Apostila de

Autor: Renner Sousa Ferreira Todos os direitos reservados

Curso: Tcnico em Informtica Disciplina: Redes II

Contedo
Introduo ............................................................................................................................................. 8 Requisitos de Sistema ......................................................................................................................... 11 Viso geral sobre o MMC ................................................................................................................... 12 Usando consoles do MMC .................................................................................................................. 12 Personalizando a exibio do MMC e dos consoles salvos ............................................................ 12 Trabalhando com colunas em consoles salvos................................................................................ 12 Usando consoles criados nas verses anteriores do MMC ............................................................. 13 Adicionar um snap-in a um novo console do MMC de um computador local ................................... 13 Para salvar um arquivo de console do MMC ...................................................................................... 15 Gerenciando arquivos e pastas ............................................................................................................ 16 Compartilhar uma pasta ou unidade ........................................................................................... 17 Habilitar cpias de sombra de pastas compartilhadas................................................................. 17 Alterar as configuraes das cpias de sombra de pastas compartilhadas ................................. 18 Viso geral sobre Pastas compartilhadas ............................................................................................ 20 Para compartilhar uma pasta ou unidade ........................................................................................ 22 Usando Pastas compartilhadas ........................................................................................................ 22 Usando o Windows Explorer ...................................................................................................... 25 Usando uma linha de comando ................................................................................................... 26 Para definir permisses em um recurso compartilhado .................................................................. 26 Usando Pastas compartilhadas .................................................................................................... 27 Usando o Windows Explorer ...................................................................................................... 29 Permisses de compartilhamento ........................................................................................................ 30 Escolhendo um sistema de arquivos: NTFS, FAT ou FAT32 .......................................................... 31 NTFS ............................................................................................................................................... 32 Comparao entre NTFS, FAT e FAT32 ......................................................................................... 33 Reformatando ou convertendo uma partio para usar NTFS ........................................................ 34 Convertendo uma unidade (Convert) .............................................................................................. 36 Sintaxe............................................................................................................................................. 36 Parmetros....................................................................................................................................... 36 Comentrios .................................................................................................................................... 36 Exemplos......................................................................................................................................... 37 Definir, exibir, alterar ou remover permisses de arquivos e pastas............................................... 38 Permisses NTFS de arquivo e pasta .................................................................................................. 39 Permisses NTFS para arquivos e pastas........................................................................................ 41 Propriedade ..................................................................................................................................... 44 Para apropriar-se de um arquivo ou pasta ................................................................................... 44 Viso geral sobre auditoria em pastas e arquivos ............................................................................... 46 Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta local .......... 47 Exibindo logs de segurana ............................................................................................................ 49 Tamanho do log de segurana......................................................................................................... 49 Fazendo auditoria em arquivos ou pastas com base em operaes ................................................ 49 Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a Diretiva de grupo ............................................................................................................................................... 50 3

Gerenciamento do Computador .......................................................................................................... 53 Visualizar eventos ............................................................................................................................... 55 Tipos de eventos ................................................................................................................................. 57 Como Exibir um log de eventos.................................................................................................. 57 O cabealho do evento .................................................................................................................... 59 Noes bsicas sobre opes de log de eventos ............................................................................. 60 Formatos de arquivo de logs arquivados ........................................................................................ 61 Usurios e grupos locais ..................................................................................................................... 62 Viso geral sobre usurios e grupos locais ..................................................................................... 62 Contas de usurio locais.................................................................................................................. 63 Grupos locais padro....................................................................................................................... 64 Criando contas de usurio e de grupo ............................................................................................. 68 Contas de usurio e de computador .................................................................................................... 74 Contas de usurios .......................................................................................................................... 74 Protegendo contas de usurio...................................................................................................... 75 Opes de conta .......................................................................................................................... 76 Contas InetOrgPerson ................................................................................................................. 78 Contas de computador..................................................................................................................... 78 Controle de acesso no Active Directory ......................................................................................... 78 Descritores de segurana................................................................................................................. 78 Herana de objeto ........................................................................................................................... 79 Autenticao do usurio .................................................................................................................. 80 Unidades organizacionais ................................................................................................................... 81 Delegando a administrao ............................................................................................................. 81 Delegando a administrao com segurana .................................................................................... 82 Personalizando consoles MMC para grupos especficos ................................................................ 83 Usando Diretivas de Grupo para publicar e atribuir consoles personalizados................................ 83 Viso geral sobre diretiva de grupo .................................................................................................... 84 Diretiva de grupo ............................................................................................................................ 84 Objetos de diretiva de grupo que existem por padro..................................................................... 86 Como e quando a diretiva de grupo aplicada ............................................................................... 86 Diretiva de computador e de usurio .......................................................................................... 86 Ordem de aplicao..................................................................................................................... 86 Filtrando a diretiva por participao no grupo de segurana ...................................................... 87 Bloqueando a herana de diretiva ............................................................................................... 87 Aplicando a diretiva desde cima ................................................................................................. 87 Diretivas locais e de conta .......................................................................................................... 87 Diretivas de conta ....................................................................................................................... 88 Definindo essa configurao de segurana ..................................................................................... 89 Diretivas locais................................................................................................................................ 91 Diretiva de auditoria ................................................................................................................... 92 Viso geral sobre logs e alertas de desempenho ................................................................................. 96 Viso geral sobre logs e alertas de desempenho ............................................................................. 97 Monitorando o desempenho do servidor....................................................................................... 100 Criar um log de contador .......................................................................................................... 100 Adicionar objetos a um log ....................................................................................................... 101 4

Adicionar contadores a um log ................................................................................................. 102 Viso geral sobre o Monitor do sistema ........................................................................................... 103 Direitos do usurio ............................................................................................................................ 105 Privilgios ..................................................................................................................................... 105 Gerenciando discos e volumes .......................................................................................................... 114 Criar uma partio ou unidade lgica ....................................................................................... 114 Formatar um volume bsico...................................................................................................... 115 Estender um volume bsico ...................................................................................................... 116 Desfragmentar um volume ........................................................................................................ 116 Viso geral sobre cotas de disco ....................................................................................................... 118 Para ativar cotas de disco .............................................................................................................. 119 DNS................................................................................................................................................... 122 Como a consulta DNS funciona.................................................................................................... 123 Parte 1: O resolvedor local ........................................................................................................ 124 Parte 2: Consultando um servidor DNS .................................................................................... 124 Respostas de consultas alternativas .......................................................................................... 126 Como a iterao funciona ......................................................................................................... 127 Como o armazenamento em cache funciona ............................................................................ 128 DNS a abreviatura de Domain Name System. ............................................................................... 129 Instalao do DNS no Windows 2000 Server........................................................................... 140 Tipos de Registros no DNS........................................................................................................... 149 Trabalhando com registros do DNS .......................................................................................... 149 Zonas de pesquisa inversa Reverse Lookup Zones - Conceito .................................................. 152 Criando registros em uma zona..................................................................................................... 156 Criando novos registros em uma zona do DNS ............................................................................ 158 Configurando as propriedades de uma zona Windows 2000 ..................................................... 162 Atualizaes dinmicas no DNS............................................................................................... 162 Forwaders (Encaminhadores) ....................................................................................................... 165 Encaminhadores condicionais ................................................................................................... 167 Resoluo de nomes de intranet ................................................................................................ 167 Resoluo de nomes de Internet ............................................................................................... 167 Mais opes de Configurao do DNS no Windows 2000 Server: .............................................. 167 Benefcios de usar encaminhadores: ......................................................................................... 173 Usar os encaminhadores exclusivamente (sem recurso): ........................................................ 174 Criando zonas secundrias. ........................................................................................................... 177 Integrao do DNS com o Active Directory ................................................................................. 178 Como o DNS integrado ao Active Directory ............................................................................. 179 Configurando um servidor DNS somente Cache .......................................................................... 181 Configuraes e consideraes sobre a configurao do DNS nos clientes ................................. 182 Configurar nomes dos computadores........................................................................................ 182 Configurar uma lista de servidores DNS .................................................................................. 184 Configurar uma lista de pesquisa de sufixos DNS........................................................................ 185 Comandos para trabalhar com o DNS. ......................................................................................... 186 O comando ipconfig .................................................................................................................. 186 O comando nslookup ................................................................................................................ 187 SERVIO DE DIRETRIO (Active Directory) .............................................................................. 190 5

Introduo ao Active Directory ........................................................................................................ 191 Viso geral sobre o Active Directory............................................................................................ 192 Instalao do AD e criao do Domnio ....................................................................................... 194 Verificando a instalao do AD ................................................................................................ 204 Instalando um controlador de domnio ............................................................................................. 208 Instalando um controlador de domnio ......................................................................................... 208 Para criar um novo domnio em uma nova floresta .................................................................. 208 Para criar um novo domnio filho em uma rvore de domnio existente .................................. 209 Para criar uma nova rvore de domnio em uma floresta existente .......................................... 210 Para instalar um controlador de domnio adicional em um domnio existente ......................... 212 Definio do DHCP (Dynamic Host Configuration Protocol) ......................................................... 213 Benefcios do uso do DHCP ......................................................................................................... 213 Definindo DHCP ........................................................................................................................... 214 Introduo ao DHCP ..................................................................................................................... 214 O que o DHCP - Dynamic Host Configuration Protocol? ......................................................... 214 Termos utilizados no DHCP ..................................................................................................... 217 Como o DHCP funciona ............................................................................................................... 218 Clientes suportados pelo DHCP.................................................................................................... 219 Um recurso de nome esquisito APIPA ......................................................................................... 221 Configurao automtica do cliente.......................................................................................... 221 Terminologia do DHCP ............................................................................................................ 223 Instalao do servidor DHCP no Windows Server ....................................................................... 225 Autorizando o servidor DHCP no Active Directory ................................................................. 228 Entendendo e projetando escopos ................................................................................................. 229 Criar escopos:............................................................................................................................ 230 Criando, administrando e configurando escopos no DHCP ..................................................... 232 Configurando um servidor de impresso .......................................................................................... 238 Impressoras e drivers de impressoras ........................................................................................... 240 Usando o Assistente para Adicionar Impressora .......................................................................... 240 Deteco de nova impressora.................................................................................................... 241 Selecionar uma porta de impressora ......................................................................................... 241 Especificar uma impressora ...................................................................................................... 242 Instalar software da impressora ................................................................................................ 242 Usar o driver existente .............................................................................................................. 243 Fornecer um nome para a impressora ....................................................................................... 243 Compartilhamento de impressora ............................................................................................. 244 Imprimir pgina de teste ........................................................................................................... 244 Seleo de driver de impressora ................................................................................................... 246 Seleo de processador e sistema operacional .............................................................................. 246 Compartilhar a impressora ............................................................................................................ 248 Para compartilhar a impressora................................................................................................. 248 Definir ou remover permisses para uma impressora................................................................... 249 Para definir ou remover permisses para uma impressora ....................................................... 249 Conectar-se a uma impressora publicada no Active Directory ..................................................... 250 Para conectar-se a uma impressora publicada no Active Directory ......................................... 250 Conectar-se a uma impressora em uma rede................................................................................. 250 6

Para conectar-se a uma impressora em uma rede ..................................................................... 250 Conectar-se a uma impressora atravs de um navegador ............................................................. 251 Para conectar-se a uma impressora por meio de um navegador ............................................... 251 Configurando o I.I.S. (Internet Information Service) ....................................................................... 253 Instalando o IIS ............................................................................................................................. 253 Subcomponentes do Servidor de Aplicativo ............................................................................. 254 Subcomponentes dos Servios de informaes da Internet ...................................................... 255 Subcomponentes do Servio World Wide Web........................................................................ 256 Extenses de Servios da Web ................................................................................................. 256 Como: Criar e configurar sites FTP no IIS 6.0 ............................................................................. 257 Para configurar um servidor FTP usando o IIS ........................................................................ 258 Configurar uma pasta FTP e a raiz virtual ................................................................................ 258 Estabelecer permisses para a pasta FTP.................................................................................. 259 Criar um diretrio virtual de servidor Web............................................................................... 259 Como: Criar e configurar diretrios virtuais no IIS 5.0 e 6.0 ....................................................... 260 Criando o Diretrio Virtual ........................................................................................................... 260 Para criar um diretrio virtual usando o Gerenciador do IIS .................................................... 260 Configurar a segurana e autenticao para um diretrio virtual ............................................. 261 Referncias Bibliogrficas ................................................................................................................ 263 SITES: ............................................................................................................................................... 263

Introduo
O Windows Server 2003 foi lanado pela Microsoft em 24 de abril de 2003. O Microsoft Windows Server 2003, tambm conhecido como W2K3 ou simplesmente Windows 2003 um sistema operacional da Microsoft de rede desenvolvido como sucessor do Windows 2000 Server. tambm conhecido como Windows NT 5.2. A funo desse sistema operacional servir de interface entre o computador e o usurio, porm, fornecendo recursos de acesso rede de computadores. Tal como o Windows 2000, este apresenta o Active Directory como principal ferramenta para a administrao de domnios. um sistema utilizado comumente em redes de computadores. Quando se instala o sistema operacional Windows Server em um computador, este passa a se chamar Servidor, pois serve ou oferece algum servio especfico para os usurios da rede como: servidor de Impressoras, servidor de banco de dados, servidor de Internet, servidor de correio eletrnico, etc. O Microsoft Windows Server 2003 trouxe novas melhorias aos servios de rede, ao sistema de arquivos NTFS e ao Active Directory, que agora implementa mais funcionalidades em relao ao Windows 2000 Server. Atualmente existem quatro verses do Windows Server 2003, ainda que todas elas contem com verses de 32 e 64 bits. As verses so:

Verso Windows Server 2003 Standard Edition

Descrio O Windows Server 2003 Standard Edition proporciona nveis elevados de confiabilidade, escalabilidade e segurana. Essa verso foi concebida para cargas de trabalho padro e de departamentos e contribui com as seguintes vantagens: Suporte para compartilhamento de arquivos e impressoras. Ligao Internet mais segura. Implementao centralizada de aplicaes de ambiente de trabalho. Polticas de ambiente de trabalho centralizada e solues Web que ligam funcionrios, parceiros e clientes.

Windows Server 2003 Enterprise Edition

Desenvolvido para cargas de trabalho de servidores estratgicos, o Windows Server 2003 Enterprise Edition a plataforma de para aplicaes, servios Web e infra-estruturas. Caracterizado por um elevado nvel de confiabilidade e desempenho contribui com as seguintes vantagens: Um sistema operacional de servidor com funes completas que suporta at um mximo de 8 processadores. Funcionalidades de classe empresarial, tais como clustering de oito ns e suporte at 64 GB de memria.

Windows Server 2003 Datacenter Edition

O Windows Server 2003 Datacenter Edition foi desenvolvido tendo em vista os nveis mais elevados de escalabilidade e confiabilidade. a nica plataforma a oferecer o suporte e servios do Datacenter High Availability Program (programa de elevada disponibilidade para centros de dados). Entre as vantagens proporcionadas pelo Windows Server 2003 Datacenter Edition incluem-se: Suporte para multiprocessamento simtrico at 32 vias e 64 GB de RAM com a verso de 32 bits.

 Os servios de clustering de oito ns e balanceamento de carga como funcionalidades padro. Gestor de Recursos do Sistema Windows para facilitar a consolidao e gesto de sistemas.

Windows Server Um novo produto no mbito dos sistemas operacionais Windows, o 2003 Web Edition Windows Server 2003 Web Edition oferece hospedagem e servios Web dedicados, bem como as vantagens que se seguem: Uma plataforma para criar e hospedar aplicaes Web, pginas Web e servios XML Web Services. Uma estrutura para utilizao predominante como um servidor Web com Servios de Informao Internet 6.0. Uma plataforma para um desenvolvimento e implementao rpidos de aplicaes e servios Web em XML que utilizem a tecnologia ASP.NET, um elemento fundamental do .NET Framework. Implementao e gesto fceis. OBS: ESSA VERSO NO OFERECE RECURSO DE IMPLEMNTAO DO ACTIVE DIRECTORY Windows Small Business Server 2003 O Windows Small Business Server 2003 fornece uma soluo de servidor empresarial completa para pequenas e mdias empresas. O conjunto integrado de produtos de servidor permite s empresas compartilhar informaes e recursos de uma forma segura. A verso Standard Edition inclui o Windows Server 2003 Standard Edition, Microsoft Windows SharePoint Services, Microsoft Exchange Server 2003 e Servio de Fax Partilhado da Microsoft. A verso Premium Edition inclui o Windows Server 2003 Standard Edition, Microsoft Windows SharePoint Services, Microsoft Exchange Server 2003, Microsoft Office Outlook 2003, Servio de Fax Partilhado da Microsoft, Microsoft Internet Security and Acceleration (ISA) Server, Microsoft SQL Server 2000 e Microsoft Office FrontPage 2003.

10

Requisitos de Sistema
Standard Edition Velocidade mnima 133 MHz da CPU Requisito Datacenter Edition 133 MHz para 400 MHz para computadores computadores baseados em x86 baseados em x86 733 MHz para 733 MHz para computadores computadores baseados em Itanium* baseados em Itanium* 733 MHz 733 MHz Enterprise Edition Web Edition 133 MHz

Velocidade recomendada da CPU Mnimo de RAM Mnimo recomendado de RAM Mximo de RAM

550 MHz

550 MHz

128 MB 256 MB

128 MB 256 MB

512 MB 1 GB

128 MB 256 MB

4 GB

32 GB para computadores baseados em x86 64 GB para computadores baseados em Itanium*

64 GB para computadores baseados em x86 512 GB para computadores baseados em Itanium* Mnimo necessrio 8 Mximo 32 1.5 GB para computadores baseados em x86 2.0 GB para computadores baseados em Itanium*

2 GB

Suporte a vrios processadores

At 4

At 8

At 2

Espao em disco para instalao

1.5 GB

1.5 GB para computadores baseados em x86 2.0 GB para computadores baseados em Itanium*

1.5 GB

Fonte: Microsoft 11

Viso geral sobre o MMC

Voc pode usar o Console de gerenciamento Microsoft (MMC) para criar, salvar e abrir ferramentas administrativas (denominadas consoles do MMC) que gerenciam os componentes de hardware, software e rede do sistema Windows. possvel executar o MMC nos vrios sistemas operacionais Windows 9x e Windows NT, bem como no Windows XP Home Edition, Windows XP Professional e nos sistemas operacionais da famlia Windows Server 2003. O MMC no executa funes administrativas, mas contm ferramentas que fazem isso. O tipo principal de ferramenta que voc pode adicionar a um console denominada snap-in. Os outros itens que voc pode adicionar so controles ActiveX, links para pginas da Web, pastas, exibies de painel de tarefas e tarefas. Existem duas maneiras de usar o MMC: no modo de usurio, trabalhando com consoles do MMC existentes para administrar um sistema, ou no modo de autor, criando novos consoles ou modificando consoles do MMC existentes.

Usando consoles do MMC

Talvez voc s precise usar consoles pr-configurados do MMC (normalmente denominados "consoles salvos"), que faam parte do seu sistema operacional ou um aplicativo, e nunca precise criar seus prprios consoles personalizados. Esses consoles pr-configurados esto normalmente disponveis na pasta Ferramentas administrativas do Painel de controle ou no menu Iniciar. Se voc salvar um console personalizado na pasta Ferramentas administrativas por usurio (localizada em unidade_do_sistema\Documents and Settings\usurio\Menu Iniciar\Programas\Ferramentas administrativas), ele estar disponvel na pasta Ferramentas administrativas no menu Programas desse usurio. provvel que todos os consoles pr-configurados que tenham vindo como parte do seu sistema operacional estejam configurados para serem abertos em um dos trs modos de usurio. O modo padro Modo de usurio - acesso limitado, janela nica.

Personalizando a exibio do MMC e dos consoles salvos

Voc pode usar a caixa de dilogo Personalizar exibio no comando Personalizar do menu Exibir para ocultar ou exibir elementos de um console. Um dos elementos que voc pode ocultar o prprio menu Exibir. Se voc fizer isso, e depois precisar reconfigurar a exibio, poder tambm acessar a caixa de dilogo Personalizar exibio no comando Personalizar exibio do menu Sistema.

Trabalhando com colunas em consoles salvos

Nos consoles salvos que exibem colunas no painel de detalhes, voc pode personalizar a maneira como as colunas e linhas so exibidas. Por exemplo, voc pode reordenar ou ocultar colunas. Voc tambm pode reordenar linhas em ordem alfabtica ou cronolgica clicando no ttulo da coluna. 12

Alm disso, com determinados snap-ins, voc pode filtrar colunas com base em atributos adicionais. Se esse recurso estiver ativado, uma linha de caixas de listagem suspensas que contenham opes de filtragem ser exibida abaixo dos ttulos das colunas. Para obter mais informaes, consulte Para reordenar colunas em um console do MMC, Para ocultar ou exibir colunas em um console do MMC e Para filtrar linhas em um console do MMC. Voc tambm pode exportar o contedo das colunas para um arquivo de texto. Para obter mais informaes, consulte Para exportar colunas de um console do MMC para um arquivo de texto. Se voc personalizar as colunas em um console, suas configuraes sero salvas a cada sesso.

Usando consoles criados nas verses anteriores do MMC

Os consoles que foram criados em verses anteriores do MMC (verses 1.1 e 1.2) podem ser lidos pelo MMC verso 2.0. Contudo, se voc salvar esses arquivos no MMC 2.0, eles sero automaticamente convertidos, e no ser possvel restaurar o formato antigo.

Adicionar um snap-in a um novo console do MMC de um computador local

1. Abra o MMC. 2. No menu Arquivo, clique em Adicionar/remover snap-in e, em seguida, clique em Adicionar. 3. Em Snap-in, clique duas vezes no item que voc deseja adicionar e, se solicitado, siga um destes procedimentos: Clique em Computador local: (o computador onde este console est sendo executado) e, em seguida, clique em Concluir. Se um assistente for exibido, siga as instrues. 4. Para adicionar outro item ao console, repita a etapa 3.

13

Observaes Para abrir o MMC, clique em Iniciar, clique em Executar, digite mmc e clique em OK. Se voc adicionar um snap-in a um console, e o snap-in se tornar danificado, tente adicionar outra instncia do mesmo snap-in ao console. Configure-o conforme necessrio e remova a primeira instncia do snap-in. Se um console for salvo na pasta Ferramentas administrativas de cada usurio (localizada em unidade_do_sistema\Documents and Settings\usurio\Menu Iniciar\Programas\Ferramentas administrativas), ele estar disponvel na pasta Ferramentas administrativas no menu Programas desse usurio. Voc s pode acessar os snap-ins publicados no Active Directory. Um computador remoto totalmente especfico de snap-in. Se um snap-in no for exibido na lista, voc dever primeiro instalar o programa, dispositivo ou servio administrado pelo ele. Na caixa de dilogo Adicionar/remover snap-in do servio de diretrio do Active Directory, voc poder acessar os snap-ins que no esto instalados localmente: Voc deve estar usando um dos seguintes sistemas operacionais para que esse processo funcione: Estiver executando o Windows 98 com o Windows Installer instalado; ou Estiver executando o Windows NT 4.0 com o Windows Installer instalado; ou 14

 Estiver executando o Windows Millennium Edition; e For parte de um domnio do Windows. Para obter mais informaes, consulte a Ajuda. Para tornar um item subordinado a um item da rvore de console que no seja a raiz do console, clique no item apropriado em Snap-ins adicionados a antes de clicar em Adicionar na etapa 2.

Para salvar um arquivo de console do MMC

Em um arquivo de console do MMC no modo de autor, clique em Salvar no menu Arquivo. Observaes Para abrir um console salvo no modo de autor, clique com o boto direito do mouse no arquivo .msc e, em seguida, clique em Autor ou clique em Iniciar e, em seguida, clique em Executar e digite mmc caminho \ nome_do_arquivo.msc /a. Se o console no estiver aberto no modo de autor, a opo Salvar no menu Arquivo no estar disponvel. Nesse caso, o salvamento ser determinado pela marcao da caixa de seleo No salvar alteraes neste console quando o console foi configurado. Essa caixa de seleo est disponvel clicando-se em Opes no menu Arquivo. Se essa caixa de seleo no for marcada, as alteraes no console sero automaticamente salvas quando voc fechar o MMC. Se essa caixa de seleo for marcada, as alteraes no console sero descartadas quando voc fechar o MMC. Se um console for salvo na pasta Ferramentas administrativas por usurio (localizada em %unidade_do_sistema%\Documents and Settings\usurio\Menu Iniciar\Programas\Ferramen tas administrativas), ele estar disponvel na pasta Ferramentas administrativas no menu Programas desse usurio.

15

Gerenciando arquivos e pastas

O gerenciamento de arquivos e pastas inclui o armazenamento e a proteo de recursos, a disponibilizao desses recursos para os usurios da rede e o gerenciamento das alteraes efetuadas nesses recursos. A famlia Windows Server 2003 fornece vrias ferramentas que podem ser usadas para gerenciar arquivos e pastas. Essas ferramentas incluem Pastas compartilhadas, cpias de sombra de pastas compartilhadas, sistema de arquivos distribudos (DFS), sistema de arquivos com criptografia (EFS) e Arquivos off-line. Quando uma pasta compartilhada, os usurios podem se conectar a essa pasta atravs da rede e acessar seu contedo. Com cpias de sombra de pastas compartilhadas, os usurios podem exibir o contedo das pastas da rede, uma vez que elas existiram em momentos especficos no passado. Algumas das tarefas mais comuns so compartilhamento de uma pasta ou unidade, habilitao de cpias de sombra das pastas compartilhadas e alterao das configuraes de cpias de sombra de pastas compartilhadas. Voc tambm pode gerenciar arquivos e pastas na linha de comando.

16

Compartilhar uma pasta ou unidade

1. Abra o Gerenciamento do computador. 2. Na rvore de console, clique em Compartilhamentos. Onde? Gerenciamento do computador Ferramentas do sistema Pastas compartilhadas Compartilhamentos 3. No menu Ao, clique em Novo compartilhamento. 4. Siga as etapas do Assistente para compartilhamento de pasta e clique em Concluir. Importante Ao criar um recurso compartilhado, determine como esse recurso pode ser protegido. H dois mtodos que podem ser usados para proteger os recursos compartilhados. Para obter mais informaes, consulte Permisses de compartilhamento. Observao Voc precisa ter feito logon como membro do grupo Administradores ou Usurios avanados para concluir este procedimento. Se o seu computador estiver conectado a uma rede, as configuraes da diretiva de rede tambm podero impedi-lo de concluir o procedimento. Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.

Habilitar cpias de sombra de pastas compartilhadas

1. Abra o Gerenciamento do computador (local). 2. Na rvore de console, clique com o boto direito do mouse em Pastas compartilhadas, aponte para Todas as tarefas e clique em Configurar cpias de sombra. Onde? Gerenciamento do computador Ferramentas do sistema Pastas compartilhadas 3. Selecione o volume em que voc deseja habilitar cpias de sombra de pastas compartilhadas e clique em Ativar. Observao Para executar este procedimento, voc deve ser um membro do grupo Administradores no computador local ou deve ter recebido a delegao adequada. Se o computador estiver associado a um domnio, os membros do grupo Admins. do domnio podero executar este procedimento. Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em 17

Gerenciamento do computador. Voc tambm pode acessar cpias de sombra de pastas compartilhadas clicando com o boto direito do mouse em um volume NTFS fixo em Meu computador ou em Gerenciamento de disco, clicando em Propriedades e, em seguida, clicando na guia Cpias de sombra. Voc tambm pode usar o Gerenciamento de disco para gerenciar cpias de sombra de pastas compartilhadas em servidores remotos. No menu Ao, aponte para Todas as tarefas e, em seguida, clique em Configurar cpias de sombra. Se voc habilitar cpias de sombra de pastas compartilhadas, estar tambm criando um agendamento e configuraes padro para as cpias de sombra subseqentes. Para alterar esses padres, clique em Configuraes. As cpias de sombra so habilitadas por volume. Voc no pode selecionar compartilhamentos especficos em um volume para que sejam ou no copiados.

Alterar as configuraes das cpias de sombra de pastas compartilhadas

1. Abra a ferramenta Gerenciamento do computador (local). 2. Na rvore de console, clique com o boto direito do mouse em Pastas compartilhadas, aponte para Todas as tarefas e clique em Configurar cpias de sombra. Onde? Gerenciamento do computador Ferramentas do sistema Pastas compartilhadas 3. Selecione o volume que voc deseja alterar e, em seguida, clique em Configuraes. 4. Nesta caixa de dilogo, voc pode alterar as configuraes descritas na tabela a seguir. Configurao Observaes Indica onde voc deseja armazenar as cpias de sombra do volume selecionado. O padro usar o mesmo volume. recomendvel que voc use um volume separado em outro disco que fornea melhor desempenho para servidores de arquivos usados com muita freqncia. Voc s poder alterar o volume de armazenamento quando no houver cpias de sombra presentes. Se precisar alterar o volume de armazenamento de um volume que j tenha sido habilitado, voc dever excluir todas as cpias de sombra desse volume e, depois, alterar o volume de armazenamento. Clicando em Detalhes, ser exibida uma caixa de dilogo listando as cpias de sombra atualmente armazenadas. Esta caixa de dilogo tambm fornece informaes sobre o espao total e o espao de armazenamento disponvel no disco. O tamanho padro 10% do tamanho do volume que contm os arquivos de origem para os quais esto sendo feitas cpias de sombra. Se as cpias de sombra forem armazenadas em um volume separado dos arquivos de origem, voc dever alterar esse padro para refletir o 18

Volume de armazenamento

Detalhes

Limites de armazenamento

espao do volume de armazenamento que pretende dedicar s cpias de sombra. O limite de armazenamento deve ser de, pelo menos, 100 MB, o que permitir que apenas uma nica cpia de sombra seja mantida. Se voc definir um limite de armazenamento restritivo, dever fazer um teste para assegurar que o nmero de cpias de sombra agendadas no ultrapassar esse limite. Se as cpias de sombra forem excludas prematuramente devido aos limites de armazenamento, talvez voc esteja invalidando a finalidade da habilitao das cpias de sombra de pastas compartilhadas. Clicando em Agendar, o agendador de tarefas ser aberto e exibir as informaes necessrias criao de uma agenda de tarefas para fazer cpias de sombra de pastas compartilhadas regularmente. Antes de criar a agenda, observe os padres de trabalho dos usurios atuais e crie uma estratgia que agende as cpias de sombra no momento do dia mais adequado aos usurios. A agenda padro de segunda-feira sexta-feira, s 7:00 e s 24:00.

Agendar

19

Viso geral sobre Pastas compartilhadas

Voc pode usar Pastas compartilhadas para exibir um resumo das conexes e do uso de recursos em computadores locais e remotos. Pastas compartilhadas substitui os componentes relacionados a recursos no Painel de controle, no Microsoft Windows NT 4.0 Server. Com as Pastas compartilhadas possvel: Criar, exibir e definir permisses para recursos compartilhados. OBS: recurso compartilhado qualquer dispositivo, dados ou programa utilizado por mais de um programa ou outro dispositivo. Para o Windows, recurso compartilhado se refere a qualquer recurso disponvel para os usurios da rede, como pastas, arquivos, impressoras e pipes nomeados. Recurso compartilhado tambm pode se referir a um recurso em um servidor que esteja disponvel para usurios da rede. Exibir uma lista de todos os usurios que esto conectados ao computador atravs de uma rede e desconectar um ou todos eles. Exibir uma lista dos arquivos abertos por usurios remotos e fechar um ou todos os arquivos abertos. necessrio que voc tenha feito logon como membro do grupo Administradores, grupo Opers. de servidores ou grupo Usurios avanados para usar Pastas compartilhadas. Se o computador estiver conectado a uma rede, as configuraes de diretiva de rede tambm podero impedi-lo de concluir o procedimento. As opes de compartilhamento de arquivo podero ser limitadas se o compartilhamento simples de arquivo estiver habilitado. As subpastas em Pastas compartilhadas contm informaes, organizadas em colunas, sobre todos os recursos compartilhados, sesses e arquivos abertos no computador local. Se Servios para Macintosh estiver instalado, as informaes sobre os recursos gerenciados por esse servio tambm podero ser exibidas. Os cabealhos das colunas nessas pastas so definidos da seguinte maneira: Compartilhamentos A tabela a seguir mostra as informaes existentes na pasta Compartilhamentos sobre os recursos compartilhados que esto disponveis no computador: Coluna Descrio Lista os recursos compartilhados disponveis no computador. Em alguns casos, a conexo a uma impressora monitorada aqui como uma conexo a um pipe nomeado. Um recurso compartilhado pode ser um diretrio compartilhado, um pipe nomeado, uma impressora compartilhada ou um recurso de tipo no reconhecido. Exibe o caminho do recurso compartilhado. Exibe o tipo da conexo de rede: Windows, NetWare ou Macintosh.

Nome do compartilhamento

Caminho da pasta Tipo

20

N de conexes de cliente Descrio

Exibe o nmero de usurios conectados ao recurso compartilhado. Descreve o recurso compartilhado.

Sesses A tabela a seguir mostra as informaes existentes na pasta Sesses sobre todos os usurios da rede que esto conectados ao computador. Coluna Usurio Computador Tipo N de arquivos abertos Tempo de conexo Tempo ocioso Convidado Descrio Lista os usurios de rede conectados ao computador. Exibe o nome de computador do usurio conectado. Exibe o tipo da conexo de rede: Windows, NetWare ou Macintosh. Exibe o nmero de recursos que foram abertos neste computador por este usurio. Exibe as horas e os minutos decorridos desde que esta sesso foi estabelecida. Exibe as horas e os minutos decorridos desde a ltima vez em que este usurio iniciou uma ao. Especifica se este usurio est conectado a este computador como um convidado (apresentado como Sim ou No).

Arquivos abertos A tabela a seguir mostra as informaes existentes na subpasta Arquivos abertos sobre todos os arquivos que esto abertos no computador.

Coluna

Descrio

Lista os nomes dos arquivos abertos. Um arquivo aberto pode ser realmente Arquivo aberto um arquivo, um pipe nomeado, um trabalho de impresso em um spooler de impresso ou um recurso de um tipo no reconhecido. Em alguns casos, um 21

trabalho de impresso apresentado aqui como um pipe nomeado aberto. Acessado por Tipo O nome do usurio que abriu o arquivo ou acessou o recurso. O tipo da conexo de rede: Windows, NetWare ou Macintosh.

N de bloqueios Exibe o nmero de bloqueios de arquivo iniciados por aplicativo do recurso. Modo de acesso Exibe a permisso concedida quando o recurso foi aberto.

Para compartilhar uma pasta ou unidade

Usando Pastas compartilhadas
1. Abra o Gerenciamento do computador. 2. Na rvore de console, clique em Compartilhamentos. Onde? Gerenciamento do computador Ferramentas do sistema Pastas compartilhadas Compartilhamentos 3. No menu Ao, clique em Novo compartilhamento. 4. Siga as etapas no Assistente para compartilhamento de pasta e clique em Concluir. Observao Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.

22

23

24

Usando o Windows Explorer

1. Abra o Windows Explorer. 2. Clique com o boto direito do mouse na unidade ou pasta a ser compartilhada e, em seguida, clique em Compartilhamento e segurana. 3. Clique em Compartilhar esta pasta. 4. Defina qualquer outra opo desejada e clique em OK. Observao Para abrir o Windows Explorer, clique em Iniciar, aponte para Programas, para Acessrios e clique em Windows Explorer.

25

Usando uma linha de comando

1. Abra o Prompt de comando. 2. Digite: net share nome_do_compartilhamento=unidade:caminho Valor net share Descrio Cria, exclui compartilhados. ou exibe recursos

nome_do_compartilha O nome de rede do recurso compartilhado e mento=unidade:cami seu caminho absoluto. nho Observaes

Para abrir um prompt de comando, clique em Iniciar, aponte para Programas, aponte para Acessrios e clique em Prompt de comando. Para exibir a sintaxe completa desse comando, digite o seguinte no prompt de comando: net help share Importante Ao criar um recurso compartilhado, determine como proteger esse recurso. Existem vrios mtodos que podem ser usados para proteger os recursos compartilhados. Para obter mais informaes, consulte Tpicos relacionados. Observaes necessrio que voc tenha feito logon como membro do grupo Administradores, grupo Opers. de servidores ou grupo Usurios avanados para concluir esse procedimento. Se o computador estiver conectado a uma rede, as configuraes de diretiva de rede tambm podero impedi-lo de concluir o procedimento. Use o recurso Pastas compartilhadas para gerenciar recursos compartilhados em computadores locais e remotos. Para obter informaes sobre como se conectar a outro computador, consulte Tpicos relacionados. Com o Windows Explorer e a linha de comando, voc s poder gerenciar recursos compartilhados no computador local. possvel ocultar o recurso compartilhado dos usurios digitando $ como ltimo caractere do nome do recurso compartilhado (o $ passar a fazer parte do nome do recurso). Os usurios podero mapear uma unidade para o recurso compartilhado, mas no podero v-lo quando o procurarem no Windows Explorer ou em Meu computador, ou ainda quando utilizarem o comando net view no computador remoto. Para obter mais informaes sobre esse comando, consulte Tpicos relacionados. As opes de compartilhamento de arquivo podero ser limitadas se o compartilhamento simples de arquivo estiver habilitado. Para obter mais informaes sobre o compartilhamento simples de arquivo, consulte o artigo Q304040, "Description of File Sharing and Permissions in Windows XP", no Microsoft Knowledge Base. (http://www.microsoft.com/)

Para definir permisses em um recurso

26

compartilhado
Usando Pastas compartilhadas
1. Abra o Gerenciamento do computador. 2. Na rvore de console, clique em Compartilhamentos. Onde? Gerenciamento do computador Ferramentas do sistema Pastas compartilhadas Compartilhamentos 3. No painel de detalhes, clique com o boto direito do mouse no recurso compartilhado cujas permisses voc deseja definir e, em seguida, clique em Propriedades. 4. Na guia Permisses de compartilhamento, efetue qualquer uma das alteraes a seguir e clique em OK: Para atribuir permisses a um usurio ou grupo para um recurso compartilhado, clique em Adicionar. Na caixa de dilogo Selecione Usurio, Computador ou Grupo, procure ou digite o nome do usurio ou grupo e clique em OK. Para revogar o acesso ao recurso compartilhado, clique em Remover. Para definir permisses individuais para o usurio ou grupo, na caixa Permisses para grupo ou usurio, marque as caixas de seleo Permitir ou Negar. Observao Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.

27

28

Usando o Windows Explorer

1. Abra o Windows Explorer. 2. Clique com o boto direito do mouse na unidade ou pasta compartilhada cujas permisses voc deseja definir e, em seguida, clique em Compartilhamento e segurana. 3. Na guia Compartilhamento, clique em Permisses, efetue qualquer uma das alteraes a seguir e clique em OK: Para atribuir permisses a um usurio ou grupo para um recurso compartilhado, clique em Adicionar. Na caixa de dilogo Selecione Usurio, Computador ou Grupo, procure ou digite o nome do usurio ou grupo e clique em OK. Para revogar o acesso a um recurso compartilhado, clique em Remover. Para definir permisses individuais para o usurio ou grupo, na caixa Permisses para grupo ou usurio, marque as caixas de seleo Permitir ou Negar.

29

Permisses de compartilhamento
Um recurso compartilhado fornece acesso a aplicativos, a dados ou aos dados pessoais de um usurio. Voc pode conceder ou negar permisses para cada recurso compartilhado. Voc poder controlar o acesso a recursos compartilhados atravs de diversos mtodos. Voc pode usar permisses de compartilhamento, que so simples de aplicar e gerenciar. Uma outra alternativa usar o controle de acesso no sistema de arquivos NTFS, que oferece um controle mais detalhado do recurso compartilhado e de seu contedo. Voc tambm poder usar uma combinao desses mtodos. Se usar uma combinao desses mtodos, a permisso mais restritiva sempre se aplicar. Por exemplo, se a permisso de compartilhamento for definida como Todos = Leitura (que o padro) e a permisso de NTFS permitir que os usurios faam alteraes em um arquivo compartilhado, a permisso de compartilhamento se aplicar e o usurio no poder alterar o arquivo. Nem sempre necessrio negar explicitamente uma permisso para um recurso compartilhado. Geralmente, necessrio negar a permisso apenas quando voc deseja substituir permisses especficas que j estejam atribudas. Para obter informaes sobre como definir permisses de arquivo de NTFS, consulte Definir, exibir, alterar ou remover permisses em arquivos e pastas. Para obter informaes sobre as prticas recomendadas para o trabalho com Pastas compartilhadas, incluindo a atribuio de permisses, consulte Prticas recomendadas. Importante Na famlia Windows Server 2003, quando voc cria um novo recurso compartilhado, o grupo Todos recebe automaticamente a permisso de leitura Permisses de compartilhamento: Aplicveis apenas aos usurios que obtiverem acesso aos recursos atravs de rede. Elas no se aplicam a usurios que fazem logon localmente, como, por exemplo, em um servidor de terminal. Nesses casos, use o controle de acesso no NTFS para definir permisses. Aplicveis a todos os arquivos e pastas contidos no recurso compartilhado. Para fornecer um nvel mais detalhado de segurana a subpastas ou objetos em uma pasta compartilhada, use o controle de acesso no NTFS. Constituem a nica alternativa de proteo para recursos de rede em volumes FAT e FAT32, porque as permisses do NTFS no esto disponveis nesses volumes. Especifique o nmero mximo de usurios que podem acessar o recurso compartilhado na rede. Isso constitui um recurso adicional segurana oferecida pelo NTFS. possvel atribuir os seguintes tipos de permisses de acesso a pastas ou unidades compartilhadas: Leitura A pemisso de leitura a permisso padro atribuda ao grupo Todos. A permisso de leitura permite: Exibio de nomes de arquivos e de subpastas Exibio de dados em arquivos. Execuo de arquivos de programa. 30

Alterao A permisso de leitura padro para qualquer grupo. Essa permisso de alterao permite todas as permisses de leitura, mais: Adio de arquivos e subpastas. Alterao de dados nos arquivos Excluso de subpastas e arquivos Controle total Controle total a permisso padro atribuda ao grupo Administradores no computador local. Controle total possibilita as mesmas operaes que Leitura e Alterao, alm de: Alterao de permisses (apenas para arquivos e pastas do NTFS)

Escolhendo um sistema de arquivos: NTFS, FAT ou FAT32

possvel escolher entre trs sistemas de arquivos para uma partio de instalao: NTFS, FAT e FAT32. O NTFS bastante recomendvel na maioria das situaes. Observao Voc s poder usar recursos importantes, como o Active Directory e a segurana baseada em domnios, se optar pelo sistema de arquivos NTFS. Importante Em discos GPT, disponveis somente em computadores com arquitetura baseada em Itanium, recomenda-se enfaticamente o uso de NTFS para a partio de instalao. No entanto, se voc tiver um computador com arquitetura baseada em Itanium e observar que ele tem uma pequena partio FAT de 100 MB ou mais, no exclua nem reformate essa partio. A partio necessria ao carregamento do sistema operacional. A tabela a seguir lista alguns cenrios de instalao ou atualizao para computadores baseados em x86 (os ltimos dois cenrios so incomuns) e fornece diretrizes de sistemas de arquivos para cada um deles: Cenrio de instalao ou atualizao para um computador baseado em x86 O computador atualmente utiliza somente o NTFS (no usa FAT nem FAT32). O computador baseado em x86 e possui uma ou mais parties FAT ou FAT32. E O computador contm somente um sistema Sistema de arquivos a ser utilizado e informaes adicionais a serem lidas Continue a usar o NTFS. No h necessidade de informaes adicionais sobre sistemas de arquivos. Considere a reformatao ou converso de parties de forma que todas utilizem NTFS. Para obter mais informaes, consulte 31

operacional, ou os sistemas operacionais no computador incluem Windows 2000, Windows XP ou um produto da famlia Windows Server 2003, mas nenhum outro sistema operacional. Se o computador tem arquitetura baseada em Itanium, consulte a observao importante anteriormente neste tpico.

Reformatando ou convertendo uma partio para usar NTFS.

Para qualquer partio que precise estar acessvel a partir de MS-DOS, Windows 95, Windows 98 ou Windows Millennium Edition, use FAT (ou, quando adequado, O computador conter vrios sistemas operacionais, FAT32). um dos quais o MS-DOS, Windows 95, Windows 98 ou Windows Millennium Edition. Para obter mais informaes, consulte Decidindo se um computador conter mais de um sistema operacional. O computador conter vrios sistemas operacionais, Consulte Vrios sistemas operacionais e um dos quais o Windows NT. compatibilidade entre sistemas de arquivos.

NTFS
Alguns dos recursos que voc pode usar quando escolhe o NTFS so: Melhor escalabilidade para grandes unidades. O tamanho mximo da partio ou do volume para NTFS muito maior do que para FAT e, medida que o tamanho da partio ou do volume aumenta, o desempenho com NTFS no degrada como ocorre com FAT. Active Directory (e domnios, que fazem parte do Active Directory). Com o Active Directory, voc pode exibir e controlar facilmente os recursos de rede. Com domnios, voc pode ajustar as opes de segurana e, ao mesmo tempo, manter simples a administrao. Os controladores de domnio e o Active Directory requerem o NTFS. Recursos de compactao, inclusive a capacidade de compactar ou descompactar uma unidade, uma pasta ou um arquivo especfico. (Contudo, um arquivo no pode ser compactado e criptografado ao mesmo tempo.) Criptografia de arquivos, que melhora muito a segurana. (Contudo, um arquivo no pode ser compactado e criptografado ao mesmo tempo.) Permisses que podem ser definidas em arquivos especficos em vez de apenas em pastas. Armazenamento remoto, que fornece uma extenso no espao em disco tornando a mdia removvel (como fitas) mais acessvel. Log de recuperao de atividades de disco, que permite ao NTFS restaurar informaes rapidamente no caso de falha de energia ou outros problemas do sistema. Arquivos esparsos. Esses so arquivos muito grandes criados por aplicativos de modo que 32

seja necessrio somente um espao limitado em disco. Isto , o NTFS aloca espao em disco apenas para as partes gravadas de um arquivo. Cotas de disco, que voc pode usar para monitorar e controlar a quantidade de espao em disco utilizada por usurios individualmente.

Comparao entre NTFS, FAT e FAT32

O NTFS sempre foi um sistema de arquivos mais poderoso do que FAT e FAT32. O Windows 2000, o Windows XP e a famlia de produtos Windows Server 2003 incluem uma nova verso do NTFS, com suporte a vrios recursos, incluindo o Active Directory, que necessrio para domnios, contas de usurio e outros recursos de segurana importantes. Para obter mais detalhes sobre recursos em NTFS, consulte NTFS. FAT e FAT32 so semelhantes, exceto que o FAT32 destina-se a discos maiores que o FAT. O sistema de arquivos que funciona melhor com discos maiores o NTFS. A tabela a seguir descreve a compatibilidade de cada sistema de arquivos com vrios sistemas operacionais. Observao As opes por sistemas de arquivos no tm efeito sobre o acesso a arquivos na rede. Por exemplo, o uso de NTFS em todas as parties de um servidor no afeta a conexo de clientes em uma rede com pastas compartilhadas ou arquivos compartilhados nesse servidor, mesmo que esses clientes executem um sistema operacional mais antigo, como o Windows 98 ou o Windows NT. NTFS Um computador que execute o Windows 2000, o Windows XP ou um produto da famlia Windows Server 2003 pode acessar arquivos em uma partio NTFS local. Um computador que executa o Windows NT 4.0 com Service Pack 5 ou posterior pode ter acesso a alguns arquivos. Outros sistemas operacionais no permitem acesso local. FAT O acesso a arquivos em uma partio local est disponvel atravs de MS-DOS, todas as verses do Windows e OS/2. FAT32 O acesso a arquivos em uma partio local est disponvel somente atravs de Windows 95 OSR2, Windows 98, Windows Millennium Edition, Windows 2000, Windows XP e produtos da famlia Windows Server 2003.

A tabela a seguir compara os possveis tamanhos de disco e arquivo com cada sistema de arquivos. NTFS O tamanho de volume mnimo recomendado de aproximadamente 10 MB. FAT FAT32 Os volumes de 33 MB a 2 TB podem ser gravados ou lidos usando produtos da famlia Windows Server 2003. Volumes do tamanho de disquetes Os tamanhos mximos de volume e partio iniciam em at 4 GB. 2 terabytes (TB) e se estendem at tamanhos superiores. Por exemplo, um disco dinmico formatado com um No fornece

33

tamanho padro de unidade de alocao (4 KB) pode ter parties de 16 TB menos 4 KB. Para obter mais informaes sobre tamanhos mximos de volume e partio, consulte o Windows Server 2003 Resource Kit, Server Management Guide no site Microsoft Windows Resource Kits. (http://www.microsoft.com/) No pode ser usado em disquetes. O tamanho mximo de arquivo potencialmente 16 TB menos 64 KB, embora os arquivos no possam ser maiores que o volume ou a partio em que esto localizados.

suporte a domnios.

Os volumes at 32 GB podem ser formatados como FAT32 usando produtos da famlia Windows Server 2003. No fornece suporte a domnios.

O tamanho mximo de O tamanho mximo de arquivo arquivo de 4 GB. de 2 GB.

Reformatando ou convertendo uma partio para usar NTFS

Se voc tiver uma partio FAT ou FAT32 onde deseja instalar um produto da famlia Windows Server 2003 utilizando NTFS em seu lugar, h duas opes: Voc pode converter a partio FAT ou FAT32 em NTFS. Esse procedimento deixa os arquivos intactos, embora a partio possa ser um pouco mais fragmentada e ter desempenho mais lento que a partio formatada com o NTFS. Todavia, ainda vantajoso usar o NTFS, independentemente de a partio ter sido formatada com o NTFS ou convertida. Se instalar um produto da famlia Windows Server 2003 em uma partio FAT ou FAT32, voc ter a opo de converter a partio em NTFS. Tambm possvel converter uma partio FAT ou FAT32 aps a instalao usando Convert.exe. Para obter mais informaes sobre Convert.exe, consulte Converter. possvel reformatar a partio com o NTFS. Esse procedimento apaga todos os arquivos da partio, mas resulta em menos fragmentao e melhor desempenho que em uma partio convertida.

34

Se voc formatar uma partio durante a instalao, as opes de sistemas de arquivos sero listadas como NTFS e FAT. A tabela a seguir fornece informaes sobre a relao entre as opes de tamanho de partio e de sistema de arquivos durante a instalao. Estado e tamanho da partio No formatada, menor que 2 GB. No formatada, 2 GB ou maior, at o mximo de 32 GB. No formatada, maior que 32 GB. Formatado anteriormente com FAT32 e maior que 32 GB. (Partio criada com Windows 95, Windows 98 ou Windows Millennium Edition.) Opes de instalao e respostas (durante a formatao da partio) A instalao oferece NTFS ou FAT. A instalao usa o formato escolhido. A instalao oferece NTFS ou FAT. Se FAT for escolhido, a instalao usar FAT32. A instalao s permite NTFS.

No h necessidade de formatao, embora uma partio no formatada desse tamanho, quando formatada durante ou aps a instalao de um produto da famlia Windows Server 2003, tenha que usar NTFS. Em outras palavras, a famlia Windows Server 2003 continua a fornecer suporte s parties FAT32 desse tamanho anteriormente formatadas. Se voc formatar uma partio durante a instalao, poder optar por uma formatao rpida ou uma formatao completa: Formatao rpida A formatao rpida cria a estrutura do sistema de arquivos no disco, sem verificar a integridade de cada setor. Escolha este mtodo para qualquer disco rgido que no tenha setores defeituosos nem histrico de problemas de arquivos corrompidos que possam estar relacionados a setores defeituosos. Formatao completa Uma formatao completa identifica e controla setores defeituosos, de modo que no sejam usados para armazenar dados. Escolha este mtodo para qualquer disco que tenha setores defeituosos ou um histrico de problemas de arquivos corrompidos que possam estar relacionados a setores defeituosos.

35

Convertendo uma unidade (Convert)

Converte volumes FAT (file allocation table) e FAT32 no sistema de arquivos NTFS, deixando intactos os arquivos e pastas existentes. Os volumes convertidos ao sistema de arquivos NTFS no podero ser convertidos de volta em FAT ou FAT32.

Sintaxe
convert [Volume] /fs:ntfs [/v] [/cvtarea:NomeDoArquivo] [/nosecurity] [/x]

Parmetros
Volume Especifica a letra da unidade (seguida de dois-pontos), o ponto de montagem ou o nome do volume a ser convertido em NTFS. /fs:ntfs Necessrio. Converte o volume em NTFS. /v Especifica o modo de detalhe, isto , todas as mensagens sero exibidas durante a converso. /cvtarea:nome_de_arquivo Apenas para usurios avanados. Especifica que a tabela de arquivos mestre (MFT) e outros arquivos de metadados NTFS sero gravados em um arquivo existente de espao reservado contguo. O arquivo deve estar localizado na pasta raiz do sistema de arquivos a ser convertido. O uso do parmetro /CVTAREA poder resultar em um sistema de arquivos menos fragmentado aps a converso. Para obter melhores resultados, o tamanho do arquivo deve ser 1 KB multiplicado pelo nmero de arquivos e pastas contidos no sistema de arquivos, no entanto, o utilitrio de converso aceita arquivos de qualquer tamanho.

Importante necessrio criar o arquivo de espao reservado usando o comando fsutil file createnew antes de executar o comando convert. Convert no cria esse arquivo. Ele substitui esse arquivo com os metadados NTFS. Depois da converso, qualquer espao no utilizado nesse arquivo ser liberado. Para obter mais informaes sobre o comando fsutil file, consulte Tpicos relacionados. /nosecurity Especifica que as configuraes de segurana das pastas e arquivos convertidos podero ser acessadas por qualquer pessoa. /x Desmonta o volume, se necessrio, antes de ser convertido. Os identificadores abertos para o volume no sero mais vlidos.

Comentrios
Se convert no puder bloquear a unidade (por exemplo, o volume do sistema ou a unidade atual), ele sugerir que ela seja convertida na prxima vez que o computador for reiniciado. 36

Se voc no puder reiniciar o computador imediatamente para concluir a converso, planeje o momento de reiniciar o computador e reserve um tempo adicional para o processo de converso. No caso de volumes convertidos de FAT ou FAT32 em NTFS, devido utilizao de disco j existente, a MFT criada em um local diferente, em comparao a um volume originalmente formatado com NTFS. Devido a isso, o desempenho do volume pode no ser to bom quanto em volumes originalmente formatados com NTFS. Para obter o desempenho ideal, considere a possibilidade de recriar esses volumes e format-los com o sistema de arquivos NTFS. Os volumes convertidos de FAT em NTFS deixam os arquivos intactos, porm, podero no dispor de alguns benefcios de desempenho se comparados a volumes inicialmente formatados com NTFS. Em volumes convertidos, por exemplo, a MFT pode ficar fragmentada. Alm disso, em volumes de inicializao convertidos, o convert aplica a mesma segurana padro que aplicada durante a instalao do Windows. Para obter mais informaes sobre como usar o parmetro /cvtarea, consulte File Systems no site Microsoft Resource Kits.(http://www.microsoft.com/)

Exemplos
Para converter o volume na unidade C: em NTFS e exibir todas as mensagens, digite: convert c: /fs:ntfs /v

37

Definir, exibir, alterar ou remover permisses de arquivos e pastas

1. Abra o Windows Explorer. 2. Clique com o boto direito do mouse no arquivo ou na pasta para a qual voc deseja definir permisses, clique em Propriedades e, em seguida, clique na guia Segurana. 3. Siga um destes procedimentos: A fim de definir permisses para um grupo ou usurio que no esteja listado na caixa Nomes de grupo ou de usurio, clique em Adicionar. Digite o nome do grupo ou usurio para o qual deseja definir permisses e clique em OK. Para alterar ou remover permisses de um grupo ou usurio existente, clique no nome do grupo ou usurio. 4. Siga um destes procedimentos: A fim de conceder ou negar uma permisso, na caixa Permisses para usurio ou grupo, marque a caixa de seleo Permitir ou Negar. Para remover o grupo ou usurio da caixa Nomes de grupo ou de usurio, clique em Remover. Observaes Para abrir o Windows Explorer, clique em Iniciar, aponte para Programas, para Acessrios e clique em Windows Explorer. Na famlia Windows Server 2003, o grupo Todos no inclui mais Logon annimo. Somente possvel definir permisses de arquivo e pasta nas unidades formatadas para usar NTFS. Para alterar permisses, voc deve ser o proprietrio ou receber do proprietrio permisso para alter-las. Os grupos ou os usurios que receberam a permisso Controle total de uma pasta podem excluir dela arquivos e subpastas, independentemente das permisses que protegem os arquivos e as subpastas. Se as caixas de seleo em Permisses para usurio ou grupo estiverem sombreadas, ou se o boto Remover no estiver disponvel, o arquivo ou a pasta ter herdado permisses da pasta pai. Para obter mais informaes sobre como a herana afeta arquivos e pastas, consulte Tpicos relacionados. Quando voc adicionar um novo usurio ou grupo, por padro ele ter as permisses Ler e executar, Listar contedo de pastas e Ler.

38

Permisses NTFS de arquivo e pasta

Permisses especiais Desviar pasta/execut ar arquivo Listar pasta/Ler dados Ler atributos Ler atributos estendidos Criar arquivos/Gra var dados Criar pastas/Acres centar dados Gravar atributos Gravar atributos estendidos Excluir subpastas e arquivos Excluir Ler permisses Alterar permisses Apropriar-se Sincronizar Importante Controle total Modificar Ler e executar Listar contedo de pastas (somente para pastas) x Ler Gravar

x x x x

x x x x

x x x

x x x

x x x x

x x x

x x x

x x x

x x x x x x x x x x x x x x x x x

Os grupos ou usurios com Controle total de uma pasta podem excluir dela qualquer arquivo, 39

independentemente das permisses que protegem o arquivo. Observaes Apesar das opes Listar contedo de pastas e Ler e executar parecerem ter as mesmas permisses especiais, essas permisses so herdadas de formas diferentes. A permisso Listar contedo de pastas herdada por pastas, mas no por arquivos, e deve aparecer apenas quando voc exibir as permisses de pasta. A permisso Ler e executar herdada por arquivos e pastas e est sempre presente quando voc exibe permisses de arquivo ou pasta. Para obter informaes sobre a definio de permisses e as descries de cada permisso especial, consulte Tpicos relacionados. Na famlia Windows Server 2003, por padro, Todos no inclui Annimo, portanto, as permisses aplicadas a Todos no afetam Annimo.

40

Permisses NTFS para arquivos e pastas

As permisses de pasta incluem Controle total, Modificar, Ler e executar, Listar contedo de pastas, Ler e Gravar. Para obter informaes sobre essas permisses, consulte Permisses de arquivo e pasta. Cada uma dessas permisses consiste em um grupo lgico de permisses especiais listadas e definidas abaixo. Permisso Descrio Para as pastas: Desviar pasta permite ou nega o movimento atravs de pastas para acessar outros arquivos ou pastas, mesmo que o usurio no tenha permisses para as pastas desviadas. (Aplica-se somente a pastas.) Desviar pasta tem efeito apenas quando o grupo ou usurio no tem o direito de usurio Ignorar verificao com desvio no snap-in de diretivas de grupo. (Por padro, o grupo Todos tem o direito de usurio Ignorar verificao com desvio.)

Desviar pasta/Executa Para os arquivos: Executar arquivo permite ou nega a execuo de arquivos de r arquivo programa. (Aplica-se somente a arquivos.) Ao definir a permisso Desviar pasta em uma pasta, voc no est automaticamente definindo a permisso Executar arquivo em todos os arquivos dessa pasta. Listar pasta permite ou nega a exibio de nomes de arquivos e subpastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo, no afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. (Aplicase somente a pastas.) Ler dados permite ou nega a exibio de dados em arquivos. (Aplica-se somente a arquivos.) Permite ou nega a exibio de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS.

Listar pasta/Ler dados

Ler atributos

Permite ou nega a exibio de atributos estendidos de um arquivo ou pasta. Os Ler atributos atributos estendidos so definidos por programas e podem variar de acordo com o estendidos programa. Criar arquivos/Grav Gravar dados permite ou nega as alteraes no arquivo e a substituio de um ar dados contedo existente. (Aplica-se somente a arquivos.) Criar Criar pastas permite ou nega a criao de arquivos dentro da pasta. (Aplica-se pastas/Acresce 41 Criar arquivos permite ou nega a criao de arquivos dentro da pasta. (Aplica-se somente a pastas.)

ntar dados

somente a pastas.) Acrescentar dados permite ou nega as alteraes no final do arquivo, mas no a alterao, a excluso ou a substituio de dados existentes. (Aplica-se somente a arquivos.) Permite ou nega a alterao de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS.

Gravar atributos

A permisso Gravar atributos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta. Para permitir (ou negar) operaes de criao ou excluso, consulte Criar arquivos/Gravar dados, Criar pastas/Acrescentar dados, Excluir subpastas e arquivos e Excluir. Permite ou nega a alterao de atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa.

Gravar atributos estendidos

A permisso Gravar atributos estendidos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta. Para permitir (ou negar) operaes de criao ou excluso, consulte Criar arquivos/Gravar dados, Criar pastas/Acrescentar dados, Excluir subpastas e arquivos e Excluir. Permite ou nega a excluso de subpastas e arquivos, mesmo que a permisso Excluir no tenha sido concedida na subpasta ou arquivo. (Aplica-se a pastas) Permite ou nega a excluso do arquivo ou pasta. Se voc no tiver a permisso Excluir em um arquivo ou em uma pasta, ainda assim poder exclu-lo se tiver a permisso Excluir subpastas e arquivos na pasta pai. Permite ou nega a leitura de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Permite ou nega a alterao de permisses do arquivo ou pasta, como Controle total, Ler e Gravar. Permite ou nega a apropriao do arquivo ou pasta. O proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer permisso existente que proteja o arquivo ou pasta. Permite ou nega a espera de segmentos diferentes no identificador para o arquivo ou pasta e a sincronizao com outro segmento que possa sinaliz-lo. Essa permisso aplica-se somente a programas de vrios segmentos e processos.

Excluir subpastas arquivos Excluir Ler permisses Alterar permisses Apropriar-se

Sincronizar

42

43

Propriedade
Todo objeto tem um proprietrio, seja em um volume do NTFS ou no Active Directory. O proprietrio controla como as permisses sero definidas no objeto e para quem sero concedidas. Importante Um administrador que precise reparar ou alterar permisses em um arquivo deve comear apropriando-se dele. Por padro, na famlia Windows Server 2003, o proprietrio o grupo Administradores. O proprietrio poder sempre alterar as permisses em um objeto, mesmo quando tiver todo o acesso negado ao objeto. Podem apropriar-se de um objeto: Um administrador. Por padro, o grupo Administradores tem o direito de usurio Apropriarse de arquivos ou outros objetos. Qualquer pessoa ou grupo que tenha a permisso Apropriar-se relativa ao objeto em questo. Um usurio com o privilgio Restaurar arquivos e pastas. A propriedade pode ser transferida das seguintes maneiras: O proprietrio atual pode conceder a outro usurio a permisso Apropriar-se, permitindo que ele se aproprie a qualquer momento. Para que a transferncia seja concluda, necessrio que o usurio aproprie-se de fato. Um administrador pode apropriar-se. Um usurio com o privilgio Restaurar arquivos e pastas pode clicar duas vezes em Outros usurios e grupos e escolher qualquer usurio ou grupo para atribuir a ele a propriedade. Para obter mais informaes, consulte Apropriar-se de um arquivo ou de uma pasta e Restaurar arquivos e diretrios.

Para apropriar-se de um arquivo ou pasta

1. Abra o Windows Explorer e localize o arquivo ou a pasta da qual voc deseja se apropriar. 2. Clique com o boto direito do mouse no arquivo ou pasta, clique em Propriedades e, em seguida, clique na guia Segurana. 3. Clique em Avanada e, em seguida, clique na guia Proprietrio. 4. Na caixa de dilogo Alterar o proprietrio para, siga um destes procedimentos: Para alterar o proprietrio para um usurio ou um grupo no listado, clique duas vezes em Outros usurios e grupos e, em Digite o nome do objeto a ser selecionado (exemplos), digite o nome do usurio ou do grupo e clique em OK. Para alterar o proprietrio para um usurio ou um grupo listado, clique no novo proprietrio. 5. (Opcional) Para alterar o proprietrio de todos os sub-recipientes e objetos da rvore, marque 44

a caixa de seleo Substituir o proprietrio em sub-recipientes e objetos. Observaes Para abrir o Windows Explorer, clique em Iniciar, aponte para Todos os programas, para Acessrios e clique em Windows Explorer. possvel transferir a propriedade de duas maneiras: O proprietrio atual pode conceder a permisso Apropriar-se a outros, permitindo que esses usurios apropriem-se a qualquer hora. Um usurio que recebeu a permisso Apropriar-se poder apropriar-se do objeto ou atribuir a propriedade a qualquer grupo do qual membro. Um usurio que tenha o privilgio Restaurar arquivos e pastas poder clicar duas vezes em Outros usurios e grupos e escolher qualquer usurio ou grupo para atribuir a ele a propriedade. Um administrador pode apropriar-se de qualquer arquivo no computador. Na famlia Windows Server 2003, o grupo Todos no inclui mais o grupo Logon annimo.

45

Viso geral sobre auditoria em pastas e arquivos

Estabelecer uma diretiva de auditoria uma faceta importante da segurana. O monitoramento da criao ou modificao de objetos permite que voc controle possveis problemas de segurana, ajuda a garantir a responsabilidade do usurio e oferece provas se houver quebra de segurana. Os tipos mais comuns de eventos a serem submetidos auditoria so: Acesso a objetos, como arquivos e pastas. Gerenciamento de contas de usurios e grupos. Momento em que os usurios fazem logon e logoff no sistema. Quando voc implementar a diretiva de auditoria: Especifique as categorias dos eventos nas quais voc deseja fazer auditoria. Logon e logoff do usurio e gerenciamento de contas so exemplos de categorias de eventos. As categorias de eventos selecionadas constituem sua diretiva de auditoria. Para obter mais informaes sobre cada categoria de evento, consulte Diretiva de auditoria. Defina o tamanho e o comportamento do log de segurana. O log de segurana pode ser exibido com o recurso Visualizar eventos. Para obter mais informaes sobre o log de segurana, consulte Exibindo logs de segurana. Se voc quiser fazer auditoria no acesso ao servio de pastas ou o acesso a objetos, determine os objetos cujo acesso voc deseja monitorar e o tipo de acesso que dever ser monitorado. Por exemplo, se voc quiser fazer auditoria nas tentativas dos usurios em abrir um arquivo especfico, pode definir as configuraes de diretiva de auditoria na categoria de evento de acesso a objetos para registrar as tentativas bem-sucedidas e malsucedidas de leitura do arquivo. Para obter mais informaes sobre como definir a auditoria de acesso a objetos, consulte: Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta local Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a Diretiva de grupo

46

Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta local

1. Abra o Windows Explorer. 2. Clique com o boto direito do mouse no arquivo ou pasta no qual voc deseja fazer a auditoria, clique em Propriedades e, em seguida, clique na guia Segurana. 3. Clique em Avanada e, em seguida, clique na guia Auditoria. 4. Siga um destes procedimentos: Para configurar a auditoria para um novo grupo ou usurio, clique em Adicionar. Em Digite o nome do objeto a ser selecionado, digite o nome do usurio ou grupo desejado e, em seguida, clique em OK. Para remover a auditoria de um grupo ou usurio existente, clique no nome do grupo ou usurio e em Remover, clique em OK e ignore o restante deste procedimento. Para exibir ou alterar a auditoria de um grupo ou usurio existente, clique no nome e em Editar. 5. Na caixa Aplicar em, clique no local onde a auditoria deve acontecer. 6. Na caixa Acesso, indique as aes nas quais voc deseja fazer auditoria marcando as caixas de seleo adequadas: Para fazer auditoria em eventos bem-sucedidos, marque a caixa de seleo xito. Para interromper a auditoria em eventos bem-sucedidos, desmarque a caixa de seleo xito. Para fazer auditoria em eventos malsucedidos, marque a caixa de seleo Falha. Para interromper a auditoria em eventos malsucedidos, desmarque a caixa de seleo Falha. Para interromper a auditoria em todos os eventos, clique em Limpar tudo. 7. Se voc quiser impedir que arquivos e subpastas subseqentes do objeto original herdem essas entradas de auditoria, marque a caixa de seleo Aplicar essas entradas de auditoria apenas a objetos e/ou recipientes dentro deste recipiente. Importante Antes de configurar a auditoria de arquivos e pastas, voc deve ativar a auditoria de acesso a objetos definindo as configuraes de diretiva de auditoria da categoria de evento de acesso ao objeto. Se voc no ativar a auditoria de acesso a objetos, ser exibida uma mensagem de erro quando voc configurar a auditoria de arquivos e pastas, e nenhum arquivo ou pasta ser submetido auditoria. Para obter mais informaes sobre como ativar a auditoria de acesso a objetos, consulte "Definir ou modificar as configuraes de diretiva de auditoria de uma categoria do evento" em Tpicos relacionados. Observaes necessrio que voc tenha feito logon como membro do grupo Administradores ou tenha recebido o direito Gerenciar auditoria e log de segurana na Diretiva de grupo para executar esse procedimento. Para abrir o Windows Explorer, clique em Iniciar, aponte para Todos os programas, para Acessrios e clique em Windows Explorer. 47

 Para obter informaes sobre como fazer a auditoria de chaves do Registro locais, consulte "Fazer auditoria da atividade em uma chave do Registro" em Tpicos relacionados. Uma vez ativada a auditoria de acesso a objetos, exiba o log de segurana no recurso Visualizar Eventos para analisar os resultados das suas alteraes. Voc pode configurar a auditoria de arquivos e pastas somente em unidades NTFS. Se voc observar o seguinte: Na caixa de dilogo Entrada de Auditoria para Arquivo ou Pasta, na caixa Acesso, as caixas de seleo no esto disponveis ... Na caixa de dilogo Configuraes de segurana avanadas para Arquivo ou pasta, o boto Remover no est disponvel a auditoria foi herdada da pasta pai. J que o tamanho do log de segurana limitado, selecione cuidadosamente os arquivos e pastas a serem auditados. Alm disso, considere a quantidade de espao em disco que voc deseja destinar ao log de segurana. O tamanho mximo do log de segurana definido em Visualizar Eventos.

48

Exibindo logs de segurana

A auditoria em um objeto local cria uma entrada no log de segurana. As entradas de segurana que aparecem no log de segurana dependem das categorias selecionadas para a diretiva de auditoria. Para os eventos referentes ao acesso a objetos, as entradas no log de segurana tambm dependem das configuraes da diretiva de auditoria definidas para cada objeto. Para obter mais informaes sobre auditoria, consulte Fazendo auditoria em eventos de segurana. Por exemplo, se a diretiva especifica a auditoria de arquivos e pastas, e as propriedades de um arquivo determinam que as excluses sem xito desse arquivo devem ser submetidas auditoria, cada tentativa sem xito de um usurio em excluir o arquivo ser exibida no log de segurana. O log de segurana pode ser exibido com o recurso Visualizar eventos.

Tamanho do log de segurana

importante definir o tamanho do log de segurana corretamente. O log de segurana tem tamanho limitado, portanto selecione com cuidado os eventos a serem auditados. Alm disso, considere a quantidade de espao em disco que voc deseja destinar ao log de segurana. O tamanho mximo definido no recurso Visualizar Eventos. Para obter informaes sobre o procedimento a ser seguido quando o log de segurana ficar cheio, consulte Auditoria: Desligar o sistema imediatamente se no for possvel o log de auditorias seguras Para obter mais informaes sobre os eventos de segurana, consulte "Security Events" no site Microsoft Windows Resource Kits. (http://www.microsoft.com/).

Fazendo auditoria em arquivos ou pastas com base em operaes

A auditoria com base em operaes um novo recurso da famlia Windows Server 2003. Nas verses anteriores do Windows, as informaes obtidas na auditoria de acesso a objetos no eram to detalhadas como so, agora, na auditoria com base em operaes. Embora fosse possvel determinar que um usurio tentara acessar um objeto, no havia como ter certeza de que o objeto havia sido acessado de todas as formas documentadas no evento de auditoria. A auditoria baseada em operaes permite que voc faa a auditoria das operaes em arquivos e pastas. Isso significa que voc pode fazer auditoria em certas operaes, como a Gravao, assim como o acesso a objetos. A auditoria com base em operaes habilitada quando a auditoria de acesso a objetos est ativada em um arquivo ou pasta. Os eventos de acesso a objetos so registrados, junto com operaes como a Gravao, no log de segurana. Para ativar a auditoria baseada em operaes, necessrio: Ativar a configurao de diretiva Auditoria de acesso a objetos. Para obter mais informaes, consulte Definir ou modificar configuraes de auditoria para uma categoria de evento. 49

 Aplicar uma diretiva de auditoria a uma pasta especfica. Para obter mais informaes, consulte: Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta local Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a Diretiva de grupo As auditorias com base em operaes so categorizadas como auditorias de objetos e registradas no log de segurana com o nmero de evento 567. Elas so geradas na primeira vez em que voc executa a operao. Pode-se configurar apenas arquivos e pastas para a gerao de auditorias com base em operaes.

Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a Diretiva de grupo
1. Abra o Console de Gerenciamento Microsoft (MMC). 2. No menu Arquivo, clique em Adicionar/remover snap-in e em, seguida, clique em Adicionar. 3. Clique em Editor de objeto de diretiva de grupo e, em seguida, em Adicionar. 4. Na pgina Selecionar objeto de diretiva de grupo no Assistente de diretiva de grupo, clique em Procurar. 5. Em Procurar um objeto de diretiva de grupo, selecione um objeto de Diretiva de grupo (GPO) no domnio, site ou unidade organizacional apropriada ou crie um novo, se preferir clique em OK e, em seguida, em Concluir. 6. Clique em Fechar e, em seguida, clique em OK. 7. Execute um ou mais dos procedimentos a seguir: Para fazer a Faa isto auditoria Na rvore de console, clique em Servios do sistema. Onde? Configurao do Computador Configuraes do Windows Configuraes de Segurana Servios do Sistema No painel de detalhes, clique com o boto direito do mouse no servio cujas configuraes de diretiva voc deseja aplicar ou modificar e, em seguida, clique em Propriedades. Marque a caixa de seleo Definir estas configuraes de diretiva, se no estiver marcada, e selecione a configurao 50

Servios do sistema

adequada. Clique em Editar segurana. Na rvore de console, clique em Registro. Onde? Chaves do Registro Configurao do Computador Configuraes do Windows Configuraes de Segurana Registro

Se voc quiser adicionar uma chave de Registro auditoria deste GPO, clique com o boto direito do mouse em Registro e, em seguida, clique em Adicionar chave. Procure a chave desejada e clique em OK. Se voc quiser aplicar ou modificar configuraes de auditoria de uma chave de Registro j includa no GPO, clique com o boto direito do mouse na chave de Registro no painel de detalhes, clique em Propriedades e, em seguida, clique em Editar segurana. Na rvore de console, clique em Sistema de arquivos. Onde? Configurao do Computador Configuraes do Windows Configuraes de Segurana Sistema de Arquivos

Arquivos ou pastas

Se voc quiser adicionar um arquivo ou uma pasta auditoria deste GPO, clique com o boto direito do mouse em Sistema de arquivos e, em seguida, clique em Adicionar arquivo. Procure o arquivo desejado, ou crie uma nova pasta, e clique em OK. Se voc quiser aplicar ou modificar configuraes de auditoria de um arquivo ou pasta j includos no GPO, clique com o boto direito do mouse no arquivo ou pasta no painel de detalhes, clique em Propriedades e, em seguida, clique em Editar segurana.

8. Clique em Avanada e, em seguida, clique na guia Auditoria. 9. Siga um destes procedimentos: 51

 Para configurar a auditoria para um novo grupo ou usurio, clique em Adicionar. Em Nome, digite o nome do usurio ou grupo desejado e clique em OK. Para exibir ou alterar a auditoria de um grupo ou usurio existente, clique no nome desejado e em Editar. Para remover a auditoria de um grupo ou usurio existente, clique no nome desejado e em Remover, clique em OK e ignore o restante deste procedimento. 10. Selecione a entrada adequada na lista 11. Aplicar em. 12. Na caixa Acesso, indique as aes nas quais voc deseja fazer auditoria marcando as caixas de seleo adequadas: Para fazer auditoria em eventos bem-sucedidos, marque a caixa de seleo xito. Para interromper a auditoria em eventos bem-sucedidos, desmarque a caixa de seleo xito. Para fazer auditoria em eventos malsucedidos, marque a caixa de seleo Falha. Para interromper a auditoria em eventos malsucedidos, desmarque a caixa de seleo Falha. Para interromper a auditoria em todos os eventos, clique em Limpar tudo. 13. Se voc quiser impedir que arquivos e subpastas da rvore herdem essas entradas de auditoria, marque a caixa de seleo Aplicar essas entradas de auditoria apenas a objetos e/ou recipientes dentro deste recipiente. Importante Antes de configurar a auditoria de arquivos e pastas, voc deve ativar a auditoria de acesso a objetos definindo as configuraes de diretiva de auditoria da categoria de evento de acesso ao objeto. Se voc no ativar a auditoria de acesso a objetos, ser exibida uma mensagem de erro quando voc configurar a auditoria de arquivos e pastas, e nenhum arquivo ou pasta ser submetido auditoria. Para obter mais informaes sobre como ativar a auditoria de acesso a objetos, consulte "Definir ou modificar as configuraes de diretiva de auditoria de uma categoria do evento" em Tpicos relacionados. Observaes Para executar este procedimento, voc deve ser um membro do grupo Admins. do domnio ou da Administrao corporativa no Active Directory ou ter recebido a delegao adequada. Como uma prtica recomendada de segurana, considere usar Executar como para executar este procedimento. Para abrir o Console de gerenciamento Microsoft, clique em Iniciar, clique em Executar, digite mmc e clique em OK. Para obter mais informaes sobre como selecionar onde aplicar as entradas de auditoria, consulte Tpicos relacionados. Voc pode configurar a auditoria de arquivos e pastas somente em unidades NTFS. Se voc observar o seguinte: Na caixa de dilogo Entrada de auditoria para Arquivo ou pasta, na caixa Acesso, as caixas de seleo no esto disponveis ... Na caixa de dilogo Configuraes de segurana avanadas para Arquivo ou pasta, o boto Remover no est disponvel a auditoria herdada da pasta pai. 52

 Uma vez ativada a auditoria de acesso a objetos, exiba o log de segurana no recurso Visualizar Eventos para analisar os resultados das suas alteraes. J que o tamanho do log de segurana limitado, selecione cuidadosamente os arquivos e pastas a serem auditados. Alm disso, considere a quantidade de espao em disco que voc deseja destinar ao log de segurana. O tamanho mximo do log de segurana definido em Visualizar Eventos.

Gerenciamento do Computador
Voc pode usar o Gerenciamento do computador para gerenciar computadores locais e remotos. O Gerenciamento do computador uma coleo de ferramentas administrativas que voc pode usar para gerenciar um nico computador local ou remoto. Ele combina vrios utilitrios de administrao em uma rvore de console e fornece acesso fcil a propriedades e ferramentas administrativas.

53

Voc pode usar o Gerenciamento do computador para: Monitorar eventos do sistema, como o nmero de vezes em que o logon feito e os erros de aplicativo. Criar e gerenciar recursos compartilhados. Exibir uma lista de usurios conectados a um computador local ou remoto. Iniciar e interromper servios do sistema, como o Agendador de tarefas e o Servio de indexao. Definir propriedades para dispositivos de armazenamento. Exibir configuraes de dispositivo e adicionar novos drivers de dispositivo. Gerenciar aplicativos e servios. O Gerenciamento do computador contm trs itens: Ferramentas do sistema, Armazenamento e Servios e aplicativos. Viso geral sobre Ferramentas do sistema O recurso Ferramentas do sistema o primeiro item da rvore de console do Gerenciamento do computador. Voc pode usar as ferramentas padro Visualizar eventos, Pastas compartilhadas, Usurios e grupos locais, Logs e alertas de desempenho e Gerenciador de dispositivos para gerenciar os eventos e o desempenho do sistema no computador especificado.

Observao Se voc no for um membro do grupo Administradores, talvez no tenha as credenciais administrativas necessrias para exibir ou modificar algumas propriedades ou para executar algumas tarefas hospedadas no Gerenciamento do computador.

54

Visualizar eventos
Com a ferramenta Visualizar eventos, possvel monitorar os eventos registrados nos logs de eventos. Geralmente, um computador armazena os logs de aplicativos, de segurana e de sistema. Ele tambm pode conter outros logs; isso depender da funo do computador e dos aplicativos instalados. Voc pode exibir e definir opes de log para logs de eventos, a fim de coletar informaes sobre problemas de hardware, software e sistema.

Por padro, um computador que executa um sistema operacional da famlia Windows Server 2003 registra eventos em trs tipos de logs: Log de aplicativo O log de aplicativo contm eventos registrados por aplicativos ou programas. Por exemplo, um programa de banco de dados pode registrar um erro de arquivo no log de aplicativo. Os desenvolvedores de aplicativo decidem quais eventos sero registrados. Log de segurana O log de segurana registra eventos como tentativas de logon vlidas e invlidas, bem como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Por exemplo, se a auditoria de logon estiver habilitada, as tentativas de logon no sistema sero registradas no log de segurana. 55

Log de sistema O log de sistema contm eventos registrados pelos componentes de sistema do Windows. Por exemplo, se um driver ou outro componente do sistema no for carregado durante a inicializao, essa falha ser registrada no log de sistema. Os tipos de evento registrados pelos componentes do sistema so determinados previamente pelo servidor. Um computador com um sistema operacional da famlia Windows Server 2003 que esteja configurado como controlador de domnio registra eventos em dois logs adicionais: Log de servio de diretrio O log de servio de diretrio contm eventos registrados pelo servio do Active Directory do Windows. Por exemplo, os problemas de conexo entre o servidor e o catlogo global so registrados no log de servio de diretrio. Log de servio de replicao de arquivos O log de servio de replicao de arquivos contm eventos registrados pelo servio de replicao de arquivos do Windows. Por exemplo, as falhas na replicao de arquivos e os eventos que ocorrerem enquanto os controladores de domnio estiverem sendo atualizados com informaes sobre alteraes de volume de sistema sero registrados no log de replicao de arquivos. Um computador com o Windows e configurado como servidor de sistema de nomes de domnio (DNS) registra eventos em log adicional: Log do servidor DNS O log do servidor DNS contm eventos registrados pelo servio DNS do Windows. Outros tipos de eventos e logs de eventos podero estar disponveis em um computador, dependendo dos servios instalados. O servio Log de eventos iniciado automaticamente quando voc inicia o Windows. Se voc for membro do grupo Administradores no computador local, poder definir permisses de acesso em logs de eventos usando a diretiva de grupo. Para obter mais informaes, consulte Configuraes de logs de eventos.

56

Tipos de eventos
Visualizar eventos exibe cinco tipos de eventos: Tipo de evento Erro Descrio Um problema significativo, como a perda de dados ou funcionalidade. Por exemplo, se um servio no for carregado durante a inicializao, um erro ser registrado. Um evento que no necessariamente significativo, mas pode indicar um possvel problema futuro. Por exemplo, quando houver pouco espao em disco, um Aviso ser registrado. Um evento que descreve o funcionamento de um aplicativo, driver ou servio com xito. Por exemplo, quando um driver de rede for carregado com xito, um evento de informaes ser registrado. com Qualquer evento de segurana que passou por auditoria e foi bem-sucedido. Por exemplo, uma tentativa bem-sucedida do usurio para se conectar ao sistema ser registrada como um evento Auditoria com xito. Qualquer evento de segurana que passou por auditoria e apresentou falha. Por exemplo, se um usurio tenta acessar uma unidade de rede e falha, a tentativa ser registrada como um evento Auditoria sem xito.

Aviso

Informaes

Auditoria xito Auditoria xito

sem

Como Exibir um log de eventos

Abra Visualizar eventos. Na rvore de console, clique no log que deseja exibir. No painel de detalhes, exiba a lista de eventos individuais. Para obter mais detalhes sobre um evento especfico, no painel de detalhes, clique duas vezes no evento.

57

Observaes Executar essa tarefa no exige que voc tenha credenciais administrativas. Portanto, uma prtica recomendada de segurana, considere executar essa tarefa como um usurio sem credenciais administrativas.. No entanto, voc deve ser um membro do grupo Administradores no computador de destino para abrir o log de segurana ou qualquer log ao acessar um computador remoto. Para abrir Visualizar eventos, clique em Iniciar, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Visualizar eventos. Para atualizar a exibio, no menu Ao, clique em Atualizar. Quando voc abre um log, o recurso Visualizar eventos exibe as informaes atuais referentes a ele. O log no atualizado enquanto est sendo exibido, a menos que voc atualize a janela Visualizar eventos. Se voc alternar para outro log e depois retornar ao primeiro, a exibio do primeiro log ser atualizada automaticamente. Quando o modo de exibio de um log de eventos atualizado, nenhuma alterao feita no log; ou seja, somente o modo de exibio atualizado. O comando Atualizar no est disponvel para logs arquivados porque esses arquivos no podem mais ser atualizados.

58

O cabealho do evento
Informao Significado Data A data na qual o evento ocorreu. A data e hora de um evento so armazenadas na Universal Time Coordinate (UTC), mas elas sempre so exibidas no local do visualizador. A hora na qual o evento ocorreu. A data e hora de um evento so armazenadas na UTC, mas elas sempre so exibidas no local do visualizador. O nome do usurio em nome do qual o evento ocorreu. Este nome a identificao de cliente se o evento foi realmente causado por um processo do servidor ou a identificao primria se a representao no estiver ocorrendo. Quando aplicvel, uma entrada de log de segurana conter as identificaes primrias e de representao. A representao ocorre quando o servidor permite que um processo assuma os atributos de segurana de outro.

Hora

Usurio

O nome do computador onde o evento ocorreu. , geralmente, o nome de seu prprio Computador computador, a menos que voc esteja visualizando um log de eventos em outro computador. O software que registrou o evento, que pode ser um nome de programa como o "SQL Server," ou um componente do sistema (um nome de driver, por exemplo) ou de um programa grande. Por exemplo, o "Elnkii" indica um driver EtherLink II. A fonte sempre permanece em seu idioma original. Um nmero que identifica o tipo de evento especfico dessa fonte. A primeira linha da descrio normalmente contm o nome do tipo de evento. Por exemplo, 6005 a identificao do evento que ocorre quando o servio Log de eventos iniciado. A primeira linha da descrio de um evento O servio Log de eventos foi iniciado. Usando os valores de Fonte e Evento juntos, os representantes de suporte ao produto podem solucionar problemas do sistema. Uma classificao da gravidade do evento: Erro, Informaes ou Aviso nos logs do sistema ou do aplicativo, Auditoria com xito ou Auditoria sem xito no log de segurana. No modo de exibio de lista normal de Visualizar eventos, esses itens so representados por um smbolo. Uma classificao do evento definida pela fonte do evento. Essa informao usada principalmente no log de segurana. Por exemplo, para auditorias de segurana, isso corresponde a um dos tipos de evento para o qual a auditoria bem-sucedida ou malsucedida pode ser habilitada na diretiva de grupo por um membro do grupo Administradores.

Fonte

Evento

Tipo

Categoria

59

Noes bsicas sobre opes de log de eventos

Com Visualizar eventos, possvel definir parmetros de log para cada tipo de log de eventos. Para definir parmetros, clique com o boto direito do mouse na rvore de console e, em seguida, clique em Propriedades. Na guia Geral, defina o tamanho mximo do log e especifique se os eventos sero substitudos ou armazenados durante um determinado perodo. A diretiva de log padro a seguinte: se um log estiver cheio, os eventos mais antigos sero excludos para liberar espao para os novos, contanto que os eventos tenham, no mnimo, sete dias de idade. possvel personalizar essa diretiva, ou as opes de quebra do log de eventos, para diferentes logs. Entre as opes de quebra de log de eventos esto:

Use

Para

Faz com que novos eventos continuem a ser gravados quando o log estiver Substituir eventos quando cheio. Cada novo evento substitui o evento mais antigo no log. Essa opo uma boa escolha para sistemas de baixa manuteno. necessrio Mantm o log durante o nmero de dias que voc especificar antes de substituir os eventos. O padro sete dias. Essa a melhor opo se voc Substituir eventos com mais quiser arquivar os logs semanalmente. Essa estratgia minimiza a chance de de [x] dias perder entradas de log importantes e ao mesmo tempo mantm os tamanhos dos logs razoveis. No substituir Limpa ou arquiva o log manualmente, em vez de faz-lo automaticamente. 60

eventos

Selecione essa opo somente se voc no puder perder um evento (por exemplo, para o log de segurana de um site onde a segurana extremamente importante).

Voc tambm pode usar a diretiva de grupo para definir tamanhos mximos de log e opes de quebra de log, bem como definir permisses nos logs de eventos. Para obter mais informaes, consulte Configuraes de logs de eventos. O registro do aplicativo e do sistema comeam automaticamente quando voc inicia o computador. Para obter mais informaes sobre como configurar logs de segurana, consulte Executando auditoria de eventos de segurana.

Formatos de arquivo de logs arquivados

Ao arquivar um log de eventos, voc o salva em um dos trs formatos de arquivo a seguir: Formato do arquivo de log (.evt), que permite visualizar novamente o log arquivado em Visualizar eventos. Formato do arquivo de texto (.txt), que permite usar as informaes em um programa como um processador de textos. No use Visualizar eventos para abrir um arquivo de log salvo no formato .txt. Formato do arquivo de texto delimitado por vrgulas (.csv), que permite usar as informaes em um programa como um planilha ou um banco de dados de arquivo simples. No use Visualizar eventos para abrir um arquivo de log salvo no formato .csv. A descrio do evento salva em todos os logs arquivados. Os dados contidos em cada registro de evento individual so gravados na seguinte ordem: 1.Data 2.Hora 3.Fonte 4.Tipo 5.Categoria 6.Evento 7.Usurio 8.Computador 9.Descrio AES: Para arquivar um log de eventos 1. Abra a ferramentaVisualizar eventos. 2. Na rvore de console, clique com o boto direito do mouse no log a ser arquivado e, em seguida, clique em Salvar arquivo de log como. 3. Em Nome do arquivo, digite um nome para o arquivo de log arquivado. 61

4. Em Salvar como tipo, selecione um formato de arquivo e, em seguida, clique em Salvar. Para limpar um log de eventos Abra Visualizar eventos. Na rvore de console, clique no log que deseja limpar. No menu Ao, clique em Limpar todos os eventos. Para salvar o log antes de limp-lo, clique em Sim.

1. 2. 3. 4.

Observaes Para executar esses procedimentos, voc deve ser membro do grupo Administradores ou Operadores de cpia, ou algum deve ter delegado a voc a autoridade apropriada no computador de destino. Se o computador tiver ingressado em um domnio, os membros do grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada de segurana, aconselhvel usar Executar como. Para abrir Visualizar eventos, clique em Iniciar, aponte para Configuraes e clique em Painel de controle. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Visualizar eventos. Se voc arquivar um log no formato de arquivo de log (.evt), poder reabri-lo utilizando o recurso Visualizar eventos. Se voc arquivar um log em formato de texto (.txt) ou delimitado por vrgulas (.csv), ser possvel reabri-lo em outros programas, como em programas de planilha ou de processamento de texto, mas no em Visualizar eventos. Voc s pode salvar logs de evento em formato de arquivo de log no computador em que os eventos ocorrem; por exemplo, ao usar Visualizar eventos para exibir logs de eventos em um computador remoto. Para salvar um log de eventos local em formato de arquivo de log em outro computador, em Nome do arquivo, digite \\nome_computador_remoto\compartilhamento e, em seguida, digite o caminho e nome do arquivo morto. Quando voc arquivar um arquivo de log, o log inteiro ser salvo, independentemente das opes de filtragem. A ordem de classificao no mantida quando os logs so salvos. No entanto, voc pode filtrar e classificar o log arquivado novamente ao abri-lo em Visualizar eventos. O arquivamento no tem nenhum efeito no contedo atual do log ativo. Para remover um arquivo de log arquivado do sistema, exclua o arquivo no Windows Explorer.

Usurios e grupos locais

Use Usurios e grupos locais para criar e gerenciar usurios e grupos que so armazenados localmente no computador.

Viso geral sobre usurios e grupos locais

O recurso Usurios e grupos locais est localizado no Gerenciamento do computador e consiste em uma coleo de ferramentas administrativas que voc pode usar para gerenciar um nico 62

computador local ou remoto. Voc pode us-lo para proteger e gerenciar contas de usurio e grupos armazenados localmente no computador. Uma conta de usurio ou grupo local pode ter permisses e direitos em um determinado computador e somente nesse computador. Usurios e grupos locais est disponvel nos seguintes sistemas operacionais cliente e servidor: Computadores cliente que executam o Microsoft Windows 2000 Professional ou o Windows XP Professional Servidores membro que executam um produto na famlia de servidores Microsoft Windows 2000 ou na famlia Windows Server 2003 Servidores autnomos que executam um produto na famlia de servidores Microsoft Windows 2000 ou na famlia Windows Server 2003 Com Usurios e grupos locais voc pode limitar a capacidade de os usurios e grupos executarem determinadas aes atribuindo-lhes direitos e permisses. Um direito autoriza um usurio a executar determinadas aes em um computador, como fazer backup de arquivos e pastas ou desligar um computador. Uma permisso uma regra associada a um objeto (geralmente um arquivo, pasta ou impressora) que regula quais usurios podem ter acesso ao objeto e de que maneira. Voc no pode usar Usurios e grupos locais para exibir contas de usurio e de grupo locais depois que um servidor membro tiver sido promovido para um controlador de domnio. No entanto, voc pode usar esse recurso em um controlador de domnio para computadores remoto de destino (que no so controladores de domnio) na rede. Use Usurios e computadores do Active Directory para gerenciar usurios e grupos no Active Directory.

Contas de usurio locais

A pasta Usurios, localizada em Usurios e grupos locais do Console de gerenciamento Microsoft (MMC), exibe as contas de usurio padro e as contas de usurio que voc criar. Essas contas de usurio padro so criadas automaticamente quando voc instala um servidor autnomo ou um servidor membro que executa o Windows Server 2003. A tabela a seguir descreve cada conta de usurio padro em servidores que executam o Windows Server 2003. Conta de usurio Descrio padro A conta Administrador tem controle total do servidor e pode atribuir direitos do usurio e permisses de controle de acesso a usurios conforme necessrio. Essa conta deve ser usada somente em tarefas que requerem credenciais administrativas. altamente recomendvel que voc a configure para usar uma senha de alta segurana. Conta Administrador A conta Administrador membro do grupo Administradores no servidor. Essa conta nunca pode ser excluda ou removida do grupo Administradores, mas ela pode ser renomeada ou desativada. Como a conta Administrador conhecida por existir em vrias verses do Windows, os usurios maliciosos tero mais dificuldades para acess-la se voc renome-la ou desativ-la. Para obter mais informaes sobre como renomear ou desativar uma conta de usurio, consulte Para renomear uma conta de usurio local e Para desativar

63

ou ativar uma conta de usurio local. Administrador a conta que voc usa quando configura pela primeira vez o servidor. Voc usa essa conta antes de criar uma conta para voc mesmo. Importante Mesmo quando a conta Administrador for desativada, ela ainda poder ser usada para obter acesso ao computador se voc usar o Modo seguro. A conta Convidado usada por pessoas que no tm uma conta real no computador. Um usurio cuja conta est desativada, mas no excluda, tambm pode usar a conta Convidado. No necessrio ter senha para essa conta. Ela est desativada por padro, mas voc pode ativ-la. Conta Convidado Voc pode definir direitos e permisses para a conta Convidado exatamente como para qualquer conta de usurio. Por padro, essa conta membro do grupo Convidados, o que permite um usurio fazer logon em um servidor. Os direitos adicionais, e qualquer permisso, devem ser concedidos ao grupo Convidados por um membro do grupo Administradores. A conta Convidado desativada por padro e recomenda-se que ela permanea assim. A conta primria usada para estabelecer uma sesso da Assistncia remota. Esta conta criada automaticamente quando voc solicita uma sesso da assistncia remota e tem acesso limitado ao computador. A conta HelpAssistant gerenciada pelo servio Gerenciador de sesso de ajuda de rea de trabalho remota e ser excluda automaticamente se nenhuma solicitao da assistncia remota estiver pendente.

A conta HelpAssistant (instalada com uma sesso da Assistncia remota)

Grupos locais padro

A pasta Grupos, localizada em Usurios e grupos locais do Console de gerenciamento Microsoft (MMC), exibe os grupos locais padro e os grupos locais que voc criar. Os grupos locais padro so criados automaticamente quando voc instala um servidor autnomo ou um servidor membro que executa o Windows Server 2003. Ao pertencer a um grupo local, o usurio passa a ter os direitos e capacidades para executar vrias tarefas no computador local. Para obter mais informaes sobre grupos baseados em domnio, consulte Grupos padro. Voc pode adicionar contas de usurio locais, contas de usurio de domnio, contas de computador e contas de grupo a grupos locais. No entanto, voc no pode adicionar contas de usurio locais e contas de grupo locais a contas de grupo de domnio. Para obter mais informaes sobre como adicionar membros a grupos locais, consulte Para adicionar um membro a um grupo local. 64

Observao Para saber de qual grupo voc precisa ser membro para executar um determinado procedimento, vrios tpicos de procedimentos em Como no Centro de ajuda e suporte fornecem observaes que identificam essas informaes. A tabela a seguir fornece descries dos grupos padro localizados na pasta Grupos e lista os direitos de usurio atribudos a cada grupo. Esses direitos so atribudos na diretiva de segurana local. Para obter descries completas dos direitos de usurio listados na tabela, consulte Atribuio de direitos de usurio. Para obter informaes sobre como editar esses direitos, consulte Para atribuir direitos de usurio ao computador local. Grupo Descrio Direitos de usurio padro Acesso a este computador pela rede; Ajustar quotas de memria para um processo; Permitir logon local; Permitir logon pelos servios de terminal; Fazer backup de arquivos e pastas; Ignorar a verificao completa; Alterar horrio do sistema; Criar um arquivo de permuta; Depurar programas; Forar o desligamento a partir de um sistema remoto; Aumentar a prioridade de planejamento; Carregar e descarregar drivers de dispositivos; Gerenciar auditoria e log de segurana; Alterar valores de ambiente de firmware; Executar tarefas de manuteno de volume; Traar perfil de um nico processo; Traar um perfil do desempenho do sistema; Remover o computador da estao de encaixe; Restaurar arquivos e diretrios; Desligar o sistema; Apropriar-se de arquivos ou de outros objetos.

Administradores

Os membros desse grupo tm controle total do servidor e podem atribuir direitos do usurio e permisses de controle de acesso para os usurios conforme necessrio. A conta Administrador tambm um membro padro. Quando esse servidor includo em um domnio, o grupo Admins. do domnio adicionado automaticamente a esse grupo. Como o grupo tem controle total do servidor, adicione usurios com cuidado.

Operadores cpia

Os membros desse grupo podem fazer backup e restaurar arquivos no servidor, independentemente das permisses que protegem esses de arquivos. Isso ocorre porque o direito de executar um backup tem precedncia sobre todas as permisses de arquivo. Eles no podem alterar configuraes de segurana.

Acesso a este computador pela rede; Permitir logon local; Fazer backup de arquivos e pastas; Ignorar a verificao completa; Restaurar arquivos e diretrios; Desligar o sistema.

Administradores

Os membros desse grupo tm acesso Nenhum direito de usurio padro. 65

DHCP (instalado administrativo ao servio do servidor com o servio do protocolo de configurao dinmica servidor DHCP) de hosts (DHCP). Esse grupo fornece uma forma de atribuir acesso administrativo limitado somente ao servidor DHCP ao mesmo tempo que no fornece acesso total ao servidor. Os membros desse grupo podem administrar o DHCP em um servidor que usa o console DHCP ou o comando Netsh, mas no so capazes de executar outras aes administrativas no servidor. Os membros desse grupo tm acesso somente leitura ao servio do servidor DHCP. Dessa forma, os membros Usurios DHCP podem exibir informaes e (instalado com o propriedades armazenadas em um Nenhum direito de usurio padro. servio do servidor servidor DHCP especificado. Essas DHCP) informaes so teis para oferecer suporte equipe quando ela precisar obter relatrios de status do DHCP. Os membros desse grupo tero um perfil temporrio criado durante o logon, e quando o membro fizer logoff, o perfil ser excludo. A conta Nenhum direito de usurio padro. Convidado (que desativada por padro) tambm faz parte desse grupo por padro.

Convidados

Esse grupo permite que os administradores definam permisses comuns para todos os aplicativos para os quais h suporte. Por padro, o Grupo de servios nico membro do grupo a conta Nenhum direito de usurio padro. de ajuda associada aos aplicativos de suporte da Microsoft, como a Assistncia remota. No adicione usurios a esse grupo. Operadores configurao rede Usurios Os membros desse grupo podem de fazer alteraes nas configuraes do de TCP/IP, atualizar e liberar endereos Nenhum direito de usurio padro. TCP/IP. Esse grupo no tem membros padro. de Os usurios desse grupo podem Nenhum direito de usurio padro. 66

monitor desempenho

os contadores de de monitorar desempenho no servidor localmente e de clientes remotos sem serem membros dos grupos Administradores ou Usurios de log de desempenho.

Os membros desse grupo podem gerenciar os contadores de desempenho, os logs e os alertas no Usurios de log de Nenhum direito de usurio padro. servidor localmente e de clientes desempenho remotos sem serem membros do grupo Administradores. Os membros desse grupo podem criar contas de usurio; no entanto, eles s podem modificar e excluir as contas que criaram. Esses membros podem criar grupos locais e adicionar ou remover usurios dos grupos locais que criaram. Eles tambm podem adicionar ou remover os usurios dos grupos Usurios avanados, Usurios e Convidados. Os membros podem criar recursos compartilhados e administrar os recursos compartilhados que criaram. Eles no podem apropriar-se de arquivos, fazer backup ou restaurar diretrios, carregar ou descarregar dispositivos ou gerenciar os logs de segurana e de auditoria. de

Usurios avanados

Acesso a este computador pela rede; Permitir logon local; Ignorar a verificao completa; Alterar horrio do sistema; Traar perfil de um nico processo; Remover computador da estao de encaixe; Desligar o sistema.

Operadores impresso

Os membros desse grupo podem gerenciar impressoras e filas de Nenhum direito de usurio padro. impresso. Os membros desse grupo podem fazer logon remotamente em um servidor.

Usurios da rea Permitir logon de trabalho Para obter mais informaes, consulte terminal. remota Ativando usurios para que se conectem remotamente ao servidor.

pelos

servios de

Duplicadores

O grupo Duplicadores fornece suporte a funes de replicao. O Nenhum direito de usurio padro. nico membro do grupo 67

Duplicadores deve ser uma conta de usurio de domnio usada para fazer logon nos servios Duplicadores do controlador do domnio. No adicione as contas de usurio dos usurios reais a esse grupo. Este grupo contm o usurio que est conectado ao computador no momento usando o Terminal Server. Qualquer programa que um usurio do possa executar no Windows NT 4.0 de poder ser executado para um Nenhum direito de usurio padro. membro do grupo Usurio do servidor de terminal. As permisses padro atribudas ao grupo permitem que os seus membros executem a maioria dos programas mais recentes. Os membros desse grupo podem realizar as tarefas comuns, como executar aplicativos, usar impressoras locais e de rede e bloquear o servidor. Eles no podem compartilhar Acesso a este computador pela rede; diretrios ou criar impressoras locais. Permitir logon local; Ignorar a Por padro, os grupos Usurios do verificao completa. domnio, Usurios autenticados e Interativo so membros desse grupo. Por isso, qualquer conta de usurio criada no domnio se torna membro desse grupo.

Usurios servidor terminal

Usurios

Os membros desse grupo tm acesso somente leitura ao servios WINS. Dessa forma, os membros podem Usurios WINS exibir informaes e propriedades (instalado com o armazenadas em um servidor WINS Nenhum direito de usurio padro. servio WINS) especificado. Essas informaes so teis para oferecer suporte equipe quando ela precisar obter relatrios de status do WINS.

Criando contas de usurio e de grupo

As contas de usurio so usadas para autenticar, autorizar ou negar o acesso a recursos e para fazer auditoria da atividade de usurios individuais na rede. Uma conta de grupo uma coleo de contas de usurio que voc pode usar para atribuir um conjunto de permisses e direitos a vrios usurios 68

simultaneamente. Um grupo tambm pode conter contatos, computadores e outros grupos. Voc pode criar contas de usurio e de grupo no Active Directory para gerenciar usurios de domnio. Tambm possvel criar contas de usurio e de grupo em um computador local para gerenciar usurios especficos a esse computador. Algumas das tarefas mais comuns so criao de contas de usurio no Active Directory, criao de contas de grupo no Active Directory, criao de contas de usurio em um computador local e criao de grupos em um computador local. Voc tambm pode usar a linha de comando para criar contas de usurio e de grupo no Active Directory ou em um computador local. Para obter mais informaes sobre outras tarefas de gerenciamento de grupos e contas de usurio do Active Directory, consulte Gerenciar usurios, grupos e computadores. Para obter informaes sobre outras tarefas de gerenciamento de grupos e contas de usurio em um computador local, consulte Como. Criar uma conta de usurio no Active Directory 1. Abra Usurios e computadores do Active Directory. 2. Na rvore de console, clique com o boto direito do mouse na pasta qual voc deseja adicionar uma conta de usurio. Onde? Usurios e computadores do Active Directory n do domnio pasta Aponte para Novo e clique em Usurio. Em Nome, digite o nome do usurio. Em Iniciais, digite as iniciais do usurio. Em Sobrenome, digite o sobrenome do usurio. Modifique a opo Nome completo para adicionar iniciais ou inverter a ordem do nome e sobrenome. Em Nome de logon do usurio, digite o nome de logon do usurio, clique no sufixo UPN na lista suspensa e, em seguida, clique em Avanar. Se o usurio utilizar um nome diferente para fazer logon em computadores que executem o Windows 95, Windows 98 ou Windows NT, altere o nome de logon do usurio que aparece em Nome de logon do usurio (anterior ao Windows 2000) por esse outro nome. 9. Em Senha e Confirmar senha, digite a senha do usurio e selecione as opes de senha apropriadas.

3. 4. 5. 6. 7. 8.

69

Observaes Para executar este procedimento, voc deve ser um membro do grupo Operadores de contas, Admins. do domnio ou do grupo Administrao corporativa no Active Directory ou ter recebido a delegao adequada. Como uma prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Usurios e computadores do Active Directory. Para adicionar um usurio, voc tambm pode clicar em na barra de ferramentas. Para adicionar um usurio, voc tambm pode copiar qualquer conta de usurio criada anteriormente. Uma nova conta de usurio com o mesmo nome que a conta de usurio anteriormente excluda no assume automaticamente as permisses e os membros de grupo da conta excluda anteriormente, pois a identificao de segurana (SID) de cada conta exclusiva. Para duplicar uma conta de usurio excluda, todos os membros e permisses devem ser recriados manualmente. Quando uma conta de usurio criada com o assistente de novo usurio no painel de detalhes, voc pode editar rapidamente as propriedades de usurio fechando o assistente, clicando na nova conta e pressionando ENTER. Para abrir o assistente de novo usurio no painel de detalhes, clique com o boto direito do mouse no painel de detalhes, clique em Novo e, em seguida, clique em Usurio. 70

 Para fins de interoperabilidade com outros servios de diretrio, voc pode criar um objeto de usurio InetOrgPerson. Para criar um novo inetOrgPerson, na etapa trs, clique em InetOrgPerson em vez de clicar em Usurio. Ao criar um novo usurio, o atributo nome completo criado no formato Nome Sobrenome por padro. O atributo nome completo tambm governa o formato de nome para exibio mostrado na lista de endereos global. Voc pode alterar o formato de nome para exibio usando ADSI Edit. Se voc fizer isso, o formato de nome completo tambm ser alterado. Para obter mais informaes, consulte o artigo Q250455, "How to Change Display Names of Active Directory Users" no Microsoft Knowledge Base. Criar uma conta de grupo no Active Directory 1. Abra Usurios e computadores do Active Directory. 2. Na rvore de console, clique com o boto direito do mouse na pasta qual voc deseja adicionar um novo grupo. Onde? Usurios e computadores do Active Directory n do domnio pasta 3. Aponte para Novo e clique em Grupo. 4. Digite o nome do novo grupo. Por padro, o nome que voc digita tambm fornecido como o nome anterior ao Windows 2000 do novo grupo. 5. Em Escopo do grupo, clique em uma das opes. 6. Em Tipo de grupo, clique em uma das opes. Observaes Para executar este procedimento, voc deve ser um membro do grupo Operadores de contas, Admins. do domnio ou do grupo Administrao corporativa no Active Directory ou ter recebido a delegao adequada. Como uma prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Usurios e computadores do Active Directory. Para adicionar um grupo, voc tambm pode clicar na pasta qual deseja adicionar o grupo e, em seguida, clicar em na barra de ferramentas. Se o domnio no qual voc est criando o grupo estiver definido como nvel funcional de domnio do Windows 2000 misto, s ser possvel selecionar grupos de segurana com os escopos Domnio local ou Global. Para obter mais informaes, consulte Escopo do grupo. Quando uma conta de usurio criada com o assistente de novo usurio no painel de detalhes, voc pode editar rapidamente as propriedades da conta de grupo fechando o assistente, clicando na nova conta e pressionando ENTER. Para abrir o assistente de novo grupo no painel de detalhes, clique com o boto direito do mouse no painel de detalhes, clique em Novo e, em seguida, clique em Grupo. 71

Para criar uma conta de usurio em um computador local 1. Abra o Gerenciamento do computador. 2. Na rvore de console, clique em Usurios. Onde? Gerenciamento do computador Ferramentas do sistema Usurios e grupos locais Usurios No menu Ao, clique em Novo usurio. Digite as informaes apropriadas na caixa de dilogo. Marque ou desmarque as caixas de seleo de: O usurio dever alterar a senha no prximo logon O usurio no pode alterar a senha A senha nunca expira Conta desativada Clique em Criar e, em seguida, clique em Fechar.

3. 4. 5.

6.

72

Observaes Para executar este procedimento, voc deve ser um membro do grupo Administradores no computador local ou deve ter recebido a delegao adequada. Se o computador estiver associado a um domnio, os membros do grupo Admins. do domnio podero executar este procedimento. Como uma prtica recomendada de segurana, considere usar Executar como para executar este procedimento. Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador. Um nome de usurio no pode ser idntico a outro nome de usurio ou de grupo no computador que est sendo administrado. Ele pode conter at 20 caracteres maisculos ou minsculos, exceto os seguintes: "/\[]:;|=,+*?<> Um nome de usurio no pode ser formado apenas por pontos (.) ou espaos. Em Senha e Confirmar senha, voc pode digitar uma senha com, no mximo, 127 caracteres. Entretanto, se a rede for composta de computadores que executem o Windows 95 ou Windows 98, recomenda-se usar senhas com, no mximo, 14 caracteres. Se sua senha for maior, talvez voc no consiga fazer logon na rede nesses computadores. Voc no deve adicionar um novo usurio local ao grupo local Administradores, a menos que o usurio realize apenas tarefas administrativas. Para obter mais informaes, consulte Por que voc no deve executar o computador como um administrador. Para criar um grupo em um computador local 1. Abra o Gerenciamento do computador. 2. Na rvore de console, clique em Grupos. Onde? Gerenciamento do computador Ferramentas do sistema Usurios e grupos locais Grupos No menu Ao, clique em Novo grupo. Em Nome do grupo, digite um nome para o novo grupo. Em Descrio, digite uma descrio para o novo grupo. Para adicionar um ou mais usurios a um novo grupo, clique em Adicionar. Na caixa de dilogo Selecione Usurios, Computadores ou Grupos, faa o seguinte: Para adicionar uma conta de usurio ou grupo a esse grupo, em Digite os nomes de objeto a serem selecionados, digite o nome da conta de usurio ou grupo que voc deseja adicionar ao grupo e clique em OK. Para adicionar uma conta de computador a esse grupo, clique em Tipos de objeto, marque a caixa de seleo Computadores e clique em OK. Em Digite os nomes de objeto a serem selecionados, digite o nome da conta de computador que voc deseja adicionar e, em seguida, clique em OK. Na caixa de dilogo Novo grupo, clique em Criar e, em seguida, clique em Fechar. 73

3. 4. 5. 6. 7.

8.

Contas de usurio e de computador

As contas de usurio e as contas de computador do Active Directory representam uma entidade fsica, como um computador ou uma pessoa. As contas de usurio tambm podem ser usadas como contas de servio dedicadas para alguns aplicativos. As contas de usurio e de computador (bem como os grupos) tambm so chamadas de objetos de segurana. Os objetos de segurana so objetos de diretrio aos quais os identificadores de segurana (SID) so atribudos automaticamente, e que podem ser usados para acessar recursos de domnio. Uma conta de usurio ou de computador usada para:

Autenticar a identidade de um usurio ou computador. Uma conta de usurio permite que o usurio faa logon em computadores e domnios com uma identidade que possa ser autenticada pelo domnio. Para obter mais informaes sobre autenticao, consulte Controle de acesso no Active Directory. Cada usurio que faz logon na rede deve ter sua prpria conta de usurio e senha exclusivas. Para maximizar a segurana, evite que vrios usurios compartilhem uma conta. Autorizar ou negar acesso a recursos de domnio. Depois que o usurio foi autenticado, seu acesso a recursos do domnio negado ou autorizado com base nas permisses explcitas atribudas ao usurio no recurso. Administrar outros objetos de segurana. O Active Directory cria um objeto de segurana externo no domnio local para representar cada objeto de segurana de um domnio externo confivel.. Auditar aes executadas usando a conta de usurio ou de computador. A auditoria pode ajudar a monitorar a segurana de contas. Para obter mais informaes sobre auditoria, consulte Viso geral sobre auditoria.

Contas de usurios
O recipiente Usurios, localizado em Usurios e Computadores do Active Directory, exibe trs contas de usurio internas: Administrador, Convidado e HelpAssistant. As contas de usurio internas so criadas automaticamente quando voc cria o domnio. Cada conta interna tem uma combinao diferente de direitos e permisses. A conta Administrador tem os direitos e permisses mais abrangentes sobre o domnio, enquanto a conta Convidado tem direitos e permisses limitados. A tabela a seguir descreve cada conta de usurio padro em controladores de domnio que executam o Windows Server 2003.

Conta padro

de

usurio

Descrio A conta de Administrador tem controle total do domnio e pode atribuir direitos do usurio e permisses de controle de acesso a usurios, conforme necessrio. Essa conta deve ser usada somente para tarefas que requerem 74

Conta Administrador

credenciais administrativas. altamente recomendvel que voc a configure para usar uma senha de alto nvel. A conta Administrador um membro padro dos grupos Administradores, Admins. do Domnio, Administrao de Empresa, Proprietrios Criadores de Diretiva de Grupo e Administradores de Esquemas no Active Directory. Essa conta nunca pode ser excluda ou removida do grupo Administradores, mas pode ser renomeada ou desabilitada. Como se sabe que a conta Administrador existe em vrias verses do Windows, os usurios maliciosos tero mais dificuldades para acess-la se voc renome-la ou desativ-la. A conta Administrador a primeira conta criada quando um novo domnio configurado usando o Assistente para instalao do Active Directory.

Importante Mesmo quando a conta Administrador est desabilitada, ela ainda poder ser usada para obter acesso a um controlador de domnio se voc usar o Modo de Segurana.

A conta Convidado usada por pessoas que no tm uma conta no domnio. Um usurio cuja conta est desabilitada (mas no excluda) tambm pode usar a conta Convidado. No necessrio ter senha para essa conta. Conta Convidado Voc pode definir direitos e permisses para a conta Convidado, exatamente como para qualquer conta de usurio. Por padro, a conta Convidado membro do grupo interno Convidados e do grupo global Convidados domnio, que permite que um usurio faa logon em um domnio. A conta Convidado desabilitada por padro e recomenda-se que permanea desabilitada. A conta primria usada para estabelecer uma sesso da Assistncia remota. Esta conta criada automaticamente quando voc solicita uma sesso da Assistncia remota e tem acesso limitado ao computador. A conta HelpAssistant gerenciada pelo servio Gerenciador de sesses da 'Ajuda' de rea de trabalho remota e ser excluda automaticamente se nenhuma solicitao da assistncia remota estiver pendente.

Conta HelpAssistant (instalada com uma sesso da Assistncia remota)

Protegendo contas de usurio

Se os direitos e permisses de contas internas no forem modificados ou desabilitados por um administrador de rede, podero ser usados por qualquer usurio (ou servio) mal-intencionado que faa logon ilegalmente em um domnio usando a identidade Administrador ou Convidado. Uma boa prtica de segurana para proteger essas contas renome-las ou desabilit-las. Como mantm o seu identificador de segurana (SID), a conta de usurio renomeada mantm todas as outras

75

propriedades, como descrio, senha, membros de grupo, perfil do usurio, dados da conta e todas as permisses e direitos de usurio atribudos. Para obter a segurana de autenticao e autorizao de usurio, crie uma conta de usurio individual para cada usurio que participar da rede usando Usurios e computadores do Active Directory. Cada conta de usurio (inclusive as contas Administrador e Convidado) pode ser adicionada a um grupo para controlar os direitos e permisses atribudos conta. O uso de contas e grupos apropriados sua rede garante que os usurios que fizerem logon em uma rede possam ser identificados e possam acessar somente os recursos permitidos. Voc pode ajudar a proteger seu domnio contra atacantes, requerendo senhas de alto nvel e implementando uma poltica de bloqueio de conta. As senhas de alto nvel reduzem o risco de adivinhaes inteligentes e ataques com dicionrio. Uma poltica de bloqueio de conta reduz a possibilidade de um ataque que comprometa o domnio por meio de tentativas de logon repetidas. Isso ocorre porque uma poltica de bloqueio de conta determina quantas tentativas de logon com falha podem ocorrer em uma conta de usurio antes que ela seja desabilitada.

Opes de conta
Cada conta de usurio do Active Directory tem uma srie de opes relacionadas segurana que determinam como algum que faa logon com uma determinada conta de usurio ser autenticado na rede. Voc pode usar as opes a seguir para configurar senhas e informaes especficas de segurana para contas de usurio:

Opo de conta

Descrio

O usurio deve Fora um usurio a alterar a senha na prxima vez que fizer logon na rede. Use alterar a senha no esta opo quando deseja garantir que o usurio ser a nica pessoa a conhecer prximo logon a senha. Impede que os usurios alterem suas senhas. Use esta opo quando desejar O usurio no pode manter o controle sobre uma conta de usurio, como uma conta de convidado alterar a senha ou temporria. A senha expira nunca Impede que uma senha do usurio expire. recomendvel que as contas de Servio tenham esta opo habilitada e usem senhas de alto nvel.

Armazenar senhas Permite que um usurio faa logon em uma rede Windows usando usando criptografia computadores Apple. Se o usurio no estiver fazendo logon de um reversvel computador Apple, no utilize esta opo. Conta desabilitada Impede que um usurio faa logon com a conta selecionada. Muitos administradores usam contas desabilitadas como modelos para contas de usurio comuns.

76

Requer que um usurio possua um carto inteligente para fazer logon na rede interativamente. O usurio tambm deve ter um leitor de carto inteligente O carto inteligente conectado ao computador e um nmero de identificao pessoal (PIN) vlido necessrio para o para o carto inteligente. Quando essa opo for selecionada, a senha para a logon interativo conta do usurio ser automaticamente definida com um valor complexo e aleatrio e a opo da conta A senha nunca expira ser definida. Para obter mais informaes sobre cartes inteligentes. Permite que um servio que est sendo executado sob esta conta execute operaes em nome de outras contas de usurio na rede. Um servio executado sob uma conta de usurio (tambm conhecido como conta de servio) que confivel para delegao pode representar um cliente para obter acesso a recursos no computador onde o servio est sendo executado ou em outros computadores. Em uma floresta definida com o nvel funcional de Windows Server 2003, esta configurao localiza-se na guia Delegao e s est disponvel para contas s quais foram atribudos nomes principais de A conta confivel servio (SPNs), conforme definidos usando o comando setspn das Ferramentas de suporte do Windows. um campo relacionado segurana e deve ser para delegao atribudo com cuidado. Esta opo s est disponvel em controladores de domnio executando Windows Server 2003 onde a funcionalidade de domnio definida como Windows 2000 misto ou Windows 2000 nativo. Em controladores de domnio que executam Windows Server 2003 onde o nvel funcional de domnio definido como Windows Server 2003, a guia Delegao usada para definir configuraes de delegao. A guia Delegao somente aparece para contas s quais foi atribudo um SPN. A conta sensvel Permite o controle sobre uma conta de usurio, como uma conta de convidado segurana e no ou temporria. Esta opo pode ser usada se esta conta no puder ser atribuda pode ser delegada para delegao por outra conta. Fornece suporte para o padro de criptografia de dados (DES). O DES fornece Use os tipos de suporte a vrios nveis de criptografia, inclusive o MPPE padro (40 bits), o criptografia DES MPPE padro (56 bits), o MPPE de alta segurana (128 bits), o DES IPSec (40 para esta conta bits), o DES IPSec de 56 bits e o IPSec Triple DES (3DES). No exigir autenticao Kerberos Fornece suporte para implementaes alternativas do protocolo Kerberos V5. pr- Os controladores de domnio que executam o Windows 2000 ou Windows Server 2003 podem usar outros mecanismos para sincronizar o tempo. Como a pr-autenticao fornece segurana adicional, tenha cuidado ao habilitar esta opo.

77

Contas InetOrgPerson
O Active Directory fornece suporte para a classe de objeto InetOrgPerson e seus atributos associados definidos na RFC 2798. A classe de objeto InetOrgPerson usada em vrios servios de diretrio LDAP e X.500 no-Microsoft para representar pessoas em uma organizao. O suporte para InetOrgPerson torna mais eficientes as migraes de outros diretrios LDAP para o Active Directory. O objeto InetOrgPerson derivado da classe de usurio e pode ser usado como objeto de segurana, assim como a classe de usurio. Para obter informaes sobre a criao de uma conta de usurio inetOrgPerson, consulte Crie uma nova conta de usurio. Quando o nvel de domnio funcional foi definido como Windows Server 2003, voc pode definir o atributo userPassword em InetOrgPerson e objetos de usurio como sendo a senha efetiva, assim como ocorre com o atributo unicodePwd.

Contas de computador
Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um servidor que executa Windows Server 2003 que se associa a um domnio tm uma conta de computador. Semelhantes a contas de usurio, as contas de computador fornecem um meio de autenticar e auditar o acesso do computador rede e aos recursos de domnio. Cada conta de computador deve ser exclusiva. Observao Computadores executando Windows 95 e Windows 98 no tm recursos de segurana avanados e no tm contas de computador atribudas a eles. As contas de usurio e computador so adicionadas, desabilitadas, redefinidas e excludas usando Usurios e Computadores do Active Directory. Uma conta de computador tambm pode ser criada quando voc inclui um computador em um domnio. Quando o nvel funcional de domnio foi definido como Windows Server 2003, um novo atributo lastLogonTimestamp usado para rastrear o ltimo horrio de logon de uma conta de usurio ou computador. Este atributo replicado no domnio e pode fornecer informaes importantes sobre o histrico de um usurio ou computador.

Controle de acesso no Active Directory

Os administradores podem usar o controle de acesso para gerenciar o acesso do usurio a recursos compartilhados por questes de segurana. No Active Directory, o controle de acesso administrado no nvel do objeto por meio da configurao de diversos nveis de acesso, ou permisses, aos objetos, como Controle Total, Gravao, Leitura ou Sem Acesso. O controle de acesso no Active Directory define como usurios distintos podem usar seus objetos. Por padro, no Active Directory, as permisses sobre os objetos so definidas com a configurao mais segura. Os elementos que definem as permisses de controle de acesso sobre os objetos no Active Directory incluem descritores de segurana, herana de objetos e autenticao do usurio.

Descritores de segurana
As permisses de controle de acesso so atribudas a objetos compartilhados e objetos do Active Directory com o objetivo de controlar como usurios diversos podem utilizar cada objeto. Um objeto 78

compartilhado, ou recurso compartilhado, um objeto destinado a ser usado em uma rede por um ou mais usurios, e inclui arquivos, impressoras, pastas e servios. Os objetos compartilhados e os objetos do Active Directory armazenam permisses de controle de acesso em descritores de segurana. Um descritor de segurana contm duas ACLs (listas de controle de acesso) usadas para atribuir e controlar informaes de segurana para cada objeto: a DACL (lista de controle de acesso discricional) e a SACL (lista de controle de acesso do sistema).

Listas de controle de acesso discricional (DACL). As DACLs identificam os usurios e os grupos cujas permisses de acesso a um objeto foram concedidas ou negadas. Se uma DACL no identificar explicitamente um usurio ou um grupo do qual o usurio membro, o usurio ter o acesso ao objeto negado. Por padro, uma DACL controlada pelo proprietrio de um objeto ou pela pessoa que criou o objeto. Ela contm ACEs (entradas de controle de acesso) que determinam o acesso do usurio ao objeto. Listas de controle de acesso ao sistema (SACL). As SACLs identificam os usurios e os grupos, que voc deseja auditar, cujo acesso a um objeto concedido ou negado. A auditoria usada para monitorar eventos relacionados segurana do sistema ou da rede, identificar violaes de segurana e determinar a extenso e o local de algum dano. Por padro, uma SACL controlada pelo proprietrio de um objeto ou pela pessoa que criou o objeto. Uma SACL contm entradas de controle de acesso (ACEs) que determinam se ser necessrio registrar uma tentativa bem ou malsucedida de um usurio em obter acesso a um objeto por meio de determinada permisso, como, por exemplo, Controle total ou Leitura.

Para exibir as DACLs e SACLs em objetos do Active Directory usando Usurios e Computadores do Active Directory, no menu Exibir, clique em Recursos Avanados para acessar a guia Segurana de cada objeto. Voc tambm pode usar a ferramenta de suporte DSACLS para gerenciar listas de controle de acesso no Active Directory. Por padro, as DACLs e SACLs so associadas a todos os objetos do Active Directory, o que reduz ataques rede por usurios mal-intencionados ou erros acidentais cometidos por usurios do domnio. Entretanto, se um usurio mal-intencionado obtiver o nome de usurio e a senha de alguma conta com credenciais administrativas para o Active Directory, a floresta ficar vulnervel a ataques. Por esse motivo, recomendvel renomear ou desabilitar a conta de administrador padro e seguir as prticas recomendadas o Active Directory.

Herana de objeto
Por padro, os objetos do Active Directory herdam ACEs do descritor de segurana localizado em seu respectivo objeto de recipiente. A herana habilita informaes de controle de acesso definidas em um objeto de recipiente no Active Directory a serem aplicadas aos descritores de segurana dos objetos subordinados, inclusive outros recipientes e seus objetos. Esse procedimento elimina a necessidade de aplicar permisses toda vez que um objeto filho criado. Se necessrio, voc poder alterar as permisses herdadas. Entretanto, como prtica recomendada, evite alterar as permisses padro ou as configuraes de herana dos objetos do Active Directory. Para obter mais informaes.

79

Autenticao do usurio
O Active Directory tambm autentica e autoriza usurios, grupos e computadores a acessarem objetos na rede. A LSA (autoridade de segurana local) responsvel pelo subsistema de segurana de todos os servios de autenticao e autorizao interativos do usurio em um computador local. A LSA tambm usada para processar solicitaes de autenticao efetuadas atravs do protocolo Kerberos V5 ou NTLM no Active Directory. Para obter mais informaes sobre a autenticao Kerberos V5. Depois que a identidade de um usurio confirmada no Active Directory, a LSA no controlador de domnio responsvel pela autenticao gera um smbolo de acesso do usurio e associa uma SID (identificao de usurio) ao usurio.

Smbolo de acesso. Quando um usurio autenticado, a LSA cria um smbolo de acesso de segurana para ele. Um smbolo de acesso contm o nome do usurio, os grupos aos quais o usurio pertence, um SID para o usurio e todos os SIDs dos grupos aos quais o usurio pertence. Se voc adicionar um usurio a um grupo depois que o smbolo de acesso for emitido, o usurio dever fazer logoff e logon novamente para que o smbolo de acesso seja atualizado. Identificao de segurana (SID) O Active Directory atribui SIDs automaticamente a objetos de segurana no momento em que eles so criados. Os objetos de segurana so contas do Active Directory que podem receber permisses, como contas de computador, de grupo ou de usurio. Depois de emitido para o usurio autenticado, o SID ser anexado ao smbolo de acesso do usurio.

As informaes contidas no smbolo de acesso so usadas para determinar o nvel de acesso aos objetos sempre que o usurio tentar acess-los. Os SIDs no smbolo de acesso so comparados com a lista de SIDs que compem a DACL do objeto para garantir que o usurio tenha permisso suficiente para acessar o objeto. Isso ocorre porque o processo de controle de acesso identifica as contas de usurio por SID e no por nome. Importante

Quando um controlador de domnio oferece um smbolo de acesso a um usurio, o smbolo contm apenas informaes sobre membros dos grupos de domnio local se esses grupos estiverem localizados no domnio do controlador. Para os objetos de diretrio de domnio replicados no catlogo global, esse fato requer certas consideraes de segurana. Para obter mais informaes.

80

Unidades organizacionais
Um tipo particularmente til de objeto de diretrio contido em domnios a unidade organizacional. As unidades organizacionais so recipientes do Active Directory nos quais voc pode inserir usurios, grupos, computadores e outras unidades organizacionais. Uma unidade organizacional no pode conter objetos de outros domnios. o menor escopo ou unidade qual voc pode atribuir configuraes de Diretiva de Grupo ou delegar autoridade administrativa. Ao usar unidades organizacionais, voc pode criar recipientes em um domnio que representam as estruturas hierrquicas e lgicas em sua organizao. Dessa forma, voc pode gerenciar a configurao e usar contas e recursos com base no seu modelo organizacional. Para obter mais informaes sobre configuraes de Diretiva de Grupo, consulte Diretiva de Grupo (pr-GPMC).

Como mostra a figura, as unidades organizacionais podem conter outras unidades organizacionais. Uma hierarquia de recipientes pode ser estendida conforme for necessrio para modelar a hierarquia de sua organizao em um domnio. O uso das unidades organizacionais vai ajud-lo a minimizar o nmero de domnios necessrios para a sua rede. Voc pode usar as unidades organizacionais para criar um modelo administrativo que possa ser dimensionado para qualquer tamanho. Um usurio pode ter autoridade administrativa para todas as unidades organizacionais em um domnio ou para uma nica unidade organizacional. Um administrador de uma unidade organizacional no precisa ter autoridade administrativa para outras unidades organizacionais no domnio. Para obter mais informaes sobre como delegar autoridade administrativa, consulte Delegando a administrao.

Delegando a administrao
Ao delegar a administrao, voc pode atribuir algumas tarefas administrativas aos usurios e grupos apropriados. possvel atribuir tarefas administrativas bsicas a usurios ou grupos normais, e deixar a administrao de todo o domnio ou de toda a floresta para membros dos grupos Admins. do 81

Domnio e Administrao de empresa. Ao delegar a administrao, voc pode permitir que grupos em sua organizao tenham mais controle sobre seus recursos de rede locais. Tambm pode ajudar a proteger sua rede de danos acidentais ou intencionais, limitando a participao em grupos de administrador. Voc pode delegar o controle administrativo de qualquer nvel de uma rvore de domnio criando unidades organizacionais em um domnio e delegando o controle administrativo de unidades organizacionais especficas a determinados usurios ou grupos. Para decidir-se sobre quais unidades organizacionais voc deseja criar e quais devem conter contas ou recursos compartilhados, leve em considerao a estrutura da sua organizao. Por exemplo, talvez voc deseje criar uma unidade organizacional que lhe permita atribuir a um usurio o controle administrativo de todas as contas de usurio e de computador em todas as filiais de um departamento, como Recursos Humanos. Ou talvez atribuir a um usurio o controle administrativo somente de alguns recursos em um departamento, como, por exemplo, contas de computador. Outra delegao possvel de controle administrativo seria atribuir a um usurio o controle administrativo da unidade organizacional Recursos Humanos, mas no o das unidades organizacionais nela contidas. O Active Directory define permisses e direitos de usurio especficos que podem ser usados com o propsito de delegar ou restringir o controle administrativo. Ao usar uma combinao de unidades organizacionais, grupos e permisses, voc pode definir o escopo administrativo mais apropriado para uma determinada pessoa, que poderia ser um domnio inteiro, todas as unidades organizacionais em um domnio ou uma nica unidade organizacional. O controle administrativo pode ser atribudo a um usurio ou grupo usando o Assistente para delegao de controle ou pelo console Gerenciador de autorizao. As duas ferramentas permitem atribuir direitos ou permisses a usurios ou grupos especficos. Por exemplo, voc pode conceder a um usurio permisses para modificar a propriedade Proprietrio de contas, sem lhe conceder o direito de excluir contas dessa unidade organizacional. O Assistente para delegao de controle, como sugere o nome, permite delegar tarefas administrativas usando um assistente que o orienta durante todo o processo. O Gerenciador de Autorizao um Microsoft Management Console (MMC) que tambm permite delegar a administrao. O Gerenciador de autorizao fornece mais flexibilidade do que o Assistente para delegao de controle, ao custo de maior complexidade. Para obter mais informaes sobre como usar o Assistente para Delegao de Controle, consulte Delegar o controle. Para obter mais informaes sobre como usar o Gerenciador de Autorizao, consulte Gerenciador de Autorizao.

Delegando a administrao com segurana

Delegue a administrao com cuidado e documente todas as atribuies delegadas. Antes de delegar tarefas, garanta um treinamento adequado para os usurios que recebero o controle administrativo de objetos. Para revisar os conceitos de segurana do Active Directory, incluindo permisses e herana. Para obter mais informaes sobre como delegar administrao com segurana.

82

Personalizando consoles MMC para grupos especficos

Voc pode usar opes do MMC para criar uma verso de uso limitado de um snap-in como Usurios e Computadores do Active Directory. Isso permite que os administradores controlem as opes disponveis aos grupos para os quais voc delegou responsabilidades administrativas, restringindo o acesso a operaes e a reas nesse console personalizado. Por exemplo, suponha que voc delegue o direito de gerenciar impressoras para o grupo PrintManagers na unidade organizacional do fabricante. Para simplificar a administrao, voc pode criar um console personalizado para ser usado por membros do grupo PrintManagers que contm somente a unidade organizacional do fabricante e restringe o escopo do console usando os modos do console. Este tipo de delegao tambm aperfeioada pelas configuraes de Diretivas de Grupo disponveis para o MMC. Essas configuraes permitem que o administrador determine quais snapins do MMC podem ser executados por um usurio especfico. As configuraes podem ser inclusivas, permitindo que um conjunto de snap-ins seja executado, ou podem ser exclusivas, restringindo o conjunto de snap-ins a ser executado.

Usando Diretivas de Grupo para publicar e atribuir consoles personalizados

Ao usar Diretivas de Grupo, voc pode distribuir um console personalizado para grupos especficos usando um dos dois modos: publicao ou atribuio. Publicar um console personalizado faz com que o console seja anunciado aos membros de um grupo especificado na configurao da Diretiva de Grupo, adicionando o console lista de programas disponveis em Adicionar ou remover programas. Da prxima vez em que os membros do grupo abrirem Adicionar ou remover programas, eles tero a opo de instalar o novo console. Atribuir (em oposio a publicar) um console fora o console a ser instalado automaticamente em todas as contas especificadas. Para publicar ou atribuir um console, crie ou modifique um objeto de Diretiva de Grupo e aplique-o ao grupo de usurios apropriado. Em seguida, use a extenso Instalao de software do snap-in Diretiva de Grupo para publicar ou atribuir o console. Importante

O console deve ser inserido no pacote antes que o snap-in Instalao de software seja usado. Voc pode usar uma ferramenta como o Windows Installer para incluir o console personalizado no pacote. Depois de executar esse procedimento, voc pode configurar o snap-in Instalao de software para publicar ou atribuir o pacote criado recentemente. Para obter mais informaes sobre como inserir um aplicativo em pacote. Se o console personalizado que voc est incluindo no pacote usa um snap-in que no est instalado na estao de trabalho de destino ou no servidor para o usurio publicado ou atribudo, ser necessrio incluir o arquivo de snap-in e o registro do arquivo no pacote. Voc pode criar um pacote separado que contm o snap-in ou adicionar o snap-in durante a criao do pacote do console personalizado de forma que ele ser instalado corretamente no computador sempre que um usurio instalar o pacote do console.

Observao

Se um usurio tiver feito logon no seu computador no momento em que um objeto de Diretiva de Grupo aplicado sua conta, o usurio no ver o console publicado ou atribudo at que faa logoff e, em seguida, logon.

83

Viso geral sobre diretiva de grupo

As configuraes de diretiva de grupo definem os vrios componentes do ambiente de rea de trabalho do usurio que o administrador do sistema precisa gerenciar, por exemplo, os programas que esto disponveis para usurios, os programas que aparecem na rea de trabalho do usurio e as opes do menu Iniciar. Para criar uma configurao de rea de trabalho especfica referente a um grupo especfico de usurios, use o Editor de objeto de diretiva de grupo. As configuraes de diretiva de grupo especificadas esto contidas em um objeto de diretiva de grupo, que, por sua vez, est associado aos objetos selecionados do Active Directory sites, domnios ou unidades organizacionais. A diretiva de grupo se aplica no apenas a usurios e computadores clientes, mas tambm a servidores membros, a controladores de domnio e a qualquer computador com o Microsoft Windows 2000 dentro do escopo de gerenciamento. Por padro, a diretiva de grupo aplicada a um domnio (ou seja, aplicada no nvel do domnio, logo acima da raiz de Usurios e computadores do Active Directory) afetar todos os computadores e usurios no domnio. Usurios e computadores do Active Directory tambm fornece uma unidade organizacional de controladores de domnio interna. Se voc mantiver as contas de controlador de domnio aqui, poder usar a diretiva de controladores de domnio padro do objeto de diretiva de grupo para gerenciar os controladores de domnio separadamente dos outros computadores. A diretiva de grupo inclui as configuraes de diretiva para Configurao do usurio, as quais afetam os usurios, e para Configurao do computador, as quais afetam os computadores. Para obter mais informaes, consulte Configurao do usurio e Configurao do computador.

Diretiva de grupo
Voc pode usar a Diretiva de grupo para gerenciar os recursos includos na famlia Microsoft Windows Server 2003, como Instalao de software da diretiva de grupo, Modelos administrativos, Redirecionamento de pastas, Servios de instalao remota, Configuraes de segurana, Scripts (Inicializar/Desligar e fazer Logon/Logoff) e Manuteno do Internet Explorer.

84

Com a diretiva de grupo, voc pode fazer o seguinte: Gerenciar a diretiva baseada no Registro com modelos administrativos. A diretiva de grupo cria um arquivo que contm as configuraes do Registro gravadas na parte de mquina local ou de usurio do banco de dados do Registro. As configuraes de perfil de usurio especficas a um usurio que faz logon em uma determinada estao de trabalho ou servidor so gravadas no Registro em HKEY_CURRENT_USER (HKCU) e as configuraes especficas do computador so gravadas em HKEY_LOCAL_MACHINE (HKLM). Para obter informaes sobre o procedimento, consulte Usar modelos administrativos. Para obter detalhes tcnicos, consulte "Implementing Registry-based Policy" no site Microsoft. (http://msdn.microsoft.com/) Atribuir scripts. Inclui scripts como inicializao do computador, desligamento, logon e logoff. Para obter mais informaes, consulte Usar scripts de inicializao, desligamento, logon e logoff. Redirecionar pastas. possvel redirecionar pastas, como Meus documentos e Minhas imagens, a partir da pasta Documents and Settings no computador local para locais de rede. Para obter mais informaes sobre redirecionamento de pasta, consulte Usar redirecionamento de pasta. Gerenciar aplicativos. Com a diretiva de grupo, possvel atribuir, publicar, atualizar ou reparar aplicativos usando a instalao do software de diretiva de grupo. Para obter mais informaes, consulte Usar a instalao do software de diretiva de grupo. Especificar opes de segurana. Para saber sobre como configurar as opes de segurana, consulte Configuraes de segurana. 85

Objetos de diretiva de grupo que existem por padro

Cada computador que executa o sistema operacional Windows 2000, Microsoft Windows XP Professional ou os sistemas operacionais de servidor Windows Server 2003 tem exatamente um objeto de diretiva de grupo armazenado localmente. Esse objeto de diretiva de grupo local contm um subconjunto das configuraes disponveis em objetos de diretiva de grupo no locais. Para obter mais informaes, consulte Diretiva de grupo local. Por padro, quando o Active Directory instalado, dois objetos de diretiva de grupo no locais so criados: O objeto de diretiva de domnio padro est vinculado ao domnio e afeta todos os usurios e computadores do domnio (incluindo os computadores que so controladores de domnio) atravs da herana de diretiva. Para obter mais informaes, consulte Herana de diretiva. O objeto de diretiva de controladores de domnio padro est vinculado unidade organizacional de controladores de domnio e, geralmente, afeta apenas os controladores de domnio, pois as contas de computador dos controladores de domnio so mantidas exclusivamente na unidade organizacional de controladores de domnio. Cuidado Se voc mover um controlador de domnio para fora da unidade organizacional de controladores de domnio, a diretiva de controladores de domnio padro no ser mais aplicada. Se voc precisa manter um controlador de domnio em outra unidade organizacional, vincule a diretiva de controladores de domnio padro a essa unidade organizacional.

Como e quando a diretiva de grupo aplicada

Para exibir um cronograma detalhado da aplicao de diretiva, consulte Ordem de eventos na inicializao e no logon.

Diretiva de computador e de usurio

As configuraes de diretiva do usurio esto localizadas em Configurao do usurio na diretiva de grupo e so obtidas quando um usurio faz logon. As configuraes de diretiva do computador esto localizadas em Configurao do computador e so obtidas quando um computador inicializado. Para obter mais informaes, consulte Configurao do usurio e Configurao do computador. Computadores e Usurios so os nicos tipos de objetos do Active Directory que recebem a diretiva. Especificamente, a diretiva no se aplica a grupos de segurana. Em vez disso, por motivos de desempenho, os grupos de segurana so usados para filtrar a diretiva atravs de uma entrada de controle de acesso (ACE) Aplicar diretiva de grupo, que pode ser definida como Permitir ou Negar, ou no ser configurada. Para obter mais informaes, consulte Para filtrar o escopo de diretiva de grupo de acordo com a participao no grupo de segurana.

Ordem de aplicao
As diretivas so aplicadas nesta ordem: 86

1. 2. 3. 4.

O objeto de diretiva de grupo local exclusivo. Objetos de diretiva de grupo de site, na ordem especificada de forma administrativa. Objetos de diretiva de grupo de domnio, na ordem especificada de forma administrativa. Objetos de diretiva de grupo de unidade organizacional, da maior unidade organizacional para a menor (unidade organizacional pai para filho), e na ordem especificada de forma administrativa no nvel de cada unidade organizacional.

Para obter mais informaes, consulte Ordem das configuraes de processamento. Por padro, as diretivas aplicadas posteriormente substituiro as diretivas previamente aplicadas se houver inconsistncia entre elas. Entretanto, se as diretivas no forem inconsistentes, as diretivas anteriores e posteriores iro contribuir para a diretiva em vigor. Para obter mais informaes, consulte Precedncia de diretiva de grupo.

Filtrando a diretiva por participao no grupo de segurana

Uma ACE do grupo de segurana em um objeto de diretiva de grupo pode ser definida como No configurada (sem preferncia), Permitida ou Negada. A opo Negada tem precedncia sobre Permitida. Para obter mais informaes, consulte Para filtrar o escopo de diretiva de grupo de acordo com a participao no grupo de segurana.

Bloqueando a herana de diretiva

As diretivas que seriam, de outra maneira, herdadas de sites, domnios ou unidades organizacionais superiores podem ser bloqueadas no nvel do site, domnio ou unidade organizacional. Para obter mais informaes, consulte Para bloquear a herana de diretiva.

Aplicando a diretiva desde cima

Voc pode definir diretivas que, de outra forma, seriam substitudas por diretivas em unidades organizacionais filho como No substituir no nvel do objeto de diretiva de grupo. Para obter mais informaes, consulte Para impedir que um objeto de diretiva de grupo seja substitudo. Observaes As diretivas definidas como No substituir no podem ser bloqueadas. As opes No substituir e Bloquear devem ser usadas com moderao. O uso imprudente desses recursos avanados dificultar a soluo de problemas. Para obter dicas sobre como usar a diretiva de grupo, consulte Soluo de problemas e Prticas recomendadas

Diretivas locais e de conta

Todas as diretivas de segurana so baseadas em computador. Esta seo contm explicaes sobre as diretivas de conta e as diretivas locais.

87

Diretivas de conta
Apesar de as diretivas de conta serem definidas em computadores, elas afetam o modo como as contas de usurio podem interagir com o computador ou o domnio. As diretivas de conta contm trs subconjuntos: Diretiva de senha. Usada para contas de domnio ou de usurio local. Determina configuraes para senhas, como aplicao e vida til. As diretivas de senha so utilizadas em contas de domnio e em contas de usurio locais. Elas determinam as configuraes das senhas, como aplicao e vida til. Esta seo aborda os seguintes tpicos: Aplicar histrico de senhas Essa configurao de segurana determina o nmero de senhas novas e exclusivas que precisam ser associadas a uma conta de usurio antes que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas. Esta diretiva permite que os administradores aprimorem a segurana garantido que as senhas antigas no sejam reutilizadas continuamente. Ative a configurao da diretiva de segurana Durao mnima da senha para evitar que as senhas sejam alteradas logo aps terem sido modificadas a fim de manter a eficincia do histrico de senhas. Durao mnima da senha Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha pode ser utilizada antes de o sistema solicitar ao usurio a sua alterao. possvel configurar senhas para expirar aps um intervalo entre 1 e 999 dias, ou especificar que as senhas nunca expiraro definindo o nmero de dias igual a 0. Se a durao mxima da senha estiver entre 1 e 999 dias, Durao mnima da senha deve ser menor que a durao mxima da senha. Se a durao mxima da senha for igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998 dias. Observao uma prtica recomendada de segurana configurar senhas para expirar a cada 30 a 90 dias, dependendo do ambiente. Desse modo, um invasor tem um tempo limitado para descobrir a senha do usurio e acessar os recursos da sua rede. Durao mnima da senha Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha deve ser utilizada antes que o usurio possa alter-la. Voc pode definir um valor entre 1 e 998 dias, ou pode permitir alteraes imediatas definindo o nmero de dias como 0. A durao mnima da senha deve ser menor que a Durao mxima da senha, a menos que esta seja configurada como 0, indicando que as senhas nunca expiram. Se a durao mxima da senha for igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998. Configure a durao mnima da senha para ser superior a 0 se voc desejar que Aplicar histrico de senhas seja implementado. Sem uma durao mnima da senha, os usurios podem percorrer as senhas repetidas vezes at chegarem a uma antiga de sua preferncia. A configurao padro no segue essa recomendao de modo que um administrador possa especificar uma senha para um 88

usurio e depois exigir que este altere a senha definida pelo administrador quando fizer logon. Se o histrico de senhas for definido como 0, o usurio no precisar escolher uma nova senha. Por esse motivo, Aplicar histrico de senhas definido por padro como 1.

Comprimento mnimo da senha Essa configurao de segurana determina o menor nmero de caracteres que a senha de uma conta de usurio pode conter. Voc pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que no necessrio senha definindo o nmero de caracteres como 0. A senha deve satisfazer a requisitos de complexidade Essa configurao de segurana determina se as senhas devem satisfazer a requisitos de complexidade. Se esta diretiva estiver ativada, as senhas precisaro atender aos seguintes requisitos mnimos: No conter todo ou parte do nome da conta do usurio Ter pelo menos seis caracteres de comprimento Conter caracteres de trs das quatro categorias a seguir: Caracteres maisculos do ingls (A-Z) Caracteres minsculos do ingls (a-z) 10 dgitos bsicos (0-9) Caracteres no-alfabticos (por exemplo, !, $, #, %) Os requisitos de complexidade so impostos quando as senhas so criadas ou alteradas. Armazenar senhas usando criptografia reversvel Essa configurao de segurana determina se o sistema operacional armazena senhas usando criptografia reversvel. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usurio para fins de autenticao. Armazenar senhas usando criptografia reversvel basicamente o mesmo que armazenar verses das senhas em texto sem formatao. Por esse motivo, a diretiva jamais deve ser ativada, a menos que os requisitos de aplicativo sejam mais importantes que a necessidade de proteger as informaes sobre senha. Essa diretiva necessria no uso da autenticao protocolo de autenticao de handshake de desafio (CHAP) atravs de acesso remoto ou de servios de autenticao de Internet (IAS). Ela tambm necessria quando a autenticao Digest usada em IIS (servios de informaes da Internet).

Definindo essa configurao de segurana

Diretiva de bloqueio de conta. Usada para contas de domnio ou de usurio local. Determina as circunstncias e o perodo de tempo em que uma conta ficar bloqueada fora do sistema. As diretivas de bloqueio de conta so utilizadas em contas de domnio e em contas de usurio locais. 89

Elas determinam as circunstncias e o perodo de tempo pelos quais uma conta ficar bloqueada no sistema. Esta seo aborda os seguintes tpicos: Durao do bloqueio de conta Essa configurao de segurana determina quantos minutos uma conta permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo disponvel de 1 a 99.999 minutos. Se voc definir a durao do bloqueio de conta como 0, a conta permanecer bloqueada at ser explicitamente desbloqueada por um administrador. Caso seja definido um limite de bloqueio de conta, a sua durao dever ser superior ou igual ao tempo de redefinio. Limite de bloqueio de conta Essa configurao de segurana determina o nmero de tentativas de logon com falha que causa o bloqueio de uma conta de usurio. Uma conta bloqueada no pode ser usada at ser redefinida por um administrador ou at o perodo de bloqueio da conta expirar. possvel definir um valor entre 0 e 999 tentativas de logon malsucedidas. Se voc definir o valor como 0, a conta nunca ser bloqueada. As tentativas invlidas de introduo de senhas em estaes de trabalho ou servidores membros que tenham sido bloqueadas pelo uso de CTRL+ALT+DELETE ou protees de tela protegidas por senha so consideradas tentativas invlidas de introduo de senhas. Zerar contador de bloqueios de conta aps Essa configurao de segurana determina quantos minutos devem decorrer entre uma tentativa de logon malsucedida e a redefinio do contador de tentativas como 0 tentativas de logon invlidas. O intervalo disponvel de 1 a 99.999 minutos. Caso seja definido um limite de bloqueio de conta, o tempo de redefinio dever ser inferior ou igual Durao do bloqueio de conta. Padro: Nenhum. Essa configurao de diretiva s tem sentido quando um Limite de bloqueio de conta especificado.

Diretiva Kerberos. Usada para contas de usurio de domnio. Determina as configuraes relacionadas a Kerberos, como a aplicao e vida til de permisso. As diretivas do Kerberos no existem na diretiva do computador local. Para contas de domnio, pode haver somente uma diretiva de conta. A diretiva de conta deve ser definida na diretiva do domnio padro e aplicada pelos controladores de domnio que compem o domnio. Um controlador de domnio sempre obtm a diretiva de conta do objeto de diretiva de 90

grupo do domnio padro, mesmo se houver uma diretiva de conta diferente aplicada unidade organizacional que contm o controlador de domnio. Por padro, as estaes de trabalho e servidores que tenham ingressado em um domnio (como computadores membro) tambm recebero a mesma diretiva de conta para suas contas locais. As diretivas de contas locais, contudo, podem ser diferentes da diretiva de conta do domnio, como quando voc define uma diretiva de conta especificamente para as contas locais. Existem duas diretivas nas opes de segurana que tambm se comportam como diretivas de conta. So elas: Acesso rede: permitir SID annimo/converso de nomes Segurana de rede: forar logoff quando o horrio de logon terminar

Diretivas locais
Essas diretivas se aplicam a um computador e contm estes subconjuntos: Diretiva de auditoria. Determina se os eventos de segurana sero registrados no log de segurana no computador. Estabelece tambm se sero registradas as tentativas bemsucedidas, tentativas sem xito ou ambas. (O log de segurana faz parte da ferramenta Visualizar eventos). Atribuio de direitos de usurio. Determina quais usurios ou grupos tm direitos ou privilgios de logon no computador. Opes de segurana. Ativa ou desativa as configuraes de segurana do computador, como a assinatura digital de dados, nomes de conta de administrador e convidado, acesso a unidades de disquete e CD-ROM, instalao de driver e prompts de logon. Como um computador pode ter mais de uma diretiva aplicada a ele, possvel existir conflitos em configuraes de diretiva de segurana. A ordem de precedncia da mais alta para a mais baixa unidade organizacional, domnio e computador local. Para obter mais informaes, consulte Aplicando configuraes de segurana com a diretiva de grupo.

91

Diretiva de auditoria
Antes de implementar diretivas de auditoria, decida quais categorias de eventos voc deseja auditar. As configuraes de auditoria escolhidas para as categorias de eventos definem a diretiva de auditoria. Em servidores e estaes de trabalho participantes que fazem parte de um domnio, as configuraes de auditoria das categorias de eventos no so definidas por padro. Em controladores de domnio, a auditoria permanece desativada por padro. Definindo configuraes de auditoria para categorias de eventos especficas, voc poder criar uma diretiva de auditoria adequada s necessidades de segurana da empresa.

92

As categorias de eventos que podem ser escolhidas para auditoria so: Auditoria de eventos de logon de conta Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia de logon ou logoff do usurio em outro computador na qual esse computador seja usado para validar a conta. Eventos de logon de conta so gerados quando uma conta de usurio do domnio autenticada em um controlador de domnio. O evento registrado no log de segurana do controlador de domnio. Os eventos de logon so gerados quando um usurio local autenticado em um computador local. O evento registrado no log de segurana local. Eventos de logoff de conta no so gerados. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando uma tentativa de logon de conta bem-sucedida. As auditorias sem xito geram uma entrada de auditoria quando uma tentativa de logon de conta apresenta falhas. Caso seja ativada a auditoria com xito para eventos de logon de conta em um controlador de domnio, haver uma entrada no log para cada usurio que seja validado nesse controlador de domnio, embora o usurio esteja na realidade fazendo logon em uma estao de trabalho contida no domnio. Auditoria de gerenciamento de contas Essa configurao de segurana determina se deve ser feita a auditoria de cada evento de gerenciamento de conta de um computador. Os exemplos de eventos de gerenciamento de conta incluem: Um grupo ou conta de usurio ser criado, alterado ou excludo. Uma conta de usurio ser renomeada, desativada ou ativada. Uma senha ser definida ou alterada. Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando qualquer evento de gerenciamento de conta bem-sucedido. As auditorias sem xito geram uma entrada de auditoria quando qualquer evento de gerenciamento de conta apresenta falhas. Para definir este valor como Sem auditoria, na caixa de dilogo Propriedades dessa configurao de diretiva, marque a caixa de seleo Definir estas configuraes de diretiva e desmarque as caixas de seleo Sucesso e Falha. Auditoria de acesso ao servio de diretrio Essa configurao de segurana determina se ser feita auditoria no evento de acesso de um usurio a um objeto do Active Directory que tenha a sua prpria lista de controle de acesso do sistema (SACL) especificada. Por padro, esse valor definido como sem auditoria no objeto de diretiva de grupo (GPO) do controlador de domnio padro e permanece indefinido para estaes de trabalho e servidores onde a diretiva no tem sentido. Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando um usurio tenta acessar com xito um objeto do Active 93

Directory que tem uma SACL especificada. As auditorias sem xito geram uma entrada de auditoria quando um usurio tenta acessar sem xito um objeto do Active Directory que tem uma SACL especificada. Para definir este valor como Sem auditoria, na caixa de dilogo Propriedades dessa configurao de diretiva, marque a caixa de seleo Definir estas configuraes de diretiva e desmarque as caixas de seleo Sucesso e Falha. Observe que voc pode definir uma SACL em um objeto do Active Directory usando a guia Segurana na caixa de dilogo Propriedades desse objeto. Isso equivale diretiva Auditoria de acesso a objetos, com exceo de que se aplica somente a objetos do Active Directory e no a objetos do sistema de arquivos e Registro. Auditoria de eventos de logon Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia de logon ou logoff de um usurio em um computador. Eventos de logon de conta so gerados nos controladores de domnio para a atividade das contas do domnio e nos computadores locais para a atividade das contas locais. Se ambas as categorias de diretiva - logon de conta e auditoria de logon - forem ativadas, os logons que usam uma conta de domnio geram um evento de logon ou logoff na estao de trabalho ou no servidor e geram um evento de logon de conta no controlador do domnio. Alm disso, logons interativos em um servidor participante ou em uma estao de trabalho que usa uma conta de domnio gera um evento de logon no controlador do domnio medida que scripts e diretivas de logon so recuperadas quando um usurio faz logon. Para obter mais informaes sobre eventos de logon de conta, consulte Auditoria de eventos de logon de conta. Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando uma tentativa de logon bem-sucedida. As auditorias sem xito geram uma entrada de auditoria quando uma tentativa de logon apresenta falhas. Auditoria de acesso a objetos Essa configurao de segurana determina se deve ser feita a auditoria do evento de acesso de um usurio a um objeto por exemplo, um arquivo, uma pasta, uma chave do Registro, uma impressora, etc. que tenha sua prpria lista de controle de acesso do sistema (SACL) especificada. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. Auditorias bem-sucedidas geram uma entrada de auditoria quando um usurio acessa com xito um objeto que possui uma SACL especificada. As auditorias sem xito geram uma entrada de auditoria quando um usurio tenta acessar sem xito um objeto que tem uma SACL especificada.

Auditoria de alterao de diretivas Essa configurao de segurana determina se deve ser feita a auditoria de todas as instncias de alterao em diretivas de atribuio de direitos do usurio, diretivas de auditoria ou diretivas de confiana. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com 94

xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando uma alterao em diretivas de atribuio de direitos do usurio, de auditoria ou de confiana bem-sucedida. As auditorias sem xito geram uma entrada de auditoria quando uma alterao nessas diretivas apresenta falhas. Auditoria de uso de privilgios Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia do uso de um direito do usurio. Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando a utilizao de um direito do usurio bem-sucedida. As auditorias sem xito geram uma entrada de auditoria quando essa utilizao apresenta falhas. No so geradas auditorias para o uso dos seguintes direitos do usurio, mesmo que auditorias com ou sem xito estejam especificadas em Auditoria de uso de privilgios: A ativao de auditoria para esses direitos do usurio tendem a gerar muitos eventos no log de segurana, podendo degradar o desempenho do computador. Para auditar os direitos de usurio a seguir, ative a chave do Registro FullPrivilegeAuditing. Ignorar a verificao completa Depurar programas Criar um objeto token Substituir identificador de nvel de processo Gerar auditoria de segurana Fazer backup de arquivos e pastas Restaurar arquivos e pastas Cuidado A edio incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o Registro, faa backup de todos os dados importantes do computador. Auditoria de controle de processos Essa configurao de segurana determina se deve ser feita a auditoria de informaes de controle de eventos detalhadas, como ativao de programas, trmino de processo, duplicao de identificador e acesso indireto a objeto. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito geram uma entrada de auditoria quando o processo controlado bem-sucedido. As auditorias sem xito geram uma entrada de auditoria quando o processo controlado apresenta falhas. Auditoria de eventos de sistema Essa configurao de segurana determina se deve ser feita a auditoria quando um usurio reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurana do sistema ou o log de segurana. Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. Auditorias com xito geram uma entrada de auditoria quando a execuo de um evento do sistema bem-sucedida. 95 Auditorias sem xito geram uma entrada de auditoria quando uma tentativa de evento do sistema apresenta falhas.

Viso geral sobre logs e alertas de desempenho

Com Logs e alertas de desempenho, voc pode coletar automaticamente dados de desempenho de computadores locais ou remotos. Voc pode visualizar os dados de contador registrados em log usando o Monitor do sistema ou export-lo para programas de planilha ou banco de dados, para fins de anlise e gerao de relatrios. A lista a seguir explica os recursos do servio Logs e alertas de desempenho: Na famlia Microsoft Windows Server 2003, h uma nova capacidade de executar coletas de logs a partir de diferentes contas. Por exemplo, se voc precisar fazer o log de dados em um computador remoto que necessite de credenciais administrativas, especifique uma conta com as credenciais necessrias. Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios de Monitor de desempenho. A famlia Windows Server 2003 oferece suporte a arquivos de log superiores a 1 GB e, com o novo formato de arquivo de log, voc pode acrescentar os dados de desempenho a um arquivo de log j existente. Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a importao por programas de planilha. fornecido tambm um formato binrio de arquivo para log circular ou para ocorrncias de log, como segmentos ou processos, que podem comear depois que o log inicia a coleta de dados (O registro em log circular o processo de registro contnuo de dados em um nico arquivo, sobrescrevendo os dados anteriores com novos dados.) Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o nome de um banco de dados SQL e conjunto de logs existentes dentro do banco de dados em que os dados de desempenho sero lidos ou gravados. Esse formato de arquivo til ao coletar e analisar dados de desempenho de toda a empresa, em vez de computador por computador. O log de dados diretamente em um banco de dados SQL tem suporte da ODBC (conectividade aberta de banco de dados). Os dados do contador coletados por Logs e alertas de desempenho podem ser visualizados durante a coleta ou aps seu trmino. Como o log funciona da mesma maneira que um servio, a coleta de dados ocorre independentemente de um usurio estar conectado ou no ao computador que est sendo monitorado. Voc pode definir os momentos de incio e parada, nomes de arquivos, tamanhos de arquivo e outros parmetros para a gerao automtica do log. Voc pode gerenciar vrias sesses de log em uma nica janela de console. Voc pode definir um alerta em um contador, especificando que uma mensagem seja enviada, um programa seja executado e uma entrada seja feita no log de eventos do aplicativo ou um log seja iniciado quando o valor do contador selecionado for superior ou inferior a uma configurao especificada. Da mesma forma que o Monitor do sistema, o servio Logs e alertas de desempenho d suporte definio de objetos de desempenho, contadores de desempenho e instncias do objeto de 96

desempenho. Tambm d suporte definio de intervalos de amostragem para monitorar os dados sobre recursos de hardware e servios do sistema. O servio Logs e alertas de desempenho tambm oferece outras opes relacionadas ao registro de dados de desempenho: Iniciar e parar o log manualmente, por demanda ou automaticamente, com base em um agendamento definido pelo usurio. Definir configuraes adicionais para log automtico, como renomear o arquivo automaticamente e definir parmetros para parar ou iniciar um arquivo de log com base no tempo decorrido ou no tamanho do arquivo. Criar logs de rastreamento. Usando o provedor de dados padro da famlia de produtos Windows Server 2003 ou outro provedor de aplicativos, os logs de rastreamento registram detalhadamente os eventos de aplicativos do sistema, quando ocorrem certas atividades, como uma operao de E/S de disco ou uma falha de pgina. Quando o evento ocorre, o sistema operacional registra os dados do sistema em um arquivo de log especificado pelo servio Logs e alertas de desempenho. Isso difere da operao dos logs de contadores. Quando eles esto em uso, o servio obtm dados do sistema no fim do intervalo de atualizao, em vez de esperar por um evento especfico. Uma ferramenta de anlise necessria para interpretar o resultado do log de rastreamento. Os desenvolvedores podem criar essa ferramenta usando interfaces para programao de aplicativos (APIs) fornecidas na MSDN Library site da Microsoft (http://www.microsoft.com/). Voc tambm pode produzir relatrios de anlise de rastreamento a partir de arquivos de sada de logs de rastreamento usando a ferramenta Tracerpt. Use-a para processar logs do kernel, do Active Directory e outros logs de eventos de rastreamento baseados em transaes, e para gerar relatrios de anlises e arquivos .csv a partir de logs binrios. Definir um programa que seja executado quando um log for parado. Se voc desejar exportar dados do log para o Microsoft Excel, o servio de logs e alertas de desempenho dever ser parado, porque o Microsoft Excel exige acesso exclusivo ao arquivo de log. No se conhece nenhum outro programa que exija esse acesso exclusivo. Portanto, voc geralmente pode trabalhar com dados de um arquivo de log enquanto o servio estiver coletando dados para esse arquivo.

Viso geral sobre logs e alertas de desempenho

Com Logs e alertas de desempenho, voc pode coletar automaticamente dados de desempenho de computadores locais ou remotos. Voc pode visualizar os dados de contador registrados em log usando o Monitor do sistema ou export-lo para programas de planilha ou banco de dados, para fins de anlise e gerao de relatrios. A lista a seguir explica os recursos do servio Logs e alertas de desempenho: Na famlia Microsoft Windows Server 2003, h uma nova capacidade de executar coletas de logs a partir de diferentes contas. Por exemplo, se voc precisar fazer o log de dados em um computador remoto que necessite de credenciais administrativas, especifique uma conta com as credenciais necessrias. Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios de Monitor de desempenho. 97

 A famlia Windows Server 2003 oferece suporte a arquivos de log superiores a 1 GB e, com o novo formato de arquivo de log, voc pode acrescentar os dados de desempenho a um arquivo de log j existente. Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a importao por programas de planilha. fornecido tambm um formato binrio de arquivo para log circular ou para ocorrncias de log, como segmentos ou processos, que podem comear depois que o log inicia a coleta de dados (O registro em log circular o processo de registro contnuo de dados em um nico arquivo, sobrescrevendo os dados anteriores com novos dados.) Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o nome de um banco de dados SQL e conjunto de logs existentes dentro do banco de dados em que os dados de desempenho sero lidos ou gravados. Esse formato de arquivo til ao coletar e analisar dados de desempenho de toda a empresa, em vez de computador por computador. O log de dados diretamente em um banco de dados SQL tem suporte da ODBC (conectividade aberta de banco de dados). Os dados do contador coletados por Logs e alertas de desempenho podem ser visualizados durante a coleta ou aps seu trmino. Como o log funciona da mesma maneira que um servio, a coleta de dados ocorre independentemente de um usurio estar conectado ou no ao computador que est sendo monitorado. Voc pode definir os momentos de incio e parada, nomes de arquivos, tamanhos de arquivo e outros parmetros para a gerao automtica do log. Voc pode gerenciar vrias sesses de log em uma nica janela de console. Voc pode definir um alerta em um contador, especificando que uma mensagem seja enviada, um programa seja executado e uma entrada seja feita no log de eventos do aplicativo ou um log seja iniciado quando o valor do contador selecionado for superior ou inferior a uma configurao especificada. Da mesma forma que o Monitor do sistema, o servio Logs e alertas de desempenho d suporte definio de objetos de desempenho, contadores de desempenho e instncias do objeto de desempenho. Tambm d suporte definio de intervalos de amostragem para monitorar os dados sobre recursos de hardware e servios do sistema. O servio Logs e alertas de desempenho tambm oferece outras opes relacionadas ao registro de dados de desempenho: Iniciar e parar o log manualmente, por demanda ou automaticamente, com base em um agendamento definido pelo usurio. Definir configuraes adicionais para log automtico, como renomear o arquivo automaticamente e definir parmetros para parar ou iniciar um arquivo de log com base no tempo decorrido ou no tamanho do arquivo. Criar logs de rastreamento. Usando o provedor de dados padro da famlia de produtos Windows Server 2003 ou outro provedor de aplicativos, os logs de rastreamento registram detalhadamente os eventos de aplicativos do sistema, quando ocorrem certas atividades, como uma operao de E/S de disco ou uma falha de pgina. Quando o evento ocorre, o sistema operacional registra os dados do sistema em um arquivo de log especificado pelo servio Logs e alertas de desempenho. Isso difere da operao dos logs de contadores. Quando eles esto em uso, o servio obtm dados do sistema no fim do intervalo de atualizao, em vez de esperar por um evento especfico. Uma ferramenta de anlise 98

necessria para interpretar o resultado do log de rastreamento. Os desenvolvedores podem criar essa ferramenta usando interfaces para programao de aplicativos (APIs) fornecidas na MSDN Library site da Microsoft (http://www.microsoft.com/). Voc tambm pode produzir relatrios de anlise de rastreamento a partir de arquivos de sada de logs de rastreamento usando a ferramenta Tracerpt. Use-a para processar logs do kernel, do Active Directory e outros logs de eventos de rastreamento baseados em transaes, e para gerar relatrios de anlises e arquivos .csv a partir de logs binrios. Definir um programa que seja executado quando um log for parado. Se voc desejar exportar dados do log para o Microsoft Excel, o servio de logs e alertas de desempenho dever ser parado, porque o Microsoft Excel exige acesso exclusivo ao arquivo de log. No se conhece nenhum outro programa que exija esse acesso exclusivo. Portanto, voc geralmente pode trabalhar com dados de um arquivo de log enquanto o servio estiver coletando dados para esse arquivo.

99

Monitorando o desempenho do servidor

Nos ambientes comerciais de hoje, os administradores precisam ter a certeza de que os sistemas executados em seus computadores so eficazes e confiveis. Para otimizar o desempenho dos servidores, voc precisa dos dados fornecidos pela monitorizao do desempenho. Este tpico descreve as tarefas mais comuns associadas monitorao do desempenho de uma configurao de servidor simples, como, por exemplo, algumas estaes de trabalho cliente conectadas a um nico recurso que contenha um ou mais servidores. Para monitorar o desempenho de uma configurao de servidor simples, necessrio coletar trs tipos diferentes de dados de desempenho em um determinado perodo de tempo: Dados de desempenho geral: informaes que podem ajud-lo a identificar tendncias a curto prazo, como vazamentos de memria. Aps um ou dois meses de coleta de dados, voc pode calcular a mdia dos resultados e salv-los em um formato mais compacto. O arquivamento desses dados poder ajud-lo no planejamento da capacidade medida que sua empresa for crescendo e, posteriormente, poder ajud-lo a avaliar a eficcia do plano. Dados de desempenho de linha de base: informaes que podem ajudar a descobrir alteraes que ocorrem lentamente, no decorrer do tempo. Comparando o estado atual do sistema com os dados histricos, voc poder solucionar problemas e ajustar o sistema. Como essas informaes so coletadas somente periodicamente, no h necessidade de compact-las para armazenamento. Dados para relatrios em nvel de servio: informaes que podem ajud-lo a garantir que o sistema atender a um determinado nvel de desempenho ou servio, e que voc provavelmente apresentar aos tomadores de deciso que no so analistas de desempenho. A freqncia em que voc coletar e manter esses dados depender das suas necessidades comerciais especficas. Para coletar os trs tipos de dados, use Logs e alertas de desempenho para criar um log de contador. Voc tambm pode coletar essas informaes na linha de comando. Depois, ser possvel executar o log no decorrer do tempo, manualmente ou com agendamento automatizado. Voc pode personalizar um log de contador adicionando objetos e adicionando contadores. Para obter mais informaes sobre como monitorar o desempenho do servidor, modificar os logs de contador, criar relatrios em vrios formatos e usar os dados coletados, consulte Como.

Criar um log de contador

1. Abra a ferramenta Desempenho. 2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique em Logs do contador. Todos os logs de contador existentes sero listados no painel de detalhes. Um cone verde indica que um log est sendo executado. Um cone vermelho indica que um log foi interrompido. 3. Clique com o boto direito do mouse em uma rea em branco do painel de detalhes e, em seguida, clique em Novas configuraes de log. 4. Em Nome, digite o nome do contador de log e clique em OK. 5. Na guia Geral, clique em Adicionar objetos e selecione os objetos de desempenho a serem 100

adicionados ou clique em Adicionar contadores para selecionar os contadores individuais que voc deseja registrar. Voc deve usar a caixa de texto Executar como e o boto Senha para coletar dados de contador em um computador gerenciado remotamente. Esses recursos permitem especificar o nome da conta de logon do log. Voc pode acess-los na guia Geral. 6. Se desejar alterar o arquivo padro e as informaes sobre agendamento, faa as alteraes na guia Arquivos de log e na guia Agendar. Observao Para executar esse procedimento, voc deve ser membro do grupo Administradores ou Usurios de log de desempenho no computador local, ou algum deve ter delegado a voc a autoridade apropriada. Se o computador tiver ingressado em um domnio, os membros do grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada de segurana, aconselhvel usar Executar como. Para abrir Desempenho, clique em Iniciar, aponte para Configuraes e clique em Painel de controle. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Desempenho. Para salvar as configuraes de um log de contador, log de rastreamento ou alerta, clique com o boto direito do mouse no log ou alerta no painel de detalhes e clique em Salvar configuraes como. Voc poder especificar um arquivo .htm no qual as configuraes devero ser salvas. Para reutilizar as configuraes salvas de um novo log ou alerta, clique com o boto direito do mouse no painel de detalhes e clique em Novas configuraes de log de ou Novas configuraes de alerta de. Essa uma maneira fcil de gerar novas configuraes a partir de uma configurao de log ou alerta. Voc tambm pode abrir o arquivo HTML no Internet Explorer para exibir um grfico do Monitor do sistema. Embora a extenso de um arquivo de log seja .blg, o formato do arquivo foi alterado na famlia Windows Server 2003 e, portanto, no pode ser lido em uma verso anterior do sistema operacional. Por exemplo, se voc copiar um arquivo binrio do Windows Server 2003, Standard Edition para o Windows 2000, no conseguir l-lo no sistema mais recente.

Adicionar objetos a um log

1. Abra Desempenho. 2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique duas vezes em Logs do contador ou Alertas. 3. No painel de detalhes, clique duas vezes no log ou alerta que deseja modificar. 4. Na guia Geral, clique em Adicionar objetos. Para cada objeto que desejar adicionar ao log, siga estas etapas: Para criar um log de objetos no computador em que o servio de logs e alertas de desempenho ser executado, clique em Usar objetos de contador de computador local. Para criar um log de objetos em um computador especfico, independentemente do local em que o servio ser executado, clique em Selecionar objetos de contador do computador: e especifique o nome da conveno de nomenclatura universal (UNC), como \\MeuServidorDeLog, do computador que voc deseja monitorar. 101

 Em Objeto de desempenho, clique em um objeto a ser monitorado e, em seguida, clique em Adicionar. Observao Para executar esse procedimento, voc deve ser membro do grupo Administradores ou Usurios de log de desempenho no computador local, ou algum deve ter delegado a voc a autoridade apropriada. Se o computador tiver ingressado em um domnio, os membros do grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada de segurana, aconselhvel usar Executar como. Para abrir Desempenho, clique em Iniciar, aponte para Configuraes e clique em Painel de controle. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Desempenho. Ao criar configuraes de log de contador para exportao, certifique-se de que selecionou Usar objetos de contador de computador local. Do contrrio, os logs de contador obtero dados no computador nomeado na caixa de texto. Para obter uma descrio de um objeto, clique no objeto em Contadores de desempenho e, em seguida, clique em Explicar. Quando voc especifica o nome de um computador usando Selecionar objetos de contador do computador, somente o nome do computador local e os nomes de computador inseridos durante a sesso Desempenho atual so listados. Os nomes de computador inseridos nas sesses anteriores no sero listados. O recurso Executar como permite executar colees de logs em diferentes contas. Por exemplo, se voc precisar criar um log de dados em um computador remoto que requeira credenciais administrativas, use o recurso para especificar uma conta com as permisses necessrias.

Adicionar contadores a um log

1. Abra a ferramenta Desempenho. 2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique em Logs do contador. 3. No painel de detalhes, clique duas vezes no log que voc deseja modificar. 4. Na guia Geral, clique em Adicionar contadores. Para cada contador ou grupo de contadores que voc desejar adicionar ao log, siga estas etapas: Para criar um log de contadores no computador em que o servio de logs e alertas de desempenho ser executado, clique em Usar contadores locais do computador. Para criar um log de contadores em um computador especfico, independentemente do local em que o servio ser executado, clique em Selecionar contadores do computador e especifique o nome da conveno universal de nomenclatura (UNC), como \\MeuServidorDeLog, do computador que voc deseja monitorar. Em Objeto de desempenho, selecione um objeto a ser monitorado. Em Selecionar contadores na lista, clique em um ou mais contadores a serem monitorados. Para monitorar todas as instncias dos contadores selecionados, clique em Todas as instncias. (Os logs binrios podem incluir instncias que no estejam disponveis na inicializao do log, mas que podem ser disponibilizadas subseqentemente.) 102

Para monitorar instncias especficas dos contadores selecionados, clique em Selecionar instncias na lista e, em seguida, clique em uma ou mais instncias a serem monitoradas. Clique em Adicionar.

Viso geral sobre o Monitor do sistema

Com o Monitor do sistema, voc pode medir o desempenho de seu prprio computador ou de outros computadores da rede, das seguintes maneiras. Coletar e exibir dados de desempenho em tempo real de um computador local ou de vrios computadores remotos: A usabilidade foi modificada na famlia Windows Server 2003. Por exemplo, voc pode excluir vrios contadores de uma s vez e exibir a pgina de propriedades de dados referente a um contador, diretamente na janela de lista. Os dados selecionados em um arquivo de log de desempenho ou em um banco de dados SQL podem ser salvos em um novo arquivo para anlise posterior. Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios de Monitor de desempenho. Visualizar dados coletados no momento ou previamente em um log de contador. Com a famlia Windows Server 2003, voc agora pode exibir os dados simultaneamente em vrios arquivos de log. Apresentar os dados em um modo de exibio de grfico, histograma ou relatrio que pode ser impresso. Incorporar a funcionalidade do Monitor do sistema a aplicativos que ofeream suporte a controles ActiveX, como pginas da Web, e o Microsoft Word ou outros aplicativos do Microsoft Office. Criar pginas HTML a partir de modos de exibio de desempenho. Os modos de exibio armazenados no formato HTML podem ser exibidos em um navegador. Criar configuraes de monitoramento reutilizveis que podem ser instaladas em outros computadores usando o Console de gerenciamento Microsoft (MMC).

103

Com o Monitor do sistema, voc pode coletar e visualizar dados abrangentes sobre o uso dos recursos de hardware e a atividade dos servios do sistema nos computadores que administra. possvel definir os dados a serem coletados pelo Monitor do sistema das seguintes maneiras: Tipo de dados. Para selecionar os dados a serem coletados, voc especifica objetos de desempenho, contadores de desempenho e instncias do objeto de desempenho. Alguns objetos fornecem dados sobre recursos do sistema (como memria). Outros fornecem dados sobre a operao de aplicativos (por exemplo, servios do sistema). Fonte de dados. O Monitor do sistema pode coletar dados do seu computador local ou de outros computadores na rede em que voc tem credenciais administrativas. Por padro, credenciais administrativas so necessrias. Alm disso, voc pode incluir dados em tempo real ou dados coletados previamente usando logs de contadores. Com a famlia de produtos Windows Server 2003, voc agora pode exibir os dados de desempenho anteriormente coletados e armazenados em um banco de dados SQL pelo servio Logs e alertas de desempenho. Parmetros de amostragem. O Monitor do sistema d suporte amostragem manual, amostragem por demanda ou amostragem automtica, com base em um intervalo de tempo especificado por voc. Essa funcionalidade s se aplica a dados em tempo real. Ao visualizar dados do log, voc tambm pode escolher os momentos de incio e de parada, de modo a poder visualizar dados relativos a um intervalo de tempo especfico. Alm de opes para definir o contedo dos dados, voc tem flexibilidade considervel para projetar a aparncia dos modos de exibio do Monitor do sistema: Tipo da exibio. O Monitor do sistema d suporte aos modos de exibio de grfico, histograma e relatrio. O modo de exibio de grfico o padro. Ele oferece a maior variedade de configuraes opcionais. Caractersticas da exibio. Para qualquer um dos trs modos de exibio, voc pode definir as cores e as fontes para a exibio. Nos modos de exibio de grfico e histograma, voc pode selecionar vrias opes diferentes ao exibir dados de desempenho: Fornecer um ttulo para seu grfico ou histograma e rotular o eixo vertical. Definir o intervalo de valores representado no grfico ou histograma. Ajustar as caractersticas das linhas ou barras plotadas para indicar valores de contadores, usando cor, largura, estilo e outros recursos grficos.

104

Direitos do usurio
Os administradores podem atribuir direitos especficos a contas de grupos ou a contas de usurios individuais. Esses direitos autorizam os usurios a executarem aes especficas, como fazer logon em um sistema interativamente ou fazer backup de arquivos e pastas. Os direitos do usurio diferem das permisses, porque os direitos se aplicam a contas de usurio e as permisses so anexadas a objetos. Para obter informaes sobre permisses, consulte Como a herana afeta as permisses de arquivo e pasta. Os direitos do usurio definem recursos no nvel local. Apesar de os direitos do usurio se aplicarem a contas de usurio individuais, eles so melhor administrados em contas de grupo. Isso garante que um usurio que esteja fazendo logon como um membro de um grupo herde automaticamente os direitos associados a esse grupo. Com a atribuio de direitos do usurio a grupos e no a usurios individualmente, voc simplifica a tarefa de administrao de contas de usurio. Quando todos os usurios de um grupo precisam dos mesmos direitos, voc pode atribuir o conjunto de direitos de usurio uma vez ao grupo todo, em vez de atribuir o mesmo conjunto de direitos repetidamente a cada conta de usurio. Os direitos do usurio atribudos a um grupo sero aplicados a todos os membros do grupo, enquanto eles fizerem parte do grupo. Se um usurio for membro de diversos grupos, os direitos sero cumulativos, o que significa que o usurio possuir mais de um conjunto de direitos. O nico momento em que os direitos atribudos a um grupo podem entrar em conflito com os direitos atribudos a outro grupo ser no caso de determinados direitos de logon. Em geral, os direitos do usurio atribudos a um grupo no entram em conflito com os direitos atribudos a um outro grupo. Para remover direitos de um usurio, o administrador simplesmente remove o usurio do grupo. Nesse caso, o usurio deixa de ter os direitos atribudos ao grupo. H dois tipos de direitos do usurio: privilgios, como o direito de fazer backup de arquivos e pastas, e direitos de logon, como o direito de fazer logon em um sistema localmente.

Privilgios
Para facilitar a tarefa de administrao de contas de usurio, atribua privilgios principalmente a contas de grupo, em vez de atribu-los a contas individuais. Quando voc atribui privilgios a uma conta de grupo, os usurios recebem automaticamente esses privilgios ao se tornarem membros do grupo. Esse mtodo de administrao de privilgios bem mais fcil do que atribuir privilgios individuais a cada conta de usurio quando ela criada. A tabela a seguir lista e descreve os privilgios que podem ser concedidos a um usurio. Privilgio Descrio Esta configurao de segurana determina quais grupos ou usurios podem adicionar estaes de trabalho a um domnio.

Adicionar estaes de trabalho a um Esta configurao de segurana s vlida em controladores de domnio. Por domnio padro, qualquer usurio autenticado tem esse direito e pode criar at 10 contas de computador no domnio. 105

Ao adicionar uma conta de computador ao domnio, o computador poder participar do sistema de rede baseado em Active Directory. Por exemplo, adicionar uma estao de trabalho a um domnio permite que a estao de trabalho reconhea contas e grupos existentes no Active Directory. Padro: Usurios autenticados em controladores de domnio. Este privilgio determina quem pode alterar o volume mximo de memria que pode ser consumido por um processo. Ajustar quotas de memria para um processo Este direito de usurio definido no objeto de diretiva de grupo (GPO) do controlador do domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. Padro: Administradores. Este direito de usurio determina quais usurios e grupos podem alterar a data e a hora no relgio interno do computador. Os usurios que receberem este direito de usurio podero alterar a aparncia de logs de eventos. Se a hora do sistema for alterada, os eventos registrados em log refletiro a nova hora e no a hora real em que o evento ocorreu. Este direito de usurio definido no objeto de diretiva de grupo (GPO) do controlador do domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. Padro: Em estaes de trabalho e servidores: Administradores Usurios avanados Em controladores de domnio: Administradores Opers. de servidores Esta configurao de segurana determina quais usurios podem apropriar-se de objetos protegidos no sistema, incluindo objetos do Active Directory, arquivos e pastas, impressoras, chaves do Registro, processos e segmentos. Configurao padro: Administradores.

Alterar a hora do sistema

Apropriar-se de arquivos ou outros objetos

Ativar computador e Esta configurao de segurana determina quais usurios podem definir a configurao Confivel para delegao em um objeto de usurio ou contas de usurio para serem confiveis computador. para delegao 106

O usurio ou objeto que recebe esse privilgio deve ter acesso de gravao aos sinalizadores de controle de contas no objeto do usurio ou computador. Um processo de servidor que esteja em execuo em um computador (ou em um contexto de usurio) que seja confivel para delegao pode acessar recursos em outro computador usando as credenciais delegadas de um cliente, contanto que a conta do cliente no tenha o sinalizador de controle de conta Conta no pode ser delegada definido. Este direito de usurio definido no objeto de diretiva de grupo (GPO) do controlador do domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. Configurao padro: Em controladores de domnio: Administradores Esta configurao de segurana determina quais contas podem usar um processo com acesso de propriedade de gravao a outro processo a fim de aumentar a propriedade de execuo atribuda ao outro processo. Um usurio Aumentar prioridade com esse privilgio pode alterar a prioridade de agendamento de um processo atravs da interface do usurio do Gerenciador de tarefas. de agendamento Padro: Administradores. Esta configurao de segurana determina quais contas podem usar um processo para manter dados na memria fsica, evitando que o sistema pagine esses dados para a memria virtual em disco. A utilizao desse privilgio pode afetar de modo significativo o desempenho do sistema diminuindo a Bloquear pginas na quantidade de memria de acesso aleatrio (RAM) disponvel. memria Padro: Nenhum. Determinados processos do sistema tm o privilgio por natureza. Esse direito de usurio determina quais usurios podem carregar e descarregar dinamicamente drivers de dispositivos ou outros cdigos para o modo kernel. Este direito de usurio no se aplica a drivers de dispositivo Plug and Play. recomendvel que voc no atribua este privilgio a outros usurios. Em vez disso, use a API StartService(). Configurao padro: Administradores. recomendvel que voc no atribua esse privilgio a qualquer outro usurio. Os drivers de dispositivo executam como programas confiveis (ou altamente privilegiados). Permite ao usurio criar e alterar o tamanho de um arquivo de paginao. Isso feito especificando-se um tamanho de arquivo de paginao para uma 107

Carregar e descarregar drivers de dispositivo

Criar arquivo de permuta

determinada unidade em Opes de desempenho na guia Avanado de Propriedades do sistema. Configurao padro: Administradores Permite a um processo criar um objeto de diretrio na famlia Windows Server 2003 e no gerenciador de objetos do Windows XP Professional. Esse privilgio til em componentes do modo de ncleo que estendem o espao de nome do objeto. Os componentes executando no modo de ncleo j tm, por natureza, esse privilgio; no necessrio atribuir a eles o privilgio. Configurao padro: Ningum. Esta configurao de segurana determina quais contas tero permisso para criar objetos globais em uma sesso de servios de terminal. Criar objetos globais Padro: Administradores e Sistema local. Permite a um processo criar um smbolo que ele poder usar para obter acesso a todos os recursos locais quando o processo utilizar NtCreateToken() ou outras APIs de criao de smbolos. Criar um objeto token recomendvel que os processos que exigem esse privilgio usem a conta LocalSystem, que j inclui esse privilgio, em vez de usar uma conta de usurio separada com esse privilgio atribudo especialmente a ela. Configurao padro: Ningum. Este direito de usurio determina quais usurios podem anexar um depurador a qualquer processo ou ao kernel. Os desenvolvedores que estiverem depurando seus prprios aplicativos no precisaro receber este direito de usurio. Os desenvolvedores que estiverem depurando novos componentes de sistema precisaro deste direito de usurio para serem capazes de realizar essa tarefa. Este direito de usurio fornece acesso total a componentes sensveis e importantes do sistema operacional. Configurao padro: Administradores Sistema local Desligar o sistema Esta configurao de segurana determina quais usurios conectados localmente ao computador podem desligar o sistema operacional usando o comando Desligar. O mal uso deste direito de usurio pode resultar em 108

Criar objetos compartilhados permanentemente

Depurar programas

negao de servio. Padro: Estaes de trabalho: Administradores, Operadores de cpia, Usurios avanados, Usurios. Servidores: Administradores, Operadores de cpia, Usurios avanados. Controladores de domnio: Opers. de contas, Administradores, Operadores de cpia, Opers. de servidores e Operadores de impresso. Este direito de usurio determina quais usurios podem ignorar permisses de arquivo e diretrio, Registro e outras permisses persistentes de objeto com a finalidade de fazer backup do sistema. Padro: Administradores e Operadores de cpia. Esta configurao de segurana determina quais usurios tm permisso para desligar um computador a partir de um local remoto na rede. O mal uso deste direito de usurio pode resultar em negao de servio. Este direito de usurio definido no objeto de diretiva de grupo (GPO) do controlador do domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. Padro: Em estaes de trabalho e servidores: Administradores. Em controladores de domnio: Administradores, Opers. de servidores. Este direito de usurio permite que um processo represente qualquer usurio sem autenticao. O processo pode, portanto, ter acesso aos mesmos recursos locais que esse usurio. Os processos que exigem esse privilgio devem usar a conta LocalSystem, Funcionar como parte que j inclui esse privilgio, em vez de usar uma conta de usurio separada do sistema com esse privilgio atribudo especialmente a ela. Se sua organizao utilizar operacional somente servidores membros da famlia Windows Server 2003, voc no precisar atribuir esse privilgio a seus usurios. No entanto, se sua organizao utilizar servidores que executam o Windows 2000 ou o Windows NT 4.0, talvez voc precise atribuir este privilgio para utilizar aplicativos que troquem senhas em texto simples.

Fazer backup de arquivos e pastas

Forar o desligamento a partir de um sistema remoto

109

Padro: Sistema local. Esta configurao de segurana determina quais contas podem ser utilizadas por um processo para adicionar entradas ao log de segurana. O log de segurana usado para controlar o acesso no autorizado ao sistema. O mal uso deste direito de usurio pode resultar na gerao de vrios eventos de auditoria, o que pode ocultar evidncias de um ataque ou causar negao de servio se a configurao de diretiva de segurana Auditoria: desligar o sistema imediatamente se no for possvel o log de auditorias seguras esteja habilitada. Para obter mais informaes, consulte Auditoria: desligar o sistema imediatamente se no for possvel o log de auditorias seguras Padro: Sistema local. Esta configurao de segurana determina quais usurios podem especificar opes de auditoria de acesso a objetos para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. Esta configurao de segurana no permite que um usurio habilite a auditoria de acesso a arquivos e objetos de um modo geral. Para que esse tipo de auditoria seja habilitado, a configurao de Auditoria de acesso a objetos em Configurao do computador\Configuraes do Gerenciar auditoria e Windows\Configuraes de segurana\Diretivas locais\Diretivas de log de segurana auditoria precisa estar definida. Voc pode exibir os eventos em que ocorreu auditoria no log de segurana do recurso Visualizar eventos. Um usurio com esse privilgio tambm pode exibir e limpar o log de segurana. Padro: Administradores. Este direito de usurio determina quais usurios podem atravessar rvores de diretrios, mesmo que o usurio no tenha permisses sobre o diretrio atravessado. Este privilgio no permite ao usurio listar o contedo de um diretrio, mas apenas atravess-lo. Este direito de usurio definido no objeto de diretiva de grupo (GPO) do Ignorar a verificao controlador do domnio padro e na diretiva de segurana local de estaes de trabalho e servidores. completa Padro: Em estaes de trabalho e servidores: Administradores Operadores de cpia 110

Gerar auditoria de segurana

 Usurios avanados Usurios Todos Em controladores de domnio: Administradores Usurios autenticados Esta configurao de segurana determina quem pode modificar valores de ambiente de firmware. As variveis de ambiente de firmware so configuraes armazenadas na RAM no-voltil de computadores no baseados no x86. O efeito da configurao depende do processador. Em computadores baseados no x86, o nico valor de ambiente de firmware que pode ser modificado com a atribuio desse direito de usurio a definio de ltima configurao vlida, que s deveria ser modificada pelo sistema. Em computadores baseados no Itanium, as informaes de inicializao so armazenadas em RAM no-voltil. Os usurios precisam receber esse direito de usurio para executar o arquivo bootcfg.exe e alterar a configurao do sistema operacional padro em Inicializao e recuperao em Propriedades do sistema. Em todos os computadores, esse direito de usurio necessrio para instalar ou atualizar o Windows. Configurao padro: Administradores Sistema local Esta configurao de segurana determina se um usurio poder desencaixar um computador porttil de sua estao de encaixe sem fazer logon. Remover o computador da estao de encaixe Se esta diretiva estiver habilitada, o usurio precisar fazer logon antes de remover o computador porttil de sua estao de encaixe. Se estiver desabilitada, o usurio poder remover o computador porttil da estao de encaixe sem fazer logon. Padro: Desativada. Esta configurao de segurana determina quais contas podem representar outras contas. Padro: Administradores e Servio.

Modificar valores de ambiente de firmware

Representar um cliente aps a autenticao

Restaurar arquivos e Esta configurao de segurana determina quais usurios podem ignorar 111

diretrios

permisses de arquivo, pasta, Registro e outras permisses persistentes de objetos durante a restaurao de arquivos e diretrios de backup. Esta configurao tambm determina quais usurios podem definir um objeto de segurana vlido como proprietrio de um objeto. Especificamente, a concesso deste direito de usurio semelhante concesso ao usurio ao ou grupo em questo as seguintes permisses sobre todos os arquivos e pastas no sistema: Desviar pasta/Executar arquivo Gravar Padro: Estaes de trabalho e servidores: Administradores, Operadores de cpia Controladores de domnio: Administradores, Operadores de cpia, Opers. de servidores.

Esta configurao de segurana determina quais usurios e grupos tm autoridade para sincronizar todos os dados do servio de diretrio. Isso Sincronizar dados do tambm conhecido como sincronizao do Active Directory. servio de diretrio Padres: Nenhum. Determina as contas de usurio que podem iniciar um processo para substituir o smbolo padro associado a um subprocesso iniciado. Substituir um smbolo Esse direito de usurio definido no objeto de diretiva de grupo do controlador do domnio padro e na diretiva de segurana local de estaes de segurana do de trabalho e servidores. processo Configurao padro: Servio local e Servio de rede. Esta configurao de segurana determina quais usurios podem usar ferramentas especficas para monitorar o desempenho de processos que no sejam do sistema. Padro: Administradores, Usurios avanados, Sistema local. Esta configurao de segurana determina quais usurios podem usar ferramentas para monitorar o desempenho de processos do sistema. Padro: Administradores, Sistema local. 112

Traar perfil de um nico processo

Traar perfil do desempenho do sistema

Alguns privilgios podem prevalecer sobre permisses definidas em um objeto. Por exemplo, um usurio que tenha feito logon em uma conta de domnio como membro do grupo Operadores de cpia tem o direito de executar operaes de backup para todos os servidores de domnio. No entanto, isso requer a capacidade de ler todos os arquivos nesses servidores, mesmo os arquivos nos quais seus proprietrios definiram permisses que negam explicitamente o acesso a todos os usurios, inclusive membros do grupo Operadores de cpia. Um direito do usurio, nesse caso, o direito de fazer backup, tem precedncia sobre todas as permisses de arquivo e diretrio.

113

Gerenciando discos e volumes

O gerenciamento de discos e volumes inclui a criao e formatao de parties, unidades lgicas e volumes; a definio de cotas de disco para limitar o uso do disco; a desfragmentao de volumes para melhorar o desempenho do sistema de arquivos e a verificao de erros do sistema de arquivos e de setores defeituosos em um disco rgido. A famlia Windows Server 2003 fornece vrias ferramentas que podem ser usadas para gerenciar de modo eficaz os discos e volumes em sistemas novos ou j existentes. Essas ferramentas incluem Gerenciamento de disco, Desfragmentador de disco, cotas de disco e verificao de erros. Algumas das tarefas mais comuns so criao de parties ou unidades lgicas, formatao de volumes bsicos, extenso de volumes bsicos e desfragmentao de volumes. Voc tambm pode gerenciar discos e volumes na linha de comando. Para obter informaes sobre cotas de disco, consulte Cotas de disco. Para obter informaes sobre verificao de erros, consulte Detectando e reparando erros de disco.

Criar uma partio ou unidade lgica

1. Abra o Gerenciamento do computador (local). 2. Na rvore de console, clique em Gerenciamento de disco. Onde? Gerenciamento do computador (local) Armazenamento Gerenciamento de disco 3. Clique com o boto direito do mouse em uma regio no alocada de um disco bsico e, em seguida, clique em Nova partio ou clique com o boto direito do mouse no espao livre de uma partio estendida e, em seguida, clique em Nova unidade lgica. 4. No Assistente para novas parties, clique em Avanar, clique em Partio primria, Partio estendida ou Unidade lgica e siga as instrues na tela. Observao possvel criar parties primrias, parties estendidas e unidades lgicas somente em discos bsicos. Voc deve criar volumes bsicos em vez de volumes dinmicos se este computador tambm executar o MS-DOS, Windows 95, Windows 98, Windows Millennium Edition, Windows NT 4.0 ou Windows XP Home Edition. Em um disco de registro mestre de inicializao (MBR), voc pode criar at quatro parties primrias ou trs parties primrias, uma partio estendida e unidades lgicas ilimitadas. Em um disco de tabela de partio GUID (GPT), voc pode criar at 128 parties primrias.

114

Formatar um volume bsico

1. Abra o Gerenciamento do computador (local). 2. Na rvore de console, clique em Gerenciamento de disco. Onde? Gerenciamento do computador (local) Armazenamento Gerenciamento de disco 3. Clique com o boto direito do mouse na partio, unidade lgica ou volume bsico que voc deseja formatar (ou reformatar) e, em seguida, clique em Formatar. 4. Selecione as opes desejadas e clique em OK. Observao Voc no pode formatar as parties de sistema, de inicializao, OEM ou desconhecidas. H suporte para a compactao de arquivos somente em volumes NTFS com clusters de 4 KB e menores. Se voc marcar a caixa de seleo Executar uma formatao rpida, os arquivos sero removidos do disco, mas esse disco no ser examinado para verificar a existncia de setores defeituosos. Use esta opo somente se o disco foi formatado anteriormente e voc tiver certeza de que no est danificado.

115

Estender um volume bsico

1. Abra o Prompt de comando. 2. Digite: diskpart 3. No prompt DISKPART, digite: list volume Anote o nmero do volume bsico que voc deseja estender.
4. No prompt DISKPART, digite: select volume n

Seleciona o volume bsico, n, que voc deseja estender no espao vazio contguo do mesmo disco. 5. No prompt DISKPART, digite: extend [size=n] Estende o volume selecionado em size=n megabytes (MB). Observao Para abrir um prompt de comando, clique em Iniciar, aponte para Programas, aponte para Acessrios e clique em Prompt de comando. Para estender um volume bsico, ele no deve ser formatado com um sistema de arquivos ou deve ser formatado com o sistema de arquivos NTFS. Voc s pode estender um volume bsico dentro do mesmo disco. Voc s pode estender um volume bsico se ele for seguido de um espao no alocado contguo. Para obter mais informaes sobre o Gerenciamento de disco e o comando diskpart, consulte Gerenciamento do disco e DiskPart.

Desfragmentar um volume
1. Abra o Desfragmentador de disco. 2. Clique no volume que voc deseja desfragmentar e, em seguida, clique em Desfragmentar. Depois que a desfragmentao for concluda, o Desfragmentador de disco exibir os resultados em Uso estimado do disco aps a desfragmentao. 3. Clique em Exibir relatrio para exibir o relatrio de desfragmentao, que apresentar informaes detalhadas sobre o volume desfragmentado. Observao Para abrir o Desfragmentador de disco, clique em Iniciar, aponte para Programas, para Acessrios, para Ferramentas do sistema e, em seguida, clique em Desfragmentador de disco. Voc deve analisar os volumes antes da desfragmentao. Dessa forma, voc saber se precisar gastar tempo com a desfragmentao. necessrio que um volume tenha, pelo menos, 15% de espao livre para que o Desfragmentador de disco o desfragmente total e adequadamente. O Desfragmentador de disco utiliza esse espao como uma rea de classificao para fragmentos de arquivo. Se um volume tiver menos de 15% de espao livre, o Desfragmentador de disco o desfragmentar 116

apenas parcialmente. Para aumentar o espao livre em um volume, exclua os arquivos desnecessrios ou mova-os para outro disco. Voc no pode desfragmentar volumes que o sistema de arquivos tenha marcado como sujos, o que indica um possvel corrompimento. Voc deve executar chkdsk em um volume sujo antes de desfragment-lo. Para determinar se um volume sujo, use o comando fsutil dirty query. Para obter mais informaes sobre o comando chkdsk, consulte Chkdsk. Para obter mais informaes sobre o comando fsutil dirty, consulte Fsutil dirty. O tempo necessrio para que o Desfragmentador de disco desfragmente um volume depende de vrios fatores, entre eles o tamanho do volume, o nmero e tamanho dos arquivos contidos no volume, a porcentagem de fragmentao no volume e os recursos de sistema disponveis. Voc s pode desfragmentar volumes de sistemas de arquivos locais e executar apenas uma instncia do Desfragmentador de disco por vez. Para interromper ou suspender temporariamente a desfragmentao de um volume, clique em Parar ou Pausar, respectivamente. Se voc iniciar o Desfragmentador de disco ao executar um backup no mesmo volume, o processamento da ferramenta ser interrompido. Executar o comando defrag e o Desfragmentador de disco so tarefas mutuamente exclusivas. Se voc estiver usando o Desfragmentador de disco para desfragmentar um volume e executar o comando defrag em um prompt de comando, esse comando apresentar falha. Em contrapartida, se voc executar o comando defrag e abrir o Desfragmentador de disco, as opes de desfragmentao desse utilitrio no estaro disponveis.

117

Viso geral sobre cotas de disco

As cotas de disco rastreiam e controlam o uso do espao em disco para os volumes NTFS. Os administradores podem configurar o Windows para: Impedir o uso do espao em disco e registrar um evento quando um usurio ultrapassar o limite de espao em disco especificado, isto , o espao em disco que ele tem permisso para utilizar. Registrar um evento quando um usurio ultrapassar um nvel de notificao de espao em disco especificado, isto , o ponto no qual um usurio estiver se aproximando de sua cota limite. Ao ativar as cotas de disco, voc poder definir dois valores: o limite de cota de disco e o nvel de notificao de cota de disco. Por exemplo, possvel definir um limite de cota de disco de um usurio como 500 megabytes (MB) e o nvel de notificao de cota de disco como 450 MB. Nesse caso, o usurio s poder armazenar at 500 MB de arquivos no volume. Se ele armazenar mais de 450 MB de arquivos no volume, voc poder configurar o sistema de cota de disco para criar um log de evento do sistema. necessrio que voc seja um participante do grupo Administradores para administrar cotas em um volume. Para obter instrues sobre como definir valores de cota de disco, consulte Para atribuir valores de cota padro. possvel especificar que os usurios possam exceder seus limites de cota. O procedimento de ativar as cotas e no limitar o uso do espao em disco til quando voc no deseja negar aos usurios o acesso a um volume, mas deseja controlar o uso do espao em disco para cada usurio. Tambm possvel especificar se um evento dever ou no ser criado quando os usurios excederem seus nveis de notificao de cota ou seus limites de cota. Quando voc ativa as cotas de disco para um volume, o uso do mesmo rastreado automaticamente para todos os usurios a partir desse momento em diante. Voc pode ativar cotas em volumes locais, volumes de rede e unidades removveis desde que estejam formatados com o sistema de arquivos NTFS. Alm disso, os volumes de rede devem ser compartilhados na pasta raiz do volume. As unidades removveis tambm devem ser compartilhadas. Os volumes formatados com a verso do NTFS usada no Windows NT 4.0 so atualizados automaticamente pela instalao do Windows. Voc no pode utilizar a compactao de arquivos para impedir que os usurios ultrapassem seus limites de cota porque os arquivos compactados so controlados com base em seu tamanho antes da compactao. Por exemplo, se um arquivo tiver 50 MB, mas ficar com 40 MB aps a compactao, o Windows considera o tamanho original do arquivo (50 MB) em relao ao limite de cota.

118

Para ativar cotas de disco

1. Abra Meu computador. 2. Clique com o boto direito do mouse no volume de disco para o qual voc deseja ativar cotas de disco e clique em Propriedades. 3. Na caixa de dilogo Propriedades, clique na guia Cota. 4. Na guia Cota, clique na caixa de seleo Ativar gerenciamento de cota. 5. Selecione uma ou mais das opes a seguir e clique em OK. Negar espao em disco para usurios excedendo os limites de cota Os usurios que ultrapassarem seus limites de cota recebero uma mensagem de erro do tipo "espao em disco insuficiente" do Windows e no podero gravar dados adicionais no volume sem que antes excluam ou movam alguns arquivos existentes. Os programas individuais determinaro o prprio tratamento de erro para essa condio. Para o programa, parecer que o volume est cheio. Se voc desmarcar essa opo, os usurios podero exceder seus limites de cota. O procedimento para ativar as cotas e no limitar o uso do espao em disco til quando voc no deseja negar aos usurios o acesso a um volume, mas controlar o uso do espao em disco para cada usurio. Tambm possvel especificar se um evento dever ou no ser criado quando os usurios excederem seus nveis de notificao de cota ou seus limites de cota. Limitar espao em disco a Especifique o espao em disco que os novos usurios do volume podero utilizar e o espao em disco que dever ser usado antes de um evento ser gravado no log do sistema. Os administradores podem ver esses eventos no recurso Visualizar eventos. Voc pode usar valores decimais (por exemplo, 20,5). Para o espao em disco e nveis de notificao, selecione as unidades apropriadas na lista suspensa (por exemplo, KB, MB, GB). Para obter mais informaes sobre Visualizar eventos, consulte Tpicos relacionados. Registrar evento em log quando o usurio exceder o limite de cota Se as cotas estiverem ativadas, um evento ser gravado no log do sistema do computador local sempre que os usurios ultrapassarem seus limites de cota. Os administradores podem exibir esses eventos com o recurso Visualizar eventos, aplicando filtros para os tipos de evento de disco. Por padro, os eventos de cota so gravados a cada hora no log do sistema no computador local. Voc pode alterar esse intervalo de gravao utilizando o comando fsutil behavior. Para obter mais informaes sobre o recurso Visualizar eventos ou o comando fsutil behavior, consulte Tpicos relacionados. Registrar evento em log quando o nvel de notificao for excedido Se as cotas estiverem ativadas, um evento ser gravado no log do sistema do computador local sempre que os usurios ultrapassarem seus nveis de notificao. Os administradores podem exibir esses eventos com o recurso Visualizar eventos, aplicando filtros para os tipos de evento de disco. Por padro, os eventos de cota so gravados a cada hora no log do sistema no computador 119

local. Voc pode alterar esse intervalo de gravao utilizando o comando fsutil behavior. Para obter mais informaes sobre o recurso Visualizar eventos ou o comando fsutil behavior, consulte Tpicos relacionados.

Para negar espao em disco aos usurios que excederem seus limites 1. Abra Meu computador. 2. Clique com o boto direito do mouse no volume para o qual voc deseja negar o uso do espao em disco e clique em Propriedades. 3. Na caixa de dilogo Propriedades, clique na guia Cota. 4. Na guia Cota, marque a caixa de seleo Ativar gerenciamento de cota, marque a caixa de seleo Negar espao em disco para limites de cota excedidos e clique em OK. Observaes Se o volume no tiver sido formatado com o sistema de arquivos NTFS ou se voc no for um membro do grupo Administradores, a guia Cota no ser exibida na caixa de dilogo Propriedades do volume. 120

 Quando o sistema de cotas de disco estiver configurado para negar espao em disco aos usurios do volume que excederem os limites de cotas atribudos a eles, esses usurios no podero gravar dados adicionais no volume sem primeiramente excluir ou mover alguns arquivos existentes do mesmo. A resposta do sistema ao fato de um usurio exceder o limite de cota depende de cada programa individual. Para o programa, parecer que o volume est cheio.

121

DNS
DNS uma abreviao de sistema de nomes de domnios (Domain Name System), um sistema para servios de nomes de computadores e redes que organizado em uma hierarquia de domnios. Os nomes DNS so usados em redes TCP/IP, como a Internet, para localizar computadores e servios por meio de nomes amigveis para o usurio. Quando um usurio insere um nome DNS em um aplicativo, os servios DNS podem resolver o nomes para outra informao associada ao nome, como um endereo IP. Por exemplo, a maioria dos usurios prefere um nome amigvel, como exemplo.microsoft.com para localizar um computador como um servidor de correio ou da Web em uma rede. Um nome amigvel pode ser mais fcil de aprender e lembrar. No entanto, os computadores se comunicam em rede usando endereos numricos. Para utilizar os recursos da rede de maneira mais fcil, os sistemas de nomes como DNS fornecem um modo de mapear o nome amigvel do usurio de um computador ou servio para seu endereo numrico. A figura a seguir mostra um uso bsico do DNS, que localizar o endereo IP de um computador com base no seu nome.

Nesse exemplo, um cliente consulta um servidor DNS, pedindo o endereo IP de um computador configurado para usar host-a.exemplo.microsoft.com como nome de domnio DNS. Como o servidor DNS capaz de responder consulta com base no banco de dados local, ele responde com uma resposta que contm as informaes solicitadas: um registro de recurso de host (A) que contm as informaes de endereo IP para host-a.exemplo.microsoft.com. O exemplo mostra uma consulta DNS simples entre um nico cliente e o servidor DNS. Na prtica, as consultas DNS podem ser mais complicadas e incluir etapas adicionais no mostradas aqui. Para obter mais informaes, consulte Como a consulta DNS funciona.

122

Como a consulta DNS funciona

Quando um cliente precisa procurar um nome usado em um programa, ele consulta os servidores DNS para resolver o nome. Cada mensagem de consulta que o cliente envia contm trs informaes, que especificam uma pergunta para o servidor responder: Um nome de domnio DNS especfico, declarado como nome de domnio totalmente qualificado (FQDN) Um tipo de consulta especfica, que pode especificar um tipo de registro de recurso ou um tipo especializado de operao de consulta. Uma classe especfica para o nome de domnio DNS.

Para servidores DNS do Windows, isso deve ser especificado como a classe Internet (IN). Por exemplo, o nome especificado pode ser o FQDN de um computador, como "hosta.exemplo.microsoft.com." e o tipo de consulta especfica pode ser procurar um registro de recurso de endereo (A) com esse nome. Pense na consulta DNS como um cliente que faz ao servidor uma pergunta com duas partes, como Voc tem algum registro de recurso (A) para um computador cujo nome "nome_do_host.exemplo.microsoft.com.'"? Quando o cliente recebe uma resposta do servidor, ele l e interpreta o registro de recurso A respondido, conhecendo o endereo IP do computador que ele solicitou pelo nome. As consultas DNS so resolvidas de vrias formas. s vezes, um cliente responde a uma consulta localmente, usando informaes em cache obtidas a partir de uma consulta anterior. O servidor DNS pode usar seu prprio cache de informaes de registros de recursos para responder a uma consulta. Um servidor DNS tambm pode consultar ou contatar outros servidores DNS em nome do cliente solicitante para resolver totalmente o nome e, em seguida, retornar uma resposta para o cliente. Esse processo conhecido como recurso. Alm disso, o prprio cliente pode tentar contatar servidores DNS adicionais para resolver um nome. Ao fazer isso, o cliente usa consultas separadas e adicionais com base nas respostas de referncia dos servidores. Esse processo conhecido como iterao. Em geral, o processo de consulta DNS ocorre em duas partes: Uma consulta de nome comea em um computador cliente e passada para um resolvedor, o servio de cliente DNS, para resoluo. Quando a consulta no pode ser resolvida localmente, os servidores DNS podem ser consultados para resolver o nome, conforme necessrio.

Esses dois processos so explicados com mais detalhes nas sees a seguir.

123

Parte 1: O resolvedor local

A figura a seguir mostra uma viso geral do processo de consulta DNS completo.

Como foi mostrado nas etapas iniciais do processo de consulta, um nome de domnio DNS usado em um programa no computador local. Em seguida, a solicitao passada para o servio de cliente DNS para resoluo usando as informaes armazenadas em cache localmente. Se o nome consultado puder ser resolvido, a consulta ser respondida e o processo ser concludo. O cache do resolvedor local pode incluir informaes de nomes obtidas em duas fontes possveis: Se um arquivo Hosts configurado localmente, todos os mapeamentos de nome para endereo de host desse arquivo so pr-carregados no cache quando o servio de cliente DNS iniciado. Os registros de recursos obtidos nas respostas enviadas a partir de consultas DNS anteriores so adicionados ao cache e mantidos por um perodo de tempo.

Se a consulta no corresponder a uma entrada no cache, o processo de resoluo continuar com o cliente consultando um servidor DNS para resolver o nome.

Parte 2: Consultando um servidor DNS

Como foi indicado na figura anterior, o cliente consulta um servidor DNS preferencial. O servidor efetivamente usado durante a consulta cliente/servidor inicial do processo selecionado em uma lista global. Quando o servidor DNS recebe uma consulta, ele primeiro verifica se tem autoridade para responder consulta com base nas informaes de registro de recurso contidas em uma zona configurada localmente no servidor. Se o nome consultado corresponde a um registro de recurso nas informaes de zona local, o servidor responder autoritativamente, usando essas informaes para resolver o nome consultado. Se no houver informaes de zona para o nome consultado, o servidor verificar se pode resolver o nome usando informaes de consultas anteriores armazenadas localmente em cache. Se uma 124

correspondncia for encontrada, o servidor responder com essa informao. Novamente, se o servidor preferencial puder responder ao cliente solicitante com uma resposta positiva correspondente em seu cache, a consulta ser concluda. Se o nome consultado no encontrar uma resposta correspondente no servidor preferencial nas informaes em cache ou de zona o processo de consulta poder continuar usando recurso para resolver totalmente o nome. Isso envolve a ajuda de outros servidores DNS para resolver o nome. Por padro, o servio de cliente DNS solicita que o servidor use um processo de recurso para resolver totalmente nomes solicitados pelo cliente antes de retornar uma resposta. Na maioria dos casos, o servidor DNS configurado, por padro, para fornecer suporte ao processo de recurso, como mostra a figura seguinte.

Para que o servidor DNS execute a recurso corretamente, ele primeiro precisa obter algumas informaes de contato teis sobre outros servidores DNS no espao para nome do domnio DNS. Essas informaes so fornecidas na forma de dicas de raiz, uma lista de registros de recursos preliminares que pode ser usada pelo servio DNS para localizar outros servidores DNS autoritativos para a raiz da rvore de espao para nome do domnio DNS. Os servidores raiz so autoritativos para a raiz de domnio e para os domnios de nvel superior na rvore de espao para nome do domnio DNS. Ao usar as dicas de raiz para localizar servidores raiz, um servidor DNS pode completar o uso da recurso. Teoricamente, esse processo habilita qualquer servidor DNS para localizar os servidores autoritativos para qualquer outro nome de domnio DNS usado em qualquer nvel na rvore de espao para nome. Por exemplo, considere o uso do processo de recurso para localizar o nome "hostb.exemplo.microsoft.com." quando o cliente consulta um nico servidor DNS. O processo ocorre quando um servidor DNS e um cliente so iniciados pela primeira vez e no tm nenhuma informao armazenada em cache localmente disponvel para ajudar a resolver uma consulta de nome. Ele pressupe que o nome consultado pelo cliente refere-se a um nome de domnio do qual o servidor no tem conhecimento local, com base em suas zonas configuradas. Primeiro, o servidor preferencial analisa o nome completo e determina que ele precisa da localizao do servidor autoritativo para o domnio de nvel superior, "com". Em seguida, usa uma consulta iterativa para o servidor DNS "com" para obter uma referncia para o servidor "microsoft.com". Uma resposta de referncia do servidor "microsoft.com" enviada para o servidor DNS com relao a "exemplo.microsoft.com". 125

Por fim, o servidor "exemplo.microsoft.com." contatado. Como esse servidor contm o nome consultado como parte de suas zonas configuradas, ele responde autoritativamente ao servidor original que iniciou a recurso. Quando o servidor original recebe a resposta indicando que uma resposta autoritativa foi obtida para a consulta solicitada, ele encaminha essa resposta para o cliente solicitante e o processo de consulta recursiva concludo. Embora o processo de consulta recursiva possa requerer uso intenso de recursos quando executado conforme descrito acima, ele tem algumas vantagens de desempenho para o servidor DNS. Por exemplo, durante o processo de recurso, o servidor DNS que executa a pesquisa recursiva obtm informaes sobre o espao para nome do domnio DNS. Essas informaes so armazenadas em cache pelo servidor e podem ser usadas novamente para ajudar a acelerar as respostas a consultas subseqentes que as utilizam ou a elas correspondem. Ao longo do tempo, essas informaes em cache podem crescer de maneira a ocupar uma parte significativa dos recursos de memria do servidor, embora o cache seja limpo sempre que o ciclo do servio DNS habilitado e desabilitado.

Respostas de consultas alternativas

A discusso anterior sobre consultas DNS pressupe que o processo termina com uma resposta positiva para o cliente. Entretanto, as consultas tambm podem retornar outras respostas. Estas so as mais comuns: Uma resposta autoritativa Uma resposta positiva Uma resposta de referncia Uma resposta negativa

Uma resposta autoritativa uma resposta positiva retornada ao cliente e fornecida com o bit de autoridade definido na mensagem DNS para indicar que a resposta foi obtida a partir de um servidor com autoridade direta para o nome consultado. Uma resposta positiva pode consistir no RR consultado ou em uma lista de RRs (tambm conhecida como conjunto RR) que corresponde ao nome de domnio DNS consultado e ao tipo de registro especificado na mensagem de consulta. Uma resposta de referncia contm registros de recursos adicionais no especificados por nome ou tipo na consulta. Esse tipo de resposta retornada ao cliente se no houver suporte para o processo de recurso. Os registros destinam-se a atuar como respostas de referncia teis que o cliente pode usar para continuar a consulta usando iterao. Uma resposta de referncia contm dados adicionais, como registros de recursos (RRs), que so diferentes do tipo consultado. Por exemplo, se o nome de host consultado foi "www" e nenhum RR A foi encontrado para esse nome nessa zona, mas foi encontrado um RR CNAME, o servidor DNS pode incluir essa informao quando responder ao cliente. Se o cliente for capaz de usar iterao, poder fazer consultas adicionais usando a informao de referncia em uma tentativa de resolver totalmente o nome. Para obter mais informaes Uma resposta negativa do servidor pode indicar que um dos dois resultados possveis foi encontrado enquanto o servidor tentava processar e resolver a consulta em modo recursivo total e autoritativamente. Um servidor autoritativo indicou que o nome consultado no existe no espao para nome 126

DNS. Um servidor autoritativo indicou que o nome consultado existe mas no h registros do tipo especificado para esse nome. O resolvedor passa os resultados da consulta, na forma de resposta positiva ou negativa, para o programa solicitante e armazena a resposta em cache. Observaes Se a resposta resultante de uma consulta for muito longa para ser enviada e resolvida em um nico pacote de mensagem UDP, o servidor DNS pode iniciar uma resposta de tolerncia a falhas na porta TCP 53 para responder ao cliente totalmente em uma sesso TCP conectada. A desabilitao do uso da recurso em um servidor DNS geralmente feita quando os clientes DNS esto sendo limitados a resolver nomes para um servidor DNS especfico; por exemplo, um servidor localizado na sua intranet. A recurso tambm pode ser desabilitada quando o servidor DNS for incapaz de resolver nomes DNS externos e espera-se que os clientes utilizem outro servidor DNS para resoluo desses nomes. possvel desabilitar o uso de recurso configurando as propriedades Avanadas no console DNS do servidor aplicvel. Para obter mais informaes, consulte Desabilitar recurso no servidor DNS. Se voc desabilitar a recurso no servidor DNS, no poder usar encaminhadores no mesmo servidor. Por padro, os servidores DNS usam diversos intervalos de tempo padro quando executam uma consulta recursiva e contatam outros servidores DNS. So eles: Um intervalo de 3 minutos para uma nova tentativa de recurso. Esse o perodo de tempo que o servio DNS espera antes de tentar novamente uma consulta feita durante uma pesquisa recursiva. Um intervalo de tempo limite de recurso de 15 segundos. Esse o perodo de tempo que o servio DNS espera antes de falhar uma pesquisa recursiva que foi novamente tentada. Na maioria das circunstncias, esses parmetros no precisam de ajuste. Porm, se voc estiver usando pesquisas recursivas em uma conexo WAN de baixa velocidade, o desempenho do servidor e a concluso da consulta podero ser melhorados com pequenos ajustes nas configuraes. Para obter mais informaes.

Como a iterao funciona

A iterao o tipo de resoluo de nomes usado entre clientes e servidores DNS quando as seguintes condies estiverem em vigor: O cliente solicita o uso de recurso, mas ela est desabilitada no servidor DNS. O cliente no solicita o uso de recurso ao consultar o servidor DNS. Uma solicitao iterativa de um cliente informa ao servidor DNS que o cliente espera a melhor resposta que o servidor DNS puder fornecer imediatamente, sem entrar em contato com outros servidores DNS. Quando a iterao usada, um servidor DNS responde a um cliente com base em seu conhecimento especfico sobre o espao para nome com relao aos dados de nomes que esto sendo consultados. 127

Por exemplo, se um servidor DNS na sua intranet recebe uma consulta de um cliente local para "www.microsoft.com", ele deve retornar uma resposta do seu cache de nomes. Se o nome consultado no estiver armazenado atualmente no cache de nomes do servidor, o servidor poder responder fornecendo uma referncia isto , uma lista de registros de recursos NS e A de outros servidores DNS que esto mais prximos ao nome consultado pelo cliente. Quando uma referncia feita, o cliente DNS assume a responsabilidade por continuar fazendo consultas iterativas para outros servidores DNS configurados para resolver o nome. Por exemplo, na maioria dos casos envolvidos, o cliente DNS deve expandir sua pesquisa at os servidores de domnio raiz na Internet, em um esforo para localizar os servidores DNS que tm autoridade para o domnio "com". Depois de contatar os servidores raiz da Internet, poder receber respostas iterativas adicionais a partir desses servidores DNS apontando para servidores DNS da Internet efetivos do domnio "microsoft.com". Quando o cliente recebe os registros desses servidores DNS, ele pode enviar outra consulta iterativa para os servidores DNS da Microsoft externos na Internet, que podem responder com uma resposta definitiva e autoritativa. Quando a iterao usada, um servidor DNS pode ajudar adicionalmente em uma resoluo de consulta de nome, alm de enviar sua melhor resposta para o cliente. Na maioria das consultas iterativas, um cliente usa sua lista de servidores DNS configurada localmente para contatar outros servidores de nomes em todo o espao para nome DNS se o servidor DNS primrio no conseguir resolver a consulta.

Como o armazenamento em cache funciona

Quando os servidores DNS processam consultas de clientes usando recurso ou iterao, eles descobrem e adquirem um estoque significativo de informaes sobre o espao para nome DNS. Essas informaes so armazenadas em cache pelo servidor. O armazenamento em cache permite acelerar o desempenho da resoluo DNS para consultas subseqentes de nomes comuns e reduz substancialmente o trfego de consultas relativo ao DNS na rede. Quando fazem consultas recursivas em nome dos clientes, os servidores DNS armazenam em cache temporariamente os registros de recursos (RRs). Os RRs armazenados em cache contm informaes obtidas de servidores DNS autoritativos para nomes de domnio DNS conhecidos durante as consultas iterativas realizadas para pesquisar e responder totalmente a uma consulta recursiva executada em nome de um cliente. Posteriormente, quando outros clientes fazem novas consultas solicitando informaes de RR que correspondem aos RRs armazenados em cache, o servidor DNS pode usar essas informaes de RR armazenadas em cache para responder. Quando as informaes so armazenadas em cache, um valor de tempo de vida (TTL) aplicado a todos os RRs armazenados em cache. Enquanto o TTL de um RR armazenado em cache no expirar, o servidor DNS pode continuar a armazenar esse RR em cache e us-lo novamente quando responder a consultas feitas por seus clientes que correspondam a esses RRs. Na maioria das configuraes de zona, o armazenamento em cache dos valores de tempo de vida usados pelos RRs recebe a atribuio de Tempo de vida mnimo (padro), que definida no registro de recurso de incio de autoridade (SOA) da zona. Por padro, o TTL mnimo de 3.600 segundos (1 hora), mas ele pode ser ajustado ou, se necessrio, o armazenamento em cache de TTLs pode ser configurado para cada RR. 128

DNS a abreviatura de Domain Name System.

O DNS um servio de resoluo de nomes. Toda comunicao entre os computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede no baseada no protocolo TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e nmero IP do computador de destino. Porm no seria nada produtivo se os usurios tivessem que decorar, ou mais realisticamente, consultar uma tabela de nmeros IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, voc digita http://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual o nmero IP do servidor onde est hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio, pois quando voc digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa descobrir (o termo tcnico resolver o nome) qual o nmero IP est associado com o endereo digitado. Se no for possvel descobrir o nmero IP associado ao nome, no ser possvel acessar o recurso desejado. O papel do DNS exatamente este, descobrir, ou usando o termo tcnico, resolver um determinado nome, como por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o nmero IP associado com o nome. Em palavras mais simples, o DNS um servio de resoluo de nomes, ou seja, quando o usurio tenta acessar um determinado recurso da rede usando o nome de um determinado servidor, o DNS o responsvel por localizar e retornar o nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco de dados distribudo em milhares de servidores DNS no mundo inteiro. Ele possui vrias caractersticas, as quais descreverei nesta parte do tutorial de TCP/IP. O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows 2000 Server. Anteriormente, com o NT Server 4.0 e verses anteriores do Windows, o servio padro para resoluo de nomes era o WINS Windows Internet Name Service (WINS o assunto da Parte 9 deste tutorial). Verses mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda so dependentes do WINS, para a realizao de determinadas tarefas. O fato de existir dois servios de resoluo de nomes, pode deixar o administrador da rede e os usurios confusos. Cada computador com o Windows instalado (qualquer verso), tem dois nomes: um host name (que ligado ao DNS) e um NetBios name (que ligado ao WINS). Por padro estes nomes devem ser iguais, ou seja, aconselhvel que voc utilize o mesmo nome para o host name e para o NetBios name do computador. O DNS um sistema para nomeao de computadores e equipamentos de rede em geral (tais como roteadores,hubs, switchs). Os nomes DNS so organizados de uma maneira hierrquica atravs da diviso da rede em domnios DNS. O DNS , na verdade, um grande banco de dados distribudo em vios servidoress DNS e um conjunto de servios e funcionalidades, que permitem a pesquisa neste banco de dados. Por exemplo, quando o usurio digita www.abc.com.br na barra de endereos do seu navegador, o DNS tem que fazer o trabalho de localizar e retornar para o navegador do usurio, o nmero IP associado com o endereo www.abc.com.br Quando voc tenta acessar uma pasta compartilhada chamada docs, em um servidor chamado srv-files01.abc.com.br, usando o caminho \\srvfiles01.abc.com.br\docs, o DNS precisa encontrar o nmero IP associado com o nome srv129

01.abc.com.br. files01.abc.com.br. Se esta etapa falhar, a comunicao no ser estabelecida e voc no poder acessar a pasta compartilhada docs. Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa que voc est utilizando perguntasse ao DNS: perguntass DNS, voc sabe qual o endereo IP associado com o nome tal? O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foram feitas as configuraes do servidor DNS, conforme descreverei mais adiante Uma adiante). vez encontrado o nmero IP, o DNS retorna o nmero IP para o cliente: Este o nmero IP associado com o nome tal. Nota: O DNS implementado no Windows 2000 Server e tambm no Windows Server 2003 baseado em padres definidos por entidades de padronizao da Internet, tais como o IETF. Estes padronizao documentos so conhecidos como RFCs Request for Comments. Voc encontra, na Internet, facilmente a lista de RFCs disponveis e o assunto relacionada com cada uma. So milhares de RFCs (literalmente milhares). Entendendo os elementos que compem o DNS O DNS baseado em conceitos tais como espao de nomes e rvore de domnios. Por exemplo, o espao de nomes da Internet um espao de nomes hierrquico, baseado no DNS. Para entender melhor estes conceitos, observe o diagrama da Figura a seguir: obse

Figura - Estrutura hierrquica do DNS

130

Nesta Figura apresentada uma viso abreviada da estrutura do DNS definida para a Internet. O principal domnio, o domnio root, o domnio de mais alto nvel foi nomeado como sendo um ponto (.). No segundo nvel foram definidos os chamados Top-level-domains. Estes domnios so bastante conhecidos, sendo os principais descritos na Tabela a seguir: Top-level-domains: Top-level-domain Descrio com gov edu org net mil Organizaes comerciais Organizaes governamentais Instituies educacionais Organizaes no comerciais Diversos Instituies militares

Em seguida, a estrutura hierrquica continua aumentando. Por exemplo, dentro do domnio .com, so criadas sub domnios para cada pas. Por exemplo: br para o Brasil (.com.br), .fr para a frana (.com.fr), uk para a Inglaterra (.com.uk) e assim por diante. Observe que o nome completo de um domnio o nome do prprio domnio e mais os nomes dos domnios acima dele, no caminho at chegar ao domnio root que o ponto. Nos normalmente no escrevemos o ponto, mas no est errado utiliz-lo. Por exemplo, voc pode utilizar www.microsoft.com ou www.microsoft.com. (com ponto no final mesmo). No diagrama da Figura anterior, representei at o domnio de uma empresa chamada abc (abc...), que foi registrada no subdomnio (.com.br), ou seja: abc.com.br. Este o domnio DNS desta nossa empresa de exemplo. Nota: Para registrar um domnio .br, utilize o seguinte endereo: www.registro.br Todos os equipamentos da rede da empresa abc.com.br, faro parte deste domnio. Por exemplo, considere o servidor configurado com o nome de host www. O nome completo deste servidor ser www.abc.com.br, ou seja, com este nome que ele poder ser localizado na Internet. O nome completo do servidor com nome de host ftp ser: ftp.abc.com.br, ou seja, com este nome que ele poder ser acessado atravs da Internet. No banco de dados do DNS que ficar gravada a informao de qual o endereo IP est associado com www.abc.com.br, qual o endereo IP est associado com ftp.abc.com.br e assim por diante. Mais adiante voc ver, passo-a-passo, como feita a resoluo de nomes atravs do DNS. O nome completo de um computador da rede conhecido como FQDN Full Qualifided Domain Name. Por exemplo ftp.abc.com.br um FQDN. ftp (a primeira parte do nome) o nome de host e o restante representa o domnio DNS no qual est o computador. A unio do nome de host com o nome de domnio que forma o FQDN. Internamente, a empresa abc.com.br poderia criar subdomnios, como por exemplo: vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por diante. Dentro de cada um destes subdominios poderia haver servidores e computadores, como por exemplo: srv01.vendas.abc.com.br, srv-pr01.suporte.abc.com.br. Observe que sempre, um nome de domnio mais baixo, contm o nome completo dos objetos de nvel mais alto. Por exemplo, todos os

131

subdomnios de abc.com.br, obrigatoriamente, contm abc.com.br: vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br. Isso o que define um espao de nomes contnio. Dentro de um mesmo nvel, os nomes DNS devem ser nicos. Por exemplo, no possvel registrar dois domnios abc.com.br. Porm possvel registrar um domnio abc.com.br e outro abc.net.br. Dentro do domnio abc.com.br pode haver um servidor chamado srv01. Tambm pode haver um servidor srv01 dentro do domnio abc.net.br. O que distingue um do outro o nome completo (FQDN), neste caso: srv01.abc.com.br e o outro srv01.abc.net.br. Nota: Um mtodo antigo, utilizado inicalmente para resoluo de nomes era o arquivo hosts. Este arquivo um arquivo de texto e contm entradas como as dos exemplos a seguir, uma em cada linha: 10.200.200.3 10.200.200.4 10.200.200.18 www.abc.com.br ftp.abc.com.br srv01.abc.com.br srv-files

O arquivo hosts individual para cada computador da rede e fica gravado (no Windows NT, Windows 2000, Windows Server 2003 ou Windows XP), na pasta system32\drivers\etc, dentro da pasta onde o Windows est instalado. Este arquivo um arquivo de texto e pode ser alterado com o bloco de Notas. O DNS formado por uma srie de componentes e servios, os quais atuando em conjunto, tornam possvel a tarefa de fazer a resoluo de nomes em toda a Internet ou na rede interna da empresa. Os componentes do DNS so os seguintes:

O espao de nomes DNS: Um espao de nomes hierrquico e contnuo. Pode ser o espao de nomes da Internet ou o espao de nomes DNS interno, da sua empresa. Pode ser utilizado um espao de nomes DNS interno, diferente do nome DNS de Internet da empresa ou pode ser utilizado o mesmo espao de nomes. Cada uma das abordagens tem vantagens e desvantagens. Servidores DNS: Os servidores DNS contm o banco de dados do DNS com o mapeamento entre os nomes DNS e o respectivo nmero IP. Os servidores DNS tambm so responsveis por responder s consultas de nomes envidas por um ou mais clientes da rede. Voc aprender mais adiante que existem diferentes tipos de servidores DNS e diferentes mtodos de resoluo de nomes. Registros do DNS (Resource Records): Os registros so as entradas do banco de dados do DNS. Em cada entrada existe um mapeamento entre um determinado nome e uma informao associada ao nome. Pode ser desde um simples mapeamento entre um nome e o respectivo endereo IP, at registros mais sofisticados para a localizao de DCs (controladores de domnio do Windows 2000 ou Windows Server 2003) e servidores de email do domnio. Clientes DNS: So tambm conhecidos como resolvers. Por exemplo, uma estao de trabalho da rede, com o Windows 2000 Professional, com o Windows XP professional ou com o Windows Vista tem um resolver instalado. Este componente de software responsvel por detectar sempre que um programa precisa de resoluo de um nome e repassar esta consulta para um servidor DNS. O servidor DNS retorna o resultado da consulta, o resultado retornado para o resolver, o qual repassa o resultado da consulta para o programa que originou a consulta. 132

Entendendo como funcionam as pesquisas do DNS Imagine um usurio, na sua estao de trabalho, navegando na Internet. Ele tenta acessar o site www.uol.com.brO usurio digita este endereo e tecla Enter. O resolver (cliente do DNS instalado na estao de trabalho do usurio) detecta que existe a necessidade da resoluo do nome www.juliobattisti.com.br, para descobrir o nmero IP associado com este nome. O resolver envia a pesquisa para o servidor DNS configurado como DNS primrio, nas propriedades do TCP/IP da estao de trabalho (ou para o DNS informado pelo DHCP, caso a estao de trabalho esteja obtendo as configuraes do TCP/IP, automaticamente, a partir de um servidor DHCP assunto da Parte 10 deste tutorial). A mensagem envida pelo resolver, para o servidor DNS, contm trs partes de informao, conforme descrito a seguir:

O nome a ser resolvido. No nosso exemplo: www.uol.com.br O tipo de pesquisa a ser realizado. Normalmente uma pesquisa do tipo resource record, ou seja, um registro associado a um nome, para retornar o respectivo endereo IP. No nosso exemplo, a pesquisa seria por um registro do tipo A, na qual o resultado da consulta o nmero IP associado com o nome que est sendo pesquisado. como se o cliente perguntasse para o sevidor DNS: Voc conhece o nmero IP associado com o nome www.juliobattisti.com.br? E o servidor responde: Sim, conheo. O nmero IP associado com o nome www.uol.com.br o seguinte... Tambm podem ser consultas especializadas, como por exemplo, para localizar um DC (controlador de domnio) no domnio ou um servidor de autenticao baseado no protocolo Kerberos. Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows 2000 Server e Windows Server 2003, a classe ser sempre uma classe de Internet (IN), mesmo que o nome seja referente a um servidor da Intranet da empresa.

Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a primeira vez que um nome resolvido, o nome e o respetivo nmero IP so armazenados em memria, no que conhecido como Cache do cliente DNS, na estao de trabalho que fez a consulta. Na prxima vez que o nome for utilizado, primeiro o Windows procura no Cache DNS do prprio computador, para ver se no existe uma resoluo anterior para o nome em questo. Somente se no houver uma resoluo no Cache local do DNS, que ser envida uma consulta para o servidor DNS. Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do servidor DNS. No cache do servidor DNS ficam, por um determinado perodo de tempo, as consultas que foram resolvidas anteriormente pelo servidor DNS. Esse processo agiliza a resoluo de nomes, evitando repetidas resolues do mesmo nome. Se no for encontrada uma resposta no cache do servidor DNS, o servidor pode tentar resolver a consulta usando as informaes da sua base de dados ou pode enviar a consulta para outros servidores DNS, at que uma resposta seja obtida. A seguir descreverei detalhes deste procsso de enviar uma consulta para outros servidores, processo este chamado de recurso. Em resumo, o processo de resoluo de um nome DNS composto de duas etapas: 1. A consulta inicia no cliente e passada para o resolver na estao de trabalho do cliente. Primeiro o resolver tenta responder a consulta localmente, usando recursos tais como o cache local do DNS e o arquivo hosts. 2. Se a consulta no puder ser resolvida localmente, o resolver envia a consulta para o servidor DNS, o qual pode utilizar diferentes mtodos (descritos mais adiante), para a resoluo da consulta. 133

A seguir vou descrever as etapas envolvidas nas diferentes maneiras que o DNS utiliza para responder a uma consulta enviada por um cliente. Nota: Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar a maneira como o DNS resolve consultas localmente (resolver) e os diferentes mtodos de resoluo utilizados pelo servidor DNS. Inicialmente considere o diagrama da Figura a seguir, contido na Ajuda do DNS, no Windows 2000 Server, diagrama este que apresenta uma viso geral do processo de resoluo de nomes do DNS.

Figura - O processo de resoluo de nomes do DNS.

No exemplo desta figura, o cliente est em sua estao de trabalho e tenta acessar o site da Microsoft: www.microsoft.com. Ao digitar este endereo no seu navegador e pressionar Enter, o processo de resoluo do nome www.microsoft.com iniciado. Uma srie de etapas so executadas, at que a resolua acontea com sucesso ou falhe em definitivo, ou seja, o DNS no consegue resolver o nome, isto , no consegue encontrar o nmero IP associado ao endereo www.microsoft.com Primeira etapa: O DNS tenta resolver o nome, usando o resolver local: Ao digitar o endereo www.microsoft.com e pressionar Enter, o processo de resoluo iniciado. Inicialmente o endereo passado para o cliente DNS, na estao de trabalho do usurio. O cliente DNS conhecido como resolver, conforme j descrito anteriormente, nome este que utilizarei a partir de agora. O cliente tenta resolver o nome utilizando um dos seguintes recursos:

O cache DNS local: Sempre que um nome resolvido com sucesso, o nome e a informao associada ao nome (normalmente o endereo IP), so mantidos na memria, o que conhecido como cache local do DNS da estao de trabalho do cliente. Quando um nome precisa ser resolvido, a primeira coisa que o resolver faz procurar no cache local. Encontrando no cache local, as informaes do cache so utilizadas e a resoluo est completa. O cache local torna a resoluo mais rpida, uma vez que nomes j resolvidos podem ser consultados diretamente no cache, ao invs de terem que passar por todo o processo de resoluo via servidor DNS novamente, processo este que voc aprender logo a seguir. Pode acontecer situaes onde informaes incorretas foram gravadas no Cache Local e o Resolver est utilizando estas informaes. Voc pode limpar o Cache local, usando o comando ipconfig /flushdns Abra um prompt de Comando, digite o comando ipconfig /flushdns e pressione Enter. Isso ir limpar o Cache local. 134

O arquivo hosts: Se no for encontrada a resposta no cache local do DNS, o resolver consulta as entradas do arquivos hosts, o qual um arquivo de texto e fica na pasta onde o Windows Server foi instalado, dentro do seguinte caminho: \system32\drivers\etc (para o Windows NT 4, Windows 2000, Windows Server 2003 e Windos XP). O hosts um arquivo de texto e pode ser editado com o bloco de notas. Este arquivo possui entradas no formato indicado a seguir, com um nmeo IP por linha, podendo haver um ou mais nomes associados com o mesmo nmero IP: www.abc.com.br ftp.abc.com.br srv01.abc.com.br intranet.abc.com.br arquivos.abc.com.br pastas.abc.com.br pastas

10.200.200.3 10.200.200.4 10.200.200.18

Se mesmo assim a consulta no for respondida, o resolver envia a consulta para o servidor DNS configurado nas propriedades do TCP/IP como servidor DNS primrio ou configurado via DHCP, como servidor DNS primrio. Segunda etapa: Pesquisa no servidor DNS. Uma vez que a consulta no pode ser resolvida localmente pelo resolver, esta enviada para o servidor DNS. Quando a consulta chega no servidor DNS, a primeira coisa que o servidor DNS faz consultar as zonas para as quais ele uma autoridade. Por exemplo, vamos supor que o servidor DNS seja o servidor DNS primrio para a zona vendas.abc.com.br (diz-se que ele a autoridade para esta zona) e o nome a ser pesquisado srv01.vendas.abc.com.br. Neste caso o servidor DNS ir pesquisar nas informaes da zona vendas.abc.com.br (para a qual ele a autoridade) e responder a consulta para o cliente. Diz-se que o servidor DNS respondeu com autoridade (authoritatively). No nosso exemplo (Figura anterior) no este o caso, uma vez que o nome pesquisado www.microsoft.com e o servidor DNS no a autoridade, ou seja, no o servidor DNS primrio para o domno microsoft.com. Neste caso, o servidor DNS ir pesquisar o cache do servidor DNS (no confundir com o cache local do DNS no cliente). medida que o servidor DNS vai resolvendo nomes, ele vai mantendo estas informaes em um cache no servidor DNS. As entradas so mantidas em cache por um tempo que pode ser configurado pelo administrador do DNS. O cache do servidor DNS tem a mesma funo do cache local do resolver, ou seja, agilizar a consulta a nomes que j foram resolvidos previamente. Se for encontrada uma entrada no cache do servidor DNS, esta entrada ser utilizada pelo servidor DNS para responder a consulta enviada pelo cliente. e o processo de consulta est completo. Caso o servidor DNS no possa responder usando informaes de uma zona local do DNS e nem informaes contidas no cache do servidor DNS, o processo de pesquisa continua, usando um processo conhecido como recurso (recursion), para resolver o nome. Agora o servidor DNS far consultas a outros servidores para tentar responder a consulta enviada pelo cliente. O processo de recurso ilustrado na Figura a seguir, da ajuda do DNS. Em seguida comentarei os passos envolvidos no processo de recurso.

135

Figura - Resoluo de nomes usando recurso O servidor DNS ir iniciar o processo de recurso com o auxlio de servidores DNS da Internet. Para localizar estes servidores, o servidor DNS utiliza as configuraes conhecidas como root hints. Root hints nada mais do que uma lista de servidores DNS e os respectivos endereos IP, dos servidores para o domnio root (representado pelo ponto .) e para os domnios top-level (.com, .net, gov e assim por diante). Esta lista criada automaticamente quando o DNS instalado e pode ser acessada atravs das propriedades do servidor DNS. Na Figura a seguir exibida uma lista de root hints configuradas por padro, em um servidor DNS, baseado no Windows 2000 Server:

Figura - Lista de root hints do servidor DNS.

136

Com o uso da lista de servidores root hints, o servidor DNS consege localizar (teoricamente), os servidores DNS responsveis por quaisquer domnio registrado. Vamos novamente considerar um exemplo, para entender como o processo de recurso funciona. Imagine que a consulta enviada pelo cliente para descobrir o endereo IP associado ao nome srv01.vendas.abc.com. O cliente que fez esta consulta est usando um computador da rede xyz.com, o qual est configurado para usar, como DNS primrio, o DNS da empresa xyz.com. Primeiro vamos assumir que o nome no pode ser resolvido localmente no cliente (usando o cache DNS local e o arquivo hosts) e foi enviado para o servidor DNS primrio da empresa xyz.com. Este DNS dono, autoridade apenas para o domnio xyz.com e no para vendas.abc.com (lembrando sempre que a primeira parte do nome o nome da mquina, conhecido como nome de host). Com isso o servidor DNS primrio da empresa xyz.com.br ir pesquisar no cache do servidor DNS. No encontrando a resposta no cache, iniciado o processo de recurso, com os passos descritos a seguir: 1. O servidor DNS retira apenas a parte correspondente ao domnio (o nome todo, menos a primeira parte. No nosso exemplo seria vendas.abc.com, srv01 o nome de host). Usando a lista de servidores DNS configurados como root hints, o servidor DNS localiza um servidor que seja o dono, a autoridade para o domnio root da Internet, representado pelo ponto (o processo assim mesmo, de trs para frente). 2. Localizado o servidor responsvel pelo domnio root, o servidor DNS da empresa xyz.com envia uma consulta interativa para o servidor DNS responsvel pelo domnio root, perguntando: Voc sabe quem o servidor DNS responsvel pelo domnio .com?. O servidor DNS root responde com o endereo IP de um dos servidores DNS responsveis pelo domnio .com. Ou seja, o servidor DNS root no sabe responder diretamente o nome que est sendo resolvido, mas sabe para quem enviar, sabe a quem recorrer. Talvez da venha o nome do processo recurso. 3. O servidor DNS do domnio xyz.com recebe a resposta informando qual o servidor DNS responsvel pelo domnio .com. 4. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel pelo .com (informado no passo 3), perguntando: Voc a autoridade para abc.com ou saberia informar quem a autoridade para abc.com? 5. O servidor DNS responsvel pelo domnio .com no a autoridade para abc.com, mas sabe informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo .com retorna para o servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio abc.com. 6. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor responsvel pelo domnio abc.com. 7. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel pelo abc.com (informado no passo 6), perguntando: Voc a autoridade para vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com? 8. O servidor DNS responsvel pelo abc.com no a autoridade para vendas.abc.com, mas sabe informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo abc.com retorna para o servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio vendas.abc.com.

137

9. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor responsvel pelo domnio vendas.abc.com. 10. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel pelo vendas.abc.com (informado no passo 9), perguntando: Voc a autoridade para vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com? 11. O servidor DNS para vendas.abc.com recebe a consulta para resolver o nome srv01.vendas.abc.com. Como este servidor a autoridade para o domnio, ele pesquisa a zona vendas.abc.com, encontra o registro para o endereo serv01.vendas.abc.com e retornar esta inforamao para o servidor DNS do domnio xyz.com. 12. O servidor DNS do domnio xyz.com recebe a resposta da consulta, faz uma cpia desta resposta no cache do servidor DNS e retornar o resultado para o cliente que originou a consulta. 13, No cliente o resolver recebe o resultado da consulta, repassa este resultado para o programa que gerou a consulta e grava uma cpia dos dados no cache local do DNS. Evidentemente que a descrio do processo demora muito mais tempo do que o DNS realmente leva para resolver um nome usando este mtodo. Claro que a resoluo rpida, seno ficaria praticamente impossvel usar a Internet. Alm disso, este mtodo traz algumas vantagens. Durante esta espcie de pingue-pongue entre o servidor DNS e os servidores DNS da Internet, o servidor DNS da empresa vai obtendo informaes sobre os servidores DNS da Internet e grava estas informaes no cache local do servidor DNS. Isso agiliza futuras consultas e reduz, significativamente, o tempo para a resoluo de nomes usando o processo de recurso. Estas informaes so mantidas na memria do servidor e com o passar do tempo podem ocupar um espao considervel da memria. Toda vez que o servio DNS for parado e iniciado novamente, estas informaes sero excludas da memria e o processo de cache inicia novamente. Consideraes e tipos especiais de resolues O processo descrito anteriormente, termina com o servidor DNS (aps ter consultado vrios outros servidores) retornando uma resposta positiva para o cliente, isto , conseguindo resolver o nome e retornando a informao associada (normalmente o nmero IP associado ao nome) para o cliente. Mas nem sempre a resposta positiva, muitos outros tipos de resultados podem ocorrer em resposta a uma consulta, tais como:

An authoritative answer (resposta com autoridade): Este tipo de resposta obtido quando o nome resolvido diretamente pelo servidor DNS que a autoridade para o domnio pesquisado. Por exemplo, um usurio da Intranet da sua empresa (abc.com.br), tenta acessar uma pgina da intranet da empresa, por exemplo: rh.abc.com.br. Neste caso a consulta ser enviada para o servidor DNS da empresa, o qual a autoridade para a zona abc.com.br, com isso o servidor DNS da empresa, responde diretamente consulta, informando o nmero IP do servidor rh.abc.com.br. tambm uma resposta positiva s que com autoridade, ou seja, respondida diretamente pelo servidor DNS que a autoridade para o domnio pesquisado, sem a necessidade de usar recurso. A positive answer (resposta positiva): uma resposta com o resultado para o nome pesquisado, isto , o nome pde ser resolvido e uma ou mais informaes associadas ao nome so retornadas para o cliente. A referral answer (uma referncia): Este tipo de resposta no contm a resoluo do nome pesquisado, mas sim informaes e referncia a recursos ou outros servidores DNS que 138

podem ser utilizados para a resoluo do nome. Este tipo de resposta ser retornado para o cliente, se o servidor DNS no suportar o mtodo de recurso, descrito anteriormente. As informaes retornadas por uma resposta deste tipo so utilizadas pelo cliente para continuar a pesquisa, usando um processo conhecido como interao (o qual ser descrito mais adiante). O cliente faz a pesquisa em um servidor DNS e recebe, como resposta, uma referncia a outro recurso ou servidor DNS. Agora o cliente ir interagir com o novo recurso ou servidor DNS, tentando resolver o nome. Este processo pode continuar at que o nome seja resolvido ou at que uma resposta negativa seja retornada, indicando que o nome no pode ser resolvido. O processo de interao ser descrito mais adiante.

A negative answer (uma resposta negativa): Esta resposta pode indicar que um dos seguintes resultados foi obtido em resposta consulta: Um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado no existe neste domnio ou um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado exsite, mas o tipo de registro no confere.

Uma vez retornada a resposta, o resolver interpreta o resultado da resposta (seja ela positiva ou negativa) e repassa a resposta para o programa que fez a solicitao para resoluo de nome. O resolver armazena o resultado da consulta no cache local do DNS. Dica Importante: O administrador do DNS pode desabilitar o recurso de recurso em um servidor DNS em situaes onde os usurios devem estar limitados a utilizar apenas o servidor DNS da Intranet da empresa. O servidor DNS tambm define tempos mximos para determinadas operaes. Uma vez atingido o tempo mximo, sem obter uma resposta consulta, o servidor DNS ir retornar uma resposta negativa:

Intervalo de reenvio de uma consulta recursiva 3 segundos: Este o tempo que o DNS espera antes de enviar novamente uma consulta (caso no tenha recebido uma resposta) feita a um servidor DNS externo, duranto um processo recursivo. Intervalo de time-out para um consulta recursiva 15 segundos: Este o tempo que o DNS espera antes de determinar que uma consulta recursiva, que foi reenviada falhou.

Estes parmetros podem ser alterados pelo Administrador do DNS. Como funciona o processo de interao O processo de interao utilizado entre o cliente DNS (resolver) e um ou mais servidores DNS, quando ocorrerem as condies indicadas a seguir:

O cliente tenta utilizar o processo de recurso, discutido anteriormente, mas a recurso est desabilitada no servidor DNS. O cliente no solicita o uso de recurso, ao pesquisar o servidor DNS. O cliente faz uma consulta ao servidor DNS, informando que esperada a melhor resposta que o servidor DNS puder fornecer imediatamente, sem consultar outros servidores DNS.

Quando o processo de interao utilizado, o servidor DNS responde consulta do cliente com base nas informaes que o servidor DNS tem sobre o domnio pesquisado. Por exemplo, o servidor DNS da sua rede interna pode receber uma consulta de um cliente tentando resolver o nome www.abc.com. Se este nome estiver no cache do servidor DNS ele responde positivamente para o cliente. Se o nome no estiver no cache do servidor DNS, o servidor DNS responde com uma lista 139

de servidores de referncia, que uma lista de registros do tipo NS e A (voc aprender sobre os tipos de registro na parte prtica), registros estes que apontam para outros servidores DNS, capazes de resolver o nome pesquisado. Ou seja, o cliente recebe uma lista de servidores DNS para os quais ele deve enviar a consulta. Observem a diferena bsica entre o processo de recurso e o processo de interao. Na recurso, o servidor DNS que entra em contato com outros servidores (root hints), at conseguir resolver o nome pesquisado. Uma vez resolvido o nome, ele retorna a resposta para o cliente. J no processo de interao, se o servidor DNS no consegue resolver o nome, ele retorna uma lista de outros servidores DNS que talvez possam resolver o nome pesquisado. O cliente recebe esta lista e envia a consulta para os servidores DNS informados. Este processo (esta interao) continua at que o nome seja resolvido ou que uma resposta negativa seja recebida pelo cliente, informando que o nome no pode ser resolvido. Ou seja, no processo de interao, a cada etapa do processo, o servidor DNS retorna para o cliente, uma lista de servidores DNS a serem pesquisados, at que um dos servidores responde positivamente (ou negativamente) consulta feita pelo cliente. Como funciona o cache nos servidores DNS O trabalho bsico do servidor DNS responder s consultas enviadas pelos clientes, quer seja utilizando recurso ou interao. A medida que os nomes vo sendo resolvidos, esta informao fica armazenada no cache do servidor DNS. Com o uso do cache, futuras consultas nomes j resolvidos, podem ser respondidas diretamente a partir do cache do servidor DNS, sem ter que utilizar recurso ou interao. O uso do cache agiliza o processo de resoluo de nomes e tambm reduz o trfego de rede gerado pelo DNS. Quando as informaes so gravadas no cache do servidor DNS, um parmetro chamado Time-ToLive (TTL) associado com cada informao. Este parmetro determina quanto tempo a informao ser mantida no cache at ser descartada. O parmetro TTL utilizado para que as informaes do cache no se tornem desatualizadas e para minimizar a possibilidade de envio de informaes desatualizadas em resposta s consultas dos clientes. O valor padro do parmetro TTL 3600 segundos (uma hora). Este parmetro pode ser configurado pelo administrador do DNS, conforme ser mostrado na parte prtica, nas partes de 21 a 50, as quais constituem o Mdulo 2 deste curso. Aviso Importante: Por padro o Servidor DNS utiliza um arquivo chamado Cache.dns, o qual fica gravado na pasta systemroot\System32\Dns, onde systemroot representa a pasta onde o Windows 2000 Server ou Windows Server 2003 est instalado. Este arquivo no tem a ver com o Cache de nomes do servidor DNS. Neste arquivo est contida a lista de servidores root hints (descritos anteriormente). O contedo deste arquivo carregado na memria do servidor, durante a inicializao do servio do DNS e utilizado para localizar os servidores root hints da Internet, servidores estes utilizados durante o processo de recurso, descrito anteriormente.

Instalao do DNS no Windows 2000 Server Por padro, o DNS no instalado durante a instalao do Windows 2000 Server. Ao instalar o Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comunicar com um servidor DNS que seja a autoridade para o domnio do qual far parte o DC. Pode ser qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente ser possvel utilizar servidores DNS no UNIX, se a verso do DNS for a BIND 8.1.2 ou superior. Se no for possvel localizar um servidor DNS, o assistente do Active Directory instala o DNS no servidor que est sendo promovido a DC. O DNS instalado como um servio e configurado para 140

iniciar automaticamente. A maioria das tarefas de administrao do DNS podem ser executadas com o console DNS, o qual acessado atravs do menu Start -> Administrative Tools (Iniciar -> Ferramentas Administrativas). Neste tem voc aprender a instalar o servio DNS em um servidor baseado no Windows 2000 Server. Voc ver que a instalao do DNS extremamente simples. Nota : Se voc tem servidores DNS baseados no NT Server 4.0, voc pode fazer a migrao destes servidores para o Windows 2000 Server. Todas as configuraes do DNS j existentes sero mantidas. Primeiro deve ser feita a migrao dos servidores DNS primrios (onde est a zona primria de cada domnio DNS) e depois a dos servidores DNS secundrios. Instalando o DNS no Windows 2000 Server Para instalar o DNS siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de Controle: Iniciar -> Painel de Controle. 3. D um clique duplo na opo Adicionar ou remover progrmas. 4. Ser exibida a janela Adicionar ou remover programas. Nas opes do lado esquerdo da janela, d um clique na opo Adicionar ou Remover Componentes do Windows 5. Ser aberto o assistente de componentes do Windows. 6. O DNS classificado como um servio de rede Servios de Rede. Localize esta opo e d um clique para marc-la, conforme indicado na Figura a seguir:

Figura - A opo Servios de Rede. 7. Clique no boto Detalhes..., para exibir a lista de servios de redes disponveis.

141

8. Ser aberta a janela Servios de rede. Na lista de servios que exibida, marque a opo Sistema de nomes de domnio (DNS), conforme indicado na Figura a seguir:

Figura - Selecionando o DNS para instalao. 9. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows. 10. Clique em Avanar, para seguir para a prxima etapa do assistente. 11. O Windows 2000 Server inicia o processo de instalao e emite mensagens sobre o andamento da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de instalao do Windows 2000 Server no drive, conforme exemplo da Figura a seguir:

Figura - O assistente solicita o CD de instalao do Windows 2000 Server. 12. Insira o CD do Windows 2000 Server no driver e clique em OK. O assistente continua o processo de instalao. 13. A tela final do assistente exibida com uma mensagem informando que o assistente foi concludo com sucesso. Clique em Concluir para fechar o assistente. 14. Voc estar de volta janela Adicionar ou remover progrmas. Feche-a. Pronto, o DNS foi instalado e est pronto para ser configurado. No preciso reinicializar o servidor para que o DNS possa ser utilizado. O DNS instalado como um servio e configurado para ser 142

inicializado automaticamente. O servio do DNS configurado para executar no contexto da conta Local System. A administrao e configurao do DNS feita atravs do console DNS, o qual pode ser acessado atravs da seguinte opo: Iniciar -> Programas -> Ferramentas administrativas -> DNS. Nas prximas partes deste tutorial, voc aprender a executar algumas aes de administrao do DNS. Instalando o DNS no Windows Server 2003: Por padro, o DNS no instalado durante a instalao do Windows Server 2003. Ao instalar o Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comunicar com um servidor DNS que seja a autoridade para o domnio do qual far parte o DC. Pode ser qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente ser possvel utilizar servidores DNS no UNIX, se a verso do DNS for a BIND 8.1.2 ou superior. Se no for possvel localizar um servidor DNS, o assistente do Active Directory instala o DNS no servidor que est sendo promovido a DC. O DNS instalado como um servio e configurado para iniciar automaticamente. A maioria das tarefas de administrao do DNS podem ser executadas com o console DNS, o qual acessado atravs do menu Start -> Administrative Tools (Iniciar -> Ferramentas Administrativas). Neste tem voc aprender a instalar o servio DNS em um servidor Windows Server 2003. Voc ver que a instalao do DNS extremamente simples. Nota : Se voc tem servidores DNS baseados no NT Server 4.0 ou no Windows 2000 Server, voc pode fazer a migrao destes servidores para o Windows Server 2003. Todas as configuraes do DNS j existentes sero mantidas. Primeiro deve ser feita a migrao dos servidores DNS primrios (onde est a zona primria de cada domnio) e depois a dos servidores DNS secundrios. Instalando o DNS no Windows Server 2003 Para instalar o DNS siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de Controle: Start -> Control Panel (Iniciar -> Painel de Controle). 3. D um clique duplo na opo Add or remove programs (Adicionar ou remover progrmas). 4. Ser exibida a janela Add or remove programs (Adicionar ou remover progrmas). Nas opes do lado esquerdo da janela, d um clique na opo Add/Remove Windows Components (Adicionar ou Remover Componentes do Windows) 5. Ser aberto o assistente de componentes do Windows. 6. O DNS classificado como um servio de rede Networking Services. Localize esta opo e d um clique para marc-la, conforme indicado na Figura a seguir:

143

Figura - A opo Networking Services. 7. Clique no boto Details (Detalhes), para exibir a lista de servios de redes disponveis. 8. Ser aberta a janela Networking Services. Na lista de servios que exibida, marque a opo Domain Name System (DNS), conforme indicado na Figura a seguir:

Figura - Selecionando o DNS para instalao. 9. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows. 144

10. Clique em Next (Avanar), para seguir para a prxima etapa do assistente. 11. O Windows Server 2003 inicia o processo de instalao e emite mensagens sobre o andamento da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de instalao do Windows Server 2003 no drive, conforme exemplo da Figura a seguir:

Figura - O assistente solicita o CD de instalao do Windows Server 2003. 12. O assistente detecta que o CD foi inserido no drive e continua o processo de instalao. 13. A tela final do assistente exibida com uma mensagem informando que o assistente foi concludo com sucesso. Clique em Finish (Concluir) para fechar o assistente. 14. Voc estar de volta janela Add/Remove Programs. Feche-a. Pronto, o DNS foi instalado e est pronto para ser configurado. No preciso reinicializar o servidor para que o DNS possa ser utilizado. O DNS instalado como um servio e configurado para ser inicializado automaticamente. O servio do DNS configurado para executar no contexto da conta Local System. . A administrao e configurao do DNS feita atravs do console DNS, o qual pode ser acessado atravs da seguinte opo: Iniciar -> Ferramentas administrativas -> DNS. Nas prximas partes deste tutorial, voc aprender a executar algumas aes de administrao do DNS, no Windows Server 2003. Criando, administrando e configurando zonas no DNS Aps a instalao do DNS, a primeira coisa que o administrador deve fazer criar uma zona primria direta. Por exemplo, vamos supor que voc est implementando a estrutura de DNS da rede da sua empresa. Voc comea pelo domnio root, que xyz.com.br. Neste caso, voc tem que criar uma zona primria direta (mais adiante voc aprender a criar zonas segundrias, aprender sobre o conceito de zona reversa e como criar uma zona reversa). A zona chamada primria porque ela ainda no existe e est sendo criada para conter as informaes do domnio no nosso exemplo, o domnio xyz.com.br. Ela chamada direta, porque conter informaes para resoluo de nomes para endereo IP, ou seja, fornecido um nome no domnio xyz.com.br, esta zona conter informaes para retornar o endereo IP associado com o nome. Uma zona reversa, que ser descrita em uma das prximas partes deste tutorial, faria o contrrio, ou seja, dado um endereo IP, o DNS pesquisa na zona reversa para encontrar o nome associado ao endereo IP. As zonas secundrias somente podem ser criadas se j existir uma zona primria. As zonas secundrias contm uma cpia integral dos registros da zona primria e recebem as atualiaes efetuadas na zona primria atravs do mecanismo de replicao de zonas. Criando uma zona Primria Direta 145

Exemplo: Criar a zona primria direta (Forward Lookup Zone) para conter os registros do domnio xyz.com.br. Para criar esta zona siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. 3. Ser exibido o console DNS. No painel da esquerda, por padro, esto disponveis as seguintes opes:

Zonas de pesquisa direta Zonas de pesquisa inversa

Nota: O console DNS pode ser utilizado para gerenciar toda a estrutura de DNS da empresa de uma maneira centralizada. O administrador pode usar o console DNS para conectar-se com outros servidores DNS da rede da empresa e gerenciar zonas e configuraes dos diversos servidores DNS da rede, a partir de um nico console DNS, centralizadamente. Na Figura a seguir, apresento um exemplo onde estou utilizando o console DNS para gerenciar dois servidores DNS diferentes. Para conectar-se a um servidor DNS remoto basta clicar com o boto direito do mouse na opo DNS (primeira opo, bem em cima, no painel da esquerda). No menu de opes que exibido clique em Conectar-se ao Computador.... Ser exibida a janela Selecionar mquina de destino. Clique na opo No seguinte computador. Ao lado desta opo digite o nome ou o endereo IP do servidor DNS a ser acessado. Clique em OK e pronto, agora voc pode gerenciar o servidor DNS remotamente. O administrador responsvel pela DNS pode criar um console personalizado, onde so adicionados os vrios servidores DNS pelos quais ele responsvel. Feito este breve comentrio, vamos voltar a criao de uma zona direta, no servidor DNS do Windows 2000 Server.

Figura - Gerenciando vrios servidores DNS em um nico console.

4. Neste exemplo voc utilizar a opo Zonas de pesquisa direta. Clique com o boto direito do mouse neste opo. 5. No menu de opes que exibido clique em Nova Zona... 6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente. 146

7. Nesta etpa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes Integrada ao Active Directory, Primria Padro e Secundria padro. Voc aprender sobre zonas secundrias e sobre a integrao com o Active Directory, nas prximas partes deste tutorial. Se o servidor que voc est utilzando for um DC, estar disponvel a opo Integrada com o Active Directory. Voc tambm aprender sobre esta opo, nas prximas partes deste tutorial e tambm sobre a integrao do DNS com o Active Directory. Para o nosso exemplo, defina as configuraes indicadas na Figura a seguir:

Figura - Criando uma zona primria, no integrada com o Active Directory.

8. Clique em Avanar, para seguir para a prxima etapa do assistente. 9. Nesta etapa ser solicitado o nome da zona. Digite xyz.com.br no campo Nome da Zona e clique em Avanar, para seguir para a prxima etapa do assistente. 10. Nesta etapa voc define se deseja criar um novo arquivo onde sero gravadas as informaes sobre a zona xyz.com.br ou se deseja usar um arquivo existente. Voc pode utilizar um arquivo existente, caso a zona j existisse anteriormente e houve problemas no servidor. Neste caso voc poder recriar a zona e mandar usar o arquivo j existente anteriormente. Ao fazer isso, todas as informaes contidas anteriormente sero recuperadas a partir do arquivo j existente. No nosso exemplo vamos salvar as informaes da zona em um novo arquivo. Por padro, para o nome do arquivo, o assistente sugere o nome da zona com a extenso .dns. O arquivo ser criado na pasta systemroot\System32\Dns , onde systemroot representa a pasta onde est instalado o Windows 2000 Server. Vamos aceitar a opo padro, conforme indicado na Figura a seguir:

147

Figura - Definindo informaes.

nome

do

arquivo

onde

sero

salvas

as

11. Clique em Avanar, para seguir para a prxima etapa do assistente. 12. Ser exibida a tela final do assistente. Se voc quiser alterar alguma opo pode utilizar o boto Voltar. Clique em Concluir, para criar a zona primria direta: xyz.com.br, conforme indicado na Figura a seguir:

Figura - A zona xyz.com.br, recm criada. Concluso

148

At aqui foi feita a criao de uma zona direta xyz.com.br, no servidor DNS do Windows Server. Muito bem, a zona xyz.com.br foi criada. Mas criar somente a zona tem pouca (para no dizer nenhuma) utilidade. Uma zona deve conter registros, os quais sero consultados para responder s consultas enviadas pelos clientes.

Tipos de Registros no DNS

As informaes sobre o DNS so armazenadas em zonas. Em uma zona pode haver informaes sobre um ou mais domnios. As informaes so adicionadas em uma zona do DNS, atravs da criao de registros. Por exemplo, pode ser criado um registro do tipo A, o qual associa o nome DNS com o respectivo nmero IP. O objetivo desta parte do tutorial justamente apresentar e descrever os principais tipos de registros disponveis. Trabalhando com registros do DNS Um banco de dados de um servidor DNS constitudo por uma ou mais zonas, conforme j descrito anteriormente, em outras partes desta srie de tutoriais. Em cada zona ficam armazenados os registros do DNS. Os registros armazenam informaes de uma maneira estruturada. O DNS do Windows 2000 Server suporta uma srie de registros. Nesta parte do tutorial vou destacar os principais tipos de registros suportados pelo DNS do Windows 2000 Server. Na Ajuda do DNS (menu Ajuda do console DNS), voc encontra uma referncia completa, de todos os registros suportados pelo DNS. Todos os registros do DNS tm uma estrutura padro, com um conjunto determinado de campos de informao. At podemos fazer a analogia com uma tabela de um banco de dados, no modelo relacional de dados, onde cada registro determinado por um conjunto de campos de informao. Os registros do DNS no Windows 2000 Server, contm os seguintes campos de informao:

Dono (Owner): Indica o nome do domnio DNS no qual o registro se encontra, ou em outras palavras, o domnio DNS que dono (owner) do registro. Este o nome que exibido no console DNS. Time to Live (TTL): Para a maior parte dos tipos de registro este campo opcional. Este campo utilizado por outros servidores DNS, para determinar por quanto tempo o registro ser armazenado no cache destes servidores, aps o registro ter sido carregado em resposta a uma consulta feita ao servidor. Transcorrido o tempo definido neste campo, o registro descartado. A maioria dos registros criados pelo DNS herdam o valor padro para o TTL que de uma hora (3600 segundos). Este valor herdado da definio do TTL do registro SOA Start of Authority, que o principal registro de uma zona, registro que define uma srie de caractersticas de uma zona. Voc pode definir individualmente, para cada registro, um valor de TTL diferente do valor herdado do registro SOA. Voc tambm pode definir um valor igual a zero (0), para registros que no devam ser mantidos no cache dos servidores DNS. Class: Contm um texto padro, indicativo da classe do registro. Por exemplo, um valor igual a IN, indica que o registro pertence a classe Internet, alis nica classe suportada pelo DNS do Windows 2000 Server. Este campo obrigatrio, embora tenha sempre o mesmo valor no DNS do Windows 2000 Server.

149

Type: Contm um texto padro, indicativo do tipo do registro. Por exemplo, um tipo igual a A indica um registro que armazena informaes de endereo. o tipo mais comum, onde gravado um nmero IP associado com um nome. Este campo obrigatrio. Dados do registro (Record-specific data): Contm os dados do registro. Por exemplo, para um registro do tipo A, conter o nome e o nmero IP associado com o nome. obrigatrio.

Agora que voc j conhece a estrutura de um registro do DNS, hora de aprender sobre os principais tipos de registros. Conforme descrito anteriormente, voc encontra uma referncia completa sobre todos os tipos de registros, na Ajuda do DNS. Descrio de alguns dos principais tipos de registros do DNS do Windows 2000 Server: A Descrio: Endereo de Host (Host address (A) resource record). o tipo mais utilizado, faz o mapeamento de um nome DNS para um endereo IP verso 4, de 32 bits. Exemplos: host1.example.microsoft.com. srv01.abc.com.br srv02.abc.com.br AAAA Descrio: Endereo de host IPv6 (IPv6 host address (AAAA)). Faz o mapeamento de um nome DNS para um endereo IP verso 6, de 128 bits. Exemplo: ipv6_host1.example.microsoft.com. CNAME Descrio: Canonical name (CNAME): Mapeia um alias (apelido) ou nome DNS alternativo. Por exemplo, suponha que o site da empresa esteja no servidor srv01.abc.com.br. Porm na internet, os usurios iro utilizar o nome www.abc.com.br. Neste caso basta criar um alias www que faz referncia ao nome srv01.abc.com.br. Pronto, quando os usurios digitarem www.abc.com.br estaro acessando, na verdade, o endereo srv01.abc.com.br. Porm para o usurio, tudo ocorre transparentemente, como se o nome fosse realmente www.abc.com.br. Exemplo: www.abc.com.br. CNAME HINFO Descrio : Host information (HINFO): Utilizado para armazenar informaes sobre o hardware do servidor DNS, tais como tipo de CPU, tipo e verso do sistema operacional e assim por diante. Estas informaes pode ser utilizadas por protocolos como por exemplo o ftp, o qual utiliza procedimentos diferentes, para diferentes sistemas operacionais Exemplo: my-computer-name.example.microsoft.com. MX HINFO INTEL-386 WIN32 srv01.abc.com.br. IN AAAA 4321:0:1:2:3:4:567:89ab IN A 127.0.0.1 IN A 100.100.200.150 IN A 100.100.200.151

150

Descrio : Mail exchanger (MX): Fornece informaes utilizadas pelos servidores de e-mail, para o roteamento de mensagens. Cada host definido em um registro MX deve ter um correspondente registro do tipo A em uma zona vlida, no servidor DNS. Exemplo: example.microsoft.com. MX 10 mailserver1.example.microsoft.com Nota : O nmero de dois dgitos aps o MX, um indicativo da ordem de preferncia quando mais de um registro MX configurado na mesma zona. NS Descrio : utilizado para relacionar um nome DNS com o seu dono, ou seja, o servidor que a autoridade para o nome DNS. Ou em outras palavras, o servidor DNS onde est a zona primria associada ao nome. Exemplo: example.microsoft.com. PTR Descrio : Pointer (PTR): utilizado em zonas reversas, para fazer o mapeamento reverso, ou seja, o mapeamento de um nmero IP para um nome. Ao criar um registro do tipo A, em uma zona direta, voc pode criar, automaticamente, o registro PTR associad, se j houver uma zona reversa configurada. Exemplo: 10.20.20.10.in-addr.arpa. SOA Descrio : Start of authority (SOA): O principal registro, o registro que define muitas das caractersticas de uma zona. Contm o nome da zona e o nome do servidor que a autoridade para a referida zona, ou seja, o servidor DNS onde est a zona foi criada originalmente. Contm tambm a definio de outras caractersticas bsicas da zona. sempre o primeiro registro da zona, pois criado durante a criao da zona. Define caractersticas tais como o nmero serial da zona (que um indicativo se houve ou no alteraes na zona. Este nmero utilizado para controlar a replicao entre a zona primria e as zonas secundrias), o valor do TTL para os demais registros da zona e assim por diante. Exemplo: @ IN SOA nameserver.example.microsoft.com. postmaster.example.microsoft.com. ( 1 ; serial number 3600 ; refresh [1h] 600 ; retry [10m] 86400 ; expire [1d] 3600 ) ; min TTL [1h] Sobre registros do DNS era isso. Nas prximas partes deste tutorial voc aprender sobre zonas reversas e aprender a criar zonas reversas. Em seguida aprender a criar registros, tanto em uma zona direta, quanto em uma zona reversa. PTR host.example.microsoft.com. IN NS nameserver1.example.microsoft.com

151

Zonas de pesquisa inversa Reverse Lookup Zones - Conceito

A maioria das consultas para resoluo de nomes, realizadas pelos clientes so consultas diretas Forward Lookup. Neste tipo de consulta o cliente tem um nome DNS e quer pesquisar uma informao associada com o nome, normalmente um endereo IP. Ou seja, a resposta esperada o endereo IP associado com o nome pesquisado. Por exemplo, quando voc digita http://www.uol.com.brno seu navegador, o servidor DNS faz uma pesquisa direta, para tentar encontrar o nmero IP associado com o nome www.uol.com.br O DNS tambm d suporta as chamadas pesquisas inversas (Reverse Lookup), na qual o cliente tem um endereo IP vlido e deseja localizar o nome associado com o endereo IP. Vejam que o contrrio da pesquisa direta (por isso que o nome pesquisa reversa). Na pesquisa direta o cliente tem o nome e deseja localizar o endereo IP associado. Na pesquisa reversa o usurio tem o endereo IP e deseja localizar o nome associado. Originalmente o DNS no foi projetado para dar suporte a este tipo de consulta. Pela maneira hierrquica como o DNS est organizado, a nica maneira para responder este tipo de consulta, se fossem utilizadas apenas as zonas diretas, seria pesquisar todos os servidores DNS existentes o que faria com que o tempo de consulta fosse muito elevado, o que inviabilizaria o uso de pesquisas reversas. Para resolver esta questo foi criado um domnio especial, com o nome de in-addr.arpa. Este domnio faz parte das definies atuais do DNS e foi a maneira encontrada para fornecer a resoluo reversa de nomes, sem que houvesse a necessidade de pesquisar em todos os servidores DNS. Para criar o espao de nomes reverso, so criados subdomnios do domnio especial in-addr.arpa. O nome destes subdomnios formado pela ordem inversa do nmero IP da rede. Por exemplo, considere a rede 100.20.50.0/255.255.255.0. A zona para resoluo reversa desta rede seria a seguinte: 50.20.100.in-addr.arpa Observe que coloquei os nmeros da rede de trs para a frente como um sub-domnio do domnio especial in-addr.arpa. Esta ordem inversa necessria porque, voc deve estar lembrado do tpico sobre como so resolvidas as consultas do DNS, que a resoluo feita de trs para frente. Ao reverter os nmeros, para formar o sub-domnio, quando os nmeros so lidos de trs para a frente eles ficam na ordem certa. Por exemplo, lendo 50.20.100 de trs para frente fica: 100.20.50, ou seja, o nmero da rede na ordem certa. Nota: O uso do domnio in-addr.arpa aplicado a todas as redes baseadas no protocolo IP verso 4 (IPv4), que utiliza endereos IP de 32 bits. Importante: Os mecanismos de recurso e interao, utilizados para a resoluo direta de nomes, tambm so utilizados para a resoluo reversa. Criando uma zona reversa A seguir voc aprender a criar uma zona reversa. Voc criar uma zona reversa para a rede 120.200.35.0/255.255.255.0. A primeira etapa determinar o nome da zona reversa (na prtica isso no seria necessrio, pois o assistente de criao ns d uma ajuda neste sentido). A determinao do nome da zona reversa bastante simples: 1. Inverta os octetos que compem a rede: 35.200.120 ( o inverso de 120.200.35). 152

2. O nmero j invertido criado com um sub-domnio do domnio in-addr.arpa: 35.200.120.inaddr.arpa. Para criar a zona reversa 35.200.120.in-addr.arpa, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. 3. Ser exibido o console DNS. No painel da esquerda, por padro, esto disponveis as seguintes opes:

Zonas de pesquisa direta Zonas de pesquisa inversa

4. Neste exemplo voc utilizar a opo Zonas de pesquisa inversa. Clique com o boto direito do mouse neste opo. 5. No menu de opes que exibido clique em Nova Zona... 6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente. 7. Nesta etpa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes Integrada ao Active Directory, Primria Padro e Secundria padro. Voc aprender sobre zonas secundrias e sobre a integrao com o Active Directory, em outras partes deste tutorial. Se o servidor que voc est utilzando for um DC, estar disponvel a opo Integrada com o Active Directory. Voc tambm aprender sobre esta opo mais adiante e sobre a integrao do DNS com o Active Directory. Para o nosso exemplo, defina as configuraes indicadas na Figura a seguir:

Figura - Criando uma zona primria, no integrada com o Active Directory.

8. Clique em Avanar, para seguir para a prxima etapa do assistente. 9. Nesta etapa ser solicitado que voc digite a identificao da rede. Digite a identificao na ordem normal. O prprio assistente se encarrega de inverter a ordem dos octetos da rede, para formar o nome da zona reversa. Digite, por exemplo 35.200.120 e o assistente gera o nome da zona reversa, conforme exemplo da Figura a seguir: 153

Figura - Gerao automtica do nome da zona reversa.

10. Clique em Avanar, para seguir para a prxima etapa do assistente. 11. Nesta etapa voc define se deseja criar um novo arquivo onde sero gravadas as informaes sobre a zona reversa 120.200.35.in-addr.arpa ou se deseja usar um arquivo j existente. Nota: Voc pode utilizar um arquivo existente, caso a zona j existisse previamente e houve problemas no servidor DNS. Neste caso voc poder recriar a zona e mandar usar o arquivo j existente anteriormente. Ao fazer isso, todas as informaes contidas anteriormente sero recuperadas a partir do arquivo j existente. No nosso exemplo vamos salvar as informaes da zona em um novo arquivo. Por padro, para o nome do arquivo, o assistente sugere o nome da zona com a extenso .dns. O arquivo ser criado na pasta systemroot\System32\Dns , onde systemroot representa a pasta onde est instalado o Windows 2000 Server. Vamos aceitar esta opo, conforme indicado na Figura a seguir:

154

Figura - Definindo o nome do arquivo onde sero salvas as informaes. 12. Clique em Avanar, para seguir para a prxima etapa do assistente. 13. Ser exibida a tela final do assistente. Se voc quiser alterar alguma opo pode utilizar o boto Voltar. Clique em Concluir, para criar a zona primria reversa: 120.200.35.in-addr.arpa.dns, conforme indicado na Figura a seguir:

Figura - A zona 120.200.35.in-addr.arpa.dns, recm criada.

155

Criando registros em uma zona

Muito bem, voc j aprendeu a criar uma zona primria e uma zona reversa. Agora hora de aprender a criar registros em uma zona do DNS. Neste item, atravs de um exemplo prtico, voc aprender a verificar e alterar o registro SOA de uma zona direta, o qual criado automaticamente quando a zona criada e tambm aprender a criar registros em uma zona. Para acessar o registro SOA de uma zona, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. 3. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta. 4. Sero exibidas as zonas de pesquisa direta existentes no servidor. 5. Clique com o boto direito do mouse na zona xyz.com.br criada anteriormente ou na zona na qual voc deseja criar um registro. No menu de opes que exibido clique na opo Propriedades. 6. Ser exibida a janela de propriedades para a zona xyz.com.br. Clique na guia Incio de autoridade (Start of Authority (SOA)). Nota: No posso deixar de registrar os meus mais sinceros e veementes protestos contra a traduo que feita. Traduzir Start of Authority por Incio de autoridade, pode at ser correto pelo idioma, mas tecnicamente uma lstima ou algum administrador DNS saber o que o registro Incio de autoridade? Agora no tem um nico administrador DNS que no saberia informar o que o registro Start of Authority. Estas questes deviam ser seriamente levadas em considerao na hora de fazer as tradues. 7. Ser exibida a guia com os valores para os campos do registro SOA, da zona xyz.com.br, conforme indicado na Figura a seguir:

156

Figura - O registro SOA para o domnio xyz.com.br 8. Estes so os valores padro, definidos pelo assistente de criao da zona direta de pesquisa. A seguir descrevo, em detalhes, os campos do registro SOA:

Nmero de srie: Este campo exibe o nmero serial do registro SOA. como se fosse um nmero de verso do registro (que na verdade representa uma verso para a zona como um todo). Cada vez que a zona alterada (o que ocorre quando qualquer um dos seus registros alterado, quando novos registros so adicionados ou excludos), este nmero tem o seu valor aumentado por um incremento de 1, indicando que existe uma nova verso da zona. Este nmero verificado pelos servidores DNS, periodicamente e comparado com o nmero serial das zonas secundrias. Se o nmero da zona secundria for menor do que o da zona primria, isso indica que existem alteraes na zona primria, alteraes estas que devem ser replicadas para a zona secundria, para manter a zona secundria atualizada. O adminstrador pode clicar no boto Incrementar, para manualmente aumentar o valor deste nmero, mesmo que no tenha havido alteraes na zona primria. Servidor primrio: Contm o nome do servidor que contm a zona primria, isto , a cpia da zona que pode ser alterada. Lembrando que existe somente uma zona primria, a qual pode ser alterada, pode ter registros adicionados, excludos e editados. Podem existir cpias da zona primrias em outros servidores DNS. Estas cpias so denominadas Zonas secundrias e no podem ser alteradas. Responsvel: O email do responsvel pela administrao da zona. O endereo de email utiliza o ponto ao invs do sinal de @. Por exemplo, o email: julio@abc.com digitado neste campo como julio.abc.com. Intervalo de atualizao: Define o intervalo para que o servidor DNS verifique se os dados nas zonas secundrias esto atualizados. Se os dados no estiverem atualizados, o servidor 157

onde est a zona primria, ir notificar o servidor onde est a zona secundria que existem alteraes. O servidor da zona secundria ira puxar (pull) as alteraes para deixar a zona secundria sincronizada com a zona primria. Somente as alteraes sero replicadas e no todo o contedo da zona. O valor padro para novas zonas 15 minutos.

Intervalo de repetio: Se o servidor DNS no conseguir atualizar a zona secundria no tempo especificado no campo Refresh interval, uma nova tentativa ser feita no tempo definido no campo Intervalo de repetio. O valor padro para novas zonas 10 minutos. Expira aps: Determina o tempo que as informaes sero mantidas nas zonas secundrias, sem que tenha sido possvel fazer uma sincronizao com a zona primria. O padro 24 horas. Isso significa que se dentro de um perodo de 24 horas no for possvel fazer uma sincronizao de uma zona secundria com a zona primria, os dados da zona secundria iro expirar e no podero mais ser utilizados para resoluo de nomes. Este parmetro evita que valores desatualizados continuem sendo utilizados nas zonas secundrias em caso de impossibilidade de sincronizao com a zona primria. Tempo de vida mnimo (padro): Determina o TTL mnimo para os registros da zona. Este valor utilizado quando um registro da zona acessado por um servidor DNS remoto. O servidor DNS que acessou o registro, ir mant-lo em seu cache pelo perodo definido neste parmetro. Por exemplo, suponha que voc est na sua empresa (abc.com) e tenta acessar o site da Microsoft: www.microsoft.com. Usando o processo de recurso, o servidor da microsoft responde com o endereo IP associado ao nome www.microsoft.com. Estas informaes ficaro no cache do servidor DNS da empresa abc.com, pelo perodo definido no parmetro TTL da zona microsoft.com, do servidor DNS da Microsoft. Tempo de vida para este registro: Permite que seja definido um TTL especfico para o registro SOA, que pode ser diferente do TTL padro definido para os demais registros da zona.

9. Aps ter feito as alteraes desejadas clique em OK para fechar a janela de propriedades da zona.

Criando novos registros em uma zona do DNS

Para criar novos registros em uma zona, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. 3. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta se voc quiser criar um registro em uma zona direta ou no sinal de + ao lado da opo Zonas de pesquisa inversa, se voc deseja criar um registro em uma zona inversa. 4. Sero exibidas as zonas da opo selecioanda. 5. Clique com o boto direito do mouse na zona onde voc deseja criar o registro. Observe, no menu que exibido, que j existem opes diretamente para criar os tipos de registros mais utilizados:

Novo Host ... , para criar um registro do tipo A. Novo Alias ... , para criar um novo registro do tipo CNAME. New Servidor de mensagens ... , para criar um novo registro do tipo MX. 158

Outros novos registros... , para criar qualquer tipo de registro, inclusive um dos trs tipos anteriores.

A ttulo de exemplo voc ir criar dois novos tipos de registro em uma zona direta: um registro do tipo A e outro do tipo HINFO. 6. Clique com o boto direito do mouse em uma zona de pesquisa direta, onde o registro ser criado. 7. No menu de opes que exibido clique na opo Novo host... 8. Ser exibida a janela Novo Host. Digite o nome e o endereo IP associado, conforme exemplo da Figura a seguir. importante salientar que voc deve digitar apenas o host name (primeira parte do nome). O prprio DNS completa o nome (no campo Full qualified domain name), anexando o nome da zona ao nome de host.

Figura - Criando um registro do tipo A. 9. Nesta janela voc tambm tem a opo Criar registro de ponteiro associado (PTR). Se voc marcar esta opo ser criado um registro do tipo PTR na zona inversa correspondente. Esse registro permitir a resoluo inversa, ou seja, dado o nmero IP ser retornado o nome associado com o nmero IP. 10. Defina as opes desejadas e clique em Adicionar Host. A janela Novo Host continua aberta. Clique em Concludo para fech-la. 11. Pronto, o registro do tipo A foi criado, conforme indicado na Figura a seguir:

159

Figura - Registro do tipo A, recm criado. 12. Agora vamos criar um registro do tipo HINFO. 13. Clique com o boto direito do mouse na zona de pesquisa direta, onde o registro HINFO ser criado. 14. No menu de opes que exibido clique na opo Outros novos registros... 15. Ser exibida a janela Tipo de registro de recurso. Na lista de tipos de registro clique na opo Informaes sobre o host, conforme ilustrado na Figura a seguir:

Figura - Criando um novo registro do tipo HINFO. 16. Clique no boto Criar registro... 17. Ser aberta a janela para voc inserir as informaes sobre o registro HINFO. Defina as informaes, conforme exemplo da Figura a seguir:

160

Figura - Definindo informaes para o registro HINFO. 18. Clique em OK. O registro do tipo HINFO ser criado e voc estar de volta janela Tipo de registro de recurso. Clique em Concludo para fechar esta janela. 19. O registro do tipo HINFO j exibido no console DNS, conforme indicado na Figura a seguir:

Figura - Registro do tipo HINFO, recm criado. 20. Feche o console do DNS.

161

Configurando as propriedades de uma zona Windows 2000

Uma zona do DNS apresenta diversas propriedades que voc pode configurar. Por exemplo, voc pode configurar uma zona para aceitar ou no atualizaes dinmicas (novidade disponvel a partir do DNS do Windows 2000 Server e, evidentemente, tambm presente no Windows Server 2003). Se voc habilitar a atualizao dinmica, o DHCP poder criar registros automaticamente no DNS, para os clientes configurados via DHCP. Neste item voc aprender a configurar as propriedades de uma zona do servidor DNS, no Windows 2000 Server. Antes de ir para a parte prtica, voc precisa aprender um pouco mais sobre Atualizaes dinmicas, Expirao e eliminao de registros (Scavenging) e sobre segurana no DNS.

Atualizaes dinmicas no DNS

A possibilidade de atualizaes dinmicas no DNS passou a estar disponvel para o mundo Windows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem dinamicamente registrar e atualizar seus registros no servidor DNS (verses mais novas do Windows, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a necessidade de o administrador manualmente criar entradas e fazer alteraes no DNS, sempre que o nome ou nmero IP de um computador alterado. A atualizao dinmica pode ser habilitada a nvel de zona, ou seja, posso ter duas zonas no mesmo servidor DNS, uma com atualizao dinmica habilitada e outra no. O cliente DNS, na estao de trabalho do usurio, capaz de registrar um registro do tipo A (na zona direta) e o registro correspondente do tipo PTR (na zona inversa). Alguns clientes DNS mais antigos no tem suporte para criao e atualizao dinmica de registros no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 so as verses do Windows cujo cliente DNS d suporte a atualizao dinmica. A criao dos registros do tipo A e do tipo PTR feita pelo cliente DHCP, durante a inicializao de um computador com uma destas verses do Windows (2000, XP ou 2003) e atualizado a cada 24 horas. Mesmo que voc use um endereo IP fixo, configurado manualmente, o cliente DHCP far o registro dinmico, a no ser que ele seja desabilitado. Os DCs atualizam seus registros no DNS a cada hora. Esta atualizao controlada pelo servio Netlogon. Verses do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informaes registradas dinamicamente no DNS. Porm este registro tem que ser feito pelo servidor DHCP, pois o prprio cliente no capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar registros do tipo A e do tipo PTR para clientes com verses do Windows onde o cliente DNS no d suporte a atualizao dinmica. Voc aprender a configurar o DHCP no Captulo 4. O registro dinmico feito utilizando o nome completo do computador. Por exemplo, um computador com nome de host comp01, em um domnio abc.com.br, ser registrado como compo01.abc.com.br. O endereo IP associado ao nome ser obtido a partir das configuraes do protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido configuradas manualmente. Lembrando que para verses do Windows mais antigas, somente quando as configuraes so feitas via DHCP que haver o registro dinmico no DNS (se o servidor DHCP estiver configurado para tal). 162

Uma atualizao dinmica ser enviada para o servidor DNS, quando uma das situaes a seguir ocorrer:

Um endereo IP for adicionado, removido ou modificado nas propriedades do TCP/IP de uma das conexes de rede do computador. Houver uma renovao ou troca de endereo IP, obtido a partir do servidor DHCP em qualquer das conexes de rede. Por exemplo, quando o computador for inicializado (o endereo IP obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for utilizado. Quando for utilizado o comando ipconfig /registerdns para forar uma atualizao do nome do computador com o servidor DNS. Quando o computador for inicializado. Quando um member server for promovido a DC. Quando um cliente tenta criar dinamicamente um novo registro e o registro no existe, o DNS server cria o novo registro sem problemas. Se o registro j existe, porm com um nome diferente e com o mesmo endereo IP, o novo registro adicionado e o registro antigo ser mantido. Se o registro j existe com o mesmo nome, mas com um endereo IP diferente, o registro anterior ser sobrescrito com as novas informaes.

Algumas regras so aplicadas quando um registro dinamicamen criado no DNS:

Somente o servidor onde est a zona DNS primria que pode receber as atualizaes dinmicas. Porm, pode acontecer, de um cliente estar utilizando um servidor DNS onde est uma zona secundria para o domnio do cliente. Neste caso a solicitao de atualizao enviada para o servidor onde est a zona secundria. Este repassa a mensagem de atualizao para o servidor DNS onde est a zona primria. As atualizaes so feitas na zona primria. Aps ter sido atualizada a zona primria, o servidor DNS primrio envia mensagens para os servidores onde existem zonas secundrias, notificando que novas atualizaes esto disponveis. As alteraes so copiadas da zona primria para todas as zonas secundrias. Nota : Caso o cliente esteja utilizando um servidor DNS que no autoridade para a zona a ser atualizada dinamicamente, com um servidor DNS somente cache (que ser explicado emuma das prximas partes deste tutorial), o servidor que no autoridade para a zona no ir repassar a mensagem de atualizao para o servidor DNS onde est a zona primria a ser atualizada e, portanto, as atualizaes no sero efetuadas. Nota : O DNS faz o registro automtico dos registros do tipo A, tipo PTR e tipo SRV. Este registro feito pelo servio Netlogon que roda em todos os DCs. Os registros so atualizados sempre que o servio Netlogon for inicializado e depois automaticamente a cada hora. Se voc fizer alteraes no DNS de um controlador de domnio e quiser que estas alteraes sejam enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o servio Netlogon. Enquanto o servio Netlogon estiver parado, clientes com o Windows 2000, XP Professional ou Windows 2000 Server continuaro sendo autenticados sem problemas (estes clientes so autenticados pelo protocolo Kerberos), j clientes mais antigos, como o Windows 95 ou 98 (que dependem do servio Netlogon), no podero ser autenticados enquanto o servio Netlogon no tiver sido reinicializado. 163

Expirao e eliminao de registros (Scavenging) Os servidores DNS do Windows 2000 Server (a exemplo do DNS do Windows Server 2003) fornecem suporte aos recursos de expirao e eliminao. Esses recursos so fornecidos como um mecanismo para executar uma limpeza no DNS, com a remoo de registros no atualizados e que podem se acumular nos dados de uma zona do DNS, ao longo do tempo. Em outras palavras: lixo. Com a atualizao dinmica, os registros so automaticamente adicionados s zonas, conforme descrito anteriormente. Esse registro normalmente acontece durante a inicializao do computador. No entanto, em alguns casos (como por exemplo em uma queda de energia), eles no so automaticamente removidos quando os computadores so desligados ou desconectados da rede. Por exemplo, se um computador registra um registro do tipo A na inicializao e depois desconectado de maneira inadequada da rede, este registro no excludo. Em uma rede com muitos usurios e computadores mveis, essa situao pode ocorrer com freqncia. Se forem deixados sem gerenciamento, a presena de registros no atualizados em dados de zona poder causar alguns problemas, como por exemplo: Se um grande nmero de registros no atualizados permanecer em zonas dos servidores DNS, podero eventualmente ocupar o espao em disco do servidor e provocar longas e desnecessrias transferncias de zonas. Por exemplo, quando uma nova zona secundria for criada, ser transmitida uma grande quantidade de registros que j no so mais necessrios. Os servidores DNS que tem zonas com registros no atualizados podero usar informaes desatualizadas para responder a consultas de clientes, acarretando possveis problemas de resoluo de nomes na rede. O acmulo de registros no atualizados no servidor DNS pode diminuir seu desempenho e velocidade na resoluo de consultas enviadas pelos clientes. Em alguns casos, a presena de um registro no atualizado em uma zona pode impedir que um nome de domnio DNS seja usado por outro computador ou dispositivo de host. Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para quaisquer registros adicionados dinamicamente s zonas tipo primrias. Alm disso, os carimbos de data/hora so gravados nas zonas primrias padro onde os recursos de expirao/eliminao esto ativados. Para os registros que voc adiciona manualmente, usado um valor de carimbo de data/hora igual a zero indicando que eles no so afetados pelo processo de expirao e podem permanecer sem limitao nos dados da zona a menos que voc altere seus carimbos de data/hora ou os exclua. A expirao dos registros nos dados locais baseada em um perodo de tempo de renovao especificado, para todas as zonas qualificadas. Somente zonas primrias participam deste processo. Eliminao de todos os registros que persistirem alm do perodo de renovao especificado.

Para resolver esses problemas, o servio Servidor DNS tem os seguintes recursos:

Quando um servidor DNS do Windows 2000 Server executa uma operao de eliminao, ele pode determinar que os registros expiraram (se no foram atualizados) e remov-los dos dados da zona. Os servidores podem ser configurados para executar operaes de eliminao recorrentes automaticamente ou voc pode iniciar uma operao de eliminao imediata no servidor. 164

Cuidado: Por padro, o mecanismo de expirao e eliminao est desativado nos servidores DNS no Windows 2000 Server. Ele s deve ser ativado quando todos os parmetros estiverem totalmente entendidos, ou seja, quando o administrador entender exatamente o que significa cada parmetro. Caso contrrio, o servidor poder ser acidentalmente configurado para excluir registros que no devem ser excludos. Se um registro for acidentalmente excludo, no apenas ocorrer uma falha quando os usurios tentarem fazer consultas sobre esse registro como qualquer usurio poder criar o registro e obter sua propriedade, mesmo em zonas configuradas para atualizao segura dinmica (zonas integradas com o Active Directory). O servidor usa o contedo do carimbo de data/hora especfico de cada registro, junto com outras propriedades de expirao/eliminao que voc pode ajustar ou configurar, para determinar quando eliminar os registros. Antes que os recursos de expirao e eliminao do DNS possam ser usados, vrias condies devem ser atendidas:

A eliminao e a expirao devem estar ativadas no servidor DNS e na zona. Por padro, a expirao e a eliminao dos registros de recursos esto desativados. Os registros de recursos devem ser adicionados dinamicamente s zonas ou manualmente modificados para serem usados nas operaes de expirao e eliminao. Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o protocolo de atualizao dinmica do DNS esto sujeitos a expirao e eliminao.

Observao: No caso de alterar uma zona, de zona primria padro para zona integrada ao Active Directory (conforme voc aprender em uma das prximas partes deste tutorial), voc talvez queira ativar a eliminao de todos os registros de recursos existentes na zona. Para ativar a expirao para todos os registros de recursos existentes em uma zona, voc pode usar o comando AgeAllRecords que est disponvel por meio da ferramenta de linha de comando dnscmd.

Forwaders (Encaminhadores)
Um encaminhador um servidor de sistema de nomes de domnios em uma rede usado para encaminhar consultas DNS sobre nomes DNS externos a servidores DNS localizados fora da rede. Voc tambm pode encaminhar consultas de acordo com nomes de domnio especficos, usando encaminhadores condicionais. Um servidor DNS em uma rede designado como encaminhador quando outros servidores DNS na rede encaminham as consultas que no conseguem resolver localmente para aquele servidor DNS. Usando um encaminhador, voc pode gerenciar a resoluo de nomes fora da sua rede (por exemplo, nomes na Internet) e melhorar a eficincia da resoluo de nomes para os computadores na rede. Quando no h um servidor DNS especfico designado como encaminhador, todos os servidores DNS podem enviar consultas para fora de uma rede usando as dicas de raiz. Como resultado, muitas informaes internas, e possivelmente crticas, podem ficar expostas na Internet. Alm da questo de segurana e privacidade, esse mtodo de resoluo pode resultar em um grande volume de trfego externo, que caro e ineficiente para uma rede com conexo de Internet lenta ou uma empresa com altos custos de servios de Internet. Quando voc designa um servidor DNS como encaminhador, pode tornar o encaminhador 165

responsvel por manusear trfego externo, limitando assim a exposio do servidor DNS Internet. Um encaminhador criar um grande cache de informaes de DNS externas, porque todas as consultas DNS externas na rede so resolvidas por ele. Em pouco tempo, o encaminhador resolver uma boa parte das consultas DNS externas usando esses dados armazenados em cache e, portanto reduzir o trfego de Internet na rede e o tempo de resposta para clientes DNS. Um servidor DNS configurado para usar um encaminhador agir de forma diferente de um servidor DNS que no foi configurado para usar um encaminhador. O servidor DNS configurado para usar um encaminhador age da seguinte forma: 1. Ao receber uma consulta, o servidor DNS tenta resolv-la usando as zonas primrias e secundrias que hospeda e seu cache. 2. Se no for possvel resolver a consulta usando esses dados locais, ele encaminhar a consulta para o servidor DNS designado como encaminhador. 3. O servidor DNS aguardar brevemente uma resposta do encaminhador antes de tentar contatar os servidores DNS especificados nas dicas de raiz. Quando um servidor DNS encaminha uma consulta para um encaminhador, ele envia uma consulta recursiva ao encaminhador. Isso diferente da consulta iterativa que um servidor DNS enviar a outro servidor DNS durante a resoluo de nomes padro (a resoluo de nomes que no envolve um encaminhador).

166

Encaminhadores condicionais
Um encaminhador condicional um servidor DNS em uma rede usado para encaminhar consultas DNS de acordo com o nome de domnio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas de nomes que terminam com widgets.exemplo.com para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS.

Resoluo de nomes de intranet

Um encaminhador condicional pode ser usado para melhorar a resoluo de nomes para domnios na sua intranet. A resoluo de nomes na intranet pode ser melhorada mediante configurao de servidores DNS com encaminhadores para nomes de domnio internos especficos. Por exemplo, todos os servidores DNS no domnio widgets.exemplo.com podem ser configurados para encaminhar consultas para nomes que terminam com teste.exemplo.com aos servidores DNS autoritativos para mesclados.widgets.exemplo.com, eliminando portanto as etapas de consultar os servidores raiz de exemplo.com ou configurar servidores DNS na zona widgets.exemplo.com com zonas secundrias para teste.exemplo.com.

Resoluo de nomes de Internet

Os servidores DNS podem usar encaminhadores condicionais para resolver consultas entre os nomes de domnio DNS de empresas que compartilham informaes. Por exemplo, duas empresas, Widgets Toys e TailspinToys, desejam melhorar a forma como os clientes DNS de Widgets Toys resolvem os nomes dos clientes DNS de Tailspin Toys. Os administradores de Tailspin Toys informam os administradores de Widgets Toys sobre o conjunto de servidores DNS na rede da Tailspin Toys aos quais Widgets pode enviar consultas referentes ao domnio bonecas.tailspintoys.com. Os servidores DNS na rede da Widgets Toys so configurados para encaminhar todas as consultas referentes a nomes terminados com bonecas .tailspintoys.com aos servidores DNS designados na rede para Tailspin Toys. Em conseqncia, os servidores DNS na rede da Widgets Toys no precisam consultar seus servidores raiz internos, ou os servidores raiz da Internet, para resolver consultas para nomes terminados com bonecas.tailspintoys.com.

Mais opes de Configurao do DNS no Windows 2000 Server:

Utilizando o DNS como encaminhadores 21. Clique na guia Transferncia de zona. Ser exibida a janela indicada na Figura a seguir:

167

Figura - A guia para configurao de transferncia de zonas. 22. Esta guia tem uma relao direta com a segurana no DNS. Nesta guia voc pode limitar quais servidores esto autorizados a efetuar uma transferncia de uma ou mais zonas primrias do teu servidor DNS. Na prtica voc est limitando em quais servidores podem ser criadas zonas secundrias, das zonas primrias existentes no servidor DNS. Estas configuraes podem ser utilizadas para evitar que usurios externos possam copiar informaes de zonas inteiras. Estas informaes seriam de grande ajuda para um hacker que esteja com a inteno de invadir a rede da sua empresa. Limitando os servidores que podem copiar informaes das zonas do servidor DNS, voc est fechando mais uma porta e dificultando mais a vida dos hackers. Por padro, a opo Permitir transferncia de zona marcada. Se esta opo estiver marcada, ser permitido que sejam criadas zonas secundrias desta zona em outros servidores. Se esta opo for desmarcada, isso impedir que as informaes nesta zona repliquem para outros servidores. Voc tambm pode definir quais servidores tero permisso para copiar informaes desta zona. As opes disponveis so as seguintes:

Para qualquer servidor: Evidentemente que esta a opo menos segura, ou seja, qualquer servidor DNS poder criar uma zona secundria e copiar todas as informaes da zona que est sendo configurada. Por incrvel que parea, esta a opo padro no DNS do Windows 2000 Server. J no Windows Server 2003 a opo padro somente para servidores listados na guia Servidores de nome, descrita anteriormente.

168

Somente para servidores listados na guia Servidores de nome: Esta opo especifica que as transferncias de zona s sero permitidas para servidores nomeados na guia Servidores de nomes. Essa ao permite que o administrador, restrinja transferncias de zona, da zona que est sendo configurada, somente para uma lista especificada de servidores. Se voc marcar esta opo, voc deve informar na lista Servidores de nomes, quais os servidores tero permisso para copiar informaes desta zona. Se um servidor tentar copiar informaes desta zona, sem ter as devidas permisses, as informaes no sero copiadas e a zona fica marcada (no servidor que tentou copiar, no a zona original) com um sinal de erro, conforme exemplo da Figura a seguir:

Figura - Tentativa de copiar uma zona sem permisso.

Somente para os servidores a seguir: Ao marcar esta opo, voc pode especificar uma lista de servidores os quais estaro autorizados a transferir informaes sobre a zona que est sendo configurada, ou seja, servidores que estaro autorizados a criar zonas secundrias da zona que est sendo configurada. Para inserir servidores na lista basta digitar o nmero IP do servidor e clicar no boto Adicionar.

Nesta guia voc tambm tem o boto Notificar... Ao clicar neste boto ser aberta a janela Notificar, indicada na Figura a seguir:

169

Figura - A janela Notificar. Nesta guia voc define quais servidores devem ser notificados automaticamente sobre as alteraes efetuadas na zona primria, que est sendo configurada. Voc pode limitar a notificao apenas aos servidores listados na guia Servidores de Nomes ou pode especificar uma lista de servidores a serem notificados. 23. Defina as configuraes desejadas na janela Notificar e clique em OK. 24. Voc estar de volta guia Transferncias de zona. Defina as configuraes desejadas e clique em OK. 25. Pronto. Sobre configuraes das propriedades de uma zona isso. Configurando as propriedades do servidor DNS No item anterior voc aprendeu a configurar as propriedades de uma zona. Estas configuraes afetam apenas a zona que est sendo configurada. Quando voc configura as propriedades do servidor DNS, voc altera opes que afetam todas as zonas do servidor DNS. Existem algumas propriedades que so relacionadas com a maneira de operao do servidor DNS e no com as configuraes de zonas especificamente. Neste item voc aprender a configurar as propriedades do servidor DNS. Para acessar e configurar as propriedades do servidor DNS do Windows 2000 Server, siga os passos indicados a seguir: 1. 2. Faa o logon como administrador ou com uma conta com permisso de administrador. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.

170

3. Ser exibido o console DNS. Clique com o boto direito do mouse no nome do servidor DNS a ser configurado (lembrando que voc pode utilizar o console DNS para se conectar e administrar vrios servidores DNS da sua rede, centralizadamente a partir de um nico console). 4. No menu de opes que exibido clique em Propriedades. 5. Ser exibida a janela de propriedades do servidor DNS, com a guia Interfaces j selecionada, conforme indicado na Figura a seguir:

Figura - A guia de interfaces. Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede instalada e pode tambm ter mais de um endereo IP configurado em uma mesma placa de rede. Cada endereo IP representa uma interface. Voc pode configurar o DNS para responder consultas enviadas por todas as interfaces (que a opo padro) ou apenas consultas enviadas atravs das interfaces que voc configurar nesta guia. 6. Para que o DNS responda consultas enviadas por qualquer interface, certifique-se de que a opo Em todos os endereos IP esteja selecionada. Para fazer com que o DNS responda apenas consultas enviadas para determinadas interfaces, marque a opo Apenas nos seguintes endereos IP e informe os endereos IP. Para adicionar um novo endereo IP digite o endereo e clique no boto Adicionar. Para remover um endereo IP da lista basta selecion-lo na lista e clicar no boto Remover. 171

7. Clique na guia Encaminhadores (a traduo Encaminhadores, na minha opinio absolutamente desnecessria. Deveria ser utilizado o termo original Forwarders). Ser exibida a janela indicada na Figura a seguir:

Figura - A guia Encaminhadores. Aqui preciso um pouco mais de detalhes sobre o conceito de Forward (Encaminhador) em um servidor DNS. Ento vamos teoria do uso de Forwarders (ou se preferirem: Encaminhadores). Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista selecionada de servidores, conhecidos como encaminhadores. Os servidores usados na lista de encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e que no pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

172

Benefcios de usar encaminhadores:

Os encaminhadores so indicados quando o acesso a servidores DNS remotos feito atravs de links de WAN de baixa velocidade, como uma rede local com um barramento de alta velocidade (10 Mbps ou, mais comum hoje em dia, 100 Mbps), ligada Internet por intermdio de uma conexo de velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o trfego de WAN relacionado a resoluo de nomes DNS, das seguintes maneiras:

Reduz o nmero de consultas gerais enviadas atravs do link de WAN: Por exemplo, se seu servidor DNS tem uma conexo dial-up de custo elevado e lenta, com um provedor de servios da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas adicionais at determinar o servidor autorizado para o nome que est sendo consultado. Aps encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma resposta completa. Outra opo que pode reduzir o trfego usar um servidor DNS na Internet como um encaminhador. Antes de decidir sobre essa configurao, obtenha permisso para usar um servidor DNS da Internet como seu encaminhador principal, como um servidor gerenciado pelo seu ISP. Nessa configurao, todas as consultas so enviadas ao servidor DNS configurado na lista de Forwareders e ele s retorna a resposta de volta para o cliente. Observe que todo o trfego de resoluo fica entre o servidor configurado como Forward do servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS configurado como Forward, transmitida somente a consulta (do servidor interno para o Forward) e a resposta consulta (do servidor Forward para o servidor DNS interno). Cada consulta representa um nico percurso de ida e volta atravs do link de WAN, deixando todo o trfego de resoluo entre o Forward e a Internet. Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um modo de compartilhar informaes sobre nomes remotos com um grupo de servidores DNS localizados na mesma rea. Por exemplo, pressuponha que sua organizao tem diversos servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas atravs de uma firewall e para a Internet, todos os servidores DNS so configurados para encaminhar consultas para um nico servidor DNS (localizado na firewall) o qual, por sua vez, faz as consultas necessrias aos servidores remotos. No processo, o encaminhador criar um cache de nomes DNS da Internet a partir das respostas recebidas. Ao longo do tempo, como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador responde a mais consultas a partir de seu cache porque ele comea a ter um nmero crescente de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares. Mais uma vez a idia isolar o trfego de resoluo entre um nico servidor DNS (configurado como Forward) e Internet.

Mais de um encaminhador pode ser listado. Cada servidor na lista tentado somente uma vez e todas as tentativas de repetio adicionais para o mesmo servidor s podem ocorrer repetindo seu endereo IP na lista. Se um servidor DNS no estiver configurado para usar encaminhadores, ele usar o processo de consulta iterativa normal para responder s consultas recursivas para nomes remotos. 173

Usar os encaminhadores exclusivamente (sem recurso):

Quando um servidor DNS configurado para usar encaminhadores, eles so usados antes de qualquer outro meio de resoluo de nomes ser tentado. Se a lista de encaminhadores falhar ao fornecer uma resposta positiva, um servidor DNS poder tentar resolver a consulta por si prprio usando consultas iterativas e recurso padro. Um servidor tambm pode ser configurado para no executar recurso depois que os encaminhadores falharem. Nessa configurao, o servidor no tentar nenhuma consulta recursiva adicional por si prprio para resolver o nome. Em vez disso, a consulta ir falhar se no obtiver uma resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores. Isso obrigar o servidor DNS a usar, exclusivamente os servidores configurados como encaminhadores, sem utilizar o recurso de recurso. Nesse modo de operao, um servidor configurado para usar encaminhadores poder ainda verificar primeiro nas suas zonas configuradas localmente, para tentar resolver um nome consultado. Se ele localizar um registro correspondente nos seus dados locais (nas zonas do prprio servidor DNS), ele poder responder consulta com base nessas informaes. Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opo No usar recurso para este domnio. Nota: Ao usar encaminhadores, as consultas so enviadas para cada encaminhador da lista, ao qual atribudo um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o prximo encaminhador seja tentado. Por padro este tempo de 5 segundos e configurado no campo Tempo limite do encaminhamento da guia Encaminhadores. Importante: Um servidor DNS no pode encaminhar consultas para nomes que faam partes de domnios para os quais o servidor autoridade do domnio, ou seja, para zonas que esto configuradas no prprio servidor. Por exemplo, um servidor que a autoridade para a zona abc.com.br, no poder encaminhar para outros servidores, consultas para nomes do domnio abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que autoridade para o domnio abc.com.br, no poder encaminhar esta consulta para outros servidores DNS. Agora vamos voltar a guia Forwarders e ver como fazer as configuraes prticas. 8 Para usar encaminhadores basta informar o nmero IP do servidor DNS a ser utilizado como encaminhador e clicar no boto Adicionar. Para remover um encaminhador da lista, clique no encaminhador a ser excludo, para selecion-lo e clique no boto Remover. Voc pode alterar a ordem dos encamihadores, usando os botes Para cima e Para baixo. 9. Defina as configuraes desejadas e d um clique na guia Avanado. Nesta guia voc tem uma srie de configuraes que afetam a maneira como o DNS trabalha e resolve as consultas (alm de ser um excelente assunto para questes dos exames de certificao da Microsoft). Sero exibidas as opes de configuraes avanadas, conforme indicado na Figura a seguir:

174

Figura - Configuraes avanadas do servidor DNS. Na lista Opes de servidor, voc tem as seguintes opes disponveis:

Desativar recurso: Esta opo determina se o servidor DNS usa ou no a recurso. Por padro, os servidores DNS do Windows 2000 e do Windows Server 2003 so ativados para usar recurso. Voc pode marcar esta opo se for necessrio desativar o mtodo de recurso para para a resoluo de nomes. Vincular secundrios: Esta opo define se ser usado o formato de transferncia rpido na transferncia de uma zona para servidores DNS que executam implementaes Berkeley Internet Name Domain (BIND) legadas, isto , com verses mais antigas do BIND. Por padro, todos os servidores DNS baseados em Windows usam um formato de transferncia de zona rpida, que usa compactao e pode incluir vrios registros por mensagem TCP (Transmission Control Protocol, protocolo de controle de transmisso) durante uma transferncia conectada. Esse formato tambm compatvel com os servidores DNS baseados em BIND que executam verses 4.9.4 e posterior. Caso voc ainda utilize algum servidor DNS com verso mais antiga do BIND e que precise receber atualizaes, voc deve habilitar esta opo.

A seguir apresento uma descrio das diferentes verses do DNS e das principais caractersticas de cada uma: 175

1. Servidor DNS do Windows 2000: Fornece funcionalidade de integrao com o WINS (descrita mais adiante, atualizaes seguras (para zonas integradas ao Active Directory, conforme descrito mais adiante) e integrao do Active Directory. 2. BIND 8.2.1: Nesta verso foi includa a funcionalidade de transferncia incremental de zonas, ou seja, apenas o que foi alterado transmitido da zona primria para as zonas secundrias e no todo o contedo da zona. Esta transferncia controlada por um registro do tipo IXFR. No esquea deste detalhe para o exame, pois essa uma nova funcionalidade do DNS, presente no DNS do Windows 2000 Server. 3. BIND 8.1.1: Nesta verso que foi introduzido o suporte a atualizaes dinmicas do DNS. Lembre tambm deste fato para o exame. 4. BIND 4.9.7: Nesta verso que foi introduzido o suporte aos registros do tipo SRV.

Falhar no carregamento se forem dados de zona danificada (mais uma traduo cinco estrelas): Por padro, os servidores DNS do Windows 2000 e do Windows Server 2003, registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e continuam a carregar a zona. Voc pode marcar esta opo para que o Servidor DNS registre os erros e falhas ao carregar um arquivo de zona e que no continue a carregar a zona que contm erros. Ativar rodzio: Determina se o servidor DNS usar round robin (rodzio) para alternar e reordenar uma lista de vrios registros de recursos de host (A) se um nome de host consultado for para um computador configurado com vrios endereos IP (Internet Protocol, protocolo Internet). Por padro, os servidores DNS do Windows 2000 usam round robin. A seguir apresento mais detalhes sobre o recurso de round robin (prefiro este termo, que bem mais conhecido em se tratando de DNS, do que rodzio).

176

Criando zonas secundrias.

Quando voc cria a zona pela primeira vez, ela uma zona primria. Somente na zona primria permitido fazer alteraes nos registros da zona. Alm da zona primria, o DNS permite que sejam feitas cpias da zona em outros servidores DNS. Estas cpias so as zonas secundrias. Por exemplo, voc pode ter uma zona primria no servidor DNS da matriz da empresa e criar uma zona secundria (cpia da zona primria), nos servidores DNS de cada filial, para reduzir o trfego devido a resoluo de nomes DNS, nos links de WAN. As zonas secundrias so reconhecidas como autoridades para o domnio (ou domnios) que gravam informaes na zona e pode responder s consultas enviadas pelos clientes. A nica diferena, em relao a zona primria, que nas zonas secundrias no podem ser feitas alteraes, adies de novos registros e excluses. Sempre que houver alteraes na zona primria, o servidor DNS onde est a zona primria, notifica os servidores DNS onde existem zonas secundrias. Os servidores DNS da zona secundrio solicita que as alteraes sejam envidas a partir da zona primria. Com isso o DNS mantm as zonas sincronizadas, ou seja, alteraes feitas nas zonas primrias so repassadas para as zonas secundrias. O DNS usa um mecanismo de replicao incremental, ou seja, somente as alteraes so replicadas e no todo o contedo da zona. Neste item voc aprender a criar uma zona secundria. Para criar uma zona secundria, siga os passos indicados a seguir: 1. 2. 3. Faa o logon como administrador ou com uma conta com permisso de administrador. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. Ser exibido o console DNS.

4. Neste exemplo voc criar uma zona secundria direta. Clique com o boto direito do mouse na opo Zonas de pesquisa direta. 5. No menu de opes que exibido clique em Nova Zona... 6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente. 7. Nesta etapa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes Integradas ao Active Directory, Primria padro e Secundria padro. Para o nosso exemplo, defina as configuraes indicadas na Figura a seguir:

177

Figura - Criando uma zona secundria. 8. Clique em Avanar, para seguir para a prxima etapa do assistente. 9. Nesta etapa ser solicitado o nome da zona. O nome a ser digitado deve ser o mesmo nome da zona primria. Digite o nome da zona e clique em Avanar, para seguir para a prxima etapa do assistente. 10. Nesta etapa voc informa o endereo IP do servidor DNS onde est a zona primria. Informe o endereo IP do servidor e clique no boto Adicionar, conforme exemplo da Figura a seguir e clique em Avanar, para seguir para a prxima etapa do assistente.

Integrao do DNS com o Active Directory

No Windows 2000 Server, o Servidor DNS foi cuidadosamente integrado criao e implementao do Active Directory. Existem dois pontos fundamentais a serem considerados na integrao do DNS com o Active Directory:

O DNS necessrio, obrigatrio, para localizao dos DCs do domnio. O servio Netlogon usa o novo suporte ao servidor DNS para fornecer registro de controladores de domnio no seu espao de nomes de domnio DNS.

As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integrao fornece vantagens adicionais, tais como a utilizao dos sofisticados recursos de replicao do Active Directory, maior segurana, pois zonas integradas com o Active Directory somente aceitam 178

atualizaes dinmicas seguras, ou seja, de computadores autenticados no domnio e o uso dos recursos de expirao e eliminao de registros baseados em informaes de validade.

Como o DNS integrado ao Active Directory

A integrao inicia no momento da instalao do Active Directory em um member server, para torn-lo um DC. O assistente de instalao do Active Directory solicita que voc informe o nome DNS do domnio para o qual est sendo criado um novo DC. Durante a instalao o assistente deve ser capaz de se conectar a um servidor DNS que seja autoridade para o domnio informado. Se isso no for possvel, o assistente ir se oferecer para instalar e configurar o DNS no prprio servidor que est sendo promovido a DC. Se isso tambm no for possvel, o Active Directory no poder ser instalado. Ou seja, se no for possvel localizar o servidor DNS que autoridade pelo domnio ou instal-lo no prprio DC, o Active Directory no poder ser instalado. Depois que tiver instalado o Active Directory, voc tem duas opes para armazenar e duplicar zonas do DNS quando operar o servidor DNS no novo controlador de domnio.

Armazenamento de zona padro usando um arquivo baseado em texto: As zonas armazenadas dessa maneira esto localizadas em arquivos de texto, com a extenso .Dns, os quais so armazenados na pasta %SystemRoot%\System32\Dns em cada computador que opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que voc escolhe para a zona durante a sua criao, como Exemplo.abc.com.dns o arquivo que armazena informaes para a zona abc.com. Armazenamento de zona integrada ao diretrio usando o banco de dados do Active Directory: As zonas armazenadas dessa maneira esto localizadas na rvore do Active Directory . Cada zona integrada ao diretrio armazenada em um objeto do tipo dnsZone identificado pelo nome que voc escolhe para a zona durante a sua criao.

Benefcios da integrao ao Active Directory Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primrias integradas ao diretrio so especcialmente recomendadas e proporcionam os seguintes benefcios:

Atualizaes multi-master baseada na replicao do Active Directory. e recursos de segurana avanada, baseados nos recursos do Active Directory. Para zonas no integradas, o modelo de atualizao do tipo single-master. Somente a zona primria sofre alteraes e repassa estas alteraes para as zonas secundrias. Se o servidor onde est a zona primria apresentar problemas, novas atualizaes dinmicas e outras alteraes no podero ser processadas, enquanto este servidor no for recuperado. J com zonas integradas ao Active Directory, podem ser feitas alteraes em qualquer cpia da zona e existe uma cpia em todos os DCs (controladores de domnio) do domnio, onde o DNS estiver instalado. Alm disso, alteraes podem ser feitas em qualquer uma das cpias da zona. O mecanismo de replicao do Active Directory se encarrega de manter as vrias cpias sincronizadas. Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active Directory, poder receber atualizaes dinmicas enviadas pelos clientes. Com isso no haver um ponto nico de falha, como no caso do modelo baseado em zonas padro. Outra vantagem das zonas integradas que todo objeto do Active Directory possui uma ACL Access Control List (idntica a lista de permisses NTFS para uma pasta ou arquivo). Voc 179

pode editar esta ACL para as zonas do DNS integradas ao Active Directory, para ter um controle mais refinado sobre quem tem acesso e qual o nvel de acesso.

A replicao do Active Directory mais rpida, mais eficiente e mais segura do que o mecanismo de transferncia de zonas padro do DNS.

Nota: Apenas as zonas primrias podem ser armazenadas no Active Directory. Um servidor DNS no pode armazenar zonas secundrias no diretrio. Ele dever armazen-las em arquivos de texto padro. Voc pode definir que uma zona ser integrada ao Active Directory, durante a criao da zona. Para isso basta marcar a opo Integrada ao Active Directory, durante a criao da zona, conforme indicado na Figura a seguir, onde estou criando uma zona primria integrada ao Active Directory.

Figura - Zona integrada ao Active Directory. Voc tambm pode converter uma zona padro para uma zona integrada com o Active Directory. Para alterar uma zona de padro para integrada com o Active Directory, siga os passos indicados a seguir: 1. 2. 3. 4. Faa o logon como administrador ou com uma conta com permisso de administrador. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta. Sero exibidas as zonas de pesquisa direta existentes no servidor.

5. Clique com o boto direito do mouse na zona a ser configurada. No menu de opes que exibido clique na opo Propriedades. 6. Ser exibida a janela de propriedades da zona, com a guia Geral selecionada. 180

7. Clique no boto Alterar... Ser exibida a janela Alterar o tipo da zona, indicada na Figura a seguir:

Figura - Alterando a zona de padro para integrada com o Active Directory. 8. Para integrar a zona com o Active Directory, marque a opo Integrada ao Active Directory e clique em OK. Ser exibida uma janela pedindo confirmao, conforme indicado na Figura a seguir:

Figura - Confirmando a integrao com o Active Directory. 9. Clique em OK para confirmar a integrao. 10. Voc estar de volta janela de propriedades da zona. Clique em OK para fech-la. Pronto, a zona passar a armazenar suas informaes no Active Directory.

Configurando um servidor DNS somente Cache

Um servidor DNS somente cache um servidor que no tem nenhuma zona configurado. A funo deste servidor resolver consultas utilizando um dos mtodos descritos nas lies anteriores (forwareders, recurso, interao, etc) e armazenar os resultados obtidos no cache do servidor DNS. O cliente envia a consulta para o servidor DNS somente cache, este servidor se utiliza de outros servidores DNS para resolver o nome. O nome armazenado no cache do servidor DNS somente Cache e a resposta retornada para o cliente que fez a consulta. Futuras consultas a este mesmo nome, dentro do perodo de expirao, sero respondidas com base nas informaes do cache do servidor DNS.

181

O servidro DNS somente cache deve ter quantidade suficiente de memria RAM para exercer esta funo, pois toda a informao do cache do DNS criada e mantida na memria RAM do servidor. Para limpar o cache do DNS voc pode usar o console Servios (na opo Ferramentas administrativas) para parar e iniciar novamente o servio DNS ou utilizar o comando dnscmd /clearcache. O servidor DNS somente cache no armazena nenhuma zona e no autoridade para nenhum domnio. Para instalar um servidor DNS como sendo um servidor somente cache, basta seguir os passos indicados a seguir: 1. Instale o servio DNS no servidor. 2. No configure o servidor DNS (como voc faria normalmente) para carregar quaisquer zonas. Ou seja, nenhuma zona ser criada no servidor DNS somente cache. 3. Verifique se os root hints (descritos anteriormente) esto configurados e atualizados corretamente. 4. Pronto, est configurado o servidor DNS somente cache. Os clientes podem ser configurados para utilizar este servidor.

Configuraes e consideraes sobre a configurao do DNS nos clientes

Para clientes do Windows 2000 ou Windows 2000 Server , a configurao do DNS envolve as seguintes tarefas ao configurar as propriedades do TCP/IP do computador cliente:

Configurar um nome (de host) DNS para cada computador. Configurar um sufixo DNS primrio para o computador, que posicionado aps o nome de host ou do computador para formar o nome de domnio totalmente qualificado (FQDN). Por exemplo, o nome do computador pode ser micro01 e o sufixo DNS ser abc.com.br. Com isso o nome completo (FQDN) ser: micro01.abc.com.br. Configurar uma lista de servidores DNS para que os clientes usaro ao resolver nomes DNS, como um servidor DNS primri e todos os servidores DNS alternativos a serem usados se o servidor primrio no estiver disponvel. Configurar a lista ou mtodo de pesquisa de sufixo DNS a ser usado pelo cliente quando ele executa pesquisas de consultas DNS para nomes de domnio curtos no qualificados.

Configurar nomes dos computadores

Ao configurar nomes dos computadores para o DNS, til pensar no nome como a parte mais esquerda de um fully qualified domain name (FQDN, nome de domnio totalmente qualificado). Por exemplo, em micro01.abc.com.br., a primeira parte do nome que precede o primeiro ponto (.) no FQDN - micr01 - o nome de host do computador. Este primeiro nome conhecido como nome de host do computador.

182

Voc pode configurar todos os clientes DNS do Windows com um nome do computador baseado nos caracteres padro com suporte definidos na RFC 1.123 para uso do DNS da Internet. Esses caracteres incluem o uso de:

Letras maisculas, de A a Z Letras minsculas, de a a z Nmeros, 0 a 9 Hfens -

Se a sua rede oferece suporte a espaos de nome NetBIOS e DNS, voc poder usar um nome de computador diferente dentro de cada espao de nome. No entanto, recomendvel, sempre que possvel, tentar usar os nomes de computador que possuem 15 caracteres ou menos (que o limite para nomes NetBios, utilizados pelo WINS, conforme descreverei nos tpicos sobre WINS, em futuros tutoriais desta srie), alm de seguir os requisitos de nomes definidos acima. Por padro, no Windows 2000 Server, o rtulo mais esquerda no nome DNS completo do computador de clientes igual ao nome do computador NetBIOS, a menos que esse rtulo tenha 16 caracteres ou mais. Quando esses rtulos excedem o comprimento mximo para o NetBIOS (que de 15 caracteres), o nome do computador NetBIOS truncado com base no rtulo total especificado. Na prtica, todo computador ter dois nomes. Um nome NetBios que configurado na guia Identificao de rede, na janela de propriedades do Meu computador e um nome de host, o qual configurado na janela de propriedades avanadas do protocolo TCP/IP, na guia DNS. Evidentemente que estes nomes devem ser iguais. Se a integrao do DNS com o WINS estiver ativada (conforme descrito anteriormente), ser preciso usar nomes de host e NetBios iguais para o computador. De outra forma, os resultados obtidos nas consultas do DNS ao WINS podero ser inconsistentes.

183

Configurar uma lista de servidores DNS

Estas configuraes so feitas nas propriedades do protocolo TCP/IP. Para acesssar as propriedades do TCP/IP clique com o boto direito do mouse na opo My Network Places (Meus locais de rede) na rea de trabalho e, no menu que exibido, clique em Properties (Propriedades). Ser exibida a janela com as conexes disponveis no computador. Clique com o boto direito do mouse na conexo de rede local a ser configurada. No menu de opes que exibido clique em Propriedades. Ser exibida a janela de propriedades da conexo. Marque a opo Internet Protocol (TCP/IP) para marc-la e depois clique no boto Properties (Propriedades). Ser exibida a janela de propriedades do protocolo TCP/IP. Clique no boto Avanado... Ser exibida a janela de propriedades avanadas do TCP/IP. Clique na guia DNS. Ser exibida a janela de propriedades do cliente DNS, indicada na Figura a seguir:

Figura - Configurando as propriedades do DNS no cliente. Para que clientes DNS operem efetivamente, uma lista de servidores de nomes DNS ordenada por prioridade, deve ser configurada para uso em cada computador ao processar consultas e resolver nomes DNS. Na maioria dos casos, o computador cliente entra em contato e usa seu servidor DNS primrio, que o primeiro servidor DNS da lista configurada localmente (o cliente tambm pode receber esta lista a partir do servidor DHCP, conforme voc aprender a configurar na srie de

184

tutoriais sobre DHCP, mais adiante). Entra-se em contato com os servidores DNS alternativos listados e eles so usados quando o servidor DNS primrio no estiver disponvel. Em computadores executando o Windows 2000 ou o Windows Server 2003, a lista de servidores DNS usada pelos clientes apenas para resolver nomes DNS. Quando os clientes enviam atualizaes dinmicas, por exemplo, ao alterar seu nome de domnio DNS ou um endereo IP configurado, eles devem contatar esses servidores ou outros servidores DNS conforme necessrio para atualizar seus registros de recursos. sempre importante lembrar que alteraes, excluses e adies somente podem ser feitas na zona primria e no em zonas secundrias. Quando os clientes DNS so configurados dinamicamente usando um servidor DHCP (Dynamic Host Configuration Protocol), possvel ter uma lista maior de servidores DNS. Para fornecer uma lista de endereos IP de servidores DNS aos seus clientes DHCP, ative o cdigo de opo 6 nos tipos de opes configurados fornecidos pelo seu servidor DHCP. Em servidores DHCP do Windows, voc pode configurar uma lista de at 25 servidores DNS para cada cliente com essa opo.

Configurar uma lista de pesquisa de sufixos DNS

Para clientes Windows, voc pode configurar uma lista de pesquisa de sufixos de domnio DNS (os sufixos so, no exemplo da Figura anterior: abc.com.br, rh.abc.com.br e sul.rh.abc.com.br) que estende ou revisa suas capacidades de pesquisa DNS. Ao acrescentar sufixos adicionais lista, voc pode pesquisar nomes de computador curtos no qualificados em mais de um domnio DNS. Em seguida, se uma consulta DNS no tiver xito, o servio de cliente DNS poder usar essa lista para anexar outras terminaes de sufixos de nome ao nome original e repetir as consultas DNS ao servidor DNS sobre esses FQDNs alternativos. No exemplo da figura anterior, se voc fizer uma pesquisa usando apenas o nome micro01. Primeiro ser pesquisado o nome micro01.sul.rh.abc.com.br, se no houver resposta o DNS tenta micro01.rh.abc.com e ainda no havendo resposta, o DNS tenta micro01.abc.com.br. Quando a lista de pesquisa de sufixos est vazia ou no est especificada, o sufixo DNS primrio do computador anexado a nomes curtos no qualificados e a consulta DNS usada para resolver o FQDN (nome completo) resultante. Se essa consulta falhar, o computador pode tentar consultas adicionais para FQDNs alternativos anexando qualquer sufixo DNS especfico de conexo configurado para conexes de rede. Se nenhum sufixo especfico da conexo estiver configurado, ou as consultas para esses FQDNs especficos da conexo resultantes falharem, o cliente poder, ento, comear a tentar novamente as consultas com base na reduo sistemtica do sufixo primrio (tambm conhecida como devoluo). Por exemplo, se o sufixo primrio for "example.microsoft.com", o processo de devoluo ser capaz de tentar novamente consultas de nome curto pesquisando nos domnios "microsoft.com" e ".com". Quando a lista de pesquisa de sufixo no est vazia e tem pelo menos um sufixo DNS especificado, as tentativas de qualificar e resolver nomes DNS curtos so limitadas pesquisa somente daqueles FQDNs tornados possveis pela lista de sufixos especificada. Se as consultas para qualquer FQDN que forem resultado do acrscimo e uso de cada sufixo na lista falharem, o processo de consulta produz um resultado "nome no encontrado". Se a lista de sufixos de domnios usada, os clientes continuam a enviar consultas alternativas adicionais com base em nomes de domnio DNS diferentes quando uma consulta no respondida 185

ou resolvida. Aps um nome ser resolvido usando uma entrada na lista de sufixos, as entradas no utilizadas da lista no so tentadas. Por esse motivo, mais eficiente ordenar a lista com base na sua prioridade de uso, ou seja, os sufixos mais utilizados no incio da lista de sufixos. As pesquisas de sufixos de nomes de domnios so usadas apenas quando uma entrada de nome DNS no totalmente qualificada (quando no for usado um nome completo). Para qualificar totalmente um nome DNS, um ponto (.) inserido no final do nome. Por exemplo, se voc pesquisa o nome micro01.abc.com.br., no ser feita nenhuma tentativa de resoluo baseada na lista de sufixos, se a pesquisa do nome digitado falhar na priemeira tentativa de resoluo.

Comandos para trabalhar com o DNS.

Existem alguns comandos relacionados diretamente com o DNS, tanto com o cliente DNS, nas estaes de trabalho da rede, quanto no servidor DNS. Neste item apresentarei as utilizaes bsicas dos seguintes comandos:

ipconfig nslookup

Os comandos ipconfig e nslookup so utilizados nas estaes de trabalho, para pesquisar o DNS e resolver problemas relacionados ao DNS.

O comando ipconfig
Neste item falarei das opes do comando ipconfig, relacionadas com o DNS. O comando ipconfig j foi descrito na introduo ao protocolo TCP/IP. Este comando utilizado, basicamente, para exibir as configuraes do protocolo TCP/IP de um computador. Porm ele tem opes relacionadas ao DNS e tambm ao DHCP. Neste item mostrarei as opes relacionadas ao DNS. Anteriormente, na parte terica sobre o DNS, descrevi que o cliente DNS mantm um cache local de DNS, para agilizar a resoluo de nomes, evitando que nomes j resolvidos tenham que passar por todo o processo de resoluo novamente. Voc pode exibir o cache local do DNS, utilizando o seguinte comando: ipconfig /displaydns Ser listado o cache do DNS local, no formato indicado a seguir, onde apresento a parte inicial da listagem do cache local do DNS de uma estao de trabalho:
Windows IP Configuration activex.microsoft.com ---------------------------------------Record Name . . . . . : activex.microsoft.com Record Type . . . . . : 1 Time To Live . . . . : 6105 Data Length . . . . . : 4 Section . . . . . . . : Answer

186

A (Host) Record . . . : 207.46.196.108 codecs.microsoft.com ---------------------------------------Record Name . . . . . : codecs.microsoft.com Record Type . . . . . : 1 Time To Live . . . . : 6106 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 207.46.196.120 loginnet.passport.com ---------------------------------------Record Name . . . . . : loginnet.passport.com Record Type . . . . . : 1 Time To Live . . . . : 164 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 65.54.226.247 1.0.0.127.in-addr.arpa ---------------------------------------Record Name . . . . . : 1.0.0.127.in-addr.arpa. Record Type . . . . . : 12 Time To Live . . . . : 596929 Data Length . . . . . : 4 Section . . . . . . . : Answer PTR Record . . . . . : localhost

Outra opo do comando ipconfig, relacionada com o DNS a opo flushdns. Esta opo limpa o cache local do DNS. Esta opo especialmente til em uma situao em que houve problemas com o servidor DNS e aps a resoluo do problema, os clientes reclamam que conseguem acessar alguns sites e no conseguem acessar outros sites. Isso acontece porque no cache local do cliente, existem registros que podem no ser mais vlidos. Neste caso a soluo limpar o cache local do DNS. Para limpar o cache local do DNS, basta utilizar o comando indicado a seguir: ipconfig/flushdns Este comando limpa o cache do DNS e retorna a mensagem indicada a seguir: Windows IP Configuration Successfully flushed the DNS Resolver Cache.

O comando nslookup
O comando nslookup utilizado para obter informaes de um servidor DNS. As informaes obtidas com o comando nslookup, normalmente so utilizadas para a resoluo de problemas relacionados com o DNS. Com o comando nslookup voc pode retornar partes selecionadas dos 187

registros de uma zona, voc pode verificar se um servidor DNS est funcionando normalmente e responden s consultas, voc pode obter informaes sobre as zonas existentes em um servidor DNS. Vamos aprender a utilizar o comando nslookup, atravs de alguns exemplos prticos. Para utilizar o comando nslookup, siga os passos indicados a seguir: 1. 2. Faa o logon como Administrador ou com uma conta com permisso de administrador. Abra um Prompt de comando.

3. Podemos utilizar o comando nslookup em dois modos diferentes. No modo direto, digitamos o comando e mais alguns parmetros, e o Windows 2000 Server retorna um determinado resultado. Considere o exemplo da Figura a seguir, onde digitei o seguinte comando nslookup server2. O Windows 2000 Server retorna diversas informaes. Nas duas primeiras linhas, retornado o nome e o endereo IP do servidor DNS pesquisado. Na segunda linha retornado o nome e o endereo IP do servidor server2.

Figura - Utilizando o comando nslookup, no modo direto. 4. Caso tenhamos que fazer vrias pesquisas de nome, pode ser mais interessante utilizar o comando nslookup no modo interativo. Neste modo, digite simplesmente nslookup e tecle Enter. O Windows 2000 Server exibe o nome e o nmero IP do servidor DNS configurado como DNS primrio, nas propriedades do TCP/IP e abre um prompt indicado pelo sinal de maior (>), conforme indicado pela Figura a seguir:

Figura - Utilizando o comando nslookup, no modo interativo. 5. No modo interativo, no prompt >, digite help e tecle Enter, ser exibida uma listagem com os diversos comandos disponveis no modo interativo. 188

6. Para achar o endereo IP de um computador da rede, simplesmente digite o nome do computador e tecle Enter. 7. Experimento o comando ls d abc.com (troque abc.com pelo nome do seu domnio DNS) e tecle Enter. Este comando ir listar todos os registros DNS do domnio abc.com, inclusive alguns registros criados pelo Windows 2000 Server para uso interno do Active Directory. 8. 9. Para sair do modo interativo digite exit e tecle Enter. Para sair do Prompt de comando, digite exit e tecle Enter.

189

SERVIO DE DIRETRIO (Active Directory)

O Active Directory (AD) o servio de diretrio baseado em Windows. O AD armazena informaes sobre objetos em uma rede e disponibiliza essas informaes a usurios e administradores de rede. O AD proporciona aos usurios de rede acesso a recursos permitidos em qualquer lugar na rede usando um processo de logon simples. Fornece aos administradores de rede um modo de exibio intuitivo e hierrquico da rede e um ponto nico de administrao para todos os objetos de rede. Consulte tambm: servio de diretrio, partio de diretrio, domnio, floresta, objeto, replicao

O Servio de Diretrio um servio de rede que identifica todos os recursos de uma rede e torna essa informao disponvel para os usurios e aplicativos. Os servios de diretrios so importantes porque oferecem uma maneira consistente de nomear, descrever, localizar, acessar, gerenciar e tornar seguras as informaes sobre esses recursos. Quando um usurio pesquisa por uma pasta compartilhada na rede, o servio de diretrio que identifica o recurso e fornece essa informao ao usurio. Ele a fonte de informaes sobre diretrios e o servio que disponibiliza e possibilita o uso dessas informaes. Um servio de diretrio permite que os usurios localizem um objeto quando qualquer um de seus atributos fornecido.

190

Introduo ao Active Directory

O servio de diretrio do Active Directory pode ser instalado em servidores que executem o Microsoft Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition. Ele armazena informaes sobre objetos na rede e facilita o acesso de administradores e usurios a essas informaes. O Active Directory usa um armazenamento estruturado de dados como base para uma organizao lgica e hierrquica das informaes de diretrio. Esse armazenamento de dados, tambm conhecido como diretrio, contm informaes sobre os objetos do Active Directory. Geralmente, os objetos incluem recursos compartilhados como servidores, arquivos, impressoras e contas de usurio e de computador da rede. Para obter mais informaes sobre o armazenamento de dados do Active Directory. A segurana integrada ao Active Directory atravs da autenticao de logon e controle de acesso a objetos no diretrio. Com um nico logon na rede, os administradores podem gerenciar a organizao e os dados de diretrio em suas redes e os usurios de rede autorizados podem acessar recursos em qualquer lugar da rede. A administrao com base em diretivas facilita o gerenciamento at mesmo das redes mais complexas. Para obter mais informaes sobre o Active Directory. O Active Directory tambm inclui: Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no diretrio, as restries e limites das ocorrncias desses objetos e o formato de seus nomes. Para obter mais informaes sobre o esquema. Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos usurios e administradores encontrarem informaes de diretrio independentemente de qual domnio do diretrio realmente contenha os dados. Um mecanismo de consulta e ndice para que os objetos e suas propriedades possam ser publicados e encontrados por usurios ou aplicativos da rede. Um servio de replicao que distribui dados de diretrio em uma rede. Todos os controladores de domnio em um domnio participam da replicao e contm uma cpia completa de todas as informaes de diretrio referentes a seu respectivo domnio. Qualquer alterao nos dados de diretrio replicada para todos os controladores de domnio no domnio. Suporte para software cliente do Active Directory, que disponibiliza vrios recursos do Microsoft Windows 2000 Professional ou do Windows XP Professional para computadores que executem o Windows 95, Windows 98 e Windows NT Server 4.0. Para os computadores cliente que no estiverem executando o software cliente do Active Directory, o diretrio ser exibido somente como um diretrio do Windows NT. Observao Voc no pode instalar o Active Directory em um servidor que execute o Windows Server 2003, Web Edition, mas pode ingressar o computador em um domnio do Active Directory como servidor membro.

191

Viso geral sobre o Active Directory

Um diretrio uma estrutura hierrquica que armazena informaes sobre objetos na rede. Um servio de diretrio, como o Active Directory, fornece os mtodos para armazenar os dados de diretrio e disponibilizar esses dados aos usurios e administradores da rede. Por exemplo, o Active Directory armazena informaes sobre contas de usurios, como nomes, senhas, nmeros de telefone e assim por diante, e permite que outros usurios autorizados da mesma rede tenham acesso a essas informaes.

192

193

Instalao do AD e criao do Domnio

O primeiro passo. V ate o menu iniciar,executar, na linha a seguir digite dcpromo e clique em ok. A janela do Assistente para instalao do Active Directory ir aparecer. Clique no boto Avanar.

Na janela de Compatibilidade de sistema operacional leia os requisitos mnimos dos clientes do AD. A seguir, clique no boto Avanar.

194

Na janela de Tipo de controlador de domnio, selecione a opo Controlador de domnio para um novo domnio e clique no boto Avanar.

Na janela de Criar novo domnio, selecione a opo Domnio em uma nova floresta e clique no boto Avanar. 195

A janela de Novo nome de domnio a opo mais importante na criao do AD. Como todo o sistema do AD baseado no DNS, a criao do nome de domnio ir afetar toda a operao da rede.

Entre com o nome DNS completo do domnio, por exemplo: contoso.com.br

196

Clique no boto Avanar. Este parte poder demorar alguns minutos, pois o sistema ir procurar pelo servidor DNS e verificar se o nome j existe. Na janela de Nome do domnio NetBIOS, aceite a opo padro (que o primeiro nome do domnio DNS) e clique no boto Avanar.

Na janela de Pastas do banco de dados e log, lembre-se que a partio dever ser NTFS e voc somente dever alterar os caminhos padres por motivos de desempenho. 197

O caminho \Windows\NTDS o local onde sero armazenados os dados do AD. Aceite as opes padres e clique no boto Avanar.

Na janela de Volume de sistema compartilhado, a partio tambm dever ser NTFS e somente dever ser alterado caso haja problemas de desempenho. O caminho \Windows\SYSVOL o local onde sero armazenados as GPOs e scripts do AD e esta pasta replicada para todos os outros DC. Aceite a opo padro e clique no boto Avanar.

Se o servidor DNS no estiver ativo ou configurado corretamente, voc ver o seguinte aviso: 198

Em geral, o primeiro DC do AD tambm o servidor DNS (que o caso do nosso artigo). Lembre-se que o servidor DNS requerido pelo AD deve aceitar registro SRVs e atualizaes dinmicas. Portanto, o mais recomendvel utilizar o servidor DNS do Windows Server 2003 e deixar que o assistente faa a instalao e configurao do mesmo. Selecione a opo Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS preferencial e clique no boto Avanar.

199

Na janela de Permisses, selecione a opo Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 e clique no boto Avanar. Esta opo somente dever ser alterada caso voc tenha DCs rodando em plataforma Windows NT, o que no o caso do nosso artigo.

200

Na janela de senha, digite e confirme a senha de administrador do modo de restaurao; clique no boto Avanar. Esta senha importante, pois ela no a mesma senha do administrador do DC e deve ser usada quando houver problemas no DC ou quando o DC for removido do computador.

Na janela de Resumo, verifique as opes selecionadas. Caso as opes estejam corretas, clique no boto Avanar.

201

Voc ir acompanhar o assistente executando as tarefas solicitadas.

202

Nunca clique no boto Cancelar, pois voc ir estragar todo o computador! Caso tenha cometido algum erro, aguarde o assistente finalizar e depois o execute novamente para desfazer as alteraes. Caso as tarefas tenham sido realizadas com sucesso, voc obter a seguinte tela:

Clique no boto Concluir. Voc precisar reiniciar o computador para iniciar o AD. Clique no boto Reiniciar agora.

203

Verificando a instalao do AD
Nesta etapa iremos verificar se a instalao do AD foi realizada com sucesso. Primeiro, vamos verificar se todas as ferramentas de administrao do AD foram instaladas. Clique no menu Iniciar, Todos os programas, Ferramentas administrativas.

Execute o programa Usurios e computadores do Active Directory. Verifique se o domnio contoso.com.br foi criado e se dentro dele existem as opes padres de objetos.

204

Execute o programa Servios e sites do Active Directory. Verifique se foi criado um site chamado Primeiro-site-padro e dentro dele est o servidor.

Execute o programa DNS. Verifique se existe uma zona com o nome de domnio contoso.com.br. Dentro desta zona, deve existir 4 registros SRVs.

205

Ateno! Caso no aparea os 4 registros SRVs, isso significa que o servidor DNS est com problemas. Caso o servidor DNS no tenha sido criado e configurado pelo assistente do Windows, o problema pode estar nas configuraes IP, sufixos, atualizaes dinmicas, etc. Caso voc tenha problemas no servidor DNS, execute novamente o DCPROMO e refaa o AD, antes de criar usurios, grupos e computadores. Verifique a existncia do diretrio NTDS e seus arquivos.

Verifique a existncia do diretrio SYSVOL e seus sub-diretrios.

206

Verifique a existncia dos compartilhamentos de rede SYSVOL e NETLOGON nos Meus Locais de Rede.

Caso todas as condies acima estejam corretas, voc instalou o AD corretamente. Verifique se aparece a ferramenta Usurios e computadores do Active Directory. Clique nele e verifique se o domnio contoso.com. br foi criado. Pronto!!! O Active Directory j esta em funcionamento.

207

Instalando um controlador de domnio

Instalando um controlador de domnio
Os controladores de domnio fornecem aos usurios e computadores da rede o servio de diretrio do Active Directory, que armazena e replica dados do diretrio e gerencia interaes do usurio com o domnio, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio. Cada domnio deve conter, pelo menos, um controlador de domnio. Voc instala um controlador de domnio instalando o Active Directory em qualquer servidor membro ou autnomo (exceto aqueles com contratos de licena restritivos). Quando voc instalar o primeiro controlador de domnio na organizao, estar criando o primeiro domnio (tambm chamado de domnio raiz) e a primeira floresta. possvel adicionar controladores de domnio a um domnio existente para fornecer tolerncia a falhas, melhorar a disponibilidade dos servios e balancear a carga dos controladores de domnio existentes. Voc pode instalar um controlador de domnio para criar um novo domnio filho ou uma nova rvore de domnio. Crie um novo domnio filho quando um novo domnio tiver que compartilhar um espao_para_nome contguo com um ou mais domnios. Isso significa que o nome do novo domnio contm o nome completo do domnio pai. Por exemplo, sales.microsoft.com seria um domnio filho de microsoft.com. Crie uma nova rvore de domnio somente quando voc precisar de um domnio cujo espao_para_nome de sistema de nomes de domnio (DNS) no esteja relacionado aos outros domnios da floresta. Isso significa que o nome do domnio raiz da nova rvore de domnio (e todos os seus filhos) no inclui o nome completo do domnio pai. Uma floresta pode conter uma ou mais rvores de domnio. Antes de instalar um novo controlador de domnio, voc precisar considerar nveis de segurana compatveis com verses anteriores do Windows 2000 e identificar o nome DNS do domnio.. As tarefas mais executadas durante a instalao de um controlador de domnio so criao de um novo domnio em uma nova floresta, criao de um novo domnio filho em uma rvore de domnio existente, criao de uma nova rvore de domnio em uma floresta existente e adio de um controlador de domnio a um domnio existente.

Para criar um novo domnio em uma nova floresta

1. Abra o Assistente para instalao do Active Directory. 2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um novo domnio e, em seguida, clique em Avanar. 3. Na pgina Tipo de controlador de domnio, clique em Domnio em uma nova floresta e, em seguida, clique em Avanar. 4. Na pgina Novo nome de domnio, digite o nome DNS completo do novo domnio e clique em Avanar. 5. Na pgina Nome do domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar. 6. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em seguida, clique em Avanar.

208

7. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 8. Na pgina Diagnstico de registro de DNS, verifique se algum servidor DNS existente autoritativo nesta floresta ou, se necessrio, escolha instalar e configurar o DNS neste servidor clicando em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS preferencial e, em seguida, em Avanar. 9. Na pgina Permisses, selecione uma destas opes: o Permisses compatveis com verses de sistemas operacionais de servidor anteriores ao Windows 2000 o Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 10. Examine a pgina Resumo e clique em Avanar para iniciar a instalao. 11. Reinicie o computador. Observaes

Para executar este procedimento, voc deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade adequada. Se o computador fizer parte de um domnio, possvel que os membros do grupo Administradores de domnio possam executar esse procedimento. Como prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. O servidor em que voc executa esse procedimento ser promovido a primeiro controlador de domnio no domnio raiz da floresta. As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm disso, elas no esto relacionadas funcionalidade do domnio. O Assistente para instalao do Active Directory permite nomes de domnio do Active Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes de computador.

Para criar um novo domnio filho em uma rvore de domnio existente

1. Abra o Assistente para instalao do Active Directory. 2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um novo domnio e, em seguida, clique em Avanar. 3. Na pgina Criar novo domnio, clique em Domnio filho em uma rvore de domnio existente e, em seguida, clique em Avanar. 4. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da conta de usurio que deseja usar nesta operao e clique em Avanar. 5. Na pgina Instalao de domnio filho, verifique o domnio pai, digite o novo nome de domnio filho e clique em Avanar. 6. Na pgina Nome de domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar.

209

7. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 8. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 9. Na pgina Diagnstico de registro de DNS, verifique se as configuraes de DNS esto corretas e clique em Avanar. 10. Na pgina Permisses, selecione uma destas opes: o Permisses compatveis com verses de sistemas operacionais de servidor anteriores ao Windows 2000 o Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 11. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio, digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e clique em Avanar. 12. Examine a pgina Resumo e clique em Avanar para iniciar a instalao. 13. Reinicie o computador. Observaes

Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. O servidor em que voc executa esse procedimento ser promovido a primeiro controlador de domnio em um novo domnio filho. Quando um domnio filho adicionado a um domnio de rvore existente, uma confiana bidirecional, transitiva, pai e filho estabelecida por padro. As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm disso, elas no esto relacionadas funcionalidade do domnio. O Assistente para instalao do Active Directory permite nomes de domnio do Active Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes de computador.

Para criar uma nova rvore de domnio em uma floresta existente

1. Abra o Assistente para instalao do Active Directory. 2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um novo domnio e, em seguida, clique em Avanar. 3. Na pgina Criar novo domnio, clique em rvore de domnio em uma floresta existente. 4. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da conta de usurio que deseja usar nesta operao e clique em Avanar. 210

5. Na pgina Nova rvore de domnios, digite o nome DNS completo do novo domnio e clique em Avanar. 6. Na pgina Nome do domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar. 7. Na pgina Pastas do banco de dados e log, digite o local onde deseja instalar o banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 8. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 9. Na pgina Diagnstico de registro de DNS, verifique se algum servidor DNS existente autoritativo nesta floresta ou, se necessrio, escolha instalar e configurar o DNS neste servidor clicando em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS preferencial e, em seguida, em Avanar. 10. Na pgina Permisses, selecione uma destas opes: o Permisses compatveis com verses de sistemas operacionais de servidor anteriores ao Windows 2000 o Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 11. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio, digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e clique em Avanar. 12. Examine a pgina Resumo e clique em Avanar para iniciar a instalao. 13. Reinicie o computador. Observaes

Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. O servidor em que voc executa esse procedimento ser promovido a primeiro controlador de domnio em uma nova rvore de domnio. Quando uma nova rvore de domnio adicionada a uma floresta existente, uma confiana raiz de rvore bidirecional e transitiva estabelecida por padro. As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm disso, elas no esto relacionadas funcionalidade do domnio. O Assistente para instalao do Active Directory permite nomes de domnio do Active Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes de computador.

211

Para instalar um controlador de domnio adicional em um domnio existente

1. Abra o Assistente para instalao do Active Directory. 2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio adicional para um domnio existente e, em seguida, clique em Avanar. 3. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da conta de usurio que deseja usar nesta operao e clique em Avanar. Consulte Observao para obter mais informaes. 4. Na pgina Controlador de domnio adicional, digite o nome DNS completo do domnio existente para o qual o servidor se tornar um controlador de domnio e clique em Avanar. 5. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 6. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar. 7. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio, digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e clique em Avanar. 8. Examine a pgina Resumo e clique em Avanar para iniciar a instalao. 9. Reinicie o computador. Observaes

Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar como para executar este procedimento. Para criar um controlador de domnio adicional a partir dos arquivos de backup restaurados, inicie o Assistente para instalao do Active Directory digitando dcpromo /adv em um prompt de comando.

212

Definio do DHCP (Dynamic Host Configuration Protocol)

O protocolo DHCP (protocolo de configurao dinmica de hosts) um padro IP que simplifica o gerenciamento da configurao IP do host. O padro DHCP prepara o uso de servidores DHCP como uma forma de gerenciar a alocao dinmica de endereos IP e outros detalhes de configurao relacionados para os clientes com DHCP da rede. Todos os computadores de uma rede TCP/IP devem ter um endereo IP exclusivo. O endereo IP (junto com a mscara de sub-rede relacionada) identifica o computador host e a sub-rede qual ele est anexado. Quando voc move um computador para uma sub-rede diferente, o endereo IP deve ser alterado. O DHCP permite que voc atribua dinamicamente um endereo IP a um cliente a partir de um banco de dados de endereo IP de servidor DHCP na rede local:

Em redes baseadas em TCP/IP, o DHCP reduz a complexidade e a quantidade de trabalho administrativo envolvido na reconfigurao dos computadores. A famlia Microsoft Windows Server 2003 fornece um servio DHCP compatvel com RFC que voc pode usar para gerenciar a configurao de cliente IP e automatizar a atribuio de endereos IP na rede.

Benefcios do uso do DHCP

O DHCP oferece os seguintes benefcios para a administrao da rede baseada em TCP/IP: Configurao confivel e segura O DHCP evita erros de configurao causados pela necessidade de digitao manual de valores em cada computador. Alm disso, o DHCP ajuda a impedir conflitos de endereo causados por um endereo IP atribudo anteriormente e que est sendo utilizado novamente para configurar um novo computador na rede. Menor gerenciamento de configurao Usar servidores DHCP pode diminuir bastante o tempo gasto na configurao e reconfigurao de computadores da rede. Os servidores podem ser configurados para fornecer um intervalo completo de valores de configurao adicional ao atribuir concesses 213

de endereo. Esses valores so atribudos atravs de opes DHCP. Alm disso, o processo de renovao de concesso de DHCP ajuda a assegurar que, quando as configuraes de cliente precisarem ser atualizadas com freqncia (que o que acontece, por exemplo, quando usurios com computadores portteis ou mveis mudam de local freqentemente), essas alteraes podero ser realizadas de forma eficaz e automtica por clientes que se comunicam diretamente com servidores DHCP.

Definindo DHCP
O DHCP a abreviatura de Dynamic Host Configuration Protocol. O DHCP um servio utilizado para automatizar as configuraes do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado rede e que esteja utilizando o protocolo TCP/IP). Sem o uso do DHCP, o administrador da rede e a sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts). Com o uso do DHCP esta tarefa pode ser completamente automatizada. O uso do DHCP traz diversos benefcios, dentro os quais podemos destacar os seguintes:

Automao do processo de configurao do protocolo TCP/IP nos dispositivos da rede. Facilidade de alterao de parmetros tais como Default Gateway, Servidor DNS e assim por diante, em todos os dispositivos da rede, atravs de uma simples alterao no servidor DHCP. Eliminao de erros de configurao, tais como digitao incorreta de uma mscara de subrede ou utilizao do mesmo nmeor IP em dois dispositivos diferentes, gerando um conflito de endereo IP.

Introduo ao DHCP
Neste tpico apresentarei uma srie de conceitos tericos sobre o funcionamento do DHCP. Voc aprender como funciona o processo de concesso de endereos IP (tambm conhecido como lease), aprender sobre os conceitos de escopo, superescopo, reserva de endereo, ativao do servidor DHCP no Active Directory e demais conceitos relacionados ao DHCP.

O que o DHCP - Dynamic Host Configuration Protocol?

Voc aprendeu, nas primeiras partes deste tutorial, sobre os fundamentos do protocolo TCP/IP, que um equipamente de rede, que utiliza o protocolo TCP/IP precisa que sejam configurados uma srie de parmetros. Os principais parmetros que devem ser configurados para que o protocolo TCP/IP funcione corretamente so os seguintes:

Nmero IP Mscara de sub-rede Default Gateway (Gateway Padro) Nmero IP de um ou mais servidores DNS 214

Nmero IP de um ou mais servidores WINS Sufixos de pesquisa do DNS

Em uma rede com centenas ou at mesmo milhares de estaes de trabalho, configurar o TCP/IP manualmente, em cada estao de trabalho uma tarefa bastante trabalhosa, que envolve tempo e exige uma equipe tcnica para executar este trabalho. Alm disso, sempre que houver mudanas em algum dos parmetros de configurao (como por exemplo uma mudana no nmero IP do servidor DNS), a reconfigurao ter que ser feita manualmente em todas as estaes de trabalho da rede. Por exemplo, imagine que o nmero IP do Default Gateway teve que ser alterado devido a uma reestruturao da rede. Neste caso a equipe de suporte teria que ir de computador em computador, alterando as propriedades do protocolo TCP/IP, para informar o novo nmero IP do Default Gateway, isto , alterando o nmero IP antigo do Default Gateway para o novo nmero. Um trabalho e tanto. Alm disso, com a configurao manual, sempre podem haver erros de configurao. Por exemplo, basta que o tcnico que est configurando uma estao de trabalho, digite um valor incorreto para a mscara de sub-rede, para que a estao de trabalho no consiga mais se comunicar com a rede. E problemas como este podem ser difceis de detectar. Muitas vezes o tcnico pode achar que o problema com a placa de rede, com o driver da placa ou com outras configuraes. At descobrir que o problema um simples erro na mscara de sub-rede pode ter sido consumido um bom tempo: do tcnico e do funcionrio que utiliza o computador, o qual ficou sem poder acessar a rede. E hoje em dia sem acesso rede significa, na prtica, sem poder trabalhar. Bem, descrevo estas situaes apenas para ilustrar o quanto difcil e oneroso manter a configurao do protocolo TCP/IP manualmente, quando temos um grande nmero de estaes de trabalho em rede. Pode at nem ser to grande este nmero, com redes a partir da 30 ou 50 estaes de trabalho j comea a ficar difcil a configurao manual do protocolo TCP/IP. Para resolver esta questo e facilitar a configurao e administrao do protocolo TCP/IP que foi criado o DHCP. DHPC a abreviatura de: Dynamic Host Configuration Protocol (Protocolo de configurao dinmica de hosts). Voc pode instalar um ou mais servidores DHCP em sua rede e fazer com que os computadores e demais dispositivos que precisem de configuraes do TCP/IP, obtenham estas configuraes, automaticamente, a partir do servidor DHCP. Por exemplo, considere uma estao de trabalho configurada para utilizar o DHCP. Durante a inicializao, esta estao de trabalho entra em um processo de descobrir um servidor DHCP na rede (mais adiante detalharei como este processo de descoberta do servidor DHCP). Uma vez que a estao de trabalho consegue se comunicar com o servidor DHCP, ela recebe todas as configuraes do protocolo TCP/IP, diretamente do servidor DHCP. Ou seja, com o uso do DHCP, o administrador pode automatizar as configuraes do protocolo TCP/IP em todas os computadores da rede. Com o uso do DHCP, a distribuio de endereos IP e demais configuraes do protocolo TCP/IP (mscara de sub-rede, default gateway, nmero IP do servidor DNS e assim por diante) automatizada e centralizadamente gerenciada. O administrador cria faixas de endereos IP que sero distribudas pelo servidor DHCP (faixas estas chamadas de escopos) e associa outras configuraes com cada faixa de endereos, tais como um nmero IP do Default Gateway, a mscara de sub-rede, o nmero IP de um ou mais servidores DNS, o nmero IP de um ou mais servidores WINS e assim por diante. 215

Todo o trabalho de configurao do protocolo TCP/IP que teria que ser feito manualmente, agora pode ser automatizado com o uso do DHCP. Imagine somente uma simples situao, mas que serve para ilustrar o quanto o DHCP til. Vamos supor que voc o administrador de uma rede com 3000 estaes de trabalho. Todas as estaes de trabalho esto configuradas com o protocolo TCP/IP. As configuraes so feitas manualmente, no utilizado um servidor DHCP na rede. Voc utiliza um nico servidor externo, do seu provedor de Internet, com servidor DNS. O nmero IP deste servidor DNS est configurado em todas as estaes de trabalho da rede. O seu Provedor de Internet sofreu uma reestruturao e teve que alterar o nmero IP do servidor DNS (veja que uma situao que est fora do controle do administrador da rede, j que a alterao foi no servidor DNS do provedor). Como voc configura o TCP/IP manulamente nos computadores da rede, s resta uma soluo: pr a sua equipe em ao para visitar as 3000 estaes de trabalho da rede, alterando o nmero IP do servidor DNS em cada uma delas. Em cada estao de trabalho o tcnico ter que acessar as propriedades do protocolo TCP/IP e alterar o endereo IP do servidor DNS para o novo endereo. Um trabalho e tanto, sem contar que podem haver erros durante este processo. Agora imagine esta mesma situao, s que ao invs de configurar o TCP/IP manualmente voc est utilizando o DHCP para fazer as configuraes do TCP/IP automaticamente. Nesta situao, quando houve a alterao do nmero IP do servidor DNS, bastaria alterar esta opo nas propriedades do escopo de endereos IP no servidor DHCP e pronto. Na prxima reinicializao, os computadores da rede j receberiam o novo nmero IP do servidor DNS, sem que voc ou um nico membro da sua equipe tivesse que reconfigurar uma nica estao de trabalho. Bem mais simples, mais produtivo e menos propenso a erros. Isso o DHCP, um servio para configurao automtica do protocolo TCP/IP nos computadores e demais dispositivos da rede que utilizam o protocolo TCP/IP. Configurao feita de maneira automtica e centralizada. Em redes baseadas em TCP/IP, o DHCP reduz a complexidade e a quantidade de trabalho administrativo envolvido na configurao e reconfigurao do protocolo TCP/IP. Nota: A implementao do DHCP no Windows 2000 Server e no Windows Server 2003 baseada em padres definidos pelo IETF. Estes padres so definidos em documentos conhecidos como RFCs (Request for Comments). As RFCs que definem os padres do DHCP so as seguintes:

RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541) RFC 2132: DHCP Options and BOOTP Vendor Extensions

As RFCs a seguir tambm podem ser teis para compreender como o DHCP usado com outros servios na rede: RFC 0951: The Bootstrap Protocol (BOOTP) RFC 1534: Interoperation Between DHCP and BOOTP RFC 1542: Clarifications and Extensions for the Bootstrap Protocol RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE) RFC 2241: DHCP Options for Novell Directory Services RFC 2242: Netware/IP Domain Name and Information

O site oficial, a partir da qual voc pode copiar o contedo integral das RFCs disponveis o seguinte: 216

http://www.rfc-editor.org/

Termos utilizados no DHCP

O DHCP composto de diverses elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP so criados escopos e definidas as configuraes que os clientes DHCP iro receber. A seguir apresento uma srie de termos relacionados ao DHCP. Estes termos sero explicados em detalhes at o final desta lio. Termos utilizados no DHCP:

Servidor DHCP: um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado e configurado o servio DHCP. Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active Directory, antes que ele possa, efetivamente, atender a requisies de clientes. O procedimento de autorizao no Active Directory uma medida de segurana, para evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do administrador. O servidor DHCP no pode ser instalado em um computador com o Windows 2000 Professional, Windows XP Professional ou Windows Vista. Cliente DHCP: qualquer dispositivo de rede capaz de obter as configuraes do TCP/IP a partir de um servidor DHCP. Por exemplo, uma estao de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante.
o

Escopo: Um escopo o intervalo consecutivo completo des endereos IP possveis para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-rede fsica, na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos IP e outros parmetros de configurao para clientes na rede, tais como o Default Gateway, Servidor DNS e assim por diante.. Superescopo: Um superescopo um agrupamento administrativo de escopos que pode ser usado para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede fsica. Os superescopos contm somente uma lista de escopos associados ou escopos filho que podem ser ativados em cojunto. Os superescopos no so usados para configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, voc precisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadores devem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser configurado em cada escopo, individualmente. No tem como fazer esta configurao no Superescopo e todos os escopos (que compem o Superescopo), herdarem estas configuraes. Intervalo de excluso: Um intervalo de excluso uma seqncia limitada de endereos IP dentro de um escopo, excludo dos endereos que so fornecidos pelo DHCP. Os intervalos de excluso asseguram que quaisquer endereos nesses intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, voc pode criar uma faixa de 217

excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no sero utilizados pelo servidor DHCP para configurar os clientes DHCP.
o

Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos remanescentes formam o pool de endereos disponveis dentro do escopo. Endereos em pool so qualificados para atribuio dinmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a 10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100 a 10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150. Concesso: Uma concesso um perodo de tempo especificado por um servidor DHCP durante o qual um computador cliente pode usar um endereo IP que ele recebeu do servidor DHCP (diz-se atribudo pelo servidor DHCP). Uma concesso est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuio de concesso de endereo com o servidor antes que ela expire. Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A durao de uma concesso determina quando ela ir expirar e com que freqncia o cliente precisa renov-la no servidor. Reserva: Voc usa uma reserva para criar uma concesso de endereo permanente pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware especificado na sub-rede sempre pode usar o mesmo endereo IP. A reserva criada associada ao endereo de Hardware da placa de rede, conhecido como MACAddress. No servidor DHCP voc cria uma reserva, associando um endereo IP com um endereo MAC. Quando o computador (com o endereo MAC para o qual existe uma reserva) inicializado, ele entre em contato com o servidor DHCP. O servidor DHCP verifica que existe uma reserva para aquele MAC-Address e configura o computador com o endereo IP associado ao Mac-address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser substituda, mudar o MACAddress e a reserva anterior ter que ser excluda e uma nova reserva ter que ser criada, utilzando, agora, o novo Mac-Address. Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente que um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opes usadas com freqncia incluem endereos IP para gateways padro (roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O console de Administrao do servio DHCP tambm permite a voc configurar tipos de opo padro que so usados por todos os escopos adicionados e configurados no servidor. A maioria das opo predefinida atravs da RFC 2132, mas voc pode usar o console DHCP para definir e adicionar tipos de opo personalizados, se necessrio.

Como o DHCP funciona

O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e configura um ou mais servidores DHCP. As informaes de configurao escopos de endereos IP, reservas e outras

218

opes de configurao so mantidas no banco de dados dos servidores DHCP. O banco de dados do servidor inclui os seguintes itens:

Parmetros de configurao vlidos para todos os cliente na rede (nmero IP do Default Gateway, nmero IP de um ou mais servidores DNS e assim por diante). Estas configuraes podem ser diferentes para cada escopo. Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes alm de reservas de endereos IP. Durao das concesses oferecidas pelo servidor. A concesso define o perodo de tempo durante o qual o endereo IP atribudo pode ser utilizado pelo cliente. Conforme mostrarei mais adiante, o cliente tenta renovar esta concesso em perodos definidos, antes que a concesso expire.

Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os endereos IP e os parmetros de configurao relacionados, dinamicamente, sempre que forem inicializados. Os servidores DHCP fornecem essa configurao na forma de uma oferta de concesso de endereo para os clientes solicitantes.

Clientes suportados pelo DHCP

O termo Cliente utilizado para descrever um computador ligado rede e que obtm as configuraes do protocolo TCP/IP a partir de um servidor DHCP. Qualquer computador com o Windows (qualquer verso) instalado ou outros dispositivos, capazes de se comunicar com o servidor DHCP e obter as configuraes do TCP/IP a partir do servidor DHCP, considerado um cliente DHCP. Os clientes DHCP podem ser quaisquer clientes baseados no Microsoft Windows ou outros clientes que oferecem suporte e so compatveis com o comportamento do cliente descrito no documento padro de DHCP, que a RFC 2132, publicado pela Internet Engineering Task Force - IETF. Exemplo prtico: Configurando um cliente baseado no Windows para que seja um cliente do DHCP: Para configurar um computador com o Windows 2000 para ser um cliente DHCP, siga os passos indicados a seguir: 1. Faa o logon com a conta de Administrador ou com uma conta com permisso de administrador. 2. 3. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle. Abra a opo Conexes dial-up e de rede.

4. Clique com o boto direito do mouse na conexo de rede local a ser configurada. No menu de opes que exibido clique em Propriedades. 5. Ser exibida a janela de propriedades da conexo de rede local. 6. Clique na opo Protocolo Internet (TCP/IP) para selecion-la. Clique no boto Propriedades, para abrir a janela de propriedades do protocolo TCP/IP. 7. Nesta janela voc pode configurar o endereo IP, a mscara de sub-rede e o Gateway padro, manualmente. Para isso basta marcar a opo Utilizar o seguinte endereo IP e informar os endereos desejados. 219

8. Para configurar o computador para utilizar um servidor DHCP, para obter as configuraes do TCP/IP automaticamente, marque a opo Obter um endereo IP automaticamente, conforme indicado na Figura a seguir. Marque tambm a opo Obter o endereo dos servidores DNS automaticamente, para obter o endereo IP do servidor DNS a partir das configuraes fornecidas pelo DHCP.

Figura - Configurando o cliente para usar o DHCP. 9. 10. Clique em OK para fechar a janela de propriedades do TCP/IP. Voc estar de volta janela de propriedades da conexo de rede local.

11. Clique em OK para fech-la e aplicar as alteraes efetudas. Ao clicar em OK, o cliente DHCP j tentar se conectar com um servidor DHCP e obter as configuraes do protocolo TCP/IP, a partir do servidor DHCP. O servidor DHCP d suporte as seguintes verses do Windows (e do MS- DOS) com clientes DHCP:

Windows Longhorn Server Windows Vista Windows Server 2003 (todas as edies) Windows 2000 Server (todas as edies) Windows XP Home e Professional Windows NT (todas as verses lanadas) Windows Me 220

Windows 98 Windows 95 Windows for Workgroups verso 3.11 (com o Microsoft 32 bit TCP/IP VxD instalado) Microsoft-Network Client verso 3.0 para MS-DOS (com o driver TCP/IP de modo real instalado) LAN Manager verso 2.2c

Um recurso de nome esquisito APIPA

APIPA a abreviatura de Automatic Private IP Addressing. Esta uma nova funcionalidade que foi introduzida no Windows 98, est presente no Windows 2000, Windows XP, Windows Vista, Longhorn Server e no Windows Server 2003. Imagine um cliente com o protocolo TCP/IP instalado e configurado para obter as configuraes do protocolo TCP/IP a partir de um servidor DHCP. O cliente inicializado, porm no consegue se comunicar com um servidor DHCP. Neste situao, o Windows, usa o recurso APIPA, e automaticamente atribui um endereo IP da rede 169.254.0.0/255.255.0.0. Este um dos endereos especiais, reservados para uso em redes internas, ou seja, este no seria um endereo de rede, vlido na Internet. A seguir descrevo mais detalhes sobre a funcionalidade APIPA. No esquea: O nmero de rede usado pelo recurso APIPA o seguinte: 169.254.0.0/255.255.0.0 Nota: O recurso APIPA especialmente til para o caso de uma pequena rede, com 4 ou 5 computadores, onde no existe um servidor disponvel. Neste caso voc pode configurar todos os computadores para usarem o DHCP. Ao inicializar, os clientes no conseguiro localizar um servidor DHCP (j que no existe nenhum servidor DHCP nesta rede do nosso exemplo). Neste caso o recurso APIPA atribuir endereos da rede 169.254.0.0/255.255.0.0 para todos os computadores da rede. O resultado final que todos ficam configurados com endereos IP da mesma rede e podero se comunicar, compartilhando recursos entre si. uma boa soluo para um rede domstica ou de um pequeno escritrio.

Configurao automtica do cliente

Se os clientes estiverem configurados para usar um servidor DHCP (em vez de serem configurados manualmente com um endereo IP e outros parmetros), o servio do cliente DHCP entrar em funcionamento a cada vez que o computador for inicializado. O servio do cliente DHCP usa um processo de trs etapas para configurar o cliente com um endereo IP e outras informaes de configurao.

O cliente DHCP tenta localizar um servidor DHCP e obter as configuraes do protocolo TCP/IP, a partir desse servidor. Se um servidor DHCP no puder ser encontrado, o cliente DHCP configura automaticamente seu endereo IP e mscara de sub-rede usando um endereo selecionado da rede classe B reservada, 169.254.0.0, com a mscara de sub-rede, 255.255.0.0 (recurso APIPA). O cliente DHCP ir fazer uma verificao na rede, para ver se o endereo que ele est se autoatribuindo (usando o recurso APIPA) j no est em uso na rede. Se o endereo j estiver em uso ser caracterizado um conflito de endereos. Se um conflito for encontrado, o cliente selecionar outro endereo IP. A cada conflito de endereo, o cliente ir tentar novamente a 221

configurao automtica aps 10 tentativas ou at que seja utilizado um endereo que no gere conflito.

Depois de selecionar um endereo no intervalo de rede 169.254.0.0 que no est em uso, o cliente DHCP ir configurar a interface com esse endereo. O cliente continua a verificar se um servidor DHCP no est disponvel. Esta verificao feita a cada cinco minutos. Se um servidor DHCP for encontrado, o cliente abandonar as informaes configuradas automaticamente (endereo da rede 169.254.0.0/255.255.0.0). Em seguida, o cliente DHCP usar um endereo oferecido pelo servidor DHCP (e quaisquer outras informaes de opes de DHCP fornecidas) para atualizar as definies de configurao IP.

Caso o cliente DHCP j tenha obtido previamente uma concesso de um servidor DHCP (durante uma inicializao anterior) e esta concesso ainda no tenha expirado, ocorrer a seguinte seqncia modificada de eventos, em relao a situao anterior:

Se a concesso de cliente ainda estiver vlida (no expirada) no momento da inicializao, o cliente ir tentar renovar a concesso com o servidor DHCP. Se durante a tentativa de renovao o cliente no conseguir localizar qualquer servidor DHCP, ele ir tentar efetuar o ping no gateway padro que ele recebeu do servidor DHCP anteriormente. Dependendo do sucesso ou falha do ping, o cliente DHCP proceder conforme o seguinte:

1. Se um ping para o gateway padro for bem-sucedido, o cliente DHCP presumir que ainda est localizado na mesma rede em que obteve a concesso atual e continuar a usar a concesso. Por padro, o cliente ir tentar renovar a concesso quando 50 por cento do tempo de concesso tiver expirado. 2. Se uma solicitao de ping do gateway padro falhar, o cliente presumir que foi movido para uma rede em que no esto disponveis servidores DHCP, como uma rede domstica ou uma rede de uma pequena empresa, onde no est disponvel servidor DHCP (pode ser o exemplo de um vendedor conectando um notebook em um ponto da rede de um pequeno cliente). O cliente ir configurar automaticamente o endereo IP conforme descrito anteriormente. Uma vez que configurado automaticamente, o cliente continua a tentar localizar um servidor DHCP a cada cinco minutos e obter uma nova concesso de endereo IP e de demais configuraes. No esquea: APIPA isso. A sigla mais complicada do que a funcionalidade. Se voc est se preparando para os exames de Certificao do Windows 2000 Server, fique atento a esta funcinalidade. Normalmente aparecem questes envolvendo conhecimentos desta funcionalidade.

222

Como funciona o DHCP O DHCP utiliza um modelo cliente/servidor. O administrador da rede estabelece um ou mais servidores DHCP que mantm as informaes de configurao de TCP/IP e as fornecem aos clientes. O banco de dados do servidor inclui o seguinte: Parmetros de configurao vlidos para todos os clientes da rede. Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes, alm de endereos reservados para atribuio manual. Durao de uma concesso oferecida pelo servidor. A concesso define o perodo de tempo em que o endereo IP atribudo pode ser utilizado. Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os endereos IP e parmetros de configurao relacionados dinamicamente sempre que iniciarem e ingressarem em uma rede. Os servidores DHCP fornecem essa configurao sob a forma de uma oferta de concesso de endereo para clientes solicitantes.

Terminologia do DHCP
Termo Descrio Um escopo o intervalo consecutivo completo dos endereos IP possveis para uma rede. Em geral, os escopos definem uma nica sub-rede fsica na rede qual sero oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos IP e quaisquer parmetros de configurao relacionados para clientes na rede.

escopo

Um superescopo um agrupamento administrativo de escopos que pode ser usado para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede fsica. Os superescopos contm somente uma lista de escopos membros ou escopos filho que superescopo podem ser ativados em conjunto. Os superescopos no so usados para configurar outros detalhes sobre o uso do escopo. Para configurar a maioria das propriedades usadas em um superescopo, voc precisa configurar propriedades de escopo membro individualmente. intervalo de excluso pool de endereos Um intervalo de excluso uma seqncia limitada de endereos IP dentro de um escopo, excludo das ofertas de servio DHCP. Os intervalos de excluso asseguram que quaisquer endereos nesses intervalos no sero oferecidos pelo servidor a clientes DHCP na rede. Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos restantes formaro o pool de endereos no escopo. Os endereos em pool so qualificados para atribuio dinmica pelo servidor a clientes DHCP na rede. Uma concesso um perodo de tempo especificado por um servidor DHCP durante o qual um computador cliente pode usar um endereo IP atribudo. Uma concesso est ativa quando ela feita a um cliente. Geralmente, o cliente precisa renovar sua atribuio de concesso de endereo no servidor antes que ela expire. Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A durao de uma concesso determina quando ela expirar e com que freqncia o cliente precisa 223

concesso

renov-la no servidor. reserva Voc usa uma reserva para criar uma atribuio de concesso de endereo permanente pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware especificado na sub-rede sempre poder usar o mesmo endereo IP. Os tipos de opo so outros parmetros de configurao de cliente que um servidor DHCP pode atribuir ao oferecer concesses a clientes DHCP. Por exemplo, algumas opes usadas com freqncia incluem endereos IP para gateways padro (roteadores), servidores WINS e servidores DNS. Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O console DHCP tambm permite a voc configurar tipos de opo padro que so usados por todos os escopos adicionados e configurados no servidor. A maioria das opes predefinida atravs da RFC 2132, mas voc pode usar o console do DHCP para definir e adicionar tipos de opo personalizados, se necessrio. Uma classe de opes uma forma de o servidor gerenciar os tipos de opo fornecidos aos clientes. Quando uma classe de opes adicionada ao servidor, os clientes dessa classe podem receber tipos de opo especficos de classe para suas configuraes. No Microsoft Windows 2000 e Windows XP, os computadores clientes tambm podem especificar uma identificao de classe durante a comunicao com o servidor. Para clientes DHCP anteriores que no oferecem suporte ao processo de identificao de classe, o servidor pode ser configurado com classes padro quando estiver inserindo clientes em uma classe. As classes de opes podem ser de dois tipos: classes de fornecedor e classes de usurio.

tipos de opo

classe de opes

224

Instalao do servidor DHCP no Windows Server

Por padro, o DHCP no instalado durante a instalao do Windows 2000 Server. Porm, na prtica, dificilmente voc deixar de utilizar o DHCP, optando por fazer as configuraes do protocolo TCP/IP manualmente. O DHCP um servio, assim como o DNS e o WINS e instalado de maneira semelhante a estes dois. A maioria das tarefas de administrao do DHCP podem ser executadas com o console DHCP, o qual acessado atravs do menu: Iniciar -> Programas -> Ferramentas Administrativas. O console DHCP passa a estar disponvel depois que o servio DHCP for instalado. Voc tambm pode usar o console DHCP para se conectar e administrar remotamente, outros servidores DHCP da rede. Com isso, a partir de um nico console, centralizadamente, o administrador pode gerenciar os vrios servidores DHCP existentes na rede. Neste item voc aprender a instalar o DHCP em um servidor. Voc ver que a instalao do DHCP extremamente simples. Exemplo: Instalando o DHCP - Para instalar o DHCP siga os passos indicados a seguir: 1. 2. 3. Faa o logon como administrador ou com uma conta com permisso de administrador. Abra o Painel de Controle: Iniciar -> Configuraes -> Painel de Controle. D um clique duplo na opo Adicionar ou remover progrmas.

4. Ser exibida a janela Adicionar ou remover progrmas. Nas opes do lado esquerdo da janela, d um clique na opo Adicionar ou Remover Componentes do Windows. 5. Ser aberto o assistente de componentes do Windows. 6. O DHCP classificado como um Sservio de rede (Networking Services). Localize esta opo e d um clique para marc-la, conforme indicado na Figura a seguir:

225

Figura - A opo Servios de rede. 7. Clique no boto Detalhes, para exibir a lista de servios de redes disponveis. 8. Ser aberta a janela Servios de rede. Na lista de servios que exibida, marque a opo Protocolo de configurao dinmica de hosts (DHCP), conforme indicado na Figura a seguir:

Figura - Selecionando o DHCP para instalao. 9. 10. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows. Clique em Avanar, para seguir para a prxima etapa do assistente. 226

11. O Windows 2000 Server inicia o processo de instalao e emite mensagens sobre o andamento da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de instalao do Windows 2000 Server no drive. Se for solicitado, insira o cd de instalao do Windows 2000 Server no driver de CD e clique em OK para continuar a instalao. 12. A tela final do assistente exibida com uma mensagem informando que o assistente foi concludo com sucesso. Clique em Concluir para fechar o assistente. 13. Voc estar de volta janela Adicionar ou Remover Programas. Feche-a. Pronto, o DHCP foi instalado e est pronto para ser configurado. No preciso reinicializar o servidor para que o DHCP possa ser utilizado. O DHCP instalado como um servio e configurado para ser inicializado automaticamente. O servio do DHCP configurado para executar no contexto da conta Local System. Agora hora de avanarmos um pouco mais. Inicialmente voc aprender a autorizar o servidor DHCP no Active Directory e o porqu necessria esta autorizao. Em seguida (j nas prximas partes deste tutorial), voc aprender a criar e a configurar escopos . Tambm aprender sobre o conceito de faixa de excluso e reservas.

227

Autorizando o servidor DHCP no Active Directory

Aps ter instalado o servidor DHCP, o prximo passo autorizar o servidor DHCP no Active Directory. Somente membros do grupo Enterpries Admins (Administradores de empresa) que tem autorizao para autorizar um servidor DHCP no Active Directory. A autorizao obrigatrioa no Active Directory uma medida de segurana. Se no fosse obrigatria a autoriazao do DHCP no Active Directory, qualquer usurio poderia instalar o servio DHCP, em um servidor com o Windows 2000 Server, configurar um escopo e passar a conceder endereos IP para os clientes da rede. O pior que este usurio poderia fornecer configuraes incorretas, o que faria com que os clientes no pudessem se comunicar na rede. Isso iria gerar chamadas a equipe de suporte, sem contar que seria difcil detectar onde est o servidor DHCP que est fornecendo concesses incorretas. No esquea: Se o servidor DHCP no for autorizado no Active Directory, ele no poder fornecer concesses de endereos para os clientes DHCP. Na prtica como se o servidor DHCP no tivesse sido instalado. Voc pode criar e ativar escopos antes de autorizar o servidor DHCP no Active Directory, porm ele no poder fornecer concesses enquanto no for autorizado no Active Directory. Se voc est se preparando para os exames do MCSE 2000 fique atento, pois isto um assunto que gosta de aparecer em questes dos exames. Para autorizar o servidor DHCP no Active Directory, siga os passos indicados a seguir: 1. 2. Faa o logon com uma conta pertencente ao grupo Enterprise Admins. Abra o console DHCP: Iniciar -> Programas -> Ferramentas Administrativas -> DHCP.

3. Ser exibido o console de administrao do DHCP. No painel da esquerda, clique no nome do servidor DHCP a ser autorizado, para marc-lo. 4. 5. Selecione o comando Ao -> Autorizar. Pronto, o servidor DHCP foi autorizado no Active Directory e est pronto para ser utilizado.

228

Entendendo e projetando escopos

Um escopo DHCP consiste em um pool de endereos IP em uma determinada sub-rede, como por exemplo de 192.168.0.1 -> 192.168.0.254, que o servidor DHCP pode conceder aos clientes da rede. Um escopo uma faixa de endereos IP. A faixa deve estar dentro da faixa de endereos da rede onde o servidor DHCP ser utilizado. Por exemplo, se voc utilizar o servidor DHCP na seguinte rede: 10.10.20.0/255.255.255.0, voc poder criar escopos como os exemplificados a seguir: 10.10.10.20.30 a 10.10.20.100 10.10.10.20.120 a 10.10.20.150 10.10.10.20.200 a 10.10.20.250

Cada sub-rede pode ter somente um nico escopo DHCP com um nico intervalo contnuo de endereos IP, definido em um servidor DHCP. Para usar vrios intervalos de endereo dentro de um nico escopo ou sub-rede para o servio DHCP, primeiro voc deve definir o escopo e, em seguida, definir quaisquer intervalos de excluso necessrios. Voc aprender a criar faixas de excluso, nas prximas partes desta srie de tutoriais. Primeiro, o administrador cria um escopo para cada sub-rede fsica e, em seguida, utiliza-o para definir os parmetros usados pelos clientes. Os parmetros associados a um escopo podem ser, por exemplo: mscara de sub-rede, default gateway, endereo IP de um ou mais servidores DNS, endereo IP do servidor WINS e assim por diante. Um escopo tem as seguintes propriedades:

Um intervalo de endereos IP usados para de concesso do servidor DHCP para os clientes. Da faixa de endereo podem ser criadas faixas de excluso, para endereos que no devam ser concedidos via DHCP, tais como endereos que j esto em uso na rede. Uma mscara de sub-rede exclusiva que determina a sub-rede para um determinado endereo IP. Por exemplo, ao criar um escopo usando a faixa 10.10.20.200 a 10.10.20.250, voc tambm tem que definir qual a mscara de sub-rede associada a este escopo. Um nome de escopo atribudo quando o escopo for criado. Um valor que define a durao da concesso em horas, dias ou meses.

Intervalos de excluso: Voc pode definir intervalos de excluso para retirar de um escopo, endereos que voc no quer que sejam concedidos pelo servidor DHCP para os clientes da rede. Por exemplo, voc pode excluir os 10 primeiros endereos no escopo 10.10.20.30 a 10.10.20.100, criando uma excluso de 10.10.20.30 a 10.10.20.39. Com isso, restariam, efetivamente, a seguinte faixa, para concesso do servidor DHCP para os clientes: 10.10.20.40 a 10.10.20.100. O conjunto de endereos IP disponveis, j descontados os endereos das faixas de excluso, conhecido como Pool de endereos. Ao definir uma excluso desses endereos, voc especifica que esses endereos no sero oferecidos a clientes DHCP quando eles solicitam a configurao ao servidor DHCP. Endereos IP excludos podem estar ativos na sua rede, como por exemplo em computadores ou outros dispositivos de rede configurados manualmente (IP fixo).

229

Criar escopos:
Ao criar um escopo DHCP, voc usa o console DHCP para inserir as seguintes informaes necessrias:

Um nome de escopo, atribudo por voc ou pelo administrador que criou o escopo. Uma mscara de sub-rede exclusiva usada para determinar a sub-rede qual pertence a faixa de endereos IP do escopo. Um intervalo de endereos IP, que o que define o escopo. Um intervalo de tempo (conhecido como durao da concesso) que especifica por quanto tempo um cliente DHCP pode usar um endereo IP atribudo antes que seja necessrio renovar a configurao com o servidor DHCP, conforme descrito na parte terica sobre DHCP, anteriormente neste captulo.

Usar a regra 80/20 para escopos: Para equilibrar o uso do servidor DHCP, uma boa prtica usar a regra "80/20" para dividir o endereo do escopo entre os dois servidores DHCP. Se o Servidor 1 estiver configurado para disponibilizar a maioria (aproximadamente 80%) dos endereos, o Servidor 2 pode ser configurado para disponibilizar os outros endereos (aproximadamente 20%) para os clientes. A ilustrao seguinte (retirada da ajuda do DHCP ) um exemplo da regra 80/20.

Figura - A regra 80/20 de distribuio de endereos em escopos. Depois de definir um escopo, voc pode configurar adicionalmente o escopo executando as seguintes tarefas:

Definir intervalos de excluso adicionais: Voc pode excluir quaisquer outros endereos IP que no devem ser concedidos a clientes DHCP. Voc deve usar excluses para todos os dispositivos que devem ser configurados estaticamente. Os intervalos excludos devem incluir todos os endereos IP que voc atribuiu manualmente a outros servidores DHCP, clientes no-DHCP, estaes de trabalho sem disco, impressoras de rede configuradas com endereo IP ou clientes PPP (Point to Point Protocol, protocolo ponto a ponto) e de roteamento e acesso remoto. 230

Criar reservas: Voc pode escolher reservar alguns endereos IP para atribuio de concesso permanente a dispositivos ou computadores especificados na sua rede. Voc deve fazer reservas somente para dispositivos que tenham DHCP e que devem ser reservados para fins especficos na rede (como servidores de impresso). Outro caso tpico so computadores que acessam aplicativos do Mainframe, via softwares de emulao de terminal. Muitos destes programas exigem que o computador tenha um IP fixo (sempre o mesmo IP), pois a impresso remota associada com o nmero IP da estao de trabalho. Para resolver esta questo pode ser criada uma reserva de IP associada ao MAC Address da placa de rede da estao de trabalho. Com isso a estao de trabalho receber sempre o mesmo nmero IP, a no ser que a sua placa de rede seja trocada. Neste caso voc ter que excluir a reserva existente e fazer uma nova reserva, associada com o MAC Address da nova placa de rede. Ajustar a durao de uma concesso: Voc pode modificar a durao da concesso a ser usada para atribuir concesses de endereo IP. A durao de concesso padro de oito dias. Configurar opes e classes a serem usadas com o escopo: Para fornecer configurao total a clientes, as opes de DHCP precisam ser configuradas e ativadas para o escopo. So exemplos de opes que devem ser configuradas: nmero IP do default gateway, nmero IP de um ou mais servidores DNS e assim por diante.

No esquea: Aps definir e configurar um escopo, o escopo deve ser ativado antes que o servidor DHCP comece a fazer concesses aos clientes. No entanto, voc no deve ativar um novo escopo at ter especificado as opes DHCP para ele (default gateway, nmero IP do servidor DNS e assim por diante). Aps ativar um escopo, voc no deve alterar o intervalo de endereos de escopo. Observe ento que para colocar o servidor DHCP em funcionamento existem uma srie de etapas que devem ser cumpridas, conforme descrito a seguir: 1. Instalar o servio DHCP. 2. Autorizar o DHCP no Active Directory. Somente usurios membros do grupo Enterprise Admins tem permisso para autorizar servidores DHCP no Active Directory. 3. Criar e configurar um escopo: definir a faixa do escopo, a mscara de sub-rede, o tempo de concesso e demais opes, tais como default gateway, servidor DNS e assim por diante. 4. 5. Se for o caso, criar faixas de excluso dentro do escopo. Ativar o escopo.

231

Criando, administrando e configurando escopos no DHCP

Para criar e configurar um escopo, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console de administrao do DHCP: Iniciar -> Programas -> Ferramentas Administrativas -> DHCP. 3. Clique no sinal de + ao lado do servidor DHPC no qual voc quer criar um novo escopo. Nota: importante lembrar que voc pode utilizar um nico console DHCP para se conectar com diferentes servidores DHCP, remotamente atravs da rede. Para conectar o console de administrao do DHCP, com um servidor remoto, clique com o boto direito do mouse na opo DHCP (bem em cima, no painel da esquerda). No menu que exibido clique em Adicionar servidor... Ser exibida a janela Adicionar servidor. No campo Este servidor, digite o nome ou o endereo IP do servidor DHCP e clique em OK. Pronto, o novo servidor adicionado ao console DHCP e pode ser administrado, remotamente, desde que a conta com a qual voc est logado, tenha permisso para tal. 4. 5. Clique com o boto direito do mouse no nome do servidor onde o escopo ser criado. No menu de opes que exibido clique em Novo escopo...

6. O assistente para criao de um novo escopo ser aberto. A primeira tela do assistente apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente. 7. Nesta etapa voc deve digitar um nome e uma descrio para o escopo que est sendo criado. Preencha estas informaes, conforme exemplo da Figura a seguir:

Figura - Preenchendo o nome e a descrio do escopo. 232

8.

Clique em Avanar, para seguir para a prxima etapa do assistente.

9. Nesta etapa voc deve informar a faixa de endereos IP que faro parte do escopo. Para informar a faixa voc deve digitar o primeiro endereo da faixa e o ltimo endereo. Tambm deve ser informada a mscara de sub-rede. No exemplo da Figura a seguir, estou criando um escopo de exemplo que vai de 10.10.20.10 a 10.10.20.150, com uma mscara de sub-rede 255.255.255.0. Ou seja, estou criando um escopo de 140 endereos IP para a rede 10.10.20.0.

Figura - Definindo a faixa de endereos e a mscara de sub-rede. 10. Clique em Avanar, para seguir para a prxima etapa do assistente. 11. Nesta etapa voc pode criar uma faixa de excluso. Vamos pegar o exemplo que est sendo criado. Tenho 140 endereos da rede 10.10.20.0, que so do endereo 10 ao 150. Vamos supor que dentro desta faixa, os endereos de 30 a 50 so reservados para os servidores, ou seja, so endereos configurados manualmente nos servidores que devem ter IP fixo. Portanto estes endereos no devem ser ofertados pelo escopo que est sendo criado, para que no haja um conflito de endereos IP. Para solucionar esta questo, basta criar uma faixa de escluso, dentro do escopo, para a faixa de 10.10.20.30 a 10.10.20.50. Para criar esta faixa de excluso, preencha os endereos conforme indicado na Figura a seguir:

233

Figura - Definindo uma faixa de excluso. 12. Digite o endereo inicial e o endereo final da faixa de excluso, conforme exemplo da Figura anterior e clique no boto Adicionar, para criar a faixa de excluso. Voc poder criar faixas de excluso adicionais, simplesmente digitando o endereo inicial da faixa, o endereo final e clicando em Adicionar. 13. Clique em Avanar, para seguir para a prxima etapa do assistente. 14. Nesta etapa voc informa a durao padro para as concesses deste escopo. O padro um tempo de 8 dias. Na metade deste tempo, o cliente tentar renovar a concesso. Caso no seja possvel, ele tentar novamente em 87,5% do tempo, quando ento entrar no estado de religao. O tempo de 8 dias atende a maioria das situaes. Se voc tiver um grande nmero de endereos IP disponveis, comparativamente com o nmero de computadores conectados, voc pode aumentar este tempo. Se voc tiver poucos endereos IP disponveis, sendo que este nmero apenas um pouco maior do que o nmero de computadores conectados, pode ser necessrio diminuir este tempo, conforme comentado anteriormente. Vamos aceitar o valor padro de oito dias, conforme indicado na Figura a seguir:

234

Figura - O valor padro do tempo de concesso (lease). 15. Clique em Avanar, para seguir para a prxima etapa do assistente. 16. Nesta etapa voc pode configura as opes associadas com o escopo. As opes so, por exemplo, o nmero IP do Default Gateway, o nmero IP de um ou mais servidores DNS, o nmero IP de um ou mais servidores WINS e assim por diante. Neste exemplo prtico, vamos configurar o nmero IP do Default Gateway, o nmero IP dois servidores DNS e o nmero IP de um servidor WINS. Estes valores sero enviados para o cliente, junto com a concesso do endereo IP. Estes parmteros de configurao so enviados na mensagem DHCPOffer, enviada pelo servidor DHCP para o cliente, conforme descrito anteriormente. Certifique-se de que a opo Sim, desejo configurar estas opes agora, esteja marcada e clique em Avanar, para seguir para a prxima etapa do assistente. 17. Nesta etapa voc deve informar o nmero IP de um ou mais roteadores da rede (gateways). O endereo que ficar em primeiro da lista ser utilizado como Default Gateway. Para inserir o nmero IP de um roteador, basta digitar o nmero IP no campo Endereo IP e clicar em Adicionar. Para remover um endereo, basta clicar no endereo a ser removido e clicar em Remover. Voc pode usar os botes Para cima e Para baixo, para alterar a posio dos endereos IP da lista. Na Figura a seguir voc tem um exemplo onde foi informado o endereo IP de dois roteadores. O primeiro da lista ser o default gateway e o segundo somente ser utilizado se o primeiro no estiver online.

235

Figura - Definindo informaes sobre os roteadores. 17. Clique em Avanar, para seguir para a prxima etapa do assistente. 18. Nesta etapa voc pode informar o domnio DNS a ser utilizado pelos clientes e um ou mais servidores DNS para resoluo de nomes. Voc pode digitar o endereo IP dos servidores DNS, ou digitar o nome do servidor, no campo Nome do servidor e depois clicar no boto Resolver, para que o Windows 2000 Server tente encontrar o IP associado com o nome do servidor digitado. Preencha as informaes de domnio e o endereo IP de um ou mais servidores DNS, conforme exemplo da Figura a seguir:

Figura - Definindo informaes sobre os servidores DNS. 19. Clique em Avanar, para seguir para a prxima etapa do assistente. 20. Nesta etapa voc informa o nmero IP de um ou mais servidores WINS. Insira as informaes dos servidores WINS e clique em Avanar, para seguir para a prxima etapa do assistente. 236

21. Nesta etapa voc tem a opo de ativar o escopo. importante recordar que, alm de criado, o escopo tem que ser ativado, para que ele possa comear a conceder endereos IP e demais informaes para os clientes DHCP da rede. Certifique-se de que a opo Sim, desejo ativar este escopo agora, esteja selecionada, conforme indicado na Figura a seguir:

Figura - Ativando o escopo que est sendo criado. 22. Clique em Avanar, para seguir para a prxima etapa do assistente. 23. Ser exibida a tela final do assistente. Voc pode utilizar o boto Voltar para alterar alguma opo definida nas etapas anteriores. Clique em Concluir. 24. Pronto, o escopo foi criado e j est ativo, conforme indicado na Figura a seguir. Observe, na coluna Status que exibido o status Ativo. Isso indica que o escopo foi ativado com sucesso. Os clientes DHCP da rede j podero receber endereos deste escopo.

Figura - O escopo criado neste exemplo.

237

Configurando um servidor de impresso

Se voc planeja usar este computador para gerenciar e compartilhar impressoras, configure-o como um servidor de impresso. Observao

Este recurso no est includo em computadores que executam o sistema operacional Microsoft Windows Server 2003, Web Edition.

A tabela a seguir lista as informaes que voc precisa saber antes de adicionar a funo do servidor de impresso.

Antes de adicionar a funo do servidor de impresso

Comentrios

necessrio que voc tenha essa informao para poder selecionar corretamente os drivers de impresso do cliente para os computadores clientes e servidor. Depois que voc Determine a verso do sistema adiciona a funo, o servidor de impresso pode distribuir operacional dos clientes que enviaro automaticamente os drivers aos clientes. Alm disso, o trabalhos a esta impressora. conjunto de sistemas operacionais dos clientes determina o driver que voc precisa instalar no servidor para a instalao da funo do servidor de impresso. Voc precisar dessas informaes para escolher o driver de impresso correto. As informaes sobre o fabricante e o modelo geralmente so suficientes para identificar de forma Na impressora, imprima uma pgina exclusiva a impressora e sua linguagem. No entanto, algumas de configurao ou de teste que impressoras oferecem suporte a vrias linguagens, que so contenha informaes sobre o geralmente listadas na impresso das configuraes. Ademais, fabricante, o modelo, a linguagem e a impresso das configuraes freqentemente relaciona as as opes instaladas. opes instaladas, como memria adicional, bandejas de papel, alimentadores de envelopes e unidades de impresso duplex. Se a impressora oferecer suporte para Plug and Play e conectar-se ao servidor de impresso usando a tecnologia de infravermelho, uma porta USB (barramento seial universal) ou uma porta IEEE 1394, o servidor de impresso ser configurado automaticamente. Voc no precisa executar o restante do procedimento. Caso contrrio, se a impressora estiver conectada ao servidor de impresso por um cabo, identifique a porta do servidor est sendo utilizada. Em impressoras, LPT1 a porta normalmente 238

Determine a forma como o servidor de impresso se conecta impressora.

usada. Se a impressora estiver distante do servidor de impresso e usar seu prprio adaptador de rede para receber trabalhos de impresso, determine o endereo IP do adaptador de rede na impressora. H drivers de suporte para a maioria das impressoras no CD de instalao do sistema operacional Windows Server 2003. Para economizar tempo voc pode ignorar essa etapa, j que o (Opcional) Determine se voc precisa assistente que voc usar para configurar o servidor de de um driver de impresso novo ou impresso fornece informaes sobre compatibilidade. Se o atualizado. assistente no listar um driver para sua impressora, procure uma atualizao no fabricante da mquina ou no Windows Update. Os usurios que utilizam computadores clientes baseados no Windows escolhem a impressora pelo nome. O assistente que voc usar para configurar o servidor de impresso oferece Escolha um nome para a impressora. um nome padro, composto pelo nome do fabricante e modelo da impressora. O nome da impressora geralmente tem at 31 caracteres. O usurio pode se conectar a uma impressora compartilhada digitando o nome dela ou selecionando-a em uma lista de nomes de compartilhamentos. Geralmente, o nome de compartilhamento tem at 8 caracteres, por razes de compatibilidade com os clientes MS-DOS e Windows 3.x.

Escolha um nome de compartilhamento.

Isso pode ajudar a identificar a localizao da impressora, (Opcional) Escolha uma descrio e fornecendo informaes adicionais. Por exemplo, a um comentrio para a localizao da localizao poderia ser "Segundo andar, sala de impresso" e, impressora. o comentrio, "Cartuchos de toner disponveis no almoxarifado do primeiro andar".

Configurando o servidor de impresso

Para configurar o servidor de impresso, inicie o Assistente para configurar o servidor seguindo um destes procedimentos:

Em Gerenciar o Servidor, clique em Adicionar ou remover uma funo. Por padro, Gerenciar o Servidor iniciado automaticamente quando voc faz logon. Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciar o Servidor. Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, em Assistente para Configurar o Servidor. 239

Na pgina Funo do Servidor, clique em Servidor de impresso e, em seguida, clique em Avanar.

Impressoras e drivers de impressoras

Na guia Impressoras e Drivers de Impressora, siga um destes procedimentos:

Se todos os clientes da rede executarem Windows XP Home Edition, Windows XP Professional ou o Windows 2000, clique em apenas clientes do Windows 2000 e Windows XP. Se algum dos clientes executar o Windows XP 64-bit Edition (Itanium), Windows NT 4.0, Windows Millennium Edition, Windows 98 ou Windows 95, clique em Todos os clientes do Windows.

Quando terminar, clique em Avanar.

Resumo das Selees

Na pgina Resumo das Selees, examine e confirme as opes selecionadas. Se voc selecionou Apenas clientes do Windows 2000 e Windows XP na pgina anterior, ser exibido o seguinte:

Adicionar impressoras a este servidor usando o Assistente para Adicionar Impressora.

Se voc selecionou Todos os clientes do Windows na pgina anterior, ser exibido o seguinte:

Adicionar impressoras a este servidor usando o Assistente para Adicionar Impressora. Adicionar impressoras a este servidor usando o Assistente para adicionar driver de impressora.

Para aplicar as selees mostradas na pgina Resumo das Selees, clique em Avanar.

Usando o Assistente para Adicionar Impressora

Depois que voc clica em Avanar, o Assistente para Configurar o Servidor executa o Assistente para Adicionar Impressora uma vez para cada impressora que voc deseja adicionar. Se o assistente for concludo e voc optar por compartilhar pelo menos uma impressora, seu servidor poder ser usado como servidor de impresso. Se voc cancelar o Assistente para adicionar impressora, o servio de Spooler de impresso permanece instalado. Se voc cancelar o Assistente para adicionar impressora e no houver impressoras compartilhadas, o servidor no adiciona a funo do servidor de impresso. Importante

Se a impressora que voc deseja compartilhar oferece suporte para Plug and Play, no execute o Assistente para adicionar impressora. As impressoras Plug and Play concluem automaticamente as etapas de configurao do Assistente para adicionar impressora. Se a 240

impressora que voc desejar compartilhar oferecer suporte para Plug and Play, clique em Cancelar.

Deteco de nova impressora

Se voc marcou a caixa Detectar e instalar automaticamente a impressora Plug and Play e o assistente no conseguir detectar impressoras Plug and Play, ser exibida esta pgina. Clique em Avanar. Para concluir as etapas da pgina Selecione uma Porta de Impressora.

Selecionar uma porta de impressora

Se voc selecionou Impressora local conectada ao computador, ser exibida esta pgina. Na pgina Selecione uma Porta de Impressora, escolha uma das seguintes opes:

Se um cabo conecta a impressora diretamente a uma porta do servidor de impresso, clique no nome dessa porta em Usar a seguinte porta. LPT1 a porta mais usada por esse tipo de impressora. Se a impressora possuir seu prprio adaptador de rede e voc quiser enviar trabalhos atravs da rede, clique em Criar uma nova porta e, em seguida, clique no tipo de porta que voc deseja criar. Se voc no souber o tipo de porta que deve ser criada, recomendamos escolher Porta TCP/IP Padro. Se voc clicar em Porta TCP/IP Padro e, depois, clicar em Avanar, ser iniciado o Assistente para Adicionar Porta de Impressora TCP/IP Padro. Clique em Avanar no Assistente para Adicionar Porta de Impressora TCP/IP Padro. Na pgina Adicionar Porta, digite o nome ou o endereo IP da impressora. Geralmente, o endereo IP listado na pgina de configurao da impressora. medida que voc digita o nome ou o endereo IP, o assistente preenche o campo Nome da Porta automaticamente. Clique em Avanar. O assistente tenta se conectar impressora. Se o assistente conseguir se conectar, ser exibida a pgina Concluindo o 'Assistente para adicionar porta de impressora TCP/IP padro' e voc pode clicar em Concluir. Se o assistente no conseguir se conectar, ser exibida a pgina So Necessrias mais Informaes sobre a Porta. Se voc achar que o endereo ou o nome que digitou esto incorretos, clique em Voltar, digite novamente o nome ou o endereo e clique em Avanar. Se tiver certeza de que o endereo ou o nome esto corretos, selecione um dos tipos de dispositivos abaixo para identificar o adaptador de rede da impressora: o Padro o padro. Se voc clicar em Padro, clique no fabricante e no modelo do adaptador de rede na lista Padro. o Se o adaptador de rede da impressora utiliza configuraes fora do padro, clique em Personalizado e, em seguida, clique em Configuraes. Ser exibida a pgina Configurar o Monitor de Porta TCP/IP Padro. Especifique as configuraes recomendadas pelo fabricante do adaptador de rede da impressora e clique em OK.

Quando terminar, clique em Avanar.

241

Especificar uma impressora

Se voc selecionou Uma impressora de rede, ou uma impressora conectada a outro computador, ser exibida essa pgina. Na pgina Especifique uma Impressora, escolha uma das seguintes opes para configurar seu servidor de impresso para encaminhar os trabalhos de impresso a outro servidor:

Se o servidor de impresso ao qual voc deseja se conectar estiver disponvel na rede, clique em Procurar impressora, clique em Avanar e, em Impressoras compartilhadas, clique no servidor e na impressora na lista. Se o servidor de impresso ao qual voc deseja se conectar estiver temporariamente indisponvel na rede, clique em Conectar-se impressora (marque esta opo e clique em 'Avanar' p/ procurar a impressora) e e digite os nomes do servidor e da impressora no campo Nome. Se o servidor de impresso ao qual voc deseja se conectar pertence a outra organizao e est disponvel na Internet, clique em Conectar-se a uma impressora na Internet ou em uma rede domstica ou no escritrio.

Importante

Use as opes dessa pgina somente se quiser que o servidor de impresso encaminhe os trabalhos de impresso a outro servidor. Se no quiser fazer isso, clique em Voltar, clique em Impressora local conectada ao computador, clique em Avanar e siga as etapas de Selecione uma Porta de Impressora.

Quando terminar, clique em Avanar. Nesse caminho de configurao, voc pode ignorar algumas etapas deste documento. Para continuar as instrues deste caminho de configurao.

Instalar software da impressora

Na pgina Instalar Software da Impressora do Assistente para Adicionar Impressora, em Fabricante, clique no fabricante da impressora e, em seguida, em Impressoras, clique no modelo. Observao

Anote o fabricante e o modelo selecionados. Voc precisar dessas informaes posteriormente se usar o Assistente para adicionar driver de impressora para instalar drivers de impressora em outros clientes baseados no Windows.

Se o fabricante ou o modelo no for listado, tente executar as etapas indicadas na tabela abaixo, em seqncia, para instalar o software de impressora correto.

Etapa Verifique a impresso das

Comentrios As listas Fabricante e Impressoras mostram os nomes oficiais 242

configuraes para confirmar que dos produtos, que podem ser diferentes dos nomes que voc os nomes do fabricante e do normalmente usa. modelo da impressora foram escritos corretamente. Se os arquivos do driver de impressora estiverem armazenados Clique em Com Disco, localize em outro local, siga essas etapas. Por exemplo, o fabricante da os arquivos do driver e clique em impressora pode incluir um CD-ROM contendo os arquivos do OK. driver na embalagem da impressora. Se voc quiser procurar drivers novos ou atualizados disponibilizados pela Microsoft como parte do Windows Update, clique nessa opo. Quando voc clica em Windows Update, as listas Fabricante e Impressoras passam a mostrar somente os drivers disponveis no Windows Update. Se a impressora no for listada, retorne lista original clicando em Voltar e, em seguida, em Avanar.

Clique em Windows Update.

Selecione o fabricante e o modelo Para identificar as impressoras compatveis, consulte o guia do de uma impressora compatvel e usurio da impressora. Alm disso, alguns fabricantes fornecem clique em Avanar. informaes sobre compatibilidade em seus sites da Web. Quando terminar, clique em Avanar.

Usar o driver existente

Se voc adicionar outra impressora com o mesmo nome de fabricante e modelo de uma impressora j instalada, ser exibida a pgina Usar o Driver Existente. Decida se quer manter o mesmo driver ou substitu-lo por um novo. Se voc selecionar Substituir o driver existente, o assistente reinstalar os arquivos do driver. Quando terminar, clique em Avanar.

Fornecer um nome para a impressora

Na pgina Fornea um Nome para a Impressora do Assistente para Adicionar Impressora, o nome padro o nome do fabricante seguido do modelo da impressora. Voc pode mudar esse nome para facilitar o uso e a administrao da impressora. Ao utilizar aplicativos, os usurios freqentemente selecionam uma impressora contida na lista que exibe os nomes das impressoras disponveis. Para ajud-los a decidir qual impressora selecionar, o aplicativo pode, tambm, listar a localizao ou um comentrio. Em Deseja que esta seja a impressora padro?, clique em Sim ou No. A resposta ser aplicada apenas quando voc imprimir de um aplicativo que est sendo executado nesse servidor de impresso. A resposta no define a impressora como aquela que ser usada pelos clientes por padro. Quando terminar, clique em Avanar.

243

Compartilhamento de impressora
Importante

necessrio compartilhar pelo menos uma impressora para que este servidor funcione como servidor de impresso.

Na pgina Compartilhamento Impressora do Assistente para Adicionar Impressora, a opo Nome do compartilhamento selecionada por padro, para que a impressora seja compartilhada. O nome de compartilhamento padro composto pelas primeiras 8 letras do nome do fabricante e do modelo da impressora, sem espaos. Voc pode mudar esse nome para facilitar o uso e a administrao da impressora. Para oferecer compatibilidade aos clientes que executam MS-DOS ou verses anteriores do Windows, digite um nome de compartilhamento seguindo estas regras:

O nome de compartilhamento contm apenas letras, nmeros e o ponto final (.). O nome do compartilhamento no contm mais de oito letras e nmeros e, opcionalmente, antecede um ponto final, que seguido de at trs letras ou nmeros.

Quando terminar, clique em Avanar.

Local e comentrio
Na pgina Local e Comentrio do Assistente para Adicionar Impressora, em Local, digite uma descrio do local do servidor de impresso e, em Comentrio, digite um comentrio. Essa etapa opcional, mas recomendvel, j que as informaes facilitam o uso e a administrao do servidor de impresso. Muitos aplicativos exibem o comentrio ou o local quando o usurio imprime um documento. Dessa forma, o usurio pode escolher a impressora que lhe for mais adequada. Quando terminar, clique em Avanar.

Imprimir pgina de teste

Na pgina Imprimir Pgina de Teste do Assistente para Adicionar Impressora, escolha se voc deseja imprimir uma pgina de teste para confirmar que a impressora est pronta para uso. Observao

A pgina de teste no automaticamente impressa quando voc clica em Avanar. Ela impressa quando voc conclui o assistente.

Quando terminar, clique em Avanar.

Concluir o Assistente para Adicionar Impressora.

Na pgina Concluindo o Assistente para Adicionar Impressora, a caixa de seleo Reiniciar o assistente para adicionar outra impressora marcada por padro. Se voc deix-la selecionada e clicar em Concluir, o assistente ser reiniciado para adicionar outra impressora. Se voc terminou

244

de adicionar todas as impressoras que queria compartilhar nesse servidor, desmarque essa caixa e clique em Concluir. Quando voc clica em Concluir, o assistente instala os arquivos do driver de impressora. Em seguida, se voc escolheu imprimir uma pgina de teste, o assistente tenta imprimi-la. Se a impressora no receber a pgina de teste, talvez voc tenha selecionado a porta incorreta. No entanto, se a impressora receber a pgina de teste e imprimi-la incorretamente, talvez voc tenha selecionado fabricante e modelo incompatveis. Quando voc iniciou o Assistente para Configurar o Servidor para configurar este como o servidor de impresso, selecionou uma das opes abaixo na pgina Impressoras e Drivers de Impressora:

Windows 2000 e Windows XP apenas clientes Todos os clientes do Windows

Se voc selecionou Todos os clientes do Windows, o Assistente para Adicionar Driver de Impressora ser iniciado depois que voc clicar em Concluir no Assistente para Adicionar Impressora. Voc pode usar o Assistente para adicionar driver de impressora para instalar drivers de impressora clientes no servidor de impresso, que poder, ento, distribu-los automaticamente aos clientes. Observao

O Assistente para adicionar driver de impressora no se comunica com o Assistente para adicionar impressora. Portanto, o Assistente para adicionar driver de impressora no executado automaticamente para cada impressora que voc adicionar e no instala automaticamente os drivers para o mesmo fabricante e modelo de impressora. Em vez disso, voc deve decidir quantas vezes quer executar o Assistente para adicionar driver de impressora e, a cada vez que ele for executado, voc deve escolher o fabricante e o modelo dos drivers a serem instalados.

Usando o Assistente para Adicionar Driver de Impressora.

Se voc selecionou Todos os clientes do Windows na pgina Impressoras e Drivers de Impressora do Assistente para Configurar o Servidor, o Assistente para Adicionar Driver de Impressora ser iniciado aps o Assistente para Adicionar Impressora. Se voc cancelar o Assistente para adicionar driver de impressora, o servio de Spooler de impresso permanecer instalado e as impressoras adicionadas sero mantidas, mas os arquivos de driver cliente adicionais no sero instalados no servidor. Conseqentemente, o servidor no poder distribuir esses drivers aos clientes. Esta seo descreve as seguintes etapas do Assistente para adicionar driver de impressora:

Seleo de driver de impressora Seleo de processador e sistema operacional Concluindo o Assistente para Adicionar Driver de Impressora

245

Seleo de driver de impressora

Na pgina Seleo de Driver de Impressora do Assistente para Adicionar Driver de Impressora, selecione o fabricante e o modelo de uma impressora compartilhada no servidor de impresso e clique em Avanar. Importante

O Assistente para adicionar driver de impressora no seleciona automaticamente um fabricante e um modelo para uma impressora que voc j tenha adicionado. Em vez disso, ele seleciona o primeiro fabricante da lista e o nome do primeiro modelo de impressora (em ordem alfabtica) daquele fabricante. Se possvel, selecione o fabricante e o modelo de uma impressora que voc j adicionou. Se voc selecionar um fabricante ou um modelo diferente, o assistente poder instalar drivers que no funcionem corretamente com a impressora.

Seleo de processador e sistema operacional

Na pgina Seleo de Processador e Sistema Operacional do Assistente para Adicionar Driver de Impressora, selecione os sistemas operacionais e os processadores clientes. Os drivers para o sistema operacional do seu servidor so automaticamente instalados quando voc adiciona uma impressora. Como resultado, uma das opes abaixo selecionada, sem que seja possvel remov-la: Windows 2000, Windows XP e Windows Server 2003 para processadores compatveis com x86, Windows XP e Windows Server 2003 para processadores baseados no Itanium ou Windows XP e Windows Server 2003 para processadores compatveis com x64. Quando terminar, clique em Avanar.

Concluindo o Assistente para Adicionar Driver de Impressora

Na pgina Concluindo o Assistente para Adicionar Driver de Impressora, a caixa Reiniciar o assistente para adicionar outro driver de impressora selecionada por padro. Se voc deix-la selecionada e clicar em Concluir, o assistente ser reiniciado para adicionar outro driver de impressora. Se voc terminou de adicionar todos os drivers de impressora que queria compartilhar nesse servidor, desmarque essa caixa e clique em Concluir.

Concluindo o Assistente para Configurar o Servidor

Depois que voc concluir o Assistente para Adicionar Impressora e, se necessrio, o Assistente para Adicionar Driver de Impressora, o Assistente para Configurar o Servidor exibir a pgina Este Servidor Agora um Servidor de Impresso. Para rever todas as alteraes feitas no servidor pelo Assistente para Configurar o Servidor ou verificar se uma nova funo foi instalada com sucesso, clique em Log de Configurao do Servidor. O log do Assistente para Configurar o Servidor localiza-se em raiz_do_sistema\Debug\Configure Your Server.log. Para fechar o Assistente para Configurar o Servidor, clique em Concluir. Antes de usar o servidor de impresso, recomendvel executar as seguintes etapas:

Execute o Windows Update. Para obter mais informaes. Execute o Assistente de Configurao de Segurana. 246

Removendo a funo do servidor de impresso

Se for necessrio reconfigurar seu servidor para uma outra funo, voc poder remover funes existentes do servidor. Se voc remover a funo do servidor de impresso, todos os clientes que enviaram trabalhos apenas a este servidor de impresso no podero imprimir at que voc reconfigure cada cliente para envio de trabalhos a um servidor de impresso diferente. Alm disso, todas as impressoras que so gerenciadas apenas por este servidor de impresso no podero receber trabalhos at que voc reconfigure outro servidor de impresso para enviar trabalhos quelas impressoras. Para remover a funo do servidor de impresso, reinicie o Assistente para configurar o servidor seguindo um destes procedimentos:

Em Gerenciar o Servidor, clique em Adicionar ou remover uma funo. Por padro, Gerenciar o Servidor iniciado automaticamente quando voc faz logon. Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciar o Servidor. Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, em Assistente para Configurar o Servidor.

Na pgina Funo do Servidor, clique em Servidor de impresso e, em seguida, clique em Avanar. Na pgina Confirmao de Remoo de Funo, reveja os itens listados em Resumo, marque a caixa Remover a funo de servidor de impresso e clique em Avanar. Na pgina Funo de Servidor de Impresso Removida, clique em Concluir.

Prximas etapas: Concluindo tarefas adicionais

Depois que voc concluir o Assistente para configurar o servidor, o servidor estar pronto para uso como servidor de impresso. Seguindo as etapas deste documento, voc:

Adicionou uma ou mais impressoras. Compartilhou impressoras para que os clientes pudessem enviar trabalhos de impresso. Se necessrio, adicionou drivers de impresso clientes.

Voc pode usar o Assistente para adicionar impressora e o Assistente para adicionar driver de impressora para adicionar mais impressoras e drivers clientes. Esses assistentes esto disponveis em Gerenciar o servidor. A tabela a seguir lista algumas tarefas adicionais que voc pode executar no servidor de impresso.

Tarefa

Objetivo da tarefa

Referncia

Definir a configurao Fornecer ao usurio acesso s opes instaladas, como Definir opes alimentador de envelopes ou memria adicional, correspondente s instalveis de uma disponveis em algumas impressoras. Se sua opes instaladas. impressora impressora oferece outros recursos, voc deve atualizar 247

a configurao para que os usurios possam us-los. Definir a configurao padro para os clientes, quando Definir os padres de Definir padres de estes se conectarem impressora. Por exemplo, voc impresso. impresso pode definir o layout padro ou a origem do papel. Atribuir permisses de impressora. Escolher uma pgina separadora. Alterar as permisses dos usurios para a impressora. Definir a incluso de uma pgina no incio de cada impresso. Definir ou remover permisses para uma impressora Escolher uma pgina separadora

Configurar os clientes Configurar os clientes que se conectaro s impressoras Conectar clientes a de rede para usar a compartilhadas neste servidor de impresso. uma impressora impressora. Gerenciar o servidor de impresso com mais eficcia e eficincia. Por exemplo, programar tempos de Definir tarefas de Usar Opes impresso alternativos, ativar o rastreamento do local impressora avanadas. avanadas da impressora ou definir prioridades diferentes para grupos diferentes. Ajudar os usurios do domnio a encontrar rapidamente Publicar uma Publicando uma impressoras compartilhadas por este servidor de impressora no Active impressora no impresso. Para essa tarefa, o servidor de impresso Directory. Active Directory deve ser um servidor membro. Configure as portas Para gerenciar o servidor de impresso em outros para permitir a computadores da rede. administrao remota. Configuraes do Firewall do Windows

Compartilhar a impressora
Para compartilhar a impressora
1. Abra Impressoras e Aparelhos de Fax. 2. Clique com o boto direito do mouse na impressora que deseja compartilhar e, em seguida, clique em Compartilhamento. 248

3. Na guia Compartilhamento, clique em Compartilhar esta impressora e digite um nome para a impressora compartilhada. Se voc compartilhar a impressora com usurios em outro hardware ou em sistemas operacionais diferentes, clique em Drivers Adicionais. Clique no ambiente e no sistema operacional dos outros computadores e clique em OK para instalar os drivers adicionais. Se voc tiver feito logon em um domnio do Windows 2000 ou da famlia Windows Server 2003, poder disponibilizar a impressora para outros usurios no domnio clicando em Listar no Diretrio para publicar a impressora no Diretrio. 4. Clique em OK ou, se tiver instalado drivers adicionais, clique em Fechar. Observaes

Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em Impressoras e Aparelhos de Fax. Este recurso no est includo em computadores que executam o sistema operacional Microsoft Windows Server 2003, Web Edition. Por padro, as impressoras no so compartilhadas quando voc as instala em computadores que executam o Windows XP Professional, mas voc pode optar por compartilh-las no seu computador. (Em qualquer produto da famlia Windows Server 2003, a impressora compartilhada por padro quando voc a adiciona). Quando voc publica uma impressora no Active Directory, os outros usurios que fizeram logon no domnio podem procurar pela impressora com base em sua localizao e seus recursos como, por exemplo, quantas pginas so impressas por minuto e se h suporte para a impresso em cores.

Definir ou remover permisses para uma impressora

Para definir ou remover permisses para uma impressora
1. Abra Impressoras e Aparelhos de Fax. 2. Clique com o boto direito do mouse na impressora cujas permisses deseja definir, clique em Propriedades e, em seguida, clique na guia Segurana. 3. Siga um destes procedimentos: o Para alterar ou remover permisses de um grupo ou usurio existente, clique no nome do grupo ou usurio. o Para configurar permisses para um novo grupo ou usurio, clique em Adicionar. Em Selecione Usurios, Computadores ou Grupos, digite o nome do usurio ou grupo para o qual voc deseja definir permisses e clique em OK para fechar a caixa de dilogo. 4. Em Permisses, clique em Permitir ou em Negar para cada permisso que voc deseja permitir ou negar, se for necessrio. Ou ento, para remover o grupo ou usurio da lista de permisses, clique em Remover. Observaes 249

Para alterar as configuraes do dispositivo, voc deve ter a permisso para gerenciar impressoras. Para obter informaes sobre permisses de segurana de impresso. Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em Impressoras e Aparelhos de Fax. Para exibir ou alterar as permisses subjacentes que compem Imprimir, Gerenciar Impressoras e Gerenciar Documentos, clique no boto Avanado. Uma impressora deve ser compartilhada para que as configuraes de permisso afetem os usurios e grupos listados. Voc tambm pode exibir as permisses atribudas a voc clicando no grupo ao qual pertence na guia Segurana. Para obter informaes sobre como encontrar o grupo ao qual voc pertence.

Conectar-se a uma impressora publicada no Active Directory

Para conectar-se a uma impressora publicada no Active Directory
1. Localize a impressora qual voc deseja se conectar. Para obter instrues sobre como procurar por uma impressora. 2. No painel de detalhes, clique com o boto direito do mouse na impressora que voc deseja utilizar e clique em Conectar ou clique duas vezes no nome da impressora na lista. Observaes

S possvel procurar por impressoras no Active Directory se voc tiver feito logon em um domnio da famlia Windows Server 2003 ou do Windows 2000 e se seu cliente estiver executando o Windows XP Professional, Windows 2000, Windows 95 ou Windows 98. Os clientes Windows 95 e Windows 98 devem executar o servio de diretrio para consultar o Active Directory. Os clientes Windows NT 4.0 podem conectar-se a uma impressora compartilhada em um servidor de impresso procurando em Meus locais de rede ou utilizando o Assistente para adicionar impressora.

Conectar-se a uma impressora em uma rede

Para conectar-se a uma impressora em uma rede
1. Abra Impressoras e Aparelhos de Fax. 2. Clique duas vezes em Adicionar Impressora para iniciar o Assistente para Adicionar Impressora e clique em Avanar. 250

3. Clique em Uma impressora de rede, ou uma impressora conectada a outro computador e, em seguida, clique em Avanar. 4. Conecte-se impressora desejada usando um dos trs mtodos a seguir. Procurando por ela no Active Directory Digitando o nome da impressora ou procurando por ele 1. Clique em Conectar-se impressora ou clique em Avanar para procurar por uma impressora. 2. Siga um destes procedimentos: Digite o nome da impressora usando o formato a seguir e clique em Avanar: \\nome_do_servidor_de_impresso\nome_do_compartilhamento Procure por ele na rede clicando em Avanar, localizando a impressora em Impressoras compartilhadas e clicando em Avanar. Conectar-se a uma impressora da intranet ou Internet 5. Siga as instrues na tela para concluir a conexo com a impressora. O cone da impressora exibido na pasta Impressoras e aparelhos de fax. Observaes

Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em Impressoras e Aparelhos de Fax. Voc tambm pode se conectar a uma impressora arrastando-a da pasta Impressoras e Aparelhos de Fax no servidor de impresso e soltando-a na sua pasta Impressoras e Aparelhos de Fax ou clicando com o boto direito do mouse no cone e, depois, em Conectar. Depois de ter se conectado a uma impressora compartilhada na rede, voc poder us-la como se estivesse conectada ao seu computador.

Conectar-se a uma impressora atravs de um navegador

Para conectar-se a uma impressora por meio de um navegador
1. Abra o Internet Explorer ou abra Impressoras e aparelhos de fax. 2. Na barra de endereos, digite uma destas opes: o Se no souber o nome da impressora, digite o seguinte, usando o formato: http://Nome_do_servidor_de_impresso/impressoras/ Por exemplo, digite http://PrintSrv1/impressoras para receber uma listagem de pginas de todas as impressoras e clique na impressora que deseja usar. o Se no souber o nome da impressora, digite sua URL usando o formato: http://Nome_do_Servidor_de_Impresso/Nome_da_Impressora/ 251

Por exemplo, digite http://PrintSrv1/ColorPrinter5/ para ir diretamente para a pgina dessa impressora. 3. Ao exibir a pgina da impressora, clique em Conectar para se conectar a essa impressora. Observaes

Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em Impressoras e Aparelhos de Fax. Um servidor que executa um sistema operacional da famlia Windows Server 2003 copia o driver de impressora apropriado para o computador cliente. O administrador pode desativar a impresso na Internet utilizando a configurao da diretiva de grupo Desativar impresso baseada na Web para impressoras. Para fins de impresso na Internet, necessrio ter o Internet Information Server (IIS) instalado no servidor, ou o servio da Web ponto a ponto (PWS) em um computador que executa o Windows XP Professional. Voc deve usar o Internet Explorer verso 4.0 ou superior para conectar-se a uma impressora. Aps conectar-se a uma impressora compartilhada a partir de um navegador da Web, voc poder us-la como se estivesse conectada a seu computador. Voc tambm poder adicionla pasta Favoritos de seu navegador.

252

Configurando o I.I.S. (Internet Information Service)

O IIS (Internet Information Services) um servidor web criado pela Microsoft para seus sistemas operacionais para servidores. Sua primeira verso foi introduzida com o Windows NT Server verso 4, e passou por vrias atualizaes. tambm o sucessor do PWS. Atualmente, a verso mais atual o IIS 7.5 (disponvel apenas no Windows Server 2008 R2 e Windows 7) Uma de suas caractersticas mais utilizadas a gerao de pginas HTML dinmicas, que diferentemente de outros servidores web, usa tecnologia proprietria, o ASP (Active Server Pages), mas tambm pode usar outras tecnologias com adio de mdulos de terceiros. Para utilizar essa ferramenta faz-se necessrio adquirir licena de uso que para cada instalao ou verso preciso de pagamento. Depois do lanamento da plataforma .NET em 2002 o IIS ganhou tambm a funo de gerenciar o ASP.NET. Este formado basicamente por dois tipos de aplicaes: Pginas Web: Tradicionais acessadas por usurios, contm a extenso ASPX Web Services: Funes disponibilizadas pela rede, chamada por aplicativos ASMX

O ASP.NET, assim como o seu concorrente direto, o JSP compilado antes da execuo. Esta caracterstica traz vantagens sobre as opes interpretadas, como o ASP e o PHP.

Instalando o IIS
As etapas a seguir mostram como instalar o IIS. Para instalar o IIS 1. Clique em Iniciar, Painel de Controle e Adicionar ou Remover Programas. 2. Clique no boto Adicionar ou Remover Componentes do Windows para iniciar o Assistente de Componentes do Windows. 3. Na lista Componentes do Windows, marque a caixa de seleo ao lado de Servidor de Aplicativo e clique em Detalhes. 4. Na caixa de dilogo Servidor de Aplicativo, observe o que est instalado por padro. Em 253

Subcomponentes do Servidor de Aplicativo, realce Servios de Informaes da Internet (IIS) e clique em Detalhes. 5. Na caixa de dilogo Internet Information Services (IIS), observe o que est instalado por padro. Na lista Subcomponentes do Internet Information Services (IIS), selecione Servio World Wide Web e clique em Detalhes. 6. Na caixa de dilogo Servio World Wide Web, observe o que est instalado por padro. 7. Para adicionar componentes adicionais, marque a caixa de seleo ao lado do componente que voc deseja instalar. 8. Para remover componentes opcionais, marque a caixa de seleo ao lado do componente que voc deseja remover. 9. Clique em OK at voltar para o Assistente para Componentes do Windows. 10.Clique em Avanar e em Concluir.

Subcomponentes do Servidor de Aplicativo

A tabela a seguir descreve os componentes do Servidor de Aplicativo e fornece recomendaes de quando habilit-los. Subcomponentes do Servidor de Aplicativo Nome do Configurao Lgica da configurao componente na interface do usurio Console do Servidor Desabilitado Fornece o snap-in Console de Gerenciamento Microsoft (MMC) de Aplicativos que permite que todos os componentes do Servidor de Aplicativos da Web sejam administrados. Esse componente no exigido em um servidor IIS dedicado porque o Gerenciador de Servidor IIS pode ser usado. ASP.NET Desabilitado Fornece suporte a aplicativos ASP.NET. Habilite esse componente quando um servidor IIS executar aplicativos ASP.NET. Enable network Habilitado Permite que o servidor IIS hospede componentes COM+ para COM+ access aplicativos distribudos. Exigido para FTP, extenses de servidor BITS, Servio World Wide Web e Gerenciador de IIS, entre outros. Ativar acesso ao Desabilitado Permite que um servidor IIS hospede aplicativos que participem DTC de rede de transaes de rede atravs do DTC (coordenador de transaes distribudas). Desabilite esse componente a menos que os aplicativos executados no servidor IIS o exijam. Servios de Habilitado Fornece servios bsicos de Web e FTP. Esse componente 254

Nome do Configurao Lgica da configurao componente na interface do usurio Informaes da exigido para servidores IIS dedicados. Internet (IIS) Enfileiramento de Desabilitado Observao: Se esse componente no for habilitado, todos os Mensagens subcomponentes so desabilitados.

Subcomponentes dos Servios de informaes da Internet

A tabela a seguir descreve os subcomponentes do IIS e fornece recomendaes de quando hablitlos. Subcomponentes do IIS Nome do componente na interface do usurio Extenses de Servidor BITS Configurao Lgica da configurao

BITS um mecanismo de transferncia de arquivos em segundo plano usado pelo Windows Update e Atualizaes Automticas. Esse componente exigido quando o Windows Update ou Atualizaes Automticas so usados para aplicar automaticamente service packs e hotfixes a um servidor IIS. Common Files Habilitado O IIS exige esses arquivos e eles sempre devem estar habilitados nos servidores IIS. Servio FTP (File Desabilitado Permite que servidores IIS forneam servios de FTP. Esse servio Transfer Protocol) no exigido para servidores IIS dedicados. Extenses de Desabilitado Fornece suporte ao FrontPage para a administrao e publicao de Servidor do sites. Desabilite em servidores IIS dedicados quando nenhum site FrontPage 2002 usar extenses FrontPage. Gerenciador dos Habilitado Interface administrativa para o IIS. Servios de Informaes da Internet Impresso da Desabilitado Fornece gerenciamento de impressoras baseado na Web e permite Internet o compartilhamento de impressoras pelo HTTP. Esse servio no exigido em servidores IIS dedicados. Servio NNTP Desabilitado Distribui, consulta e publica artigos da Usenet na Internet. Esse componente no exigido em servidores IIS dedicados. Servio SMTP Desabilitado Suporta a transferncia de correio eletrnico. Esse componente no exigido em servidores IIS dedicados. Servio World Habilitado Fornece servios da Web, contedo esttico e dinmico a clientes. Wide Web Esse componente exigido em servidores IIS dedicados.

Habilitado

255

Subcomponentes do Servio World Wide Web

A tabela a seguir descreve os componentes do Servio World Wide Web e fornece recomendaes de quando habilit-los. Subcomponentes do Servio World Wide Web Nome do Opo de Lgica da configurao componente na instalao interface do usurio Pginas do Active Desabilitado Fornece suporte para ASP. Desabilite esse componente quando nenhum site ou aplicativo da Web nos servidores IIS usar ASP ou Server desabilite-o utilizando as extenses de servios da Web. Para obter mais informaes. Conector de Dados Desabilitado D suporte a contedo dinmico fornecido atravs de arquivos da Internet com a extenso .idc. Desabilite esse componentes quando nenhum site ou aplicativo da Web executado nos servidores IIS incluir arquivos com extenses .idc ou desabilite-o de usar extenses de servios da Web. Administrao Desabilitado Fornece uma interface HTML para a administrao do IIS. Use o Remota (HTML) Gerenciador do IIS em seu lugar para permitir uma administrao mais fcil e reduzir a superfcie de ataque de um servidor IIS. Esse recurso no exigido em servidores IIS dedicados. Conexo da Web da Desabilitado Inclui pginas Microsoft ActiveX de controle e exemplo para rea de Trabalho hospedagem de conexes de clientes de Servios de Terminal. Remota Use o Gerenciador do IIS em seu lugar para permitir uma administrao mais fcil e reduzir a superfcie de ataque de um servidor IIS. No exigido em um servidor IIS dedicado. Incluses no Desabilitado Fornece suporte a arquivos .shtm, .shtml e .stm. Desabilite esse Servidor componente quando nenhum site ou aplicativo da Web executado no servidor IIS usar arquivos de incluso com essas extenses. WebDAV Desabilitado O WebDAV estende o protocolo HTTP/1.1 para permitir que os clientes publiquem, bloqueiem e gerenciem recursos na Web. Desative esse componente em servidores IIS dedicados ou desabilite-o a usar extenses de servio Web. Servio World Habilitado Fornece servios da Web, contedo esttico e dinmico a clientes. Wide Web Esse componente exigido em servidores IIS dedicados.

Extenses de Servios da Web

A tabela a seguir lista as extenses de servios da Web predefinidas e fornece detalhes de quando habilitar cada extenso. Extenses de servios da Web Extenso de servios da Habilite a extenso quando Web Pginas do Active Um ou mais sites ou aplicativos da Web executados em servidores IIS Server contiverem contedo ASP. 256

Extenso de servios da Habilite a extenso quando Web ASP.NET v1.1.4322 Um ou mais sites ou aplicativos da Web executados em servidores IIS contiverem contedo ASP.NET Extenses de Servidor Um ou mais sites executados em servidores IIS usarem Extenses do do FrontPage 2002 FrontPage. IDC (Conector de Um ou mais sites e aplicativos da Web executados em servidores IIS usarem Dados da Internet) IDC para exibir informaes de banco de dados (esse contedo inclui arquivos .idc e .idx). SSI (Server Side Um ou mais sites executados em servidores IIS usarem diretivas de SSI para instruir servidores IIS a inserir contedo reutilizvel (por exemplo, uma Includes) barra de navegador, um cabealho ou rodap de pgina) em diferentes pginas da Web. WebDav (Web O suporte a WebDAV necessrio em servidores IIS para que os clientes Distributed Authoring publiquem e gerenciem recursos da Web de forma transparente. and Versioning)

Como: Criar e configurar sites FTP no IIS 6.0

O Protocolo de Transferncia de Arquivo (FTP) um protocolo padro para mover os arquivos de um computador para outro atravs da Internet.Os arquivos so armazenados em um computador servidor, que executa o software servidor FTP.Computadores remotos, em seguida, podem se conectar usando FTP e ler arquivos dos arquivos de servidor ou copiar arquivos para o servidor.Um servidor FTP semelhante a um servidor HTTP (isto , um servidor web), pois voc pode se comunicar com ele usando um protocolo de Internet.No entanto, um servidor FTP no executa pginas da Web; ele apenas envia e recebe arquivos a partir de computadores remotos. Voc pode configurar Servios de Informaes da Internet (IIS) para funcionar como um servidor FTP.Isso permite que outros computadores se conectem ao servidor e copiem arquivos do servidor e para o servidor.Por exemplo, voc pode configurar o IIS para atuar como um servidor FTP se voc estiver hospedando sites da Web no seu computador e voc deseja permitir que usurios remotos se conectem ao seu computador e copiem seus arquivos para o servidor. Observao: Normalmente, credenciais FTP so passadas como texto limpo e no criptografado para transmisso. recomendvel que voc use FTP annimo ou a autenticao bsica. O IIS como um servidor FTP Alm disso, para atuar como um servidor Web, o IIS pode atuar como um servidor FTP.O servio FTP no instalado por padro no IIS.Portanto, para usar o IIS como um servidor FTP, voc deve instalar o servio FTP. Observao: Ser necessrio o CD do Windows. 257

Para configurar um servidor FTP usando o IIS

1. Clique no boto Start, clique em Painel de Controle e em seguida, clique em Adicionar ou Remover Programas. 2. Clique em Adicionar/remover componentes do Windows. 3. Na caixa de dilogo Assistente de componentes do Windows, se voc estiver executando pelo menos o Windows Server 2003, selecione Servidor de aplicativo e em seguida, clique em Detalhes. 4. Selecione Servios de Informaes da Internet (IIS) e, em seguida, clique em Detalhes. 5. Na caixa de dilogo Servios de Informaes da Internet (IIS), selecione a caixa de seleo Servio FTP e clique em OK. 6. Na caixa de dilogo Assistente de componentes do Windows, clique em Avanar.Se solicitado, insira o CD do Windows. Quando o processo de Instalao for concludo, voc pode usar o servio FTP com o IIS. Criando pastas Aps configurar um servidor FTP, voc precisa criar uma estrutura de pasta para o servidor.Por padro, o servidor FTP ter uma pasta raiz com o seguinte caminho: C:\Inetpub\Ftproot. A pasta raiz do FTP atua como a raiz para o seu servidor FTP da mesma forma que C:\inetpub\wwwroot a raiz para o seu servidor Web. Voc deve criar as pastas fsicas onde os arquivos residiro.Isso pode ser uma subpasta da Raiz FTP ou outra pasta em outro local no computador.Em seguida, crie uma raiz virtual, ou um apelido, que o servidor FTP usar para apontar para o diretrio fsico no qual os arquivos residiro.

Configurar uma pasta FTP e a raiz virtual

1. Crie uma nova pasta para armazenar arquivos.Voc pode nomear a pasta como quiser.Por exemplo, nomeie a nova pasta ExampleFtpFiles, para que o caminho da pasta seja C:\inetpub\ftproot\ExampleFtpFiles. 2. No Windows, a partir do menu Ferramentas administrativas, selecione Servios de Informaes da Internet. Observao: No Windows XP, voc tambm pode clicar com o boto direito do mouse em Meu Computador no menu Iniciar ou na rea de trabalho e, em seguida, clicar em Gerenciar.Na caixa de dilogo Computer Management, abra o n Services and Applications. 3. Abra o n para o seu computador, e ento abra o n Sites FTP. 4. Clique com o boto direito do mouse no n Site FTP padro, clique em Novo e, em seguida, clique em Diretrio Virtual. 5. No Criao do Virtual Diretrio assistente, especifique um alias (ou nome) que os usurios podem usar para acessar a pasta FTP que voc Criado na etapa 1.O nome pode ser que

258

desejar. geralmente menos confuso para usar o nome do diretrio como o apelido, assim, o diretrio virtual pode ser chamado ExampleFtpFiles. 6. Para o caminho, digite ou procure o caminho do diretrio a partir da etapa 1, por exemplo Inetpub\ftproot\ExampleFtpFiles. 7. Para obter permisses de acesso, especifique Ler e, em seguida, clique em Avanar para concluir o assistente. Observao: No habilite as permisses Gravar a menos que voc saiba como proteger o servidor FTP do IIS. Configurando permisses Voc tambm deve conceder permisses a usurios para que eles possam ler da pasta e gravar nela.

Estabelecer permisses para a pasta FTP

1. No Windows, a partir do menu Ferramentas Administrativas, escolha Servios de Informaes da Internet. Observao: No Windows XP, voc tambm pode clicar com o boto direito do mouse em Meu Computador no menu Iniciar ou na rea de trabalho e, em seguida, selecionar Gerenciar.Na caixa de dilogo Computer Management, abra o n Services and Applications. 2. Abra o n do seu computador, abra o n Web Sites, e abra o n Site FTP padro . 3. Clique com o boto direito do mouse no n do diretrio virtual para a pasta FTP que voc deseja (por exemplo, ExampleFtpFiles) e clique em Permisses. 4. Na guia Segurana, selecione ou adicione sua conta de usurio e atribua permisses Modificar. Isso define as permisses NTFS.Para especificar restries de IP, clique com o boto direito do mouse no nome da pasta, clique em Propriedades e adicione restries na guia Segurana de diretrio. 5. Feche a caixa de dilogo Propriedades. Criando um diretrio virtual de Servidor Web Voc normalmente cria uma diretrio virtual para o servidor Web que mapeia o site FTP, pois assim o servidor Web pode acessar os arquivos na raiz do FTP.O nome do diretrio virtual Web pode ser o mesmo que o do diretrio virtual FTP, mas no necessariamente.

Criar um diretrio virtual de servidor Web

1. Na caixa de dilogo Servios de Informaes da Internet, abra o n Sites da Web. 259

2. Clique com o boto direito do mouse no n Site Web padro, clique em Novo e, em seguida, clique em Diretrio Virtual. 3. No assistente, especifique um apelido que os usurios utilizaro com o protocolo http:// para acessar os arquivos na pasta FTP.Esse pode ser o mesmo que o apelido FTP, por exemplo, ExampleFtpFiles. 4. Para o caminho de diretrio, digite ou procure o caminho do diretrio FTP, por exemplo C:\inetpub\ftproot\ExampleFtpFiles. 5. Para obter permisses de acesso, selecione Ler e Executar scripts. 6. Clique em Concluir para criar a diretrio virtual e fechar o assistente.

Como: Criar e configurar diretrios virtuais no IIS 5.0 e 6.0

Voc pode usar IIS Manager para criar um diretrio virtual um aplicativo ASP.NET hospedado no IIS 5.1, IIS 5.0 e IIS 6.0.Um diretrio virtual aparece para navegadores como se ele estivesse contido no diretrio raiz do servidor Web, mesmo que ele possa fisicamente residir em algum outro lugar.Essa abordagem permite que voc publique contedo da Web que no esteja localizado sob a pasta raiz do servidor Web, como o contedo que est localizado em um computador remoto.Uma maneira conveniente tambm criar um site local para desenvolvimento Web de seu trabalho pois isso no requer um site Web para cada diretrio virtual.Este tpico explica como voc pode criar um diretrio virtual e configur-lo para executar as pginas ASP.NET. Observao: Voc deve criar um diretrio virtual como parte de um site Web IIS existente.Isso pode ser o site da Web padro que criado quando o IIS instalado, ou um site que voc criou.Para obter mais informaes sobre como instalar e configurar o IIS ou sobre como criar um site da Web. Como alternativa para criar um diretrio virtual de um aplicativo da Web, voc pode criar um novo site.Para obter detalhes sobre como criar um site da Web no IIS Manager.

Criando o Diretrio Virtual

Abra o Gerenciador do IIS , siga um dos procedimentos descritos no tpico IIS Manager.Voc tambm pode criar um diretrio virtual.

Para criar um diretrio virtual usando o Gerenciador do IIS

1. No IIS Manager, expanda o computador local e o site ao qual voc deseja adicionar um diretrio virtual. 2. Clique com o boto direito do mouse no site ou na pasta na qual voc deseja criar o diretrio virtual, clique em New e em seguida, clique em Virtual Directory. 3. Na Assistente para criao de diretrio virtual, Clique em Next. 4. Na caixa Alias, digite um nome para o diretrio virtual e, em seguida, clique em Next. Escolha um nome curto que seja fcil de digitar, pois o usurio digita esse nome para acessar o site da Web.

260

5. Na caixa Path, digite ou procure pelo diretrio fsico que contm o contedo do diretrio virtual, ento clique em Next. Voc pode selecionar uma pasta existente ou criar uma nova para conter o contedo para o diretrio virtual. 6. Marque as caixas de seleo para as permisses de acesso que voc deseja atribuir aos usurios. Por padro, as caixas Ler e Executar Scripts esto selecionadas.Essas permisses lhe permitem rodar as pginas ASP.NET em muitos cenrios comuns. Clique em Next e depois clique em Finish. Configurando o diretrio virtual Depois de criar um novo diretrio virtual, voc pode configurar a segurana e autenticao para o diretrio virtual.Quando voc configurar a segurana, voc especifica permisses para uma conta ou grupo.A tabela a seguir mostra as configuraes permisses que esto disponveis no IIS 5.0, IIS 5.1 e IIS 6.0. Conta ou Grupo Permisses

Uma conta ou grupo com permisso para pesquisar o site se voc desabilitou Ler e Executar autenticao annima quanto criou o diretrio virtual. Ler e Executar Esta conta est configurada para acessar os recursos de acesso ao sistema para o Listar Contedos contexto do atual usurio ASP.NET, como a conta do Servio de Rede (IIS 6.0) do Diretrio ou a conta ASPNET (IIS 5.0 e 5.1). Read Write

Configurar a segurana e autenticao para um diretrio virtual

1. No IIS Manager, clique com o boto direito no n para o site que deseja configurar, e ento clique em Properties. 2. V para a guia Segurana de Diretrio, e em Controle de acesso e autenticao annima, selecione Editar. 3. Selecione a caixa de seleo para o(s) mtodo(s) de autenticao que deseja usar seu diretrio virtual, e ento clique em OK.Por padro, as caixas de seleo Habilitar acesso annimo e Autenticao integrada do Windows j esto selecionadas. Os dois cenrios mais comuns de autenticao so:
o o

A autenticao integrada do Windows para um site da intranet local. Autenticao de formulrios para um site da internet ou extranet onde os usurios acessam o site por meio de um firewall. 261

Para configurar a autenticao para um site, voc deve configurar a autenticao de formulrios.Para obter informaes sobre opes de autenticao. 4. Para configurar a autenticao para uma intranet ou local de desenvolvimento cenrio, desmarque Permitir annimo acessar caixa de seleo e certifique-se que o Integrado a autenticao do Windows caixa de seleo est selecionada. 5. No Windows Explorer, abra o diretrio pai do diretrio que ir conter as pginas do site.Clique com o boto direito no diretrio e ento clique em Compartilhamento e Segurana. A caixa de dilogo Properties para a pasta exibida. 6. Clique na guia Security. 7. Na lista Group or user names, selecione um grupo ou nome de usurio. Observao: Para adicionar um novo grupo ou nome de usurio, clique em Adicionar, e ento clique no boto Locais.Na lista, selecione o Computador Local e clique em OK.Ento digite o nome da conta que deseja adicionar na caixa de texto.Aps digitar o nome, clique em Verificar Nomes para verificar o nome da conta.Clique em OK para adicionar a conta. 8. Na lista de Permisses, selecione as permisses apropriadas para o grupo ou nome de usurio. 9. Clique em Apply. 10. Clique em OK.

262

Referncias Bibliogrficas
Ortiz, Eduardo Bellincanta. Microsoft Windows 2000 Server. Editora rica.2004 Minasi, Mark. Dominando o Windows Server 2003 - A Bblia. MAKRON BOOKS. Baddini, Francisco. Microsoft Windows Server 2003 - Implementao & Administrao. Editora rica.

SITES:
http://msdn.microsoft.com/pt-br/library/zwk103ab.aspx

http://www.microsoft.com/pt/br/default.aspx

263