UNIVERSIDADE CATÓLICA DE GOIÁS
DEPARTAMENTO DE COMPUTAÇÃO
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO
DE CASO NO WINDOWS SERVER 2003
MAYARA KRISTINE VENTURA ALEXANDRE
PRISCILLA BARROS DOS SANTOS
RENATA ÁVILA DE ALMEIDA
ROGÉRIO EDUARDO DE ALMEIDA
JULHO
2008
UNIVERSIDADE CATÓLICA DE GOIÁS
DEPARTAMENTO DE COMPUTAÇÃO
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO
DE CASO NO WINDOWS SERVER 2003
Trabalho de Projeto Final de Curso apresentado
por Mayara Kristine Ventura Alexandre, Priscilla
Barros dos Santos, Renata Ávila de Almeida e Rogério
Eduardo de Almeida à Universidade Católica de Goiás,
como requisito parcial para obtenção do título de
Bacharel em Ciência da Computação, Orientadora –
Prof. Ms. Angélica da Silva Nunes.
ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO
DE CASO NO WINDOWS SERVER 2003
MAYARA KRISTINE VENTURA ALEXANDRE
PRISCILLA BARROS DOS SANTOS
RENATA ÁVILA DE ALMEIDA
ROGÉRIO EDUARDO DE ALMEIDA
Trabalho de Projeto Final de Curso apresentado por Mayara Kristine Ventura
Alexandre, Priscilla Barros dos Santos, Renata Ávila de Almeida e Rogério Eduardo de
Almeida à Universidade Católica de Goiás – Departamento de Computação, como parte
dos requisitos para obtenção do título de Bacharel em Ciência da Computação.
Professora Angélica da Silva
Professor Jeová Martins Ribeiro, Esp.
Nunes, Ms. Orientadora
Coordenador de Projeto Final de Curso
i
DEDICATÓRIA
Dedicamos
esta
conquista
primeiramente a Deus e aos nossos pais que
sempre estiveram presentes em nossas
vidas
nos
apoiando
e
incentivando.
Também aos nossos namorados (a), amigos
e familiares que foram pacientes e nos
deram força quando precisávamos.
ii
AGRADECIMENTOS
Aos nossos familiares que nos compreenderam e ajudaram em momentos difíceis.
A professora Ms. Angélica da Silva Nunes, nossa orientadora, pelo apoio e dedicação
ao longo de todo o projeto.
Ao CPD da Universidade Católica de Goiás que nos forneceu o software necessário
para a implementação deste trabalho.
Aos amigos e colegas de sala pela amizade e consideração.
iii
RESUMO
Este projeto aborda a implementação e configuração dos serviços de rede do
Windows
Server
2003
utilizando
o
protocolo
TCP/IP
(Transmission
Control
Protocol/Internet Protocol – Protocolo de Controle de Transmissão/Protocolo de Internet).
Para isso foi criada uma pequena empresa fictícia com o nome MRRP, cujo domínio é o
MRRP.com. O modelo de rede adotado é o cliente/servidor para uma Intranet que faz uso
do servidor de arquivos e impressão, controlador de domínio, autenticação, DNS ( Domain
Name System – Sistema de Nomes de Domínios), servidor web, servidor de e-mail, DHCP
(Dynamic Host Configuration Protocol – Protocolo de configuração dinâmica de hosts),
FTP (File Transfer Protocol- Protocolo de Transferência de Arquivos) e acesso remoto. A
instalação desses elementos foi feita através do Active Directory porque é nele que ficam
armazenadas todas as informações necessárias para o funcionamento do sistema. Vários
testes foram realizados para verificar o funcionamento destes serviços.
Palavra-chave: Cliente/servidor, Intranet, Active Directory.
iv
ABSTRACT
This project focuses on the implementation and configuration of network services of
Windows Server 2003 using the TCP/IP protocol. A small business with a fictitious name
MRRP was set up to implement these network services, whose domain is MRRP.com. The
network model adopted was client/server for an Intranet that makes use of file and printing
servers, controller domain, authentication, DNS, web Services, e-mail server, DHCP, FTP
and remote access. The installation of these elements were done using Active Directory
which is where all the necessary information for the system to function is stored. Several
tests were performed to verify the operation of these services.
Keyword: Client/server, Intranet, Active Directory.
v
SUMÁRIO
DEDICATÓRIA.................................................................................................... iv
AGRADECIMENTOS ........................................................................................... v
RESUMO.............................................................................................................. vi
ABSTRACT......................................................................................................... vii
SUMÁRIO .......................................................................................................... viii
LISTA DE FIGURAS.......................................................................................... xiv
LISTA DE TABELAS......................................................................................... xix
LISTA DE ABREVIATURAS ............................................................................. xx
INTRODUÇÃO...................................................................................................... 1
Capítulo 1 - Modelos de Redes ............................................................................... 4
1.1. Processamento centralizado versus distribuído ............................................. 4
1.2. Arquitetura cliente/servidor.......................................................................... 6
1.2.1. Conceito de PDD .................................................................................. 8
vi
1.3. Particionamento vertical e particionamento horizontal ................................. 8
1.4. Banco de dados distribuído .......................................................................... 8
1.5. Requisitos do PDD na rede .......................................................................... 9
1.6. Computação Distribuída............................................................................. 11
1.6.1. A arquitetura Cliente/Servidor e o Mainframe ..................................... 11
1.6.2. Intranet ............................................................................................... 15
1.6.3. Extranet .............................................................................................. 17
1.7. Evolução dos Sistemas Operacionais.......................................................... 18
1.7.1. A Primeira Geração (1945-1955): Válvulas e Painéis .......................... 18
1.7.2. A Segunda Geração (1955- 1965): Transistores e Sistemas Batch........ 19
1.7.3. A Terceira Geração (1965-1980): CIs e Multiprogramação ................. 20
1.7.4. A Quarta Geração: Computadores Pessoais ......................................... 21
1.7.5. Sistema Operacional Monousuário versus Sistema Operacional
Multiusuário............................................................................................................. 21
Capítulo 2 - O Sistema Operacional ...................................................................... 23
Windows Server 2003 ........................................................................................... 23
2.1. Introdução ao Windows Server 2003 .......................................................... 23
2.2. Edições do Windows Server 2003............................................................... 24
2.2.1. Windows Server 2003 Standard Edition............................................... 25
2.2.2. Windows Server 2003 Enterprise Edition ............................................ 26
vii
2.2.3. Windows Server Data Center Edition .................................................. 26
2.2.4. Windows Server 2003 Web Edition...................................................... 27
2.3. Active Directory......................................................................................... 29
2.4. Compartilhamento de Arquivos e Impressão .............................................. 32
2.5. Segurança no Windows Server 2003........................................................... 33
2.6. Serviços de Rede e Comunicação ............................................................... 34
2.7. Serviços de Gerenciamento do Windows Server 2003................................. 35
2.8. Suporte ao desenvolvimento de Aplicativos no Windows Server 2003........ 36
Capítulo 3 - O Active directory ............................................................................. 38
3.1. Diretórios................................................................................................... 39
3.2. Domínios e Grupos de Trabalho (Workgroups) .......................................... 40
3.2.1. Rede Baseada no Modelo de Workgroups............................................ 40
3.2.2. Rede Baseada no Conceito de Diretório - Domínio .............................. 41
3.3. Domínios, Árvores de Domínios e Unidades Organizacionais .................... 41
3.3.1. Active Directory .................................................................................. 42
3.3.2. Árvores de Domínios........................................................................... 43
3.3.3. Unidades Organizacionais ................................................................... 44
3.4. Objetos de um Domínio ............................................................................. 44
3.4.1. Contas de Usuários.............................................................................. 45
3.4.2. Contas de Computador ........................................................................ 45
viii
3.4.3. Grupos de Usuários ............................................................................. 45
3.5. Permissões em Múltiplos Domínios ........................................................... 47
3.5.1. Árvore de Sete domínios ..................................................................... 48
3.6. Nomenclaturas de Objetivos no Domínio .................................................. 48
3.7. Estudo de Caso 01: Exemplo de Uso de Grupos Universais........................ 49
3.8. Estudo de Caso 02: Analisando o Escopo de Grupo em relação a Membros e
permissões de Acesso................................................................................................... 50
3.9. Unidades Organizacionais .......................................................................... 51
3.10. Relações de Confiança e Florestas............................................................ 52
3.10.1. Relações de Confiança no Windows NT Server 4.0 ........................... 52
3.10.2. Relações de Confiança no Windows Server 2003 ............................... 53
3.10.3. Tipos Padrão de Relações de Confiança............................................. 54
3.10.4. Outros Tipos de Relações de Confiança............................................. 54
3.11. Servidores de Catálogo Global (Global Catalogs) .................................... 56
3.11.1. Principais Funções Desempenhadas por um Servidor de Catálogo
Global ...................................................................................................................... 57
3.11.2. Replicação de Informações Entre os Servidores de Catálogo Global .. 58
3.12. Sites, Replicação do Active Directory e Estrutura Física da Rede.............. 59
3.12.1. Introdução e Definição de Sites ......................................................... 59
3.12.2. Motivação Para Uso de Sites Pelo Active Directory .......................... 59
3.12.3. Definição de Sites Utilizando Sub-redes ............................................ 60
ix
3.12.4. Relação Entre Sites e domínios.......................................................... 60
3.12.5. Replicação no Active Directory ......................................................... 61
3.12.6. Replicação Dentro do Mesmo Site – Intrasite Replication ................. 62
3.12.7. Replicação Entre Sites ....................................................................... 63
3.13. Schema do Active Directory ..................................................................... 63
3.13.1. Definição dos Objetos do Active Directory no Schema ...................... 63
3.13.2. Armazenamento do Schema no Active Directory ............................... 64
3.13.3. Cache do Schema .............................................................................. 64
3.14. Níveis de Funcionalidade de um domínio ................................................. 64
Capítulo 4 - Configuração de umA rede TCP/IP no Windows Server 2003............ 66
4.1. Hardware e software utilizados.................................................................. 66
4.2. Instalação do Active Directory ................................................................... 67
4.3. DNS........................................................................................................... 72
4.4. Contas de Usuários e Grupos ..................................................................... 77
4.5. Sistema de impressão ................................................................................. 81
4.6. DHCP ........................................................................................................ 85
4.6.1. Instalando o servidor DHCP ................................................................ 86
4.6.2. Configurando Escopos no DHCP ........................................................ 90
4.7. Acesso Remoto com o RRAS..................................................................... 92
4.7.1. Habilitando o RRAS............................................................................ 93
x
4.8. Instalação e Configuração do IIS.............................................................. 103
4.9. Criação do site FTP.................................................................................. 110
4.10. Configurando o Servidor de E-mail........................................................ 113
CONCLUSÃO ................................................................................................... 117
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 120
xi
LISTA DE FIGURAS
Figura 1.1 Arquitetura de sistemas de informação do Holiday Inn........................................6
Figura 1.2 Arquitetura de sistemas distribuídas de J.P. Morgan.............................................7
Figura 1.3 Conectividade plena usando enlaces diretos........................................................10
Figura 1.4 Uso de um comutador central para conectividade plena.....................................11
Figura 1.5 Ambiente cliente/servidor genérico.....................................................................13
Figura 1.6 Arquitetura cliente/servidor genérica..................................................................14
Figura 1.7 Arquitetura cliente/servidor de três camadas.......................................................15
Figura 1.8 Exemplo de estrutura de página Web corporativa...............................................16
Figura 3.1 Aplicações em diferentes ambientes e baseadas em diferentes modelos.............39
Figura 3.2 Uma rede baseada no conceito de Workgroup....................................................40
Figura 3.3 Uma rede baseada no conceito de diretórios – domínio......................................41
Figura 3.4 Todos os domínios de uma árvore compartilham um espaço de nomes em
comum...................................................................................................................................44
Figura 3.5 O usuário herda as permissões do grupo.............................................................46
xii
Figura 3.6 Uma árvore de domínios......................................................................................47
Figura 3.7 Divisão de um domínio em OU’s........................................................................51
Figura 3.8 Relação de confiança unilateral...........................................................................52
Figura 3.9 Relação de confiança unidirecionais, não transitivas do Windows NT Server
4.0..........................................................................................................................................53
Figura 3.10 Relação de confiança bidirecional e transitiva do Windows Server 2003.........53
Figura 3.11 Relação de confiança externa – unidirecional ou bidirecional..........................55
Figura 3.12 Relação de confiança do tipo Shortcut (atalho).................................................56
Figura 3.13 Informações armazenadas em um Servidor de Catalogo Global.......................57
Figura 3.14 Definição de um site..........................................................................................60
Figura 3.15 Flexibilidade na definição de sites e Domínios.................................................61
Figura 4.1 Topologia da rede................................................................................................67
Figura 4.2 Tipo de Controlador de domínio..........................................................................68
Figura 4.3 Criar novo domínio..............................................................................................69
Figura 4.4 Novo nome de domínio.......................................................................................69
Figura 4.5 Nome do domínio NetBIOS.................................................................................70
Figura 4.6 Pastas do banco de dados e log............................................................................70
Figura 4.7 Volume do sistema compartilhado......................................................................71
Figura 4.8 Senha do administrador do modo de restauração do serviço de diretório...........71
Figura 4.9 Criação de uma zona primária integrada com o Active Directory.......................73
xiii
Figura 4.10 Definindo o nome da zona.................................................................................73
Figura 4.11 Definindo o tipo de atualização dinâmica.........................................................74
Figura 4.12 Nome da zona reversa........................................................................................75
Figura 4.13 O registro SOA para o domínio MRRP.com.....................................................76
Figura 4.14 Criação de um novo registro..............................................................................76
Figura 4.15 Criando um registro CNAME............................................................................77
Figura 4.16 Usuários e Computadores do Active Directory.................................................78
Figura 4.17 Criando a conta mayarakris...............................................................................78
Figura 4.18 Definindo a senha e as opções da nova conta....................................................79
Figura 4.19 Criando um grupo de segurança com escopo global.........................................80
Figura 4.20 Adicionar usuários ao grupo..............................................................................81
Figura 4.21 Membros do grupo administração.....................................................................81
Figura 4.22 Propriedade da impressora................................................................................83
Figura 4.23 Tela da logon.....................................................................................................84
Figura 4.24 Listagem das impressoras no navegador...........................................................84
Figura 4.25 Gerenciar servidor.............................................................................................86
Figura 4.26 Mensagem alertando que é necessária outra interface de rede..........................87
Figura 4.27 Nome do escopo DHCP.....................................................................................87
Figura 4.28 Intervalos de endereços IP no escopo DHCP....................................................88
Figura 4.29 Adicionar exclusões no escopo DHCP.............................................................88
xiv
Figura 4.30 Gateway Padrão.................................................................................................89
Figura 4.31 Nomes de domínio e DNS.................................................................................90
Figura 4.32 Concessões Ativas.............................................................................................91
Figura 4.33 Configuração de IP estático...............................................................................92
Figura 4.34 Configuração do acesso remoto via VPN..........................................................94
Figura 4.35 Tipos de conexão...............................................................................................94
Figura 4.36 Conexão VPN....................................................................................................95
Figura 4.37 Configurar servidor RADIUS............................................................................96
Figura 4.38 Roteamento e acesso remoto.............................................................................96
Figura 4.39 Propriedades de BEETLE..................................................................................98
Figura 4.40 Propriedades de BEETLE..................................................................................99
Figura 4.41 Tipos de autenticação......................................................................................100
Figura 4.42 Métodos de Autenticação EAP........................................................................101
Figura 4.43 Propriedades IP................................................................................................102
Figura 4.44 Propriedade PPP..............................................................................................103
Figura 4.45 Propriedade Log...............................................................................................104
Figura 4.46 Ativando o serviço ASP.NET.........................................................................105
Figura 4.47 Requisitos mínimos para instalação do IIS......................................................106
Figura 4.48 Acrescentado/removendo componentes do Windows......................................106
Figura 4.49 Subcomponentes de Servidor de Aplicativo....................................................107
xv
Figura 4.50 Subcomponentes de Serviços de Informações da Internet..............................108
Figura 4.51 Testando o funcionamento do IIS....................................................................108
Figura 4.52 Criando pastas virtuais.....................................................................................109
Figura 4.53 Permitindo acesso............................................................................................109
Figura 4.54 Testando o site IIS...........................................................................................110
Figura 4.55 Descrição do site FTP......................................................................................111
Figura 4.56 Configurações de porta e endereço IP para o site FTP....................................111
Figura 4.57 Configuração do Isolamento do usuário de FTP.............................................112
Figura 4.58 Permissões de acesso a site FTP......................................................................113
Figura 4.59 Teste do site FTP.............................................................................................113
Figura 4.60 Configuração do método de autenticação........................................................114
Figura 4.61 Criando-se uma nova caixa de correios...........................................................115
Figura 4.62 Adicionando-se nome e senha a caixa de correios..........................................115
Figura 4.63 Adicionando a caixa de correios......................................................................116
xvi
LISTA DE TABELAS
Tabela 2.1 Comparação entre todas as edições do Windows Server 2003............................29
xvii
LISTA DE ABREVIATURAS
AD/AM
Active Directory in Application Mode
ADMT
Active Directry Migration Tool
ADSL
Asymmetric Digital Subscriber Line
AIX
Advanced Interactive Executive -
APIs
Application Program Interfaces
ASR
Automated System Recovery
BAP
Bandwidth Allocation Protocol
BACP
Bandwidth Allocation Control Protocol
BOOTP
Bootstrap Protocol
CD
Compact Disc – Disco compacto
CHAP
Encrypted authentication
CI
Circuito Integrado
CN
Common Name
CNAME
Canonical name
DC
Domain Controler - Controlador de domínio
DFS
Enhanced Distributed File System
DHCP
Dynamic Host Configuration Protocol – Protocolo de configuração
dinâmica de hosts
DNS
Domain Name System – Sistema de Nome de Domínios
DTC
Coordenador de Transações Distribuídas
EAP
Extensible authentication protocol
xviii
EFS
Encrypting File System - Sistema de criptografia de arquivos
FGV
Fundação Getúlio Vargas
FRS
File Replication Services
FTP
File Transfer Protocol
GB
Gigabytes
GPMC
Microsoft Group Policy Management Console
GPO
Group Polices Objects
GUI
Grafical User Interface – Interface Gráfica do Usuário
HD
Hard Disk – Disco Rígido
HINFO
Host Information
HP
Hewllet – Packard
HTTP
HiperText Transfer Protocol - Protocolo de Transferência de HiperTexto
IBM
International Business Machines
IFC
Internet Connection Firewall
IIS
Internet Information Services- Serviços de Informação da Internet
IOCS
Input/ Output Control System – Controle de sistema de entrada/saída
IP
Internet Protocol – Protocolo de Internet
IPSec
Internet Protocol Secure – Protocolo de Internet Seguro
IPv6
Internet Protocol version 6 – Protocolo de Internet versão 6
IPCP
Internet Protocol Control Protocol
IPP
Internet Printing Protocol
ISDN
Integrated Services Digital Network - Rede Digital Integrada de Serviços
KDC
Key Distribution Center
KCC
Knowledge Consistency Checker
LAN
Local Área Network – Rede de Área Local
LCP
Link Control Protocol
LDAP
Lightweight Directory Access Protocol
LSI
Large Scale Integration – Integração em larga escala
MAC
Medium Access Control
MPPC
Microsoft Point-to-Point Compression Protocol
MS – CHAP
Microsoft encrypted authentication
xix
MS – CHAP v2
Microsoft encrypted authentication version 2
MULTICS
Multiplexed Information and Computing Service
MX
Mail exchanger
NAT
Network Address Translation - Conversão de endereços de rede
NNTP
Network News Transfer Protocol
NTFS
New Technology File System
OU
Organizacional Unit - Unidade Organizacional
PAP
Password Authentication Protocol
PC
Personal Computer – Computador Pessoal
PDD
Processamento de Dados Distribuídos
PEAP
Protected Extensible Authentication Protocol
PPP
Point -to- Point Protocol - Protocolo ponto a ponto
PPPoE
Point-to-Point Protocol over Ethernet
RADIUS
Remote Authentication Dial In User Service - Serviço de autenticação
remota de usuários discados
RAM
Ramdom Acess Memory – Memória de acesso aleatório
RIS
Serviço de instalação remota
RRAS
Remote Acess Server - Servidor de Acesso Remoto
RsoP
Resultant Set of Policy
1
INTRODUÇÃO
Com o avanço no desenvolvimento tecnológico na computação, as empresas
tiveram que se adaptarem a essa nova realidade. Houve a necessidade de interligar várias
estações de trabalho para facilitar a comunicação de dados dentro da corporação. Com isso
surgiu à computação distribuída que tem como exemplo a arquitetura cliente/servidor.
As primeiras redes criadas eram do tipo centralizadas onde os dados eram
armazenados numa instalação central chamada de mainframe. Para acessar este computador
de grande porte era necessário utilizar os conhecidos “terminais burros”. Este tipo de
arquitetura causava transtornos nas organizações como a diminuição da produtividade e o
custo que era elevado. Apesar disto o modelo é considerado seguro, pois as informações
eram armazenadas em um único local.
A arquitetura cliente/servidor vem substituindo os modelos centralizados, pois
permite o rápido acesso aos dados e seu custo é menor. Uma outra vantagem é que oferece
uma interface amigável.
O desenvolvimento das redes surgiu com inúmeros padrões de protocolos para
auxiliar o transporte das informações entre os computadores, sem precisar estar próximo
um do outro. O padrão que mais se destacou foi TCP/IP (Transmission Control
Protocol/Internet Protocol – Protocolo de Controle de Transmissão/Protocolo de Internet)
devido alguns fatores como a flexibilidade, baixo custo de instalação e manutenção.
Os primeiros sistemas operacionais eram monousuários, característica dos sistemas
centralizados, que permitiam que um único usuário utilizasse recursos computacionais de
2
hardware e software por vez. Já o sistema operacional multiusuário possibilita o acesso de
vários usuários aos mesmos recursos no mesmo tempo. A família Windows e o Linux são
exemplos deste sistema.
O Linux é um software livre que possui seu código aberto, podendo ser alterado por
qualquer pessoa que tenha conhecimento em programação. Alguns indivíduos da área de
informática têm preferência por ele por causa deste motivo. Depois do Windows ele é
sistema mais procurado de acordo com a revista do Linux. Acredita-se que ele pode vir a
ser uma ameaça futura aos sistemas proprietários [REV04].
As configurações do Windows são simples se comparadas com as do Linux. Por isso
os usuários melhor se adaptam com ele. O Linux é customizado porque aceita diversos
programas e aplicativos diferentes, enquanto que a Microsoft padroniza seus serviços e
exige a licença de uso. Mesmo assim, existem levantamentos estatísticos que afirmam que
este último ainda é o sistema operacional mais aceito no mercado.
A revista Info publicou, no mês de março de 2008, uma pesquisa realizada pela
FGV (Fundação Getúlio Vargas) em 2007, que mostrou que 65% dos servidores no Brasil
utilizam o Windows. [INF08] No mês de abril de 2008 ela publicou que 97,4% dos leitores
são adeptos deste sistema operacional e 95% das empresas utilizam o Windows Server 2003
[INF08/1]. Isto foi a razão para implementação deste projeto.
O Windows Server 2003 é o tema deste trabalho. Foi escolhido devido à crescente
demanda no mercado como mostrado nessas pesquisas. Essa demanda implica na
necessidade de profissionais capazes de administrar e gerenciar a rede de uma empresa
usando esse sistema operacional. Assim, essa monografia tem como objetivo o estudo,
configuração e gerenciamento de serviços TCP/IP em um protótipo de uma rede
corporativa fictícia.
Para realização deste projeto foi criada uma empresa fictícia de pequeno porte
chamada MRRP. O domínio usado foi MRRP.com que utiliza uma rede Intranet e faz uso
dos serviços de servidor de arquivos e impressão, controlador de domínio, autenticação,
DNS, servidor web, servidor de e-mail, DHCP, FTP e acesso remoto.
3
Esta monografia segue a seguinte estrutura: no capítulo 1 são apresentados os
modelos de rede como o centralizado, a arquitetura cliente/servidor, Intranet e Extranet,
assim como a evolução dos sistemas operacionais e os sistemas mono e multiusuários. No
capítulo 2 são ilustrados os componentes do Windows Server 2003 e suas versões. O
capítulo 3 menciona os elementos básicos deste sistema operacional como o Active
Directory. O capítulo 4 mostra a implementação dos serviços utilizados neste trabalho que
são: DNS, IIS (Internet Information Services - Serviços de Informação da Internet), VPN
(Virtual Private Network - Rede Privada Virtual), FTP, DHCP, servidor de impressão e email. No final é apresentado uma conclusão e a bibliografia utilizada.
4
CAPÍTULO 1 - MODELOS DE REDES
Com surgimento de redes de computadores, ficou mais ágil e eficiente a
comunicação entre dispositivos numa corporação. Em uma empresa nem todas as máquinas
trabalham com a mesma plataforma, porém, executam serviços semelhantes.
A busca da segurança e do controle das informações trafegadas nas LANs (Local
Área Network – Rede de Área Local) leva a adoção de um modelo de rede que satisfaça
tanto aos usuários, quanto aos seus administradores. Neste capítulo, serão discutidos alguns
modelos de redes existentes. Será mostrada a diferença entre uma a arquitetura de redes do
tipo cliente/servidor e a arquitetura de redes do tipo centralizada, caracterizada pelos
mainframes. Também serão destacados os benefícios e exemplos de aplicações utilizadas
em cada modelo assim como os conceitos de Intranet, Extranet e sua aplicabilidade em
empresas de médio e grande porte.
No final será apresentada a história (evolução) dos sistemas operacionais e também
as características dos sistemas monousuários e multiusuários.
1.1. Processamento centralizado versus distribuído
O suporte ao processamento de dados é fornecido por um conjunto de máquinas,
tradicionalmente de grande porte, que estão situados numa instalação central, que é
devidamente apropriado para processamento de dados.
5
Numa organização, onde se encontra uma arquitetura centralizada, cada indivíduo
possui um terminal que lhe fornece agilidade e facilidade de comunicação entre a sua
máquina e um mainframe via processamento de dados centralizado.
A palavra centralizada é adotada, devido os muitos sentidos que a palavra possui.
Por exemplo:
 Computadores centralizados: uma ou mais máquinas que estão devidamente
interligadas se encontram numa instalação central;
 Processamento centralizado: todas as aplicações são processadas nos
computadores centrais;
 Dados centralizados: os dados são armazenados em bancos de dados e são
controlados por computadores centrais;
 Controle centralizado: o controle centralizado de informações facilita a proteção
de informações de uma corporação;
 Pessoal de suporte centralizado: a equipe de suporte técnico que ajuda a manter
o computador que processa os dados.
Na figura 1.1 é apresentado um exemplo de instalação de processamento de dados
centralizado, na empresa Holiday In de Atlanta [STA05].
Uma instalação de PDD (Processamento de Dados Distribuídos) é aquela em que os
computadores estão espalhados pela empresa. Estes computadores necessitam de “alguma
coisa” que possa interligá-los, que os façam comunicar entre si. Essa “coisa” é a rede de
computadores.
Até a década de 70, o processamento de dados centralizados era a estrutura mais
adotada nas empresas. A partir desta época, o PDD, obteve um grande crescimento entre as
empresas do mundo [STA05].
6
Os fatores que fizeram o PDD crescer foram: a diminuição considerável no preço do
hardware e aumento na capacidade destes; e a adoção das GUIs (Grafical User Interface –
Interface Gráfica do Usuário), que facilitou o manuseio dos equipamentos e acesso as
respostas das aplicações.
Figura 1.1 Arquitetura de sistemas de informação do Holiday Inn
A figura 1.2 mostra outro exemplo de sistema distribuído adotado na empresa J. P.
Morgan [STA05]. Nessa empresa é verificado que os usuários têm a liberdade na escolha
de uma estação de trabalho de acordo com a preferência pessoal.
1.2. Arquitetura cliente/servidor
A arquitetura cliente/servidor cresceu, devido ao aparecimento das LANs,
juntamente com aparecimento de softwares preparados para oferecer processamento entre
os computadores. Esta arquitetura é econômica e flexível, ou seja, é possível numa única
máquina funcionar ao mesmo tempo o servidor de arquivos e de impressão juntos. Pode-se
também ter duas máquinas numa mesma rede, um com servidor de impressão e a outra com
7
servidor de arquivos. Não importa a localização do servidor, mas se eles estão na mesma
rede.
Normalmente a Intranet fornece aos usuários recursos e aplicações de forma isolada
dentro da empresa.
Figura 1.2 Arquitetura de sistemas distribuídas de J.P. Morgan
As Extranets oferecem acesso a recursos externos como a Internet. Ela utiliza o
protocolo TCP/IP.
8
1.2.1. Conceito de PDD
O PDD é um conjunto de computadores que estão dispersos remotamente e
possuem algum tipo de interligação em comum entre eles.
No PDD são encontradas funções como aplicações, controladores de dispositivo,
controle e dados.
1.3. Particionamento vertical e particionamento horizontal
O particionamento vertical ocorre quando os dados são processados ao nível de
aplicação e é distribuído seguindo certa forma hierárquica entre as máquinas. Um exemplo
de particionamento vertical é o controle de processo de uma fábrica.
Quando o processamento de dados no nível de aplicação é distribuído entre uma
faixa de computadores que se relacionam na forma de parceria não existe conceito sobre
cliente/servidor. Neste caso, é chamado de particionamento horizontal. Um exemplo é o
sistema de controle de tráfego aéreo [STA05].
Existem outros tipos de PDD, como:
 Dispositivos distribuídos: um conjunto distribuído de dispositivos que são
manipulados via processadores. Ex: caixa eletrônico;
 Gerenciamento de rede: forma de gerenciamento e controle que é exigido num
sistema distribuído. Este ajuda na disponibilidade e a responsividade numa rede
de comunicação.
1.4. Banco de dados distribuído
O banco de dados distribuído é um conjunto de dados que estão dispersos, ou seja,
que estão espalhados entre uma série de sistemas de computador, que possui algum tipo de
interligação em comum entre eles.
Existem três maneiras de organizar os dados: centralizada, replicada e particionada.
9
No banco de dados centralizado os dados são armazenados em um computador
central, nos computadores clientes e até mesmo o próprio computador central pode utilizar
estes dados. Este tipo de organização de dados possui um grave problema que é o gargalo
no servidor (computador central que contém os dados), ou seja, tráfego de dados desta
região é elevado, possibilitando que toda a rede possa ter um alto tempo de resposta
[STA05].
No banco de dados replicado os dados, na sua totalidade ou parcial, são copiados
para outros computadores que estão presente no mesmo sistema. Existem, três subtipos de
organização por replicação:
 Replicação por tempo real: é utilizado em sistemas que envolvem transações em
que todas as cópias dos dados necessitam de ser sincronizadas imediatamente.
Este tipo de operação eleva o tempo de resposta na rede;
 Replicação quase por tempo real: neste tipo de operação, a sincronização das
cópias dos dados não é realizada de forma imediata, mas são feitas com certo
intervalo de tempo pré-definido. Exemplo: sincronização de dados ocorre a cada
uma hora;
 Replicação adiada: nesta operação, a sincronização ocorre em intervalos longos,
como um por dia ou a cada 18 horas, por exemplo;
No banco de dados particionado os dados estão dispersos, ou seja, estão distribuídos
entre vários computadores da rede.
1.5. Requisitos do PDD na rede
Os requisitos para comunicações e redes gerados pelo uso do PDD são divididos em
três áreas: conectividade, disponibilidade e desempenho.
A conectividade é a capacidade dos componentes no sistema trocarem dados com
outros computadores do mesmo sistema que estão interconectados. Um sistema PDD que
10
utiliza particionamento vertical tradicionalmente necessita de enlaces entre entidades que
estão em um nível acima ou abaixo dele na hierarquia.
A figura 1.3 mostra vários grupos de computadores, conectados entre si, através de
enlaces diretos.
Figura 1.3 Conectividade plena usando enlaces diretos
Na figura 1.4 são mostrados cinco computadores que são interligados indiretamente
via um comutador central. O resultado de seu uso implica na redução dos gastos relativos
aos equipamentos, principalmente placas de rede.
A disponibilidade é a quantidade de tempo em que uma determinada aplicação está
disponível para o usuário que solicitou.
O desempenho é a eficiência da comunicação entre os computadores que estão
interligados num mesmo sistema.
11
Figura 1.4 Uso de um comutador central para conectividade plena
1.6. Computação Distribuída
A Computação distribuída pode ser definida através da conexão de várias máquinas
em uma rede, através da troca de mensagens. São exemplos à arquitetura cliente/servidor e
a Intranet [STA05].
1.6.1. A arquitetura Cliente/Servidor e o Mainframe
A arquitetura cliente/servidor vem substituindo as técnicas de computação
centralizada, em que todo ou quase todo o processamento é feito em um host central
(mainframe). Durante a década de 70 e até a metade da década de 80, este foi o modelo
dominante, sem nenhum concorrente para ameaçá-lo. Para acessar este computador de
grande porte, eram utilizados os chamados terminais burros [BAT03].
O mainframe é um equipamento que precisa de instalações adequadas, nas quais
existe controle de temperatura, umidade do ar e alimentação elétrica estabilizada. Ele
possui algumas vantagens que são:
12
 Os programas e os dados ficam instalados no mainframe o que facilita o
gerenciamento deste ambiente;
 Manter o ambiente seguro é mais simples porque o gerenciamento é
centralizado;
 Maior facilidade para atualização dos sistemas.
Apesar aplicações baseadas em mainframe apresentarem essas qualidades, elas não
tem capacidade de responder rapidamente as demandas da maior parte das empresas. Além
disso o custo é elevado. Em uma organização em que se encontra essa arquitetura, para se
ter acesso aos dados é necessário uma linha de dados ligada à outra empresa dotada de um
modem, que estão conectados os terminais burros. Além de estas linhas apresentarem sérios
problemas de desempenho e o preço é alto. Quando a linha esta desativada ou offline
nenhum usuário tem acesso aos sistemas [BAT03].
No final da década de 80 e início dos anos 90, os PCs (Personal Computer Computador Pessoais) já eram uma realidade. Nessa época surgiu a computação
cliente/servidor. A idéia deste modelo era uma descentralização dos dados e dos aplicativos
[BAT03]. Os seus componentes são: os clientes, que solicitam serviços ao servidor e o
servidor que atende as requisições dos clientes. Estes estão ligados e se comunicam através
de uma rede, que pode ser uma LAN ou WAN (Wide Área Network – Rede de Área
Alargada ou rede de longa distância) ou mesmo a Internet, como mostra a figura 1.5.
Os servidores geralmente são equipamentos com grande capacidade de
armazenamento em disco, processamento e quantidade de memória RAM (Ramdom Acess
Memory – Memória de acesso aleatório). Eles normalmente rodam um Sistema Operacional
específico para servidor, como por exemplo:
 Windows NT Server (3.51, 4.0);
 Alguma versão do UNIX, como o mandrake, slackware e o red hat;
 Windows 2000 Serve;
13
 Windows Server 2003.
 Windows Server 2008.
Existem vários tipos de servidores como:
 Servidor de arquivos;
 Servidor de banco de dados;
 Servidor para outras funções, como por exemplo, a autenticação de usuários, a
resolução de nomes, a Intranet, dentre outros.
A arquitetura cliente/servidor permite selecionar as aplicações necessárias de forma
ágil, possibilitando acesso imediato às informações. Uma característica importante desta
arquitetura é fornecer uma interface gráfica amigável com usuário.
Figura 1.5 Ambiente cliente/servidor genérico.
Este movimento de um computador de grande porte – Mainframe -, em direção a
servidores de menor porte – servidores de rede local – ficou conhecido como Downsizing
[BAT03].
14
1.6.1.1 Aplicações cliente/servidor
A arquitetura cliente/servidor é dividida em camadas, como mostra a figura 1.6. No
nível de aplicação são feitos os pedidos de solicitação e resposta entre o cliente e o
servidor. A camada intermediária é a do software de comunicação que faz a interação de
protocolos, um exemplo de protocolo é o TCP/IP. No nível inferior, estão o sistema
operacional e a plataforma de hardware que podem ser de fabricantes diferentes, desde que
o cliente e o servidor compartilhem os mesmos protocolos de comunicação.
Figura 1.6 Arquitetura cliente/servidor genérica.
Existe ainda uma arquitetura cliente/servidor de três camadas, composta por um
cliente, um servidor da camada intermediária (servidor de aplicação) e servidores de backend (servidores de dados) de acordo com a figura 1.7. O servidor intermediário funciona
como um gateway entre as aplicações do cliente e as do servidor back-end, podendo atuar
como um cliente e um servidor. O cliente não tem acesso aos dados do servidor de banco de
dados, sem antes passar pelo servidor de aplicação.
15
Figura 1.7 Arquitetura cliente/servidor de três camadas.
1.6.2. Intranet
A Intranet é uma rede baseada nos protocolos do modelo TCP/IP, mas que é
utilizada dentro de uma empresa. Globalmente, empresas de diversas áreas de atuação estão
utilizando essa ferramenta para melhor usufruir as vantagens que a Internet oferece
[ARO07]. Algumas dessas vantagens são:
 Implantação rápida de novos serviços;
 Escalabilidade;
 Necessidade de pouco treinamento de usuários;
 Flexibilidade e interoperabilidade de plataformas;
 Variedade de arquitetura de computação distribuída podendo ter poucos
servidores centrais ou muitos servidores distribuídos;
16
 Implementação de baixo custo devido ao pouco investimento em novo software
ou infra-estrutura.
As características das Intranet são: alta velocidade de processamento e capacidade
de armazenamento dos computadores pessoais e altas taxas de dados das LANs.
1.6.2.1 Intranet Web
A Web é um serviço amplamente difundido e conhecido. Uma empresa pode utilizar
uma Intranet web para que seus funcionários possam acessar através de uma página inicial
(homepage) informações e serviços de uma organização. Um usuário ou um grupo de
usuários pode criar sua própria página Web de acordo com suas necessidades. Um exemplo
de uma estrutura de página Web é mostrado na figura 1.8, onde vários serviços como de
informação, vendas, finanças, recursos humanos e treinamento são realizados [STA05].
Figura 1.8 Exemplo de estrutura de página Web corporativa.
17
Outra tecnologia de Intranet é o correio eletrônico. O correio eletrônico (e-mail)
fornece suporte a multimídia (som, imagens, documentos) e facilita a criação e o
gerenciamento de uma lista de correspondência eletrônica, que é um nome que possui
vários destinos.
1.6.3. Extranet
Uma Extranet pode ser definida como uma rede de computadores baseada no
modelo TCP/IP para conectar empresas com seus fornecedores, clientes e outras empresas
que compartilham objetos comuns [MAN04]. As vantagens desse compartilhamento são:
 Custos reduzidos: a informação que precisa ser compartilhada é feita em um
modelo automatizado;
 Maior qualidade do produto: reclamações dos clientes chegam aos fornecedores
mais rapidamente, permitindo correções, mas rápida;
 Maiores lucros para os fornecedores: atualizações sobre as vendas ajudam os
fornecedores a ajustar sua resposta ao mercado;
 Rapidez para o mercado: Os produtos chegam mais rapidamente ao mercado.
O modelo de operação para Extranet é o cliente/servidor.
Uma questão importante na Extranet é a segurança. Como os recursos web
coorporativos e os recursos de banco de dados se tornam disponíveis para os de fora e são
permitidas transações contra esses recursos, aspectos de privacidade e autenticação devem
ser resolvidos. Isso é feito através do uso da VPN, por exemplo [STA05].
Existem algumas opções de comunicação para criar uma Extranet:
 Acesso dial-up de longa distância: permite que os de fora acessem a Intranet,
através de um logon para autenticar o usuário. Essa técnica oferece uma
segurança, mas é fraca;
18
 Acesso seguro a Intranet pela Internet: autenticação de usuário e a criptografia
da comunicação entre o usuário e a Intranet dão maior segurança;
 Acesso pela Internet a um servidor externo que duplica alguns dos dados da
Intranet de uma empresa: reduz o risco de invasão contra o hackers, e o valor da
Extranet para os parceiros externos.
1.7. Evolução dos Sistemas Operacionais
A evolução dos sistemas operacionais está relacionada ao desenvolvimento de
equipamentos tecnológicos, que os torna cada vez mais velozes, compactos e baratos, além
da necessidade de aproveitamento desses recursos [TAN02].
1.7.1. A Primeira Geração (1945-1955): Válvulas e Painéis
No início da Segunda Guerra surgiram os primeiros computadores digitais que eram
formados por milhares de válvulas e ocupava grande espaço físico. O funcionamento destas
máquinas era lento e duvidoso.
Nesta época apenas um grupo de pessoas era responsável pelo projeto, construção,
programação, operação e manutenção de cada máquina. Para se trabalhar nelas era
necessário ter profundo conhecimento no funcionamento do hardware e saber ao menos o
conceito de linguagem de programação e sistemas operacionais que ainda não existiam.
A programação era feita em painéis através de fios utilizando linguagem de máquina.
O acesso ao computador por usuário era feito por meio de reserva antecipada de tempo de
máquina. O usuário fazia sua própria programação nos painéis da máquina e torcia para que
nenhuma das válvulas utilizadas queimasse durante o seu trabalho [TAN02].
No início dos anos 50 houve uma melhora no uso destas máquinas com a criação do
cartão perfurado. Assim, foi possível a codificação de programas em cartões e sua leitura
pela máquina deixando de lado a programação através de painéis.
19
1.7.2. A Segunda Geração (1955- 1965): Transistores e Sistemas Batch
Com o surgimento do transistor e das memórias magnéticas houve um avanço dos
computadores da época e se tornaram confiáveis a ponto de serem comercializados. O
transistor permitiu o aumento da velocidade e da confiabilidade do processamento e as
memórias magnéticas permitiram o acesso mais rápido aos dados, com maior capacidade de
armazenamento e computadores menores. Nesta época passou a haver distinção entre as
pessoas envolvidas no projeto, construção, operação, programação e manutenção destas
máquinas chamados de operadores. Elas eram instaladas em salas separadas e operadas por
um pessoal especializado.
Com o surgimento das primeiras linguagens de programação os programas deixaram
de ser feitos diretamente no hardware, facilitando o processo de desenvolvimento de
programas.
Os programas eram perfurados em cartões, que submetidos a uma leitora, os gravava
em uma fita de entrada. A fita era lida pelo computador, que executava um programa de
cada vez, gravando o resultado do processamento em uma fita de saída. Ao término de
todos os programas, a fita de saída era lida e impressa. A esse tipo de processamento, onde
um lote (batch) de programas era submetido ao computador deu-se o nome de
processamento batch [TAN02].
Antes do processamento batch os programas eram submetidos pelo operador, um a
um, fazendo com que o processador ficasse ocioso entre a execução de um programa e
outro. Com o processamento batch, um job (grupo de programas) era submetido de uma só
vez diminuindo o tempo existente entre a execução dos programas e permitindo assim o
melhor uso do processador.
Os sistemas operacionais passaram a ter seu próprio conjunto de rotinas para
operações de IOCS (Input/ Output Control System – Controle de sistema de entrada/saída),
para facilitar o processo de programação.
20
1.7.3. A Terceira Geração (1965-1980): CIs e Multiprogramação
Com o uso de CIs (Circuitos Integrados) e microprocessadores foi possível diminuir
os custos de aquisição e utilização, viabilizando e difundindo o uso de sistemas
operacionais pelas empresas.
Nesta época, a IBM (International Business Machines) lançou em 1964 a Série 360,
conseguindo uma relação preço/ performance melhor que as máquinas da segunda geração,
construídas com transistores individuais. Esse lançamento causou uma revolução industrial
de informática, pois introduziu uma família de computadores pequena, poderosas e
principalmente compatíveis entre si [TAN02].
A idéia da família única criou um problema, pois a intenção era que qualquer
software, inclusive o sistema operacional, rodasse em todos os modelos da família, tanto
em ambientes comerciais, quanto nos científicos.
O resultado foi à criação de um sistema operacional enorme e muito mais complexo,
duas ou três ordens de magnitude maior que dos computadores da segunda geração. Apesar
do tamanho e de seus problemas várias técnicas vieram a ser implementadas, como a
técnica de multiprogramação. Quando o job corrente parava para aguardar a conclusão de
operações de entrada/saída o processador também permanecia inativo até a conclusão da
operação.
Na terceira geração outra característica importante no sistema operacional foi a
capacidade de ler jobs de cartão direto para o disco. Assim, ao término de um job, o sistema
operacional carregava no novo job na partição livre da memória proveniente do disco.
A multiprogramação passou a oferecer então tempo de respostas razoáveis aos
usuários e uma interface amigável. Com isso, cada programa na memória utilizaria o
processador em pequenos intervalos de tempos. A esse sistema de divisão de tempo do
processador chamou-se time-sharing (tempo compartilhado) [TAN02].
Outro fato importante foi o surgimento do sistema operacional Unix baseado no
sistemas MULTICS (Multiplexed Information and Computing Service), ou seja, uma
21
máquina que suportasse centenas de usuários simultaneamente, em regime de
compartilhamento de tempo.
1.7.4. A Quarta Geração: Computadores Pessoais
Com o desenvolvimento da tecnologia de circuitos LSI (Large Scale Integration –
Integração em larga escala) e a VLSI (Very Large Scale Integration - Integração com muita
larga escala) apareceram chips com milhares de transistores encapsulados em um
centímetro quadrado de silício. Foi isso que levou adiante o projeto de miniaturização e
barateamento dos equipamentos, surgindo à idéia do computador pessoal.
Os computadores pessoais quando conectados a uma rede são denominados estações
de trabalho (workstations). Tais máquinas são usadas para as mais diversas atividades e
usualmente estão conectadas a uma rede pública ou privada, que permite a troca de
informações entre todas as máquinas ligadas a ela [TAN02].
A grande disponibilidade computacional levou ao surgimento de indústrias voltadas
para a produção de software para estas máquinas. A maioria destes software são voltados
para pessoas que possuem o mínimo de conhecimento computacional chamado como userfriendly.
Neste período um desenvolvimento interessante começou a tomar corpo nos anos 80
foi o dos sistemas operacionais para redes e o dos sistemas operacionais distribuídos. Isso
permitiu que um conjunto de máquinas conectadas a rede pudessem se comunicar
remotamente, admitindo que programas rodem em vários processadores ao mesmo tempo e
para isso é necessário algoritmos de escalonamento de processador bem mais elaborados.
1.7.5. Sistema Operacional Monousuário versus Sistema Operacional Multiusuário
O Sistema Operacional Monousuário se caracteriza por permitir que o processador,
a memória e os periféricos fiquem dedicados a um único usuário por vez e possui
processamento centralizado.
22
Neste sistema enquanto o programa aguarda por um evento, como a digitação de um
dado, o processador fica ocioso sem realizar qualquer tarefa. A memória é subutilizada caso
o programa não a preencha totalmente.
Sistemas Monousuários são de simples implementação se comparados a outros
sistemas, não tendo preocupação com problemas de segurança, pois só existe um usuário
utilizando-o [MAC92].
Os Sistema Operacional Multiusuário permite que se tenha mais de um usuário
utilizando um mesmo processador e seus recursos ao mesmo tempo, através de terminais
ligados ao computador. Os programas e arquivos de dados estão em um único computador
que gerencia o uso de seus recursos.
Dessa forma é possível aumentar a produtividade dos usuários e reduzir os custos de
utilização do sistema.
O Sistema Operacional Multiusuário é mais complexo e eficiente do que Sistema
Monousuário e se preocupa em gerenciar o acesso concorrente aos seus diversos recursos,
de forma ordenada e protegida, entre os diversos usuários. A comunicação com as diversas
tarefas é feita através de softwares que criam ambientes diferenciados para cada tarefa
[MAC92].
23
CAPÍTULO 2 - O SISTEMA OPERACIONAL
WINDOWS SERVER 2003
Neste capítulo é apresenta uma visão geral do Windows Server 2003. Serão
mostrados suas características e alguns dos seus serviços básicos como, por exemplo,
impressão, arquivos e o Active Directory.
O Windows Server 2003 apresenta quatro edições, que se diferenciam pelos recursos
disponíveis e limites de hardware. Isto também será visto no decorrer do trabalho, assim
como a versão utilizada para implementar este projeto, que é a Enterprise Edition.
Os aspectos como segurança, serviços de gerenciamento e comunicação encontramse no final desse capítulo.
2.1. Introdução ao Windows Server 2003
O Windows Server 2003 é um sistema operacional próprio para servidores em uma
rede. Uma rede é composta por servidores, clientes e dispositivos que fazem a
conectividade entre eles como hubs, switches, roteadores e outros.
Um servidor é quem fornece serviços para um cliente. Um exemplo de serviço
bastante comum é uma impressora compartilhada no servidor, onde muitos clientes podem
enviar impressões. Outro exemplo usado diariamente por várias pessoas é o acesso à
Internet, em que o tipo de serviço que esta sendo disponibilizado são informações em um
servidor Web e o navegador ou browser utilizado para acessar estas informações é o cliente.
24
A Internet é considerada uma gigantesca rede cliente/servidor de alcance mundial,
com milhões de servidores e clientes acessando os mais variados recursos e diferentes
serviços.
Em redes de computadores é necessário que os equipamentos possuam o mesmo
protocolo de comunicação para poderem trocar informações. O Windows Server 2003
fornece suporte a uma série de protocolos, porém o mais utilizado é o TCP/IP. Um dos
principais motivos é que o TCP/IP é o protocolo utilizado na Internet e tem forte aceitação
do mercado, pois é usado pela maioria dos sistemas operacionais e considerado padrão
[BAT03].
Existem algumas funções que um servidor baseado no Windows Server 2003 pode
desempenhar:
 Servidor de banco de dados;
 Servidor de correio eletrônico;
 Serviços de rede;
 Controlador de domínio;
 Servidor de Internet/Intranet;
 Serviços de compartilhamento de arquivos e de impressão;
 Servidor de aplicação, firewall e roteamento.
Este Sistema Operacional pode ser configurado para oferecer vários serviços aos
clientes de uma rede.
2.2. Edições do Windows Server 2003
O Windows Server 2003 possui diferentes edições e o que diferencia uma da outra
são as funcionalidades disponíveis em cada edição e as necessidades mínimas e máximas
de hardwares suportados. As quatro edições são:
25
 Windows Server 2003 Web Edition;
 Windows Server 2003 Standard Edition;
 Windows Server 2003 Enterprise Edition;
 Windows Server 2003 Data Center Edition.
2.2.1. Windows Server 2003 Standard Edition
Normalmente, esta versão é utilizada em servidores de pequenas e médias empresas
ou servidores departamentais que possui um número médio de usuários. É usado para
serviços básicos como autenticação de usuários e compartilhamento de arquivos e
impressão.
O Windows Server 2003 Standard Edition não tem suporte ao serviço de Cluster –
Cluster Services. Com este tipo de serviço é possível configurar vários servidores para atuar
como se fosse um único servidor. Caso um dos servidores falhe, os outros continuam a
atender os clientes normalmente.
Além disto, existem outros serviços e/ou recursos que não são disponíveis nesta
edição como:
 Suporte a mais que quatro processadores;
 Suporte a mais que 4 GB (Gigabytes) de memória RAM;
 Versão de 64 bits para processadores Intel Itanium;
 Troca de memória sem desligar o servidor;
 Suporte a serviços de metadiretório;
 Não possui o recurso WSRM (Windows System Resource Manager), que
permite a alocação de recurso de hardware para processos específicos.
26
2.2.2. Windows Server 2003 Enterprise Edition
O Windows Server 2003 Enterprise Edition é recomendado para redes de porte de
médio tendendo para grande, que utilizem serviços como servidor de banco de dados,
correio eletrônico e roteamento [BAT03].
Ele possui as seguintes limitações de hardware:
 Oito processadores na versão de 32 bits;
 32 GB de memória RAM na versão de 32 bits;
 Cluster com até oito servidores;.
Esta edição possui todas as funcionalidades que não estão disponíveis para a edição
anterior.
2.2.3. Windows Server Data Center Edition
O Windows Server Data Center Edition é usado por organizações que apresentam
um maior número de usuários e que necessitam de elevadas exigências de desempenho. Os
serviços utilizados não podem falhar como, por exemplo, as aplicações que mantêm em
funcionamento uma bolsa de valores [BAT03].
Esta edição apresenta as seguintes limitações quanto ao hardware:
 32 processadores na versão de 32 bits e até 64 bits, para servidores baseados no
processador Intel Itanium;
 64 GB de memória RAM na versão de 32 bits e até 512 GB de RAM na versão
de 64 bits para servidores baseados no processador Intel Itanium;
 Cluster com até oito servidores.
Ele pode ser adquirido somente através do programa Windows Datacenter High
Availability. O objetivo deste programa é fazer com que os fabricantes de hardware que
tem interesse nesta edição, passem por testes para garantir que o equipamento esteja de
27
acordo com as especificações da Microsoft, enquanto que para utilizar as outras edições é
necessário apenas comprar a licença de uso [BAT03].
2.2.4. Windows Server 2003 Web Edition
Esta edição tem uma finalidade específica que é para serviços como aplicações Web
e hospedagem de sites. Foi projetado para uso em servidores de Internet/Intranet.
Ele apresenta dois limites de hardware que são:
 Suporta, no máximo, dois processadores;
 Suporta, no máximo, 2 GB de memória RAM.
Na tabela 2.1 é apresentada uma comparação entre todas essas edições do Windows
Server 2003, mostrando as características e as funcionalidades que cada um possui.
Recurso
Tecnologias de cluster
Balanceamento de carga da rede
Cluster de falhas
Comunicações e serviços de
rede
Conexões de rede virtual
privada (VPN)
Serviço de protocolo de início
de sessão (SIP)
Serviço de autenticação da
Internet (IAS)
Ponte de rede
Compartilhamento de conexão
Web
Standard
Enterprise
Datacenter
Edition
Server
Server
Server
28
Recurso
com a Internet (ICS)
Serviços de diretório
Active Directory™
Suporte para serviços de
metadiretório (MMS)
Serviços de arquivo e impressão
Sistema de arquivos distribuídos
(DFS)
Sistema de arquivos com
criptografia (EFS)
Restauração de cópia duplicada
SharePoint™ Team Services
Armazenamento removível e
remoto
Serviço de fax
Serviços para Macintosh
Serviços de gerenciamento
IntelliMirror
Conjunto de diretivas resultante
(RSoP)
Windows Management
Instrumentation (WMI)
Servidor de instalação remota
(RIS)
Serviços de segurança
Firewall de conexão com a
Internet
Serviços de certificado
Web
Standard
Enterprise
Datacenter
Edition
Server
Server
Server
29
Recurso
Web
Standard
Enterprise
Datacenter
Edition
Server
Server
Server
Serviços de terminal
Área de trabalho remota para
administração
Terminal Server
Diretório de sessão do Terminal
Server
Serviços de multimídia
Windows Media™ Services
Escalonabilidade
Suporte a 64 bits para
computadores Intel® Itanium™
Hot-Swap de memória¹
Acesso não-uniforme à
memória (NUMA)¹
Controle de processos
Programa de suporte ao
Datacenter
Serviços de aplicativo da Web
.NET Framework
Internet Information Services
(IIS)
ASP.NET
Tabela 2.1 Comparação entre todas as edições do Windows Server 2003
2.3. Active Directory
O Active Directory é o serviço de diretórios do Windows Server 2003. Um serviço
de diretórios é um banco de dados onde estão armazenadas todas as informações sobre os
30
elementos de uma rede, como nomes de computadores, nome de usuário e grupo e assim
por diante. Ele é um componente essencial do Windows Server 2003 [BAT03].
Novas ferramentas e funcionalidades surgiram para administrar o Active Directory
no Windows Server 2003, dentre as quais destacam-se:
 ADMT 2.0 (Active Directry Migration Tool): é uma ferramenta que faz a
migração de todas as contas de usuários e suas respectivas senhas, de uma rede
do NT Server 4.0 e Windows 2000 Server para o Windows Server 2003;
 Renomear o domínio: pode-se renomear um domínio no Windows Server 2003,
obedecendo a certas condições;
 Maior flexibilidade para o gerenciamento do schema: é no schema que encontra
se todos os objetos do Active Directory e outras informações. Toda a definição
do objeto do usuário, os atributos e o tipo do atributo estão no schema;
 AD/AM (Active Directory in Application Mode): permite instalar e configurar o
Active Directory em um servidor, o que é executado no modo de aplicação.
Sendo executado no modo de aplicação é como se não existisse um serviço do
sistema operacional e com isso o servidor não tem um DC (Domain Controler Controlador de domínio). Como não roda com um sistema operacional o Active
Directory pode ter múltiplas instâncias instaladas no mesmo servidor,
independente umas das outras. Este recurso é um componente separado do
Windows Server 2003.
Uma inovação no console de administração do Active Directory é que permite
arrastar-e-soltar, seleção de múltiplos objetos e a capacidade de salvar e utilizar a mesma
pesquisa feita no Active Directory.
A respeito da segurança do Windows Server 2003 no Active Directory foram
implementadas algumas melhorias:
31
 Cross-forest authentication: permite que o usuário acesse de forma segura
recursos dos servidores de outras floresta sem precisar ter uma conta de usuário
em um domínio da floresta de destino;
 Cross-forest authorization: concede ao administrador selecionar usuários e
grupos de outros servidores, para incluir em grupos locais ou em uma lista de
permissão de acesso para arquivos, pastas ou impressoras;
 Políticas para restrições do software: é uma funcionalidade onde o administrador
pode desenvolver uma lista de programas que são autorizados a serem
executados na área de trabalho na rede da empresa. Com isso impede que os
usuários instalem programas desnecessários;
 Facilidade de logon para usuários remotos: as informações do logon do usuário
são gravadas em um cache no DC da rede onde o usuário está. Permitindo que o
usuário faça o logon mesmo se a conexão da empresa for perdida, pois as
informações estão no cache do servidor;
 Melhorias na replicação das alterações feitas em grupo de usuário: no Windows
Server 2003 sempre que um grupo for alterado (um novo usuário for adicionado
ou removido, ou o grupo for renomeado) somente as alterações serão replicadas,
diminuindo o tráfego na rede;
 Application Directory Partitions: nem todas as informações contida no Active
Directory precisam estar disponíveis em todos DCs . Com a Application
Directory Partitions (Partição de aplicação do Active Directory) é possível
configurar para quais servidores a informações devem ser replicadas;
 Instalar uma réplica do Active Directory a partir de um CD (Compact Disc –
Disco compacto), fita de backups ou HD (Hard Disk – Disco Rígido). No
Windows Server 2003 o usuário pode fazer cópias do Active Directory em CDs,
fitas de backpus ou HD. Ao instalar um novo DC o usuário transporta a cópia do
32
Active Directory gravada e em seguida replica as alterações desde o momento
em que gerou a cópia até a instalação do novo DC.
2.4. Compartilhamento de Arquivos e Impressão
Os serviços mais utilizados são os de compartilhamentos de impressoras e arquivos.
Foram feitas algumas melhorias no compartilhamento de arquivo do Windows Server 2003,
como pode citar:
 WebDav (Remote Document Sharing): é um recurso onde os aplicativos
acessam dados em servidores HTTP (HiperText Transfer Protocol - Protocolo
de Transferência de HiperTexto), com redirecionador WebDav, o programa
enxerga os arquivos remotos como se fossem locais;
 ASR (Automated System Recovery): permite que faça backups das configurações
de software e de hardware do sistema. Se ocorrer alguma falha, pode utilizar o
backup para restaurar o sistema ao estado, o qual encontrava quando foi
efetuado o backupI;
 Novos comandos para gerenciamento de discos e volumes: novos comandos são
oferecidos no Windows Server 2003, o qual facilita a criação de scripts para o
gerenciamento de disco e volumes;
 Utilitário de desfragmentacão: no Windows Server 2003 o utilitário de
desfragmentação é mais rápido e eficiente do que as versões anteriores;
 DFS (Enhanced Distributed File System): é um sistema em que múltiplos
usuários compartilham arquivos que estão armazenados remotamente. Também
permite a replicação das pastas compartilhadas, para que em caso de falha, as
cópias do conteúdo das pastas possam ser encontradas em outro servidor;
_ FRS (File Replication Services): Esse serviço junto com DFS fornece os
serviços de replicação, o qual permite que um arquivo possa ser representado
por várias cópias de seu conteúdo em diferentes lugares;
33
_ Melhorias no EFS (Encrypting File System - Sistema de criptografia de
arquivos): Surgiram novas APIs (Application Program Interfaces), para
facilitar a criação de novos software antivírus eficientes sem afetar o
desempenho do servidor;
_ Shadow Copies for Users é uma funcionalidade que pode ser habilitada em
cada pasta compartilhada, após habilitar esse serviço o Windows Server 2003
faz cópias das versões anteriores dos arquivos.
Algumas melhorias no sistema de impressão do Windows Server 2003:
 Novidades em linha de comandos, onde são executadas as principais tarefas
de administração e compartilhamento em impressoras;
 Suporta um grande número de drives de impressoras;
 Melhorias no desempenho da impressão na rede;

Printer Cluster Support: impressão em um cluster de servidores, ou seja, ao
instalar um driver de impressora em algum servidor cluster todos os
servidores que fazem parte dele instalarão o driver automaticamente.
2.5. Novidades em relação à segurança no Windows Server 2003
A segurança é um dos detalhes que define a escolha de um sistema operacional para
servidores. O Windows Server 2003 apresenta diversas melhorias no ponto de vista
segurança.
 Firewall de conexão com a Internet IFC (Internet Connection Firewall). Este
firewall é o primeiro nível de segurança do Windows Server 2003;
 Suporte ao protocolo IEEE 802.1x. Nesse protocolo é possível realizar a
autenticação em um domínio gerenciado pelo Windows Server 2003, sendo
muito utilizado em redes sem fio;
34
 Controle nas restrições de softwares. Com o Windows Server 2003, o
administrador tem o poder permitir ou vetar softwares de acordo com as
necessidades da corporação;
 Configuração do IIS 6.0 para o padrão de proteção máxima. Inicia-se a
configuração do servidor como todos os recursos bloqueados, e de acordo com
as necessidades, o administrador libera os recursos solicitados;
 Sites seguros que utilizam o protocolo SSL (Secure Sockets Layer – Camada de
Soquete Seguro), obteve uma melhoria na performace nas aplicações baseadas
em Web seguras com a utilização conjunta do Windows Server 2003 de até 35%
[BAT03].
2.6. Novidades de serviços de rede e comunicação
O
Windows
Server
2003
oferecer
alguns
serviços,
tais
como
DNS,
compartilhamento de arquivos e impressoras até serviços mais sofisticados de acesso
remoto e roteamento.
 O Windows Server 2003, possui suporte ao IPv6 (Internet Protocol version 6 –
Protocolo de Internet versão 6). O IPv6, é a nova versão do protocolo IP
(Internet Protocol – Protocolo de Internet) atualmente, está na versão 4. Vários
problemas relativos ao desempenho do IPv4, foram reduzidos na versão IPv6.
Um dos principais benefícios seria o aumento significativo de números de
endereços IP disponíveis em relação à versão 4;
 Suporte ao protocolo PPPoE (Point-to-Point Protocol over Ethernet). Para o
cliente, é possível conectar sem nenhum problema, a algum servidor que possui
suporte ao PPPoE;
 Network Bridging: com está função, é possível com um Windows Server 2003
instalado, com diversos adaptadores de rede instalados, tais como: Ethernet,
Wireless e Dial-Up, ter acesso a diferentes tipos de rede;
35
 Adoção do protocolo IPSec (Internet Protocol Secure – Protocolo de Internet
Seguro) no NAT (Network Address Translation). O protocolo IPSec era uns dos
problemas encontrados no seus antecessor, Windows 2000 Server. Porém, no
Windows Server 2003, é possível utilizar o IPSec através do servidor RRAS
(Remote Acess Server - Servidor de Acesso Remoto) com NAT;
 Diversas melhorias foram aprimoradas na administração do GPO (Group
Polices Objects) através do GPMC (Microsoft Group Policy Management
Console). Outra novidade, é que o Windows Server 2003, fica possível
a
configuração da lista de prefixos DNS no cliente, algo que não acontecia com o
Windows 2000 Server.
2.7. Serviços de Gerenciamento do Windows Server 2003
Diversas ferramentas de gerenciamento foram aprimoradas nesta versão do Server
2003. Vale ressalvar que as melhorias em relação às ferramentas de administração e
gerenciamento, implicam numa maior produtividade e um controle muito mais rigoroso e
ágil para o administrador da rede.
 Com o console para administração de tarefas GPMC,
é possível gerenciar
aplicações de GPOs em múltiplos domínio. Sendo assim, é possível a realização
de backup, cópias e relatórios dos GPO;
 RSoP (Resultant Set of Policy): esta ferramenta é utilizada pelo administrador,
para analisar os efeitos das alterações nas políticas de seguranças, antes mesmo
delas realmente serem efetivadas. É uma espécie de simulador. Com esta
ferramenta integrada ao Windows Server 2003, as inconsistências podem ser
encontradas e evitadas;
 Algumas opções novas referentes à política de seguranças foram adicionadas;
 Filtros WMI (Windows Management Instrumentation). O Windows Server 2003
permite com um filtro, possa selecionar uma característica dos computadores,
36
como por exemplo, seleção dos computadores com Processador Pentium II 350,
com 128 MB de RAM com Windows XP Professional instalado;
 Cross-Forest Support: esta funcionalidade permite que usuário da floresta X,
possa fazer um logon em um outro micro numa floresta Y, sendo que cada
floresta possui um conjunto de GPO diferentes;
 Melhorias no RIS (Serviço de instalação remota). Mudanças foram realizadas
para aumentar o desempenho do protocolo TFTP (Trivial File Transfer Protocol
– Protocolo de Transferência de Arqivos Trivial);
 Adição de novos utilitários de linha de comando: foram adicionados dezenas de
utilitários que facilitam a administração e a automação de diversas tarefas
repetitivas;
 Realizam de atualizações dos mais variados arquivos do sistema e dos softwares
mais requisitados num servidor;
2.8. Suporte ao desenvolvimento de Aplicativos no Windows Server 2003
 Suporte a Web Services baseado em XML nativo do sistema operacional;
 Framework .NET: este é a base para qualquer aplicação baseada no modelo.
NET. Ao invés de baixá-lo separadamente, o Server 2003, já o possui no próprio
CD de instalação;
 ASP.NET intregrado ao IIS 6.0. Isso melhorou a segurança e o desempenho das
aplicações baseado nesta tecnologia;
 ASP.NET: Advanced Compilation. Esta nova funcionalidade desta tecnologia,
aumenta para melhor performace das aplicações que utilizam a tecnologia
ASP.NET. No Windows Server 2003, a página ASP.NET, após ser carregada ,
ela é compilada e mantida na memória do servidor. O IIS verifica se a página já
houve modificações para que possa substituir a versão ultrapassada que está na
memória do servidor.
37
 ASP.NET: Intelligent Caching. O Windows Server 2003 junto com a tecnologia
ASP.NET: Intelligent Caching, permite que o programador possa fazer um
controle refinado sobre como será feito o cache das páginas ASP.NET. Isso
permite uma melhor otimização do desempenho do computador.
38
CAPÍTULO 3 - O ACTIVE DIRECTORY
O elemento fundamental do Windows Server 2003 é o Active Directory porque nele
estão armazenados todos os componentes de uma rede. Neste capítulo serão apresentados e
explicados os diversos objetos que compõem este elemento. Os itens de sua estrutura lógica
são:
 Domínios;
 Árvores;
 Florestas;
 Relações de Confiança;
 Objetos do Active Directory;
 Unidades Organizacionais;
 Schema.
Estes itens serão esclarecidos no decorrer do capítulo, assim como as novidades que
o Active Directory apresenta com relação ao Windows 2000 Server. Outro assunto que será
detalhado é a definição e as vantagens de se usar um serviço de diretórios.
Com isso se torna fácil para os usuários implementar e planejar uma infra-estrutura
de rede baseada no Windows Server 2003 e no Active Directory.
39
3.1. Diretórios
Um diretório é um cadastro ou um banco de dados com informações sobre usuários,
senhas e outros dados necessários ao funcionamento de um sistema. Alguns exemplos deste
são os sistemas de emails, as aplicações no mainframe e as aplicações cliente/servidor
[BAT03].
Na figura 3.1 são ilustradas algumas aplicações para as quais um usuário pode
utilizar diferentes plataformas e modelos para desempenhar seu trabalho em uma empresa.
Para isso é necessário um logon e senha.
Figura 3.1 Aplicações em diferentes ambientes e baseadas em diferentes modelos.
O Active Directory também é um tipo de diretório, onde ficam armazenadas
informações sobre conta de usuários, contas de computadores, grupos de usuários, senhas,
domínios, enfim todos os elementos necessários ao funcionamento de uma rede baseada no
Windows Server 2003 [BAT03].
Ele foi projetado para tornar-se o único diretório necessário na rede de uma
empresa. As vantagens disso são: o logon único e as atualização automaticamente no
diretório em todas as aplicações. Assim, os dados não correm o risco de ficarem
desatualizados.
40
3.2. Domínios e Grupos de Trabalho (Workgroups)
Existem duas formas de configurar um servidor na rede: fazer parte de um domínio
ou de um grupo de trabalho. Nos próximos tópicos serão detalhados cada um deles.
3.2.1. Rede Baseada no Modelo de Workgroups
Todos os servidores que compõem uma rede baseada no modelo de Workgroups
possuem sua própria base (lista) de usuários, senhas e grupos. Por isso são chamados de
servidores independentes [BAT03].
A figura 3.2 mostra um exemplo com três servidores cada um com sua lista de
usuários.
Figura 3.2 Uma rede baseada no conceito de Workgroup.
Para que um usuário acesse um recurso em algum servidor da rede é necessário que
ele tenha uma conta. O administrador é quem faz este cadastro do usuário.
Este modelo é viável para redes pequenas, que possuem no máximo dez usuários e
um único servidor. Por isso é fácil de implementar e o administrador consegue ter todo o
controle da rede. Porém, em uma rede de grandes proporções que possui muitos servidores
e funcionários este modelo de Workgroups, se torna insustentável porque cada usuário teria
várias senhas, uma para cada serviço da rede. Isto poderia causar grandes confusões para
eles como por exemplo, esquecê-las.
41
3.2.2. Rede Baseada no Conceito de Diretório - Domínio
Em uma rede baseada em diretório todos os servidores compartilham a mesma base
de usuários, ou seja, o mesmo diretório. Isso é mostrado na figura 3.3 onde encontram - se
três servidores e uma única base para eles.
Figura 3.3 Uma rede baseada no conceito de diretórios – domínio.
As atualizações efetuadas em um servidor são repassadas para os demais para que
todos fiquem com uma cópia idêntica da base de dados do diretório [BAT03].
Este modelo é fácil de administrar e permite a implementação de redes de grandes
proporções tanto geográficas quanto em número de usuários.
3.3. Domínios, Árvores de Domínios e Unidades Organizacionais
Os servidores e estações de trabalho que compõem uma rede podem ser
configurados para fazerem parte de um domínio. Este é formado pelo conjunto de todas as
informações de um diretório.
Um domínio é considerado um limite administrativo e de segurança. Pois as contas
de administrador têm permissões de acesso em todos os recursos dele. Para cada um é
possível ter diferentes políticas e configurações de segurança como definir um tamanho de
senha, por exemplo [BAT03].
42
No banco de dados do Active Directory estão contidos todos os dados (contas e
recursos) referentes ao domínio.
Existem dois tipos de servidores baseados no Windows Server 2003 que são:

DC;

Servidores Membros.
No DC todas as alterações feitas em um elemento do Active Directory como a
criação de contas de usuários, grupos e políticas de segurança são repassadas para os outros
DCs . Estas informações estão compartilhadas na rede.
Os DCs têm a função de fazer a autenticação dos usuários. Ele verifica se os nomes
de usuários e senha estão corretos. Para isso é feita uma comparação com as informações
contidas na base de dados do Active Directory. Assim, qualquer recurso do domínio pode
ser acessado. A criação de domínios pode ser utilizada por qualquer rede de maior porte
[BAT03].
Os Servidores Membros não possuem uma cópia da lista de usuários e grupos do
Active Directory e ainda tem acesso a ela. As contas criadas são válidas somente nele. É
possível atribuir permissões para seus recursos sem a necessidade de criar usuários ou
grupos localmente. Outra característica dele é que ele não efetua autenticação dos clientes.
3.3.1. Active Directory
O Active Directory é o serviço de diretórios do Windows Server 2003. Ele é que
disponibiliza o banco de dados com as informações sobre os elementos da rede como
contas de usuários, grupos, computadores e recursos.
Existem algumas funções que o Active Directory pode exercer como:
 Replicação entre os DCs;
 Autenticação;
43
 Pesquisa de objetos na base de dados;
 Interface de programação para acesso aos objetos do diretório.
Os recursos de segurança são integrados com o Active Directory através do
mecanismo de autenticação. Isso é feito através do logon. Quando as informações estiverem
corretas é liberado o acesso.
Uma rede pode ser formada vários domínios. Para criar um domínio é necessário
instalar o Active Directory em um Servidor Membro e em seguida informar que será o
primeiro DC. Para que funcione corretamente é necessário que o DNS esteja instalado e
configurado.
O DNS é utilizado como serviço de nomeação de servidores e resolução de nomes.
No Windows Server 2003 ao instalar o Active Directory o DNS é configurado
automaticamente.
Em uma empresa que utiliza estes recursos, a administração da rede é simplificada,
pois todos os serviços são controlados em um único local.
3.3.2. Árvores de Domínios
A árvore de domínios é um agrupamento ou arranjo hierárquico de um ou mais
domínios do Windows Server 2003 que compartilham um espaço de nomes [BAT03].
A figura 3.4 mostra um exemplo em que o pai é o domínio microsoft.com e os
demais são os filhos.
44
Figura 3.4 Todos os domínios de uma árvore compartilham um espaço de nomes em comum.
Os nomes dos objetos filhos contêm os nomes dos objetos pai à medida que a
hierarquia cresce. Assim é formado um espaço de nomes contínuos.
3.3.3. Unidades Organizacionais
A unidade organizacional é uma divisão que pode ser utilizada para organizar os
objetos de um determinado domínio em um agrupamento lógico para efeitos de
administração [BAT03].
Um domínio pode ser dividido em várias unidades organizacionais. Com a
utilização deste recurso é possível restringir o acesso dos usuários para que não tenham
acesso a todos os objetos do domínio. Estes, quando formam uma árvore, não precisam ter
a mesma estrutura hierárquica de unidades organizacionais.
Este tema será detalhado no tópico 3.9. deste capítulo.
3.4. Objetos de um Domínio
Os principais objetos do domínio que fazem parte do Active Directory são: contas
de usuários, computadores e grupos de usuários.
45
3.4.1. Contas de Usuários
Todo usuário que deseje ter acesso aos recursos dos computadores de um domínio
deve ser cadastrado no Active Directory .Cadastrar um usuário é criar uma conta e uma
senha para ele.
A conta de usuário é criada uma única vez em um dos DCs e é replicada para todos
os DCs do domínio. Alguns cuidados devem ser tomados ao criar uma conta tais como:
toda pessoa que acessa a rede precisa obter sua própria conta e senha e estas não podem ser
compartilhadas.
O administrador pode restringir o acesso aos recursos da rede, definindo quais
usuários podem ter acesso e qual o nível de sua permissão como leitura, leitura e alteração
e leitura e exclusão.
Para criar o nome de logon são definidas regras-padrão, pois no caso de nomes
iguais há uma maneira de diferenciá-lo. Como por exemplo, os nomes de usuários do
domínio possuírem no máximo 20 letras e não terem caracteres especiais.
3.4.2. Contas de Computador
A conta do computador pode ser criada antes da instalação do computador ser
adicionada ao domínio ou no momento em que o computador é configurado para fazer parte
do domínio [BAT03].
O computador na rede tem que ter o mesmo nome da conta do Active Directory.
Por exemplo, se o nome de um microcomputador for micro01, então a conta no Active
Directory também será micro01.
3.4.3. Grupos de Usuários
Um grupo de usuários é uma coletânea de contas que tem o papel de facilitar a
administração e permitir acesso aos recursos como pastas e impressoras compartilhadas,
dentre outros. Ao criar um grupo chamado contabilidade, por exemplo, todo o
departamento contábil terá que fazer parte do grupo como mostra na figura 3.5.
46
Figura 3.5 O usuário herda as permissões do grupo
Para se trabalhar com grupos de usuários é preciso levar em consideração os
seguintes fatores:
 Os membros de um grupo herdam as permissões atribuídas ao grupo;
 Os usuários podem ser membros de vários grupos;
 Grupos podem ser membros de outros grupos;
 Contas de computadores podem ser membros de um grupo.
Os grupos no Windows Server 2003 podem ser classificados em tipo, escopo e
visibilidade.
Os grupos de usuários que são classificados como tipo e dividem-se em outros dois
sub-tipos: grupos de segurança e distribuição.
O grupo de segurança é utilizado para permitir acesso aos recursos
da rede,
enquanto que o grupo da distribuição é utilizado em conjunto com servidores de e-mail para
o envio de mensagens a um grupo de uma só vez.
O escopo de um grupo é utilizado de diferentes maneiras para atribuição de
permissões. Ele determina partes de um domínio ou de uma floresta de domínios. Existem
três escopos de grupos de usuários:
47
 Grupo Universal: podem ser utilizados em qualquer parte de um domínio ou de
uma árvore de domínios e podem conter como membros, grupos e usuários de
quaisquer domínios. Ele é usado em diversos grupos globais, onde cria um
grupo universal e adiciona os diversos grupos globais como membros do
mesmo;
 Grupo global: permite acessar recursos de qualquer domínio. Ele é utilizado
para gerenciamento de objetos que sofrem alterações diariamente como contas
de usuários e computadores. As alterações são replicadas somente dentro do
domínio onde foi criado o grupo e não através de toda árvore de domínios;
 Grupos locais de domínios: tem permissão para acessar recursos somente dos
domínios onde foi elaborado, porém podem ter como membros grupos de
usuários de outros domínios.
3.5. Permissões em Múltiplos Domínios
A figura 3.6 mostra um diagrama formado por um conjunto de várias árvores de
domínios que serão explicadas no item 3.5.1.
Figura 3.6 Uma árvore de domínios
48
3.5.1. Árvore de Sete domínios
A figura 3.6 mostra um diagrama de uma árvore de sete domínios. O domínio
principal é o root, nome do DNS conhecido como abc.com. O domínio é dividido em dois
nomes que são: DNS que é o nome completo que seria abc.com e o outro é NETBIOS, este
é composto pela primeira parte do nome abc.
Cada domínio filho herda o nome completo do domínio pai:
 Domínio root é o principal abc.com;
 Domínios de segundo nível filhos contêm no nome vendas abc.com
e
prod.abc.com;
 O terceiro nível filhos do domínio estabelece o nome do domínio de segundo
nível – filhos de vendas euro.vendas.abc.com, ásia.vendas.com e filhos do prod
amer.proa.abc.com.
3.6. Nomenclaturas de Objetivos no Domínio
O LDAP (Lightweight Directory Access Protocol) é o protocolo que fornece
mecanismos de acesso aos objetos do Active Directory. Ele define um sistema de nomeação
hierárquico, o qual é possível referenciar qualquer objeto do Active Directory. O nome
desse protocolo é formado pelo caminho completo do objeto, começando do domínio raiz
até o objeto referenciado. Existem abreviações dessas nomenclaturas:
 cn (commonName): é o nome da conta de um usuário, grupo ou computador;
 ou: (organizationalUnitName): referência uma unidade organizacional;
 dc (domainComponent): nome do domínio;
 o (organizationName): nome da organização que é representado pelo domínio
root;
 c (Country): identificação do país, não é muito utilizado.
49
Um exemplo para formar o caminho LDAP utilizando essas abreviaturas seria
cn=jsilva, ou=contabilidade, dc=vendas, dc=abc.com. Este nome representa o usuário
jsilva, cuja conta está contida na unidade organizacional contabilidade, no domínio
vendas.abc.com [BAT03].
O UNC (Universal Naming Convention) é usado para localizar recursos em um
servidor. Esse recurso é identificado pelo nome do Servidor, separado do nome do recurso
por uma barra. Um exemplo é \\Server01.vendas.abc.com/documentos, onde o caminho
para a pasta compartilhada com o nome “documentos”, no Servidor Server01 do domínio
vendas.abc. Pode utilizar o endereço IP do servidor ao invés do nome do DNS, por
exemplo, \\10.10.30.5/documentos. Também é usada a nomenclatura simplificada de
identificação do usuário como vendas.abc.com/jsilva, outra forma de referenciar seria
utilizar apenas o nome NETBIOS do domínio por exemplo vendas/jsilva.
3.7. Estudo de Caso 01: Exemplo de Uso de Grupos Universais
Este primeiro caso de uso utiliza a árvore do domínio indicada na figura 3.6. É
considerado que todo o domínio utiliza o Windows Server 2003 [BAT03].
No servidor srv01.abc.com existe uma aplicação web. Este aplicativo necessita da
autenticação do usuário antes de ter acesso à aplicação. Desta forma, será possível a criação
de logs no servidor para as ações realizadas pelos usuários. Em cada domínio, apenas
alguns grupos de usuários, tem permissão de acesso a este software.
Neste caso, os domínios utilizam o Windows Server 2003. Isso implica que podem
ser adotados o uso de grupos universais. Portanto, é possível combinar grupos universais e
grupos globais que possibilitam a resolução deste problema. Em cada domínio, cria-se um
grupo global e adiciona-se os usuários que terão permissão de acesso para a aplicação.
No domínio abc.com, cria-se um grupo universal que terá como membros, o grupo
global de cada domínio, que possui os usuários que devem ter a permissão criada
anteriormente. No servidor srv01.abc.com deve-se atribuir as permissões necessárias ao
grupo universal criado no domínio abc.com (que indiretamente contém outros grupos
universal de outros domínios).
50
Desta forma, o grupo universal do domínio abc.com permitirá que seus membros
(grupos universais dos domínios cadastrados) herdem suas permissões, que por sua vez,
possibilita que cada usuário cadastrado no grupo universal de cada domínio inserido possa
herdar também suas permissões. Desta forma, a administração fica mais simples de ser
gerenciada.
3.8. Estudo de Caso 02: Analisando o Escopo de Grupo em relação a Membros e
permissões de Acesso
Será utilizada a árvore de domínio da figura 3.6 para o estudo deste caso. No
domínio vendas.abc.com, cria-se um grupo global denominado “AcessoFinança”. Neste
caso, este grupo pode conter apenas usuários e outros grupos globais do próprio domínio
vendas.abc.com. Os grupos globais só podem conter membros usuários e grupos globais de
seu próprio domínio [BAT03].
Um grupo global pode receber permissão de acesso de algum recurso em qualquer
domínio que está na árvore de domínios. Criando um grupo global (AcessoFinança) no
domínio vendas.abc.com. Caso o domínio vendas.abc.com necessite da pasta que está em
prod.abc.com, deve-se incluir o grupo local do domínio vendas.abc.com como um membro
do grupo local do domínio prod.abc.com e atribuir suas respectivas permissões para este
grupo. Assim, o problema seria solucionado.
Suponha
que
exista
um
grupo
chamado
UsuáriosMemo
no
domínio
vendas.abc.com. Neste caso pode-se, por exemplo, incluir um grupo global do domínio
prod.abc.com como membro de um grupo local do domínio vendas.abc.com. e adicionar
usuários desse grutp.
O grupo UsuáriosMemo só pode ter permissões de acesso no domínio
vendas.abc.com, pois as permissões só podem ser editadas em servidores do seu próprio
domínio no qual foi criado.
Supondo que o Grupo Universal AcessoWeb do domínio abc.com foi criado, é
possível ter usuários e grupos de todos os domínios devido ao fato dele ser um grupo
universal e qualquer domínio pode receber permissão, visto que este grupo é universal.
51
3.9. Unidades Organizacionais
A Unidade Organizacional foi introduzido no Windows 2000 Server juntamente com
o Active Directory. No Windows NT Server 4.0 não é possível atribuir permissões a uma
parte do domínio, ou atribuir permissões para todo o domínio ou não atribuir para ninguém.
Um exemplo seria uma empresa composta por filiais em RS, SC, PR e SP que estão num
único domínio. No Windows NT Server 4.0 não é possível atribuir permissão de
administrador somente na filial SC. Case seja designada permissão de administrador para
um usuário em SC ele terá permissão não só no domínio SC, mas também em outros
servidores de outros estados [BAT03].
A partir do Windows 2000 Server este problema diminuiu devido a criação das OUs
(Organizacional Unit - Unidade Organizacional) num mesmo domínio. Dentro desta OU
são inseridos as contas de usuários e computadores, de acordo com critérios geográficos ou
funcionais.
Na figura 3.7 é representado a divisão do domínio região-01.abc.com.br em OUs.
Pode-se criar uma OU dentro de outras OUs. Isto facilita a descentralização das tarefas
administrativas e o gerenciamento das políticas de segurança através do GPO.
Figura 3.7 Divisão de um domínio em OUs.
52
3.10. Relações de Confiança e Florestas
Através da relação de confiança entre domínios é possível efetuar um logon mesmo
que esteja utilizando um micro em domínio diferente onde foi cadastrado.
3.10.1. Relações de Confiança no Windows NT Server 4.0
No Windows NT Server 4.0, as relações de confiança eram definidas por três
características:
 Relações unilaterais: o domínio A confia no B e o B não necessariamente confia
no domínio A. Para haver confiança entre os dois domínios, deve-se criar duas
relações: do domínio A para o B e do domínio B para o A. O exemplo da figura
3.8, ilustra uma relação entre os dois domínios. No domínio A, é possível
atribuir permissões de acessos em contas do domínio B. Mas no domínio B, não
é possível atribuir permissões em contas do domínio A;
Figura 3.8 Relação de confiança unilateral.
 Não são transitivas: se o domínio A confia no B e o B confia no C, não implica
que o domínio A confie no domínio C;
 As relações de confianças são criadas manualmente pelos administradores de
cada domínio. A figura 3.9, foi obtida do Kit do Windows 2000 Server e mostra
53
um exemplo de relação de confiança entre os cinco domínios de forma
unidirecionais e não transitiva no Windows NT Server 4.0.
Figura 3.9 Relação de confiança unidirecionais, não transitivas do Windows NT Server 4.0
3.10.2. Relações de Confiança no Windows Server 2003
Tanto no Windows Server 2003 quanto no Windows 2000 Server as relações de
confiança são automaticamente criadas entre os domínios. Ao invés das relações
unidirecionais que ocorre no NT Server 4.0, no Windows Server 2003 as relações são
bidirecionais. Se o domínio A confia em B, isso implica que B também confia em A. Na
figura 3.10, é exibido uma relação bidirecional e transitiva entre domínios [BAT03].
Figura 3.10 Relação de confiança bidirecional e transitiva do Windows Server 2003
54
3.10.3. Tipos Padrão de Relações de Confiança
O Windows Server 2003 caracteriza-se pelas relações de confiança transitiva
bidirecional, que podem ser criadas de forma automatizada, que podem ser criadas nos
seguintes contextos:
 Transitiva bidirecional entre um domínio pai e um domínio filho: o domínio pai
ao criar um domínio filho, já estabelece uma relação de confiança bidirecional e
transitiva entre eles automaticamente;
 Transitiva bidirecional entre uma árvore de domínios e o domínio root de uma
floresta: é possível estabelecer uma relação de confiança entre várias árvores de
forma automáticas, assim criando uma floresta de árvores.
3.10.4. Outros Tipos de Relações de Confiança
Existem, porém, outras situações que exigem outros tipos de relações de confiança
para relacionar com outras árvores de domínios. Essas novas relações seriam:
 Externa, não transitiva, unidirecional ou bidirecional: esta relação é criada com
um domínio externo, que adota o Windows NT Server 4.0 ou domínio com
Windows 2000 Server/Windows Server 2003 que está numa outra floresta. Se o
domínio possui o Windows NT Server 4.0 a relação é unidirecional, caso
contrário é bidirecional. A figura 3.11 exemplifica este tipo de relação;
55
Figura 3.11 Relação de confiança externa – unidirecional ou bidirecional
 Real, transitiva ou não transitiva, unidirecional ou bidirecional: esta relação é
usada em domínios que possuem Windows Server 2003 com outros domínios
que usa o protocolo Kerberos como, por exemplo, o Linux. Este protocolo
fornece serviço de autenticação em domínios com Windows Server
2003/Windows 2000 Server. Este tipo de relacionamento pode ser usado para
que contas de um domínio baseado em Linux possa receber recursos e
permissões em domínios baseado no Windows Server 2003;
 Entre florestas, transitiva, unidirecional ou bidirecional: este relacionamento é
criado entre os root de duas florestas. Caso a relação for bidirecional, ambas as
florestas podem acessar os recursos da outra. Este caso é utilizado geralmente
após fusões de empresas e necessitam acessar recursos do novo domínio que foi
integrado;
 Shortcut, transitiva, unidirecional ou bidirecional: este relacionamento como
mostrado na figura 3.12, melhora o tempo de logon entre dois domínios, em
uma floresta. O objetivo desta relação é otimizar o tempo de logon. Um usuário
do domínio B tem que acessar recursos do domínio D. Primeiramente, é
necessário a autenticação do usuário para acessar tais recursos. Caso não existir
56
a relação shortcut entre B e D, o Windows Server 2003, percorre o caminho de
relações na árvore (de B para A e de A para D). Utilizando o shortcut entre B e
D, é utilizado o caminho que liga diretamente B e D sem passar pelo root da
árvore, possibilitando a redução do tempo de autenticação dos usuários do
domínio B e D.
Figura 3.12 Relação de confiança do tipo Shortcut (atalho).
3.11. Servidores de Catálogo Global (Global Catalogs)
O Active Directory do Windows Server 2003 possui uma base de informações sobre
objetos de todos os domínios, que permite aos usuários de um domínio acessar recursos em
servidores de outro domínio ou floresta. É nos DCs que são armazenados esta base de
informações e configurados como servidores de catálogo global (Global Catalog Servers).
O servidor de catálogo global armazena uma cópia de todos os objetos do Active
Directory, os domínios em uma ou mais árvores de domínios de uma floresta, uma cópia
completa de todos os objetos do próprio domínio do servidor e uma cópia parcial de todos
os objetos dos demais domínios. A figura 3.13 ilustra esta estrutura.
57
Figura 3.13 Informações armazenadas em um Servidor de Catalogo Global.
Um DC habilitado como servidor de catálogo global contém além da
cópia
completa dos objetos do seu próprio domínio, cópias parciais de todos os objetos dos
demais domínios. Isto significa que o servidor de catálogo global não mantém cópia de
todos os objetos e não possui a cópia de todos os atributos de um objeto de outro domínio.
Estes atributos copiados são os mais utilizados para a realização de pesquisas no Active
Directory e definidos pelo schema. O schema é como se fosse à definição da estrutura do
banco de dados do Active Directory [BAT03].
Com o uso de atributos no catálogo global, o Windows Server 2003 aumenta o
desempenho das pesquisas no Active Direcotry, impedindo a pesquisa de percorrer a rede e
gerar um excessivo tráfego. Entretanto, a manutenção do catálogo global em todos os
servidores de catálogo global acarretará em um tráfego de replicação.
3.11.1. Principais Funções Desempenhadas por um Servidor de Catálogo Global
As principais funções de um Servidor de Catálogo Global são:
58
 Pesquisa de objetos no Active Directory: o usuário pode pesquisar objetos em
todos os domínios de uma floresta, uma vez que a pesquisa é feita no servidor de
catálogo global mais próximo do usuário, no seu próprio domínio e não no
servidor de destino, melhorando a velocidade das pesquisas;
 Autenticação de nomes de usuários de outro domínio: ocorre quando o DC que
autenticou o usuário não tem informações sobre a referida conta;
 Disponibiliza informações sobre os membros dos grupos universais, em um
ambiente com múltiplos domínios: as informações sobre os membros dos grupos
Universais são armazenadas somente nos servidores de catálogo global. É
recomendável não inserir usuários individuais, apenas grupos porque qualquer
alteração no usuário implica que todas as informações do grupo universal serão
replicadas entre todos os servidores de catálogo global. Existe uma exceção para
a conta do usuário pertencente ao grupo administradores do domínio (Domain
Admins).
 Validação de referências a objetos em uma floresta: os DCs utilizam o catálogo
global para validar referências a objetos de outros domínios de uma floresta.
Caso isso não existisse, essa validação teria que ser feita por um DC do domínio
do objeto referenciado e ocasionaria tráfego na rede.
3.11.2. Replicação de Informações entre os Servidores de Catálogo Global
Todas as alterações efetuadas nos diversos objetos da rede são replicadas entre os
vários servidores de catálogo global de todos os domínios para que estejam sempre
atualizados. A estrutura de replicação é criada e gerenciada automaticamente por um
processo do Active Directory, conhecido como KCC (Knowledge ConsistencyChecker).
Este é responsável por determinar a melhor “topologia” de replicação do Global Catalog
impedindo sobrecarregar o tráfego na rede.
No catálogo global estão armazenados os grupos universais e informações sobre os
seus membros. Os grupos globais e locais são apenas listados e o tamanho do catálogo
59
global reduzido, bem como o tráfego de replicação. É aconselhável que utilize grupos
globais e locais para definição de permissões a recursos e objetos que sofrerão alterações
constantes.
3.12. Sites, Replicação do Active Directory e Estrutura Física da Rede
3.12.1. Introdução e Definição de Sites
O site no Active Directory é utilizado para representar a divisão física da rede e é
importante para a implementação de um sistema de replicação entre os DCs de um
domínio.
As informações sobre a topologia da rede contidas nos objetos site e link entre sites
são utilizadas pelo Active Directory para a criação de configurações de replicação
otimizadas, sempre procurando reduzir o máximo possível o tráfego através dos links de
WAN [BAT03].
Um site é um conjunto de uma ou mais redes locais conectadas por um barramento
de alta velocidade.
3.12.2. Motivação Para Uso de Sites Pelo Active Directory
O Active Diretory possui dois motivos para utilizar sites e são eles:
 Replicação: o Active Directory procura controlar a necessidade de manter os
dados atualizados em todos os DCs e otimizar o volume de tráfego devido a
replicação. A replicação entre DCs de um mesmo site ocorre com mais
freqüência do que em sites diferentes. Isto ocorre porque os DCs de um mesmo
site estão dentro de uma mesma rede local, conectados por um barramento de
alta velocidade permitindo a replicação mais freqüentemente;
 Autenticação: as informações sobre sites auxilia o Active Directory a fazer
autenticações de usuários. Isto se houver um DC no site do usuário que na
maioria das vezes é utilizado para autenticar o logon do usuário no domínio.
60
3.12.3. Definição de Sites Utilizando Sub-redes
Um site é definido por uma ou mais sub-redes. Uma rede é definida pelo endereço
de rede e a máscara de sub-rede. A figura 3.14 ilustra a utilização de uma sub-rede:
Figura 3.14 Definição de um site.
O Active Directory pode criar objetos do tipo sub-rede e do tipo site utilizando o
console Active DirectorySites and Services. Com a criação dos objetos do tipo sub-rede, é
criado um objeto do tipo site, associando uma ou mais sub-redes como o objeto site.
3.12.4. Relação entre Sites e domínios
O domínio representa as divisões lógicas da rede e do Active Directory e os sites
representam a estrutura física da rede. Esta separação traz alguns benefícios [BAT03]:
 É possível manter a estrutura lógica da rede, independente da estrutura física,
podendo haver computadores de mais de um domínio no mesmo site ou mais de
um site num mesmo domínio e assim por diante;
 A nomeação dos domínios é independente da estrutura física/geográfica da rede,
o que facilita alterações na estrutura física, sem que isso implique uma
reestruturação lógica de toda a rede;
61
 Pode-se instalar DCs de múltiplos domínios no mesmo site ou colocar DCs do
mesmo domínio em diferentes sites ou uma combinação destas duas
configurações, conforme mostra a figura 3.15.
Figura 3.15 Flexibilidade na definição de sites e Domínios.
3.12.5. Replicação no Active Directory
As alterações efetuadas em um DC devem ser replicadas para todos os demais DCs
do domínio de maneira que todos os DCs tenham a mesma base de informações do Active
Directory.
O Active Directory procura determinar a melhor configuração de replicação,
procurando obter menos tempo nas atualizações dos DCs do domínio, balanceando o
tráfego na rede e tentando impedir com que a replicação não venha sobrecarregar aos links
de WAN.
A configuração de replicação é feita pelo processo conhecido como KCC
(Knowledge Consistency Checker) que roda em todos os DCs. O KCC automaticamente
62
identifica a melhor configuração de replicação, com base nas configurações de sites do
Active Directory.
3.12.6. Replicação Dentro do Mesmo Site – Intrasite Replication
O KCC trata a replicação dentro do mesmo site de maneira diferente da replicação
entre sites, devido a diferença da velocidade de conexão dentro do mesmo site e entre sites.
Ele define a topologia de replicação no formato de um anel bidirecional entre os vários DCs
dentro de um mesmo site.
A replicação intrasite é otimizada para velocidade e as atualizações feitas no DC do
site são automaticamente repassadas para os demais DCs com base em um mecanismo de
notificação. As informações de replicação dentro do site não são compactadas,
diferentemente do que acontece com a replicação entre sites diferentes, onde toda a
informação de replicação é compactada antes de ser enviada através do link de WAN
[BAT03].
Para configurar a replicação intrasite, o KCC rodando em cada DC do site é baseada
em um anel bidirecional. O KCC tenta criar, pelo menos, duas conexões de replicação entre
cada DC e procura evitar que haja mais do que três DCs ou hops no caminho entre dois
servidores quaisquer. Para isso a topologia de replicação pode incluir conexões do tipo
atalho entre dois DCs.
A replicação intrasite ocorre quando há alterações feitas em um objeto do Active
Directory em um dos DCs do site e tem impacto direto nos usuários localizados no próprio
site . Por padrão, o DC onde foi feita a alteração aguarda 15 segundos e, então, envia uma
notificação de atualização para o seu parceiro de replicação mais próximo, se houverem
mais parceiros, as notificações subseqüentes serão enviadas em intervalos de 3 segundos.
Após receber uma notificação de alteração, um parceiro de replicação envia uma requisição
de atualização do Active Directory para o DC onde foram feitas as alterações. O DC onde
foi feita a alteração responde a requisição feita pelo seu parceiro de replicação, enviando os
dados sobre a alteração.
63
3.12.7. Replicação Entre Sites
O Active Directory trata a replicação entre sites (intersites) de maneira semelhante
a replicação dentro do mesmo site (intrasite), pois a velocidade de conexão entre sites
geralmente é bem menor do que dentro do mesmo site.
As informações de replicação são compactadas antes de serem enviados através dos
links de WAN para reduzir o tráfego. A topologia de replicação intersites é criada pelo
KCC. Em cada site um DC é o responsável pela definição da topologia de replicação
intersites .
A replicação intersites ocorre de acordo com um agendamento prévio e não
instantaneamente como no caso da replicação intersites . Por padrão, a replicação entre
sites ocorre em cada link a cada três horas sendo que o administrador pode alterar esse
agendamento.
3.13. Schema do Active Directory
O schema é como se fosse a definição da estrutura do banco de dados do Active
Directory [BAT03]. A definição de cada objeto de cada atributo esta contida no schema.
O schema é feito de objetos, classes e atributos que podem ser modificados de acordo
com a necessidade da empresa. Qualquer alteração no schema deve ser planejada, pois
podem afetar toda a árvore de domínios. Estes devem utilizar o mesmo schema.
3.13.1. Definição dos Objetos do Active Directory no Schema
No schema, uma classe de objetos representam uma categoria de objetos do Active
Directory. Nela está contida uma lista de atributos que podem ser utilizados para descrever
um objeto da referida classe. Quando um novo usuário é criado no Active Directory, ele se
torna uma nova instância da classe user do schema e as informações digitadas sobre o
usuário tornam-se instâncias dos atributos definidos na classe user.
64
3.13.2. Armazenamento do Schema no Active Directory
O schema é armazenado nas partições de schema do Active Directory, onde é
replicada para os DCs da floresta e somente no DC configurado como schema Master é que
o Administrador poderá fazer alterações no schema.
3.13.3. Cache do Schema
Cada DC contém uma copia do schema na memória do Servidor. A versão
armazenada no Cache do Servidor é automaticamente atualizado cada vez que o schema é
atualizado.
3.14. Níveis de Funcionalidade de um domínio
O Windows Server 2003 tem diferentes níveis de funcionalidade com base nos tipos
de DCs instalados na rede. Foi introduzido o nível de funcionalidade da floresta, o que não
existia no Windows 2000 Server.
O nível de funcionalidade do domínio determina quais características estão ou não
disponíveis. No Windows Server 2003 existem quatro níveis de funcionalidade: O Windows
2000 Mixed, Windows 2000 Native, Windows Server 2003 Interim e Windows Server 2003.
Por padrão é selecionado o nível Windows 2000 Mixed.
Existem três níveis de funcionalidade da floresta disponíveis no Windows Server
2003: Windows 2000, Windows Server 2003 Interim e Windows Server 2003. Por padrão é
selecionado o nível Windows 2000. Para que o nível de funcionalidade da floresta seja
configurado para o Windows Server 2003, todos os DCs de todos os domínios devem estar
com o Windows Server 2003 instalados.
Algumas versões do Windows que podem ser utilizadas nos DCs, para cada um dos
modos de funcionalidade de domínio:
 Windows 2000 Mixed: suporta DCs com Windows NT Server 4.0, Windows
2000 Server ou Windows Server 2003;
65
 Windows 2000 Native: suporta DCs com Windows 2000 Server ou com o
Windows 2003 Server;
 Windows Server 2003 Interim: suporta DCs com o NT Server 4.0 ou com o
Windows Server 2003;.
 Windows Server 2003: somente DCs com o Windows Server 2003.
66
CAPÍTULO 4 - CONFIGURAÇÃO DE UMA REDE TCP/IP NO
WINDOWS SERVER 2003
Neste Capítulo será descrito a instalação e configuração de alguns componentes do
Windows Server 2003.
Foram utilizados dois computadores pessoais, um funcionando como servidor e o
outro como cliente. A conexão entre eles foi feita através de um switch. Essa instalação foi
feita em uma pequena empresa fictícia cujo nome é MRRP.
Todos os equipamentos usados são de propriedade dos próprios autores deste
projeto.
Os serviços que foram instalados e configurados são: o Active Directory, DNS, IIS,
VPN, FTP, DHCP, cadastro de usuários e grupos, servidor de impressão e e-mail. Vários
testes foram realizados para verificar se todos estes componentes realmente estão
funcionando.
4.1. Hardware e software utilizados
A empresa MRRP possui dois micro-computadores que se localizam em uma
mesma LAN e que se comunicam através do switch modelo 5SW-0508TX5-PORT 10/100
Mbps da marca Level one. Na figura 4.1 é ilustrado a topologia desta rede (Intranet).
67
Figura 4.1 Topologia da rede.
A MRRP também possui uma impressora HP Deskjet 3845.
O servidor da empresa é um computador que possui um processador AMD Athlon
(tm) 892 MHz, 256 MB de memória RAM, HD de 80 GB e sistema operacional Windows
Server 2003 Enterprise Edition.
O cliente possui um processador Intel (R) Celerom (R) M CPU 440 @ 1.86 GHz,
memória RAM de 512, HD de 80 GB e sistema operacional Windows XP Professional
Edition.
4.2. Instalação do Active Directory
Ao instalar o Active Directory o servidor é transformado em um DC e um novo
domínio é criado. Para a instalação são necessários dois requisitos: ter um volume
formatado com NTFS (New Technology File System) para gravar os arquivos do Active
Directory e um servidor DNS.
68
O assistente de instalação do Active Directory é iniciado quando o comando
dcpromo é executado no menu Iniciar. A figura 4.2 apresenta dois tipos de controladores
de domínio. A opção escolhida deve-se ao fato de ser a primeira vez que é criado um DC e
um domínio, enquanto que a outra é usada para instalação de um DC adicional para um
domínio já existente.
Figura 4.2 Tipo de Controlador de domínio
Para a criação de um novo domínio é necessário indicar durante a instalação qual o
tipo de domínio útil para a empresa. A figura 4.3 mostra as três opções existentes:
 Domínio em uma nova floresta: usado para criar o primeiro domínio da
empresa. Esta foi a alternativa escolhida nesse trabalho;
 Domínio filho em uma árvore de domínio existente: utilizado se já existir uma
árvore de domínios;
 Árvore de domínio em uma floresta existente: no caso de necessidade de uma
nova árvore de domínios. Esta ficará integrada as árvores existentes formando
uma floresta.
69
Figura 4.3 Criar novo domínio
As próximas fases estão relacionadas ao DNS. Este serviço é instalado pelo próprio
assistente de instalação do Active Directory.
A figura 4.4 mostra a criação de um novo nome de domínio, que é o mesmo nome
do DNS. No caso da empresa MRRP o domínio é MRRP.com, que é o nome da empresa
fictícia desse projeto.
Figura 4.4 Novo nome de domínio
70
O NetBIOS é considerado importante por questões de compatibilidade, para
aplicações e clientes antigos que não utilizam o DNS e sim o WINS (Windows Internet
Name Services) [BAT03]. O nome do NetBIOS é especificado na figura 4.5.
Figura 4.5 Nome do domínio NetBIOS.
Devem-se definir as pastas de banco de dados e log, que são onde ficam as
informações armazenadas sobre o Active Directory. O assistente sugere por padrão a pasta
NTDS que fica dentro do próprio Windows como mostra a figura 4.6.
Figura 4.6 Pastas do banco de dados e log.
71
A pasta a ser compartilhada como volume do sistema é a SYSVOL. Ela possui
informações essenciais para o funcionamento do Active Directory. O local especificado é
ilustrado na figura 4.7, que é o local padrão.
Figura 4.7 Volume do sistema compartilhado.
O sistema exige que seja cadastrada uma senha para o modo de restauração do
Active Directory (figura 4.8). Recomenda-se por razões de segurança que essa senha seja
exclusiva para tal finalidade, porém isso não é obrigatório podendo ser a mesma senha
usada na conta do administrador.
Figura 4.8 Senha do administrador do modo de restauração do serviço de diretório.
72
Ao final será apresentado um resumo dos dados da instalação do Active Directory.
O assistente valida as alterações realizadas até então para finalizar a instalação do Active
Directory e ativação do domínio MRRP. A partir desse ponto será possível fazer o logon
com o domínio MRRP.
4.3. DNS
Todas as informações sobre DNS e domínios são armazenadas em zonas. Estas
podem ser de dois tipos:
 Diretas: contêm dados de resolução de nomes para endereço IP;
 Reversa: o DNS faz uma pesquisa nesta zona e através do endereço IP encontra
o nome associado a ele.
Neste trabalho foi criada uma zona primária direta e reversa.
Para que o assistente crie uma nova zona deve-se iniciar o console do DNS que se
encontra em ferramentas administrativas dentro do menu iniciar. Ao criar a nova zona
direta escolhe-se o tipo desejado, que pode ser primária, secundária ou stub.
A opção escolhida como mostra a figura 4.9 foi devido ao fato de não existir
nenhuma outra zona. É a primeira que vai conter as informações do domínio.
A zona secundária armazena os registros e recebe as atualizações da zona primária,
por isso essa opção somente será selecionada após a criação da zona primária.
73
Figura 4.9 Criação de uma zona primária integrada com o Active Directory.
O nome da zona direta foi escolhido com base no nome do domínio da empresa
fictícia deste projeto, que é MRRP, como mostra a figura 4.10.
Figura 4.10 Definindo o nome da zona.
74
A figura 4.11 apresenta os tipos de atualização dinâmica que podem ser aceitos pela
zona. Foram marcadas apenas as atualizações seguras, pois a zona está integrada ao Active
Directory.
Figura 4.11 Definindo o tipo de atualização dinâmica.
Ao concluir o assistente, a nova zona direta primária www.mrrp.com integrada ao
Active Directory será criada. Com isso, já é possível fazer o teste da resolução de nomes.
A zona reversa é criada da mesma forma que a direta. Mas é necessário informar a
identificação da rede (o endereço IP invertido). Assim é gerado automaticamente o nome da
zona reversa, conforme mostra a figura 4.12.
75
Figura 4.12 Nome da zona reversa.
Em cada zona ficam armazenados os registros do DNS. O SOA (Start of authority)
é o primeiro registro e o principal. Ele é criado no momento em que a zona direta é criada.
O registro SOA define muitas características de uma zona. A figura 4.13 mostra os
campos deste registro que são preenchidos por valores padrões definidos pelo assistente de
criação da zona.
O servidor primário é onde se encontra a zona primária. O responsável é o e-mail do
administrador. O intervalo de atualização é o tempo para o DNS verificar as atualizações na
zona secundária, se elas não estiverem prontas ele repete esta verificação no tempo
estabelecido no intervalo de repetição. Além disso, contém um tempo para as informações
mantidas na zona secundária expirarem e seu tempo de vida.
76
Figura 4.13 O registro SOA para o domínio MRRP.com.
Os demais registros como A, CNAME (Canonical Name), HINFO (Host
Information), MX (Mail exchanger) e outros, podem ser criados de acordo com a figura
4.14.
Figura 4.14 Criação de um novo registro.
77
Neste trabalho foram criados três registros CNAME (www, ftp, vpn). Este registro
mapeia um alias (apelido) ou nome DNS alternativo. Por exemplo, mayserver.mrrp.com
(servidor web da empresa MRRP) para www.mrrp.com. Isto é ilustrado na figura 4.15.
Figura 4.15 Criando um registro CNAME.
4.4. Contas de Usuários e Grupos
As contas de usuários e grupos são criadas no Active Directory, no servidor
configurado como DC do domínio que é onde são armazenadas todas as informações
referentes às contas e grupos.
O DC verifica se as informações de login e senha que são digitadas pelo usuário
estão corretas. Se estiver é liberado o logon e autenticado o usuário.
78
A criação de uma conta de usuário no domínio é feita na console Usuários e
Computadores do Active Directory que fica dentro de ferramentas administrativas no menu
Iniciar. Esse processo está ilustrado na figura 4.16.
Figura 4.16 Usuários e Computadores do Active Directory.
Deve-se informar o nome, sobrenome, iniciais, logon do usuário e logon do usuário
anterior ao Windows 2000 (usado para fazer logon em versões mais antigas do Windows).
Por padrão estes nomes são iguais como mostra a figura 4.17.
Figura 4.17 Criando a conta mayarakris.
79
A senha deve ser bem definida. Assim como os seus requisitos de complexidade. O
administrador determina se o usuário pode ou não alterar sua própria senha, quando ela vai
expirar, se a conta esta desativada ou se é preciso alterar a senha quando realizar o próximo
logon (figura 4.18).
Figura 4.18 Definindo a senha e as opções da nova conta.
Ao instalar o Active Directory são definidas algumas políticas de segurança
relacionadas às senhas dos usuários. Estas valem em todo o domínio. São alguns exemplos:
a senha ter no mínimo sete caracteres, expirar a cada 42 dias e quando o usuário for trocar
não poder utilizar as 24 últimas senhas usadas.
Podem-se configurar informações gerais e de endereços para a conta de usuário
criada. Por exemplo, adicionar telefone, e-mails, sites, informações da empresa entre
outros.
Depois de criada a conta do usuário é possível que ele realize logon e receba
permissões para acessar os recursos de qualquer computador do domínio.
A criação de um grupo de usuário é feita da mesma forma que a conta, na console
mostrada na figura 4.16. Porém a opção que deve ser selecionada é a de Criar novo grupo.
80
Deve-se informar o nome do grupo e assim automaticamente o campo da versão
anterior ao Windows 2000 é preenchido.
O escopo escolhido foi global, pois recebe
permissões de recursos (impressoras, pastas compartilhadas entre outros) e o tipo de
segurança permite atribuir permissões de acesso aos recursos da rede. Isto é mostrado na
figura 4.19.
A empresa MRRP utiliza apenas um grupo chamado administração.
Figura 4.19 Criando um grupo de segurança com escopo global.
É possível inserir uma descrição, o e-mail do responsável pelo grupo, comentários e
adicionar membros.
A adição de membros ao grupo é feita na opção propriedades na guia Membros.
Para isso é necessário escolher o tipo de objeto (no caso usuários) e seu local, que é o
domínio onde se encontram as contas e grupos de usuários. Devem-se informar os nomes
dos usuários (figura 4.20).
81
Figura 4.20 Adicionar usuários ao grupo.
A figura 4.21 mostra os membros que foram inseridos no grupo administração.
.
Figura 4.21 Membros do grupo administração.
4.5. Sistema de impressão
O sistema de impressão possibilita que o administrador instale a mesma impressora
duas ou mais vezes no mesmo servidor. Pode - se determinar o tipo de configuração para
cada funcionário através do compartilhamento da impressora.
82
O administrador pode controlar as impressões através de um log em relação aos
trabalhos que estão sendo impressos. Assim, é possível verificar o volume de impressão por
usuários, por impressoras e outros.
Na empresa MRRP foi instalada uma impressora do modelo HP Deskjet 3860 no
servidor. Quando o assistente termina a instalação este se transforma em um servidor de
impressão. Deve-se compartilhar a impressora para que o cliente possa acessá-la através da
rede.
Uma impressora em rede compartilhada pode ter tipos de permissões diferentes para
cada usuário e grupo. Quando um grupo recebe uma determinada permissão os seus
membros a herdam. Essa permissão determina quem poderá utilizar a impressora e o nível
de permissão.
Um funcionário pode estar associado a vários grupos diferentes. Se a permissão para
imprimir estiver negada, o usuário não poderá imprimir em nenhum dos grupos que
pertence, pois a negação tem precedência. Neste trabalho foi dada a permissão para que
todos os usuários utilizem à impressora.
Existem três níveis de permissão de segurança para impressão e são eles:
 Imprimir: permite que o usuário imprima documentos, pause e reinicie a
impressão somente dos seus documentos;
 Gerenciar documentos: tem o controle sobre todos os documentos enviados por
quaisquer usuários. Além disso, pode pausar reiniciar e continuar a impressão.
Essa permissão é dada para usuário que administra a impressora;
 Gerenciar impressora: tem permissão de imprimir, gerenciar documentos além
de cancelar impressões pendentes, alterar propriedades da impressora,
compartilhar e remover a impressora do sistema. Essa permissão é do
administrador, conforme mostra a figura 4.22.
83
Figura 4.22 Propriedade da impressora.
O Windows Server 2003 tem uma outra vantagem que é a impressão por meio da
Intranet ou Internet. Também pode-se definir permissões para cada usuários. A impressão
por meio da Internet é feita pelo protocolo IPP (Internet Printing Protocol). Esse protocolo
pode pré-instalado pelo fabricante da impressora ou pode, ainda, ser instalado no Windows
Server 2003 junto com o IIS, para gerenciar a impressora através de interface web.
Para acessar a impressora é necessário que o usuário informe o nome do servidor
(no caso MAYSERVER, servidor da empresa MRRP) na URL de seu navegador. Para que
o administrador tenha o controle de todas as impressões é exigido o logon e a senha dos
usuários, conforme ilustra as figuras 4.23 e 4.24.
84
Figura 4.23 Tela da logon.
Figura 4.24 Listagem das impressoras no navegador.
85
4.6. DHCP
O DHCP foi criado para facilitar a configuração e administração do protocolo
TCP/IP. Sem o DHCP é necessário, por exemplo, colocar em cada máquina da empresa
manualmente: endereço IP; máscara de sub-rede; default gateway, endereço IP de um ou
mais servidores DNS; endereço IP de um ou mais servidores WINS e sufixos de pesquisa
do DNS.
Caso haja alguma alteração em um destes campos, todas as máquinas da empresa
deverão ser obrigatoriamente alteradas de maneira manual, uma por uma. E ainda corre o
risco de algum técnico alterar um destes campos de maneira errônea, sendo quase que
impossível posteriormente descobrir o tal campo que está prejudicando o bom
funcionamento do computador.
O DHCP soluciona este problema de maneira centralizada e automatizada, bastando
apenas configurar uma máquina como servidor DHCP e o restante das máquinas serão
consideradas como computadores clientes do DHCP. Nas máquinas clientes, configurações
como número IP, máscara de sub-rede, default gateway (Gateway padrão), número IP de
um ou mais servidores DNS, número IP de um ou mais servidores WINS e sufixos de
pesquisa do DNS serão feitas de maneira transparente para o usuário da estação de trabalho.
Este protocolo funciona da seguinte maneira: durante a inicialização, a estação do
trabalho tenta descobrir um servidor DHCP na rede. Quando esta estação de trabalho
consegue encontrar e comunicar com servidor DHCP, este verifica os endereços IP
disponíveis para o escopo, seleciona um destes endereços e o reserva para esta máquina
registrando-o pelo endereço MAC (Medium Access Control) e o repassa para a máquina
cliente todas as configurações do protocolo TCP/IP.
Este processo de reservar endereço IP por certo período de tempo para um
determinado host é chamado de Lease Process. É necessário a cada período de tempo da
máquina cliente renová-lo para continuar a ter o endereço IP associado a ela, pois a não
renovação implica na perca do endereço IP daquela máquina podendo ser reutilizada em
outra estação de trabalho.
86
4.6.1. Instalando o servidor DHCP
O serviço DHCP, que não é padrão no Windows Server 2003 pode ser adicionado
em duas possibilidades:
 Primeira opção: através do Painel de Controle;
 Segunda opção: através da tela de gerenciamento do servidor do Active
Directory como é mostrado na figura 4.25, que foi a opção usada nesse trabalho.
Figura 4.25 Gerenciar servidor.
Para ter um servidor DHCP funcionando como distribuidor de endereços IP para
estação de trabalho e obtendo acesso a uma rede externa (Internet) ao mesmo tempo, é
necessário ter duas interfaces de rede. Uma delas será utilizada para receber dados vindo
pela Internet e a outra placa de rede será destinada para própria rede interna. É nela que o
87
cliente e o servidor DHCP se comunicarão entre si. A figura 4.26, alerta caso exista alguma
interface que não esteja instalada ou desconectada.
Figura 4.26 Mensagem alertando que é necessária outra interface de rede.
Durante a instalação deste serviço é solicitado o nome do novo escopo para o
DHCP. Isso está apresentado na figura 4.27
Figura 4.27 Nome do escopo DHCP.
Na figura 4.28 é solicitado que se forneça informações referentes ao intervalo de
endereços IP e máscara do escopo que está sendo criado. Destaca-se que o número de hosts
é automaticamente calculado de acordo com a máscara fornecida.
88
Figura 4.28 Intervalos de endereços IP no escopo DHCP.
Em caso de necessidade configurar uma sub-faixa de endereços IP dentro do escopo
informado para equipamentos que necessitem de IP estático, como por exemplo, impressora
de rede, servidor DNS dentre outros, esses endereços devem ser subtraídos do escopo de
endereçamento dinâmico, como visto na figura 4.29.
Figura 4.29 Adicionar exclusões no escopo DHCP.
89
O período de aluguel do endereço IP também deve ser definido, sendo que o padrão
é oito dias para uma determinada interface de rede, ocasião em que a interface deve renovar
o aluguel, sob pena de perder o direito de utilizado daquele endereço IP.
Caso esse tempo seja reduzido a chance de ter o uso de todos os endereços IP
fornecidos durante a criação do escopo utilizado diminui, pois como o tempo de concessão
é menor, o endereço IP ficará preso a uma determinada interface de rede por um intervalo
de tempo menor.
Pode-se escolher entre configurar o DHCP do servidor na instalação do serviço ou
posteriormente. Ao optar pela configuração durante a instalação do serviço, será solicitado
que forneça o endereço IP referente ao roteador ou Gateway que está conectado a interface
de rede no Windows Server 2003 como o mostrado o da figura 4.30.
Figura 4.30 Gateway Padrão.
90
Deve -se fornecer os dados referentes ao domínio que se encontra no servidor
DHCP, informando também o endereço IP da máquina que possui o DNS instalado e
configurado como mostrado na figura 4.31 que já adicionado o DNS da rede local.
Figura 4.31 Nomes de domínio e DNS.
O servidor WINS não será utilizado, porque o DNS já oferece o serviço de nomes.
O WINS é utilizado apenas em redes que possui máquinas com sistemas operacionais mais
antigos tais como Windows 9X e Windows Millennium.
4.6.2. Configurando Escopos no DHCP
As configurações pós-instalação são realizadas no console DHCP, que se encontra
no menu iniciar em ferramentas administrativas. Neste console, deve-se autorizar o novo
servidor DHCP para que possa fornecer endereço de IP para a rede local. Isso é feito por
motivo de segurança, pois o Active Directory não permitirá que qualquer servidor DHCP
além do que já foi configurado possa funcionar na rede. Após autorização, o mesmo já
estará pronto para atender as requisições de endereços IP dos clientes na rede interna.
91
Apenas usuários do grupo Administradores de Empresas e administrador (qualquer
conta que tenha a permissão de Administrador) podem efetuar quaisquer mudanças neste
servidor. Ao clicar no nome do servidor, será mostrado o escopo configurado neste servidor
que por sua vez, ao selecioná-lo, uma sub-árvore com outras opções surgirá.
 Em Pool de endereços é mostrada a faixa de endereços IP configurado para o
atual escopo;
 Em concessões ativas são mostradas todas as requisições de endereços IP que
foram aceitas e já concedida pelo servidor para os clientes. Como mostrado na
figura 4.32, que mostra além do endereço IP que foi fornecido, também é
mostrado o nome da máquina cliente, o vencimento da concessão entre outras
informações;
Figura 4.32 Concessões Ativas.
É possível configurar endereços IP estáticos para determinadas máquinas
previamente conhecidas através do seu endereço físico (MAC address) como é ilustrado na
figura 4.33.
92
Figura 4.33 Configuração de IP estático.
Existem duas opções de tipos que são: Somente BOOTP (Bootstrap Protocol ) e
“Somente DHCP”, que é o mais utilizado. Por questão de compatibilidade com versões
anteriores ao Windows, deve-se selecionar “Ambos”.
4.7. Acesso Remoto com o RRAS
O Windows Server 2003 permite criar um servidor de acesso remoto para que os
clientes possam acessar informações como se estivessem numa rede local. Mesmo estando
longe da rede interna, o cliente do acesso remoto participa das mesmas configurações,
restrições e permissões como um usuário qualquer na rede interna. O servidor de acesso
remoto é conhecido como RRAS.
Ele permite que um usuário possa acessar, por exemplo, informações de seu
escritório em casa, apesar de estarem em redes aparentemente incomunicáveis. O RRAS
permite que cliente mesmo com uma versão mais antiga do Windows ou outros sistemas
operacionais possam se comunicar via Dial-up ou ISDN (Integrated Services Digital
Network - Rede Digital Integrada de Serviços)/ADSL(Asymmetric Digital Subscriber Line)
remotamente.
93
4.7.1. Habilitando o RRAS
Primeiramente é necessário habilitar o RRAS para que ele possa receber chamadas
remotas. Apesar de o serviço ser instalado por padrão durante a instalação do Windows
Server 2003, ele necessita ser habilitado antes de ser usado. Essa verificação é feita através
do console Roteamento e acesso remoto. Uma seta na cor vermelha ao lado do nome do
servidor RRAS indica que o servidor não está ainda habilitado. Caso a seta esteja de cor
verde, isso indica que o servidor RRAS já está pronto e preparado para receber chamadas
de clientes.
Para habilitar o servidor RRAS, é necessário selecionar o servidor que funcionará
como RRAS e optar pela alternativa “Configurar e habilitar o roteamento e o acesso
remoto”. Desta forma, será exibido um assistente de habilitação e configuração do mesmo.
Na etapa da configuração do servidor mostrada na figura 4.34, será necessário
escolher como o servidor RRAS trabalhará. Entre as opções permitidas são:
 Acesso remoto (Dial-up ou rede virtual privada): permite acesso remoto pelo
VPN e pelo cliente Dial-up;
 Esta opção permite conversão de endereços de rede (NAT): esta alternativa
permite que o servidor possa atuar como função de NAT;
 Acesso à rede virtual privada e NAT: permite que o servidor possa atuar como
função de NAT ao mesmo tempo permitindo o acesso dos clientes pelo VPN;
 Conexão segura entre duas redes privadas: conexão segura entre dois hosts de
duas redes diferentes;
 Configuração personalizada: opções personalizadas pelo administrador.
Neste trabalho foi usada apenas a opção: acesso remoto (Dial-up ou rede virtual
privada) para que alguns hosts possam ter acesso ao servidor RRAS para acesso remoto via
VPN.
94
Figura 4.34 Configuração do acesso remoto via VPN.
Durante a configuração é solicitado que seja informado o tipo de conexão que o
servidor irá aceitar: Dial-up, VPN ou os dois ao mesmo tempo. Foi selecionada a opção
correspondente a VPN, pois não é desejado receber ligações via Dial-up, mas apenas via
modem de ADSL, conforme mostrado na figura 4.35.
Figura 4.35 Tipos de conexão.
95
Em seguida deve-se selecionar qual interface está conectada à Internet para receber
chamadas remotas, como mostrado na figura 4.36.
O endereço IP atribuído dos clientes RRAS pode ser feita pelo servidor DHCP ou
será atribuído de forma diferente (de um intervalo de endereços especificados). Nesse
trabalho, foi adotado a opção DHCP, pois este servidor RRAS também possui o servidor
DHCP na mesma máquina e pode-se associar os serviços sem nenhum problema.
Figura 4.36 Conexão VPN.
Outra questão é a definição do uso ou não do servidor RADIUS (Remote
Authentication Dial In User Service - Serviço de autenticação remota de usuários discados).
Este servidor faz com que as autenticações vindas do servidor RRAS sejam centralizadas
nele. Assim, fica fácil o gerenciamento das autenticações remotas, já que não será
necessário configurar cada máquina caso uma permissão de um determinado arquivo de
uma máquina especifica tenha sido alterado para um determinado usuário. Será apenas
alterado no servidor RADIUS, porque todas as autenticações remota passa pelo RADIUS.
Como não foi usado o servidor RADIUS nesse trabalho, não será configurado este tipo de
serviço, conforme mostrado na figura 4.37.
96
Figura 4.37 Configurar servidor RADIUS.
Desta forma, o servidor estará habilitado e pronto para receber novas chamadas
vindas pelos clientes como mostrado na figura 4.38.
Figura 4.38 Roteamento e acesso remoto.
97
As propriedades do servidor RRAS são exibidas na guia denominada Geral que
permite que defina as funções que serão habilitadas no servidor RRAS. Esse servidor pode
funcionar somente como um servidor de acesso remoto ou ainda pode exercer a função de
roteamento ou mesmo ambas as funções ao mesmo tempo. Foi definido nesse trabalho
como a Figura 4.39.
Figura 4.39 Propriedades de BEETLE.
98
Figura 4.40 Propriedades de BEETLE.
Em métodos de autenticação na figura 4.40, é permitido selecionar quais serão os
métodos de autenticação que serão aceitos no servidor RRAS. Dentre elas estão disponíveis
o EAP (Extensible authentication protocol); MS – CHAP v2 (Microsoft encrypted
authentication version 2); MS – CHAP (Microsoft encrypted authentication); CHAP
(Encrypted authentication); SPAP (Shiva Password Authentication Protocol) e o PAP
(Password Authentication Protocol). A figura 4.41 mostra os tipos de autenticações
disponíveis.
99
Figura 4.41 Tipos de autenticação.
A opção “Permitir que sistemas remotos se conectem sem autenticação” por padrão
não é selecionado, pois ele permite que usuários possam conectar ao servidor RRAS sem
que seja necessário realizar sua autenticação. Esta opção quando ativada, faz com que o
servidor fique mais vulneráveis a ataques.
Em relação ao EAP, ainda é possível obter outros métodos de autenticação. Ao
escolher a opção “Métodos EAP”, será exibido os métodos: MD5-Challenge; PEAP
(Protected Extensible Authentication Protocol) e Smart Card ou outros certificado. A
figura 4.42 ilustra estes três métodos de EAP.
100
Figura 4.42 Métodos de Autenticação EAP
Neste projeto, foram utilizados os métodos de autenticação: EAP, MS – CHAP v2 e
o MS – CHAP. O primeiro permite que seja possível utilizar cartões inteligentes para fazer
autenticação de usuários; o MS – CHAP v2 permite fazer autenticação via teclado
normalmente, porém, com maior nível de segurança, em relação ao MS – CHAP e por ser
um protocolo proprietário da Microsoft (nativa do Windows). O MS – CHAP foi escolhido
por motivo de compatibilidade para o caso de existirem máquinas na rede com versões
anteriores ao Windows 2000 Server e ao Windows Server 2003.
Na aba IP, são mostradas diversas opções relacionadas ao protocolo IP, como
apresentado na figura 4.43. O campo “Ativar roteamento IP” habilita/desabilita o
roteamento IP, ou seja, o encaminhamento dos pacotes IP de uma interface de rede do
servidor para as outras interfaces de rede. Neste projeto, esta opção será ativada.
O campo “Permitir acesso remoto com base em IP e conexões de discagem por
demanda” permite ou não habilitar o uso do protocolo IPCP (Internet Protocol Control
Protocol) como o protocolo de controle do PPP (Point-to-Point Protocol - Protocolo ponto-
101
a-ponto). Ou seja, o protocolo IPCP será usado na negociação entre o cliente e o servidor de
acesso remoto. Novamente, será selecionada esta opção para este projeto.
Em Atribuição de endereço IP é permitido que sejam fornecidos aos clientes do
RRAS, endereços atribuídos via DHCP do servidor RRAS ou endereços estáticos. Para este
trabalho escolheu - se a opção que fornece endereços via DHCP.
Será utilizada a opção “Ativar resolução de nomes de difusão”, pois ela permite a
resolução de nomes via Broadcast, ou seja, os clientes remotos podem resolver nomes na
rede local que esta sendo acessada sem ter acesso ao servidor WINS ou mesmo o DNS da
rede local.
Figura 4.43 Propriedades IP.
Na aba “PPP” como o mostra a figura 4.44 são permitidas as configurações no PPP.
102
O controle dinâmico de largura de banda usando BAP (Bandwidth Allocation
Protocol) ou BACP (Bandwidth Allocation Control Protocol) permite que o cliente remoto
possa utilizar duas ou mais linhas simultaneamente para melhorar a sua taxa de
download/upload. Um exemplo é quando o cliente tem uma única conexão de 64 Kbps, ele
poderá ter dois links, como se fosse apenas um permitindo ter um link de 128 Kbps.
O campo “Extensões LCP (Link Control Protocol)” permite o protocolo LCP possa
enviar informações como tempo restante, identificação de pacotes e requisição de callback
durante a negociação LCP. O protocolo LCP estabelece e configura o empacotamento PPP
que por sua vez estabelece como os dados são encapsulados antes da transmissão pela
WAN.
A compactação por software permite ou não o uso do MPPC (Microsoft Point-toPoint Compression Protocol) para compactar dados trafegados da conexão remota com o
servidor RRAS ou mesmo através de discagem sob demanda.
Figura 4.44 Propriedade PPP
103
A figura 4.45 apresenta as opções relacionadas ao log. O primeiro campo se refere à
que tipo de registro será armazenado ao log, se o log é simplificado ou mais completo.
O campo “Registrar informações de roteamento e acesso remoto (usadas para
depuração)” quando ativado, armazena no log, informações relacionado ao roteamento e
acesso remoto, como tentativas de autenticação mal sucedida a um servidor RRAS. Nesse
trabalho foi selecionada apenas a opção “registrar erros e avisos no log” devido ao tamanho
do log que será gerado.
Figura 4.45 Propriedade Log.
4.8. Instalação e Configuração do IIS
O IIS é um servidor de aplicações da Microsoft que permite a utilização de serviços
de rede como o HTTP e o FTP. Antes de iniciar a sua configuração, deve-se ativar o
104
ASP.NET, como mostra a Figura 4.46, que permite a criação e alteração de formulários de
pesquisa no banco de dados do servidor de aplicativos que poderão ser usados pelos
usuários da rede.
Figura 4.46 Ativando o serviço ASP.NET.
O Windows Server 2003 seleciona automaticamente os componentes mínimos
necessários, conforme mostra a Figura 4.47, que são: o COM+, que é um programa da
Microsoft que permite os componentes da rede trocarem informações entre si; o DTC
(Coordenador de Transações Distribuídas) e o IIS. Isso é feito por razões de segurança.
Caso seja necessário adicionar ou remover componentes isso deve ser feito manualmente
pelo administrador da rede.
104
Figura 4.47 Requisitos mínimos para instalação do IIS
A instalação de outros componentes ou remoção do IIS pode ser feita através do
Assistente de Componentes do Windows. O IIS é um subcomponente do Servidor de
Aplicativos como mostra na Figura 4.48 e na Figura 4.49, onde é possível acrescentar
outros subcomponentes que se julga necessário para o serviço.
Figura 4.48 Acrescentado/removendo componentes do Windows.
105
Figura 4.49 Subcomponentes de Servidor de Aplicativo.
Nesse trabalho , foram ativados os seguintes subcomponentes:
 Arquivos comuns, que permite a criação de arquivos básicos;
 Gerenciador dos Serviços de Informações da Internet, que é um console que
permite o acesso as opções de configurações onde suas funcionalidades podem
ser habilitadas/desabilitadas de acordo com a necessidade do servidor;
 Impressão da Internet, que permite impressões da Internet;
 Serviço NNTP (Network News Transfer Protocol ) , que permite a criação de
grupos de discussão com número limitado de usuários para redes Intranet;
 Serviço FTP, que permite o compartilhamento de arquivos entre a rede;
 Serviço SMTP (Simple Mail Transfer Protocol), que é responsável pelo envio
de mensagens entre os servidores de e-mail;
 Serviço WWW (World Wide Web), que permite a conexão com computadores
mundialmente e a utilização dos seus vários serviços.
106
A figura 4.50 mostra alguns desses serviços.
Figura 4.50 Subcomponentes de Serviços de Informações da Internet.
Para testar a instalação abre-se um browser de Internet e digita-se o endereço
localhost. Caso apareça uma página padrão informando que a página está em construção o
serviço está operando (Figura 4.51).
Figura 4.51 Testando o funcionamento do IIS.
107
Para a criação de pastas virtuais no servidor utiliza-se o Gerenciador de Serviços de
Informações da Internet. Após habilitadas as funcionalidades que serão utilizadas clica-se
com o botão direito do mouse sobre a opção Site da Web Padrão como mostra a figura 4.52
e aparece o comando Novo, Diretório virtual e exibe-se a primeira tela do Assistente para a
criação do diretório virtual. Na segunda foi pedido o nome do diretório e coloca-se como
home ou raíz e na terceira tela foi pedido o caminho e seleciona-se a opção procurar para
encontrar o caminho automaticamente. Na quarta tela pede-se a permissão de acesso a este
diretório e define-se apenas como de leitura, por motivo de segurança evitando que pessoas
não altorizadas alterem os dados, como mostra a figura 4.53 e por fim é concluído o
Assistente para criação de diretório virtual.
Figura 4.52 Criando pastas virtuais.
108
Figura 4.53 Permitindo acesso.
O funcionamento do site foi testado digitando como endereço o nome do servidor
(mayServer.mrrp.com) e o nome de um diretório (projeto) e conclui-se que esta em
funcionamento, conforme a figura 4.54.
Figura 4.54 Testando o site IIS.
109
4.9. Criação do site FTP
Para o funcionamento do FTP foi necessário a instalação e configuração de uma
segunda placa de rede no servidor e configuração de novo endereço IP associando ao nome
de acesso a este site no DNS.
O site irá permitir o download de documentos da empresa MRRP pelos usuários,
como mostra a figura 4.55.
Figura 4.55 Descrição do site FTP.
Na configuração dos endereços IP’s que terão acesso ao site, optou-se por todos os
não atribuídos ao servidor, para que os usuários da rede tenham acesso a este site e como
padrão, para a porta TCP, utilizou-se a porta 21 como mostra a figura 4.56.
110
Figura 4.56 Configurações de porta e endereço IP para o site FTP.
Na configuração do isolamento do usuário de FTP optou-se por não isolar usuários,
como mostra a figura 4.57, que permite o compartilhamento de todos os arquivos entre os
usuários da rede Intranet sem a necessidade de criar área separada para cada usuário. Já a
opção isolar usuários faz com que os usuários fiquem restritos apenas a suas pastas
pessoais. A opção isolar usuários usando o Active Directory permite que usuários, através
das propriedades de FTPRoot e FTPDir, tenham acesso ao seu home directory como sendo
a pasta root do FTP.
111
Figura 4.57 Configuração do Isolamento do usuário de FTP.
Por motivo de segurança do site foi escolhida a opção de leitura para que os
usuários não alterem informações nos arquivos como mostra a figura 4.58.
Figura 4.58 Permissões de acesso a site FTP.
112
Como teste abriu-se o browser e digitou-se como endereço o nome do site (ftp) e o
nome do servidor (mayServer), obtendo os arquivos que foram configurados para serem
compartilhados como mostra na figura 4.59, concluindo-se que o site FTP está em
funcionamento.
Figura 4.59 Teste do site FTP.
4.10. Configurando o Servidor de E-mail
Para a criação do servidor de e-mail é necessário a configuração do serviço SMTP,
que é responsável pelo envio de e-mail entre os servidores de e-mail e o serviço POP3 para
o cliente de e-mail do usuário.
Ao configurar o serviço POP3 foi utilizado o método de autenticação de usuário
integrado ao Active Directory como mostra a figura 4.60, que conta com o protocolo de
autenticação Kerberos versão 5, onde o cliente e o servidor possuem um KDC (Key
Distribution Center) e estes devem ser compatíveis com os serviços do Active Directory,
para que a autenticação seja bem sucedida. Utilizou-se este tipo de autenticação para que na
113
rede Intranet, no qual estão o usuário e o servidor Web do mesmo domínio (MRRP.com) e
os administradores possam garantir que todos os usuários tenham o mesmo browser.
Figura 4.60 Configuração do método de autenticação.
No Assistente para configurar o servidor instalou-se os serviços SMTP e POP3 e
concluiu-se a criação do servidor de E-mail.
Para criar uma nova caixa de correios, como mostra a figura 4.61 abriu – se o
domínio MRRP.com é selecionado a opção novo e na tela seguinte definiu-se o nome para
a caixa de correios e a senha de acesso do servidor mayserver e selecionou-se a opção que
permite criar usuários associados para esta caixa de correios, como mostra a figura 4.62.
114
Figura 4.61 Criando-se uma nova caixa de correios.
Figura 4.62 Adicionando-se nome e senha a caixa de correios.
Finalizando a instalação como mostra a figura 4.63.
115
Figura 4.63 Adicionando a caixa de correios.
Estes foram os serviços configurados e instalados no servidor da empresa MRRP.
Foram
feitos
vários
testes
para
garantir
o
bom
funcionamento
destes.
116
CONCLUSÃO
A partir da década de 80 surgiu a necessidade de descentralização dos dados, porque o
mainframe além de ter o custo elevado, apresentava problemas em relação às linhas de
comunicação e “terminais burros”, pois caso a linha ficasse inativa ninguém tinha acesso ao
sistema. Mesmo assim este modelo ainda é muito usado em ambientes comerciais e grandes
empresas pelo fato de ser considerado seguro [BAT03].
Com o modelo cliente/servidor é possível que uma máquina funcione como vários
servidores ao mesmo tempo podendo atender várias requisições. Por isso esta arquitetura é
econômica e flexível. Com seu uso torna – se mais rápido responder as demandas de uma
corporação, portanto este modelo vem substituindo o centralizado [STA04].
Os sistemas operacionais passaram por uma grande evolução no decorrer dos anos. Os
sistemas monousuários caracterizados por possuírem processamento centralizado, permitem que
um único usuário utilize o processador e outros recursos do computador. Como as empresas
necessitavam de acessar mais recursos ao mesmo tempo foi criado o sistema multiusuário.
O TCP/IP é o protocolo mais usado nas redes das empresas, pois é utilizado tanto na
Internet quanto em redes internas e sua adoção é cada vez maior. Os dois sistemas operacionais
Windows e Linux têm como padrão este protocolo, por isso ganhou popularidade no ambiente de
rede [BAT02]. O sistema operacional Windows Server 2003 já possui ele instalado
automaticamente.
117
Após o estudo realizado do Windows Server 2003 concluiu - se que é um sistema seguro,
pois apresenta políticas de segurança que podem ser adicionadas dependendo da necessidade das
empresas. Este software apresenta facilidade de logon para usuários remotos porque os dados são
armazenados em cache tornando o acesso ao servidor mais ágil e diminuindo o tráfego na rede.
O Active Directory é o elemento fundamental deste sistema. Ele é capaz de replicar
informações contidas no DC e para outros DC’s do domínio, efetuar pesquisas de objetos no seu
banco de dados, manter relações de confiança entre árvore de domínios. O schema é composto de
classes, atributos e objetos. Através do conjunto de serviços oferecidos pelo Active Directory a
administração da rede de uma organização é mais simples, porque ele concentra todas as
informações em um único banco de dados.
As vantagens do Windows Server 2003 observadas foram: eficiência em relação ao
tempo de configuração e implementação, segurança (autenticação, criptografia, política de
segurança, lista de controle de acesso, auditoria e certificado digital) e desempenho.
O Linux é um sistema operacional que ocupa a segunda posição na preferência mundial
da arquitetura cliente/servidor. Para cada cinco máquinas conectadas à Internet uma utiliza este
software livre de acordo com o instituto de pesquisa americano IDC. Porém, o Linux oferece
pacotes de programas gratuitos e suporte na instalação [REV04].
O Windows tem como característica a interoperabilidade, pois permite que diferentes
plataformas possam se comunicar com segurança e confiabilidade. Este possui uma melhor
diversidade de programas para diversas áreas profissionais, além de ter vários drives de diversos
dispositivos (impressora, monitor, placa de rede entre outros) [UOL06]. De acordo com a
pesquisa realizada pela revista Info entre seus leitores, o Windows continua sendo o mais usado
entre os sistemas operacionais [INFO08].
O sistema operacional Windows também apresenta desvantagens como à necessidade de
se ter uma licença de uso oferecida pela Microsoft e exige maior recursos de hardware como
memória e processador.
O Windows Server 2008 foi disponibilizado no mercado em fevereiro de 2008. Ele
possui os mesmos serviços do Windows Server 2003 e apresenta melhorias relacionadas à
118
segurança como novas políticas de senha, possível aumento na velocidade das redes, novo IIS 7,
Windows Server Backup, facilidade no uso de clusters, Windows Server Core e outros [NEW07].
Possíveis sugestões de trabalhos futuros seriam:

Implementar estes mesmos serviços com o IPv6;

Utilizar as políticas de segurança (GPO);

Abranger este tema ao uso de redes externas;

Utilizar rede Wireless;

Implementar este mesmo serviço com o Windows Server 2008;

Fazer uso de cluster;

Trabalhar com log de eventos;

Criar servidor Web com certificação digital.
119
REFERÊNCIAS BIBLIOGRAFICAS
[ARO07] ARONQUE,
Daniele. Os segredos da Intranet. Na Internet em
http://carreiras.empregos.com.br/carreira/administracao/planejamento/220601intranet.shtm, página acessada em setembro de 2007.
[BAT02] BATTISTI, Júlio. Certificado de garantia - Visão geral sobre o protocolo
TCP/IP.
Na
internet
em
http://timaster.com.br/revista/colunistas/
le_colunas_emp.aspw?cod=614, página acessada junho de 2008.
[BAT03] BATTISTI, Júlio. Windows Server 2003 – Curso Completo. Rio de Janeiro:
Axcel Books, 2003.
[INF08] Revista Info, Editora Abril. O que você indicaria para seu melhor amigo? – Use
a pesquisa Info de marcas como um termômetro para as compras de
tecnologia. Março de 2008, página 75.
[INF08/1] Revista Info. Editora Abril. Onde a TI acontece? – Descubra a tecnologia que
move as 100 empresas mais ligadas do país. Abril de 2008, página 73.
[MAN04] MANZIONE, Leonardo. Extranets de projeto: limitações e necessidades de
avanço. Workshop Brasileiro de Gestão do Processo de Projeto na Construção de
Edifícios, Escola Politécnica da USP, São Paulo, 2004.
120
[MAC92] MACHADO, Francis B. e Maia, Luiz Paulo. Introdução á Arquitetura de
Sistemas Operacionais. LTC-Livros Técnicos e Científicos Editora S. A., 1992.
[NEW07] Blog Internete! Novidades do Windows Server 2008. Na internet
http://blog.fenon.com.br/artigos/novidades-do-windows-server-2008,
página
acessada em junho de 2008.
[REV04] Campos, Augusto. Revista do Linux- Ameaça Pingüim. Editora Conectiva. Na
Internet
em
http://augustocampos.net/resvista-do-linux/011/corporativo.html,
pagina acessada em maio de 2008.
[STA05] STALLINGS, William. Redes e Sistemas de Comunicação de Dados: Teoria
de Aplicações Corporativas. Tradução da 5ª. Edição, Rio de Janeiro: Campus,
2005.
[TAN02] TANENBAUM, Andrew. Sistemas Operacionais – Projeto e Implementação.
Tradução da 2ª. Edição. Prentice-Hall/Artmed Editora, São Paulo, 2002.
[UOL06] UOL tecnologia. Por que escolher o Windows, segundo Microsoft? Na internet
http://tecnologia.uol.com.br/ultnot/2006/12/18/ult2870u231.jhtm,
junho de 2008.
página
acessada
em