetos do domnio controlado pelas listas de controle de acesso (ACLs,
Access Control Lists), as quais so formadas com entradas de controle de acesso (ACEs,
AccessControl Entries). Todas as polticas de segurana e configuraes, como os direitos
administrativos, polticas de segurana e as ACLs no atravessam de um domnio para
outro. O administrador do domnio tem poderes absolutos para definir polticas somente dentro
do seu domnio.
Um domnio geralmente possui os seguintes tipos de computadores:
Controladores de domnio rodando Windows 2000 Server: cada controlador
de domnio armazena e mantm uma cpia do diretrio.
Servidores membros rodando Windows 2000 Server: um servidor membro
no armazena informaes do diretrio e no pode autenticar usurios. Servidores membros
so geralmente usados para prover recursos compartilhados, como arquivos,
impressoras e aplicativos.
Computadores clientes rodando Windows 2000 Professional: computadores clientes usados
para fornecer ao usurio o acesso aos recursos no domnio.
c. rvores, Esquema e Catlogo Global
Uma rvore um agrupamento ou arranjo hierrquico de um ou mais domnios Windows
2000 que permite o compartilhamento global de recursos. Uma rvore pode tambm consistir
de um nico domnio Windows 2000. Contudo possvel criar grandes estruturas atravs
da unio de mltiplos domnios em uma estrutura hierrquica.
A figura abaixo apresenta uma rvore formada por um domnio pai (Silva Corporation) e dois
domnios filhos (Silva do Brasil e Silva das Ilhas Virgens).


94


Sllva C o rporaLlon


Sllva do 8rasll Sllva das llhas vlrgens
Figura 4 rvore de Domnios Windows 2000
Todos os domnios em uma rvore compartilham informaes e recursos para funcionarem
como uma nica unidade. Existe somente um diretrio em uma rvore, mas cada domnio
mantm uma parcela do diretrio que contm as informaes de contas dos seus usurios. Em
uma rvore, um usurio que autentica-se em um domnio pode usar recursos em outro domnio
desde que tenha permisses apropriadas para tal.
O Windows 2000 combina as informaes de diretrio de todos os domnios em um nico
diretrio, o qual torna as informaes de cada domnio globalmente acessveis. Em adio,
cada domnio automaticamente prov um subconjunto de suas informaes nos servios do
AD como um ndice, que reside nos controladores de domnio. Usurios utilizam este ndice
para localizar outros usurios, computadores, recursos e aplicaes atravs da rvore do
domnio.
Todos os domnios dentro de uma rvore compartilham um esquema, que uma definio
formal de todos os tipos de objetos que podem ser armazenados em uma implementao do
AD.
Alm disso, todos os domnios dentro de uma rvore simples compartilham um catlogo global, que
um repositrio de informaes sobre objetos na rvore ou floresta.
Todos os domnios em uma rvore simples tambm compartilham um espao de nomes comum e
uma estrutura de nomes hierrquica. Um espao de nomes um conjunto de regras de nomes que
prov a estrutura hierrquica, ou caminho, da rvore. Seguindo os padres DNS, o nome
de domnio do domnio filho (em uma rvore) o nome relativo deste domnio anexado ao nome do
domnio pai.
d. Florestas
Uma floresta um agrupamento de uma ou mais rvores. Florestas permitem que
organizaes agrupem divises (ou que duas organizaes combinem suas redes) que no usam o
mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a
organizao inteira.
93

4. Instalando o Active Directory
Uma das caractersticas interessantes no Windows 2000 o fato da Microsoft ter separado o
seu processo de instalao do processo de criao de um controlador de domnio. Desta
forma possvel efetuar a instalao completa do Windows 2000 Server em um computador e
posteriormente transform-lo em um controlador de domnio.
Para converter um servidor do Windows 2000 Server em um controlador de domnio, executa-se
o programa Dcpromo a partir do comando Run no menu Start.

Figura 5 Execuo do Dcpromo

Um assistente ser iniciado que guiar todo processo de instalao do Active Directory. Esse
assistente poder ser usado tambm para rebaixar um controlador de domnio para um
servidor membro. O assistente far uma srie de perguntas e ento, baseado nas respostas,
criar uma nova rvore, floresta ou domnio ou criar uma rplica de controlador de
domnio em um domnio j existente.

Figura 6 Assistente para instalao do Active Directory

96

A forma para criar um novo domnio simples: basta definir uma mquina como o primeiro
controlador de domnio. A construo do primeiro controlador de domnio de um domnio e a
criao de um novo domnio so exatamente a mesma coisa.

Figura 7 Criao de um controlador de domnio para um novo domnio
Seguindo a opo mostrada na figura anterior, este ser o primeiro domnio em uma rvore
nova, por isso esta dever ser a opo na prxima caixa de dilogo.

Figura 8 Criao de uma nova rvore
Como o Windows 2000 permite a construo de domnios organizados em rvores e rvores
organizadas em florestas, de forma que, logicamente, o assistente precisar saber onde
colocar a nova rvore em uma floresta inteira nova ou em uma floresta j existente.
97



Figura 9 Criao de uma nova floresta
Na tela seguinte ser preciso definir o nome do novo domnio.


Figura 10 Definio do nome do domnio
A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas
estaes de trabalho, ento a rede contm mquinas rodando softwares de rede escritos para
as verses anteriores (Windows NT) quando os nomes de domnios no podiam ter
mais de 15 caracteres e no podiam ter qualquer tipo de hierarquia. Por este motivo na caixa
de dilogo seguinte ser definido o nome NetBIOS para este novo domnio, de forma a ser
compatvel com estes outros sistemas operacionais.
98



Figura 11 Nome NetBIOS do novo domnio

O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como
geralmente ocorre com bancos de dados o banco de dados propriamente dito e um
registro de transaes. Dois detalhes importantes com relao a esta informao so o fato de
que o arquivo de banco de dados real do Active Directory deve estar em um volume NTFS
para melhor desempenho e que uma boa idia colocar o registro de transaes em um disco
rgido diferente do que contm o banco de dados do Active Directory.
A localizao dos arquivos que contm o banco de dados do Active Directory e do registro de
transaes definido na tela mostrada a seguir.

Figura 12 Localizao do banco de dados e do log de transaes

99

Assim como no Windows NT 4.0, o Windows 2000 tambm ter uma pasta compartilhada
com o nome de Netlogon, onde sero armazenadas informaes como os arquivos de
poltica do sistema, perfis padro e scripts de login.
A localizao fsica desta pasta definida na tela mostrada a seguir.

Figura 13 Localizao fsica da pasta Netlogon
No prximo passo, o programa Dcpromo tentar localizar e contatar um servidor DNS para o
nome de domnio escolhido (como support.com.br, por exemplo) e determinar ainda se um
servidor DNS encontrado suporta atualizao dinmica, caracterstica presente no DNS do
Windows 2000 ou 2003 Server.
O Dcpromo pode no encontrar um servidor DNS para o domnio escolhido ou ainda pode
encontrar um servidor DNS que no suporta atualizao dinmica. Em qualquer um dos dois
casos a seguinte mensagem ser exibida.

Figura 14 Mensagem de no localizao de um servidor DNS com atualizao
automtica
O programa oferece a oportunidade de instalar e configurar um servidor DNS.
100


Figura 15 Opo para instalao e configurao de um servidor DNS
Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de
usurios a servidores Windows NT) precisam acessar e obter informaes do controlador de
domnio.
Se algum programa com esta caracterstica ser utilizado na rede deve-se optar pelas
Permisses compatveis com servidores pr-Windows 2000. Caso contrrio, importante
selecionar a outra opo que aumentar o nvel de segurana da rede.

Figura 16 Escolha de permisses compatveis com servidores anteriores ao W2K
Uma das opes que aparecem no momento da inicializao do Windows 2000 a
reconstruo de um banco de dados do Active Directory danificado para restaur-lo para uma
verso anterior consistente internamente, mas que provavelmente no contm as alteraes
mais recentes. Para esta restaurao exigida uma senha, que definida na seguinte tela.
101


Figura 17 Definio da senha para o reparo do servio de diretrio
A tela seguinte uma confirmao das informaes escolhidas ao longo de todo o processo e
uma oportunidade de revisar todas as decises tomadas para evitar qualquer tipo de engano.

Figura 18 Resumo das informaes para criao do Active Directory
Uma vez conferidas todas as informaes e tendo-se avanado na tela anterior, a seguinte
tela ser exibida por um longo perodo, que poder ser de mais de 20 minutos
dependendo da capacidade do computador. Se neste momento for constatado que algum erro
tenha sido cometido ser necessrio:
Aguardar o trmino deste processo;

Reinicializar o computador;

Executar novamente o Dcpromo para remover o Active Directory;

Reinicializar o computador;
102


Iniciar novamente o Dcpromo para efetuar uma nova instalao.

Figura 19 Tela de incio do processo de configurao do Active Directory
Quando o diretrio estiver pronto ser exibida uma tela avisando sobre o trmino do processo
de criao e, em seguida, o computador dever ser reiniciado.

Figura 20 Concluso da instalao do Active Directory

Figura 21 Reinicializao do computador
Aps a reinicializao, o servidor j ser um controlador de domnio.
103


5. Administrando Contas de Usurios
Contas de usurios precisam ser criadas para dar a estes a capacidade de logar-se em um
domnio para acessar recursos da rede ou logar-se em um computador para acessar recursos
locais. Uma conta de usurio contm as credenciais exclusivas e um registro que define este
usurio para o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do
qual o usurio membro e os direitos e permisses que o usurio possui para uso do
computador e da rede e para acesso recursos. Cada pessoa que utiliza regularmente a rede
deve ter uma conta de usurio.
O Windows 2000 suporta dois tipos de contas de usurios: do domnio e local. Com uma
conta de usurio do domnio, um usurio pode logar-se em um domnio para ganhar
acesso recursos da rede. Com uma conta de usurio local, um usurio pode logar-se em
um computador especfico para ganhar acesso aos recursos daquele computador.
Alm destes dois tipos, o Windows 2000 tambm prov contas de usurio internas (buit-in
user accounts), que so usadas para desempenhar tarefas administrativas ou ganhar
acesso recursos da rede. As contas de usurio internas so criadas automaticamente durante a
instalao do Windows 2000 e a instalao do Active Directory.
5.1. Planejando Novas Contas de Usurios
Para tornar mais eficiente o processo de gerenciamento das contas de usurios importante
adotar e seguir determinadas convenes e diretrizes atravs do planejamento das seguintes
reas:
Convenes de nomes para as contas de usurio;

Diretrizes para as senhas;

Opes de conta.

5.1.1. Convenes para Nomes de Contas de Usurio
A conveno de nomes estabelece como as contas de usurio so identificadas no domnio (ou
no computador local). Uma conveno de nomes consistente facilita lembrar nomes de logon
de usurios e localiz-los em listas. Os seguintes aspectos devem ser considerados na
determinao de uma conveno de nomes para uma organizao:
Os nomes de logon para contas de usurio devem ser exclusivos no Active Directory.
Os nomes completos de contas de usurio de domnio devem ser exclusivos na OU onde a
conta de usurio foi criada. Os nomes de contas de usurio local devem ser exclusivos no
computador em que foram criadas.
Os nomes de logon de usurio podem conter at 20 caracteres maisculos ou minsculos
(no existe diferenciao, mas o Windows 2000 preservar a forma como for digitado). Apesar
104

do campo aceitar mais de vinte caracteres, o Windows 2000 s reconhecer os primeiros vinte.
Os caracteres no permitidos so: / \ [ ] : ; | = , + * ? < >
Se existir um grande nmero de usurios, a conveno de nomes deve considerar
os funcionrios com nome igual, utilizando tratamentos como:
Usar concatenaes de nome e sobrenome de forma diferenciada. Por exemplo, se
existirem dois Pedro Silva, utilizar PedroSil e PedroSilva.
Usar nmeros aps o nome, como por exemplo Pedro1 e Pedro2.
Em algumas organizaes pode ser til identificar determinados tipos de usurios
pela sua conta. Para usurios temporrios, por exemplo, pode-se acrescentar a letra T e um hfen
no incio do nome da conta de usurio: T-Pedro.
5.1.2. Diretrizes para as Senhas
Para proteger o acesso ao domnio ou a um computador, todas as contas de usurio devem ter
uma senha associada. Estas so as recomendaes para o uso de senhas:
Atribuir sempre uma senha para a conta Administrator para impedir o acesso no
autorizado conta. Na verdade, recomendvel a alterao do nome da conta
Administrator. Uma vez que para obter acesso ao domnio necessrio um nome de
conta e uma senha, um invasor j ter metade do que precisa se a conta Administrator
permanecer com seu nome padro.
Determinar se o administrador da rede ou os usurios controlaro as senhas. possvel
atribuir senhas exclusivas para as contas de usurio e impedir que os usurios as
alterem, ou ento pode-se permitir que os prprios usurios definam suas senhas no
primeiro logon.
Orientar os usurios para o uso de senhas complexas bem como manter o sigilo sobre
sua senha. Algumas recomendaes:
Evitar senhas com associao bvia, como o prprio nome, sobrenome ou nome de
algum da famlia.
Usar senhas longas. As senhas no Windows 2000 podem ter at 128 caracteres, mas
recomenda-se o tamanho mnimo de 8 caracteres.
Usar combinaes de letras maisculas e minsculas e caracteres no-alfanumricos
permitidos. Os mesmos caracteres no permitidos para nomes de conta tambm no so
permitidos nas senhas.

5.1.3. Opes de Conta
As opes de conta de usurio controlam a maneira como um usurio acessa o domnio ou um
computador. possvel, por exemplo, limitar as horas durante as quais um usurio pode efetuar
logon no domnio e os computadores nos quais ele pode efetuar logon. Tambm pode-se
especificar a data de expirao de uma conta de usurio.
103


e. Horas de Logon

possvel definir as horas de logon para os usurios que s precisam de acesso em horrios
especficos. Esta configurao est disponvel nas propriedades de cada usurio, atravs do
boto
Logon Hours na guia Account.

Figura 22 Definio dos horrios nos quais o usurio pode logar-se
f. Computadores Permitidos para Logon
3

Por padro, os usurios podem efetuar logon em qualquer computador do domnio, mas
possvel especificar os computadores nos quais os usurios podem efetuar logon. Isso
ajuda a restringir o acesso a informaes armazenadas localmente nos computadores do
domnio. Esta configurao tambm est disponvel nas propriedades de cada usurio, atravs
do boto Log On To na guia Accounts.

Figura 23 Definio de Computadores para Logon
3
Para o funcionamento deste recurso necessrio que o NetBIOS over TCP/IP esteja
disponvel, caso contrrio o Windows 2000 no conseguir determinar de qual computador o
usurio est tentando efetuar logon
106

g. Expirao de Conta
A definio de uma data para expirao de uma conta um recurso bastante til,
principalmente para utilizao em contas de usurios temporrios. Com esta configurao, uma
data de expirao para a conta definida e, a partir desta data, o usurio no obtm mais acesso
rede.
Este recurso est acessvel na guia Account das propriedades de cada usurio.

Figura 24 Data para expirao da conta
5.2. Contas de Usurio Local
Uma conta de usurio local uma conta que s existe em um determinado computador
(Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo
de conta s deve ser usada em ambientes de redes menores, como grupos de trabalho ou em
computadores autnomos que no esto conectados em uma rede. No recomendvel a
criao de contas locais em computadores que faam parte de um domnio, pois o domnio
no as reconhece e, como resultado, elas s conseguiriam obter acesso aos recursos do
computador no qual foram criadas.
As contas de usurio local residem no banco de dados SAM, que o banco de contas de
segurana local. Elas no so armazenadas no Active Directory do domnio. Alm disso, as
contas de usurio local possuem um menor nmero de propriedades que as contas de domnio.
107



I|gura 2S - ropr|edades do usur|o |oca|

ara crlao de conLas locals deve ser uLlllzado no 'CompuLer ManagemenL', o snap-ln 'Local users
and Croups'. Com o boLo dlrelLo na pasLa users, cllca-se em new user e a segulnLe Lela ser exlblda.


Figura 26 Novo usurio local
Importante destacar que em um servidor Windows 2000 que seja controlador de domnio,
este snap-in no estar disponvel. Neste caso, devem ser criadas contas do domnio
usando a ferramenta Active Directory Users and Computers, conforme ser descrito
posteriormente.
108


Figura 27 Snap-in Local Users and Groups no disponvel em um controlador de
domnio
5.3. Contas de Usurio do Domnio
Para criar contas de usurios do domnio preciso utilizar o snap-in Active Directory Users
and Computers. Este snap-in sempre estar disponvel em um controlador de domnio. J um
servidor membro no ter este snap-in, a menos que sejam instaladas as Ferramentas
Administrativas do Windows 2000.
Para instalar estas ferramentas, basta executar o pacote de instalao Adminpak.msi
encontrado na pasta I386 do CD de instalao do Windows 2000 Server. Ao executar este
pacote, a seguinte tela exibida:

Figura 28 Wizard para instalao das Ferramentas Administrativas
Prosseguindo com a instalao, pode-se optar pela instalao ou desinstalao das Ferramentas
Administrativas.

109


Figura 29 Opes de instalao das Ferramentas Administrativas
O programa passa ento a instalar os componentes das Ferramentas Administrativas.

Figura 30 Instalao dos componentes
Uma vez concluda a instalao estaro disponveis em um servidor membro (no controlador
de domnio) as Ferramentas Administrativas do Windows 2000 e um usurio com uma conta
que faa parte do grupo Domain Administrators poder executar atividades administrativas
(como a criao de usurios do domnio) neste servidor membro.

110


Figura 31 Finalizao da instalao
O snap-in Active Directory Users and Computers permite a criao de contas de usurios do
domnio
4
.

Figura 32 Snap-in Active Directory Users and Computers
Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usurio ou
mesmo usar a Unidade Organizacional padro Users, e no menu Action selecionar New e
escolher User. A seguinte caixa de dilogo ser exibida:

4
Em uma rede com vrios controladores de domnio, quando uma conta de usurio do domnio
criada, ela sempre ser criada no primeiro controlador disponvel contatado para depois ser
replicada para todos os demais controladores.
111





Figura 33 Caixa para criao de uma nova conta de usurio do domnio
A tabela a seguir descreve as informaes que devero ser preenchidas
Opo Descrio
First name O primeiro nome do usurio. Este ou o ltimo nome so requeridos
Last name O ltimo nome do usurio. Este ou o primeiro nome so requeridos
Full name
O nome completo do usurio e preenchido automaticamente de acordo
com as informaes digitadas nas caixas anteriores
O nome exclusivo de logon do usurio, baseado na conveno de
User logon name


User logon name
(pre-Windows 2000)
nomes adotada. Esta informao requerida e precisa ser nica no
domnio
O nome exclusivo de logon do usurio para clientes com sistemas
operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou
3.51. Esta informao requerida e precisa ser nica no domnio
112


Na tela seguinte dever ser informada uma senha e devero ser feitas algumas opes.

Figura 34 Informaes complementares para uma nova conta

Opo Descrio
Password A senha que ser usada pelo usurio
Confirm password

Confirmao da senha definida na caixa anterior, para
assegurar que no ocorreram erros de digitao
User must change password at
next logon
Selecionar esta caixa obrigar ao usurio efetuar a troca da
senha No prximo logon
User cannot change password

Selecionar esta senha impedir que o usurio proceda a troca
de sua senha. Esta opo til quando mais de uma pessoa
estiver usando a mesma conta
Password never expires

Selecionar esta caixa far com que a senha do usurio nunca
expire, mesmo que estejam definidas diretivas que definam
expiraes de senhas em determinados perodos. Esta opo
til em contas de determinados programas ou servios
Account is disabled

Selecionar esta opo far com que a conta no esteja
disponvel para uso. Esta opo til quando um usurio ir
afastar-se por um perodo ou quando um novo funcionrio
ainda no iniciou suas atividades

113


Figura 35 Finalizao da criao de uma nova conta

5.3.1. Propriedades para Contas de Usurios do Domnio
Um conjunto de propriedades padro est associado a cada conta de usurio criada no
domnio. Estas propriedades podem ser usadas para localizar usurios no Active Directory e, por
esta razo, estas informaes devem ser preenchidas para cada conta de usurio.
As propriedades da conta de usurio so acessadas no snap-in Active Directory Users and
Computers, clicando com o boto direito no usurio desejado e escolhendo o comando
Properties.


I|gura 36 - Ca|xa de propr|edades da conta de usur|o
A Labela a segulr descreve as gulas da calxa de dllogo roperLles referenLe ao usurlo.
Guia Finalidade
General Documenta o nome, a descrio, o local do escritrio,
o nmero de telefone, o alias de e-mail e as
114

informaes sobre a pgina inicial referentes ao
usurio
Address

Documenta o endereo do usurio, caixa postal,
cidade, estado ou municpio, CEP e pas
Account

Atribui o nome de logon do usurio, define opes de
conta e especifica a
expirao de contas
Profile Atribui o caminho do perfil e a pasta base do usurio
Telephones Documenta o endereo, pager, celular, fax e nmeros
de telefone IP e permite digitar observaes que
contm informaes descritivas sobre o usurio.
Organization

Documenta o cargo, o departamento, o gerente da
empresa e os relatrios diretos do usurio
Member of Especifica os grupos aos quais o usurio pertence
Dial-in Define as permisses de acesso, as opes de retorno
de chamada e
as rotas e endereos IP estticos
Environment

Especifica um ou mais aplicativos a serem iniciados e
os dispositivos
aos quais conectar durante o logon do
usurio
Sessions Especifica configuraes do Terminal Services
Remote control Especifica configuraes de controle remoto do
Terminal Services
Terminal Services

Define o perfil do usurio no Terminal Services

Profile

5.3.2. Cpia de Contas de Usurio do Domnio
5

Para simplificar o processo de criao de novas contas de usurio de domnio possvel
efetuar uma cpia de uma conta j existente. Com a cpia, uma srie de propriedades da conta
so copiadas para o novo usurio, evitando a necessidade de digitao de dados repetidos.
As propriedades de usurio copiadas da conta de usurio de domnio existente para a nova
conta so descritas a seguir:

3
No possvel copiar contas de usurio em um computador com Windows 2000 Professional
ou em um servidor membro do Windows 2000. A cpia s possvel em controladores de
domnio.
113

Guia Propriedades copiadas
General Nenhuma
Address Nenhuma
Account Todas, exceto Logon Name
Profile

Todas, exceto as entradas Profile Path e Home Folder, que so
alteradas para refletir o nome de logon do novo usurio
Telephones Nenhuma
Organization Todas, exceto Title
Member of Todas
Dial-in Nenhuma, as configuraes padro aplicam-se nova conta
Environment Nenhuma, as configuraes padro aplicam-se nova conta

Sessions Nenhuma, as configuraes padro aplicam-se nova conta
Remote control Nenhuma, as configuraes padro aplicam-se nova conta
Terminal Services

Nenhuma, as configuraes padro aplicam-se nova conta

Profile


O recurso de cpia de contas permite o uso de modelo de conta de usurio, que nada
mais do que uma conta de usurio padro criada para conter as propriedades que aplicam-se
aos usurios com necessidades em comum.
Algumas recomendaes importantes para o uso de modelos de conta so:
Criar um modelo para cada categoria de funcionrio ou para cada setor da empresa;
Utilizar nomes nos modelos de conta que iniciem com caractere no-alfabtico, como o
caractere de sublinhado ( _ ), j que desta forma os modelos sempre aparecero juntos na parte
superior da lista do painel de detalhes da janela do Active Directory Users and Computers;
r Marcar nos modelos de conLa a calxa de seleo AccounL ls dlsabled na gula AccounL para
evlLar que os modelos se[am uLlllzados para obLer acesso a rede da empresa, lembrando sempre
de desmarcar esLa opo nas cplas geradas.
116


6. Gerenciamento de Grupos
Um grupo uma coleo de contas de usurios usada para gerenciar o acesso de usurios a
recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos
simplificam a administrao permitindo associar permisses e direitos a grupos de usurios
em vez de associar a cada usurio individualmente. Usurios podem ainda participar de vrios
grupos simultaneamente.

6.1. Grupos em um Domnio
As caractersticas dos grupos em um domnio so:
So criados somente em controladores de domnio;
Residem no servio de diretrio do Active Directory;
So usados para conceder permisses a recursos e direitos para tarefas do sistema em
qualquer computador do domnio;
Os grupos em um domnio podem diferir quanto ao tipo a ao escopo.
Esta ltima caracterstica merece um melhor detalhamento, uma vez que importante
conhecer as diferenas entre os tipos de grupos e os escopos de grupos.

6.1.1. Tipos de Grupos
H dois tipos de grupo no Active Directory:
Grupos de segurana: usados para fins relacionados segurana, como a concesso
de permisses para acesso a recursos.
Grupos de distribuio
6
: usados pro aplicativos como listas para funes
no relacionadas segurana, como o envio de mensagens de e-mail para grupos de
usurios. No possvel conceder permisses a grupos de distribuio.

6.1.2. Escopos de Grupos
C escopo de um grupo deLermlna onde usar esse grupo no domlnlo, ou se[a, qual a sua
abrangncla. So Lrs os escopos de grupos do Wlndows 2000: Clobals, Locals e unlversals.
h. Grupos G|oba|s
6
Somente programas que foram desenvolvidos para trabalhar com os servios do Active
Directory podem usar grupos de distribuio.
117


Usados para organizar os usurios que compartilham requisitos semelhantes de acesso
rede. possvel utilizar um grupo global para conceder permisses de acesso a recursos
localizados em qualquer domnio.
Tm participao limitada. Pode-se adicionar contas de usurio e grupos globais
somente provenientes do domnio em que o grupo global foi criado.
Podem ser aninhados em outros grupos. Essa funo permite adicionar um grupo
global a outro no mesmo domnio ou a grupos de domnio local e universal de outros domnios.

i. Grupos Locais
Usados para conceder permisses a recursos de domnio localizados no mesmo domnio em
que o grupo de domnio local foi criado. Os recursos no precisam residir em um
controlador de domnio.
Tm participao aberta. Pode-se adicionar contas de usurio, grupos universais e
globais de qualquer domnio.
No podem ser aninhados em outros grupos, significando que no possvel adicionar
um grupo de domnio local a nenhum grupo, nem aos localizados no mesmo domnio.
j. Grupos Universais
7

Concedem permisses a recursos relacionados em vrios domnios. Devem ser usados para
conceder permisses de acesso a recursos localizados em qualquer domnio.
Tm participao aberta. Todas as contas de usurio e grupos de domnio podem ser
participantes.
Podem ser aninhados em outros grupos de domnio. Essa capacidade permite adicionar
um grupo universal a grupos de domnio local ou universal em qualquer domnio.
6.1.3. Estratgias de Grupos
Uma estratgia bastante recomendada pela Microsoft para uso de grupos em um domnio
nico conhecida como A G L P. Consiste em colocar as contas de usurio (A, de
Account) em grupos globais (G), colocar os grupos globais em grupos de domnio local (L) e
conceder permisses (P) ao grupo de domnio local. Um exemplo desta estratgia seria o
seguinte:
Em uma empresa seria recomendvel identificar os usurios com responsabilidades
comuns e adicionar suas contas de usurio a um grupo global. Por exemplo, poderiam ser
criados grupos globais para um departamento de vendas (Grupo Vendas), para os diretores
(Grupo Diretoria) e para o departamento de marketing (Grupo Marketing).
7
S estaro disponveis quando o domnio estiver no modo nativo. O modo nativo ser ativado
quando todos os controladores de domnio estiverem executando o Windows 2000.
118

Nesta mesma empresa existir uma impressora laser colorida que poder ser usada
pelos diretores e pelos funcionrios do marketing. Poderia ento ser criado um grupo de
domnio local chamado Usuarios Laser Colorida.
Os grupos globais Diretoria e Marketing seriam ento includos no grupo de domnio
local Usuarios Laser Colorida.
Por fim a impressora seria compartilhada e seriam concedidas as permisses adequadas
para o grupo de domnio local Usuarios Laser Colorida.
Antes da criao de um novo grupo de domnio local recomendvel verificar se j no existe
um grupo de domnio local interno que atenda as necessidades. Por exemplo, se o
administrador precisa de um grupo para incluir as contas de usurios que executaro o
backup dirio, no ser necessrio criar um novo grupo. Basta utilizar o grupo de domnio local
interno Backup Operators.

6.1.4. Criao de Grupos de Domnio
Para criar-se grupos em um domnio utiliza-se o snap-in Active Directory Users And
Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma
outra Unidade Organizacional criada pelo administrador. Com o boto direito do mouse sobre
a Unidade Organizacional desejada escolhe-se a opo New e o comando Group, surgindo
ento a seguinte caixa de dilogo.

Figura 37 Criao de um novo grupo
Opo Descrio
Group name

Nome do novo grupo, que deve ser exclusivo no domnio
em que o grupo for criado
Group name (pre-Windows 2000) Nome usado para dar suporte a clientes e servidores de
verses anteriores do Windows
Group scope Escopo do grupo. Lembrando que a opo Universal s
estar disponvel em redes formadas por mais de um
119

domnio e que estejam funcionando em modo nativo
Group type Tipo de grupo

k. Incluso de Participantes
Para incluir participantes em um grupo tambm utiliza-se o snap-in Active Directory Users and
Computers clicando nas propriedades do grupo desejado (boto direito do mouse).

Figura 38 Incluso de participantes em um grupo global
Nesta caixa de dilogo, obtm-se acesso lista de objetos que podem ser includos no grupo
(neste exemplo um grupo global) clicando-se em Add.


I|gura 39 - Se|eo de ob[etos para o grupo g|oba|

1ambem e posslvel deflnlr-se os grupos dos quals um usurlo far parLe nas proprledades da conLa de
usurlo.

120


Figura 40 Propriedades do usurio

7. Segurana do Sistema de Arquivos

O compartilhamento de pastas a nica forma de tornar pastas e seus contedos disponveis
atravs da rede. As pastas compartilhadas provm um caminho seguro para recursos de
arquivos e podem ser usadas em parties FAT16 ou FAT32, como tambm em parties
NTFS (os volumes NTFS oferecem ainda uma segurana adicional que ser apresentada mais
adiante).
7.1. Pastas Compartilhadas
Quando uma pasta compartilhada, usurios podem conectar-se a ela atravs da rede e
obter acesso aos arquivos que ela contm. Contudo, para obter acesso aos arquivos os
usurios devem ter as permisses apropriadas sobre o compartilhamento.
As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um
usurio. O uso de pastas de aplicativo compartilhadas centraliza a administrao, permitindo
instalar e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso
de pastas de dados compartilhadas fornece um local central para que os usurios obtenham
acesso a arquivos em comum e facilita o backup dos dados contidos nesses arquivos.
7.1.1. Permisses de Pastas Compartilhadas
Conforme j comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados
pessoais de usurios (pastas base ou home folders). Cada tipo de dado pode exigir
diferentes permisses de compartilhamento. As permisses de pastas compartilhadas
apresentam as seguintes caractersticas em comum:
As permisses so aplicadas pastas, no a arquivos individuais. Uma vez que
uma pasta tenha sido compartilhada todos os usurios com permisso para tal tero acesso a
121

todo o contedo da pasta. Uma segurana adicional poder ser obtida atravs das
permisses NTFS apresentadas mais adiante.
As permisses de pastas compartilhadas no restringem o acesso de usurios que esto
utilizando localmente o computador onde as pastas esto armazenadas. As permisses aplicam-
se somente a usurios que conectam-se pasta atravs da rede.
Permisses de compartilhamento de pastas so o nico caminho para obter segurana em
volumes FAT.
A permisso padro em pastas compartilhadas Full Control para o grupo Everyone. Se
algum nvel de segurana desejado esta permisso deve ser excluda e as permisses
apropriadas devem ser atribudas.
Uma pasta compartilhada exibida com uma mo sob seu cone, conforme mostrado abaixo:


Figura 41 Pasta compartilhada
A tabela a seguir descreve as permisses e o que cada usurio pode fazer uma vez que
tenha recebido a permisso:
erm|sso erm|te que o usur|o
8ead Lxlba nomes de pasLas, nomes de arqulvos, dados
de arqulvos e aLrlbuLos, execuLe arqulvos de
apllcaLlvo e alLere as pasLas conLldas na pasLa
comparLllhada
Change Crle pasLas, adlclone arqulvos a pasLas, alLere
dados em arqulvos, acrescenLe dados a arqulvos,
alLere aLrlbuLos de arqulvo, exclua pasLase
arqulvos e execuLe as aes auLorlzadas pela
permlsso 8ead
lull ConLrol AlLere permlsses de arqulvo, aproprle-se de
arqulvos e execuLe Lodas as Larefas permlLldas
pelas permlsses Change e 8ead

l. Mltiplas Permisses
Um usurio pode ser membro de vrios grupos, cada um com diferentes permisses em uma
determinada pasta compartilhada. As permisses efetivas de um usurio para um recurso
so a combinao das permisses concedidas ao prprio usurio e a todos os grupos dos
quais ele faa parte. Por exemplo, se um usurio tiver a permisso Read para uma pasta
compartilhada e for participante de um grupo que tenha a permisso Change para a mesma
122

pasta, a permisso efetiva do usurio ser Change, a qual j inclui as propriedades da permisso
Read.
A exceo para esta regra a permisso Deny. Esta permisso substitui qualquer permisso
definida para contas de usurio e grupos.
m. Requisitos para Compartilhamento de Pastas
No Windows 2000, os nicos grupos que podem compartilhar pastas so Administratos,
Server Operators e Power Users. Esses grupos so contas padro instaladas na pasta Users
do Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os
requisitos para compartilhamento de pastas so:
Em um domnio Windows 2000 podem compartilhar pastas membros dos
grupos Administrators e Server Operators.
Em servidores membro ou estaes com Windows 2000 Professional que faam ou no
parte de um domnio, os membros dos grupos Administrators e Power Users podem
compartilhar pastas residentes no prprio computador.
Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e
Power Users podem compartilhar pastas nos prprios computadores.
n. Criao de Compartilhamento de Pastas
Para criar uma pasta compartilhada basta clicar com o boto direito do mouse na pasta
desejada (no Windows Explorer) e, em seguida, clicar em Sharing.

I|gura 42 - ropr|edades do compart||hamento de pasta
Opo Descrio
Share this folder Clicar para compartilhar a pasta
Share name Nome que os usurios remotos usam para estabelecer uma
123

conexo com a pasta compartilhada
Comment Descrio opcional para o nome da pasta compartilhada
User limit Nmero de usurios que podem conectar-se
simultaneamente pasta compartilhada. Se for escolhido
Maximum Allowed, o Windows 2000 ou Windows 2003
Windows Professional ou XP dar suporte a at dez
conexes, enquanto que o Windows Server poder dar
suporte a tantas conexes quanto o nmero de licenas
adquiridas
Permissions Define as permisses de pasta compartilhada. Por padro,
a permisso Full Control concedida ao grupo Everyone
para todas as novas pastas compartilhadas


Figura 43 Permisses padro para pasta compartilhada
Esta caixa de dilogo, acessvel a partir do boto Permissions, permite definir outras
permisses para a pasta compartilhada bem como excluir a permisso padro.

7.1.2. Conexo de Usurios Remotos a Pastas Compartilhadas
Uma vez compartilhada uma pasta, os usurios que receberam as permisses para tal
podero conectar-se ao compartilhamento e utilizar os arquivos l armazenados. So
quatro as formas dos usurios obterem acesso a uma pasta compartilhada em outro computador:
o. My Network Places
Usando o My Network Places basta navegar pela rede at o computador que contm a pasta
desejada e, por fim, acessar a pasta.
124



Figura 44 My Network Places
Nota: Quando uma pasta compartilhada na rede aberta o Windows 2000 a adiciona
automaticamente a My Network Places.
p. Map Network Drive
Mapeando uma unidade de rede uma letra de unidade e um cone sero associados a uma
pasta compartilhada especfica. Isto facilita a referncia ao local de um arquivo em uma
pasta compartilhada. Por exemplo, em vez de apontar para
\\Servidor\Compartilhamento\Arquivo, pode-se apontar para Unidade:\Arquivo. As letras de
unidades fornecem um acesso mais rpido e fcil do que os caminhos do tipo conveno
universal de nomenclatura (UNC).
Para mapear uma unidade de rede, basta seguir as seguintes etapas:
Com o boto direito do mouse em My Network Places escolher a opo Map
Network Drive.
Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada.
Digita-se o nome da pasta compartilhada ou utiliza-se o boto Browser para localiz-la.
Se desejar-se utilizar esta conexo de forma recorrente mantm-se a opo Reconnect at
logon selecionada.

Figura 45 Mapeamento de unidade de rede
123


q. Comando Run
A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o
caminho UNC na caixa Open, conforme mostrado abaixo:


r. Comando Net Use
Figura 46 Comando Run


126

Uma outra forma de executar um mapeamento de unidade de rede o comando Net use que
possui a seguinte sintaxe bsica:
Net use letra_da_unidade: \\servidor\compartilhamento
Para conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt de
comando.

8. Conexo de Clientes ao Windows 2000 ou 2003

Conforme j comentado, o Windows 2000 suporta conexes de clientes com diferentes
sistemas operacionais. Para implementaes do Windows 2000 Professional esto disponveis
vrios recursos, at mesmo para instalao automatizada. J para clientes como o
Windows 9x, o procedimento idntico ao aplicado na configurao de acesso redes
baseadas no Windows NT Server 4.0.
8.1. Configurando Clientes Windows 9x
Veremos agora como configurar clientes com Windows 9x para que passem a conectar-se a
um domnio Windows 2000.
Todas as configuraes necessrias so executadas nas propriedades do Ambiente de Rede.

Figura 47 Propriedades de rede do Windows 9x
Se o componente Cliente para Redes Microsoft no estiver instalado, deve-se proceder sua
instalao clicando no boto Adicionar e, na tela mostrada a seguir, selecionando o
tipo de componente Cliente.


127


Figura 48 Seleo do tipo de componente de rede
Uma vez escolhido o componente Cliente, deve-se escolher o cliente de rede correto: Cliente
para rede Microsoft.

Figura 49 Seleo do cliente de rede da Microsoft
Uma vez instalado o Cliente para redes Microsoft, pode-se proceder a configurao para
conexo ao domnio Windows 2000. Obtm-se acesso a esta configurao atravs das
propriedades do Cliente para redes Microsoft. Conforme mostrado na caixa de dilogo a seguir,
deve ser informado o nome NetBIOS do domnio Windows 2000 ao qual o cliente efetuar a
conexo.

Figura 50 Definio da validao de logon no domnio



128

Diferentemente de uma mquina Windows NT ou Windows 2000, uma mquina Windows 9x
no precisa pertencer a um domnio especfico para poder efetuar logon neste mesmo domnio.
Isso permite que o cliente esteja em um grupo de trabalho, mas ainda possa efetuar logon em
qualquer domnio. Mas se pretende-se que os computadores da rede sejam exibidos dentro
do domnio no Ambiente de Rede, na caixa Grupo de trabalho na guia Identificao dever
ser informado o nome o domnio Windows 2000 ou 2003.

Figura 51 Definio do grupo de trabalho
Adicionalmente poder ser interessante optar-se pelo controle de acesso em nvel de usurio,
acessvel a partir da guia Controle de acesso. Desta forma ser possvel compartilhar
recursos (como arquivos e impressoras) nas estaes de trabalho utilizando-se os grupos e
usurios do domnio ao invs de definir-se senhas para cada compartilhamento.

Figura 52 Definio do controle de acesso



129


8.2. Configurando Clientes Windows 2000 Professional
Veremos agora como configurar clientes com Windows 2000 Professional para que passem a
conectar-se a um domnio Windows 2000.
Todas as configuraes necessrias so executadas nas propriedades do Ambiente de Rede.

Figura 53 Propriedades de Meu Computador do Windows 2000
Para a configurao do domnio ou grupo de trabalho, as informaes sero fornecidas na
Identificao de rede, conforme apresentado na figura abaixo:

Figura 54 Identificao de rede das Propriedades do Meu Computador
Para que um computador usando Windows 2000 seja renomeado ou ingressar em um
domnio, necessrio clicar no boto Propriedades da Identificao de Rede. Assim podemos
alterar algumas as propriedade de identificao do computador na rede, como mostra a figura a
seguir:


130


Figura 55 Alterao da Identificao na Rede (Clientes Windows 2000)
Assim possvel trocar o nome de um computador, coloc-lo em um grupo de trabalho, ou
mesmo coloc-lo para trabalhar em um domnio Windows 2000. Para adicionar ao domnio
Windows 2000 ser necessrio informar a senha de um usurio com privilgios
administrativos no domnio utilizado.

9. Viso Geral sobre TCP/IP no Windows 2000

Conforme j comentado, o protocolo TCP/IP o protocolo padro do Windows 2000, at
mesmo por ser o mais usado nas redes de todo o mundo alm da Internet. O Windows 2000
instala o TCP/IP automaticamente como o protocolo padro durante a instalao (se um
adaptador de rede for detectado). No entanto, se o TCP/IP no tiver sido instalado durante a
instalao, ser possvel instal-lo manualmente. Estes so os procedimentos:
Boto direito do mouse em My Network Places e, em seguida, Properties;

Figura 56 cone My Network Places
Na janela Network and Dial-up Connections, utilizar o boto direito do mouse sobre
a conexo local desejada e escolher Properties;


131


Figura 57 Janela Network and Dial-up Connections
Uma vez constatado que o Internet Protocol (TCP/IP) realmente no est instalado,
clicar no boto Install;

Figura 58 Caixa de dilogo das propriedades da conexo local
Uma vez selecionado o componente de rede Protocol, clicar em Add;

Figura 59 Caixa de dilogo para escolha do tipo de componente de rede
Na caixa de dilogo Select Network Protocol, escolher o TCP/IP e confirmar.


132

9.1. Endereo IP Dinmico: DHCP
Diferente do protocolo NetBEUI, o TCP/IP exige um certo nvel de configurao para o seu
correto funcionamento. Para facilitar estas configuraes existe o DHCP (Dynamic Host
Configuration Protocol), que possibilita o fornecimento automtico de um endereo IP para
computadores de uma rede. importante destacar que o computador configurado como
servidor DHCP dever possuir um endereo IP definido manualmente.
Um servidor DHCP pode fornecer automaticamente, alm do endereo IP, outras informaes
de configurao como o endereo IP do servidor DNS, o servidor WINS e o gateway
padro. O processo usado por um servidor DHCP para fornecer o endereo IP automaticamente
o seguinte:
O computador cliente solicita um endereo IP ao servidor DHCP;
O servidor DHCP fornece o endereo IP aos computadores cliente.
No Windows 2000, o local onde definido se um computador utilizar um endereo IP
esttico ou ser um cliente DHCP na caixa de dilogo Internet Protocol (TCP/IP)
Properties, acessvel a partir do boto Properties do protocolo TCP/IP na caixa de dilogo Local
Area Connection Properties (Figura 58).

Figura 60 Propriedades do protocolo TCP/IP
Se um computador Windows 2000 for configurado como um cliente DHCP, mas por algum
motivo no conseguir obter um endereo de um servidor DHCP, um endereo
automaticamente atribudo. Este recurso conhecido como Automatic Private IP Adressing
fornece somente um endereo IP e uma mascara de sub-rede, e no informaes adicionais
como o gateway padro. Quando um computador cliente DHCP sem um endereo IP iniciado,
o seguinte ocorre:
O computador cliente tenta localizar um servidor DHCP e obter informaes sobre
a configurao do IP a partir desse servidor;


133

Se um servidor DHCP no for encontrado, o computador cliente
automaticamente configurar seu endereo IP e a mascara de sub-rede usando um endereo
selecionado da rede de classe B, reservada para a Microsoft, 169.254.0.0, com a mscara de
sub- rede 255.255.0.0.
9.2. Endereo IP Esttico
Mesmo em uma rede que esteja executando o servio do servidor DHCP, haver momentos
em que talvez seja necessrio configurar endereos IP estticos manualmente para
determinados computadores da rede. Por exemplo, um computador que execute o servio do
servidor DHCP no pode ser configurado para receber um endereo IP automtico. Alm disso,
um servidor de correio ou servidor Web talvez precise manter o mesmo endereo IP,
portanto estes computadores devem utilizar um endereo IP esttico.
9.2.1. Configurao de Endereos IP Estticos
Ao configurar um endereo IP esttico, devem ser fornecidas a mscara de sub-rede e o
gateway padro alm do prprio endereo IP para cada adaptador de rede de um computador
que esteja usando TCP/IP. A tabela a seguir descreve as definies de configurao do TCP/IP.
Def|n|o de
conf|gurao
Descr|o
l Address
8


um endereo de 32 blLs que ldenLlflca um hosL 1C/l. Cada adapLador de rede
em um compuLador que execuLe o 1C/l requer um endereo l
excluslvo, que normalmenLe e mosLrado em formaLo declmal, como
192.168.0.120. Cada endereo Lem duas parLes: uma ldenLlflcao de rede, que
ldenLlflca Lodos os hosLs na mesma rede, e uma ldenLlflcao de hosL, que
ldenLlflca um hosL especlflco na rede. nesLe exemplo, a ldenLlflcao de rede e
192.168.0, e a ldenLlflcao de hosL e 120, com base na mscara de sub-rede
padro
SubneL mask

deLermlnar em que sub-rede o compuLador esL. As sub-redes dlvldem uma
grande rede lnLraneL em vrlas redes conecLadas com roLeadores. uma
mscara de sub-rede lndlca que parLe de um endereo l do hosL e um numero
que e usado para a ldenLlflcao de rede e que parLe e a ldenLlflcao de hosL.
Cuando os hosLs LenLam se comunlcar, usam sua mscara de sub-rede para
deLermlnar se o hosL de desLlno esL na rede local ou remoLa.
uefaulL CaLeway C roLeador aLraves do qual um hosL envlar Lodos os pacoLes l para redes
remoLas , quando ele no Llver uma roLa especlflca para essa rede. um gaLeway
e geralmenLe conflgurado com lnformaes de roLeamenLo que permlLem o
encamlnhamenLo de pacoLes para a rede de desLlno ou para ouLros roLeadores
lnLermedlrlos.
8
Se dois ou mais computadores executando o Windows 2000 tiverem o mesmo endereo IP, ser apresentada uma
mensagem de aviso nos dois computadores e desativar o TCP/IP no computador com o endereo IP duplicado. A
mensagem de aviso exibida quando o computador ligado e continua a ser exibida na inicializao at o endereo
IP ser alterado ou o computador com endereo duplicado ser removido. Os computadores que executam outros
sistemas operacionais podem no fornecer o mesmo mecanismo para detectar conflitos de endereos IP.


134


Figura 61 Caixa de dilogo para configurao de endereo IP esttico
9.3. Verificao da Configurao TCP/IP
Aps a concluso da configurao do TCP/IP, alguns comandos podem ser teis para
realizao de testes de funcionalidade ou depurao de problemas a fim de assegurar
que o computador possa se comunicar usando este protocolo.
O primeiro comando ipconfig (o uso de letras maisculas ou minsculas no faz diferena).
Este comando exibe informaes sobre a configurao do TCP/IP no computador no
qual executado e determina se o computador foi inicializado com TCP/IP. Com o uso
do comando ipconfig /? so mostradas a sintaxe e todas as opes deste comando. As
principais so:
/All Exibe informaes mais completas sobre as configuraes TCP/IP de todos os
adaptadores de rede do computador.
/Release Usado apenas em clientes DHCP, permite liberar um endereo IP obtido de um
servidor DHCP.
/Renew Tambm usado em clientes DHCP, faz com que o computador cliente tente
obter uma renovao do atual endereo IP concedido ou um novo endereo IP.
O outro comando bastante utilizado Ping, que uma ferramenta de diagnstico que pode
ser usada para testar as configuraes de TCP/IP entre dois computadores e diagnosticar
falhas de conexo. Com o uso do comando ping /? so exibidas a sintaxe e as opes deste
comando.
9.3.1. Depurando Problemas com o Protocolo TCP/IP
O uso combinado dos comandos Ipconfig e Ping permite testar a configurao IP do
computador local e a conexo IP entre dois computadores na rede. As etapas descritas a
seguir devem ser seguidas em um processo de depurao de problemas com endereos IP.
Utilizar o comando Ipconfig, a partir do prompt de comando. O resultado ser o
seguinte:



133

o Se o TCP/IP tiver sido inicializado corretamente, o comando Ipconfig exibir o endereo
IP e uma mscara de sub-rede para cada adaptador de rede do computador. Esse comando
tambm exibe outras configuraes como o gateway padro.
o Se houver um endereo IP duplicado, o comando indicar que o endereo IP est
configurado, no entanto, a mscara de sub-rede 0.0.0.0, o que indica que o endereo IP do
computador est sendo usado na rede.
o Se o endereo exibido for 169.254.x.x, isso significa que o computador no est
recebendo um endereo IP de um servidor DHCP e, em vez disso, est recebendo um
endereo atravs do Automatic Private IP Addressing. Um Automatic Private IP
Addressing sempre tem uma identificao de rede 169.254.0.0.
Executar o comando Ping com o endereo de auto-retorno (Ping 127.0.0.1) para
verificar se o TCP/IP est instalado corretamente. Um endereo de auto-retorno aquele que
o computador utiliza para identificar-se.
Executar o comando Ping com o endereo IP do computador local para verificar se
o endereo IP est configurado corretamente.
Executar o comando Ping com o endereo IP do gateway padro para verificar se
o computador pode se comunicar com a rede local.
Executar o comando Ping com o endereo IP de um host remoto para
verificar se o computador pode se comunicar atravs de um roteador.
Para exemplificar, vamos supor que o seguinte comando Ping tenha sido executado:
Ping 192.168.0.121
Se este comando obtiver xito, a seguinte mensagem ser exibida quatro vezes:
Reply from 192.168.0.121
Esta mensagem ser seguida ainda de algumas informaes estatsticas.
J se o comando supra citado no obtiver xito, a seguinte mensagem ser exibida:
Destination host unreachable

10. DHCP Service

DHCP um padro TCP/IP para simplificar o gerenciamento de configuraes IP. Cada vez
que um cliente DHCP inicia, ele requisita informaes de endereamento IP para um servidor
DHCP. Estas informaes de endereamento incluem informaes como:
Um endereo IP
Uma mscara de sub-rede


136

Valores opcionais, como o endereo do gateway padro, o endereo do servidor DNS
ou o endereo do servidor WINS
Quando um servidor DHCP recebe uma requisio para um endereo IP, ele seleciona
informaes de endereamento IP a partir de um escopo de endereos definidos em seu
banco de dados e oferece as informaes ao cliente DHCP. Se o cliente aceita a oferta, o
servidor DHCP concede as informaes de endereamento IP para o cliente por um perodo
especfico.
10.1. Instalao e Configurao do DHCP Service
Para implementar DHCP preciso instalar e configurar o DHCP Service em pelo menos um
computador executando Windows 2000 Server em uma rede TCP/IP. O servidor poder
ser um controlador de domnio ou um servidor membro.
Um servidor DHCP requer um computador executando o Windows 2000 Server configurado
com as seguintes caractersticas:
Um endereo IP esttico, mscara de sub-rede, gateway padro (se necessrio) e outros
parmetros TCP/IP. Um servidor DHCP no pode ser um cliente DHCP;
O DHCP Service corretamente instalado e configurado;
Um escopo DHCP ativado, Um escopo uma faixa de endereos IP que estaro
disponveis para serem concedidos aos clientes. Uma vez que um escopo criado ele pode
ser ativado;
Uma autorizao, uma vez que o servidor DHCP precisa estar autorizado no
Active Directory.
Um cliente DHCP requer um computador que esteja com o uso do DHCP habilitado e
executando qualquer um dos sistemas operacionais suportados:
Windows 2000
Windows NT Server 3.51 ou superior
Windows NT Workstation 3.51 ou superior
Windows 9x
Windows for Workgroups 3.11 executando o Microsoft TCP/IP 32
Microsoft Network Client 3.0 for Microsoft MS-DOS com drivers TCP/IP real mode
LAN Manager verso 2.2c para MS-DOS (LAN Manager 2.2c para OS/2 no
suportado)
10.1.1. Instalao do DHCP Service
Para instalar o DHCP Service, utiliza-se o utilitrio Add/Remove Programs no Control Panel.
O boto Add/Remove Windows Components fornece acesso caixa de dilogo
Windows Components Wizard.


137


I|gura 62 - Ca|xa de d||ogo W|ndows Components W|zard
nesLa calxa, deve-se seleclonar o lLem neLwork Servlces e cllcar no boLo ueLalls.

Figura 63 Caixa de dilogo Networking Services
Uma vez selecionado o item Dynamic Host Configuration Protocol, pode-se confirmar a
instalao do DHCP Service.
10.1.2. Configurao do Servidor DHCP
Todas as tarefas de configurao e gerenciamento do DHCP Service so executadas no
snap-in DHCP. Neste snap-in obtm-se acesso a informaes detalhadas sobre os escopos
DHCP e suas opes.


138


Figura 64 Snap-in DHCP
O primeiro passo na configurao de um servidor DHCP a criao do escopo. Este precisa ser
criado para que o servidor DHCP possa comear a conceder informaes de endereamento IP
para os clientes DHCP da rede.
Um escopo nada mais do que uma faixa de endereos IP disponveis para concesso.
Quando um escopo criado, as seguintes recomendaes devem ser observadas:
preciso criar pelo menos um escopo para cada servidor DHCP;
Os endereos IP de hosts com endereos estticos precisam ser excludos do
escopo;
Podem ser criados mltiplos escopos em um servidor DHCP para
centralizar administrao e associar endereos IP especficos para cada sub-
rede. S possvel associar um nico escopo para uma sub-rede especfica;
Servidores DHCP no compartilham informaes. Como resultado, quando so
criados escopos em mltiplos servidores, preciso assegurar que o mesmo endereo IP no
exista em mais do que um escopo para prevenir endereos IP duplicados.
As informaes descritas a seguir sero necessrias no processo de criao do escopo.
Parmetro Descrio
Name O nome do escopo
Description Uma descrio opcional para o escopo
Start IP Address O endereo IP inicial de uma faixa de endereos que podem ser
concedidos aos clientes DHCP
End IP Address

O endereo IP final de uma faixa de endereos que podem ser
concedidos aos clientes DHCP
Subnet Mask A mscara de sub-rede associada aos clientes DHCP
Start IP Address (for
excluded range)
O endereo IP inicial da faixa que ser excluda do escopo. Os
endereos na faixa de excluso no sero concedidos a clientes DHCP
Ende IP Address
(for excluded range)
O endereo IP inicial da faixa que ser excluda do escopo


139

Lease Duration O nmero de dias, horas e minutos que a concesso de IP para o cliente
DHCP estar vlida antes que precise ser renovada

Para criar um escopo seleciona-se o comando New Scope no menu Action, obtendo-se
ento acesso a um Wizard que possibilitar o fornecimento de informaes para o novo escopo.

Figura 65 Auxiliar para criao de escopo
a. Opes DHCP
Uma vez que o escopo tenha sido criado com sucesso, pode-se ainda configurar opes para os
clientes DHCP. Estas opes permitem o fornecimento de informaes adicionais (alm
do endereo IP e da mscara de sub-rede) como Gateway padro, servidores DNS e servidores
WINS. Algumas das principais opes so:
Opo Descrio
003 Router

O endereo IP do roteador da rede, ou seja, o endereo do
gateway padro. Um gateway padro definido localmente no
computador cliente ter predominncia sobre esta opo DHCP.
Para assegurar que ser utilizada a opo DHCP deve-se
verificar se a caixa Default Gateway no computador cliente
est vazia
044 WINS/NBNS Servers

O endereo IP de um servidor WINS disponvel na rede. Um
servidor WINS definido manualmente no cliente sobrepem-
se ao valor configurado nesta opo
046 WINS/NBT Node Type

O tipo de resoluo de nomes NetBIOS usada pelo cliente. As
opes so 1 =B-node (broadcast), 2 = P-node (peer), 4 = M-
node (mixed) e 8 = H-node (hybrid)



140

10.1.3. Autorizao do Servidor DHCP
Um servidor DHCP precisa ser autorizado no Active Directory antes que ele possa iniciar a
concesso de endereos IP para os clientes. A autorizao uma precauo de segurana
para garantir que somente servidores DHCP autorizados estejam em execuo na rede. Para
autorizar um servidor DHCP, seleciona-se o domnio no rvore do snap-in e ento escolhe-se
Authorize no menu Action.

11. WINS

O servio WINS prov um banco de dados distribudo para registro e consulta de
mapeamentos dinmicos de nomes NetBIOS para computadores e grupos da rede.
NetBIOS foi desenvolvido para a IBM em 1983 pela Sytek Corporation para permitir que
aplicaes comunicassem sobre a rede.
Um nome NetBIOS um endereo nico de 16 bytes usado para identificar um recurso
NetBIOS na rede. Este nome pode ser nico (exclusivo) ou de grupo (no exclusivo). Nomes
nicos so tipicamente usados para envio de comunicaes de rede para um processo
especfico em um computador. Nomes de grupo so usados para envio de informaes para
mltiplos computadores ao mesmo tempo. Um exemplo de um processo que usa nomes
NetBIOS o servio File and Printer Sharing for Microsoft Networks em um computador
rodando Windows 2000. Quando um computador inicia, este servio registra um nome nico
baseado no nome do computador. O nome exato usado pelo servio formado pelos 15
caracteres do nome do computador seguido de um 16 caractere (0x20). Se o nome do
computador no possui 15 caracteres so colocados espaos at este nmero.
A resoluo de nomes NetBIOS o processo de mapeamento de nomes NetBIOS de
computadores para endereos IP. Um nome NetBIOS de computador precisa ser resolvido para
um endereo IP antes que o endereo IP seja resolvido para um endereo de
hardware. A implementao de TCP/IP da Microsoft usa diversos mtodos para resolver
nomes NetBIOS; contudo, o mecanismo exato pelo qual os nomes NetBIOS so resolvidos para
endereos IP depende do tipo de n (node type) configurado. A RFC 1001, Protocol Standard
for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods, define os tipos de
n NetBIOS, conforme listado na tabela abaixo:
Node Type Descrio
B-node (broadcast) B-node usa broadcast para consultas de nomes NetBIOS para registro e
resoluo
P-node (peer-peer) P-node usa um servidor de nomes NetBIOS, como o servidor
WINS, para resoluo de nomes. P-node no usa broadcast; em
vez disso consulta diretamente com o servidor de nomes
M-node (mixed) M-node uma combinao de B-node e P-node. Por padro, um


141

M- node funciona como um B-node. Se um M-node no consegue
resolver um nome atravs de broadcast, ele ento consulta um
servidor de nomes
H-node (hybrid)

H-node uma combinao de P-node e B-node. Por padro um H-
node funciona como um P-node. Se um H-node no consegue
resolver um nome atravs do servidor de nome NetBIOS, ele usa ento
broadcast

CompuLadores rodando Wlndows 2000 so 8-node por padro e Lornam-se P-node quando so
conflgurados com um servldor WlnS. Wlndows 2000 Lambem pode uLlllzar um arqulvo local
chamado LMPCS1S para resolver nomes neL8lCS remoLos. C arqulvo LMPCS1S e armazenado na pasLa
\WlnnL\SysLem32\urlvers\LLc, onde Lambem esL locallzado um arqulvo
exemplo (LMPCS1S.SAM).
Existem diversas vantagens no uso de WINS. A primeira vantagem que a requisio para
resoluo de nomes enviada diretamente do cliente para o servidor WINS. Se o servidor
WINS resolve o nome, ele envia o endereo IP diretamente para o cliente. Como
resultado, no necessrio o envio de broadcasts pela rede. Contudo, se o servidor WINS no
estiver disponvel, o cliente poder ainda usar broadcast na tentativa de resolver o nome.
Outra vantagem do uso de WINS que o seu banco de dados atualizado dinamicamente, logo
estar sempre atualizado. Isto eliminar a necessidade de arquivos LMHOSTS.
O processo de registro e consulta de nomes pelos clientes bastante simples:
Em um ambiente WINS , cada vez que o cliente inicia, o mapeamento do seu nome
NetBIOS e seu endereo IP registrado no servidor WINS configurado;
Quando um cliente WINS iniciar um comando de comunicao com outro host, a consulta
de nome enviada diretamente para o servidor WINS em vez de ser enviada para toda a rede
atravs de broadcast;
Se o servidor WINS encontra um mapeamento de nome NetBIOS e endereo IP em seu
banco de dados para o host consultado, esta informao retornada ao cliente WINS que
requisitou a consulta.
11.1. Implementao de WINS
Antes de implementar um servidor WINS em um ambiente preciso primeiro analisar se este
servio ser realmente necessrio para o melhor funcionamento da rede. Para tal, algumas
questes devem ser consideradas:
Existem clientes legados ou aplicaes que requerem o uso de nomes NetBIOS?
importante lembrar que todas os computadores da rede que rodem verses prvias dos
sistemas operacionais Microsoft, como as verses do MS-DOS, Windows ou Windows NT
requerem suporte para nomes NetBIOS para prover servios bsicos de arquivo e impresso na
rede e para suportar muitas aplicaes legadas. Windows 2000 o primeiro sistema operacional
da Microsoft que no requer o use de nomes NetBIOS.


142

Todos os computadores da rede esto configurados e aptos para suportar outro tipo de
resoluo de nomes, como o DNS?
Resoluo de nomes ainda um servio vital para localizao de computadores e recursos
atravs da rede, mesmo quando nomes NetBIOS no so requeridos. Antes de decidir
eliminar o suporte a nomes NetBIOS atravs do WINS preciso ter certeza que todos os
computadores e programas na rede estaro aptos a funcionar usando outro servio de resoluo
de nomes, como o DNS.
A rede pequena ou uma subrede roteada com mltiplas subredes?
Se tratar-se de uma pequena rede local (LAN) que ocupa um segmento fsico de rede e tem
menos de 50 clientes, provavelmente no ser necessrio o uso de servidor WINS.
11.1.1. Consideraes sobre Servidores WINS
Mesmo em redes roteadas, formadas por mltiplas subredes, somente um servidor WINS
poder ser necessrio uma vez que as requisies para resoluo de nomes so datagramas
direcionados que podem ser roteados.
O uso de dois servidores WINS poder ser interessante como uma forma de backup para
tolerncia a falhas. Se um servidor tornar-se indisponvel, o segundo servidor poder ser usado
na resoluo de nomes.
Tambm deve-se considerar as seguintes recomendaes para servidores WINS:
No existe limite para o nmero de requisies WINS que podem ser atendidas por um
servidor WINS, mas geralmente podero ser gerenciados 1500 registros e cerca de 4500
consultas por minuto;
Uma recomendao conservadora recomenda um servidor WINS e um backup para
cada10.000 clientes WINS.
Computadores com mltiplos processadores demonstram uma melhoria de
performancede aproximadamente 25% para cada processador adicional, j que processos
WINS separados so iniciados para cada processador.
Se o log da mudanas no banco de dados desabilitado (atravs do WINS Manager), os
registros de nome so mais rpidos, mas se uma falha ocorrer, existe o risco de perda das
ltimas atualizaes.
Para que o servio WINS possa ser configurado necessrio pelo menos um computador na rede
rodando Windows NT Server ou Windows 2000 Server (no necessrio que seja um
controlador de domnio). O servidor precisa ter um endereo IP, mscara de subrede
e, opcionalmente gateway padro e outros parmetros TCP/IP. O servidor WINS poder ser um
cliente DHCP, muito embora no seja recomendvel.
O cliente WINS poder ser um computador rodando os seguintes sistemas operacionais:
Windows 2000
Windows NT 3.5 ou superior


143

Windows 9x
Windows for Workgroups rodando Microsoft TCP/IP-32
Microsoft Network Client 3.0 for MS-DOS
LAN Manager 2.2c for MS-DOS
O cliente precisa ter configurado o endereo IP de um servidor WINS primrio ou um servidor
primrio e um secundrio.
11.1.2. Instalao do WINS
Para instalar o WINS, utiliza-se o utilitrio Add/Remove Programs no Control Panel. O boto
Add/Remove Windows Components fornece acesso caixa de dilogo Windows
Components Wizard.

Figura 66 Caixa de dilogo Windows Components Wizard
Nesta caixa, deve-se selecionar o item Network Services e clicar no boto Details.

Figura 67 Caixa de dilogo Networking Services
Uma vez selecionado o item Windows Internet Name Service (WINS), pode-se confirmar a
instalao do WINS.


144

11.1.3. Configurao do Servidor WINS
Na maioria dos ambientes o WINS funcionar perfeitamente sem que nenhuma configurao
adicional seja necessria. O que pode ser necessrio em algumas situaes a incluso
de mapeamentos estticos no banco de dados.
Estes mapeamentos so necessrios quando precisa-se adicionar o mapeamento de nome
NetBIOS para endereo IP de um computador que no opera como cliente WINS. Por
exemplo, servidores rodando outros sistemas operacionais (Unix ou outros) no podem
registrar um nome NetBIOS diretamente em um servidor WINS. Embora estes nomes possam
ser resolvidos atravs de um arquivo LMHOSTS ou consultando um servidor DNS deve-se
considerar o uso de mapeamentos estticos.
Para configurar um mapeamento esttico utiliza-se o snap-in WINS em Administrative Tools,
onde deve-se selecionar o item Active Registration com o boto direito e escolher o comando
New Static Mapping, conforme mostrado na figura abaixo.

Figura 68 Criao de um mapeamento esttico
Na caixa de dilogo que surgir devero ser preenchidas as informaes relacionadas ao host
cujo registro ser esttico
9
.
9
Os mapeamentos estticos constituem um recurso que s deve ser utilizado para hosts que no
registram-se automaticamente no servidor WINS, tais como sistemas operacionais que no sejam
Microsoft. No existe ganho de performance na resoluo de nomes se registrarmos estaticamente
um host que suporte registro automtico.


143


Figura 69 Caixa de dilogo New Static Mapping
A tabela a seguir descreve os itens que devero ser preenchidos nesta caixa de dilogo.
Opo Descrio
Computer name Nome NetBIOS do host
NetBIOS scope Identificador do escopo NetBIOS, se aplicvel
Type Tipo de mapeamento esttico que ser criado. Poder ser:
Unique Um nome nico mapeado para um endereo IP simples

Group Tambm referido como grupo Normal. Quando adicionada uma entrada para um grupo
usando o WINS Manager, preciso entrar com o nome do computador e seu endereo IP.
Contudo, os endereos IP para membros individuais do grupo no so armazenados no banco de
dados WINS. Pelo fato dos endereos de membros no serem armazenados, no existe limite para
o nmero de membros que podem ser adicionados ao grupo. Pacotes de nome broadcast so
usados para comunicar com membros do grupo.
Domain

um mapeamento de nome NetBIOS para endereo IP que possui 0x1C
como o 16 byte. Um grupo domnio armazena no mximo 25 endereos
para membros Name
Internet Group Grupos Internet so definidos pelo usurio para possibilitar o agrupamento
de recursos, como impressoras, para facilitar a referncia. Um grupo
Internet pode armazenar no mximo 25 endereos para membros.
Multihomed Um nome nico que pode ter mais de um endereo IP. usado para
computadores multihomed. Cada nome de grupo multihomed pode conter
um mximo de 25 endereos

146



11.1.4. Configurao de Replicao WINS
Todos os servidores WINS em uma rede podem ser configurados para replicarem seus
bancos de dados entre si. Isto garante que um nome registrado com um servidor WINS
estar disponvel nos demais servidores WINS da rede.
A replicao ocorre sempre que ocorrerem mudanas, incluindo quando um nome liberado.
A replicao de banco de dados WINS habilita um servidor WINS a resolver nomes de
hosts registrados com outro servidor WINS. Isto particularmente interessante em grandes redes
formadaspor mltiplas sub-redes dispersas remotamente.

Figura 70 Rede WAN
Na figura mostrada acima, se um host localizado na sub-rede de Blumenau precisar
estabelecer uma comunicao utilizando NetBIOS com um host de Joinville, ser necessrio
que o servidor WINS de Blumenau tenha a capacidade de resolver o nome deste host remoto.
A melhor forma de obter este resultado seria estabelecer a replicao WINS entre os servidores.
Para replicar entradas do banco de dados WINS
10
cada servidor precisa ser
configuradocomo parceiro Pull ou Push com pelo menos um outro servidor WINS. Um
parceiro Push um servidor WINS que envia uma mensagem para seu parceiro Pull
notificando sobre alguma mudana no banco de dados. Quando o parceiro Pull responde a
mensagem com uma requisio de replicao, o parceiro Push envia a cpia das novas
entradas no banco de dados.
Para configurar parceiros de replicao utiliza-se o snap-in WINS selecionado o item
Replication Partners e no menu de contexto escolhe-se o comando New Replication Partner.

10
Servidores WINS replicam apenas as novas entradas dos seus bancos de dados. O banco de
dados inteiro no copiado cada vez que ocorre a replicao.


147


Figura 71 - Configurao de novos parceiros de replicao WINS
11.1.5. Backup do Banco de Dados WINS
O snap-in WINS prov ferramentas de backup para que o banco de dados do WINS possa ser
copiado e restaurado. Quando o backup efetuado criada uma estrutura de pastas
\Wins_bak\New sob a pasta especificada como Default backup path em Server Properties.
Por padro, o caminho para o backup a pasta raiz da partio do sistema, como C:\.
Aps a especificao da pasta que conter o backup do banco de dados, o WINS efetua
um backup completo do banco a cada trs horas. WINS tambm pode ser configurado para
efetuar um backup automaticamente quando o servio parado ou quando o servidor
desligado.

12. Segurana NTFS
Permisses NTFS so um conjunto de permisses que permitem conceder ou negar acesso a
pastas e arquivos para cada usurio ou grupo. A segurana NTFS efetiva nos acessos
locais (diretamente no computador onde est localizada a pasta ou arquivo) ou nos acessos
atravs da rede.
O NTFS armazena uma lista de controle de acesso (ACL) com cada arquivo e pasta em uma
partio NTFS. A ACL contm uma lista de todas as contas de usurio, grupos e computadores
aos quais foi concedido acesso para o arquivo ou pasta, alm do tipo de acesso permitido. Para
que um usurio acesse um arquivo ou pasta, a ACL deve conter uma entrada, chamada entrada
de controle de acesso (ACE), para a conta de usurio, grupo ou computador ao qual o
usurio pertence. A entrada deve permitir especificamente o tipo de acesso que o usurio est
solicitando, para que ele consiga acessar o arquivo ou pasta. Se no existir nenhuma ACE na
ACL, o Windows 2000 negar o acesso do usurio ao recurso.
As permisses NTFS alm de especificar os usurios, grupos e computadores que podem
acessar arquivos e pastas tambm determinam o que estes podero fazer com o contedo do
arquivo ou pasta.

148

12.1. Permisses NTFS de Pasta
A tabela a seguir lista as permisses padro NTFS para pastas que podem ser concedidas e o
tipo de acesso fornecido por cada uma delas:
Permisso NTFS Permite que o usurio
Read Visualize os arquivos e as subpastas da pasta e os atributos, a
propriedade e as permisses desta pasta
Write Crie novos arquivos e subpastas na pasta, altere seus atributos e
visualize as permisses e a propriedade desta pasta
List Folder Contents Visualize os nomes dos arquivos e subpastas da pasta
Read & Execute Percorra as pastas e execute as aes permitidas pelas permisses
Read e List Folder Contents
Modify Exclua a pasta e execute as aes autorizadas pelas permisses Write
e Read & Execute
Full Control Altere as permisses, aproprie-se, exclua as subpastas e os arquivos, e
execute as aes autorizadas por todas as permisses NTFS de pasta

12.2. Permisses NTFS de Arquivo
A tabela a seguir lista as permisses NTFS de arquivo, que podem ser concedidas, e o tipo de
acesso que cada uma delas fornece ao usurio:
Permisso NTFS Permite que o usurio
Read Leia o arquivo e visualize os atributos, a propriedade e as permisses
deste arquivo
Write Substitua o arquivo, altere seus atributos e visualize a propriedade e
as permisses deste arquivo
Read & Execute Execute aplicativos e realize as aes autorizadas pela permisso
Read
Modify Modifique e exclua o arquivo e execute as aes permitidas pelas
permisses Write e Read & Execute
Full Control Altere as permisses, aproprie-se e execute as aes permitidas
portodas as outras permisses NTFS de arquivo

12.3. Mltiplas Permisses NTFS

149

Permisses de arquivos e pastas podem ser associadas a usurios ou grupos. Portanto
possvel que um usurio receba mltiplas permisses: as permisses associadas ao prprio
usurio e as permisses associadas a grupos dos quais ele faa parte.
Nestes casos, as permisses efetivas de um usurio so originadas pela combinao das
permisses de usurio e de grupos. Por exemplo, se um usurio tem a permisso Write para
uma pasta e um grupo do qual ele faa parte tem a permisso Read para a mesma pasta as
permisses efetivas do usurio sero Read e Write para esta pasta.
Uma exceo a esta regra a permisso Deny, que nega acesso a pastas ou arquivos. Se o
usurio receber esta permisso no importaro as demais permisses NTFS que ele possa
ter recebido: a permisso efetiva ser Deny.
Uma outra situao possvel um determinado usurio receber uma permisso (Write, por
exemplo) para uma pasta e receber uma outra permisso (Read, por exemplo) para um
arquivo contido na mesma pasta. Neste caso, a permisso efetiva ser Read, pois as permisses
NTFS de arquivo tm prioridade sobre as permisses NTFS de pasta.
12.4. Concesso de Permisses NTFS
As permisses NTFS so concedidas na caixa de dilogo Properties da pasta ou arquivo. Ao
conceder ou modificar as permisses NTFS pode-se adicionar ou remover usurios,
grupos ou computadores do arquivo ou pasta.

Figura 72 Propriedades de segurana de uma pasta
Na guia Security da caixa de dilogo Properties do arquivo ou da pasta, pode-se configurar as
opes descritas na tabela a seguir.
Opo Descrio
Name Seleciona a conta de usurio ou grupo para o qual deseja-se
alterar permisses ou que deseja-se remover da lista
Permissions Concede uma permisso quando marcada a caixa de seleo

130

Allow
Nega uma permisso quando voc marca a caixa de seleo
Deny
Add Abre a caixa de dilogo Select Users, Computers or Groups,
usada para selecionar contas de usurio e grupos a serem
adicionados lista Name
Remove Remove a conta de usurio ou grupo selecionado e as
permisses associadas do arquivo ou da pasta

12.5. Herana de Permisses
Por padro, as permisses concedidas a uma pasta pai so herdadas e propagadas para as
subpastas e os arquivos contidos nessa pasta.
Em geral, deve-se permitir que o Windows 2000 propague as permisses de uma pasta pai
para as subpastas e os arquivos que ela contm. A propagao de permisses simplifica a
atribuio de permisses para recursos.
No entanto, s vezes convm impedir a herana de permisses, assegurando que subpastas e
arquivos no herdaro as permisses de sua pasta pai.
Conforme mostrado na guia Security da caixa de dilogo Properties, quando a caixa de
seleo Allow inheritable permissions from parent to propagate to this object est marcada a
herana ocorrer. Para impedir que uma subpasta ou arquivo herde as permisses da pasta
pai, deve-se desmarcar essa caixa de seleo e, em seguida, selecionar uma das opes na caixa
de dilogo que surgir.

Figura 73 Propriedades de segurana de uma pasta

131


I|gura 74 - Ca|xa de d||ogo para cp|a ou exc|uso de perm|sses da pasta pa|
Opo Descrio
Copy Copia para a subpasta ou arquivo as permisses que foram
herdadas anteriormente da pasta pai e nega herana de
permisses subseqentes da pasta pai
Remove Remove da subpasta ou do arquivo a permisso que foi herdada
da pasta pai e mantm somente as permisses concedidas
explicitamente a subpasta ou arquivo

12.6. Mover e Copiar Pastas e Arquivos
Quando copia-se ou move-se um arquivo ou pasta, as permisses podem ser alteradas,
dependendo do local para o qual a pasta ou arquivo copiado ou movido.
12.6.1. Copiar Pastas e Arquivos
Quando copiam-se arquivos ou pastas de uma pasta para outra, ou de uma partio para
outra, talvez as permisses para esses arquivos ou pastas sejam alteradas. A cpia de um arquivo
ou pasta gera os seguintes efeitos nas permisses NTFS:
Quando copia-se uma pasta ou arquivo dentro de uma nica partio NTFS, a cpia da
pasta ou arquivo herda as permisses da pasta de destino;
Quando copia-se uma pasta ou arquivo entre parties NTFS, a cpia dessa pasta ou
arquivo herda as permisses da pasta de destino;
Quando copiam-se arquivos ou pastas para parties que no so NTFS (como FAT, por
exemplo), as pastas e arquivos perdem suas permisses.
Para copiar arquivos e pastas em uma nica partio NTFS ou entre parties NTFS, deve-se
possuir pelo menos a permisso Read para a pasta de origem e a permisso Write para a pasta
de destino.
12.6.2. Mover Pastas e Arquivos
Mover um arquivo ou pasta tem os seguintes efeitos nas permisses NTFS:
Quando move-se uma pasta ou arquivo em uma mesma partio NTFS, as permisses
so mantidas;

132

Quando move-se uma pasta ou arquivo entre parties NTFS, essa pasta ou arquivo
herda as permisses da pasta de destino. Na verdade, o que ocorre que a pasta ou arquivo
primeiramente copiado para o local de destino e em seguida excludo da localizao de
origem;
r Quando movem-se arquivos ou pasta para parties que no so NTFS, as permisses
so perdidas. Para mover arquivos e pastas em uma mesma partio NTFS ou entre parties
NTFS, deve-se possuir a permisso Write para a pasta de destino e a permisso Modify para a
pasta ou arquivo de origem.
12.7. Recomendaes para Concesso de Permisses NTFS
As seguintes prticas devem ser consideradas para o uso de permisses NTFS:
Conceder permisses a grupos e no a usurios. mais fcil gerenciar grupos do que
usurios. Isso mantm a ACL com poucas entradas, o que aumenta o desempenho;
Agrupar arquivos em pastas de aplicativos e dados e atribuir as permisses s pastas e
no aos arquivos;
Permitir aos usurios apenas o nvel de acesso necessrio;
Criar grupos de acordo com o tipo de acesso que seus participantes requerem para
recursos e conceder as permisses apropriadas a esses grupos;
Ao conceder permisses para pastas de aplicativos, conceder a permisso Read &
Execute aos grupos. Isso impede que os dados e arquivos de aplicativo sejam excludos ou
danificados acidentalmente por usurios ou vrus;
Ao conceder permisses para pastas de dados, deve-se conceder as permisses Read &
Execute e Write ao grupo Users e a permisso Full Control ao Creator Owner. Isso
permite que os usurios tenham a capacidade de ler e modificar os documentos criados por
outros usurios e a capacidade de ler, modificar e excluir os arquivos e as pastas criados
por eles prprios.
Em geral melhor no associar permisses do que negar permisses com o uso do
Deny. A permisso Deny s deve ser usada quando for essencial negar acesso a uma conta de
usurio ou grupo especfico.

13. Gerenciamento de Impresso

O Windows 2000 Server foi projetado para trabalhar como servidor de impresso para
clientes de diversas plataformas, como Windows 9x e Windows NT.
Antes de verificar como procedem-se as configuraes de impresso, importante estar
familiarizado com algumas terminologias relacionadas impresso adotadas pela Microsoft:

133

Dispositivo de impresso: o dispositivo de hardware que produz documentos impressos.
O Windows 2000 suporta os seguintes dispositivos de impresso:
Dispositivos de impresso locais: so os dispositivos de impresso conectados a uma
porta fsica no servidor de impresso.
Dispositivos de impresso com interface de rede: so os dispositivos de impresso
conectados a um servidor de impresso atravs da rede, e no por meio de uma porta fsica.
Impressora: a interface de software entre o sistema operacional e o dispositivo de
impresso.
Servidor de impresso: o computador em que esto localizadas as impressoras e os
drivers dos clientes. O servidor de impresso recebe e processa os documentos dos
computadores cliente.
Driver de impressora: equivale a um ou mais arquivos que contm as informaes que o
Windows 2000 precisa para converter os comandos de impresso em uma linguagem de
impressora especfica. Essa converso possibilita que um dispositivo de impresso
imprima um documento. O driver de impressora especfico para cada modelo de
dispositivo de impresso. necessrio que o driver de impressora apropriado esteja
presente no servidor de impresso.
13.1. Requisitos para Impresso em Rede
H requisitos de hardware especficos que so necessrios para a configurao de um
ambiente de impresso eficiente. Se os requisitos mnimos de hardware no forem
satisfeitos, a impresso pela rede poder ser altamente ineficiente. A configurao da impresso
em uma rede do Windows 2000 requer o seguinte:
Pelo menos um computador que funcione como servidor de impresso. Se o servidor de
impresso for usado para gerenciar muitos trabalhos de impresso pesados, a Microsoft
recomenda dedicar um servidor para a impresso. O servidor de impresso pode ser
executado de uma destas maneiras:
Windows 2000 Server, Windows 2000 Advanced Server ou Windows 2000
Datacenter Server. Um destes produtos deve ser usado quando for necessrio suporte a um
grande nmero de conexes, alm dos clientes Macintosh, UNIX e NetWare.
Windows 2000 Professional. Este produto deve ser usado quando o nmero de conexes
simultneas a partir de outros computadores para arquivo e servios de impresso for
limitado a dez, incluindo os clientes UNIX.
RAM suficiente para processar os documentos impressos. Se um servidor de impresso
gerenciar um grande nmero de impressoras ou vrios documentos grandes, ele poder precisar
de mais RAM, alm da necessria ao Windows 2000 para outras tarefas. Se um servidor de
impresso no tiver RAM suficiente para sua carga de trabalho, o desempenho da
impresso poder diminuir.
Espao em disco suficiente no servidor de impresso. necessrio que haja espao em
disco suficiente para assegurar que o Windows 2000 possa armazenar os documentos

134

enviados ao servidor de impresso at que o servidor de impresso envie os documentos ao
dispositivo de impresso. Esse um aspecto importante no caso de documentos grandes ou
que ficam acumulados. Por exemplo, se dez usurios enviarem, cada um, um documento grande
para que seja impresso ao mesmo tempo, o servidor de impresso dever ter espao em disco
suficiente para reter todos os documentos at que o servidor de impresso envie-os ao
dispositivo de impresso.
13.2. Diretrizes para um Ambiente de Impresso em Rede
Antes de configurar a impresso pela rede, importante desenvolver uma estratgia de
impresso para lidar efetivamente com as necessidades de impresso da rede. Esses
procedimentos garantiro o tratamento sem problemas dos trabalhos de impresso:
Determinar os requisitos de impresso da organizao. Isso inclui o nmero e os tipos de
dispositivos de impresso necessrios. Considerar tambm o tipo de carga de trabalho a ser
gerenciado por cada dispositivo de impresso.
Determinar os requisitos de impresso dos usurios em cada departamento. Uma carga
de trabalho de impresso maior pode precisar de mais dispositivos de impresso.
Determinar o nmero de servidores de impresso necessrios rede a fim de gerenciar o
nmero e os tipos de impressora da rede.
Determinar o local dos dispositivos de impresso.
Determinar quais trabalhos de impresso precisam de alta prioridade.
13.3. Instalao de uma Impressora
Para adicionar uma impressora compartilhada, deve-se efetuar logon como Administrator no
servidor de impresso. Em seguida, poder ser includa e compartilhada uma nova
impressora utilizando o Add Printer Wizard.
O Add Printer Wizard orienta durante as etapas necessrias para adicionar uma impressora a um
dispositivo de impresso conectado ao servidor de impresso. O nmero de dispositivos de
impresso locais que podem ser conectados a um servidor de impresso atravs de portas
fsicas depende da configurao de hardware.
A tabela a seguir descreve as opes fornecidas pelo Add Printer Wizard para adio de uma
impressora para um dispositivo de impresso local.
Opo Descrio
Local printer Esta opo indica que ser adicionada uma impressora
localizada no computador local
Use the following port

A porta no servidor de impresso qual esta conectado o
dispositivo de impresso. Pode-se tambm adicionar uma
porta. A adio de umaporta permite imprimir usando
portas de hardware que no sejam padro, como uma
conexo com interface de rede

133

Manufacturers e Printers O driver de impressora correto para o dispositivo de
impresso local
Printer name Um nome que identifica a impressora para os usurios.
Alguns aplicativos podero no suportar mais de 31
caracteres na combinao de nome do servidor e
impressora
Default printer A impressora padro de todos os aplicativos baseados no
Windows
Shared as Um nome de compartilhamento que os usurios (com a
permisso apropriada) podem usar para fazer uma conexo
com a impressora atravs da rede
Location e Comment Estas informaes podero ser usadas para localizao de
impressoras no Active Director

13.4. Configurao de Computadores Clientes
Aps adicionar e compartilhar uma impressora, deve-se configurar os computadores cliente
para que os usurios possam imprimir seus documentos. Embora a tarefa de configurao
de computadores cliente seja diferente dependendo do sistema operacional executado no
computador cliente, todos os computadores cliente requerem que um driver de impressora esteja
instalado.
13.4.1. Clientes Windows 9x ou Windows NT 4.0
Os usurios de computadores cliente que executam o Windows 95, o Windows 98 ou o
Windows NT 4.0 s precisam fazer uma conexo com a impressora compartilhada. O
computador cliente faz automaticamente o download do driver de impressora apropriado,
desde que haja uma cpia dele no servidor de impresso. Alm disso, quando o driver de
impressora para o sistema operacional do cliente atualizado no servidor de impresso, os
computadores clientes atualizaro automaticamente o driver utilizado na prxima vez que o
cliente fizer uma conexo na impressora.


136

Figura 75 Drivers adicionais
13.5. Compartilhamento de uma Impressora
Para compartilhar uma impressora j existente ser necessrio o fornecimento de algumas
informaes adicionais:
Atribuir um nome de compartilhamento impressora;
Publicar a impressora no Active Directory, de modo que os usurios possam pesquisar a
impressora mais rapidamente;
Adicionar outros drivers de impressora para computadores clientes que executam o
Windows 95, o Windows 98 ou o Windows NT 4.0 em diferentes plataformas de
hardware.

Figura 76 Compartilhamento de uma impressora
13.6. Prioridades de Impressoras
Pode-se criar vrias impressoras que apontem para o mesmo dispositivo de impresso, cada uma
com prioridades diferentes. Isso permitir que os usurios enviem os documentos crticos para
uma impressora de alta prioridade e os documentos no crticos para uma impressora de
baixa prioridade. Os documentos enviados para a impressora de alta prioridade sero impressos
primeiro.
A prioridade de uma impressora pode ser definida na guia Advanced nas propriedades da
impressora.

137


Figura 77 Propriedades avanadas da impressora
As seguintes tarefas devem ser cumpridas para definir as prioridades entre as impressoras:
Apontar duas ou mais impressoras para o mesmo dispositivo de impresso (a mesma
porta). A porta pode ser fsica no servidor de impresso ou uma porta que aponte para um
dispositivo de impresso com interface de rede;
Definir uma prioridade diferente para cada impressora conectada ao dispositivo de
impresso e, em seguida, fazer com que diversos grupos de usurios imprimam em
impressoras diferentes.
13.7. Permisses para as Impressoras
H trs nveis de permisso de impressoras: Print, Manage Documents e Manage Printer. A
tabela a seguir lista as capacidades dos diversos nveis de permisso.

Capacidade das permisses de impresso Permisso
Print
Permisso
Manage
Documents
Permisso
Manage
Printer
Imprimir documentos X X X
Pausar, continuar, reiniciar e cancelar o
prprio
documento do usurio
X X X
Estabelecer conexo com uma impressora X X X
Controlar as configuraes de trabalho para
todos
os documentos
X X
Pausar, reiniciar e excluir todos os
documentos

X X

138

Compartilhar uma impressora

X
Alterar as prioridades da impressora

X
Excluir impressoras

X
Alterar as permisses de impressoras X


139


Por padro, os administradores de um servidor e os operadores de impresso e do servidorem
um controlador de domnio possuem a permisso Manage Printer. O grupo Everyone possui
a permisso Print, e o proprietrio de um documento possui a permisso Manage Documents.

Figura 78 Permisses da impressora

14. Gerenciamento de Discos

Quando configuramos discos em um servidor Windows 2000 preciso optar entre
implementar discos bsicos ou dinmicos. O tipo escolhido determina como o espao ser
utilizado no disco rgido. Uma compreenso dos discos bsicos e dinmicos permitir
configurar os discos rgidos de uma forma mais eficiente.
14.1. Discos Bsicos
Quando instalamos um novo disco o Windows 2000 configura-o como um disco bsico. O tipo
bsico o suportado pelo Windows NT, permitindo parties de disco primrias e estendidas e
drives lgicos. Conseqentemente este tipo de disco est restrito ao limite de quatro parties
imposto pela estrutura da tabela de partio de disco (um arquivo de 64 bytes no primeiro setor
de qualquer disco; a tabela de partio lista os locais fsicos de qualquer partio lgica no
disco, mas s pode descrever quatro parties porque cada descrio ocupa 16 bytes). Estas
quatro parties podem ser primrias (ou trs primrias e uma estendida que por sua vez poder
conter drives lgicos).
No possvel criar novos conjuntos de volumes, faixas de disco nem conjuntos RAID-5 em
discos bsicos no Windows 2000. No entanto, se um Windows NT com algum destes
recursos for atualizado para Windows 2000 eles sero suportados em um disco bsico.
O disco bsico compatvel com outros sistemas operacionais e deve ser usado apenas nos
equipamentos em que uma inicializao dupla (dual boot) com o Windows 2000 for necessria.


160

Os tipos de parties que podem ser constitudas em um disco bsico so:
Primria: uma parte de espao de armazenamento utilizvel criada a partir de um
espao no alocado em um disco. Atribui-se uma letra de unidade a cada partio primria.
Estendida: uma parte do espao de armazenamento utilizvel criada a partir de
um espao no alocado em um disco quando deseja-se criar mais de quatro espaos de
armazenamento em um disco bsico. Pode-se dividir uma partio estendida em
unidades lgicas e no deve-se atribuir uma letra de unidade a uma partio estendida, e sim s
suas unidades lgicas.
Lgica: uma parte criada dentro de uma partio estendida. Deve-se atribuir a ela uma
letra de unidade sendo que no poder estender-se por vrios discos.
importante saber que ao criar parties deve-se deixar um mnimo de 1 megabyte de
espao no alocado no disco se pretende convert-lo de disco bsico para dinmico. O
processo de converso usa 1 MB de espao em cada disco dinmico para armazenar um
banco de dados que controla a configurao de todos os discos dinmicos no computador.
14.2. Discos Dinmicos
Os discos dinmicos so mais eficientes e fornecem maior capacidade e flexibilidade que os
discos bsicos. Em vez de parties, eles contm volumes que so uma parte lgica de uma
unidade de disco rgido qual atribumos uma letra de unidade ou um ponto de montagem.Os
volumes podem ser estendidos para incluir espao no contguo nos discos disponveis e
no h limite quanto ao nmero de volumes que pode ser criado por disco.
O Windows 2000 armazena as informaes sobre a configurao de disco dinmico no
prprio disco, em vez de faz-lo no Registro ou em outros locais onde elas podem
no ser atualizadas com preciso. Ele tambm duplica essas informaes em todos os discos
dinmicos de modo que uma falha em um disco rgido no afete o acesso aos dados em outros
discos.
Um disco rgido pode ser bsico ou dinmico, mas no ambos; no possvel combinar os
tipos de armazenamento em um disco. No entanto, se o computador possuir vrios discos
rgidos possvel configurar cada um deles como bsico ou dinmico.
Os tipos de volume que podem ser configurados em um disco dinmico so:
Simples: contm o espao em disco proveniente de um nico disco.
Distribudo: combina reas de espao livre de dois ou mais discos (at 32 discos
rgidos) em um volume. Quando dados so gravados em um volume distribudo, eles
so divididos em blocos de 64 KB e distribudos igualmente entre todos os discos na matriz.
Uma matriz consiste em um conjunto de dois ou mais discos. Esse processo de dividir os dados
por um conjunto de discos melhora o desempenho mas no fornece tolerncia a falhas. A
tolerncia a falhas a capacidade de um computador ou sistema operacional responder a um
desastre, como uma falha no disco rgido, sem que haja perda de dados.
Dividido: consiste na combinao do espao de dois ou mais discos (at 32 discos).


161



Quando os dados so gravados em um volume dividido, a parte desse volume que reside no
primeiro disco rgido usado preenchida primeiro e, depois, os dados so gravados no disco
rgido seguinte do volume. Se um disco especficos falhar no volume dividido, todos os dados
armazenados no volume sero perdidos. Da mesma forma que um conjunto de volumes nas
verses anteriores do Windows NT, um volume dividido permite combinar o armazenamento
em disco, mas no melhora o desempenho de disco. O desempenho de disco a velocidade na
qual o computador pode acessar dados em um ou mais discos.
Espelhados: so duas cpias idnticas de um volume simples, cada uma localizada em
um disco rgido separado. Os volumes espelhados fornecem tolerncia a falhas em caso de
uma falha no disco rgido.
RAID-5: so volumes distribudos tolerantes a falhas. O Windows 2000 adiciona
uma faixa com paridade a cada disco rgido do volume. A paridade uma tcnica matemtica
que adiciona bits a um fluxo de dados que contm informaes redundantes, permitindo a
reconstruo do fluxo de dados se parte dele estiver corrompido ou ausente. Os dados e as
informaes sobre paridade so organizados de forma que fiquem sempre em discos
separados. Um bloco de faixas de paridade existe em cada linha do disco. O Windows 2000
usa as informaes sobre paridade dessas faixas para reconstruir os dados quando um disco
rgido falha. Os volumes RAID-5 requerem no mnimo trs discos rgidos.
14.3. Criando Parties em Discos Bsicos
O armazenamento em disco bsico usado por todos os sistemas operacionais Windows
anteriores ao Windows 2000, sendo que nestes discos s pode-se criar parties
primrias, estendidas e unidades lgicas. Para criar parties primrias, utiliza-se a
ferramenta Disk Management, clicando com o boto direito do mouse em um espao no
particionado.







Um Wizard ser apresentado para auxiliar no processo de criao da partio. As opes
apresentadas podero estar diferentes, de acordo com a estrutura j existente no disco. Nas
telas exibidas a seguir apenas a opo Partio Primria est disponvel, uma vez que j
existia uma partio estendida no disco escolhido.



162










Na tela a seguir escolhe-se o tamanho da partio.






Ser possvel associar uma letra de unidade nova partio ou ainda associ-la a uma pasta.






Por fim, as informaes relacionadas com a formatao da nova partio.

14.4. Atualizando um Disco Bsico para Disco Dinmico


163


Ao configurar um novo disco, por padro, o Windows 2000 o cria como um disco bsico. Para
usar um disco dinmico, deve-se atualizar o disco bsico para um disco dinmico.
Quando o processo de atualizao estiver concludo, poder ser criada uma ampla
variedade de volumes dinmicos. O processo de converso de disco bsico para dinmico
poder ser feito a qualquer momento sem que haja perda de dados, utilizando-se o Disk
Management.







Se o disco rgido que estiver sendo atualizado contiver a partio de inicializao ou a do
sistema, ou ainda um arquivo de paginao ativo, ser necessrio reiniciar o computador
para concluir o processo de atualizao.
Quando o disco atualizado, todas as parties existentes no disco bsico tornam-se
volumes. A tabela a seguir descreve os resultados de uma atualizao.
Crganlzao de um dlsco bslco (anLes da
aLuallzao)
Crganlzao de um dlsco dlnmlco (aps a
aLuallzao)
arLles de lnlclllzao e do slsLema volumes slmples
arLlo prlmrla volumes slmples
arLlo esLendlda 1odas as unldades lglcas Lornam-se volumes
e Lodo o espao llvre Lorna-se espao no
alocado
Con[unLo de volumes de verses anLerlores do
Wlndows n1 (no mals dlsponlvels no Wlndows
2000)
volume dlvldldo
lalxas de dlsco de verses anLerlores do
Wlndows n1 (no mals dlsponlvels no Wlndows
2000)
volume dlsLrlbuldo
Con[unLo de espelhos de verses anLerlores do
Wlndows n1 (no mals dlsponlvel no Wlndows
2000)
volume espelhado
Faixas de disco com paridade de verses
anteriores do Windows NT (no mais disponvel
no Windows 2000)
Volume RAID-5



164

14.4.1. Reverter para um Disco Bsico
No possvel converter um disco dinmico em um disco bsico e manter a estrutura e os
dados do disco dinmico. Para reverter um disco dinmico em bsico preciso configurar o
disco bsico vazio, sem os dados armazenados no disco dinmico. Exclui-se os dados e
volumes no disco dinmico e recria-se uma partio bsica a partir do novo espao no alocado.
Para reverter um disco dinmico para bsico, aps excluir os dados e volumes do disco, clica-se
com o boto direito sobre o disco (a partir do Disk Management) e escolhe-se Revert To
Basic Disk.
14.4.2. Criando Volumes Simples
Um volume simples contm espao em disco em um nico disco e criado a partir do espao
no alocado em um disco dinmico. Embora um volume simples se parea com uma partio,
ele no possui a limitao de tamanho que a partio possui, e tambm no h restrio
quanto ao nmero de volumes que pode ser criado em um nico disco. Alm disso, possvel
adicionar espao a um volume simples, ou estend-lo, posteriormente.
Os volumes simples usam os formatos de sistema de arquivos NTFS, FAT ou FAT32. No
entanto, s ser possvel estender um volume se ele estiver formatado com o NTFS.
Os volumes simples no so tolerantes a falhas, no entanto, possvel criar um espelho de um
volume simples, ou volume espelhado, para fornecer esse recurso.
Para criar um volume simples, clica-se com o boto direito do mouse no espao no alocado no
disco dinmico e, em seguida, clica-se em Create Volume para acessar o assistente que guiar
o restante dos passos.
14.4.3. Estendendo Volumes Simples
Pode-se estender um volume simples formatado com NTFS para incluir o espao no alocado
contguo ou no contguo pertencente a qualquer disco dinmico. Isso significa que
possvel adicionar espao em disco a um volume existente em vez de reconfigurar todos os
discos rgidos. As excees incluem qualquer volume que contm arquivos de sistema ou de
inicializao ou um arquivo de paginao ativo.
Para estender um volume simples, clica-se com o boto direito do mouse no volume simples
desejado no Disk Management e escolhe-se Extend Volume.
14.5. Tarefas Comuns do Disk Management
As tarefas de gerenciamento de discos so um conjunto de tarefas executadas atravs do
Disk Management. O Disk Management fornece um local central para exibir as
informaes e executar as tarefas de gerenciamento de discos, como, por exemplo, reparar e
excluir parties e volumes.
Periodicamente podem ocorrer falhas em um disco ou volume que precise ser reparado ou
excludo. O Disk Management permite localizar rapidamente os problemas de
armazenamento em disco. possvel exibir o status de um disco ou volume, reparar um
disco se possvel, ou excluir o disco se este no puder ser reparado.


163


14.5.1. Status do Disco
A tabela a seguir analisa os diferentes tipos de status de disco e as aes a serem executadas em
cada status.
SLaLus do dlsco Ao
PealLhy (lnLegro) para volumes ou Cnllne para

nenhuma ao necessrla
lalled: lncompleLe volume (lalha: dlsco

lmporLar os dlscos resLanLes para o con[unLo
lorelgn (LxLerno) lmporLar o dlsco exLerno
lalled 8edundancy (lalha de redundncla) lmporLar o dlsco resLanLe para o con[unLo

14.5.2. Reparando Parties e Volumes
Se um disco ficar off-line por ter sido corrompido, por interrupo de fornecimento de energia
ou desconexo, pode haver problemas com as parties de disco bsico e com volumes de
disco dinmico. Se isso acontecer, ser necessrio reparar as parties ou volumes, clicando
com o boto direito do mouse na partio ou volume que esteja marcada como Missing
(Ausente) ou Offline e clicar em Reactivate Disk (Reativar disco). O disco dever estar
marcado como Online aps ter sido reativado.
14.5.3. Excluindo Parties e Volumes
possvel excluir qualquer partio de disco bsico ou volume de disco dinmico, exceto o
volume ou partio do sistema ou de inicializao ou ainda qualquer partio ou
volume que contenha um arquivo de paginao ativo. Alm disso, ser necessrio excluir
todas as unidades lgicas ou outros volumes antes de excluir a partio ou volume estendido.
Para excluir uma partio, clica-se com o boto direito do mouse na partio ou volume
desejado e, em seguida, em Delete Partition ou Delete Volume.
14.6. Adicionando Discos
Para adicionar um novo disco rgido a um computador que oferea suporte a hot swapping
basta instalar ou anexar fisicamente o disco e, em seguida, clicar em Rescan Disks no menu
Action do Disk Management. O comando Rescan Disks deve ser usado sempre que for
adicionado um disco com suporte a hot swapping para que o Disk Management possa
examinar novamente e registrar o disco.
Nessa situao, normalmente no ser necessrio reiniciar o computador. No entanto se o
disco no for detectado poder ser preciso reiniciar o computador.
14.6.1. Adicionando Discos de Outros Computadores


166

Poder ser necessrio transferir um disco de um computador para outro e, na maioria dos
casos, o Windows 2000 importa automaticamente um disco que contm dados. No entanto,
se o status do disco aparecer como Foreign, deve-se clicar como o boto direito do mouse
e escolher Import Foreign Disk.
14.6.2. Importando Volumes Completos
H diversas formas de importar volumes incompletos. Para cada uma delas, existe uma
mensagem de status diferente:
Se o status de um volume importado for exibido como Failed: Incomplete Volume,
um disco que contm parte de um volume distribudo ou expandido foi importado, mas suas
partes restantes no foram importadas. Isso tambm se aplica aos volumes RAID-5 se dois
ou mais discos no forem importados. Ser necessrio importar os discos restantes para
completar o volume. No ser possvel acessar o volume at que os discos restantes
sejam importados.
Se o status de um volume importado for exibido como Failed Redundancy, provvel
que um volume espelhado ou RAID-5 tenha sido importado, mas no tenha sido possvel
importar um ou mais volumes que contm as partes restantes desse volume. possvel acessar
os dados no volume, mas a redundncia ser perdida. Pode-se importar os discos restantes
para completar o volume e restaurar a redundncia.
14.7. Desfragmentando Parties
O Windows 2000 tenta salvar arquivos ou pastas em locais no disco rgido que tenham
espao suficiente para acomodar o arquivo ou pasta por completo. Caso no haja um
local apropriado, o Windows 2000 salva fragmentos do arquivo ou pasta em vrios
locais. Esta fragmentao de arquivos no disco rgido reduz o desempenho do sistema
porque o computador deve ler dados de arquivo em vrios locais no disco rgido. O Disk
Defragmenter pode localizar e reorganizar os fragmentos em um nico espao no disco rgido.
A janela do Disk Defragmenter possui trs painis que fornecem as informaes a seguir:
O painel superior lista as parties que podem ser analisadas e desfragmentadas.
O painel do meio, chamado Analisys Display, fornece uma representao grfica de quo
fragmentada a partio est em um ponto especfico.
O painel inferior, chamado Defragmentation Display, fornece uma representao grfica da
partio durante a aps a desfragmentao.


167



14.8. Prticas Recomendadas
A tabela a seguir lista algumas das prticas recomendadas a serem consideradas para
problemas de configurao de discos e de armazenamento em discos.
Melhor Cpo 8azo
ManLer sempre um mlnlmo de 1 M8 llvre em
cada dlsco bslco
lsLo permlLlr converLer o dlsco para dlnmlco.
C espao de 1 M8 e usado para armazenar as
lnformaes sobre a conflgurao do dlsco.
usar o n1lS para obLer a malor flexlbllldade
posslvel nos meLodos de armazenamenLo em
dlsco
C n1lS permlLe a malor proLeo de segurana e
o uso compleLo de Lodos os aspecLos do
armazenamenLo dlnmlco.
Crlar um volume espelhado no dlsco conLendo
os arqulvos de lnlclallzao
ermlLlr que o servldor conLlnue funclonando
no caso de uma falha no dlsco de lnlclallzao.
lmplemenLar um volume 8Alu-3 para proLeger
os dados de uma falha em um unlco dlsco
lsLo permlLe que os dados se[am proLegldos e
permlLe que os usurlos conLlnuem a acessar os
dados no caso de uma falha em um unlco dlsco.
ManLer reglsLros gravados com as lnformaes
sobre a conflgurao do dlsco
Lm servldores de alLa capacldade e amblenLes
que usam a Lolerncla a falhas, a conflgurao
do dlsco pode ser complexa. 8ecrlar as
lnformaes sobre a conflgurao da unldade e
resLaurar os dados no caso de uma falha do
dlsco ser mals fcll se houver reglsLros com as
lnformaes sobre a conflgurao.
usar o ulsk uefragmenLer regularmenLe para
maxlmlzar o acesso a dados
C acesso a dados Lem seu desempenho
reduzldo com o Lempo devldo a fragmenLao
de arqulvos. Com o uso regular do ulsk
uefragmenLer, pode-se maxlmlzar o acesso de
usurlos e a[udar a evlLar uma reduo do
desempenho.


168


15. Proteo contra Perda de Dados

15.1. Tolerncia a Falhas e Recuperao de Desastres
Tolerncia a falhas a capacidade de um computador ou sistema operacional responder a um
evento catastrfico, como uma falha de energia ou de sistema, de modo que nenhum dado seja
perdido e o trabalho em andamento no seja comprometido. Os sistemas totalmente
tolerantes a falhas usam controladores de disco e sistemas de alimentao redundantes, alm de
subsistemas de disco tolerantes a falhas. Eles geralmente incluem um sistema de alimentao
ininterrupta (UPS) para proteger-se contra a falha de energia local.
Embora os dados fiquem disponveis e atualizados em um sistema tolerante a falhas, deve-se
fazer cpias de backup para proteger as informaes dos discos rgidos contra
excluses equivocadas, incndios, roubos e outros desastres fsicos. A tolerncia a falhas do
disco no deve ser considerada uma alternativa para a estratgia de backup com
armazenamento off-site, que o mtodo mais seguro para recuperao de dados perdidos ou
danificados.
Recuperao de desastres o processo de restaurao de um computador depois de um
desastre, que permite aos usurios efetuarem logon e obterem acesso aos recursos do sistema.
O ideal que as tcnicas de restaurao de desastres retornem os computadores
danificados ao mesmo estado em que estavam antes do desastre ocorrer.
15.2. Sistema de Alimentao Ininterrupta
Um tipo comum de desastre a perda de energia local, que pode resultar em perda de dados ou
dados corrompidos em um servidor ou computador cliente. Embora as empresas
geralmente protejam os servidores contra esse tipo de desastre, deve-se tambm considerar o
fornecimento de proteo contra perda de energia para computadores cliente, dependendo
da confiabilidade do sistema de alimentao do utilitrio local. Isso fornece uma segurana
adicional contra perdas de dados acidentais durante uma interrupo de energia.
O Uninterruptible Power Supply (sistema de alimentao ininterrupta) fornece eletricidade
durante interrupes de energia causadas por problemas na rede pblica de energia. Os
dispositivos UPS geralmente so regulados para fornecer uma quantidade especfica de
energia por um determinado perodo de tempo. Em geral, um UPS deve fornecer energia
suficiente para que seja possvel, pelo menos, desligar o computador de forma ordenada,
salvando trabalhos, encerrando processos e fechando sesses.
15.2.1. Configuraes do Servio UPS
Depois que o computador estiver conectado ao UPS e ligado, e o UPS estiver conectado ao
computador com um cabo serial (ou um cabo especificado pelo fabricante), ser possvel
selecionar e configurar o UPS.
Para selecionar o suporte ao UPS no Windows 2000 deve-se abrir Power Options no Control
Panel


169




Em seguida seleciona-se a guia UPS e clica-se no boto Select.

Figura 79 Incio da configurao do UPS
Na caixa que se apresenta escolhe-se o fabricante, o modelo e a porta atravs da qual o
computador est conectado ao UPS.

Figura 80 Seleo do Fabricante
Pode-se agora efetuar as configuraes de funcionamento do Servio UPS clicando no boto
Configurar na caixa de dilogo UPS Properties.


170


Figura 81 Configurao do UPS
Na caixa de dilogo UPS Configuration personaliza-se as seguintes configuraes:
Com a caixa Enable all notifications ativada seleciona-se o nmero de segundos entre a
falha de energia e a primeira notificao (Seconds between power failure and first
notification) e o nmero de segundos entre as notificaes de falha de energia seguintes
(Seconds between subsequent power failure notifications).
Nas configuraes de Critical alarm determina-se o nmero total de minutos na
bateria antes da emisso do alarme crtico (Minutes on battery before critical alarm), o
programa a ser executado quando o alarme ocorrer (When the alarm occurs, run this
program) e instrues para que o computador seja desligado mediante a ativao do alarme
crtico (Next, instruct the computer to).
Importante observar que as opes de configurao para o servio UPS podem variar de
acordo com o dispositivo UPS utilizado. Alguns fabricantes de UPS fornecem seu prprio
software para tirar proveito dos recursos exclusivos de seus dispositivos, como logs de
eventos de energia, envio de e-mail ou mensagens de Pager para problemas de energia,
gerenciamento remoto atravs de um navegador Web, entre outros.
tambm importante testar o funcionamento do dispositivo e do servio UPS simulando uma
falha de energia. Neste teste deve-se observar se as mensagens acontecero de acordo com
o configurado e se os eventos sero registrados. recomendvel inclusive aguardar at que a
bateria do UPS atinja um nvel baixo para verificar se ocorrer um desligamento automtico
ordenado.
15.3. Tipos de Implementaes de RAID
Para manter o acesso aos dados durante a perda de um nico disco rgido, o Windows 2000
Server fornece uma implementao de software de uma tecnologia de tolerncia a falhas
conhecida como matriz redundante de discos independentes (RAID). O RAID fornece
tolerncia a falhas implementando a redundncia de dados. Com a redundncia de dados,


171

um computador grava os dados em vrios discos de modo que, se um disco falhar, as
informaes ainda ficaro disponveis.
Existem duas maneiras de implementar a tolerncia a falhas no Windows 2000: uma
implementao de RAID de software ou uma implementao de RAID de hardware. O
Windows 2000 prov trs implementaes de RAID de software.
15.3.1. Implementao de RAID de Software
11

Em uma implementao de RAID de software, o sistema operacional fornece um mecanismo
para garantir a redundncia de dados. O Windows 2000 Server oferece suporte a trs tipos de
RAID de software, conforme descrito nas sees a seguir.
RAID 0
O RAID 0 tambm conhecido como Distribuio em Discos, onde um volume armazena
dados em faixas de dois ou mais discos fsicos. Os dados de um volume distribudo so
alocados de forma alternada e uniforme nas faixas nesses discos. Os volumes distribudos
oferecem o melhor desempenho de todos os tipos de volume disponveis no Windows
2000, mas no fornecem tolerncia falhas.
RAID 1
O RAID 1 tambm conhecido como Espelhamento de Disco. Nesta implementao os
dados so gravados em dois discos simultaneamente. Se um disco falhar, o sistema usar os
dados do outro disco para continuar a operao. O Windows grava todos os dados no disco
primrio e no secundrio ou espelhado, de forma que apenas 50% do total de espao em disco
disponvel pode ser usado.
RAID 5
Os volumes RAID 5 compartilham dados em todos os discos de uma matriz. O RAID nvel 5
exclusivo porque grava as informaes de paridade em todos os discos. Informaes de
paridade so as informaes redundantes associadas a um bloco de informaes. No
Windows 2000 Server, a paridade um valor calculado usado para reconstruir os dados
depois de uma falha. O Windows 2000 obtm a redundncia de dados organizando um bloco
de dados e suas informaes de paridade em diferentes discos na matriz.


11
Com as implementaes de RAID de software no h tolerncia a falhas at que sua causa
seja corrigida. Se ocorrer uma segunda falha antes da regenerao dos dados perdidos na
primeira, deve-se restaurar os dados a partir de uma cpia de
backup.




172

15.3.2. Implementao de RAID de Hardware
Em uma implementao de hardware, a interface do controlador do disco trata da criao e
regenerao de informaes redundantes. Alguns fornecedores de hardware implementam
a proteo de dados RAID diretamente no hardware, como fazem com as placas
controladoras da matriz de discos. Como esses mtodos so especficos de cada fornecedor e
ignoram os drivers de software tolerantes a falhas do sistema operacional, normalmente geram
um melhor desempenho se comparados s implementaes de RAID de software. Alm disso,
as implementaes de RAID de hardware geralmente incluem recursos extras, como hot
swapping de discos rgidos com falhas e memria cache dedicada, para um desempenho
aprimorado.
Os seguintes pontos devem ser considerados para optar entre uma implementao de RAID
por software ou por hardware:
A tolerncia a falhas de hardware mais cara do que a de software;
A tolerncia a falhas de hardware geralmente faz com que o computador tenha
um desempenho mais rpido do que a tolerncia a falhas de software;
As solues de tolerncia a falhas de hardware podem limitar as opes de equipamento
a um nico fornecedor.
As solues de tolerncia a falhas de hardware podem implementar o hot swapping de
discos rgidos para permitir a substituio de um disco rgido com falhas sem que seja
preciso desligar o computador.
15.3.3. Implementao de RAID 1 no Windows 2000: Volumes Espelhados
12

Um volume espelhado usa o driver de tolerncia a falhas (Ftdisk.sys) do Windows 2000
Server para gravar os mesmos dados simultaneamente no volume de cada membro em cada um
dos dois discos fsicos. Cada volume considerado um membro do volume espelhado. A
implementao de um volume espelhado o ajuda a assegurar que os dados no sejam perdidos
no caso de falha de um membro do volume espelhado.
Os volumes espelhados podem melhorar o desempenho de leitura, pois o driver de tolerncia a
falhas l a partir dos dois membros do volume de uma s vez. Pode ocorrer uma pequena queda
no desempenho de gravao, j que o driver de tolerncia a falhas deve gravar nos dois
membros. Quando um membro de um volume espelhado falhar, o desempenho voltar ao
normal, pois o driver de tolerncia a falhas estar trabalhando com apenas uma partio.

12
um volume espelhado pode conLer qualquer parLlo, lncluslve a parLlo de lnlclallzao ou de
slsLema. no enLanLo, ambos os dlscos em um volume espelhado devem ser dlscos dlnmlcos do
Wlndows 2000.


173

De forma resumida, as principais vantagens e desvantagens dos volumes espelhados so:
Oferecem suporte a volumes do tipo tabela de alocao de arquivos (FAT) e a
volumes do sistema de arquivos NTFS;
Com eles, pode-se proteger as parties de sistema ou de inicializao;
Requerem dois discos rgidos;
Tm um alto custo por megabyte porque apenas 50% dos discos so utilizados para
armazenamento de dados;
Tm um bom desempenho de leitura e gravao;
Usam menos memria do sistema se comparados aos volumes RAID-5.
15.4. Duplexao de Discos
Se o mesmo controlador de disco que controla os dois discos fsicos em um volume
espelhado falhar, nenhum membro do volume espelhado ficar acessvel. Instalando-se um
segundo controlador no computador cada disco no volume espelhado ter o seu prprio
controlador. Essa organizao, chamada de duplexao de discos, pode proteger o volume
espelhado contra falhas no controlador e no disco rgido. A duplexao de discos tambm
reduz o trfego do barramento e provavelmente pode melhorar o desempenho de leitura.
A duplexao de discos um aprimoramento de hardware para um volume espelhado do
Windows 2000 e no requer nenhuma configurao de hardware adicional.
15.5. Configurao de RAID 1
Utiliza-se o Create Volume Wizard no Computer Management para criar volumes espelhados a
partir de espao no alocado em discos dinmicos (so necessrios dois discos dinmicos
para criar um volume espelhado).
Para criar um volume espelhado a partir do espao no alocado em dois discos dinmicos,
basta clicar com o boto direito do mouse na rea de espao no alocado e, em seguida,
escolher Create Volume. Na pgina Select Volume Type escolhe-se Mirrored volume
para em seguida escolher os dois discos dinmicos que comporo o espelhamento. Para
completar escolhe-se a letra de unidade e executa-se o procedimento de formatao.
Para espelhar um volume existente em um disco dinmico basta clicar com o boto direito do
mouse no volume que deseja-se espelhar e escolhe-se Add Mirror. Por fim, seleciona-se o
segundo disco e clica-se em Add Mirror.
15.6. Configurao de RAID-5
Para criar um volume RAID-5 ser necessrio clicar com o boto direito do mouse na rea de
espao no alocado, escolher Create Volume, selecionar RAID-5 volume como o tipo de
volume desejado e selecionar pelo menos trs discos dinmicos na pgina Select Disks. Para
finalizar ser preciso ainda escolher uma letra de unidade e formatar o volume.


174


Recuperao de Falhas em Volumes Espelhados
Quando um membro de um volume espelhado falha, o outro continua a funcionar, mas no
mais tolerante a falhas. Para evitar a perda potencial de dados, necessrio recuperar o
volume espelhado o mais rapidamente possvel.
O status do volume que falhou aparecer como Failed Redundancy (Falha de redundncia) no
Disk Management, e um dos discos ser exibido como Offline, Missing ou Online (Errors).
O mtodo usado para recuperar o volume espelhado depender do status do disco.
Nota: Se o Windows 2000 no reparar o volume, talvez a nica opo seja exclu-lo. Isso
ocorre em situaes em que o disco est gravemente danificado ou no pode ser reparado.
Recuperando um volume em um disco identificado como Offline ou Missing
Certificar-se de que o disco est conectado ao computador e ligado;
No Disk Management, clicar com o boto direito d mouse no disco identificado
como Missing ou Offline e, em seguida, clicar em Reactivate Disk.
O status do disco dever retornar a Healthy e o volume espelhado dever ser regenerado
automaticamente.
Recuperando um volume espelhado que falhou em um disco identificado como Online
(Errors)
Clicar com o boto direito do mouse no disco e, em seguida, clicar em Reactivate Disk.
O status do volume dever retornar a Healthy e o volume espelhado dever ser regenerado
automaticamente.
Substituindo um disco e criando um novo volume espelhado
Se os procedimentos anteriores no reativarem o disco ou se o status do volume no retornar a
Healthy, ser necessrio substituir o disco que falhou e criar um novo volume espelhado,
seguindo estas etapas:
Clicar com o boto direito do mouse no volume espelhado do disco que falhou e, em
seguida, clicar em Remove Mirror;
Na caixa de dilogo Remove Mirror, clicar no disco que falhou e, em seguida, clicar
em Remove Mirror (uma confirmao ser solicitada);
Clicar com o boto direito do mouse no volume que deseja-se espelhar e, em seguida,
clicar em Add Mirror;
Selecionar o segundo disco do volume e clicar em Add Mirror.
Recuperando um volume RAID-5 que falhou


173

Quando um membro de um volume RAID-5 falha, os outros membros continuam a funcionar,
embora o volume no seja mais tolerante a falhas. Para evitar a perda potencial de
dados, necessrio recuperar o volume RAID-5 o mais rapidamente possvel.
O status do volume que falhou aparecer como Failed Redundancy no Disk Management e um
dos discos ser exibido como Offline, Missing ou Online (Errors). O mtodo usado para
recuperar o volume RAID-5 depende do status do disco.
Recuperando um volume RAID-5 que falhou em um disco identificado como Offline ou
Missing
Para recuperar um volume RAID-5 quando o status do disco for Offline ou Missing, estas
etapas devem ser seguidas:
Certificar-se de que o disco esteja conectado ao computador e ligado;
Clicar com o boto direito do mouse no disco identificado como Missing ou Offline e,
em seguida, clicar em Reactivate Disk.
O status do disco dever retornar a Healthy e o volume RAID-5 dever ser regenerado
automaticamente.
Recuperando um volume RAID-5 que falhou em um disco identificado como Online
(Errors)
Para recuperar um volume RAID-5 quando o status do disco for Online (Errors), clicar com o
boto direito do mouse no disco e, em seguida, clicar em ractivate Disk. O status do volume
dever retornar a Healthy e o volume RAID-5 dever ser regenerado automaticamente.
Substituindo um disco e regenerando um volume RAID05
Se os procedimentos anteriores no reativarem o disco ou se o status do volume no retornar a
Healthy, ser necessrio substituir o disco que falhou e regenerar o volume RAID-5.
Para regenerar um volume RAID-5 usando um disco diferente, estas etapas devem ser
seguidas:
Clicar com o boto direito do mouse no volume RAID-5 do disco que falhou e,
em seguida, clicar em Rapair Volume;
Na caixa de dilogo Repair RAID-5 Volume selecionar o disco que substituir o disco
que falhou no volume RAID-5 e clicar em OK.

16. Ferramentas para Recuperao de Desastres

Se houver um desastre, o Windows 2000 fornecer vrias opes que podem ser usadas na
tentativa de restaurar o computador. Com o correto uso destas opes pode-se restaurar
um computador de modo que ele volte a funcionar normalmente.


176

16.1. Opes Avanadas de Inicializao
O Windows 2000 inclui opes avanadas de inicializao
13
usadas para solucionar
problemas de inicializao e para conectar o computador a um depurador. Essas opes
melhoram a capacidade de diagnosticar e solucionar problemas de inicializao e
incompatibilidade de drivers no Windows 2000.
A tabela a seguir descreve as opes avanadas de inicializao do Windows 2000:
Opo Descrio
Safe Mode Carrega somente os dispositivos e
drivers bsicos necessrios para iniciar o
computador, inclusive mouse, teclado,
dispositivos de armazenamento em massa,
vdeo base e o conjunto padro de servios
do sistema. Esta opo tambm cria um
arquivo de log
Safe Mode with Networking Carrega somente os dispositivos e
drivers bsicos necessrios para iniciar o
computador e habilitar a rede. Esta opo
tambm cria um arquivo de log
Safe Mode with Command Prompt Carrega as opes do modo de segurana,
mas inicia um prompt de commando em vez
da interface grfica do usurio. Esta opo
tambm cria um arquivo de log
Enable Boot Logging Cria um arquivo de log que faz referncia
a todos os drivers e servios carregados (ou
no) pelo sistema. Esse arquivo de log
chamado Ntbtlog.txt e est localizado na
pasta raiz do sistema (que tambm contm
os arquivos de sistema do Windows 2000)
Enable VGA Mode Carrega o driver VGA bsico. Este modo
ser til se um driver de vdeo estiver
impedindo que o Windows 2000 seja
iniciado de modo adequado
Last Known Good Configuration Usa as informaes sobre a ltima
configurao vlida contidas no Registro
para iniciar o computador
Directory Services Restore Mode Permite a restaurao e manuteno do
Active Directory, e a restaurao da pasta
Sysvol nos controladores de domnio
Debugging Mode Envia informaes de depurao para
outro
computador atravs de um cabo serial
Nota: Um controlador de domnio pode utilziar as opes Safe Mode e Safe Mode with
Command Prompt, mas os servios do Active Directory no ficaro disponveis.

13
Para exibir as opes avanadas de inicializao, basta pressionar F8 durante a fase de seleo
do sistema operacional no processo de inicializao do Windows 2000.


177

16.2. Recuperando um Computador com o Recovery Console
O Recovery Console no Windows 2000 um console de linha de commando que pode ser
iniciado a partir do Setup do Windows 2000. O Recovery Console ser especialmente til
se for preciso reparar um sistema copiando um arquivo de um disco ou CD para a unidade de
disco rgido, ou se for preciso reconfigurar um servio que est impedindo o computador de ser
iniciado da forma adequada.
Pode-se usar o Recovery Console para:
Iniciar e interromper servios;
Ler e gravar dados em uma unidade local (inclusive unidades formatadas com o sistema
de arquivos NTFS);
Formatar discos rgidos e exibir arquivos de sistema ocultos.
16.2.1. Instalando o Recovery Console
Para instalar o Recovery Console, executa-se o comando Winnt32 com a opo /cmdcons.
Para acessar o Recovery Console basta escolher esta opo no menu de inicializao do
sistema
14
.
Ao iniciar o Recovery Console, deve-se especificar em qual instalao do Windows 2000
deseja-se efetuar logon (mesmo em um computador configurado para inicializao
nica). necessrio efetuar logon como administrador.
14
1ambem e posslvel acessar o 8ecovery Console usando os dlscos de lnsLalao ou o Cu do Wlndows
2000 para lnlclar o compuLador e seleclonado a opo 8ecovery Console quando sollclLado a escolher as
opes de reparao
16.2.2. Comandos do Recovery Console
Ao executar o Recovery Console, possvel obter ajuda sobre os comandos disponveis
digitando help no prompt de comando. A tabela a seguir descreve os comandos disponveis
no Recovery Console:
Comando Descrio
Chdir (cd) Exibe o nome da pasta atual ou altera a
pasta atual
Chkdsk Verifica um disco e exibe um relatrio de
status
Cls Limpa a tela
Copy Copia um nico arquivo para um outro local
Delete (Del) Exclui um ou mais arquivos
Dir Exibe a lista dos arquivos e subpastas de
uma pasta
Disable Desativa um driver de dispositivo ou servio
do sistema
Enable Inicia ou ativa um driver de dispositivo
ou servio do sistema


178


Exit Sai do Recovery Console e reinicia o
computador
Fdisk Gerencia as parties nos discos rgidos
Fixboot Grava um novo setor de inicializao
na partio do sistema
Fixmbr Repara o registro de inicializao mestre
do setor de inicializao da partio
Format Formata um disco
Help Exibe a lista dos comandos usados
no Recovery Console
Logon Efetua logon em uma instalao do
Windows
2000
Map Exibe os mapeamentos de letras de unidade
Mkdir (md) Cria uma pasta
More Exibe um arquivo de texto
Rmdir (rd) Exclui uma pasta
Rename (ren) Renomeia um nico arquivo
Systemroot Define a pasta atual como a pasta raiz
do sistema do sistema ao qual estiver-se

16.3. Recuperando um Computador com o Processo de Reparao de Emergncia
Utiliza-se o processo de reparao de emergncia para tentar recuperar o Registro, arquivos do
sistema, setor de inicializao da partio e ambiente de inicializao. No entanto, o sucesso
deste processo poder depender da existncia do ERD (Emergency Repair Disk), que deve ser
criado com o utilitrio de backup do Windows 2000. Se no existir um ERD, ainda pode-se tentar
utilizar este processo para consertar um sistema, mas talvez no seja possvel solucionar todos os
problemas.
O processo de criao do ERD bastante simples, bastando escolher no utilitrio de Backup a
opo Emergency Repair Disk.








Tambm pode-se determinar que seja feito um backup do Registro na pasta de reparao para
auxiliar na recuperao do sistema caso o Registro seja danificado.



179




O ERD deve ser devidamente identificado e armazenado em local seguro, alm de
freqentemente dever ser atualizado.

16.3.1. Usando o rocesso de keparao de Lmergnc|a
As sees a seguir fornecem uma vlso geral do processo de reparao de emergncla.
Nota: O processo de reparao conta com as informaes salvas na pasta \Winnt\Repair. Esta
pasta, portanto, no deve ser alterada ou excluda.
Iniciar o computador usando os discos ou o CD de instalao do Windows 2000
A primeira etapa do processo de reparao de emergncia iniciar o computador com
problemas usando os discos ou o CD de instalao do Windows 2000.
Escolher as opes de reparao durante a instalao
Aps a inicializao do computador, o Setup iniciado. Durante o Setup, escolhe-se
continuar instalando o sistema operacional Windows 2000. Durante a instalao, especifica-
se se ser realizada uma instalao de uma verso nova do Windows 2000 ou uma reparao
de uma j existente. Para reparar um sistema danificado ou corrompido, pressiona-se R.
Deve-se ento escolher entre o Recovery Console e o processo de reparao de
emergncia. Pressiona-se novamente R para reparar o sistema usando o processo de reparao de
emergncia.
Escolher o tipo de reparao
Posteriormente, escolhe-se a opo de reparao a ser usada. A opo de reparao mais rpida
no requer nenhuma interao do usurio. Esta opo tenta reparar os problemas
relacionados ao Registro, aos arquivos do sistema, ao setor de inicializao da partio no
volume de inicializao a ao ambiente de inicializao (se existir uma configurao de
inicializao dupla).
A opo de reparao manual requer interveno do usurio. Esta opo permite optar por
reparar arquivos do sistema, problemas no setor de inicializao da partio ou no ambiente
de inicializao, mas no problemas com o Registro.



180

Iniciar o processo de recuperao
Para iniciar o processo de reparao, deve-se verificar a existncia do ERD de 1.44 MB
criado como o utilitrio de backup. O CD original do Windows 2000 tambm dever estar
disponvel. Caso no exista um ERD, o processo de reparao de emergncia tentar localizar
os arquivos de instalao do Windows 2000 e comear a reparar o sistema, mas pode ser que o
processo falhe.
Reiniciar o computador
Se o processo de reparao de emergncia tiver sido concludo com xito, o computador ser
reiniciado automaticamente e o sistema voltar a funcionar normalmente.

17. Tcnicas de Medio de Performance

Uma das tarefas de um profissional responsvel pelo correto funcionamento de uma ambiente
computacional baseado em Windows 2000 monitorar os recursos do sistema nos servidores a
fim de avaliar a carga de trabalho e observar possveis gargalos. Com isso, espera-se do
profissional a devida interveno antes que o gargalo provoque problemas visveis aos usurios
do ambiente.
O Windows 2000 possui ferramentas para o monitoramento dos recursos do sistema, como por
exemplo, o System Monitor, que deve ser usado para coletar e exibir dados em tempo real ou
registrados previamente sobre a atividade da rede, do processador, do disco e da memria.
17.1. Anlise e Otimizao do Servidor
Anlise e otimizao do servidor consiste em saber quais as aes a executar para melhorar o
desempenho do sistema em resposta demanda.
A anlise e otimizao do servidor comeam pela manuteno cuidadosa e organizada dos
registros. Isto feito com o objetivo de analisar a utilizao do recurso para determinar a
demanda futura ao sistema. A anlise de performance de um servidor Windows 2000 envolve a
procura pela superutilizao de qualquer recurso de hardware que cause reduo no desempenho
do sistema.
Vrios recursos precisam ser monitorados ao implementar uma estratgia para anlise e
otimizao do servidor. Os recursos a seguir tm, freqentemente, o maior impacto no
desempenho do servidor:
Memria
Processador
Subsistema de disco
Subsistema de rede


181

Ao monitorar recursos do sistema, importante no s monitorar cada recurso
individualmente, mas tambm o sistema como um todo. Monitorando-se o sistema inteiro,
torna-se mais fcil detectar problemas resultantes de combinaes de recursos. A utilizao de
um recurso do sistema pode afetar o desempenho de outro, mascarando desta forma a utilizao
e o desempenho
do segundo recurso. Por exemplo, em um servidor a falta de RAM pode resultar em
paginao excessiva, que reduz o rendimento do subsistema de disco na resposta s solicitaes
do sistema e dos usurios. Se apenas o subsistema de discos fosse monitorado neste servidor,
poderia chegar-se concluso errada de que o disco deveria ser substitudo por um mais rpido,
quando na verdade o problema estaria na falta de memria RAM (ou na m utilizao da
existente).
Monitorar todos os quatro recursos do sistema fornece uma viso mais clara dos efeitos que
estes recursos combinados exercem um sobre o outro.
17.2. Objetos, Ocorrncias e Contadores
A compreenso de como os objetos, ocorrncias e contadores se relacionam fundamental para
o uso eficiente do System Monitor. Eles so:
Objetos: No System Monitor, os objetos so os componentes ou subsistemas principais
do sistema de computador. Eles podem ser um hardware, como o disco rgido, ou um
software, como um processo. Existe um nmero fixo de objetos no Windows 2000.
Instncias: As instncias (ou ocorrncias) so mltiplos do mesmo tipo de objeto. Por
exemplo, se um sistema tiver vrios processadores, o tipo de objeto Processor ter vrias
instncias.
Contadores: Os contadores obtm dados sobre diferentes aspectos dos objetos. Por
exemplo, para o objeto Process (Processo), os contadores obtm dados sobre o tempo
de processador e de usurio. Os contadores so incorporados ao sistema operacional e capturam
dados continuamente, quer eles estejam visveis ou no no System Monitor. Se um tipo de
objeto tiver vrias ocorrncias, os contadores controlaro estatsticas para cada ocorrncia ou
para o total de todas as ocorrncias.
17.3. Usando o System Monitor
Utiliza-se o System Monitor para coletar e exibir dados em tempo real ou registrados
previamente sobre a atividade da rede, do processador, do disco e da memria.
As informaes do System Monitor podem ser exibidas no formato grfico, de histograma
(grfico em barras) ou de relatrio. Os grficos, histogramas e relatrios podem ser exibidos em
um navegador e impressos quando os dados de desempenho so salvos como um arquivo no
formato HTML
17.4. Adicionando Contadores


182

Como os contadores obtm continuamente dados sobre o desempenho do sistema, quando so
adicionados contadores, seus valores passam a ser exibidos no System Monitor. Isso permite
monitorar o desempenho do sistema.
Para adicionar contadores no System Monitor, executa-se as seguintes etapas:
Na ferramenta Performance, clica-se com o boto direito do mouse no paine de detalhes
do System Monitor e, em seguida, clica-se em Add Counters;
Na lista Performance Object, seleciona-se um objeto para ser monitorado.
Os objetos disponveis se baseiam nos servios e aplicativos instalados no computador local.
Pode-se escolher vrios contadores para cada objeto. A tabela a seguir descreve os
principais objetos do Windows 2000 System Monitor.
Nome do objeto Descrio
Cach rea da memria fsica que armazena os
dados
Memory RAM usada para armazenar cdigo e dados
Objects Certos objetos de software de sistema
Paging File Arquivo usado para alocaes de memria
Physical Disk Unidade de disco do hardware
Process Objeto de software que representa um
programa em execuo
Processor Unidade e hardware que executa instrues
de programa
Server Servio que responde s solicitaes de dados
de clientes na rede
System Contadores que se aplicam a todo hardware
e software do sistema
Thread Parte de um processo que usa o processador
Depois que um objeto for selecionado, os contadores a ele associados sero exibidos na lista.
Clicar em All counters ou Select counters from list para escolher contadores individuais;
Se um objeto tiver ocorrncias, clicar em All instances ou Select instances from list para
escolher ocorrncias individuais;
Clicar em Add e clicar em Close para fechar a caixa de dilogo Add Counters.
Alm de observar os contadores em tempo real, possvel registrar os dados no Performance
Logs anda Alerts, no console Performance, e exibi-los posteriormente.
Para tanto, basta clicar com o boto direito do mouse em Counter logs e escolher a opo
New log settings, adicionar os contadores desejados, definir um nome e um formato de arquivo
para os dados coletados e, por fim, agendar sua coleta.



183


17.5. Otimizando o Desempenho
O nvel de desempenho do sistema considerado aceitvel quando ele est tratando de uma
carga de trabalho tpica e executando todos os servios necessrios chamado de linha de base.
O desempenho de linha de base um padro subjetivo que o administrador determina com
base no nvel tpico de desempenho sob cargas de trabalho e uso tpicos. A linha de base pode
ser a medida usada para definir as expectativas de desempenho dos usurios e pode ser includa
nos contratos de nvel de servio.
O processo de otimizao ajuda a determinar quais aes devem se tomadas para melhorar o
desempenho do sistema em resposta s demandas do sistema. A otimizao do desempenho inicia
com a manuteno de registros de forma organizada e cuidadosa.
O processo de otimizao do desempenho inclui as seguintes tarefas:
Analisar os dados de monitoramento. A anlise dos dados de monitoramento consiste em
examinar os valores de contadores que so reportados enquanto o sistema est
executando vrias operaes. Durante esse processo, deve-se determinar:
o Quais os processos mais ativos e quais programas ou segmentos (se existentes)
esto monopolizando um recurso.
o Se o uso excessivo de algum recurso de hardware ocasiona uma reduo no desempenho
do sistema.
o Se h efeitos residuais de gargalos e outros recursos de hardware
subutilizados. Por exemplo, se o sistema ficar mais lento e a atividade do disco rgido
aumentar, isso poder indicar um problema na unidade de disco rgido ou RAM insuficiente
para dar suporte aos aplicativos a ao sistema operacional.
Identificar reas de desempenho inaceitvel. Como resultado dessa anlise, pode-se
descobrir que o desempenho do sistema algumas vezes satisfatrio e outras,
insatisfatrio. Em geral, determinar se o desempenho ou no aceitvel um julgamento
subjetivo que varia significativamente com as variaes nos ambientes dos usurios. Os valores
estabelecidos como as linhas de base de organizao so a melhor base de comparao.


184

Alm disso, preciso lembrar que o desempenho varia ao longo do tempo e o monitoramento
precisa incluir diferentes perodos de uso do sistema.
Tomar uma ao corretiva. Dependendo das causas dessas variaes e do grau de
diferena, pode-se tomar uma ao corretiva ou aceitar essas variaes e adiar o ajuste ou a
atualizao dos recursos para uma data posterior. Em alguns casos, o impacto da ao corretiva
poder no ser suficiente para que a alterao valha a pena.
17.5.1. Examinando o desempenho da memria
Um nvel de memria baixa pode tornar lenta a operao dos aplicativos e servios no
computador e afetar o desempenho de outros recursos do sistema.
Todo o processamento em um sistema ocorre na memria, portanto, deve-se garantir que haja
memria suficiente para dar suporte s tarefas dirias executadas pelo sistema. Os contadores
descritos na tabela a seguir so teis para examinar o objeto Memory.
Contador Descrio
Pages/sec Indica o nmero de pginas solicitadas que
no ficaram imediatamente disponveis na
RAM e que precisaram ser lidas ou gravadas
no disco para abrir espao para outras pginas
na RAM. Se seu sistema tiver uma taxa alta
de falhas de pginas do disco rgido, o valor
de Pages/sec poder ser alto.
Available bytes Indica a quantidade de memria fsica
restante aps os conjuntos de trabalho dos
processos em execuo e do cach terem sido
atendidos
Se o valor de Available Bytes estiver sempre abaixo do limite definido pelo sistema e o valor de
Pages/sec aumentar continuamente, provvel que a configurao de memria seja insuficiente
para as necessidades.
Uma outra maneira de descobrir se h quantidade insuficiente de memria se o sistema
estiver paginando freqentemente.
Paginao o processo que consiste em mover continuamente a memria virtual entre a
memria fsica e o disco. Quando h pouca memria no computador, a atividade de
paginao aumenta; portanto, a paginao freqente indica quantidade insuficiente de memria.
A maior atividade de paginao
15
acarreta mais trabalho para os discos e compete
comoutras transaes que esto sendo executadas no disco. Por sua vez, o processador usado
menos ou executa um trabalho desnecessrio processando diversas interrupes devido s
falhas de pginas repetidas. Essas falhas ocorrem quando o sistema no consegue localizar o
cdigo ou os dados solicitados na memria fsica disponvel para o processo que fez a
solicitao. Finalmente, os aplicativos e os servios passam a responder menos.


183

15
Como a paginao excessiva pode fazer um uso substancial do disco rgido, possvel
confundir quantidade insuficiente de memria, que ocasiona paginao, com um gargalo do disco
que resulta da paginao.
Para verificar se um arquivo de paginao est prximo de seu limite mximo
16
, verifique o
tamanho real do arquivo e compare esse valor com a configurao de tamanho mximo de
arquivo de paginao contida em System no Control Panel. Se esses dois nmeros tiverem um
valor prximo, considere o aumento do tamanho do arquivo de paginao inicial ou a
execuo de um menor nmero de programas.
16
Se o arquivo de paginao atingir seu tamanho mximo, ser exibido um aviso e a execuo do
computador talvez seja interrompida.
O arquivo de paginao est localizado no disco em que o Windows 2000 foi instalado. Para
verificar o tamanho desse arquivo, exiba o tamanho de arquivo mostrado para Pagefile.sys
no Windows Explorer. Se o espao em disco for adequado, voc poder aumentar o tamanho do
arquivo de paginao. O tamanho recomendado para esse arquivo equivale a 1,5 vezes a
quantidade de RAM disponvel no sistema.
Os seguintes contadores monitoram o tamanho do arquivo de paginao:
Monitore este contador Depois aumente o tamanho do arquivo se
Paging File\ % Usage O valor estiver prximo da configurao
Paging File\ % Usage Peak (bytes) O valor estiver prximo de 100%

17.5.2. Examinando o desempenho do processador
Ao examinar o desempenho do processador, considere a funo do computador e o tipo de
trabalho que est sendo executado. Dependendo do que o computador estiver fazendo, valores
altos de utilizao de processador podero indicar que o sistema est tratando com eficincia
de uma carga de trabalho pesada ou est tentando mant-la sob controle. No entanto, se vrios
processos estiverem disputando o tempo do processador, a instalao de um processador mais
rpido poder melhorar a taxa de transferncia.
Os contadores que so teis para examinar o desempenho do processador so descritos na tabela
a seguir.
Objeto Contador Descrio
Processor % Processor Time Mostra a porcentagem de tempo decorrido que um
processador est ocupado executando um segmento no
ocioso. Uma porcentagem maior do que 80% poder
indicar um gargalo
System Processor Queue
Lenght
Mostra o total de segmentos existentes atualmente na fila
do processador. Uma fila de dois ou mais itens em um
sistema de processador nico poder indicar um gargalo


186

Valores de Processor em torno de 100% em um servidor que esteja processando vrias
solicitaes de clientes indicam que os processos esto em fila, aguardando tempo do
processador e ocasionando um gargalo. Um gargalo ocorre quando um subsistema est to
sobrecarregado com trabalho que os outros subsistemas no so totalmente utilizados ou ficam
ociosos aguardando que o subsistema sobrecarregado conclua uma tarefa. Esse nvel constante
de uso do processador inaceitvel para um servidor.
17.5.3. Examinado o desempenho do disco
O Windows 2000 inclui contadores que monitoram a atividade dos discos fsicos
17
(incluindo
unidades de mdia removvel), bem como de volumes ou parties lgicas. O objeto
PhysicalDisk fornece contadores que reportam a atividade dos discos fsicos. O objeto
LogicalDisk fornece contadores que reportam estatsticas sobre discos lgicos e volumes de
armazenamento. O System Monitor identifica os discos fsicos por nmero iniciando em 0 e
identifica os discos lgicos pela letra da unidade.
A tabela a seguir fornece uma descrio dos contadores dos objetos LogicalDisk e
PhysicalDisk que so teis para examinar o desempenho do disco.
Objeto Contador Descrio
LogicalDisk % Free Space Reporta a porcentagem de espao no alocado
em disco em relao ao espao total
utilizvel no volume lgico
LogicalDisk

PhysicalDisk
Avg. Disk Bytes/Transfer Mede o tamanho das operaes de E/S. O
disco ser eficiente se transferir grandes
quantidades de dados de modo relativamente
rpido
LogicalDisk

PhysicalDisk
Avg. Disk sec/Tranfer Indica a velocidade de transferncia dos dados
(em segundos). Mede o tempo mdio de cada
transferncia de dados, independentemente do
nmero de bytes lidos ou gravados.
Um valor alto desse contador poder indicar que
o sistema est repetindo as solicitaes devido a
uma fila muito longa ou, com menor freqncia,
devido a falhas do disco
LogicalDisk

PhyscalDisk
Disk Bytes/sec Indica a taxa de transferncia de bytes e
a principal medida da taxa de transferncia do
disco. Quanto mais alto o nmero, melhor o
desempenho
LogicaDisk

PhysicalDisk
Disk Transfers/sec Indica o nmero de leituras e gravaes
concludas por segundo, independentemente da
quantidade de dados envolvida. Mede a utilizao
do disco.
17
Ao monitorar o desempenho do disco, recomendvel registrar os dados de desempenho em
outro disco ou computador para que eles no interfiram com o disco que est sendo testado.


187

Se o valor exceder 50 (por disco fsico no caso de um conjunto de distribuio),
um gargalo poder estar sendo criado
17.5.4. Examinado o desempenho da rede
A atividade da rede pode influenciar o desempenho no s dos componentes da rede,
como tambm do sistema como um todo. Aps testar e otimizar os recursos do
computador cliente ou do sistema do servidor, examine o desempenho da rede. Aps
capturar e analisar os dados, identifique as reas que representam problema e tome uma
ao corretiva.
O Performance Monitor permite monitorar o desempenho dos objetos de rede
em um servidor. A tabela a seguir fornece uma descrio dos objetos e de seus
contadores teis para examinar a atividade de um servidor membro de rede.
Objeto Contador Descrio
Network

Interface
Output Queue Lenght Indica o tamanho da fila de pacotes de sada.
O valor deve ser baixo. As filas que tm um ou
dois itens apresentam um desempenho
satisfatrio. Filas mais longas indicam
que o adaptador est aguardando
a rede e no pode atender as solicitaes
do servidor
Network

Interface
Packets Outbound

Discarded
Use este contador para determinar se a rede
est saturada. Se o contador aumentar
continuamente, isso poder indicar que a rede est
to ocupada que os seus buffers no podem dar
suporte ao fluxo de pacotes de sada
Network

Interface
Bytes Total/sc Use este contador para monitorar o desempenho
do adaptador de rede. Valores altos indicam um
grande nmero de transmisses com xito. Se
o valor estiver prximo ou corresponder
capacidade da rede, ela poder estar saturada

17.5.5. Usando Alertas
Utiliza-se alertas para notificar o usurio ou o administrador quando as indicaes
ultrapassam um critrio definido.
Os alertas sero teis se no houver monitoramento ativo de um determinado contador,
mas ainda assim desejar-se uma notificao quando exceder ou ficar abaixo de um valor
especificado. Por exemplo, pode-se definir um alerta quando a porcentagem de espao
em disco usada exceder 80% ou o nmero de tentativas de logon malsucedidos


188

exceder um nmero especificado. H trs tarefas envolvidas na configurao de um
alerta:
Selecionar contadores para controlar uma atividade especfica do sistema;
Definir um valor limite para a atividade;
Especificar a ao a ser tomada quando o limite for excedido ou ficar abaixo de
um valor especfico:
Enviar uma mensagem de rede
Executar um programa
Iniciar um log

18 Ferramentas de Group Policy
Ir em Start, Programs, Administrative Tools e depois em Group Policy Management

No painel esquedo expandir Forest:seudominio Domanins seudominio e depois
selecionar Group Policy Objects.
No painel direito clique com o boto do mouse na GPO desejada e depois em Copy.


189


No painel esquerdo clique com o boto direito do mouse em Group Policy Objects e
depois em Paste.

Na tela Copy GPO selecione Preserve the existing permissions e depois clique em OK.


190


Na tela Copy aguarde o trmino do processo e clique em OK.

Observe no Group Policy Objects a GPO copiada


191


Linkando uma Group Policy existente
Clique com o boto direito do mouse na Organization Unit desejada e depois em Link
an Existing GPO...



192

Na tela Select GPO na caixa Group Policy objects selecione a GPO desejada e clique
em OK

Salvando um relatrio da Group Policy
no palnel esquerdo seleclone Croup ollcy Cb[ecLs, no palnel esquerdo cllque com o boLo
dlrelLo do mouse na CC dese[ada e depols em 5ove kepott...


193


na Lela Sove ClO kepott escolha o local onde dese[a salvar o relaLrlo e cllque em 5ove.

uuplo cllque no arqulvo .hLm gerado e observer as e conflguraes da Croup ollcy.


194







193



19 - IIS 6.0 Instalao, Administrao e Configurao
19.1 - Objetivos
Esta tutorial sobre o Internet Information Services verso 6.0 (IIS 6.0), o
Servidor Web da Microsoft. Pretendemos, abranger todos os aspectos da arquitetura,
instalao, administrao e configurao dos servios disponveis pelo IIS e mostrar sua
importncia no mundo atual que, cada vez mais, migra para globalizao de recursos e
tecnologias. Nesta abordagem a arquitetura do IIS 6.0 e sua instalao padro. Em
outras oprtunidades abordaremos em detalhe os seus recursos mais utilizados com dicas
e tcnicas de melhores prticas.
19.2 - Introduo
Nos ltimos 3 anos, tem sido muito claro a inteno das corporaes em
migrar, seno todo, grande parte de seu ambiente colaborativo para as tecnologias que
envolvem a Internet. No somente pela diminuio de custos que isso representa na
maioria dos casos como tambm pelas facilidades imensas de acessibilidade,
padronizao e portabilidade que este ambiente fornece.
Grandes fornecedores de softwares e solues corporativas tm voltado seus
olhos para a migrao de seus Sistemas de Gesto para essa plataforma. o caso, por
exemplo da SAP - com o MySAP e Netweaver - da IBM, com o WebSphere, e da
prpria Microsoft com a plataforma .NET, por entenderem que dessa forma, com a
diminuio de custos e aumento de valor agregado, podem desembarcar na terra das
pequenas e mdias empresas (Small and Medium Business) com valores competitivos e
acessveis a esse nicho de mercado.
Com o anncio da Microsoft sobre tornar os documentos do Office v.12 padro
XML, certamente o IIS ter um lugar ainda maior de destaque no cenrio empresarial.
Produtos como o SharePoint Portal e Sharepoint services e o WSUS, para citar somente
os da Microsoft, j evidenciam o papel de importncia que o IIS tem e ter na rea de
WebServers.


196

Desse modo, de vital importncia o entendimento, tanto de sua arquitetura
como de seu funcionamento como um todo, por parte dos desenvolvedores para Web,
webmasters e administradores de rede.
19.3 - IIS Arquitetura Viso Geral
19.3.1 - Arquitetura de Processos Tolerante a Falhas
O IIS 6.0 isola os sites da Web e aplicativos em unidades chamadas "Classes de
Aplicativos. As Classes de Aplicativos fornecem uma forma conveniente de
administrar os sites na Web e aplicativos, e aumentam a confiabilidade, j que erros em
uma Classe de Aplicativos no provocam erros em outras classes ou falhas no servidor.
19.3.2 Health Monitor
O IIS 6.0 verifica periodicamente o status das Classes de Aplicativos
reiniciando-as automaticamente em caso de falhas nos sites da Web ou em aplicativos
nessa Classe de Aplicativos, aumentando a disponibilidade. Ele tambm protege o
servidor e outros aplicativos, desabilitando automaticamente sites na Web e aplicativos,
se falharem em um curto perodo de tempo.
19.3.3 Novo modo driver kernel, HTTP.sys
O Windows Server 2003 introduz um novo driver kernel, protocolo HTTP
(HTTP.sys), melhorando o desempenho e a escalabilidade. Esse driver foi desenvolvido
especificamente para melhorar o tempo de resposta do Servidor da Web.
19.3.4 Integrao com Aplicativos e Segurana
O IIS 6.0 oferece integrao com o ASP.NET, o Microsoft .NET Framework e
os Servios da Web em XML, tornando-se a plataforma especialmente projetada para
aplicaes .NET.
Existe uma ao mais pr-ativa contra os usurios mal-intencionados. O IIS 6.0
no instalado por padro como acontece com o IIS 5.0 e o Windows 2000 Server.
Alm disso, o processo de instalao padro da verso 6.0 mais rgido que a verso
5.0 e realizada em um ambiente altamente seguro e bloqueado. Ela desabilita mais de
20 servios que vinham habilitados automaticamente no Windows 2000.
O IIS 6.0 "Locked-down server By default", em outras palavras, est
protegido na sua instalao, exigindo que o administrador habilite as funes especiais e
necessrias para executar o site na Web. Sem isso, ele s pode oferecer contedo
esttico e extenses dinmicas desabilitadas. Isso faz com que o IIS 6.0 seja o servidor
de Web mais seguro.
Veja as principais diferenas no processo de instalao:



197

Tabela 1 - Comparao de Instalao Padro entre as verses 5.0 e 6.0 do
IIS.
Componentes do IIS Instalao Padro do IIS
5.0
Instalao Padro do IIS
6.0
Suporte a arquivos estticos Habilitado Habilitado
ASP Habilitado Desabilitado
Server-side Includes Habilitado Desabilitado
Internet Data Connector Habilitado Desabilitado
WebDAV Habilitado Desabilitado
Index Server ISAPI Habilitado Desabilitado
Internet Printing ISAPI Habilitado Desabilitado
CGI Habilitado Desabilitado
Extenses do FrontPage Habilitado Desabilitado
Funcionalidade de Troca de
Senhas
Habilitado Desabilitado
SMTP Habilitado Desabilitado
FTP Habilitado Desabilitado
ASP .NET X Desabilitado
BITS X Desabilitado
Tabela adaptada da apresentao do WebCast da Microsoft Windows Server
2003 Gerenciando o Internet Information Services 6.0(IIS 6.0), apresentado em 05 de
agosto de 2005.
Os recursos que permitem contedo dinmico como o ASP, ASP .NET,
WebDAV e extenses FrontPage, s funcionaro se forem habilitados manualmente. Se
voc no habilitou esses recursos aps uma instalao NNF (Next, Next... Finish) do
IIS, ele retornar um erro cdigo 404 para as requisies de pginas ao servidor.
Alm da necessidade de habilitao manual, se uma extenso de aplicativo no
estiver mapeada no IIS (.php por ex.), ele tambm retornar um erro 404.
Ou seja, quase todas as funcionalidades da verso 6.0 precisam ser
explicitamente desejadas e habilitadas manualmente para funcionar. Assim, o ambiente
torna-se mais controlado. Veremos, no decorrer do nosso curso, como habilitar e
configurar detalhadamente as principais funes e como resolver os problemas mais
freqentes.
No quesito autenticao, a autenticao Digest avanada traz importantes
melhorias em relao autenticao bsica, pois as credenciais so enviadas pela rede
como um hash MD5 e so armazenadas dessa forma no Active Directory do controlador
do domnio. Esse mecanismo torna extremamente difcil, para os usurios mal-
intencionados, descobrir senhas de usurios, e voc no precisa modificar os aplicativos.



198

Se voc tiver interesse em conhecer melhor o hash MD5, leia a RFC 1321 -
http://www.faqs.org/rfcs/rfc1321.html.
Ainda comentando sobre as principais diferenas, segue uma tabela
comparativa entre as verses 4.0, 5.0 e 6.0 do IIS.
Saber essas diferenas importante, no somente para acompanhar a evoluo
do produto mas tambm ter conhecimento das funcionalidade que vocs encontrar em
cada verso do produto ainda ativa no mercado.

Tabela 2 - Principais diferenas entre as verses ativas no mercado.
IIS 4.0 IIS 5.0 IIS 6.0
Plataforma Windows NT 4.0 Windows 2000 Windows Server 2003
Arquitetura 32-bits 32-bits 32-bits e 64-bits
Configurao
do metabase
Binrio Binrio XML
Segurana Windows
Authentication
SSL
Windows
Authentication
SSL
Kerberos
Windows
Authentication
SSL
Kerberos
Security Wizard
Suporte a Passa-
portes
Administrao
Remota
HTMLA HTMLA
Terminal
Services
Remote
Administration
Tool (HTML)
Remote Desktop
Suporte a
Cluster
In Windows NT 4.0 IIS Clustering Windows support
Suporte a E-
Mail
SMTP SMTP SMTP & POP3
Suporte ao Ipv6 IPv4 IPv4 IPv4 e IPv6
Tabela adaptada da apresentao do WebCast da Microsoft Windows Server
2003 Gerenciando o Internet Information Services 6.0(IIS 6.0), apresentado em 05 de
agosto de 2005.
19.3.5 Confiabilidade Modo de Isolamento
O IIS 6.0 mais confivel do que as verses anteriores devido a uma nova
arquitetura de processamento de solicitao, que fornece um ambiente de isolamento de


199

aplicativo que permite o funcionamento de aplicativos da Web individuais em seu
prprio processo.
Voc pode configurar o IIS 6.0 para execuo em modo de isolamento por
processos, que executa todos os processos em um ambiente isolado, ou no modo de
isolamento do IIS 5.0, por questes de incompatibilidade de aplicativos Web com o
modo de isolamento da verso 6.0.
O IIS 6.0 funciona em um dos seguintes modos de operao, denominados
modos de isolamento de aplicativos (Isolation Modes): Worker Processes e IIS 5.0
Isolation Modes (modos de isolamento do IIS 5.0). Ambos dependem do HTTP.sys
como escuta do Hypertext Transfer Protocol (HTTP); no entanto, suas funes internas
so basicamente diferentes.
Como configurar os modos de isolamento de aplicativos ser detalhado nos
prximos captulos.
O modo de isolamento de aplicativos do IIS que voc escolher influencia o
desempenho, a confiabilidade, a segurana e a disponibilidade de recursos.
19.3.6 Worker Processes

Figura 1 - Worker Processes


200

Esse modo aproveita a arquitetura remodelada do IIS 6.0 e usa o componente
principal de processo do operador. o modo de operao recomendado para o IIS 6.0
porque oferece uma plataforma mais robusta para os aplicativos. Ele tambm oferece
um nvel de segurana mais alto porque a identidade padro dos aplicativos em
execuo em processos do operador o NetworkService.
Os processos principais do IIS, neste modo, rodam separados dos processos dos
sites. Se um Application Pool apresentar algum problema e travar, somente o site
pertencente a este Application pool vai parar. Todo o resto do IIS continuar
funcionando.
Essa arquitetura torna o IIS muito confivel porque o Servio de publicao na
World Wide Web(servio WWW), o servio de administrao do IIS e o HTTP.sys
podem ficar ativos e em execuo continuamente, independentemente de qualquer
interrupo no servio que possa ocorrer em um processo do operador. Alm disso, sites
em execuo em Worker Processes no so afetados por falhas em outros Worker
Processes, pois esto isolados uns dos outros por limites de processo.
O modo Worker Process permite que os clientes criem vrios Applications
Pool(Pool de Aplicativos), onde cada um deles pode ter uma configurao exclusiva. O
desempenho e a confiabilidade so aprimorados porque esses pools recebem suas
solicitaes diretamente do kernel e no do servio da Web. Voc pode configur-los
para que, quando um pool de aplicativos especfico sofrer vrias falhas consecutivas, ele
seja desabilitado automaticamente. Alm disso, voc pode configurar o IIS para
reiniciar os Worker Processes periodicamente em um pool de aplicativos. Quando um
novo processo reinicializado, ele se encarrega de todas as solicitaes para o pool de
aplicativos enquanto o processo de operador que o precedeu termina o processamento
de suas solicitaes da fila. A reciclagem de processos de operador permite que voc
gerencie aplicativos problemticos, como os que apresentam perdas de memria, sem
interromper o servio para os usurios.
Embora este modo de isolamento oferea isolamento, confiabilidade,
disponibilidade e desempenho melhores, alguns aplicativos podem apresentar
problemas de compatibilidade quando executados nesse modo. Se ocorrer esse tipo de
problema, use o modo de isolamento do IIS 5.0.
19.3.7 IIS 5.0 Isolation Modes
fornecido para aplicativos que dependem de recursos e comportamentos
especficos do IIS 5.0. O modo de isolamento especificado pela propriedade
IIs5IsolationModeEnabled da metabase.
O metabase ser discutido em maiores detalhes nos prximos captulos.



201


Figura 2 - IIS 5.0 Isolation Mode
O modo de isolamento do IIS 5.0 garante a compatibilidade dos aplicativos
desenvolvidos para o IIS 5.0. O processamento de solicitaes do IIS 6.0 executado em
modo de isolamento do IIS 5.0 quase igual ao do IIS 5.0. No modo de isolamento do
IIS 5.0, os recursos de pools de aplicativos, reciclagem e deteco de integridade no
esto disponveis.
Nesse modo o HTTP.sys usado da mesma maneira que no modo de
isolamento do Worker Process. A nica exceo que ele encaminha as solicitaes
apenas a uma nica fila de solicitaes, mantida pelo servio WWW. Perceba que todos
os servios juntamente com os processos rodam sob o Inetinfo.exe. Se este componente
falhar, o IIS todo para.
Compare abaixo as funcionalidades presente nos dois modos de processos do
IIS 6.0
Tabela 3 - Comparando funes do IIS 6.0
Funo do IIS IIS 5.0 Isolation Mode
Host / Componente
Worker Processes Host /
Componente


202

Gerenciamento de Worker
Processes
No Disponvel (N/D) Svchost.exe / servio WWW
Worker Process N/D W3wp.exe / Worker Process
Execuo de extenses
ISAPI no processo
Inetinfo.exe W3wp.exe
Execuo de extenses
ISAPI externas ao processo
DLLHost.exe N/D (todas as extenses ISAPI
so executadas no processo)
Execuo de filtros ISAPI Inetinfo.exe W3wp.exe
Configurao do http.sys Svchost.exe / servio
WWW
Svchost.exe / servio WWW
Suporte ao protocolo http Kernel do Windows /
HTTP.sys
Kernel do Windows /
HTTP.sys
Metabase do IIS Inetinfo.exe Inetinfo.exe
FTP Inetinfo.exe Inetinfo.exe
NNTP Inetinfo.exe Inetinfo.exe
SMTP Inetinfo.exe Inetinfo.exe
Adaptao da tabela de referncia s funes no tpico IIS Isolation modes do
Help do IIS (iismmc.chm).
Notas
O IIS 6.0 no capaz de executar os dois modos de isolamento de aplicativos
simultaneamente. Portanto, no possvel executar alguns aplicativos da Web
no modo Worker Process e outros em modo IIS 5.0 Isolation Process no mesmo
servidor IIS. Se existirem aplicativos que requerem modos diferentes, voc ter
que execut-los em servidores separados.
Na pasta %SystemRoot%\help, onde %SystemRoot% = caminho de instalao
do sistema (geralmente C:\Windows ou C:\Winnt), existem vrios arquivos de
help (.chm) interessantssimos. Invista um tempo em estud-los.
Se voc quiser saber mais detalhes sobre todos os recursos implementados e
melhorados da verso 6.0 do IIS, leia o tpico Getting Start IIS 6.0 Features (Guia de
Introduo Recursos do IIS) do arquivo de help do IIS 6.0 (ismmc.chm, localizado
em %SystemRoot%\help).
19.4 - Instalao
Depois desta breve descrio de suas funcionalidades, vamos passar para a
parte prtica, descrevendo o processo deinstalao padro do IIS
O processo foi realizado em um Windows Server 2003 Standard Edition
(English).
1. Clique em START Settings Control Panel Add or Remove Programs;


203

2. Clique em Add/Remove Windows Components;
3. Selecione & Application Server

4. Clique em Details para que os sub-itens de Application Server apaream;
5. Selecione o item Internet Information Services (IIS) e clique em Details...;

Ao selecionar o item Internet Information Services(IIS), todos os componentes
necessrios para uma instalao bsica do IIS sero selecionados automaticamente.


204

Veremos posteriormente a funo de cada um desses sub-componentes, o que
deveremos fazer e quando deveremos habilit-los. No momento vamos nosdeter na
instalao bsica pois o objetivo instalar o IIS e coloc-lo para atender como
WebServer.

Voc notar que somente 3 itens dos Sub-componentes do IIS estaro
selecionados. Ainda, se selecionarmos o item World Wide Web Service, veremos que
somente o servio World Wide Web est assinalado. Todos os outros sub-componentes,
necessrios para desenvolvimento de sites dinmicos esto desabilitados por padro.




203

Bom, aogra que voc visualizou todos os sub-componentes disponveis para o
IIS, clique em OK quantas vezes for necessrio para voltar tela do Application
Server e clique em Next.
A caixa Configuring Components aparecer e solicitar para que voc insira o
disco do Windows Server 2003 que, no nosso caso, a verso Standard. Esse
procedimento o mesmo para todas as verses do Windows Server 2003, inclusive para
a Web Edition.


Ao inserir o CD do Sistema Operacional, ele continuar a instalao e a
finalizar com a tela j conhecida do Finish.


206


Clique em Finish e abra o Gerenciador do IIS atravs do START Programs
Administrative Tools Internet Information Services (IIS).
Pronto! Seu IIS est ativo e pronto para atender requisies de pginas. Porm,
nessa configurao padro ele somente atender requisio de pginas estticas,
retornando, como j vimos, o erro 404 para qualquer requisio de pginas dinmicas.
Voc poderia pergunta por exemplo, porque iria querer ter um IIS sem
funcionalidades de pginas dinmicas. Temos um exemplo disso em nossa empresa!
Temos um IIS servindo somente o SMTP e outro com os sites em desenvolvimento.
Isso interessante por diversas razes, desde o balanceamento de carga de
trabalho at por questes de segurana. No nosso caso, temos alguns sistemas que
emitem relatrios e enviam-nos pelo correio (o ISA Server por exemplo). Desse modo,
em nossa DMZ temos um IIS Server somente para essa funo. Desse modo, a carga de
correio fica ao encargo desse servidor, liberando nosso Web Server de desenvolvimento
e caso haja algum comprometimento deste IIS, no teremos nosso trabalho de
desenvolvimento comprometido.



207

Concluso
O objetivo principal desta parte do tutorial foi mais terico do que prtico por
entendermos a necessidade de se conhecer a arquitetura do servidor que estamos
trabalhando. importante sabermos as funcionalidades disponveis, o que podemos e o
que no podemos fazer com nosso WebServer, sejamos webmasters, programadores ou
administradores de redes. Conhecer o produto nos traz vantagens na resoluo de
problemas e inclusive permite aes de segurana mais objetivas quando sentimo-nos
ameaados de alguma forma por pessoas inescrupulosas e at pela Internet como um
todo.
Longe de querer ser O Tutorial sobre IIS, queremos despertar em voc o
interesse pela pesquisa. No discutimos aqui nem 10% do que significa a arquitetura do
IIS, mas esperamos que, com esse aperitivo, voc sinta-se estimulado a procurar mais.
Como j dissemos, o prprio arquivo de Help do IIS um material bastante
intenso sobre o produto. Leia-o, pesquise, envie-nos seus questionamentos. Teremos
prazer em auxili-lo.
19.5 Servio de FTP
19.5.1 Objetivos
Passo-a-passo de como instalar e configurar um servidor FTP (File Transfer
Protocol) at a funcionalidade, explorando os problemas de gerenciamento e segurana
na publicao de servidor na web. Vamos estudar os tipos de configuraes possveis
do servidor e suas implementaes de segurana em cada um deles.
19.5.2 O Protocolo FTP
Segundo a Wikipdia, FTP significa File Transfer Protocol (Protocolo de
Transferncia de Arquivos), e uma forma bastante rpida e verstil de transferir
arquivos sendo uma das mais usadas na internet.
O FTP um dos meios mais comum de se copiar arquivos de um lugar para
outro na Internet. bastante antigo, inclusive existe suporte at para os sistemas
Mainframe.
Por esse fato, desnecessrio dizer que um protocolo bastante simples e no
foi projetado pra atender os requisitos de segurana que se fazem necessrios nos dias
atuais. Por isso mesmo, precisamos entender o seu funcionamento (pelo menos o
bsico), pra ajustarmos nosso ambiente de rede (corporativo ou no), pra melhor
configurar a disponibilidade e a segurana do processo.
O Protocolo FTP faz parte da sute de protocolos TCP/IP e trabalha na camada
de Aplicao de sua Arquitetura. Diferentemente do http, por exemplo, e de outros
protocolos usados na Internet, o FTP usa no mnimo duas conexes durante uma sesso:
uma conexo half-duplex para controle e uma conexo full-duplex para transferncia de


208

dados. Para isso, utiliza as portas 20 e 21 para se comunicar e transmitir dados. A RFC
959 atualmente o documento oficial que dita seus padres.
A porta 21 utilizada para estabelecer e manter a comunicao entre o cliente e
o servidor. Essa sesso tambm conhecida como Control Channel. ela quem
verifica se a conexo com o servidor ainda existe.
A porta 20 utilizada para a transferncia dos dados (arquivos), propriamente
dita. conhecida tambm como Data Channel. nela que feito o controle do fluxo
e integridade dos dados.
Para utilizar o FTP, a estao cliente realiza uma conexo com o servidor FTP
na porta 21. Aps a conexo estabelecida, para cada arquivo transferido estabelece-se
uma nova conexo, chamada de conexo de dados. Por padro, a porta TCP 21 usada
no servidor para controlar a conexo, mas a conexo de dados determinada pelo
mtodo que o cliente usa para se conectar ao servidor. Assim, existem 2 tipos de
conexes:
Conexes FTP de modo ativo so algumas vezes chamadas de conexes
"gerenciadas pelo cliente" porque o cliente envia um comando PORT ao servidor na
conexo do controle. O comando solicita ao servidor que estabelea uma conexo de
dados da porta TCP 20 no servidor at o cliente com a porta TCP especificada pelo
comando PORT.
Conexes FTP de modo passivo so s vezes chamadas de conexes
"gerenciadas pelo servidor" porque, depois que o cliente emite o comando PASV, o
servidor responde com uma de suas portas temporrias usadas como a porta do servidor
na conexo de dados. Depois que um comando de conexo de dados emitido pelo
cliente, o servidor se conecta ao cliente usando a porta imediatamente acima da porta do
cliente na conexo do controle.



209


Figura - 1 - FTP Ativo e Passivo
Uma sesso FTP geralmente envolve os elementos ilustrados na figura abaixo.

Figura - 2 - Modelo de Conexo FTP



210

1. Interface com o usurio Aplicativo responsvel pela comunicao entre o
usurio e o interpretador do protocolo;
2. Interpretador de protocolo (Client/Server PI) atravs da conexo de
controle (Porta 21), conversa com o interpretador de protocolo do lado servidor (Server
PI) e juntos controlam a transferncia. Tambm controla o processo de transferncia de
dados do cliente (Client DTP).
3. Processo de transferncia de dados (Client/Server DTP) responsvel
pela comunicao com o Server DTP atravs da conexo de dados (Porta 20). a parte
do cliente que realmente realiza transferncia de dados. Controla tambm o sistema de
arquivos local (4).

19.5.3 - Transferncia de dados e firewalls
O problema que ocorre com mais freqncia no FTP pela Internet envolve a
transferncia de dados por servidor proxy, firewall ou dispositivo de converso de
endereos de rede (NAT). Em muitos casos, esses dispositivos de segurana de rede
permitem que a conexo de controle seja estabelecida na porta TCP 21 (ou seja, o
usurio faz o logon com xito no servidor FTP); porm, quando o usurio tenta realizar
uma transferncia de dados do tipo DIR, LS, GET ou PUT, o cliente FTP
aparentemente para de responder porque o dispositivo de segurana da rede bloqueia a
porta de conexo de dados especificada pelo cliente. Se o dispositivo de segurana da
rede der suporte a logs, voc poder verificar o bloqueio da porta consultando os logs de
negao/rejeio do dispositivo de segurana.
O firewall com filtro de pacotes com base no estado da conexo consegue
analisar todo o trfego da conexo FTP, identificando qual o tipo de transferncia que
ser utilizada (ativa ou passiva) e quais as portas que sero utilizadas para estabelecer a
conexo. Sendo assim, todas as vezes que o firewall identifica que uma transferncia de
arquivos se realizar, acrescentado uma entrada na tabela de estados, permitindo que a
conexo seja estabelecida. As informaes ficam armazenadas na tabela somente
enquanto a transferncia do arquivo realizada.
Com FTP ativo, quando um usurio se conecta ao servidor FTP remoto e
solicita informaes ou um arquivo, o servidor FTP abre uma nova conexo com o
cliente para transferir os dados. Esta a chamada conexo de dados. Para iniciar, o
cliente FTP escolhe uma porta aleatria para receber a conexo de dados. O cliente
envia o nmero da porta escolhida para o servidor FTP e fica esperando uma conexo
nessa porta.
Ento o servidor FTP inicia a conexo com o endereo do cliente na porta
escolhida e transfere os dados. Isto se torna um problema para usurios atrs de um
gateway NAT tentando se conectar a servidores FTP.
Por causa da forma como NAT funciona, o servidor FTP inicializa a conexo
de dados se conectando ao endereo externo do gateway NAT na porta escolhida. A


211

mquina fazendo NAT receber o pedido, mas como no possui mapeamento para o
pacote na tabela de estado, descartar o pacote sem entrega-lo ao cliente.
No modo FTP passivo, o cliente pede ao servidor que escolha uma porta
aleatria para ouvir esperando a conexo de dados. O servidor informa ao cliente a porta
escolhida e o cliente se conecta na porta para transferir os dados. Infelizmente, isto nem
sempre possvel ou desejvel, por causa da possibilidade do firewall em frente ao
servidor FTP bloquear a conexo de dados em portas aleatrias.
Em resumo, h dois pontos a considerar. O primeiro o modo de conexo, que
pode ser passivo ou ativo; o segundo o modo de transferncia de dados, que pode ser
de fluxo, de bloco ou compactado.
O servio FTP do IIS d suporte s conexes de modo ativo e passivo,
dependendo do mtodo especificado pelo cliente. O IIS FTP no permite desabilitar os
modos de conexo ativo ou passivo.
O modo de transferncia de dados padro do FTP do IIS de fluxo. No
momento, o IIS no d suporte ao modo de transferncia de dados de bloco ou
compactado.
A tabela a seguir contm clientes FTP fornecidos pela Microsoft e o modo de
conexo a que cada cliente d suporte.

Tabela 1 - Clientes FTP Microsoft
O FTP um auxiliar indispensvel para webdesigners, DBAs, e outros
profissionais que necessitam constantemente publicar, criar ou sincronizar dados,
planilhas, pagnas html, etc.
Mais uma vez, vale a pena lembrar-se de que entender os processos bsicos de
conexo e transmisso de dados via FTP importante para a correta configurao de seu
ambiente de rede, tanto no que se diz respeito ao seu bom funcionamento como aos
aspectos de segurana dos dados.
19.5.4 Segurana
Porque a preocupao com segurana?
Bom, em princpio, vamos deixar a parte mais fantasiosa de lado que so
ataques como descritos em filmes clssicos como A Rede e Swordfish e olharmos o
lado prtico e real.


212

Apesar da Internet ser a fonte de todos os males, algo mais prximo e real a
pior de todas; nossos prprios usurios. Usurios insatisfeitos com a empresa,
desonestos e ignorantes, no sentido de desconhecedores, deve ser sua maior
preocupao. Os primeiros porque tm a inteno em causar danos, e isso faz com que
eles porcurem agulha em palheiro pra atingirem seus objetivos e os ltimos por total
falta de conhecimento podem realizar acessos indevidos e cometerem os mais absurdos
dos erros sem ao menos saberem que os fizeram. E no pense que isso exclusivo de
grandes corporaes, se voc tem um usurio voc j tem um problema.
Diante disso, se voc um adminsitrador de redes como eu, deve ter uma
preocupao quase que paranica com a segurana de seus servidores porque, diante das
leis atuais voc cmplice de todo e qualquer dano causado aos negcios da empresa
por uma falha de segurana explorada em seus servidores at que se prove o contrrio.
Essa segurana no se trata somente de questes tcnicas mas tambm administrativas e
de disponibilidade de servios. Nos dias atuais, os administradores de rede devem ser
alm de especialistas na rea, conhecedores das leis sobre recursos digitais, dos
negcios da corporao em detalhes, atentos s normas de conduta (execrar os tais
jeitinhos brasieleiros), e cientes de tudo o que acontece no seu territrio de trabalho.
Sem querer me extender mais sobre o assunto, leis como a SOX (Sarbanes &
Oxley) e at mesmo algumas alteraes no Cdigo Civil Brasileiro, e normas como a
ISO 17799, foram criadas diante do fato de que muito se pode fraudar eletrnicamente
de dentro da prpria corporao. Se, por exemplo, seu servidor de e-commerce se
tornar indisponvel por causa da explorao de uma vulnerabilidade que conhecida e
corrigida em um path e, esse path no foi aplicado por voc por negligncia (e no
adianta usar a falta de tempo como justificativa), o mnimo que pode lhe acontecer
dispensa por justa causa.
Por tudo isso que devemos nos preocupar com essa tal segurana.
19.5.5 Servio de FTP no IIS
O IIS uma plataforma poderosa para se criar e hospedar web sites, tanto para
a Internet quanto para Intranets corporativas e, da mesma forma, para se disponibilizar
sites FTP para uso pblico ou corporativo.
A Microsoft bastante ironizada pelo fato de promover seus produtos em cima
dos prprios produtos em verso anterior. Realmente chega a ser cmico o fato dela
destacar as deficincias de um produto na verso anterior pra salientar as melhorias da
nova verso. Tenho o hbito de dizer que ns s conhecemos verdadeiramente um
produto da Microsoft quando ela lana uma nova verso dele.
Discusses parte, vejo esse episdio de uma forma muito otimista porque
podemos estudar como garantir melhor a segurana e disponibilidade das verses
anteriores do produto ou justificar a aquisio da nova verso, se as melhorias forem
realmente importantes para o negcio.


213

Assim, vamos ver as caractersticas e problemas das verses anteriores do
servio de FTP e o que ele nos apresenta de novidade (e verdadeiramente til), em sua
verso 6.0.
19.5.6 Autenticao de Usurios no IIS
Atravs da autenticao do usurio so definidos os nveis de acesso s
informaes que ele pode acessar como tambm criar registros das aes realizadas por
ele ao se gravar logs de acesso.
Na tabela abaixo, segue uma descrio rpida dos tipos de autenticao
suportadas pelo IIS.


Tabela 2 - Mtodos de Autenticao do IIS
19.5.7 Autenticao de Usurios em site FTP
Para sites FTP, no entanto, o IIS disponibiliza somente a autenticao annima
e bsica.
Com base em seus requisitos de segurana, voc poder selecionar um mtodo
de autenticao do IIS para validar os usurios que estiverem solicitando acesso a seus
sites FTP. A tabela a seguir resume os mtodos de autenticao do FTP.




214

Tabela 3 - Mtodos de Autenticao do IIS FTP
O acesso annimo (Anonymous Authentication) bastante comum porque
permite que o usurio acesse aos sites (WWW ou FTP) sem a necessidade de fornecer
nome de usurio e senha. Quando um site (WWW, FTP...) est configurado para
permitir esse tipo de acesso uma conta annima que criada quando instalamos o IIS
utilizada para permitir o acesso. Geralmente essa conta de usurio tem o formato
IUSR_Nome_do_Servidor (no nosso caso IUSR_PLUTAO). Essa conta includa em
um grupo de usurios que tem restries de segurana impostas pelas permisses do
sistema de arquivo (NTFS) e que designam o nvel de acesso e o tipo de contedo
disponvel para os usurios pblicos, via acesso annimo. Com isso, o usurio possui
limitaes sobre os recursos que pode acessar no servidor.
19.5.8 Servio de FTP no IIS 5.0
Relembrando um pouco da arquitetura do IIS 5.0 (estudada no Captulo 1), o
servio de FTP roda dentro do Inetinfo.exe juntamente com outros servios como o
SMTP e o NNTP. Alm disso, alguns componentes do servio WWW tambm so
executados nele. O problema que podemos encontrar nesse modelo que, se um
aplicativo ou site www, ou um desses servios se comportar mal ou for atacado, todos
os servios e componentes dependentes do Inetinfo.exe sofrero o efeito colateral
deixando de funcionar. Isso nos alerta pra que sejamos bastante criteriosos com a
disponibilidade de qualquer servio do IIS e devemos considerar sempre a possibilidade
de distribuirmos os servios entre dois ou mais servidores colocando, por exemplo, o
IIS FTP e servidor diferente do que disponibiliza as Pginas da Intranet corporativa.
A segurana de acesso ao servio FTP nas verso 5.0 totalmente dependente
do Sistema de Arquivos do Windows Server (NTFS). Se a configurao das devidas
permisses nas pastas ou diretrios disponveis para FTP, todos os usurios conseguem
visualizar todos os contedos de todas as pastas a partir da raiz, independente da
confidencialidade de cada um. Essa dependncia apesar de eficiente , em termos de
segurana, apresenta alguns problemas que devem ser considerados:
Se o administrador esquecer de atribuir permisses ou atribuir permisses
inadequadas alguma pasta, toda a segurana do servidor qui da rede toda pode ser
comprometida;
Configurar e manter os registros de permisses para um grande nmero de
usurios requer um esforo descomunal, altamente complicado e estressante, pra no
dizer que quase impossvel ser feito por uma nica pessoa (o que no difcil de
acontecer diante das contees de despesas nos dias atuais).
Alm da questo NTFS, existem mais alguns detalhes a serem considerados
sobre a segurana dessa verso do IIS.
Acesso Annimo Por padro o IIS FTP permite ambos os acessos, annimo
e por autenticao. Para desabilitar o acesso annimo necessrio desmarcar a opo
Allow anonymous connections (Figura 4);


213

Autenticao Como j vimos, embora o IIS tenha uma gama de opes
muito boa para autenticao, o IIS FTP suporta somente a autenticao Anonymous e
Basic-Like Authentication (Figura 5). Em geral, o FTP considerado erradamente
como um meio seguro de transferncia de dados, j que o servidor FTP pode ser
configurado para solicitar uma combinao de nome de usurio e senha vlidos antes de
conceder acesso aos dados. Esteja ciente de que tanto as credenciais especificadas no
logon quanto os dados propriamente ditos no so criptografados nem codificados. O
que significa dizer que todas as credenciais so transmitidos atravs da rede em clear-
text, ou seja, sem formatao. Em outras palavras, todos os dados FTP podem ser
facilmente interceptados e analisados por qualquer estao ou rede entre o cliente e o
servidor FTP. O risco de credenciais em texto sem formatao que pessoas estranhas
consigam fazer logon no FTP e faam download de arquivos destinados a usurios
especficos.
FTP Logon A utilizao deautenticao via logon no IIS FTP requer alguns
privilgios especiais aos usurios e conta Anonymous. necessrio atribuir-lhe o
direito do logon local (Logo n Locally).
Isolamento de usurios Isolamento de usurios significa garantir que cada
usurio tenha acesso ao diretrio FTP a partir de sua pasta de usurio e nunca a partir
da raiz do servio. Para conseguir isso nessa verso, como j foi dito, necessrio
configurar as permisses do sistema de arquivo (no caso, NTFS), do servidor FTP.
O IIS 5.0 no oferece suporte ao Secure FTP e FTPS (FTP sobre SSL). E
nesse caso ainda temos mais um problema pra quem utiliza o ISA Server;ele tambm
no oferece este tipo de suporte para publicao de sites FTP.
O nico mecanismo de limitao de acesso ao IIS FTP 5.0 a Restrio por
Endereo IP(Figura 6). Isso restringe o acesso por estaes mas no por usurio.
Qualquer usurio, com permisso ou no pra utilizar o servio, sentado a frente
de uma estao com IP vlido pode acessar as pastas e diretorios FTP.


216


Figura - 3 - Tipos de autenticao suportada no IIS 5.0




217

Figura - 4 - IP Address Restriction
Resolvendo Alguns Problemas com Segurana na Verso 5.0.
Para minimizarmos esses potenciais problemas podemos adotar, como
sugesto, as seguintes medidas:
Retirar a permisso de escrita (Write), de pastas em que no sero necessrios
uploads de arquivos por parte dos usurios;
No instalar, em hiptese alguma, o servio de FTP para utilizao
corporativa em servidores Controladores de Domnio.
Em relao ao FTP Logon, criar as contas de usurios na base de usurios do
servidor FTP uma boa sada. Principalmente se os usurios no forem corporativos
(clientes ou parceiros de negcios, por exemplo). Isso restringe o acesso somente ao
servidor FTP e pode impedir uma provvel invaso de outros servidores.
Desabilitar o acesso annimo importante inclusive para questes de
auditoria de sistemas. Se o modo de autenticao pode ser implementado e o contedo
exposto no FTP no considerado para domnio pblico, o acesso annimo deve ser
banido.
Como os dados de usurio e senha trafegam em clear-text no modo de
autenticao do FTP, se est previsto colocar dados sigilosos no site FTP ou se a
segurana na comunicao entre os clientes e o servidor FTP for essencial,o estudo para
implementao de um canal criptografado, como uma rede virtual privada(VPN),
protegida com protocolo de encapsulamento ponto a ponto (PPTP) ou com protocolo
IPSec, devem ser considerados e amplamente encorajados. Deve ser tambm
considerado o uso do WebDAV, que utiliza a SSL (camada de soquetes de segurana).
Um cuidado extra deve ser dado aos sites FTP na Web ou diretrios virtuais
configurados para usar isolamento com Active Directory (IIS 6.0), ou balanceamento de
carga de FTP. Estes no devem ser mapeados para diretrios fsicos usados em sites
com as Extenses de servidor do FrontPage instaladas. Esse procedimento pode permitir
que usurios vejam todos os arquivos dessa estrutura de pastas na rede.
Criar polticas de grupos de trabalhos para determinar as permisses NTFS
uma boa sada para minimizar os esforos de manuteno. Ao menos os usurios
corporativos devem ser organizados em grupos departamentais e as permisses NTFS
atribudas a esses grupos ao invs de usurio para usurio. Esses usurios geralmente
possuem seu Home Directory para armazenar dados pessoais e no faz muito sentido
criar um endereo FTP somente pra esse tipo de servio. Servios corporativos, via de
regra, devem disponibilizar contedos corporativos e no pessoais.
19.5.9 Servio de FTP no IIS 6.0
A arquitetura redesenhada do IIS 6.0 colaborou em muito para a confiana na
establidade e disponibilidade dos seu diversos servios. Como j vimos, agora os


218

servios FTP, SMTP e NNTP continuam rodando sobre o inetinfo.exe, porm os
aplicavos web rodam totalmente em processo separados com maior controle sobre sua
sade. Assim, se um site web se comportar mal no comprometer os outros servios
e vice-versa.

Figura - 5 - Arquitetura dos Servios IIS 6.0
No aspecto de segurana, a verso 6.0 do IIS inclui o isolamento de usurios
para auxiliar os administradores e, particularmente os provedores de hospedagem na
Internet, a manter a segurana e a eficincia dos servios FTP e oferecer a seus clientes
diretrios individuais de FTP para fazer o upload de arquivos e de contedo da Web.
Isso muito til quando voc tem vrios usurios acessando um ou mais sites.
O isolamento dos usurios de FTP impede que eles exibam ou sobrescrevam o
contedo da Web de outros usurios, restringindo-os a seus prprios diretrios. Os
usurios no podem navegar mais acima na rvore de diretrios porque o diretrio de
nvel superior aparece como a raiz do servio FTP. Dentro de seu site especfico, os
usurios tm a capacidade de criar, modificar ou excluir arquivos e pastas.
O isolamento do usurio de FTP uma propriedade do site e no uma
propriedade do servidor; o que significa dizer que cada site FTP pode ter o isolamento
de usurios configurado de maneira diferente.
Se o seu site se localiza em uma intranet ou na internet, os princpios
disponibilizao de um local para trocas (uploads e downloads) de arquivos usando o
FTP so os mesmos. Voc grava seus arquivos em diretrios no seu servidor de FTP
para que seus usurios possam estabelecer uma conexo FTP e transferir arquivos com
um cliente FTP ou com o browser (Internet Explorer, Firefox,etc) habilitado para
conexes FTP.
Porm, alm de simplesmente armazenar arquivos em seu servidor, voc
precisa gerenciar como o seu site est instalado e, o mais importante, como seu site se
desenvolve.


219

O isolamento do usurio de FTP oferece suporte a trs modos de isolamento.
Cada modo ativa diferentes nveis de isolamento e autenticao. O modo
desejado deve ser configurado no ato da criao do site e no poder ser alterado
depois. A nica maneira de fazer isso excluir o site e cri-lo novamente com a outra
opo de isolamento porque essa propriedade est presente somente na criao do site.
No isolar usurios Este modo no ativa o isolamento do usurio de FTP.
Ele foi criado para funcionar de maneira semelhante a verses anteriores do
IIS. Aqui necessrio se preocupar diretamente com as permisses NTFS para evitar
acessos indevidos s pastas de outros usurios. Todas as recomendaes de segurana
dadas nesse artigo para a verso 5.0 servem pra este tipo de configurao.
Quando Utilizar: Como o isolamento no imposto entre diferentes usurios
que fazem logon no seu servidor FTP, esse modo ideal para um site que oferece
apenas recursos de download de contedo compartilhado ou para sites que no exigem
proteo de acesso a dados entre os usurios.
Isolar usurios Este modo autentica os usurios em contas locais ou de
domnio, antes que eles possam acessar o diretrio base que corresponde ao seu nome
de usurio. Todos os diretrios-base de usurios devem ser criados localmente, ou seja,
necessrio criar uma estrutura de diretrios em um nico diretrio raiz do FTP em que
cada usurio colocado e restrito ao seu diretrio base. Os usurios no tm permisso
para navegar fora de seu diretrio base. Se os usurios precisarem de acesso a pastas
compartilhadas dedicadas, tambm possvel estabelecer uma raiz virtual. Este modo
no autenticado no servio de diretrios do Active Directory.
Quando Utilizar: Este modo de isolamento tem alguns pontos positivos e
negativos. O lado positivo que pode autenticar usurios locais ou remotos e de fcil
entendimento para o administrador. O lado negativo que todos as sub-pastas do site
precisam estar em um mesmo diretrio raiz e o desempenho do servidor pode degradar
quando este modo for usado para criar centenas de diretrios-base. Este modo
indicado nas seguintes condies:
Quando houver um nmero pequeno de sites pra gerenciar;
Quando houver um nmero pequeno de contas de usurios FTP. Lembre-se
de que 100 usurios significam 100 FTP home directories.
Quando a escalabilidade (potencial de crescimento), for baixo.
Isolar usurios usando o Active Directory Este modo autentica
credenciais de usurio em um recipiente do Active Directory correspondente, em vez de
procurar em todo o Active Directory, o que requer muito tempo de processamento.
Instncias especficas do servidor FTP podem ser dedicadas a cada cliente, para
assegurar a integridade e o isolamento dos dados. Quando o objeto de um usurio
estiver localizado no recipiente do Active Directory, as propriedades FTPRoot e
FTPDir sero extradas para fornecer o caminho completo para o diretrio base do


220

usurio, o que torna desnecessrio a manuteno de uma estrutura de diretrios para o
FTP. Se o servio FTP puder acessar com xito o caminho, o usurio ser colocado no
diretrio base, que representa o local raiz do FTP. Para o usurio exibido apenas seu
local raiz do FTP e ele no pode navegar acima na rvore de diretrios. O usurio ter o
acesso negado se a propriedade FTPRoot ou FTPDir no existir ou se essas duas juntas
no formarem um caminho vlido e acessvel.
Quando Utilizar:
Quando houve a necessidade de se criar um FTP Farm ou Load Balance;
Quando houver a necessidade de alta disponibilidade do servio;
Observao: Este modo requer que um servidor do Active Directory seja
executado em um sistema operacional da famlia Windows Server 2003. Um Active
Directory do Windows 2000 tambm poder ser usado, mas ir requerer extenso
manual do esquema User Object.
19.5.10 Instalao
O processo de instalao do servio de FTP que descrevo abaixo, foi copiado
dos procedimentos indicados pela Microsoft. Aps a instalao vamos estudar como
configurar e gerenciar nosso servidor FTP.
1. Abra o Add Remove Programs no Painel de Controle e clique em
Add/Remove Windows Components;


221


Figura - 6 - Instalao do Servio de FTP no Windows Server 2003
2. Clique em Application Server Details e, em seus subcomponentes,
procure e clique em Internet Information Services (IIS) Details.
3. Nos subcomponentes de Internet Information Services (IIS), selecione File
Transfer Protocol (FTP) Service OK.
4. Clique em Next. Se solicitado, insira o CD do Windows Server 2003.
6. Clique em Finish.
O IIS Manager cria um site FTP padro durante a instalao dos servios FTP.
Pode-se utilizar o diretrio \Inetpub\Ftproot para publicar o contedo ou criar
outro diretrio.
Pronto! Instalamos o Servio FTP. Agora precisamos configur-lo
adequadamente pra que voc possa oferecer este servio para sua empresa/clientes de
maneira segura e adequada.
19.5.11 Criando um novo site FTP


222

1. No IIS Manager, expanda o computador local, clique com o boto direito na
pasta FTP Sites, aponte para New... e clique em FTP Site. O Assistente para criao
de site FTP aparece.
2. Clique em Next.
3. Na caixa Description, digite o nome do site e clique em Next.
4. Especifique, digitando ou clicando, o endereo IP (o padro (All
Unassigned)) e a porta TCP para o site, e clique em Next.
5. Clique na opo de isolamanto do usurio que voc deseja e clique em Next.
6. Na caixa Path, digite, ou procure, o diretrio que contm ou conter
contedo compartilhado e clique em Next.
7. Marque as caixas de seleo correspondentes s permisses de acesso ao site
FTP que voc quer atribuir aos usurios e clique em Next.
8. Clique em Finish.
9. Para posteriormente alterar estas e outras configuraes, clique com o boto
direito no site FTP e clique em Properties.
Discutiremos posteriormente como manter vrios sites FTP em um nico
servidor.
DICA: Ao terminar a instalao, se vocs estiver utilizando o servidor com
algum Service Pack (SP1 no caso do Windows Server 2003), interessante
reaplicar o ltimo Service Pack aps a instalao do servio.
O primeiro requisito de segurana a aplicao do Service Pack mais atual do
seu Sistema Operacional (no nosso caso, o Windows Server 2003). Os Service Packs
so programados para instalar as correes somente dos servios em execuo no
servidor. Assim, se houver alguma correo a ser feita (e h!) no servio de FTP, ela s
ser aplicada aps o servio instalado. Existem pelo menos 5 artigos inclusos no SP1
que tratam de problemas diretamente ligados ao servio de FTP (KB826270
KB828086 KB830886 KB830885 KB831914 KB887175).
uma boa prtica verificar a compatibilidade dos sistemas que esto rodando
no servidor que foi escolhido para ser o servidor de FTP, com os patchs do Service Pack
atual antes de re-aplic-lo ou aplic-lo pela primeira vez. Alguns sistemas, como banco
de dados por exemplo, podem deixar de funcionar ou comear apresentar erros aps
uma substituio de dll feita pelo Service Pack. E, acredite, melhor pesquisar pelas
incompatibilidades antes do que durante a ocorrncia do problema.
19.5.12 Configurando o Servio de FTP para Acesso Annimo


223

Se o servidor FTP tiver por finalidade simplesmente ser um repositrio de
documentos de domnio pblico que podem e devem ser pesquisados pela empresa toda
(pela intranet), ou pelo mundo (atravs da internet), a simples configurao para
permitir somente conexes annimas ser o suficiente.
Para configurar o Servio FTP de modo a permitir somente conexes annimas,
siga estas etapas:
1. Abra o Gerenciador dos Servios de Informaes da Internet da Microsoft ou
o snap-in do IIS.
2. Expanda Nome_do_servidor, em que Nome_do_servidor o nome do
servidor.
3. Expanda FTP Sites.
4. Clique com o boto direito em Default FTP Site e clique em Properties.
5. Clique na guia Security Accounts.


Figura - 7 - Propriedades de Segurana de Contas de Acesso


224

6. Clique para marcar as caixas de seleo Allow anonymous connections (se
j no estiver selecionada) e Allow only anonymous connections.
Ao clicar para selecionar a caixa de seleo Allow only anonymous
connections, voc configura o Servio FTP para permitir somente conexes annimas.
Os usurios no podem conectar-se usando nomes de usurio e senhas.
7. Clique na guia Home Directory.
8. Clique para marcar as caixas de seleo Read e Log Visits (se j no
estiverem marcadas) e clique para desmarcar a caixa de seleo Write (se j no estiver
desmarcada).
9. Clique em OK.
10. Feche o Gerenciador dos Servios de Informaes da Internet da Microsoft
ou o snap-in do IIS.
O servidor FTP est configurado para aceitar solicitaes de entrada FTP. Copie
ou mova os arquivos que deseja tornar disponvel para acesso para a pasta de publicao
em FTP. A pasta padro unidade:\Inetpub\Ftproot, onde unidade a unidade na qual o
IIS est instalado.
Concluso
Eu quis mostrar as diferenas existentes (pra melhor), na verso 6.0 em relao
verso anterior do IIS FTP.
Olhando este artigo com um critrio mais apurado parece que a verso 5.0 s
tem problemas e o inferno de todos os administradores de servidores, mas no
assim. Logicamente, eu mostrei muito mais as falhas do que as vantagens justamente
pra chamar a ateno para as necessidades de cuidados com os detalhes da
configurao, da segurana e da disponibilizao do servio. A verso 7.0 do IIS j est
em Beta e logo ser lanada no mercado, o que com certeza nos far olhar com mais
carinho para as deficincias da verso 6.0, porm isso no significa e nem siginificar
que teremos que abandonar a verso que estamos utilizando porque de repente ela se
tornou bichada. Significa sim, que conheceremos melhor seus problemas e teremos
que fazer o necessrio para que ela continue to boa quanto antes.
Precisamos atentar para a realidade de que no d pra ficar fazendo upgrades
eternos de nossos sistemas simplesmente porque saiu uma verso que se diz melhor que
a que estamos usando.
Para pensarmos em migrar dezenas, centenas ou at milhares de sites de um
servidor de servios Internet para uma verso mais nova devemos avaliar como a
servio tecnolgico existente - as melhorias de performance, segurana, de aplicaes,
enfim, tudo aquilo que pode realmente incrementar valor ao nosso negcio.
19.5.13 Simulao de criar os sites com IPs diferentes


223

Voc pode criar vrios sites FTP com o uso de vrios endereos IP e/ou portas.
Apesar de ser uma prtica comum e recomendada, a criao de vrios sites com o uso
de vrios endereos IP pode ser mais complicada, j que, por padro, os clientes
chamam a porta 21 quando usam o protocolo FTP. Entretanto, se voc criar vrios sites
FTP com vrias portas, dever informar os usurios sobre o nmero da nova porta para
que o cliente FTP deles possa localizar a porta e se conectar a ela.
Se voc criar um novo site com a mesma porta de um site existente com o
mesmo endereo IP, o novo site no ser iniciado. A regra que voc pode ter vrios
sites que usem IP e porta iguais, mas apenas um site desse grupo pode ser executado por
vez. Se voc tentar iniciar um outro site desse grupo, receber uma mensagem de erro.
Portanto, deve optar por utilizar o mesmo IP e portas diferentes ou diferentes IPs com a
mesma porta de acesso.


Cenrio
Em nosso exemplo, optamos por criar os sites com IPs diferentes e manter a
porta padro 21 para as conexes.
A vantagem de se diferenciar os sites FTP de um mesmo servidor por endereo
IP reside na facilidade adicional de se configurar um registro HOST em seu DNS
interno para atender ao site. Isso obviamente facilita o uso pelo usurio. Em nosso
exemplo, ns registramos os seguintes endereos para os sites:

Tabela 1 - Dados de configurao dos sites FTP
Nunca demais lembrar-se de que preciso ser um membro do grupo
Administradores do computador local para executar este procedimento (ou
procedimentos) ou ter recebido autoridade apropriada para isso.
Nesse cenrio, nosso servidor tem os IPs 172.23.192.171; 172.23.192.172;
172.23.192.173. Na verdade, eles foram adicionados placa de rede interna; no temos
no servidor uma placa para cada IP.


226



Apesar de atualmente existirem ferramentas mais apropriadas e completas para
controle de documentaes, dois departamentos que fazem bom uso do FTP so o
Recursos Humanos e o Help Desk. O Recursos Humanos possue vrias
documentaes e formulrios que devem ser disponibilizados para toda a empresa para
download.
Desse modo, os requisitos de segurana so mnimos j que todos podem
visualizar todo o contedo do site. Devemos somente tomar o cuidado de atribuir ao
site somente a permisso Read para impedir que algum faa uploads de arquivos
indesejados e/ou altere o contedo oficial dos documentos existentes.
Os detalhes do processo de criao de um site FTP com essas caractersticas foi
explicado no artigo anterior. Aqui vamos acrescentar alguns detalhes que so
necessrios para se manter ambos os sites em funcionamento no mesmo servidor.
J o Help Desk se utiliza de arquivos de instalao, drivers de equipamentos,
etc. quase todos os dias e pela empresa toda; para o que, tambm muito interessante
mant-los em um local nico e de acesso por toda a corporao pelos integrantes da
equipe de suporte.
Vamos assumir tambm que o departamento de Help Desk tem dois analistas,
Felipe Konnus (fkonnus) e Eliana Borges (eborges). Precisaremos dessa informao
quando criarmos o site com o recurso FTP User Islolation habilitado.
Antes de implementar este cenrio, vamos revisar o Default FTP Site. Quando
instalamos o servio de FTP, o Default FTP Site pr-configurado para responder por
todos os IPs configurados no servidor (Figura 1). Isso significa que qualquer endereo
IP que no esteja especificamente atribudo a outro site FTP no servidor, responder
pelo Default FTP site. Em nosso exemplo, se tentarmos abrir o FTP em
ftp://172.23.192.172 ou ftp://172.23.192.173 pelo Internet Browser (Internet Explorer,
por exemplo), antes de atribuirmos esses endereos aos sites que criaremos, todos esses
endereos disponibilizaro o contedo do Default FTP site.



227


Figura - 1 - Propriedades do Default FTP site (Todos os IPs atribudos).
Criao de um Site FTP
Antes de criar o site FTP para o departamento de Recursos Humanos, ns temos
que realizar uma das seguintes tarefas: atribuir um endereo IP para o Default FTP site,
caso ele esteja sendo utilizado para alguma coisa ou simplesmente desativ-lo.
Para fixar um endereo IP pro Default FTP Site:
No IIS Manager, expanda o computador local e depois a pasta FTP Sites;
Clique com o boto direito do mouse sobre o Default FTP Site e clique em
Properties;
No campo IP Address, clique e selecione o IP desejado na lista que vai
parecer ou simplesmente digite-o (no nosso caso, 172.23.192.171);
Clique em Apply e em OK;
Para desativ-lo, basta clicar com o boto direito sobre o Default FTP Sites e
selecione a opo Stop do menu suspenso.
Site FTP do Recursos Humanos
1. No IIS Manager, expanda o computador local, clique com o boto direito do
mouse na pasta FTP Sites, aponte para New e clique em FTP Site;


228

2. Clique em Next;
3. Na caixa Description, digite a descrio do site FTP (Departamento de
Recursos Humanos, por exemplo) e clique em Next;
4. Em Digite o endereo IP a ser usado para este site FTP, digite o novo
endereo IP (172.19.192.173) e mantenha a configurao da porta TCP em 21.
5. Adicionalmente voc pode configurar as mensagens que voc deseja que
aparea quando a conexo for feita pela linha de comando:


Figura - 2 - Configurao de Mensagens
6. Conclua os procedimentos restantes do Assistente para criao de site FTP.
No acesso via Internet Explorer, o nome do usurio aparecer na barra de status,
na parte inferior do browser. Quando houver o acesso via linha de comando, o usurio
visualizar algo parecido com a tela abaixo:


229


Figura - 3 - Detalhes do acesso via linha de comando
Quando o site criado para uso pblico com acesso annimo, uma auditoria
satisfatria sobre seu acesso quase impossvel apesar dos logs, devido ao acesso como
anonymous. No controle de sesses abertas no site, voc somente visualizar o que
ele colocar como senha de acesso annimo se ele fizer o acesso via linha de comando
e o user IEUser@, se o acesso vier do Internet Explorer, como na figura abaixo.



230

Figura - 4 - Controle de sesses abertas no site. Usurios annimos.
Por padro, a permisso para conexes annimas permitida, e isso timo
para sites FTP pblicos, mas para sites FTP privados dentro de uma intranet
corporativa, voc pode querer deixar essa opo desmarcada pra preven-las.
Desabilitando a opo Allow anonymous connections na guia Security Accounts
das propriedades do site FTP, ele passa a utilizar a Basic Authentication. Os usurios
que tentarem o acesso ao site recebero uma caixa de dilogo de autenticao quando
acessarem via Internet Explorer e em linha de comando no ser mais permitido utilizar
o usurio anonymous como mostra a figura abaixo.

Figura - 5 - Negao de Acesso Annimo via Linha de Comando
Lembre-se de que a Basic Authentication passa as credenciais do usurio pela
rede em clear text, o que significa que os sites FTP so, por natureza, inseguros (eles
no suportam Windows Integrated Authentication). Ento se voc vai instalar um
site FTP privado em sua rede interna, certifique-se de que fechou as portas 20 e 21 em
seu firewall para bloquear trfego de usurios externos na Internet.



231

19.5.14 Site FTP com isolamento de usurios
O fato de negarmos o acesso annimo e solicitar credenciais de logon no
significa que, aps o logon, teremos um ambiente privado. Para isso precisamos
configurar o site para que use o recurso de isolamento de usurios. Quando um site FTP
se vale desse recurso, cada um que o acessa tem uma pasta FTP, que um subdiretrio
embaixo do diretrio raiz do site FTP e, da perspectiva do usurio, ele visto como a
pasta raiz. Isso significa que os usurios so impedidos de visualizar os arquivos de
outros usurios em outras pastas que no a dele, fornecendo segurana para os arquivos.
Quando o site FTP est definido para isolar os usurios, todos as pastas base de
usurios se localizam em uma estrutura de pastas de dois nveis no diretrio do site FTP
(como configurado na pgina de propriedades do home directory do FTP). O diretrio
do site FTP pode residir no computador local ou em um compartilhamento de rede,
porm todos as pastas base de usurios precisam estar obrigatriamente embaixo
do diretrio raiz do site.
Vamos criar um novo site FTP chamado Help Desk que se utiliza desta nova
caracterstica, usando as configuraes para o site do Help Desk, descritas
anteriormente na Tabela 1. Inicie o Assistente de Criao de Sites FTP como mostrado
passo a passo no captulo anterior e caminhe at chegar pgina FTP User
Isolation e selecione a opo Isolate Users desta pgina:

Figura - 6 - Criao de site com isolamento de usurios
Lembre-se da boa prtica de retirar a permisso de acesso annimo aps a
criao do site, na folha Security Accounts nas propriedades do site. Porm, se desejar
permitir acesso annimo, crie os subdiretrios LocalUser e LocalUser\Public no
diretrio base do site FTP.
Podemos ter na empresa, situaes que nos levem necessidade de criar contas
locais em servidores para se limitar acessos a recursos. Por exemplo, podemos estar em


232

um processo de implantao de um ERP que enche nossa empresa de consultores que
necessitam de acesso a recursos especficos e por tempo especfico.
Criar esses usurios em nosso Active Directory pode no ser uma boa prtica.
Dar a eles um usurio tipo Guest (guest_consultoriaxyz, por exemplo) no domnio e
criar contas locais em servidores especficos para maiores permisses naquele recurso,
pode ser uma sada mais segura.
Se houver a necessidade de se criar contas locais no servidor de FTP, para que
faam logon com seus nomes de usurio da conta individual (em vez de usurios
annimos), devem ser criados os subdiretrios LocalUser e
LocalUser\nome_do_usurio no diretrio raiz do site FTP para cada usurio que tem
permisso para se conectar a esse site FTP.
Se existem usurios de diferentes domnios que faro o logon com suas
credenciais domnio\nome_do_usurio explcitas, deve ser criado um subdiretrio para
cada domnio (usando o nome do domnio) no diretrio raiz do site FTP e, em cada
diretrio de domnio, deve-se criar uma pasta para cada usurio. Por exemplo, para
oferecer suporte ao acesso pelo usurio NetkonRondonia\user1, crie as pastas
NetkonRondonia e NetkonRondonia\user1. Veja como ficou a estrutura de pastas do
nosso exemplo:

Figura - 7 - Estrutura de pastas do site FTP do Help Desk - Isolamento de
Usurio
Veja como fica a visualizao pelo Internet Explorer, o acesso a um site sem o
isolamento de usurios e com isolamento de usurios:


233



Figura - 8 - Acesso autenticado ao site RH - sem isolamento de usurio

Note que, embora eu tenha sido autenticado pelo site, eu consigo visualizar
todas as pastas e documentos existentes no site, inclusive a pasta do usurio acampos.
Se o site estiver com a opo Write habilitada, eu posso fazer upload de qualquer
arquivo que desejar para qualquer pasta, como tambm alterar arquivos existentes e
substitu-los.

Figura - 9 - Acesso autenticado no site do Help Desk - com isolamento de
usurios
Note agora com o isolamento de usurios. Apesar da estrutura de pastas do
helpdesk possuir outras pastas (Figura 7), o usurio conectado enxerga sua pasta base
como sendo a raiz do site, sem a possibilidade de navegar em outras pastas de usurios
ou sequer enxerg-las. Note tambm (na barra de status), que o usurio agora est
logado como domnio\usurio.


234


19.5.14.1 Configurando o isolamento do usurio de FTP com o Active
Directory
Ns ainda precisamos explorar mais uma opo, que a terceira na pgina FTP
User Isolation do Assistente de Criao de Sites FTP, chamada Isolate users using
Active Directory. Como ns no temos mais endereos IP, primeiramente vamos
liberar o IP 172.23.192.171, parando o Default FTP Site. Uma maneira de fazermos
isso abrir o command prompt e digitar iisftp /stop Default FTP Site usando o
script iisftp.vbs.
O script que ns utilizamos aqui, o Iisftp.vbs, um dos muitos scripts
administrativos do IIS disponveis quando voc instala o IIS sobre o Windows Server
2003. Uma descrio completa da sintaxe deste script pode ser encontrada no link
descrito na Bibliografia. Depois que voc criou um novo site FTP utilizando este
script, voc pode melhorar a configurao do site utilizando o IIS Manager da maneira
usual.
Agora, vamos iniciar novamente o assistente de Criao de sites FTP e
selecionar a terceira opo mencionada acima (vamos nomear esse novo site como
Engenharia e lhe dar o IP que estava reservado para o Default FTP Site):

Clique em Next e entre com uma conta de administrador do domnio, a senha e
o nome do domnio:


233


Clique em Next, confirme a senha e complete o assistente normalmente. Voc
notar que no ser mais solicitado pra voc especificar um diretrio raiz para o novo
site FTP. Isso devido ao fato de que, quando voc usa esta opo, todos os FTP home
directory de usurio definido por duas variveis de ambiente: %ftproot%, que define
o diretrio raiz e pode ser qualquer lugar que inclua um caminho UNC para um
compartilhamento na rede ou em qualquer outra mquina, como por exemplo,
\\Engenharia\docs, e a varivel %ftpdir% que pode ser configurada para
%username%. Assim, no exemplo da pasta base FTP da Eliana, teremos
\\Engenharia\docs\eborges e esta pasta a que precisa ser criada antecipadamente para
ela. Voc pode configurar essas variveis de ambiente usando um script de logon e
atribuir o script utilizando Group Policy, mas isso est fora do escopo deste artigo.
Detalhes do Active Directory
Quando o servidor FTP definido para isolar usurios com o Active Directory,
o diretrio base de cada usurio pode residir em um caminho de rede arbitrrio. Neste
modo, temos a flexibilidade para distribuir pastas base de usurios em vrios servidores,
volumes e diretrios, conforme adequado para a configurao da rede.
Tambm possvel definir as propriedades FTPRoot e FTPDir para um
usurio formar um caminho local para o computador do servidor FTP. Este modo
integra a autenticao do Active Directory ao recuperar as informaes do diretrio base
de um usurio. Essa integrao permite que se utilize a Active Directory Services
Interface (ADSI) e scripts para gerenciar o local fsico das pastas base dos usurios.
Este modo mais adequado para implantaes de ISPs, em que um conjunto de
servidores FTP de front-end acessa um Active Directory para recuperar informaes do
diretrio base para os usurios e permitir o acesso a um conjunto de servidores de
arquivos de back-end.
O objeto User do Active Directory foi ampliado para incluir duas propriedades:
FTPRoot e FTPDir. Essas propriedades armazenam o diretrio base relativo e de


236

compartilhamento do servidor de arquivos de cada usurio. A FTPRoot determina o
compartilhamento do servidor de arquivos da conveno universal de nomenclatura
(UNC), enquanto a FTPDir indica o caminho relativo no compartilhamento. A
concatenao dessas duas propriedades resulta no caminho UNC completo para o
diretrio base dos usurios ou para o servidor FTP.
Essas duas propriedades correspondem s propriedades msIIS-FTPRoot e
msIIS-FTPDir que foram adicionadas no schema do Active Directory na famlia
Windows Server 2003. Elas tambm podem ser definidas e modificadas usando o script
de administrao iisftp.vbs.
Voc tambm pode instalar o Admin Pack, disponvel com o Resource Kit da
famlia Windows Server 2003 e modificar essas propriedades usando o snap-in do
Active Directory.
A configurao do isolamento do usurio usando o Active Directory envolve a
configurao dos seguintes servios correspondentes:
Servidores de arquivo: possvel utilizar os servidores de arquivo para criar
os diretrios de compartilhamentos e de usurios para todos os usurios com permisso
para se conectar ao seu servio FTP, incluindo contas annimas. preciso planejar o
uso esperado de espao em disco, gerenciamento de armazenamento, trfego de rede e
outros processos relacionados com a infra-estrutura do servidor.
Active Directory: Este modo de isolamento do usurio requer a
disponibilidade de um servidor do Active Directory sendo executado em um sistema
operacional da famlia Windows Server 2003. O esquema do Active Directory da
famlia Windows Server 2003 o primeiro a conter as propriedades de objeto do
usurio usadas pelo servio FTP. As informaes recuperadas do Active Directory com
uso freqente, so armazenadas em cache no servidor FTP. possvel limitar o tempo
mximo transcorrido, antes de liberar o cache das propriedades do Active Directory
correspondentes ao usurio annimo usando o parmetro do Registro
DsCacheRefreshSecs.


Concluso
Vimos em detalhes a criao e configurao de sites FTP de vrias maneiras no
IIS 6. Com exceo do isolamento de usurios, tudo que foi abordado aqui tambm se
aplica ao IIS 5 sobre Windows 2000.
possvel percebermos que, conforme novas funcionalidades so adicionadas
em novas verses dos aplicativos, maior se torna a complexidade de gerenciamento e
necessidade de entendimento da infraestrutura da nossa rede como um todo. Neste
captulo de estudos do IIS, percebemos que precisamos dominar no s os passos da


237

criao de um site FTP, mas tambm como estrutura nosso DNS para comportar os
registros de nomes para os sites com a finalidade de facilitar a vida do nosso cliente
(leia-se usurio). Vimos a necessidade de estruturar corretamente as pastas dos
diretrios FTP e suas permisses bsicas. E por ltimo, e talvez um dos itens de maior
importncia, deve-se chamar a ateno do adminitrador para compreender
detalhadamente os processos com a finalidade de prover a segurana necessria para o
bom funcionamento da rede como um todo e seus recursos disponveis.
Monitorando o Servio de FTP
O gerenciamento dos recursos disponveis em nossa rede to importante
quanto o prprio recurso. O monitoramento dos servios podem nos livrar de grandes
dores de cabea tendo em vista que podemos analisar em tempo real tudo o que
acontece com nossos servios, ainda que por um pequeno perodo de tempo. Por isso,
vamos detalhar alguns pontos sobre o gerenciamento de sites FTP em um servidor IIS.
Vamos tambm estudar como configurar os logs de acesso aos sites, os tipos de logs e
como ler os registros do arquivo de log.
Podemos precisar (e geralmente precisamos), monitorar os diversos aspectos de
um servio em nossa rede. Uma ferramenta muito pouco comentada mas de uma
grande utilidade o Performance Monitor, que vem junto com o Sistema Operacional
desde o Windows NT. Com ela conseguimos, em tempo real, visualizar o estado dos
servios, dos servidores, o trfego de acesso e at mesmo se algum problema est
acontecendo ou por acontecer.
Outra ferramenta bastante interessante tambm o arquivo de logs criado pelo
prprio IIS. Enquanto o Performance Monitor tem uma funo mais apropriada para
Capacity Planning, os arquivos de logs do IIS servem para resoluo de problemas,
auditorias e estatsiticas de acesso e operaes mais realizadas. Vamos estudar um
pouco dos dois.


238


Figura - 1 - Monitorando o Servio de FTP
importante dizer que esse tipo de monitoramento nos traz somente a situao
atual do servio. Porm podemos programar relatrios dirios de performance,
programando o Performance Monitor para tirar uma fotografia da situao do servio
por algum perodo durante o dia. Por exemplo, possvel programar o Performance
Monitor para disparar o monitoramento desse contadores por duas horas dirias, das
14:00 s 16:00 h, considerando que seja o perodo de maior acesso ao servio. A
determinao desse perodo ser feita por voc de acordo com as anlises on-line que
fizer do servio. possvel tambm configurar alertas para que o performance monitor
escrever um evento no EventLog, enviar uma mensagem para nossa estao ou at
mesmo iniciar outro programa, quando por exemplo o contador Current Connections
passar o limite de 50 conexes.
Para monitorarmos o servio de FTP utilizando o Performance Monitor:
1. Clique em Start Programs Adminstrative Tools Performance
2. Limpe qualquer objeto que houver na parte inferior clicando na linha do
objeto e apertando o Delete para cada uma das linhas;
NOTA: Voc pode desejar no alterar as configuraes do Performance
Monitor por estar utilizando-o para monitorar outras partes de sua rede. Se esse
for o caso, voc pode criar um mmc (Microsoft Management Console) com o snap-
in ACTIVEX System Monitor Tool e configur-lo de acordo com o descrito nesse
artigo.
3. Clique no boto [+] na barra de botes e selecione o objeto FTP Service
na caixa Performance Object;


239



Figura - 2 - Selecionando o Objeto "FTP Service"
4. Selecione a opo All Instances antes de selecionar os contadores
desejados para monitorar;
5. Selecione as instncias descritas abaixo, mantendo a tecla CTRL apertada:


240


Figura - 3 - Selecionando os Contadores
Bytes Received/sec
Bytes Sent/sec
Bytes Total/sec
Current Anonymous Users (Se permitir acesso annimo aos sites)
Current Connections
Total Files Sent
Total Files Received
Total Logon Attempts
Clique no boto Add;
Esses contadores so suficientes para que voc tenha uma noo do que est
ocorrendo com seus sites.
Os contadores Current Connections e Total Logon Attempts so
importantes informaes para controle de banda e o contador Total Files Received
pode lhe dar uma noo para seu Capacity Planning em relao aos recursos
disponveis para seu servio de FTP.


241

NOTA: Se desejar monitorar somente um site, ou alguns sites ao invs de
todos, voc deve selecionar a opo Select Instances from list e com a tecla
CTRL apertada, clicar nas instncias desejadas.
19.5.15.1 Configurando o Logging de Sites FTP
O assunto sobre logs bastante chato. No vi sequer um administrador at hoje
que tenha alguma afinidade por anlises de logs, principalmente pelo fato de se
parecerem muito mais com hiergrifos, mensagens subliminares ou coisa do tipo, do
que algo que faa algum sentido para ns, pobres mortais.
Apesar de ser um sonho de todo o administrador o fato de, bater os olhos em
um registro de log e o conseguir ler como qualquer frase em lngua ptria, poucos so os
que tm coragem para transformar esse sonho em realidade e investir tempo para
estudar o assunto, mesmo porque para completar o inferno em terra cada aplicao
parece ter sua linguagem prpria de logs.
Assim sendo, prometo colocar aqui somente alguns conceitos que considero os
mais importantes e descrever um pouco sobre a estrutura dos logs do IIS. Veremos
somente o necessrio para compreender o que o log quer nos informar J.
O prprio servio de FTP, como o servio WWW, tem um log padro. O
formato padro dos logs para sites FTP o W3C Extended Log File Format. Os logs
de site FTP so armazenados em pastas nomeadas como a seguir:
SystemRoot%\system32\LogFiles\MSFTPSVCnnnnnnnnnn
Onde nnnnnnnnnn o nmero de ID do site FTP. Voc pode usar um
aplicativo como o Microsoft Log Parser, parte do IIS 6.0 Resource Kit Tools, para
analisar esses logs, ou simplesmente abri-los no notepad.


242


Figura - 4 - Pastas com os arquivos de Logs dos Sites FTP


Figura - 5 - Arquivo de Log gerado pelo servio FTP
Aqui voc j pode entender porque a auditoria do uso do servio FTP se
complica se for permitido acesso annimo. Perceba que no h nenhuma consistncia


243

de dados que lhe aponte quem so os usurios que fizeram o logon anonimamente. Note
a diferena na figura abaixo, quando obriga-se a autenticao do usurio.

Figura - 6 - Arquivo de Log com a autenticao de usurios habilitada
19.5.15.2 Log da atividade do site
Habilitando o log dos sites FTP nas pginas de propriedade do site voc pode
rastrear as atividades que um usurio desenvolveu em seu site. As informaes so
armazenadas em arquivos ASCII ou em um banco de dados compatvel com a
conectividade aberta de banco de dados (ODBC).
As informaes de log que o IIS fornece vo alm do padro do log de eventos
ou dos recursos de monitorao de desempenho do Performance Monitor. As
informaes coletadas pelo log do IIS-FTP possuem mais a caracterstica de auditoria
do que avaliao de comportamento do site. Eles podem incluir informaes como, por
exemplo, quem visitou o site, por onde o visitante navegou, se fez download de
arquivos, quais arquivos e quando as informaes foram exibidas pela ltima vez. Voc


244

pode usar os logs para avaliar a popularidade do contedo ou identificar afunilamentos
de informaes.
19.5.15.3 Formatos de arquivo de log
Para registrar as atividades dos usurios no servidor FTP, esto disponveis os
formatos:
Formato de arquivo de log do W3C (W3C Extended Log File Format);
Log de ODBC (ODBC Logging);
Formato de arquivo do Log do IIS (Microsoft IIS Log Format).
O formato W3C Extended Log File e o Microsoft IIS Log so formatos de texto
ASCII. O formato W3C registra os dados de log no formato de ano com quatro dgitos.
O formato IIS usa dois dgitos para os anos at 1999, e um formato de quatro dgitos
para o ano 2000 e posteriores. No formato de log do IIS, os dados registrados para cada
solicitao so fixos. J o formato estendido do W3C permite escolher as propriedades
que devem ser registradas para cada solicitao.




243

Figura - 7 - Opes de Log do Formato W3C
O formato estendido do W3C um formato ASCII personalizvel com diversas
propriedades distintas. Permite criar um log das propriedades que so importantes para
voc e limitar o tamanho do log omitindo campos de propriedades irrelevantes. As
propriedades so separadas por espaos. O horrio registrado como UTC.
possvel selecionar qualquer propriedade (Figura 7), mas algumas podem no
ter informaes disponveis para algumas solicitaes. No arquivo de log, os campos
das propriedades selecionadas para as quais no h informaes mostram um hfen (-)
como um espao reservado.
O formato do IIS um formato ASCII fixo (no pode ser personalizado). O
formato do IIS contm itens bsicos como endereo IP do usurio, nome do usurio,
data e hora da solicitao, cdigo de status do servio e o nmero de bytes recebidos.
Alm disso, contm itens detalhados como tempo decorrido, nmero de bytes enviados,
ao (por exemplo, um download efetuado por um comando GET) e arquivo de destino.
Os itens so separados por vrgulas, o que torna a leitura desse formato mais fcil do
que a de outros formatos ASCII que usam espaos como separadores. A hora
registrada com base no horrio local.
Quando voc abre um arquivo de formato do IIS em um editor de texto, as
entradas so semelhantes s deste exemplo:


Figura - 8 - Log no formato Microsoft IIS
As duas ltimas entradas do exemplo acima so interpretados nas tabelas a
seguir. A primeira linha de cada tabela corresponde ao penltimo registro e a ltima
linha corresponde ao ltimo registro do log da Figura 8. O exemplo apresentado em
trs tabelas devido s limitaes de largura da pgina.


246


Tabela 3 - Opes do Log do IIS - Parte 3
No exemplo acima, a primeira entrada indica que o usurio eborges om o
endereo IP 172.23.192.170 tentou fazer o upload do arquivo
controle_chamados_abr06.xls no dia 25 de Maio de 2006 s 15:59:10h.
A solicitao exigiu um tempo de processamento de 0 segundos (provavelmente
foram milsimos de segundos), para ser concluda e no no enviou e nem retornou
dados porque o cdigo de status do windows foi 5 que significa acesso negado para
essa operao.
No arquivo de log, todos os campos de propriedade terminam com uma vrgula
(,). O hfen (-), conforme j dito, funciona como um espao reservado quando no
existe um valor para a propriedade.
O formato de log de ODBC um registro de um conjunto fixo de propriedades
de dados em um banco de dados compatvel com a ODBC (conectividade aberta de
banco de dados), como o Microsoft Access ou Microsoft SQL Server. Alguns dos itens
registrados no log so o endereo IP do usurio, o nome do usurio, a data e a hora da
solicitao (registrados de acordo com o horrio local), os bytes recebidos, os bytes
enviados, a ao executada (por exemplo, um download efetuado por um comando
GET) e o destino (por exemplo, o arquivo que foi transferido). Com essa opo, voc
deve especificar o banco de dados em que ser efetuado o log e deve configur-lo para
receber os dados.
Quando o log de ODBC est habilitado, o IIS desabilita o cache do modo do
kernel. Por esse motivo, a implementao de log de ODBC pode prejudicar o
desempenho global do servidor.


247


Figura - 9 - Opes para o formato de log do ODBC
NOTA: Por motivos de segurana, no use a conta SQL SA para logs de
ODBC. Se um usurio mal-intencionado acessar o processo de trabalho, ele poder
usar a conta SA para acessar o servidor SQL. Ao invs disso, crie uma nova conta
com o mnimo de permisses necessrias.
Para usar o log de ODBC
1. Crie um banco de dados contendo uma tabela com as propriedades adequadas
para os dados do log. O IIS contm um arquivo de modelo do SQL que pode ser
executado em um banco de dados SQL para criar uma tabela que aceita entradas de log
do IIS. O nome do arquivo Logtemp.sql e ele se localiza na pasta
raiz_do_sistema\System32\Inetsrv se voc aceitou os padres da instalao. As
seguintes propriedades so obrigatrias:


248


2. Fornea ao banco de dados um DSN (nome da fonte de dados) do sistema,
que um nome que o software ODBC usa para encontrar o banco de dados(Figura 9).
3. Fornea ao IIS o nome do banco de dados e da tabela. Se forem necessrios
um nome de usurio e uma senha para acessar o banco de dados, eles tambm devem
ser especificados no IIS.
No IIS 6.0, voc pode gravar dados de log em um compartilhamento remoto da
rede usando um caminho de conveno universal de nomenclatura (UNC) completo. Por
exemplo, voc pode especificar \\nome_do_servidor\LogFiles como o diretrio de
armazenamento para os arquivos de log, onde nome_do_servidor representa o nome do
servidor remoto e LogFiles representa o nome do diretrio onde os arquivos de log so
armazenados.
O log remoto permite que voc realize e armazene o backup de arquivos de log
centralizados; porm, ele mais lento que os mtodos de log padro. O log remoto
grava o arquivo de log pela rede, o que pode provocar queda de desempenho.
NOTA: Se um diretrio de arquivo de log ou o proprietrio do arquivo no
estiver no grupo de administradores local, o IIS publica um erro no log de eventos
do NT, indicando que o proprietrio do diretrio ou do arquivo no est nesse
grupo e que a gravao no log foi suspensa para o site at que o proprietrio seja
adicionado ao grupo de administradores local, ou o diretrio ou arquivo de log
existente seja excludo. Voc pode evitar esse erro permitindo que o componente
HTTP.sys do IIS, crie diretrios de arquivos de log e arquivos de log.
altamente recomendvel a ativao do IPSec, entre o servidor web que
executa o IIS e o servidor remoto, antes de configurar o log remoto. Se o IPSec no
estiver habilitado entre o servidor web que executa o IIS e o servidor remoto, os pacotes
de dados que contiverem dados de log correro risco potencial de interceptao por


249

indivduos e aplicativos de captura de informaes invasivos enquanto trafegam pela
rede.
19.5.16 Parando e Iniciando Sites FTP
Se um site FTP torna-se indisponvel, voc pode precisar reinici-lo para que se
torne disponvel novamente. Isso pode ser feito utilizando o IIS Manager, clicando com
o boto direito sobre o site FTP em questo, selecionando Stop e depois Start.
Pela linha de comando voc pode digitar net stop msftpsvc ou utilizar o
comando iisreset para reiniciar todos os servios do IIS. Lembre-se de que a
reinicializao de um site FTP o ltimo recurso a ser utilizado porque todos os
usurios que estiverem conectados nele, naquele momento, sero desconectados.
Concluso
Vimos em detalhes a criao e configurao de sites FTP de vrias maneiras no
IIS 6. Com exceo do isolamento de usurios, tudo que foi abordado aqui tambm se
aplica ao IIS 5 sobre Windows 2000.
possvel percebermos que, conforme novas funcionalidades so adicionadas
em novas verses dos aplicativos, maior se torna a complexidade de gerenciamento e
necessidade de entendimento da infraestrutura da nossa rede como um todo. Neste
captulo de estudos do IIS, percebemos que precisamos dominar no s os passos da
criao de um site FTP, mas tambm como estrutura nosso DNS para comportar os
registros de nomes para os sites com a finalidade de facilitar a vida do nosso cliente
(leia-se usurio). Vimos a necessidade de estruturar corretamente as pastas dos
diretrios FTP e suas permisses bsicas. E por ltimo, e talvez um dos itens de maior
importncia, deve-se chamar a ateno do adminitrador para compreender
detalhadamente os processos com a finalidade de prover a segurana necessria para o
bom funcionamento da rede como um todo e seus recursos disponveis.