UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO DE CASO NO WINDOWS SERVER 2003 MAYARA KRISTINE VENTURA ALEXANDRE PRISCILLA BARROS DOS SANTOS RENATA ÁVILA DE ALMEIDA ROGÉRIO EDUARDO DE ALMEIDA JULHO 2008 UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO DE CASO NO WINDOWS SERVER 2003 Trabalho de Projeto Final de Curso apresentado por Mayara Kristine Ventura Alexandre, Priscilla Barros dos Santos, Renata Ávila de Almeida e Rogério Eduardo de Almeida à Universidade Católica de Goiás, como requisito parcial para obtenção do título de Bacharel em Ciência da Computação, Orientadora – Prof. Ms. Angélica da Silva Nunes. ADMINISTRAÇÃO DE REDES TCP/IP COM ESTUDO DE CASO NO WINDOWS SERVER 2003 MAYARA KRISTINE VENTURA ALEXANDRE PRISCILLA BARROS DOS SANTOS RENATA ÁVILA DE ALMEIDA ROGÉRIO EDUARDO DE ALMEIDA Trabalho de Projeto Final de Curso apresentado por Mayara Kristine Ventura Alexandre, Priscilla Barros dos Santos, Renata Ávila de Almeida e Rogério Eduardo de Almeida à Universidade Católica de Goiás – Departamento de Computação, como parte dos requisitos para obtenção do título de Bacharel em Ciência da Computação. Professora Angélica da Silva Professor Jeová Martins Ribeiro, Esp. Nunes, Ms. Orientadora Coordenador de Projeto Final de Curso i DEDICATÓRIA Dedicamos esta conquista primeiramente a Deus e aos nossos pais que sempre estiveram presentes em nossas vidas nos apoiando e incentivando. Também aos nossos namorados (a), amigos e familiares que foram pacientes e nos deram força quando precisávamos. ii AGRADECIMENTOS Aos nossos familiares que nos compreenderam e ajudaram em momentos difíceis. A professora Ms. Angélica da Silva Nunes, nossa orientadora, pelo apoio e dedicação ao longo de todo o projeto. Ao CPD da Universidade Católica de Goiás que nos forneceu o software necessário para a implementação deste trabalho. Aos amigos e colegas de sala pela amizade e consideração. iii RESUMO Este projeto aborda a implementação e configuração dos serviços de rede do Windows Server 2003 utilizando o protocolo TCP/IP (Transmission Control Protocol/Internet Protocol – Protocolo de Controle de Transmissão/Protocolo de Internet). Para isso foi criada uma pequena empresa fictícia com o nome MRRP, cujo domínio é o MRRP.com. O modelo de rede adotado é o cliente/servidor para uma Intranet que faz uso do servidor de arquivos e impressão, controlador de domínio, autenticação, DNS ( Domain Name System – Sistema de Nomes de Domínios), servidor web, servidor de e-mail, DHCP (Dynamic Host Configuration Protocol – Protocolo de configuração dinâmica de hosts), FTP (File Transfer Protocol- Protocolo de Transferência de Arquivos) e acesso remoto. A instalação desses elementos foi feita através do Active Directory porque é nele que ficam armazenadas todas as informações necessárias para o funcionamento do sistema. Vários testes foram realizados para verificar o funcionamento destes serviços. Palavra-chave: Cliente/servidor, Intranet, Active Directory. iv ABSTRACT This project focuses on the implementation and configuration of network services of Windows Server 2003 using the TCP/IP protocol. A small business with a fictitious name MRRP was set up to implement these network services, whose domain is MRRP.com. The network model adopted was client/server for an Intranet that makes use of file and printing servers, controller domain, authentication, DNS, web Services, e-mail server, DHCP, FTP and remote access. The installation of these elements were done using Active Directory which is where all the necessary information for the system to function is stored. Several tests were performed to verify the operation of these services. Keyword: Client/server, Intranet, Active Directory. v SUMÁRIO DEDICATÓRIA.................................................................................................... iv AGRADECIMENTOS ........................................................................................... v RESUMO.............................................................................................................. vi ABSTRACT......................................................................................................... vii SUMÁRIO .......................................................................................................... viii LISTA DE FIGURAS.......................................................................................... xiv LISTA DE TABELAS......................................................................................... xix LISTA DE ABREVIATURAS ............................................................................. xx INTRODUÇÃO...................................................................................................... 1 Capítulo 1 - Modelos de Redes ............................................................................... 4 1.1. Processamento centralizado versus distribuído ............................................. 4 1.2. Arquitetura cliente/servidor.......................................................................... 6 1.2.1. Conceito de PDD .................................................................................. 8 vi 1.3. Particionamento vertical e particionamento horizontal ................................. 8 1.4. Banco de dados distribuído .......................................................................... 8 1.5. Requisitos do PDD na rede .......................................................................... 9 1.6. Computação Distribuída............................................................................. 11 1.6.1. A arquitetura Cliente/Servidor e o Mainframe ..................................... 11 1.6.2. Intranet ............................................................................................... 15 1.6.3. Extranet .............................................................................................. 17 1.7. Evolução dos Sistemas Operacionais.......................................................... 18 1.7.1. A Primeira Geração (1945-1955): Válvulas e Painéis .......................... 18 1.7.2. A Segunda Geração (1955- 1965): Transistores e Sistemas Batch........ 19 1.7.3. A Terceira Geração (1965-1980): CIs e Multiprogramação ................. 20 1.7.4. A Quarta Geração: Computadores Pessoais ......................................... 21 1.7.5. Sistema Operacional Monousuário versus Sistema Operacional Multiusuário............................................................................................................. 21 Capítulo 2 - O Sistema Operacional ...................................................................... 23 Windows Server 2003 ........................................................................................... 23 2.1. Introdução ao Windows Server 2003 .......................................................... 23 2.2. Edições do Windows Server 2003............................................................... 24 2.2.1. Windows Server 2003 Standard Edition............................................... 25 2.2.2. Windows Server 2003 Enterprise Edition ............................................ 26 vii 2.2.3. Windows Server Data Center Edition .................................................. 26 2.2.4. Windows Server 2003 Web Edition...................................................... 27 2.3. Active Directory......................................................................................... 29 2.4. Compartilhamento de Arquivos e Impressão .............................................. 32 2.5. Segurança no Windows Server 2003........................................................... 33 2.6. Serviços de Rede e Comunicação ............................................................... 34 2.7. Serviços de Gerenciamento do Windows Server 2003................................. 35 2.8. Suporte ao desenvolvimento de Aplicativos no Windows Server 2003........ 36 Capítulo 3 - O Active directory ............................................................................. 38 3.1. Diretórios................................................................................................... 39 3.2. Domínios e Grupos de Trabalho (Workgroups) .......................................... 40 3.2.1. Rede Baseada no Modelo de Workgroups............................................ 40 3.2.2. Rede Baseada no Conceito de Diretório - Domínio .............................. 41 3.3. Domínios, Árvores de Domínios e Unidades Organizacionais .................... 41 3.3.1. Active Directory .................................................................................. 42 3.3.2. Árvores de Domínios........................................................................... 43 3.3.3. Unidades Organizacionais ................................................................... 44 3.4. Objetos de um Domínio ............................................................................. 44 3.4.1. Contas de Usuários.............................................................................. 45 3.4.2. Contas de Computador ........................................................................ 45 viii 3.4.3. Grupos de Usuários ............................................................................. 45 3.5. Permissões em Múltiplos Domínios ........................................................... 47 3.5.1. Árvore de Sete domínios ..................................................................... 48 3.6. Nomenclaturas de Objetivos no Domínio .................................................. 48 3.7. Estudo de Caso 01: Exemplo de Uso de Grupos Universais........................ 49 3.8. Estudo de Caso 02: Analisando o Escopo de Grupo em relação a Membros e permissões de Acesso................................................................................................... 50 3.9. Unidades Organizacionais .......................................................................... 51 3.10. Relações de Confiança e Florestas............................................................ 52 3.10.1. Relações de Confiança no Windows NT Server 4.0 ........................... 52 3.10.2. Relações de Confiança no Windows Server 2003 ............................... 53 3.10.3. Tipos Padrão de Relações de Confiança............................................. 54 3.10.4. Outros Tipos de Relações de Confiança............................................. 54 3.11. Servidores de Catálogo Global (Global Catalogs) .................................... 56 3.11.1. Principais Funções Desempenhadas por um Servidor de Catálogo Global ...................................................................................................................... 57 3.11.2. Replicação de Informações Entre os Servidores de Catálogo Global .. 58 3.12. Sites, Replicação do Active Directory e Estrutura Física da Rede.............. 59 3.12.1. Introdução e Definição de Sites ......................................................... 59 3.12.2. Motivação Para Uso de Sites Pelo Active Directory .......................... 59 3.12.3. Definição de Sites Utilizando Sub-redes ............................................ 60 ix 3.12.4. Relação Entre Sites e domínios.......................................................... 60 3.12.5. Replicação no Active Directory ......................................................... 61 3.12.6. Replicação Dentro do Mesmo Site – Intrasite Replication ................. 62 3.12.7. Replicação Entre Sites ....................................................................... 63 3.13. Schema do Active Directory ..................................................................... 63 3.13.1. Definição dos Objetos do Active Directory no Schema ...................... 63 3.13.2. Armazenamento do Schema no Active Directory ............................... 64 3.13.3. Cache do Schema .............................................................................. 64 3.14. Níveis de Funcionalidade de um domínio ................................................. 64 Capítulo 4 - Configuração de umA rede TCP/IP no Windows Server 2003............ 66 4.1. Hardware e software utilizados.................................................................. 66 4.2. Instalação do Active Directory ................................................................... 67 4.3. DNS........................................................................................................... 72 4.4. Contas de Usuários e Grupos ..................................................................... 77 4.5. Sistema de impressão ................................................................................. 81 4.6. DHCP ........................................................................................................ 85 4.6.1. Instalando o servidor DHCP ................................................................ 86 4.6.2. Configurando Escopos no DHCP ........................................................ 90 4.7. Acesso Remoto com o RRAS..................................................................... 92 4.7.1. Habilitando o RRAS............................................................................ 93 x 4.8. Instalação e Configuração do IIS.............................................................. 103 4.9. Criação do site FTP.................................................................................. 110 4.10. Configurando o Servidor de E-mail........................................................ 113 CONCLUSÃO ................................................................................................... 117 REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 120 xi LISTA DE FIGURAS Figura 1.1 Arquitetura de sistemas de informação do Holiday Inn........................................6 Figura 1.2 Arquitetura de sistemas distribuídas de J.P. Morgan.............................................7 Figura 1.3 Conectividade plena usando enlaces diretos........................................................10 Figura 1.4 Uso de um comutador central para conectividade plena.....................................11 Figura 1.5 Ambiente cliente/servidor genérico.....................................................................13 Figura 1.6 Arquitetura cliente/servidor genérica..................................................................14 Figura 1.7 Arquitetura cliente/servidor de três camadas.......................................................15 Figura 1.8 Exemplo de estrutura de página Web corporativa...............................................16 Figura 3.1 Aplicações em diferentes ambientes e baseadas em diferentes modelos.............39 Figura 3.2 Uma rede baseada no conceito de Workgroup....................................................40 Figura 3.3 Uma rede baseada no conceito de diretórios – domínio......................................41 Figura 3.4 Todos os domínios de uma árvore compartilham um espaço de nomes em comum...................................................................................................................................44 Figura 3.5 O usuário herda as permissões do grupo.............................................................46 xii Figura 3.6 Uma árvore de domínios......................................................................................47 Figura 3.7 Divisão de um domínio em OU’s........................................................................51 Figura 3.8 Relação de confiança unilateral...........................................................................52 Figura 3.9 Relação de confiança unidirecionais, não transitivas do Windows NT Server 4.0..........................................................................................................................................53 Figura 3.10 Relação de confiança bidirecional e transitiva do Windows Server 2003.........53 Figura 3.11 Relação de confiança externa – unidirecional ou bidirecional..........................55 Figura 3.12 Relação de confiança do tipo Shortcut (atalho).................................................56 Figura 3.13 Informações armazenadas em um Servidor de Catalogo Global.......................57 Figura 3.14 Definição de um site..........................................................................................60 Figura 3.15 Flexibilidade na definição de sites e Domínios.................................................61 Figura 4.1 Topologia da rede................................................................................................67 Figura 4.2 Tipo de Controlador de domínio..........................................................................68 Figura 4.3 Criar novo domínio..............................................................................................69 Figura 4.4 Novo nome de domínio.......................................................................................69 Figura 4.5 Nome do domínio NetBIOS.................................................................................70 Figura 4.6 Pastas do banco de dados e log............................................................................70 Figura 4.7 Volume do sistema compartilhado......................................................................71 Figura 4.8 Senha do administrador do modo de restauração do serviço de diretório...........71 Figura 4.9 Criação de uma zona primária integrada com o Active Directory.......................73 xiii Figura 4.10 Definindo o nome da zona.................................................................................73 Figura 4.11 Definindo o tipo de atualização dinâmica.........................................................74 Figura 4.12 Nome da zona reversa........................................................................................75 Figura 4.13 O registro SOA para o domínio MRRP.com.....................................................76 Figura 4.14 Criação de um novo registro..............................................................................76 Figura 4.15 Criando um registro CNAME............................................................................77 Figura 4.16 Usuários e Computadores do Active Directory.................................................78 Figura 4.17 Criando a conta mayarakris...............................................................................78 Figura 4.18 Definindo a senha e as opções da nova conta....................................................79 Figura 4.19 Criando um grupo de segurança com escopo global.........................................80 Figura 4.20 Adicionar usuários ao grupo..............................................................................81 Figura 4.21 Membros do grupo administração.....................................................................81 Figura 4.22 Propriedade da impressora................................................................................83 Figura 4.23 Tela da logon.....................................................................................................84 Figura 4.24 Listagem das impressoras no navegador...........................................................84 Figura 4.25 Gerenciar servidor.............................................................................................86 Figura 4.26 Mensagem alertando que é necessária outra interface de rede..........................87 Figura 4.27 Nome do escopo DHCP.....................................................................................87 Figura 4.28 Intervalos de endereços IP no escopo DHCP....................................................88 Figura 4.29 Adicionar exclusões no escopo DHCP.............................................................88 xiv Figura 4.30 Gateway Padrão.................................................................................................89 Figura 4.31 Nomes de domínio e DNS.................................................................................90 Figura 4.32 Concessões Ativas.............................................................................................91 Figura 4.33 Configuração de IP estático...............................................................................92 Figura 4.34 Configuração do acesso remoto via VPN..........................................................94 Figura 4.35 Tipos de conexão...............................................................................................94 Figura 4.36 Conexão VPN....................................................................................................95 Figura 4.37 Configurar servidor RADIUS............................................................................96 Figura 4.38 Roteamento e acesso remoto.............................................................................96 Figura 4.39 Propriedades de BEETLE..................................................................................98 Figura 4.40 Propriedades de BEETLE..................................................................................99 Figura 4.41 Tipos de autenticação......................................................................................100 Figura 4.42 Métodos de Autenticação EAP........................................................................101 Figura 4.43 Propriedades IP................................................................................................102 Figura 4.44 Propriedade PPP..............................................................................................103 Figura 4.45 Propriedade Log...............................................................................................104 Figura 4.46 Ativando o serviço ASP.NET.........................................................................105 Figura 4.47 Requisitos mínimos para instalação do IIS......................................................106 Figura 4.48 Acrescentado/removendo componentes do Windows......................................106 Figura 4.49 Subcomponentes de Servidor de Aplicativo....................................................107 xv Figura 4.50 Subcomponentes de Serviços de Informações da Internet..............................108 Figura 4.51 Testando o funcionamento do IIS....................................................................108 Figura 4.52 Criando pastas virtuais.....................................................................................109 Figura 4.53 Permitindo acesso............................................................................................109 Figura 4.54 Testando o site IIS...........................................................................................110 Figura 4.55 Descrição do site FTP......................................................................................111 Figura 4.56 Configurações de porta e endereço IP para o site FTP....................................111 Figura 4.57 Configuração do Isolamento do usuário de FTP.............................................112 Figura 4.58 Permissões de acesso a site FTP......................................................................113 Figura 4.59 Teste do site FTP.............................................................................................113 Figura 4.60 Configuração do método de autenticação........................................................114 Figura 4.61 Criando-se uma nova caixa de correios...........................................................115 Figura 4.62 Adicionando-se nome e senha a caixa de correios..........................................115 Figura 4.63 Adicionando a caixa de correios......................................................................116 xvi LISTA DE TABELAS Tabela 2.1 Comparação entre todas as edições do Windows Server 2003............................29 xvii LISTA DE ABREVIATURAS AD/AM Active Directory in Application Mode ADMT Active Directry Migration Tool ADSL Asymmetric Digital Subscriber Line AIX Advanced Interactive Executive - APIs Application Program Interfaces ASR Automated System Recovery BAP Bandwidth Allocation Protocol BACP Bandwidth Allocation Control Protocol BOOTP Bootstrap Protocol CD Compact Disc – Disco compacto CHAP Encrypted authentication CI Circuito Integrado CN Common Name CNAME Canonical name DC Domain Controler - Controlador de domínio DFS Enhanced Distributed File System DHCP Dynamic Host Configuration Protocol – Protocolo de configuração dinâmica de hosts DNS Domain Name System – Sistema de Nome de Domínios DTC Coordenador de Transações Distribuídas EAP Extensible authentication protocol xviii EFS Encrypting File System - Sistema de criptografia de arquivos FGV Fundação Getúlio Vargas FRS File Replication Services FTP File Transfer Protocol GB Gigabytes GPMC Microsoft Group Policy Management Console GPO Group Polices Objects GUI Grafical User Interface – Interface Gráfica do Usuário HD Hard Disk – Disco Rígido HINFO Host Information HP Hewllet – Packard HTTP HiperText Transfer Protocol - Protocolo de Transferência de HiperTexto IBM International Business Machines IFC Internet Connection Firewall IIS Internet Information Services- Serviços de Informação da Internet IOCS Input/ Output Control System – Controle de sistema de entrada/saída IP Internet Protocol – Protocolo de Internet IPSec Internet Protocol Secure – Protocolo de Internet Seguro IPv6 Internet Protocol version 6 – Protocolo de Internet versão 6 IPCP Internet Protocol Control Protocol IPP Internet Printing Protocol ISDN Integrated Services Digital Network - Rede Digital Integrada de Serviços KDC Key Distribution Center KCC Knowledge Consistency Checker LAN Local Área Network – Rede de Área Local LCP Link Control Protocol LDAP Lightweight Directory Access Protocol LSI Large Scale Integration – Integração em larga escala MAC Medium Access Control MPPC Microsoft Point-to-Point Compression Protocol MS – CHAP Microsoft encrypted authentication xix MS – CHAP v2 Microsoft encrypted authentication version 2 MULTICS Multiplexed Information and Computing Service MX Mail exchanger NAT Network Address Translation - Conversão de endereços de rede NNTP Network News Transfer Protocol NTFS New Technology File System OU Organizacional Unit - Unidade Organizacional PAP Password Authentication Protocol PC Personal Computer – Computador Pessoal PDD Processamento de Dados Distribuídos PEAP Protected Extensible Authentication Protocol PPP Point -to- Point Protocol - Protocolo ponto a ponto PPPoE Point-to-Point Protocol over Ethernet RADIUS Remote Authentication Dial In User Service - Serviço de autenticação remota de usuários discados RAM Ramdom Acess Memory – Memória de acesso aleatório RIS Serviço de instalação remota RRAS Remote Acess Server - Servidor de Acesso Remoto RsoP Resultant Set of Policy 1 INTRODUÇÃO Com o avanço no desenvolvimento tecnológico na computação, as empresas tiveram que se adaptarem a essa nova realidade. Houve a necessidade de interligar várias estações de trabalho para facilitar a comunicação de dados dentro da corporação. Com isso surgiu à computação distribuída que tem como exemplo a arquitetura cliente/servidor. As primeiras redes criadas eram do tipo centralizadas onde os dados eram armazenados numa instalação central chamada de mainframe. Para acessar este computador de grande porte era necessário utilizar os conhecidos “terminais burros”. Este tipo de arquitetura causava transtornos nas organizações como a diminuição da produtividade e o custo que era elevado. Apesar disto o modelo é considerado seguro, pois as informações eram armazenadas em um único local. A arquitetura cliente/servidor vem substituindo os modelos centralizados, pois permite o rápido acesso aos dados e seu custo é menor. Uma outra vantagem é que oferece uma interface amigável. O desenvolvimento das redes surgiu com inúmeros padrões de protocolos para auxiliar o transporte das informações entre os computadores, sem precisar estar próximo um do outro. O padrão que mais se destacou foi TCP/IP (Transmission Control Protocol/Internet Protocol – Protocolo de Controle de Transmissão/Protocolo de Internet) devido alguns fatores como a flexibilidade, baixo custo de instalação e manutenção. Os primeiros sistemas operacionais eram monousuários, característica dos sistemas centralizados, que permitiam que um único usuário utilizasse recursos computacionais de 2 hardware e software por vez. Já o sistema operacional multiusuário possibilita o acesso de vários usuários aos mesmos recursos no mesmo tempo. A família Windows e o Linux são exemplos deste sistema. O Linux é um software livre que possui seu código aberto, podendo ser alterado por qualquer pessoa que tenha conhecimento em programação. Alguns indivíduos da área de informática têm preferência por ele por causa deste motivo. Depois do Windows ele é sistema mais procurado de acordo com a revista do Linux. Acredita-se que ele pode vir a ser uma ameaça futura aos sistemas proprietários [REV04]. As configurações do Windows são simples se comparadas com as do Linux. Por isso os usuários melhor se adaptam com ele. O Linux é customizado porque aceita diversos programas e aplicativos diferentes, enquanto que a Microsoft padroniza seus serviços e exige a licença de uso. Mesmo assim, existem levantamentos estatísticos que afirmam que este último ainda é o sistema operacional mais aceito no mercado. A revista Info publicou, no mês de março de 2008, uma pesquisa realizada pela FGV (Fundação Getúlio Vargas) em 2007, que mostrou que 65% dos servidores no Brasil utilizam o Windows. [INF08] No mês de abril de 2008 ela publicou que 97,4% dos leitores são adeptos deste sistema operacional e 95% das empresas utilizam o Windows Server 2003 [INF08/1]. Isto foi a razão para implementação deste projeto. O Windows Server 2003 é o tema deste trabalho. Foi escolhido devido à crescente demanda no mercado como mostrado nessas pesquisas. Essa demanda implica na necessidade de profissionais capazes de administrar e gerenciar a rede de uma empresa usando esse sistema operacional. Assim, essa monografia tem como objetivo o estudo, configuração e gerenciamento de serviços TCP/IP em um protótipo de uma rede corporativa fictícia. Para realização deste projeto foi criada uma empresa fictícia de pequeno porte chamada MRRP. O domínio usado foi MRRP.com que utiliza uma rede Intranet e faz uso dos serviços de servidor de arquivos e impressão, controlador de domínio, autenticação, DNS, servidor web, servidor de e-mail, DHCP, FTP e acesso remoto. 3 Esta monografia segue a seguinte estrutura: no capítulo 1 são apresentados os modelos de rede como o centralizado, a arquitetura cliente/servidor, Intranet e Extranet, assim como a evolução dos sistemas operacionais e os sistemas mono e multiusuários. No capítulo 2 são ilustrados os componentes do Windows Server 2003 e suas versões. O capítulo 3 menciona os elementos básicos deste sistema operacional como o Active Directory. O capítulo 4 mostra a implementação dos serviços utilizados neste trabalho que são: DNS, IIS (Internet Information Services - Serviços de Informação da Internet), VPN (Virtual Private Network - Rede Privada Virtual), FTP, DHCP, servidor de impressão e email. No final é apresentado uma conclusão e a bibliografia utilizada. 4 CAPÍTULO 1 - MODELOS DE REDES Com surgimento de redes de computadores, ficou mais ágil e eficiente a comunicação entre dispositivos numa corporação. Em uma empresa nem todas as máquinas trabalham com a mesma plataforma, porém, executam serviços semelhantes. A busca da segurança e do controle das informações trafegadas nas LANs (Local Área Network – Rede de Área Local) leva a adoção de um modelo de rede que satisfaça tanto aos usuários, quanto aos seus administradores. Neste capítulo, serão discutidos alguns modelos de redes existentes. Será mostrada a diferença entre uma a arquitetura de redes do tipo cliente/servidor e a arquitetura de redes do tipo centralizada, caracterizada pelos mainframes. Também serão destacados os benefícios e exemplos de aplicações utilizadas em cada modelo assim como os conceitos de Intranet, Extranet e sua aplicabilidade em empresas de médio e grande porte. No final será apresentada a história (evolução) dos sistemas operacionais e também as características dos sistemas monousuários e multiusuários. 1.1. Processamento centralizado versus distribuído O suporte ao processamento de dados é fornecido por um conjunto de máquinas, tradicionalmente de grande porte, que estão situados numa instalação central, que é devidamente apropriado para processamento de dados. 5 Numa organização, onde se encontra uma arquitetura centralizada, cada indivíduo possui um terminal que lhe fornece agilidade e facilidade de comunicação entre a sua máquina e um mainframe via processamento de dados centralizado. A palavra centralizada é adotada, devido os muitos sentidos que a palavra possui. Por exemplo: Computadores centralizados: uma ou mais máquinas que estão devidamente interligadas se encontram numa instalação central; Processamento centralizado: todas as aplicações são processadas nos computadores centrais; Dados centralizados: os dados são armazenados em bancos de dados e são controlados por computadores centrais; Controle centralizado: o controle centralizado de informações facilita a proteção de informações de uma corporação; Pessoal de suporte centralizado: a equipe de suporte técnico que ajuda a manter o computador que processa os dados. Na figura 1.1 é apresentado um exemplo de instalação de processamento de dados centralizado, na empresa Holiday In de Atlanta [STA05]. Uma instalação de PDD (Processamento de Dados Distribuídos) é aquela em que os computadores estão espalhados pela empresa. Estes computadores necessitam de “alguma coisa” que possa interligá-los, que os façam comunicar entre si. Essa “coisa” é a rede de computadores. Até a década de 70, o processamento de dados centralizados era a estrutura mais adotada nas empresas. A partir desta época, o PDD, obteve um grande crescimento entre as empresas do mundo [STA05]. 6 Os fatores que fizeram o PDD crescer foram: a diminuição considerável no preço do hardware e aumento na capacidade destes; e a adoção das GUIs (Grafical User Interface – Interface Gráfica do Usuário), que facilitou o manuseio dos equipamentos e acesso as respostas das aplicações. Figura 1.1 Arquitetura de sistemas de informação do Holiday Inn A figura 1.2 mostra outro exemplo de sistema distribuído adotado na empresa J. P. Morgan [STA05]. Nessa empresa é verificado que os usuários têm a liberdade na escolha de uma estação de trabalho de acordo com a preferência pessoal. 1.2. Arquitetura cliente/servidor A arquitetura cliente/servidor cresceu, devido ao aparecimento das LANs, juntamente com aparecimento de softwares preparados para oferecer processamento entre os computadores. Esta arquitetura é econômica e flexível, ou seja, é possível numa única máquina funcionar ao mesmo tempo o servidor de arquivos e de impressão juntos. Pode-se também ter duas máquinas numa mesma rede, um com servidor de impressão e a outra com 7 servidor de arquivos. Não importa a localização do servidor, mas se eles estão na mesma rede. Normalmente a Intranet fornece aos usuários recursos e aplicações de forma isolada dentro da empresa. Figura 1.2 Arquitetura de sistemas distribuídas de J.P. Morgan As Extranets oferecem acesso a recursos externos como a Internet. Ela utiliza o protocolo TCP/IP. 8 1.2.1. Conceito de PDD O PDD é um conjunto de computadores que estão dispersos remotamente e possuem algum tipo de interligação em comum entre eles. No PDD são encontradas funções como aplicações, controladores de dispositivo, controle e dados. 1.3. Particionamento vertical e particionamento horizontal O particionamento vertical ocorre quando os dados são processados ao nível de aplicação e é distribuído seguindo certa forma hierárquica entre as máquinas. Um exemplo de particionamento vertical é o controle de processo de uma fábrica. Quando o processamento de dados no nível de aplicação é distribuído entre uma faixa de computadores que se relacionam na forma de parceria não existe conceito sobre cliente/servidor. Neste caso, é chamado de particionamento horizontal. Um exemplo é o sistema de controle de tráfego aéreo [STA05]. Existem outros tipos de PDD, como: Dispositivos distribuídos: um conjunto distribuído de dispositivos que são manipulados via processadores. Ex: caixa eletrônico; Gerenciamento de rede: forma de gerenciamento e controle que é exigido num sistema distribuído. Este ajuda na disponibilidade e a responsividade numa rede de comunicação. 1.4. Banco de dados distribuído O banco de dados distribuído é um conjunto de dados que estão dispersos, ou seja, que estão espalhados entre uma série de sistemas de computador, que possui algum tipo de interligação em comum entre eles. Existem três maneiras de organizar os dados: centralizada, replicada e particionada. 9 No banco de dados centralizado os dados são armazenados em um computador central, nos computadores clientes e até mesmo o próprio computador central pode utilizar estes dados. Este tipo de organização de dados possui um grave problema que é o gargalo no servidor (computador central que contém os dados), ou seja, tráfego de dados desta região é elevado, possibilitando que toda a rede possa ter um alto tempo de resposta [STA05]. No banco de dados replicado os dados, na sua totalidade ou parcial, são copiados para outros computadores que estão presente no mesmo sistema. Existem, três subtipos de organização por replicação: Replicação por tempo real: é utilizado em sistemas que envolvem transações em que todas as cópias dos dados necessitam de ser sincronizadas imediatamente. Este tipo de operação eleva o tempo de resposta na rede; Replicação quase por tempo real: neste tipo de operação, a sincronização das cópias dos dados não é realizada de forma imediata, mas são feitas com certo intervalo de tempo pré-definido. Exemplo: sincronização de dados ocorre a cada uma hora; Replicação adiada: nesta operação, a sincronização ocorre em intervalos longos, como um por dia ou a cada 18 horas, por exemplo; No banco de dados particionado os dados estão dispersos, ou seja, estão distribuídos entre vários computadores da rede. 1.5. Requisitos do PDD na rede Os requisitos para comunicações e redes gerados pelo uso do PDD são divididos em três áreas: conectividade, disponibilidade e desempenho. A conectividade é a capacidade dos componentes no sistema trocarem dados com outros computadores do mesmo sistema que estão interconectados. Um sistema PDD que 10 utiliza particionamento vertical tradicionalmente necessita de enlaces entre entidades que estão em um nível acima ou abaixo dele na hierarquia. A figura 1.3 mostra vários grupos de computadores, conectados entre si, através de enlaces diretos. Figura 1.3 Conectividade plena usando enlaces diretos Na figura 1.4 são mostrados cinco computadores que são interligados indiretamente via um comutador central. O resultado de seu uso implica na redução dos gastos relativos aos equipamentos, principalmente placas de rede. A disponibilidade é a quantidade de tempo em que uma determinada aplicação está disponível para o usuário que solicitou. O desempenho é a eficiência da comunicação entre os computadores que estão interligados num mesmo sistema. 11 Figura 1.4 Uso de um comutador central para conectividade plena 1.6. Computação Distribuída A Computação distribuída pode ser definida através da conexão de várias máquinas em uma rede, através da troca de mensagens. São exemplos à arquitetura cliente/servidor e a Intranet [STA05]. 1.6.1. A arquitetura Cliente/Servidor e o Mainframe A arquitetura cliente/servidor vem substituindo as técnicas de computação centralizada, em que todo ou quase todo o processamento é feito em um host central (mainframe). Durante a década de 70 e até a metade da década de 80, este foi o modelo dominante, sem nenhum concorrente para ameaçá-lo. Para acessar este computador de grande porte, eram utilizados os chamados terminais burros [BAT03]. O mainframe é um equipamento que precisa de instalações adequadas, nas quais existe controle de temperatura, umidade do ar e alimentação elétrica estabilizada. Ele possui algumas vantagens que são: 12 Os programas e os dados ficam instalados no mainframe o que facilita o gerenciamento deste ambiente; Manter o ambiente seguro é mais simples porque o gerenciamento é centralizado; Maior facilidade para atualização dos sistemas. Apesar aplicações baseadas em mainframe apresentarem essas qualidades, elas não tem capacidade de responder rapidamente as demandas da maior parte das empresas. Além disso o custo é elevado. Em uma organização em que se encontra essa arquitetura, para se ter acesso aos dados é necessário uma linha de dados ligada à outra empresa dotada de um modem, que estão conectados os terminais burros. Além de estas linhas apresentarem sérios problemas de desempenho e o preço é alto. Quando a linha esta desativada ou offline nenhum usuário tem acesso aos sistemas [BAT03]. No final da década de 80 e início dos anos 90, os PCs (Personal Computer Computador Pessoais) já eram uma realidade. Nessa época surgiu a computação cliente/servidor. A idéia deste modelo era uma descentralização dos dados e dos aplicativos [BAT03]. Os seus componentes são: os clientes, que solicitam serviços ao servidor e o servidor que atende as requisições dos clientes. Estes estão ligados e se comunicam através de uma rede, que pode ser uma LAN ou WAN (Wide Área Network – Rede de Área Alargada ou rede de longa distância) ou mesmo a Internet, como mostra a figura 1.5. Os servidores geralmente são equipamentos com grande capacidade de armazenamento em disco, processamento e quantidade de memória RAM (Ramdom Acess Memory – Memória de acesso aleatório). Eles normalmente rodam um Sistema Operacional específico para servidor, como por exemplo: Windows NT Server (3.51, 4.0); Alguma versão do UNIX, como o mandrake, slackware e o red hat; Windows 2000 Serve; 13 Windows Server 2003. Windows Server 2008. Existem vários tipos de servidores como: Servidor de arquivos; Servidor de banco de dados; Servidor para outras funções, como por exemplo, a autenticação de usuários, a resolução de nomes, a Intranet, dentre outros. A arquitetura cliente/servidor permite selecionar as aplicações necessárias de forma ágil, possibilitando acesso imediato às informações. Uma característica importante desta arquitetura é fornecer uma interface gráfica amigável com usuário. Figura 1.5 Ambiente cliente/servidor genérico. Este movimento de um computador de grande porte – Mainframe -, em direção a servidores de menor porte – servidores de rede local – ficou conhecido como Downsizing [BAT03]. 14 1.6.1.1 Aplicações cliente/servidor A arquitetura cliente/servidor é dividida em camadas, como mostra a figura 1.6. No nível de aplicação são feitos os pedidos de solicitação e resposta entre o cliente e o servidor. A camada intermediária é a do software de comunicação que faz a interação de protocolos, um exemplo de protocolo é o TCP/IP. No nível inferior, estão o sistema operacional e a plataforma de hardware que podem ser de fabricantes diferentes, desde que o cliente e o servidor compartilhem os mesmos protocolos de comunicação. Figura 1.6 Arquitetura cliente/servidor genérica. Existe ainda uma arquitetura cliente/servidor de três camadas, composta por um cliente, um servidor da camada intermediária (servidor de aplicação) e servidores de backend (servidores de dados) de acordo com a figura 1.7. O servidor intermediário funciona como um gateway entre as aplicações do cliente e as do servidor back-end, podendo atuar como um cliente e um servidor. O cliente não tem acesso aos dados do servidor de banco de dados, sem antes passar pelo servidor de aplicação. 15 Figura 1.7 Arquitetura cliente/servidor de três camadas. 1.6.2. Intranet A Intranet é uma rede baseada nos protocolos do modelo TCP/IP, mas que é utilizada dentro de uma empresa. Globalmente, empresas de diversas áreas de atuação estão utilizando essa ferramenta para melhor usufruir as vantagens que a Internet oferece [ARO07]. Algumas dessas vantagens são: Implantação rápida de novos serviços; Escalabilidade; Necessidade de pouco treinamento de usuários; Flexibilidade e interoperabilidade de plataformas; Variedade de arquitetura de computação distribuída podendo ter poucos servidores centrais ou muitos servidores distribuídos; 16 Implementação de baixo custo devido ao pouco investimento em novo software ou infra-estrutura. As características das Intranet são: alta velocidade de processamento e capacidade de armazenamento dos computadores pessoais e altas taxas de dados das LANs. 1.6.2.1 Intranet Web A Web é um serviço amplamente difundido e conhecido. Uma empresa pode utilizar uma Intranet web para que seus funcionários possam acessar através de uma página inicial (homepage) informações e serviços de uma organização. Um usuário ou um grupo de usuários pode criar sua própria página Web de acordo com suas necessidades. Um exemplo de uma estrutura de página Web é mostrado na figura 1.8, onde vários serviços como de informação, vendas, finanças, recursos humanos e treinamento são realizados [STA05]. Figura 1.8 Exemplo de estrutura de página Web corporativa. 17 Outra tecnologia de Intranet é o correio eletrônico. O correio eletrônico (e-mail) fornece suporte a multimídia (som, imagens, documentos) e facilita a criação e o gerenciamento de uma lista de correspondência eletrônica, que é um nome que possui vários destinos. 1.6.3. Extranet Uma Extranet pode ser definida como uma rede de computadores baseada no modelo TCP/IP para conectar empresas com seus fornecedores, clientes e outras empresas que compartilham objetos comuns [MAN04]. As vantagens desse compartilhamento são: Custos reduzidos: a informação que precisa ser compartilhada é feita em um modelo automatizado; Maior qualidade do produto: reclamações dos clientes chegam aos fornecedores mais rapidamente, permitindo correções, mas rápida; Maiores lucros para os fornecedores: atualizações sobre as vendas ajudam os fornecedores a ajustar sua resposta ao mercado; Rapidez para o mercado: Os produtos chegam mais rapidamente ao mercado. O modelo de operação para Extranet é o cliente/servidor. Uma questão importante na Extranet é a segurança. Como os recursos web coorporativos e os recursos de banco de dados se tornam disponíveis para os de fora e são permitidas transações contra esses recursos, aspectos de privacidade e autenticação devem ser resolvidos. Isso é feito através do uso da VPN, por exemplo [STA05]. Existem algumas opções de comunicação para criar uma Extranet: Acesso dial-up de longa distância: permite que os de fora acessem a Intranet, através de um logon para autenticar o usuário. Essa técnica oferece uma segurança, mas é fraca; 18 Acesso seguro a Intranet pela Internet: autenticação de usuário e a criptografia da comunicação entre o usuário e a Intranet dão maior segurança; Acesso pela Internet a um servidor externo que duplica alguns dos dados da Intranet de uma empresa: reduz o risco de invasão contra o hackers, e o valor da Extranet para os parceiros externos. 1.7. Evolução dos Sistemas Operacionais A evolução dos sistemas operacionais está relacionada ao desenvolvimento de equipamentos tecnológicos, que os torna cada vez mais velozes, compactos e baratos, além da necessidade de aproveitamento desses recursos [TAN02]. 1.7.1. A Primeira Geração (1945-1955): Válvulas e Painéis No início da Segunda Guerra surgiram os primeiros computadores digitais que eram formados por milhares de válvulas e ocupava grande espaço físico. O funcionamento destas máquinas era lento e duvidoso. Nesta época apenas um grupo de pessoas era responsável pelo projeto, construção, programação, operação e manutenção de cada máquina. Para se trabalhar nelas era necessário ter profundo conhecimento no funcionamento do hardware e saber ao menos o conceito de linguagem de programação e sistemas operacionais que ainda não existiam. A programação era feita em painéis através de fios utilizando linguagem de máquina. O acesso ao computador por usuário era feito por meio de reserva antecipada de tempo de máquina. O usuário fazia sua própria programação nos painéis da máquina e torcia para que nenhuma das válvulas utilizadas queimasse durante o seu trabalho [TAN02]. No início dos anos 50 houve uma melhora no uso destas máquinas com a criação do cartão perfurado. Assim, foi possível a codificação de programas em cartões e sua leitura pela máquina deixando de lado a programação através de painéis. 19 1.7.2. A Segunda Geração (1955- 1965): Transistores e Sistemas Batch Com o surgimento do transistor e das memórias magnéticas houve um avanço dos computadores da época e se tornaram confiáveis a ponto de serem comercializados. O transistor permitiu o aumento da velocidade e da confiabilidade do processamento e as memórias magnéticas permitiram o acesso mais rápido aos dados, com maior capacidade de armazenamento e computadores menores. Nesta época passou a haver distinção entre as pessoas envolvidas no projeto, construção, operação, programação e manutenção destas máquinas chamados de operadores. Elas eram instaladas em salas separadas e operadas por um pessoal especializado. Com o surgimento das primeiras linguagens de programação os programas deixaram de ser feitos diretamente no hardware, facilitando o processo de desenvolvimento de programas. Os programas eram perfurados em cartões, que submetidos a uma leitora, os gravava em uma fita de entrada. A fita era lida pelo computador, que executava um programa de cada vez, gravando o resultado do processamento em uma fita de saída. Ao término de todos os programas, a fita de saída era lida e impressa. A esse tipo de processamento, onde um lote (batch) de programas era submetido ao computador deu-se o nome de processamento batch [TAN02]. Antes do processamento batch os programas eram submetidos pelo operador, um a um, fazendo com que o processador ficasse ocioso entre a execução de um programa e outro. Com o processamento batch, um job (grupo de programas) era submetido de uma só vez diminuindo o tempo existente entre a execução dos programas e permitindo assim o melhor uso do processador. Os sistemas operacionais passaram a ter seu próprio conjunto de rotinas para operações de IOCS (Input/ Output Control System – Controle de sistema de entrada/saída), para facilitar o processo de programação. 20 1.7.3. A Terceira Geração (1965-1980): CIs e Multiprogramação Com o uso de CIs (Circuitos Integrados) e microprocessadores foi possível diminuir os custos de aquisição e utilização, viabilizando e difundindo o uso de sistemas operacionais pelas empresas. Nesta época, a IBM (International Business Machines) lançou em 1964 a Série 360, conseguindo uma relação preço/ performance melhor que as máquinas da segunda geração, construídas com transistores individuais. Esse lançamento causou uma revolução industrial de informática, pois introduziu uma família de computadores pequena, poderosas e principalmente compatíveis entre si [TAN02]. A idéia da família única criou um problema, pois a intenção era que qualquer software, inclusive o sistema operacional, rodasse em todos os modelos da família, tanto em ambientes comerciais, quanto nos científicos. O resultado foi à criação de um sistema operacional enorme e muito mais complexo, duas ou três ordens de magnitude maior que dos computadores da segunda geração. Apesar do tamanho e de seus problemas várias técnicas vieram a ser implementadas, como a técnica de multiprogramação. Quando o job corrente parava para aguardar a conclusão de operações de entrada/saída o processador também permanecia inativo até a conclusão da operação. Na terceira geração outra característica importante no sistema operacional foi a capacidade de ler jobs de cartão direto para o disco. Assim, ao término de um job, o sistema operacional carregava no novo job na partição livre da memória proveniente do disco. A multiprogramação passou a oferecer então tempo de respostas razoáveis aos usuários e uma interface amigável. Com isso, cada programa na memória utilizaria o processador em pequenos intervalos de tempos. A esse sistema de divisão de tempo do processador chamou-se time-sharing (tempo compartilhado) [TAN02]. Outro fato importante foi o surgimento do sistema operacional Unix baseado no sistemas MULTICS (Multiplexed Information and Computing Service), ou seja, uma 21 máquina que suportasse centenas de usuários simultaneamente, em regime de compartilhamento de tempo. 1.7.4. A Quarta Geração: Computadores Pessoais Com o desenvolvimento da tecnologia de circuitos LSI (Large Scale Integration – Integração em larga escala) e a VLSI (Very Large Scale Integration - Integração com muita larga escala) apareceram chips com milhares de transistores encapsulados em um centímetro quadrado de silício. Foi isso que levou adiante o projeto de miniaturização e barateamento dos equipamentos, surgindo à idéia do computador pessoal. Os computadores pessoais quando conectados a uma rede são denominados estações de trabalho (workstations). Tais máquinas são usadas para as mais diversas atividades e usualmente estão conectadas a uma rede pública ou privada, que permite a troca de informações entre todas as máquinas ligadas a ela [TAN02]. A grande disponibilidade computacional levou ao surgimento de indústrias voltadas para a produção de software para estas máquinas. A maioria destes software são voltados para pessoas que possuem o mínimo de conhecimento computacional chamado como userfriendly. Neste período um desenvolvimento interessante começou a tomar corpo nos anos 80 foi o dos sistemas operacionais para redes e o dos sistemas operacionais distribuídos. Isso permitiu que um conjunto de máquinas conectadas a rede pudessem se comunicar remotamente, admitindo que programas rodem em vários processadores ao mesmo tempo e para isso é necessário algoritmos de escalonamento de processador bem mais elaborados. 1.7.5. Sistema Operacional Monousuário versus Sistema Operacional Multiusuário O Sistema Operacional Monousuário se caracteriza por permitir que o processador, a memória e os periféricos fiquem dedicados a um único usuário por vez e possui processamento centralizado. 22 Neste sistema enquanto o programa aguarda por um evento, como a digitação de um dado, o processador fica ocioso sem realizar qualquer tarefa. A memória é subutilizada caso o programa não a preencha totalmente. Sistemas Monousuários são de simples implementação se comparados a outros sistemas, não tendo preocupação com problemas de segurança, pois só existe um usuário utilizando-o [MAC92]. Os Sistema Operacional Multiusuário permite que se tenha mais de um usuário utilizando um mesmo processador e seus recursos ao mesmo tempo, através de terminais ligados ao computador. Os programas e arquivos de dados estão em um único computador que gerencia o uso de seus recursos. Dessa forma é possível aumentar a produtividade dos usuários e reduzir os custos de utilização do sistema. O Sistema Operacional Multiusuário é mais complexo e eficiente do que Sistema Monousuário e se preocupa em gerenciar o acesso concorrente aos seus diversos recursos, de forma ordenada e protegida, entre os diversos usuários. A comunicação com as diversas tarefas é feita através de softwares que criam ambientes diferenciados para cada tarefa [MAC92]. 23 CAPÍTULO 2 - O SISTEMA OPERACIONAL WINDOWS SERVER 2003 Neste capítulo é apresenta uma visão geral do Windows Server 2003. Serão mostrados suas características e alguns dos seus serviços básicos como, por exemplo, impressão, arquivos e o Active Directory. O Windows Server 2003 apresenta quatro edições, que se diferenciam pelos recursos disponíveis e limites de hardware. Isto também será visto no decorrer do trabalho, assim como a versão utilizada para implementar este projeto, que é a Enterprise Edition. Os aspectos como segurança, serviços de gerenciamento e comunicação encontramse no final desse capítulo. 2.1. Introdução ao Windows Server 2003 O Windows Server 2003 é um sistema operacional próprio para servidores em uma rede. Uma rede é composta por servidores, clientes e dispositivos que fazem a conectividade entre eles como hubs, switches, roteadores e outros. Um servidor é quem fornece serviços para um cliente. Um exemplo de serviço bastante comum é uma impressora compartilhada no servidor, onde muitos clientes podem enviar impressões. Outro exemplo usado diariamente por várias pessoas é o acesso à Internet, em que o tipo de serviço que esta sendo disponibilizado são informações em um servidor Web e o navegador ou browser utilizado para acessar estas informações é o cliente. 24 A Internet é considerada uma gigantesca rede cliente/servidor de alcance mundial, com milhões de servidores e clientes acessando os mais variados recursos e diferentes serviços. Em redes de computadores é necessário que os equipamentos possuam o mesmo protocolo de comunicação para poderem trocar informações. O Windows Server 2003 fornece suporte a uma série de protocolos, porém o mais utilizado é o TCP/IP. Um dos principais motivos é que o TCP/IP é o protocolo utilizado na Internet e tem forte aceitação do mercado, pois é usado pela maioria dos sistemas operacionais e considerado padrão [BAT03]. Existem algumas funções que um servidor baseado no Windows Server 2003 pode desempenhar: Servidor de banco de dados; Servidor de correio eletrônico; Serviços de rede; Controlador de domínio; Servidor de Internet/Intranet; Serviços de compartilhamento de arquivos e de impressão; Servidor de aplicação, firewall e roteamento. Este Sistema Operacional pode ser configurado para oferecer vários serviços aos clientes de uma rede. 2.2. Edições do Windows Server 2003 O Windows Server 2003 possui diferentes edições e o que diferencia uma da outra são as funcionalidades disponíveis em cada edição e as necessidades mínimas e máximas de hardwares suportados. As quatro edições são: 25 Windows Server 2003 Web Edition; Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition; Windows Server 2003 Data Center Edition. 2.2.1. Windows Server 2003 Standard Edition Normalmente, esta versão é utilizada em servidores de pequenas e médias empresas ou servidores departamentais que possui um número médio de usuários. É usado para serviços básicos como autenticação de usuários e compartilhamento de arquivos e impressão. O Windows Server 2003 Standard Edition não tem suporte ao serviço de Cluster – Cluster Services. Com este tipo de serviço é possível configurar vários servidores para atuar como se fosse um único servidor. Caso um dos servidores falhe, os outros continuam a atender os clientes normalmente. Além disto, existem outros serviços e/ou recursos que não são disponíveis nesta edição como: Suporte a mais que quatro processadores; Suporte a mais que 4 GB (Gigabytes) de memória RAM; Versão de 64 bits para processadores Intel Itanium; Troca de memória sem desligar o servidor; Suporte a serviços de metadiretório; Não possui o recurso WSRM (Windows System Resource Manager), que permite a alocação de recurso de hardware para processos específicos. 26 2.2.2. Windows Server 2003 Enterprise Edition O Windows Server 2003 Enterprise Edition é recomendado para redes de porte de médio tendendo para grande, que utilizem serviços como servidor de banco de dados, correio eletrônico e roteamento [BAT03]. Ele possui as seguintes limitações de hardware: Oito processadores na versão de 32 bits; 32 GB de memória RAM na versão de 32 bits; Cluster com até oito servidores;. Esta edição possui todas as funcionalidades que não estão disponíveis para a edição anterior. 2.2.3. Windows Server Data Center Edition O Windows Server Data Center Edition é usado por organizações que apresentam um maior número de usuários e que necessitam de elevadas exigências de desempenho. Os serviços utilizados não podem falhar como, por exemplo, as aplicações que mantêm em funcionamento uma bolsa de valores [BAT03]. Esta edição apresenta as seguintes limitações quanto ao hardware: 32 processadores na versão de 32 bits e até 64 bits, para servidores baseados no processador Intel Itanium; 64 GB de memória RAM na versão de 32 bits e até 512 GB de RAM na versão de 64 bits para servidores baseados no processador Intel Itanium; Cluster com até oito servidores. Ele pode ser adquirido somente através do programa Windows Datacenter High Availability. O objetivo deste programa é fazer com que os fabricantes de hardware que tem interesse nesta edição, passem por testes para garantir que o equipamento esteja de 27 acordo com as especificações da Microsoft, enquanto que para utilizar as outras edições é necessário apenas comprar a licença de uso [BAT03]. 2.2.4. Windows Server 2003 Web Edition Esta edição tem uma finalidade específica que é para serviços como aplicações Web e hospedagem de sites. Foi projetado para uso em servidores de Internet/Intranet. Ele apresenta dois limites de hardware que são: Suporta, no máximo, dois processadores; Suporta, no máximo, 2 GB de memória RAM. Na tabela 2.1 é apresentada uma comparação entre todas essas edições do Windows Server 2003, mostrando as características e as funcionalidades que cada um possui. Recurso Tecnologias de cluster Balanceamento de carga da rede Cluster de falhas Comunicações e serviços de rede Conexões de rede virtual privada (VPN) Serviço de protocolo de início de sessão (SIP) Serviço de autenticação da Internet (IAS) Ponte de rede Compartilhamento de conexão Web Standard Enterprise Datacenter Edition Server Server Server 28 Recurso com a Internet (ICS) Serviços de diretório Active Directory™ Suporte para serviços de metadiretório (MMS) Serviços de arquivo e impressão Sistema de arquivos distribuídos (DFS) Sistema de arquivos com criptografia (EFS) Restauração de cópia duplicada SharePoint™ Team Services Armazenamento removível e remoto Serviço de fax Serviços para Macintosh Serviços de gerenciamento IntelliMirror Conjunto de diretivas resultante (RSoP) Windows Management Instrumentation (WMI) Servidor de instalação remota (RIS) Serviços de segurança Firewall de conexão com a Internet Serviços de certificado Web Standard Enterprise Datacenter Edition Server Server Server 29 Recurso Web Standard Enterprise Datacenter Edition Server Server Server Serviços de terminal Área de trabalho remota para administração Terminal Server Diretório de sessão do Terminal Server Serviços de multimídia Windows Media™ Services Escalonabilidade Suporte a 64 bits para computadores Intel® Itanium™ Hot-Swap de memória¹ Acesso não-uniforme à memória (NUMA)¹ Controle de processos Programa de suporte ao Datacenter Serviços de aplicativo da Web .NET Framework Internet Information Services (IIS) ASP.NET Tabela 2.1 Comparação entre todas as edições do Windows Server 2003 2.3. Active Directory O Active Directory é o serviço de diretórios do Windows Server 2003. Um serviço de diretórios é um banco de dados onde estão armazenadas todas as informações sobre os 30 elementos de uma rede, como nomes de computadores, nome de usuário e grupo e assim por diante. Ele é um componente essencial do Windows Server 2003 [BAT03]. Novas ferramentas e funcionalidades surgiram para administrar o Active Directory no Windows Server 2003, dentre as quais destacam-se: ADMT 2.0 (Active Directry Migration Tool): é uma ferramenta que faz a migração de todas as contas de usuários e suas respectivas senhas, de uma rede do NT Server 4.0 e Windows 2000 Server para o Windows Server 2003; Renomear o domínio: pode-se renomear um domínio no Windows Server 2003, obedecendo a certas condições; Maior flexibilidade para o gerenciamento do schema: é no schema que encontra se todos os objetos do Active Directory e outras informações. Toda a definição do objeto do usuário, os atributos e o tipo do atributo estão no schema; AD/AM (Active Directory in Application Mode): permite instalar e configurar o Active Directory em um servidor, o que é executado no modo de aplicação. Sendo executado no modo de aplicação é como se não existisse um serviço do sistema operacional e com isso o servidor não tem um DC (Domain Controler Controlador de domínio). Como não roda com um sistema operacional o Active Directory pode ter múltiplas instâncias instaladas no mesmo servidor, independente umas das outras. Este recurso é um componente separado do Windows Server 2003. Uma inovação no console de administração do Active Directory é que permite arrastar-e-soltar, seleção de múltiplos objetos e a capacidade de salvar e utilizar a mesma pesquisa feita no Active Directory. A respeito da segurança do Windows Server 2003 no Active Directory foram implementadas algumas melhorias: 31 Cross-forest authentication: permite que o usuário acesse de forma segura recursos dos servidores de outras floresta sem precisar ter uma conta de usuário em um domínio da floresta de destino; Cross-forest authorization: concede ao administrador selecionar usuários e grupos de outros servidores, para incluir em grupos locais ou em uma lista de permissão de acesso para arquivos, pastas ou impressoras; Políticas para restrições do software: é uma funcionalidade onde o administrador pode desenvolver uma lista de programas que são autorizados a serem executados na área de trabalho na rede da empresa. Com isso impede que os usuários instalem programas desnecessários; Facilidade de logon para usuários remotos: as informações do logon do usuário são gravadas em um cache no DC da rede onde o usuário está. Permitindo que o usuário faça o logon mesmo se a conexão da empresa for perdida, pois as informações estão no cache do servidor; Melhorias na replicação das alterações feitas em grupo de usuário: no Windows Server 2003 sempre que um grupo for alterado (um novo usuário for adicionado ou removido, ou o grupo for renomeado) somente as alterações serão replicadas, diminuindo o tráfego na rede; Application Directory Partitions: nem todas as informações contida no Active Directory precisam estar disponíveis em todos DCs . Com a Application Directory Partitions (Partição de aplicação do Active Directory) é possível configurar para quais servidores a informações devem ser replicadas; Instalar uma réplica do Active Directory a partir de um CD (Compact Disc – Disco compacto), fita de backups ou HD (Hard Disk – Disco Rígido). No Windows Server 2003 o usuário pode fazer cópias do Active Directory em CDs, fitas de backpus ou HD. Ao instalar um novo DC o usuário transporta a cópia do 32 Active Directory gravada e em seguida replica as alterações desde o momento em que gerou a cópia até a instalação do novo DC. 2.4. Compartilhamento de Arquivos e Impressão Os serviços mais utilizados são os de compartilhamentos de impressoras e arquivos. Foram feitas algumas melhorias no compartilhamento de arquivo do Windows Server 2003, como pode citar: WebDav (Remote Document Sharing): é um recurso onde os aplicativos acessam dados em servidores HTTP (HiperText Transfer Protocol - Protocolo de Transferência de HiperTexto), com redirecionador WebDav, o programa enxerga os arquivos remotos como se fossem locais; ASR (Automated System Recovery): permite que faça backups das configurações de software e de hardware do sistema. Se ocorrer alguma falha, pode utilizar o backup para restaurar o sistema ao estado, o qual encontrava quando foi efetuado o backupI; Novos comandos para gerenciamento de discos e volumes: novos comandos são oferecidos no Windows Server 2003, o qual facilita a criação de scripts para o gerenciamento de disco e volumes; Utilitário de desfragmentacão: no Windows Server 2003 o utilitário de desfragmentação é mais rápido e eficiente do que as versões anteriores; DFS (Enhanced Distributed File System): é um sistema em que múltiplos usuários compartilham arquivos que estão armazenados remotamente. Também permite a replicação das pastas compartilhadas, para que em caso de falha, as cópias do conteúdo das pastas possam ser encontradas em outro servidor; _ FRS (File Replication Services): Esse serviço junto com DFS fornece os serviços de replicação, o qual permite que um arquivo possa ser representado por várias cópias de seu conteúdo em diferentes lugares; 33 _ Melhorias no EFS (Encrypting File System - Sistema de criptografia de arquivos): Surgiram novas APIs (Application Program Interfaces), para facilitar a criação de novos software antivírus eficientes sem afetar o desempenho do servidor; _ Shadow Copies for Users é uma funcionalidade que pode ser habilitada em cada pasta compartilhada, após habilitar esse serviço o Windows Server 2003 faz cópias das versões anteriores dos arquivos. Algumas melhorias no sistema de impressão do Windows Server 2003: Novidades em linha de comandos, onde são executadas as principais tarefas de administração e compartilhamento em impressoras; Suporta um grande número de drives de impressoras; Melhorias no desempenho da impressão na rede; Printer Cluster Support: impressão em um cluster de servidores, ou seja, ao instalar um driver de impressora em algum servidor cluster todos os servidores que fazem parte dele instalarão o driver automaticamente. 2.5. Novidades em relação à segurança no Windows Server 2003 A segurança é um dos detalhes que define a escolha de um sistema operacional para servidores. O Windows Server 2003 apresenta diversas melhorias no ponto de vista segurança. Firewall de conexão com a Internet IFC (Internet Connection Firewall). Este firewall é o primeiro nível de segurança do Windows Server 2003; Suporte ao protocolo IEEE 802.1x. Nesse protocolo é possível realizar a autenticação em um domínio gerenciado pelo Windows Server 2003, sendo muito utilizado em redes sem fio; 34 Controle nas restrições de softwares. Com o Windows Server 2003, o administrador tem o poder permitir ou vetar softwares de acordo com as necessidades da corporação; Configuração do IIS 6.0 para o padrão de proteção máxima. Inicia-se a configuração do servidor como todos os recursos bloqueados, e de acordo com as necessidades, o administrador libera os recursos solicitados; Sites seguros que utilizam o protocolo SSL (Secure Sockets Layer – Camada de Soquete Seguro), obteve uma melhoria na performace nas aplicações baseadas em Web seguras com a utilização conjunta do Windows Server 2003 de até 35% [BAT03]. 2.6. Novidades de serviços de rede e comunicação O Windows Server 2003 oferecer alguns serviços, tais como DNS, compartilhamento de arquivos e impressoras até serviços mais sofisticados de acesso remoto e roteamento. O Windows Server 2003, possui suporte ao IPv6 (Internet Protocol version 6 – Protocolo de Internet versão 6). O IPv6, é a nova versão do protocolo IP (Internet Protocol – Protocolo de Internet) atualmente, está na versão 4. Vários problemas relativos ao desempenho do IPv4, foram reduzidos na versão IPv6. Um dos principais benefícios seria o aumento significativo de números de endereços IP disponíveis em relação à versão 4; Suporte ao protocolo PPPoE (Point-to-Point Protocol over Ethernet). Para o cliente, é possível conectar sem nenhum problema, a algum servidor que possui suporte ao PPPoE; Network Bridging: com está função, é possível com um Windows Server 2003 instalado, com diversos adaptadores de rede instalados, tais como: Ethernet, Wireless e Dial-Up, ter acesso a diferentes tipos de rede; 35 Adoção do protocolo IPSec (Internet Protocol Secure – Protocolo de Internet Seguro) no NAT (Network Address Translation). O protocolo IPSec era uns dos problemas encontrados no seus antecessor, Windows 2000 Server. Porém, no Windows Server 2003, é possível utilizar o IPSec através do servidor RRAS (Remote Acess Server - Servidor de Acesso Remoto) com NAT; Diversas melhorias foram aprimoradas na administração do GPO (Group Polices Objects) através do GPMC (Microsoft Group Policy Management Console). Outra novidade, é que o Windows Server 2003, fica possível a configuração da lista de prefixos DNS no cliente, algo que não acontecia com o Windows 2000 Server. 2.7. Serviços de Gerenciamento do Windows Server 2003 Diversas ferramentas de gerenciamento foram aprimoradas nesta versão do Server 2003. Vale ressalvar que as melhorias em relação às ferramentas de administração e gerenciamento, implicam numa maior produtividade e um controle muito mais rigoroso e ágil para o administrador da rede. Com o console para administração de tarefas GPMC, é possível gerenciar aplicações de GPOs em múltiplos domínio. Sendo assim, é possível a realização de backup, cópias e relatórios dos GPO; RSoP (Resultant Set of Policy): esta ferramenta é utilizada pelo administrador, para analisar os efeitos das alterações nas políticas de seguranças, antes mesmo delas realmente serem efetivadas. É uma espécie de simulador. Com esta ferramenta integrada ao Windows Server 2003, as inconsistências podem ser encontradas e evitadas; Algumas opções novas referentes à política de seguranças foram adicionadas; Filtros WMI (Windows Management Instrumentation). O Windows Server 2003 permite com um filtro, possa selecionar uma característica dos computadores, 36 como por exemplo, seleção dos computadores com Processador Pentium II 350, com 128 MB de RAM com Windows XP Professional instalado; Cross-Forest Support: esta funcionalidade permite que usuário da floresta X, possa fazer um logon em um outro micro numa floresta Y, sendo que cada floresta possui um conjunto de GPO diferentes; Melhorias no RIS (Serviço de instalação remota). Mudanças foram realizadas para aumentar o desempenho do protocolo TFTP (Trivial File Transfer Protocol – Protocolo de Transferência de Arqivos Trivial); Adição de novos utilitários de linha de comando: foram adicionados dezenas de utilitários que facilitam a administração e a automação de diversas tarefas repetitivas; Realizam de atualizações dos mais variados arquivos do sistema e dos softwares mais requisitados num servidor; 2.8. Suporte ao desenvolvimento de Aplicativos no Windows Server 2003 Suporte a Web Services baseado em XML nativo do sistema operacional; Framework .NET: este é a base para qualquer aplicação baseada no modelo. NET. Ao invés de baixá-lo separadamente, o Server 2003, já o possui no próprio CD de instalação; ASP.NET intregrado ao IIS 6.0. Isso melhorou a segurança e o desempenho das aplicações baseado nesta tecnologia; ASP.NET: Advanced Compilation. Esta nova funcionalidade desta tecnologia, aumenta para melhor performace das aplicações que utilizam a tecnologia ASP.NET. No Windows Server 2003, a página ASP.NET, após ser carregada , ela é compilada e mantida na memória do servidor. O IIS verifica se a página já houve modificações para que possa substituir a versão ultrapassada que está na memória do servidor. 37 ASP.NET: Intelligent Caching. O Windows Server 2003 junto com a tecnologia ASP.NET: Intelligent Caching, permite que o programador possa fazer um controle refinado sobre como será feito o cache das páginas ASP.NET. Isso permite uma melhor otimização do desempenho do computador. 38 CAPÍTULO 3 - O ACTIVE DIRECTORY O elemento fundamental do Windows Server 2003 é o Active Directory porque nele estão armazenados todos os componentes de uma rede. Neste capítulo serão apresentados e explicados os diversos objetos que compõem este elemento. Os itens de sua estrutura lógica são: Domínios; Árvores; Florestas; Relações de Confiança; Objetos do Active Directory; Unidades Organizacionais; Schema. Estes itens serão esclarecidos no decorrer do capítulo, assim como as novidades que o Active Directory apresenta com relação ao Windows 2000 Server. Outro assunto que será detalhado é a definição e as vantagens de se usar um serviço de diretórios. Com isso se torna fácil para os usuários implementar e planejar uma infra-estrutura de rede baseada no Windows Server 2003 e no Active Directory. 39 3.1. Diretórios Um diretório é um cadastro ou um banco de dados com informações sobre usuários, senhas e outros dados necessários ao funcionamento de um sistema. Alguns exemplos deste são os sistemas de emails, as aplicações no mainframe e as aplicações cliente/servidor [BAT03]. Na figura 3.1 são ilustradas algumas aplicações para as quais um usuário pode utilizar diferentes plataformas e modelos para desempenhar seu trabalho em uma empresa. Para isso é necessário um logon e senha. Figura 3.1 Aplicações em diferentes ambientes e baseadas em diferentes modelos. O Active Directory também é um tipo de diretório, onde ficam armazenadas informações sobre conta de usuários, contas de computadores, grupos de usuários, senhas, domínios, enfim todos os elementos necessários ao funcionamento de uma rede baseada no Windows Server 2003 [BAT03]. Ele foi projetado para tornar-se o único diretório necessário na rede de uma empresa. As vantagens disso são: o logon único e as atualização automaticamente no diretório em todas as aplicações. Assim, os dados não correm o risco de ficarem desatualizados. 40 3.2. Domínios e Grupos de Trabalho (Workgroups) Existem duas formas de configurar um servidor na rede: fazer parte de um domínio ou de um grupo de trabalho. Nos próximos tópicos serão detalhados cada um deles. 3.2.1. Rede Baseada no Modelo de Workgroups Todos os servidores que compõem uma rede baseada no modelo de Workgroups possuem sua própria base (lista) de usuários, senhas e grupos. Por isso são chamados de servidores independentes [BAT03]. A figura 3.2 mostra um exemplo com três servidores cada um com sua lista de usuários. Figura 3.2 Uma rede baseada no conceito de Workgroup. Para que um usuário acesse um recurso em algum servidor da rede é necessário que ele tenha uma conta. O administrador é quem faz este cadastro do usuário. Este modelo é viável para redes pequenas, que possuem no máximo dez usuários e um único servidor. Por isso é fácil de implementar e o administrador consegue ter todo o controle da rede. Porém, em uma rede de grandes proporções que possui muitos servidores e funcionários este modelo de Workgroups, se torna insustentável porque cada usuário teria várias senhas, uma para cada serviço da rede. Isto poderia causar grandes confusões para eles como por exemplo, esquecê-las. 41 3.2.2. Rede Baseada no Conceito de Diretório - Domínio Em uma rede baseada em diretório todos os servidores compartilham a mesma base de usuários, ou seja, o mesmo diretório. Isso é mostrado na figura 3.3 onde encontram - se três servidores e uma única base para eles. Figura 3.3 Uma rede baseada no conceito de diretórios – domínio. As atualizações efetuadas em um servidor são repassadas para os demais para que todos fiquem com uma cópia idêntica da base de dados do diretório [BAT03]. Este modelo é fácil de administrar e permite a implementação de redes de grandes proporções tanto geográficas quanto em número de usuários. 3.3. Domínios, Árvores de Domínios e Unidades Organizacionais Os servidores e estações de trabalho que compõem uma rede podem ser configurados para fazerem parte de um domínio. Este é formado pelo conjunto de todas as informações de um diretório. Um domínio é considerado um limite administrativo e de segurança. Pois as contas de administrador têm permissões de acesso em todos os recursos dele. Para cada um é possível ter diferentes políticas e configurações de segurança como definir um tamanho de senha, por exemplo [BAT03]. 42 No banco de dados do Active Directory estão contidos todos os dados (contas e recursos) referentes ao domínio. Existem dois tipos de servidores baseados no Windows Server 2003 que são: DC; Servidores Membros. No DC todas as alterações feitas em um elemento do Active Directory como a criação de contas de usuários, grupos e políticas de segurança são repassadas para os outros DCs . Estas informações estão compartilhadas na rede. Os DCs têm a função de fazer a autenticação dos usuários. Ele verifica se os nomes de usuários e senha estão corretos. Para isso é feita uma comparação com as informações contidas na base de dados do Active Directory. Assim, qualquer recurso do domínio pode ser acessado. A criação de domínios pode ser utilizada por qualquer rede de maior porte [BAT03]. Os Servidores Membros não possuem uma cópia da lista de usuários e grupos do Active Directory e ainda tem acesso a ela. As contas criadas são válidas somente nele. É possível atribuir permissões para seus recursos sem a necessidade de criar usuários ou grupos localmente. Outra característica dele é que ele não efetua autenticação dos clientes. 3.3.1. Active Directory O Active Directory é o serviço de diretórios do Windows Server 2003. Ele é que disponibiliza o banco de dados com as informações sobre os elementos da rede como contas de usuários, grupos, computadores e recursos. Existem algumas funções que o Active Directory pode exercer como: Replicação entre os DCs; Autenticação; 43 Pesquisa de objetos na base de dados; Interface de programação para acesso aos objetos do diretório. Os recursos de segurança são integrados com o Active Directory através do mecanismo de autenticação. Isso é feito através do logon. Quando as informações estiverem corretas é liberado o acesso. Uma rede pode ser formada vários domínios. Para criar um domínio é necessário instalar o Active Directory em um Servidor Membro e em seguida informar que será o primeiro DC. Para que funcione corretamente é necessário que o DNS esteja instalado e configurado. O DNS é utilizado como serviço de nomeação de servidores e resolução de nomes. No Windows Server 2003 ao instalar o Active Directory o DNS é configurado automaticamente. Em uma empresa que utiliza estes recursos, a administração da rede é simplificada, pois todos os serviços são controlados em um único local. 3.3.2. Árvores de Domínios A árvore de domínios é um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2003 que compartilham um espaço de nomes [BAT03]. A figura 3.4 mostra um exemplo em que o pai é o domínio microsoft.com e os demais são os filhos. 44 Figura 3.4 Todos os domínios de uma árvore compartilham um espaço de nomes em comum. Os nomes dos objetos filhos contêm os nomes dos objetos pai à medida que a hierarquia cresce. Assim é formado um espaço de nomes contínuos. 3.3.3. Unidades Organizacionais A unidade organizacional é uma divisão que pode ser utilizada para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração [BAT03]. Um domínio pode ser dividido em várias unidades organizacionais. Com a utilização deste recurso é possível restringir o acesso dos usuários para que não tenham acesso a todos os objetos do domínio. Estes, quando formam uma árvore, não precisam ter a mesma estrutura hierárquica de unidades organizacionais. Este tema será detalhado no tópico 3.9. deste capítulo. 3.4. Objetos de um Domínio Os principais objetos do domínio que fazem parte do Active Directory são: contas de usuários, computadores e grupos de usuários. 45 3.4.1. Contas de Usuários Todo usuário que deseje ter acesso aos recursos dos computadores de um domínio deve ser cadastrado no Active Directory .Cadastrar um usuário é criar uma conta e uma senha para ele. A conta de usuário é criada uma única vez em um dos DCs e é replicada para todos os DCs do domínio. Alguns cuidados devem ser tomados ao criar uma conta tais como: toda pessoa que acessa a rede precisa obter sua própria conta e senha e estas não podem ser compartilhadas. O administrador pode restringir o acesso aos recursos da rede, definindo quais usuários podem ter acesso e qual o nível de sua permissão como leitura, leitura e alteração e leitura e exclusão. Para criar o nome de logon são definidas regras-padrão, pois no caso de nomes iguais há uma maneira de diferenciá-lo. Como por exemplo, os nomes de usuários do domínio possuírem no máximo 20 letras e não terem caracteres especiais. 3.4.2. Contas de Computador A conta do computador pode ser criada antes da instalação do computador ser adicionada ao domínio ou no momento em que o computador é configurado para fazer parte do domínio [BAT03]. O computador na rede tem que ter o mesmo nome da conta do Active Directory. Por exemplo, se o nome de um microcomputador for micro01, então a conta no Active Directory também será micro01. 3.4.3. Grupos de Usuários Um grupo de usuários é uma coletânea de contas que tem o papel de facilitar a administração e permitir acesso aos recursos como pastas e impressoras compartilhadas, dentre outros. Ao criar um grupo chamado contabilidade, por exemplo, todo o departamento contábil terá que fazer parte do grupo como mostra na figura 3.5. 46 Figura 3.5 O usuário herda as permissões do grupo Para se trabalhar com grupos de usuários é preciso levar em consideração os seguintes fatores: Os membros de um grupo herdam as permissões atribuídas ao grupo; Os usuários podem ser membros de vários grupos; Grupos podem ser membros de outros grupos; Contas de computadores podem ser membros de um grupo. Os grupos no Windows Server 2003 podem ser classificados em tipo, escopo e visibilidade. Os grupos de usuários que são classificados como tipo e dividem-se em outros dois sub-tipos: grupos de segurança e distribuição. O grupo de segurança é utilizado para permitir acesso aos recursos da rede, enquanto que o grupo da distribuição é utilizado em conjunto com servidores de e-mail para o envio de mensagens a um grupo de uma só vez. O escopo de um grupo é utilizado de diferentes maneiras para atribuição de permissões. Ele determina partes de um domínio ou de uma floresta de domínios. Existem três escopos de grupos de usuários: 47 Grupo Universal: podem ser utilizados em qualquer parte de um domínio ou de uma árvore de domínios e podem conter como membros, grupos e usuários de quaisquer domínios. Ele é usado em diversos grupos globais, onde cria um grupo universal e adiciona os diversos grupos globais como membros do mesmo; Grupo global: permite acessar recursos de qualquer domínio. Ele é utilizado para gerenciamento de objetos que sofrem alterações diariamente como contas de usuários e computadores. As alterações são replicadas somente dentro do domínio onde foi criado o grupo e não através de toda árvore de domínios; Grupos locais de domínios: tem permissão para acessar recursos somente dos domínios onde foi elaborado, porém podem ter como membros grupos de usuários de outros domínios. 3.5. Permissões em Múltiplos Domínios A figura 3.6 mostra um diagrama formado por um conjunto de várias árvores de domínios que serão explicadas no item 3.5.1. Figura 3.6 Uma árvore de domínios 48 3.5.1. Árvore de Sete domínios A figura 3.6 mostra um diagrama de uma árvore de sete domínios. O domínio principal é o root, nome do DNS conhecido como abc.com. O domínio é dividido em dois nomes que são: DNS que é o nome completo que seria abc.com e o outro é NETBIOS, este é composto pela primeira parte do nome abc. Cada domínio filho herda o nome completo do domínio pai: Domínio root é o principal abc.com; Domínios de segundo nível filhos contêm no nome vendas abc.com e prod.abc.com; O terceiro nível filhos do domínio estabelece o nome do domínio de segundo nível – filhos de vendas euro.vendas.abc.com, ásia.vendas.com e filhos do prod amer.proa.abc.com. 3.6. Nomenclaturas de Objetivos no Domínio O LDAP (Lightweight Directory Access Protocol) é o protocolo que fornece mecanismos de acesso aos objetos do Active Directory. Ele define um sistema de nomeação hierárquico, o qual é possível referenciar qualquer objeto do Active Directory. O nome desse protocolo é formado pelo caminho completo do objeto, começando do domínio raiz até o objeto referenciado. Existem abreviações dessas nomenclaturas: cn (commonName): é o nome da conta de um usuário, grupo ou computador; ou: (organizationalUnitName): referência uma unidade organizacional; dc (domainComponent): nome do domínio; o (organizationName): nome da organização que é representado pelo domínio root; c (Country): identificação do país, não é muito utilizado. 49 Um exemplo para formar o caminho LDAP utilizando essas abreviaturas seria cn=jsilva, ou=contabilidade, dc=vendas, dc=abc.com. Este nome representa o usuário jsilva, cuja conta está contida na unidade organizacional contabilidade, no domínio vendas.abc.com [BAT03]. O UNC (Universal Naming Convention) é usado para localizar recursos em um servidor. Esse recurso é identificado pelo nome do Servidor, separado do nome do recurso por uma barra. Um exemplo é \\Server01.vendas.abc.com/documentos, onde o caminho para a pasta compartilhada com o nome “documentos”, no Servidor Server01 do domínio vendas.abc. Pode utilizar o endereço IP do servidor ao invés do nome do DNS, por exemplo, \\10.10.30.5/documentos. Também é usada a nomenclatura simplificada de identificação do usuário como vendas.abc.com/jsilva, outra forma de referenciar seria utilizar apenas o nome NETBIOS do domínio por exemplo vendas/jsilva. 3.7. Estudo de Caso 01: Exemplo de Uso de Grupos Universais Este primeiro caso de uso utiliza a árvore do domínio indicada na figura 3.6. É considerado que todo o domínio utiliza o Windows Server 2003 [BAT03]. No servidor srv01.abc.com existe uma aplicação web. Este aplicativo necessita da autenticação do usuário antes de ter acesso à aplicação. Desta forma, será possível a criação de logs no servidor para as ações realizadas pelos usuários. Em cada domínio, apenas alguns grupos de usuários, tem permissão de acesso a este software. Neste caso, os domínios utilizam o Windows Server 2003. Isso implica que podem ser adotados o uso de grupos universais. Portanto, é possível combinar grupos universais e grupos globais que possibilitam a resolução deste problema. Em cada domínio, cria-se um grupo global e adiciona-se os usuários que terão permissão de acesso para a aplicação. No domínio abc.com, cria-se um grupo universal que terá como membros, o grupo global de cada domínio, que possui os usuários que devem ter a permissão criada anteriormente. No servidor srv01.abc.com deve-se atribuir as permissões necessárias ao grupo universal criado no domínio abc.com (que indiretamente contém outros grupos universal de outros domínios). 50 Desta forma, o grupo universal do domínio abc.com permitirá que seus membros (grupos universais dos domínios cadastrados) herdem suas permissões, que por sua vez, possibilita que cada usuário cadastrado no grupo universal de cada domínio inserido possa herdar também suas permissões. Desta forma, a administração fica mais simples de ser gerenciada. 3.8. Estudo de Caso 02: Analisando o Escopo de Grupo em relação a Membros e permissões de Acesso Será utilizada a árvore de domínio da figura 3.6 para o estudo deste caso. No domínio vendas.abc.com, cria-se um grupo global denominado “AcessoFinança”. Neste caso, este grupo pode conter apenas usuários e outros grupos globais do próprio domínio vendas.abc.com. Os grupos globais só podem conter membros usuários e grupos globais de seu próprio domínio [BAT03]. Um grupo global pode receber permissão de acesso de algum recurso em qualquer domínio que está na árvore de domínios. Criando um grupo global (AcessoFinança) no domínio vendas.abc.com. Caso o domínio vendas.abc.com necessite da pasta que está em prod.abc.com, deve-se incluir o grupo local do domínio vendas.abc.com como um membro do grupo local do domínio prod.abc.com e atribuir suas respectivas permissões para este grupo. Assim, o problema seria solucionado. Suponha que exista um grupo chamado UsuáriosMemo no domínio vendas.abc.com. Neste caso pode-se, por exemplo, incluir um grupo global do domínio prod.abc.com como membro de um grupo local do domínio vendas.abc.com. e adicionar usuários desse grutp. O grupo UsuáriosMemo só pode ter permissões de acesso no domínio vendas.abc.com, pois as permissões só podem ser editadas em servidores do seu próprio domínio no qual foi criado. Supondo que o Grupo Universal AcessoWeb do domínio abc.com foi criado, é possível ter usuários e grupos de todos os domínios devido ao fato dele ser um grupo universal e qualquer domínio pode receber permissão, visto que este grupo é universal. 51 3.9. Unidades Organizacionais A Unidade Organizacional foi introduzido no Windows 2000 Server juntamente com o Active Directory. No Windows NT Server 4.0 não é possível atribuir permissões a uma parte do domínio, ou atribuir permissões para todo o domínio ou não atribuir para ninguém. Um exemplo seria uma empresa composta por filiais em RS, SC, PR e SP que estão num único domínio. No Windows NT Server 4.0 não é possível atribuir permissão de administrador somente na filial SC. Case seja designada permissão de administrador para um usuário em SC ele terá permissão não só no domínio SC, mas também em outros servidores de outros estados [BAT03]. A partir do Windows 2000 Server este problema diminuiu devido a criação das OUs (Organizacional Unit - Unidade Organizacional) num mesmo domínio. Dentro desta OU são inseridos as contas de usuários e computadores, de acordo com critérios geográficos ou funcionais. Na figura 3.7 é representado a divisão do domínio região-01.abc.com.br em OUs. Pode-se criar uma OU dentro de outras OUs. Isto facilita a descentralização das tarefas administrativas e o gerenciamento das políticas de segurança através do GPO. Figura 3.7 Divisão de um domínio em OUs. 52 3.10. Relações de Confiança e Florestas Através da relação de confiança entre domínios é possível efetuar um logon mesmo que esteja utilizando um micro em domínio diferente onde foi cadastrado. 3.10.1. Relações de Confiança no Windows NT Server 4.0 No Windows NT Server 4.0, as relações de confiança eram definidas por três características: Relações unilaterais: o domínio A confia no B e o B não necessariamente confia no domínio A. Para haver confiança entre os dois domínios, deve-se criar duas relações: do domínio A para o B e do domínio B para o A. O exemplo da figura 3.8, ilustra uma relação entre os dois domínios. No domínio A, é possível atribuir permissões de acessos em contas do domínio B. Mas no domínio B, não é possível atribuir permissões em contas do domínio A; Figura 3.8 Relação de confiança unilateral. Não são transitivas: se o domínio A confia no B e o B confia no C, não implica que o domínio A confie no domínio C; As relações de confianças são criadas manualmente pelos administradores de cada domínio. A figura 3.9, foi obtida do Kit do Windows 2000 Server e mostra 53 um exemplo de relação de confiança entre os cinco domínios de forma unidirecionais e não transitiva no Windows NT Server 4.0. Figura 3.9 Relação de confiança unidirecionais, não transitivas do Windows NT Server 4.0 3.10.2. Relações de Confiança no Windows Server 2003 Tanto no Windows Server 2003 quanto no Windows 2000 Server as relações de confiança são automaticamente criadas entre os domínios. Ao invés das relações unidirecionais que ocorre no NT Server 4.0, no Windows Server 2003 as relações são bidirecionais. Se o domínio A confia em B, isso implica que B também confia em A. Na figura 3.10, é exibido uma relação bidirecional e transitiva entre domínios [BAT03]. Figura 3.10 Relação de confiança bidirecional e transitiva do Windows Server 2003 54 3.10.3. Tipos Padrão de Relações de Confiança O Windows Server 2003 caracteriza-se pelas relações de confiança transitiva bidirecional, que podem ser criadas de forma automatizada, que podem ser criadas nos seguintes contextos: Transitiva bidirecional entre um domínio pai e um domínio filho: o domínio pai ao criar um domínio filho, já estabelece uma relação de confiança bidirecional e transitiva entre eles automaticamente; Transitiva bidirecional entre uma árvore de domínios e o domínio root de uma floresta: é possível estabelecer uma relação de confiança entre várias árvores de forma automáticas, assim criando uma floresta de árvores. 3.10.4. Outros Tipos de Relações de Confiança Existem, porém, outras situações que exigem outros tipos de relações de confiança para relacionar com outras árvores de domínios. Essas novas relações seriam: Externa, não transitiva, unidirecional ou bidirecional: esta relação é criada com um domínio externo, que adota o Windows NT Server 4.0 ou domínio com Windows 2000 Server/Windows Server 2003 que está numa outra floresta. Se o domínio possui o Windows NT Server 4.0 a relação é unidirecional, caso contrário é bidirecional. A figura 3.11 exemplifica este tipo de relação; 55 Figura 3.11 Relação de confiança externa – unidirecional ou bidirecional Real, transitiva ou não transitiva, unidirecional ou bidirecional: esta relação é usada em domínios que possuem Windows Server 2003 com outros domínios que usa o protocolo Kerberos como, por exemplo, o Linux. Este protocolo fornece serviço de autenticação em domínios com Windows Server 2003/Windows 2000 Server. Este tipo de relacionamento pode ser usado para que contas de um domínio baseado em Linux possa receber recursos e permissões em domínios baseado no Windows Server 2003; Entre florestas, transitiva, unidirecional ou bidirecional: este relacionamento é criado entre os root de duas florestas. Caso a relação for bidirecional, ambas as florestas podem acessar os recursos da outra. Este caso é utilizado geralmente após fusões de empresas e necessitam acessar recursos do novo domínio que foi integrado; Shortcut, transitiva, unidirecional ou bidirecional: este relacionamento como mostrado na figura 3.12, melhora o tempo de logon entre dois domínios, em uma floresta. O objetivo desta relação é otimizar o tempo de logon. Um usuário do domínio B tem que acessar recursos do domínio D. Primeiramente, é necessário a autenticação do usuário para acessar tais recursos. Caso não existir 56 a relação shortcut entre B e D, o Windows Server 2003, percorre o caminho de relações na árvore (de B para A e de A para D). Utilizando o shortcut entre B e D, é utilizado o caminho que liga diretamente B e D sem passar pelo root da árvore, possibilitando a redução do tempo de autenticação dos usuários do domínio B e D. Figura 3.12 Relação de confiança do tipo Shortcut (atalho). 3.11. Servidores de Catálogo Global (Global Catalogs) O Active Directory do Windows Server 2003 possui uma base de informações sobre objetos de todos os domínios, que permite aos usuários de um domínio acessar recursos em servidores de outro domínio ou floresta. É nos DCs que são armazenados esta base de informações e configurados como servidores de catálogo global (Global Catalog Servers). O servidor de catálogo global armazena uma cópia de todos os objetos do Active Directory, os domínios em uma ou mais árvores de domínios de uma floresta, uma cópia completa de todos os objetos do próprio domínio do servidor e uma cópia parcial de todos os objetos dos demais domínios. A figura 3.13 ilustra esta estrutura. 57 Figura 3.13 Informações armazenadas em um Servidor de Catalogo Global. Um DC habilitado como servidor de catálogo global contém além da cópia completa dos objetos do seu próprio domínio, cópias parciais de todos os objetos dos demais domínios. Isto significa que o servidor de catálogo global não mantém cópia de todos os objetos e não possui a cópia de todos os atributos de um objeto de outro domínio. Estes atributos copiados são os mais utilizados para a realização de pesquisas no Active Directory e definidos pelo schema. O schema é como se fosse à definição da estrutura do banco de dados do Active Directory [BAT03]. Com o uso de atributos no catálogo global, o Windows Server 2003 aumenta o desempenho das pesquisas no Active Direcotry, impedindo a pesquisa de percorrer a rede e gerar um excessivo tráfego. Entretanto, a manutenção do catálogo global em todos os servidores de catálogo global acarretará em um tráfego de replicação. 3.11.1. Principais Funções Desempenhadas por um Servidor de Catálogo Global As principais funções de um Servidor de Catálogo Global são: 58 Pesquisa de objetos no Active Directory: o usuário pode pesquisar objetos em todos os domínios de uma floresta, uma vez que a pesquisa é feita no servidor de catálogo global mais próximo do usuário, no seu próprio domínio e não no servidor de destino, melhorando a velocidade das pesquisas; Autenticação de nomes de usuários de outro domínio: ocorre quando o DC que autenticou o usuário não tem informações sobre a referida conta; Disponibiliza informações sobre os membros dos grupos universais, em um ambiente com múltiplos domínios: as informações sobre os membros dos grupos Universais são armazenadas somente nos servidores de catálogo global. É recomendável não inserir usuários individuais, apenas grupos porque qualquer alteração no usuário implica que todas as informações do grupo universal serão replicadas entre todos os servidores de catálogo global. Existe uma exceção para a conta do usuário pertencente ao grupo administradores do domínio (Domain Admins). Validação de referências a objetos em uma floresta: os DCs utilizam o catálogo global para validar referências a objetos de outros domínios de uma floresta. Caso isso não existisse, essa validação teria que ser feita por um DC do domínio do objeto referenciado e ocasionaria tráfego na rede. 3.11.2. Replicação de Informações entre os Servidores de Catálogo Global Todas as alterações efetuadas nos diversos objetos da rede são replicadas entre os vários servidores de catálogo global de todos os domínios para que estejam sempre atualizados. A estrutura de replicação é criada e gerenciada automaticamente por um processo do Active Directory, conhecido como KCC (Knowledge ConsistencyChecker). Este é responsável por determinar a melhor “topologia” de replicação do Global Catalog impedindo sobrecarregar o tráfego na rede. No catálogo global estão armazenados os grupos universais e informações sobre os seus membros. Os grupos globais e locais são apenas listados e o tamanho do catálogo 59 global reduzido, bem como o tráfego de replicação. É aconselhável que utilize grupos globais e locais para definição de permissões a recursos e objetos que sofrerão alterações constantes. 3.12. Sites, Replicação do Active Directory e Estrutura Física da Rede 3.12.1. Introdução e Definição de Sites O site no Active Directory é utilizado para representar a divisão física da rede e é importante para a implementação de um sistema de replicação entre os DCs de um domínio. As informações sobre a topologia da rede contidas nos objetos site e link entre sites são utilizadas pelo Active Directory para a criação de configurações de replicação otimizadas, sempre procurando reduzir o máximo possível o tráfego através dos links de WAN [BAT03]. Um site é um conjunto de uma ou mais redes locais conectadas por um barramento de alta velocidade. 3.12.2. Motivação Para Uso de Sites Pelo Active Directory O Active Diretory possui dois motivos para utilizar sites e são eles: Replicação: o Active Directory procura controlar a necessidade de manter os dados atualizados em todos os DCs e otimizar o volume de tráfego devido a replicação. A replicação entre DCs de um mesmo site ocorre com mais freqüência do que em sites diferentes. Isto ocorre porque os DCs de um mesmo site estão dentro de uma mesma rede local, conectados por um barramento de alta velocidade permitindo a replicação mais freqüentemente; Autenticação: as informações sobre sites auxilia o Active Directory a fazer autenticações de usuários. Isto se houver um DC no site do usuário que na maioria das vezes é utilizado para autenticar o logon do usuário no domínio. 60 3.12.3. Definição de Sites Utilizando Sub-redes Um site é definido por uma ou mais sub-redes. Uma rede é definida pelo endereço de rede e a máscara de sub-rede. A figura 3.14 ilustra a utilização de uma sub-rede: Figura 3.14 Definição de um site. O Active Directory pode criar objetos do tipo sub-rede e do tipo site utilizando o console Active DirectorySites and Services. Com a criação dos objetos do tipo sub-rede, é criado um objeto do tipo site, associando uma ou mais sub-redes como o objeto site. 3.12.4. Relação entre Sites e domínios O domínio representa as divisões lógicas da rede e do Active Directory e os sites representam a estrutura física da rede. Esta separação traz alguns benefícios [BAT03]: É possível manter a estrutura lógica da rede, independente da estrutura física, podendo haver computadores de mais de um domínio no mesmo site ou mais de um site num mesmo domínio e assim por diante; A nomeação dos domínios é independente da estrutura física/geográfica da rede, o que facilita alterações na estrutura física, sem que isso implique uma reestruturação lógica de toda a rede; 61 Pode-se instalar DCs de múltiplos domínios no mesmo site ou colocar DCs do mesmo domínio em diferentes sites ou uma combinação destas duas configurações, conforme mostra a figura 3.15. Figura 3.15 Flexibilidade na definição de sites e Domínios. 3.12.5. Replicação no Active Directory As alterações efetuadas em um DC devem ser replicadas para todos os demais DCs do domínio de maneira que todos os DCs tenham a mesma base de informações do Active Directory. O Active Directory procura determinar a melhor configuração de replicação, procurando obter menos tempo nas atualizações dos DCs do domínio, balanceando o tráfego na rede e tentando impedir com que a replicação não venha sobrecarregar aos links de WAN. A configuração de replicação é feita pelo processo conhecido como KCC (Knowledge Consistency Checker) que roda em todos os DCs. O KCC automaticamente 62 identifica a melhor configuração de replicação, com base nas configurações de sites do Active Directory. 3.12.6. Replicação Dentro do Mesmo Site – Intrasite Replication O KCC trata a replicação dentro do mesmo site de maneira diferente da replicação entre sites, devido a diferença da velocidade de conexão dentro do mesmo site e entre sites. Ele define a topologia de replicação no formato de um anel bidirecional entre os vários DCs dentro de um mesmo site. A replicação intrasite é otimizada para velocidade e as atualizações feitas no DC do site são automaticamente repassadas para os demais DCs com base em um mecanismo de notificação. As informações de replicação dentro do site não são compactadas, diferentemente do que acontece com a replicação entre sites diferentes, onde toda a informação de replicação é compactada antes de ser enviada através do link de WAN [BAT03]. Para configurar a replicação intrasite, o KCC rodando em cada DC do site é baseada em um anel bidirecional. O KCC tenta criar, pelo menos, duas conexões de replicação entre cada DC e procura evitar que haja mais do que três DCs ou hops no caminho entre dois servidores quaisquer. Para isso a topologia de replicação pode incluir conexões do tipo atalho entre dois DCs. A replicação intrasite ocorre quando há alterações feitas em um objeto do Active Directory em um dos DCs do site e tem impacto direto nos usuários localizados no próprio site . Por padrão, o DC onde foi feita a alteração aguarda 15 segundos e, então, envia uma notificação de atualização para o seu parceiro de replicação mais próximo, se houverem mais parceiros, as notificações subseqüentes serão enviadas em intervalos de 3 segundos. Após receber uma notificação de alteração, um parceiro de replicação envia uma requisição de atualização do Active Directory para o DC onde foram feitas as alterações. O DC onde foi feita a alteração responde a requisição feita pelo seu parceiro de replicação, enviando os dados sobre a alteração. 63 3.12.7. Replicação Entre Sites O Active Directory trata a replicação entre sites (intersites) de maneira semelhante a replicação dentro do mesmo site (intrasite), pois a velocidade de conexão entre sites geralmente é bem menor do que dentro do mesmo site. As informações de replicação são compactadas antes de serem enviados através dos links de WAN para reduzir o tráfego. A topologia de replicação intersites é criada pelo KCC. Em cada site um DC é o responsável pela definição da topologia de replicação intersites . A replicação intersites ocorre de acordo com um agendamento prévio e não instantaneamente como no caso da replicação intersites . Por padrão, a replicação entre sites ocorre em cada link a cada três horas sendo que o administrador pode alterar esse agendamento. 3.13. Schema do Active Directory O schema é como se fosse a definição da estrutura do banco de dados do Active Directory [BAT03]. A definição de cada objeto de cada atributo esta contida no schema. O schema é feito de objetos, classes e atributos que podem ser modificados de acordo com a necessidade da empresa. Qualquer alteração no schema deve ser planejada, pois podem afetar toda a árvore de domínios. Estes devem utilizar o mesmo schema. 3.13.1. Definição dos Objetos do Active Directory no Schema No schema, uma classe de objetos representam uma categoria de objetos do Active Directory. Nela está contida uma lista de atributos que podem ser utilizados para descrever um objeto da referida classe. Quando um novo usuário é criado no Active Directory, ele se torna uma nova instância da classe user do schema e as informações digitadas sobre o usuário tornam-se instâncias dos atributos definidos na classe user. 64 3.13.2. Armazenamento do Schema no Active Directory O schema é armazenado nas partições de schema do Active Directory, onde é replicada para os DCs da floresta e somente no DC configurado como schema Master é que o Administrador poderá fazer alterações no schema. 3.13.3. Cache do Schema Cada DC contém uma copia do schema na memória do Servidor. A versão armazenada no Cache do Servidor é automaticamente atualizado cada vez que o schema é atualizado. 3.14. Níveis de Funcionalidade de um domínio O Windows Server 2003 tem diferentes níveis de funcionalidade com base nos tipos de DCs instalados na rede. Foi introduzido o nível de funcionalidade da floresta, o que não existia no Windows 2000 Server. O nível de funcionalidade do domínio determina quais características estão ou não disponíveis. No Windows Server 2003 existem quatro níveis de funcionalidade: O Windows 2000 Mixed, Windows 2000 Native, Windows Server 2003 Interim e Windows Server 2003. Por padrão é selecionado o nível Windows 2000 Mixed. Existem três níveis de funcionalidade da floresta disponíveis no Windows Server 2003: Windows 2000, Windows Server 2003 Interim e Windows Server 2003. Por padrão é selecionado o nível Windows 2000. Para que o nível de funcionalidade da floresta seja configurado para o Windows Server 2003, todos os DCs de todos os domínios devem estar com o Windows Server 2003 instalados. Algumas versões do Windows que podem ser utilizadas nos DCs, para cada um dos modos de funcionalidade de domínio: Windows 2000 Mixed: suporta DCs com Windows NT Server 4.0, Windows 2000 Server ou Windows Server 2003; 65 Windows 2000 Native: suporta DCs com Windows 2000 Server ou com o Windows 2003 Server; Windows Server 2003 Interim: suporta DCs com o NT Server 4.0 ou com o Windows Server 2003;. Windows Server 2003: somente DCs com o Windows Server 2003. 66 CAPÍTULO 4 - CONFIGURAÇÃO DE UMA REDE TCP/IP NO WINDOWS SERVER 2003 Neste Capítulo será descrito a instalação e configuração de alguns componentes do Windows Server 2003. Foram utilizados dois computadores pessoais, um funcionando como servidor e o outro como cliente. A conexão entre eles foi feita através de um switch. Essa instalação foi feita em uma pequena empresa fictícia cujo nome é MRRP. Todos os equipamentos usados são de propriedade dos próprios autores deste projeto. Os serviços que foram instalados e configurados são: o Active Directory, DNS, IIS, VPN, FTP, DHCP, cadastro de usuários e grupos, servidor de impressão e e-mail. Vários testes foram realizados para verificar se todos estes componentes realmente estão funcionando. 4.1. Hardware e software utilizados A empresa MRRP possui dois micro-computadores que se localizam em uma mesma LAN e que se comunicam através do switch modelo 5SW-0508TX5-PORT 10/100 Mbps da marca Level one. Na figura 4.1 é ilustrado a topologia desta rede (Intranet). 67 Figura 4.1 Topologia da rede. A MRRP também possui uma impressora HP Deskjet 3845. O servidor da empresa é um computador que possui um processador AMD Athlon (tm) 892 MHz, 256 MB de memória RAM, HD de 80 GB e sistema operacional Windows Server 2003 Enterprise Edition. O cliente possui um processador Intel (R) Celerom (R) M CPU 440 @ 1.86 GHz, memória RAM de 512, HD de 80 GB e sistema operacional Windows XP Professional Edition. 4.2. Instalação do Active Directory Ao instalar o Active Directory o servidor é transformado em um DC e um novo domínio é criado. Para a instalação são necessários dois requisitos: ter um volume formatado com NTFS (New Technology File System) para gravar os arquivos do Active Directory e um servidor DNS. 68 O assistente de instalação do Active Directory é iniciado quando o comando dcpromo é executado no menu Iniciar. A figura 4.2 apresenta dois tipos de controladores de domínio. A opção escolhida deve-se ao fato de ser a primeira vez que é criado um DC e um domínio, enquanto que a outra é usada para instalação de um DC adicional para um domínio já existente. Figura 4.2 Tipo de Controlador de domínio Para a criação de um novo domínio é necessário indicar durante a instalação qual o tipo de domínio útil para a empresa. A figura 4.3 mostra as três opções existentes: Domínio em uma nova floresta: usado para criar o primeiro domínio da empresa. Esta foi a alternativa escolhida nesse trabalho; Domínio filho em uma árvore de domínio existente: utilizado se já existir uma árvore de domínios; Árvore de domínio em uma floresta existente: no caso de necessidade de uma nova árvore de domínios. Esta ficará integrada as árvores existentes formando uma floresta. 69 Figura 4.3 Criar novo domínio As próximas fases estão relacionadas ao DNS. Este serviço é instalado pelo próprio assistente de instalação do Active Directory. A figura 4.4 mostra a criação de um novo nome de domínio, que é o mesmo nome do DNS. No caso da empresa MRRP o domínio é MRRP.com, que é o nome da empresa fictícia desse projeto. Figura 4.4 Novo nome de domínio 70 O NetBIOS é considerado importante por questões de compatibilidade, para aplicações e clientes antigos que não utilizam o DNS e sim o WINS (Windows Internet Name Services) [BAT03]. O nome do NetBIOS é especificado na figura 4.5. Figura 4.5 Nome do domínio NetBIOS. Devem-se definir as pastas de banco de dados e log, que são onde ficam as informações armazenadas sobre o Active Directory. O assistente sugere por padrão a pasta NTDS que fica dentro do próprio Windows como mostra a figura 4.6. Figura 4.6 Pastas do banco de dados e log. 71 A pasta a ser compartilhada como volume do sistema é a SYSVOL. Ela possui informações essenciais para o funcionamento do Active Directory. O local especificado é ilustrado na figura 4.7, que é o local padrão. Figura 4.7 Volume do sistema compartilhado. O sistema exige que seja cadastrada uma senha para o modo de restauração do Active Directory (figura 4.8). Recomenda-se por razões de segurança que essa senha seja exclusiva para tal finalidade, porém isso não é obrigatório podendo ser a mesma senha usada na conta do administrador. Figura 4.8 Senha do administrador do modo de restauração do serviço de diretório. 72 Ao final será apresentado um resumo dos dados da instalação do Active Directory. O assistente valida as alterações realizadas até então para finalizar a instalação do Active Directory e ativação do domínio MRRP. A partir desse ponto será possível fazer o logon com o domínio MRRP. 4.3. DNS Todas as informações sobre DNS e domínios são armazenadas em zonas. Estas podem ser de dois tipos: Diretas: contêm dados de resolução de nomes para endereço IP; Reversa: o DNS faz uma pesquisa nesta zona e através do endereço IP encontra o nome associado a ele. Neste trabalho foi criada uma zona primária direta e reversa. Para que o assistente crie uma nova zona deve-se iniciar o console do DNS que se encontra em ferramentas administrativas dentro do menu iniciar. Ao criar a nova zona direta escolhe-se o tipo desejado, que pode ser primária, secundária ou stub. A opção escolhida como mostra a figura 4.9 foi devido ao fato de não existir nenhuma outra zona. É a primeira que vai conter as informações do domínio. A zona secundária armazena os registros e recebe as atualizações da zona primária, por isso essa opção somente será selecionada após a criação da zona primária. 73 Figura 4.9 Criação de uma zona primária integrada com o Active Directory. O nome da zona direta foi escolhido com base no nome do domínio da empresa fictícia deste projeto, que é MRRP, como mostra a figura 4.10. Figura 4.10 Definindo o nome da zona. 74 A figura 4.11 apresenta os tipos de atualização dinâmica que podem ser aceitos pela zona. Foram marcadas apenas as atualizações seguras, pois a zona está integrada ao Active Directory. Figura 4.11 Definindo o tipo de atualização dinâmica. Ao concluir o assistente, a nova zona direta primária www.mrrp.com integrada ao Active Directory será criada. Com isso, já é possível fazer o teste da resolução de nomes. A zona reversa é criada da mesma forma que a direta. Mas é necessário informar a identificação da rede (o endereço IP invertido). Assim é gerado automaticamente o nome da zona reversa, conforme mostra a figura 4.12. 75 Figura 4.12 Nome da zona reversa. Em cada zona ficam armazenados os registros do DNS. O SOA (Start of authority) é o primeiro registro e o principal. Ele é criado no momento em que a zona direta é criada. O registro SOA define muitas características de uma zona. A figura 4.13 mostra os campos deste registro que são preenchidos por valores padrões definidos pelo assistente de criação da zona. O servidor primário é onde se encontra a zona primária. O responsável é o e-mail do administrador. O intervalo de atualização é o tempo para o DNS verificar as atualizações na zona secundária, se elas não estiverem prontas ele repete esta verificação no tempo estabelecido no intervalo de repetição. Além disso, contém um tempo para as informações mantidas na zona secundária expirarem e seu tempo de vida. 76 Figura 4.13 O registro SOA para o domínio MRRP.com. Os demais registros como A, CNAME (Canonical Name), HINFO (Host Information), MX (Mail exchanger) e outros, podem ser criados de acordo com a figura 4.14. Figura 4.14 Criação de um novo registro. 77 Neste trabalho foram criados três registros CNAME (www, ftp, vpn). Este registro mapeia um alias (apelido) ou nome DNS alternativo. Por exemplo, mayserver.mrrp.com (servidor web da empresa MRRP) para www.mrrp.com. Isto é ilustrado na figura 4.15. Figura 4.15 Criando um registro CNAME. 4.4. Contas de Usuários e Grupos As contas de usuários e grupos são criadas no Active Directory, no servidor configurado como DC do domínio que é onde são armazenadas todas as informações referentes às contas e grupos. O DC verifica se as informações de login e senha que são digitadas pelo usuário estão corretas. Se estiver é liberado o logon e autenticado o usuário. 78 A criação de uma conta de usuário no domínio é feita na console Usuários e Computadores do Active Directory que fica dentro de ferramentas administrativas no menu Iniciar. Esse processo está ilustrado na figura 4.16. Figura 4.16 Usuários e Computadores do Active Directory. Deve-se informar o nome, sobrenome, iniciais, logon do usuário e logon do usuário anterior ao Windows 2000 (usado para fazer logon em versões mais antigas do Windows). Por padrão estes nomes são iguais como mostra a figura 4.17. Figura 4.17 Criando a conta mayarakris. 79 A senha deve ser bem definida. Assim como os seus requisitos de complexidade. O administrador determina se o usuário pode ou não alterar sua própria senha, quando ela vai expirar, se a conta esta desativada ou se é preciso alterar a senha quando realizar o próximo logon (figura 4.18). Figura 4.18 Definindo a senha e as opções da nova conta. Ao instalar o Active Directory são definidas algumas políticas de segurança relacionadas às senhas dos usuários. Estas valem em todo o domínio. São alguns exemplos: a senha ter no mínimo sete caracteres, expirar a cada 42 dias e quando o usuário for trocar não poder utilizar as 24 últimas senhas usadas. Podem-se configurar informações gerais e de endereços para a conta de usuário criada. Por exemplo, adicionar telefone, e-mails, sites, informações da empresa entre outros. Depois de criada a conta do usuário é possível que ele realize logon e receba permissões para acessar os recursos de qualquer computador do domínio. A criação de um grupo de usuário é feita da mesma forma que a conta, na console mostrada na figura 4.16. Porém a opção que deve ser selecionada é a de Criar novo grupo. 80 Deve-se informar o nome do grupo e assim automaticamente o campo da versão anterior ao Windows 2000 é preenchido. O escopo escolhido foi global, pois recebe permissões de recursos (impressoras, pastas compartilhadas entre outros) e o tipo de segurança permite atribuir permissões de acesso aos recursos da rede. Isto é mostrado na figura 4.19. A empresa MRRP utiliza apenas um grupo chamado administração. Figura 4.19 Criando um grupo de segurança com escopo global. É possível inserir uma descrição, o e-mail do responsável pelo grupo, comentários e adicionar membros. A adição de membros ao grupo é feita na opção propriedades na guia Membros. Para isso é necessário escolher o tipo de objeto (no caso usuários) e seu local, que é o domínio onde se encontram as contas e grupos de usuários. Devem-se informar os nomes dos usuários (figura 4.20). 81 Figura 4.20 Adicionar usuários ao grupo. A figura 4.21 mostra os membros que foram inseridos no grupo administração. . Figura 4.21 Membros do grupo administração. 4.5. Sistema de impressão O sistema de impressão possibilita que o administrador instale a mesma impressora duas ou mais vezes no mesmo servidor. Pode - se determinar o tipo de configuração para cada funcionário através do compartilhamento da impressora. 82 O administrador pode controlar as impressões através de um log em relação aos trabalhos que estão sendo impressos. Assim, é possível verificar o volume de impressão por usuários, por impressoras e outros. Na empresa MRRP foi instalada uma impressora do modelo HP Deskjet 3860 no servidor. Quando o assistente termina a instalação este se transforma em um servidor de impressão. Deve-se compartilhar a impressora para que o cliente possa acessá-la através da rede. Uma impressora em rede compartilhada pode ter tipos de permissões diferentes para cada usuário e grupo. Quando um grupo recebe uma determinada permissão os seus membros a herdam. Essa permissão determina quem poderá utilizar a impressora e o nível de permissão. Um funcionário pode estar associado a vários grupos diferentes. Se a permissão para imprimir estiver negada, o usuário não poderá imprimir em nenhum dos grupos que pertence, pois a negação tem precedência. Neste trabalho foi dada a permissão para que todos os usuários utilizem à impressora. Existem três níveis de permissão de segurança para impressão e são eles: Imprimir: permite que o usuário imprima documentos, pause e reinicie a impressão somente dos seus documentos; Gerenciar documentos: tem o controle sobre todos os documentos enviados por quaisquer usuários. Além disso, pode pausar reiniciar e continuar a impressão. Essa permissão é dada para usuário que administra a impressora; Gerenciar impressora: tem permissão de imprimir, gerenciar documentos além de cancelar impressões pendentes, alterar propriedades da impressora, compartilhar e remover a impressora do sistema. Essa permissão é do administrador, conforme mostra a figura 4.22. 83 Figura 4.22 Propriedade da impressora. O Windows Server 2003 tem uma outra vantagem que é a impressão por meio da Intranet ou Internet. Também pode-se definir permissões para cada usuários. A impressão por meio da Internet é feita pelo protocolo IPP (Internet Printing Protocol). Esse protocolo pode pré-instalado pelo fabricante da impressora ou pode, ainda, ser instalado no Windows Server 2003 junto com o IIS, para gerenciar a impressora através de interface web. Para acessar a impressora é necessário que o usuário informe o nome do servidor (no caso MAYSERVER, servidor da empresa MRRP) na URL de seu navegador. Para que o administrador tenha o controle de todas as impressões é exigido o logon e a senha dos usuários, conforme ilustra as figuras 4.23 e 4.24. 84 Figura 4.23 Tela da logon. Figura 4.24 Listagem das impressoras no navegador. 85 4.6. DHCP O DHCP foi criado para facilitar a configuração e administração do protocolo TCP/IP. Sem o DHCP é necessário, por exemplo, colocar em cada máquina da empresa manualmente: endereço IP; máscara de sub-rede; default gateway, endereço IP de um ou mais servidores DNS; endereço IP de um ou mais servidores WINS e sufixos de pesquisa do DNS. Caso haja alguma alteração em um destes campos, todas as máquinas da empresa deverão ser obrigatoriamente alteradas de maneira manual, uma por uma. E ainda corre o risco de algum técnico alterar um destes campos de maneira errônea, sendo quase que impossível posteriormente descobrir o tal campo que está prejudicando o bom funcionamento do computador. O DHCP soluciona este problema de maneira centralizada e automatizada, bastando apenas configurar uma máquina como servidor DHCP e o restante das máquinas serão consideradas como computadores clientes do DHCP. Nas máquinas clientes, configurações como número IP, máscara de sub-rede, default gateway (Gateway padrão), número IP de um ou mais servidores DNS, número IP de um ou mais servidores WINS e sufixos de pesquisa do DNS serão feitas de maneira transparente para o usuário da estação de trabalho. Este protocolo funciona da seguinte maneira: durante a inicialização, a estação do trabalho tenta descobrir um servidor DHCP na rede. Quando esta estação de trabalho consegue encontrar e comunicar com servidor DHCP, este verifica os endereços IP disponíveis para o escopo, seleciona um destes endereços e o reserva para esta máquina registrando-o pelo endereço MAC (Medium Access Control) e o repassa para a máquina cliente todas as configurações do protocolo TCP/IP. Este processo de reservar endereço IP por certo período de tempo para um determinado host é chamado de Lease Process. É necessário a cada período de tempo da máquina cliente renová-lo para continuar a ter o endereço IP associado a ela, pois a não renovação implica na perca do endereço IP daquela máquina podendo ser reutilizada em outra estação de trabalho. 86 4.6.1. Instalando o servidor DHCP O serviço DHCP, que não é padrão no Windows Server 2003 pode ser adicionado em duas possibilidades: Primeira opção: através do Painel de Controle; Segunda opção: através da tela de gerenciamento do servidor do Active Directory como é mostrado na figura 4.25, que foi a opção usada nesse trabalho. Figura 4.25 Gerenciar servidor. Para ter um servidor DHCP funcionando como distribuidor de endereços IP para estação de trabalho e obtendo acesso a uma rede externa (Internet) ao mesmo tempo, é necessário ter duas interfaces de rede. Uma delas será utilizada para receber dados vindo pela Internet e a outra placa de rede será destinada para própria rede interna. É nela que o 87 cliente e o servidor DHCP se comunicarão entre si. A figura 4.26, alerta caso exista alguma interface que não esteja instalada ou desconectada. Figura 4.26 Mensagem alertando que é necessária outra interface de rede. Durante a instalação deste serviço é solicitado o nome do novo escopo para o DHCP. Isso está apresentado na figura 4.27 Figura 4.27 Nome do escopo DHCP. Na figura 4.28 é solicitado que se forneça informações referentes ao intervalo de endereços IP e máscara do escopo que está sendo criado. Destaca-se que o número de hosts é automaticamente calculado de acordo com a máscara fornecida. 88 Figura 4.28 Intervalos de endereços IP no escopo DHCP. Em caso de necessidade configurar uma sub-faixa de endereços IP dentro do escopo informado para equipamentos que necessitem de IP estático, como por exemplo, impressora de rede, servidor DNS dentre outros, esses endereços devem ser subtraídos do escopo de endereçamento dinâmico, como visto na figura 4.29. Figura 4.29 Adicionar exclusões no escopo DHCP. 89 O período de aluguel do endereço IP também deve ser definido, sendo que o padrão é oito dias para uma determinada interface de rede, ocasião em que a interface deve renovar o aluguel, sob pena de perder o direito de utilizado daquele endereço IP. Caso esse tempo seja reduzido a chance de ter o uso de todos os endereços IP fornecidos durante a criação do escopo utilizado diminui, pois como o tempo de concessão é menor, o endereço IP ficará preso a uma determinada interface de rede por um intervalo de tempo menor. Pode-se escolher entre configurar o DHCP do servidor na instalação do serviço ou posteriormente. Ao optar pela configuração durante a instalação do serviço, será solicitado que forneça o endereço IP referente ao roteador ou Gateway que está conectado a interface de rede no Windows Server 2003 como o mostrado o da figura 4.30. Figura 4.30 Gateway Padrão. 90 Deve -se fornecer os dados referentes ao domínio que se encontra no servidor DHCP, informando também o endereço IP da máquina que possui o DNS instalado e configurado como mostrado na figura 4.31 que já adicionado o DNS da rede local. Figura 4.31 Nomes de domínio e DNS. O servidor WINS não será utilizado, porque o DNS já oferece o serviço de nomes. O WINS é utilizado apenas em redes que possui máquinas com sistemas operacionais mais antigos tais como Windows 9X e Windows Millennium. 4.6.2. Configurando Escopos no DHCP As configurações pós-instalação são realizadas no console DHCP, que se encontra no menu iniciar em ferramentas administrativas. Neste console, deve-se autorizar o novo servidor DHCP para que possa fornecer endereço de IP para a rede local. Isso é feito por motivo de segurança, pois o Active Directory não permitirá que qualquer servidor DHCP além do que já foi configurado possa funcionar na rede. Após autorização, o mesmo já estará pronto para atender as requisições de endereços IP dos clientes na rede interna. 91 Apenas usuários do grupo Administradores de Empresas e administrador (qualquer conta que tenha a permissão de Administrador) podem efetuar quaisquer mudanças neste servidor. Ao clicar no nome do servidor, será mostrado o escopo configurado neste servidor que por sua vez, ao selecioná-lo, uma sub-árvore com outras opções surgirá. Em Pool de endereços é mostrada a faixa de endereços IP configurado para o atual escopo; Em concessões ativas são mostradas todas as requisições de endereços IP que foram aceitas e já concedida pelo servidor para os clientes. Como mostrado na figura 4.32, que mostra além do endereço IP que foi fornecido, também é mostrado o nome da máquina cliente, o vencimento da concessão entre outras informações; Figura 4.32 Concessões Ativas. É possível configurar endereços IP estáticos para determinadas máquinas previamente conhecidas através do seu endereço físico (MAC address) como é ilustrado na figura 4.33. 92 Figura 4.33 Configuração de IP estático. Existem duas opções de tipos que são: Somente BOOTP (Bootstrap Protocol ) e “Somente DHCP”, que é o mais utilizado. Por questão de compatibilidade com versões anteriores ao Windows, deve-se selecionar “Ambos”. 4.7. Acesso Remoto com o RRAS O Windows Server 2003 permite criar um servidor de acesso remoto para que os clientes possam acessar informações como se estivessem numa rede local. Mesmo estando longe da rede interna, o cliente do acesso remoto participa das mesmas configurações, restrições e permissões como um usuário qualquer na rede interna. O servidor de acesso remoto é conhecido como RRAS. Ele permite que um usuário possa acessar, por exemplo, informações de seu escritório em casa, apesar de estarem em redes aparentemente incomunicáveis. O RRAS permite que cliente mesmo com uma versão mais antiga do Windows ou outros sistemas operacionais possam se comunicar via Dial-up ou ISDN (Integrated Services Digital Network - Rede Digital Integrada de Serviços)/ADSL(Asymmetric Digital Subscriber Line) remotamente. 93 4.7.1. Habilitando o RRAS Primeiramente é necessário habilitar o RRAS para que ele possa receber chamadas remotas. Apesar de o serviço ser instalado por padrão durante a instalação do Windows Server 2003, ele necessita ser habilitado antes de ser usado. Essa verificação é feita através do console Roteamento e acesso remoto. Uma seta na cor vermelha ao lado do nome do servidor RRAS indica que o servidor não está ainda habilitado. Caso a seta esteja de cor verde, isso indica que o servidor RRAS já está pronto e preparado para receber chamadas de clientes. Para habilitar o servidor RRAS, é necessário selecionar o servidor que funcionará como RRAS e optar pela alternativa “Configurar e habilitar o roteamento e o acesso remoto”. Desta forma, será exibido um assistente de habilitação e configuração do mesmo. Na etapa da configuração do servidor mostrada na figura 4.34, será necessário escolher como o servidor RRAS trabalhará. Entre as opções permitidas são: Acesso remoto (Dial-up ou rede virtual privada): permite acesso remoto pelo VPN e pelo cliente Dial-up; Esta opção permite conversão de endereços de rede (NAT): esta alternativa permite que o servidor possa atuar como função de NAT; Acesso à rede virtual privada e NAT: permite que o servidor possa atuar como função de NAT ao mesmo tempo permitindo o acesso dos clientes pelo VPN; Conexão segura entre duas redes privadas: conexão segura entre dois hosts de duas redes diferentes; Configuração personalizada: opções personalizadas pelo administrador. Neste trabalho foi usada apenas a opção: acesso remoto (Dial-up ou rede virtual privada) para que alguns hosts possam ter acesso ao servidor RRAS para acesso remoto via VPN. 94 Figura 4.34 Configuração do acesso remoto via VPN. Durante a configuração é solicitado que seja informado o tipo de conexão que o servidor irá aceitar: Dial-up, VPN ou os dois ao mesmo tempo. Foi selecionada a opção correspondente a VPN, pois não é desejado receber ligações via Dial-up, mas apenas via modem de ADSL, conforme mostrado na figura 4.35. Figura 4.35 Tipos de conexão. 95 Em seguida deve-se selecionar qual interface está conectada à Internet para receber chamadas remotas, como mostrado na figura 4.36. O endereço IP atribuído dos clientes RRAS pode ser feita pelo servidor DHCP ou será atribuído de forma diferente (de um intervalo de endereços especificados). Nesse trabalho, foi adotado a opção DHCP, pois este servidor RRAS também possui o servidor DHCP na mesma máquina e pode-se associar os serviços sem nenhum problema. Figura 4.36 Conexão VPN. Outra questão é a definição do uso ou não do servidor RADIUS (Remote Authentication Dial In User Service - Serviço de autenticação remota de usuários discados). Este servidor faz com que as autenticações vindas do servidor RRAS sejam centralizadas nele. Assim, fica fácil o gerenciamento das autenticações remotas, já que não será necessário configurar cada máquina caso uma permissão de um determinado arquivo de uma máquina especifica tenha sido alterado para um determinado usuário. Será apenas alterado no servidor RADIUS, porque todas as autenticações remota passa pelo RADIUS. Como não foi usado o servidor RADIUS nesse trabalho, não será configurado este tipo de serviço, conforme mostrado na figura 4.37. 96 Figura 4.37 Configurar servidor RADIUS. Desta forma, o servidor estará habilitado e pronto para receber novas chamadas vindas pelos clientes como mostrado na figura 4.38. Figura 4.38 Roteamento e acesso remoto. 97 As propriedades do servidor RRAS são exibidas na guia denominada Geral que permite que defina as funções que serão habilitadas no servidor RRAS. Esse servidor pode funcionar somente como um servidor de acesso remoto ou ainda pode exercer a função de roteamento ou mesmo ambas as funções ao mesmo tempo. Foi definido nesse trabalho como a Figura 4.39. Figura 4.39 Propriedades de BEETLE. 98 Figura 4.40 Propriedades de BEETLE. Em métodos de autenticação na figura 4.40, é permitido selecionar quais serão os métodos de autenticação que serão aceitos no servidor RRAS. Dentre elas estão disponíveis o EAP (Extensible authentication protocol); MS – CHAP v2 (Microsoft encrypted authentication version 2); MS – CHAP (Microsoft encrypted authentication); CHAP (Encrypted authentication); SPAP (Shiva Password Authentication Protocol) e o PAP (Password Authentication Protocol). A figura 4.41 mostra os tipos de autenticações disponíveis. 99 Figura 4.41 Tipos de autenticação. A opção “Permitir que sistemas remotos se conectem sem autenticação” por padrão não é selecionado, pois ele permite que usuários possam conectar ao servidor RRAS sem que seja necessário realizar sua autenticação. Esta opção quando ativada, faz com que o servidor fique mais vulneráveis a ataques. Em relação ao EAP, ainda é possível obter outros métodos de autenticação. Ao escolher a opção “Métodos EAP”, será exibido os métodos: MD5-Challenge; PEAP (Protected Extensible Authentication Protocol) e Smart Card ou outros certificado. A figura 4.42 ilustra estes três métodos de EAP. 100 Figura 4.42 Métodos de Autenticação EAP Neste projeto, foram utilizados os métodos de autenticação: EAP, MS – CHAP v2 e o MS – CHAP. O primeiro permite que seja possível utilizar cartões inteligentes para fazer autenticação de usuários; o MS – CHAP v2 permite fazer autenticação via teclado normalmente, porém, com maior nível de segurança, em relação ao MS – CHAP e por ser um protocolo proprietário da Microsoft (nativa do Windows). O MS – CHAP foi escolhido por motivo de compatibilidade para o caso de existirem máquinas na rede com versões anteriores ao Windows 2000 Server e ao Windows Server 2003. Na aba IP, são mostradas diversas opções relacionadas ao protocolo IP, como apresentado na figura 4.43. O campo “Ativar roteamento IP” habilita/desabilita o roteamento IP, ou seja, o encaminhamento dos pacotes IP de uma interface de rede do servidor para as outras interfaces de rede. Neste projeto, esta opção será ativada. O campo “Permitir acesso remoto com base em IP e conexões de discagem por demanda” permite ou não habilitar o uso do protocolo IPCP (Internet Protocol Control Protocol) como o protocolo de controle do PPP (Point-to-Point Protocol - Protocolo ponto- 101 a-ponto). Ou seja, o protocolo IPCP será usado na negociação entre o cliente e o servidor de acesso remoto. Novamente, será selecionada esta opção para este projeto. Em Atribuição de endereço IP é permitido que sejam fornecidos aos clientes do RRAS, endereços atribuídos via DHCP do servidor RRAS ou endereços estáticos. Para este trabalho escolheu - se a opção que fornece endereços via DHCP. Será utilizada a opção “Ativar resolução de nomes de difusão”, pois ela permite a resolução de nomes via Broadcast, ou seja, os clientes remotos podem resolver nomes na rede local que esta sendo acessada sem ter acesso ao servidor WINS ou mesmo o DNS da rede local. Figura 4.43 Propriedades IP. Na aba “PPP” como o mostra a figura 4.44 são permitidas as configurações no PPP. 102 O controle dinâmico de largura de banda usando BAP (Bandwidth Allocation Protocol) ou BACP (Bandwidth Allocation Control Protocol) permite que o cliente remoto possa utilizar duas ou mais linhas simultaneamente para melhorar a sua taxa de download/upload. Um exemplo é quando o cliente tem uma única conexão de 64 Kbps, ele poderá ter dois links, como se fosse apenas um permitindo ter um link de 128 Kbps. O campo “Extensões LCP (Link Control Protocol)” permite o protocolo LCP possa enviar informações como tempo restante, identificação de pacotes e requisição de callback durante a negociação LCP. O protocolo LCP estabelece e configura o empacotamento PPP que por sua vez estabelece como os dados são encapsulados antes da transmissão pela WAN. A compactação por software permite ou não o uso do MPPC (Microsoft Point-toPoint Compression Protocol) para compactar dados trafegados da conexão remota com o servidor RRAS ou mesmo através de discagem sob demanda. Figura 4.44 Propriedade PPP 103 A figura 4.45 apresenta as opções relacionadas ao log. O primeiro campo se refere à que tipo de registro será armazenado ao log, se o log é simplificado ou mais completo. O campo “Registrar informações de roteamento e acesso remoto (usadas para depuração)” quando ativado, armazena no log, informações relacionado ao roteamento e acesso remoto, como tentativas de autenticação mal sucedida a um servidor RRAS. Nesse trabalho foi selecionada apenas a opção “registrar erros e avisos no log” devido ao tamanho do log que será gerado. Figura 4.45 Propriedade Log. 4.8. Instalação e Configuração do IIS O IIS é um servidor de aplicações da Microsoft que permite a utilização de serviços de rede como o HTTP e o FTP. Antes de iniciar a sua configuração, deve-se ativar o 104 ASP.NET, como mostra a Figura 4.46, que permite a criação e alteração de formulários de pesquisa no banco de dados do servidor de aplicativos que poderão ser usados pelos usuários da rede. Figura 4.46 Ativando o serviço ASP.NET. O Windows Server 2003 seleciona automaticamente os componentes mínimos necessários, conforme mostra a Figura 4.47, que são: o COM+, que é um programa da Microsoft que permite os componentes da rede trocarem informações entre si; o DTC (Coordenador de Transações Distribuídas) e o IIS. Isso é feito por razões de segurança. Caso seja necessário adicionar ou remover componentes isso deve ser feito manualmente pelo administrador da rede. 104 Figura 4.47 Requisitos mínimos para instalação do IIS A instalação de outros componentes ou remoção do IIS pode ser feita através do Assistente de Componentes do Windows. O IIS é um subcomponente do Servidor de Aplicativos como mostra na Figura 4.48 e na Figura 4.49, onde é possível acrescentar outros subcomponentes que se julga necessário para o serviço. Figura 4.48 Acrescentado/removendo componentes do Windows. 105 Figura 4.49 Subcomponentes de Servidor de Aplicativo. Nesse trabalho , foram ativados os seguintes subcomponentes: Arquivos comuns, que permite a criação de arquivos básicos; Gerenciador dos Serviços de Informações da Internet, que é um console que permite o acesso as opções de configurações onde suas funcionalidades podem ser habilitadas/desabilitadas de acordo com a necessidade do servidor; Impressão da Internet, que permite impressões da Internet; Serviço NNTP (Network News Transfer Protocol ) , que permite a criação de grupos de discussão com número limitado de usuários para redes Intranet; Serviço FTP, que permite o compartilhamento de arquivos entre a rede; Serviço SMTP (Simple Mail Transfer Protocol), que é responsável pelo envio de mensagens entre os servidores de e-mail; Serviço WWW (World Wide Web), que permite a conexão com computadores mundialmente e a utilização dos seus vários serviços. 106 A figura 4.50 mostra alguns desses serviços. Figura 4.50 Subcomponentes de Serviços de Informações da Internet. Para testar a instalação abre-se um browser de Internet e digita-se o endereço localhost. Caso apareça uma página padrão informando que a página está em construção o serviço está operando (Figura 4.51). Figura 4.51 Testando o funcionamento do IIS. 107 Para a criação de pastas virtuais no servidor utiliza-se o Gerenciador de Serviços de Informações da Internet. Após habilitadas as funcionalidades que serão utilizadas clica-se com o botão direito do mouse sobre a opção Site da Web Padrão como mostra a figura 4.52 e aparece o comando Novo, Diretório virtual e exibe-se a primeira tela do Assistente para a criação do diretório virtual. Na segunda foi pedido o nome do diretório e coloca-se como home ou raíz e na terceira tela foi pedido o caminho e seleciona-se a opção procurar para encontrar o caminho automaticamente. Na quarta tela pede-se a permissão de acesso a este diretório e define-se apenas como de leitura, por motivo de segurança evitando que pessoas não altorizadas alterem os dados, como mostra a figura 4.53 e por fim é concluído o Assistente para criação de diretório virtual. Figura 4.52 Criando pastas virtuais. 108 Figura 4.53 Permitindo acesso. O funcionamento do site foi testado digitando como endereço o nome do servidor (mayServer.mrrp.com) e o nome de um diretório (projeto) e conclui-se que esta em funcionamento, conforme a figura 4.54. Figura 4.54 Testando o site IIS. 109 4.9. Criação do site FTP Para o funcionamento do FTP foi necessário a instalação e configuração de uma segunda placa de rede no servidor e configuração de novo endereço IP associando ao nome de acesso a este site no DNS. O site irá permitir o download de documentos da empresa MRRP pelos usuários, como mostra a figura 4.55. Figura 4.55 Descrição do site FTP. Na configuração dos endereços IP’s que terão acesso ao site, optou-se por todos os não atribuídos ao servidor, para que os usuários da rede tenham acesso a este site e como padrão, para a porta TCP, utilizou-se a porta 21 como mostra a figura 4.56. 110 Figura 4.56 Configurações de porta e endereço IP para o site FTP. Na configuração do isolamento do usuário de FTP optou-se por não isolar usuários, como mostra a figura 4.57, que permite o compartilhamento de todos os arquivos entre os usuários da rede Intranet sem a necessidade de criar área separada para cada usuário. Já a opção isolar usuários faz com que os usuários fiquem restritos apenas a suas pastas pessoais. A opção isolar usuários usando o Active Directory permite que usuários, através das propriedades de FTPRoot e FTPDir, tenham acesso ao seu home directory como sendo a pasta root do FTP. 111 Figura 4.57 Configuração do Isolamento do usuário de FTP. Por motivo de segurança do site foi escolhida a opção de leitura para que os usuários não alterem informações nos arquivos como mostra a figura 4.58. Figura 4.58 Permissões de acesso a site FTP. 112 Como teste abriu-se o browser e digitou-se como endereço o nome do site (ftp) e o nome do servidor (mayServer), obtendo os arquivos que foram configurados para serem compartilhados como mostra na figura 4.59, concluindo-se que o site FTP está em funcionamento. Figura 4.59 Teste do site FTP. 4.10. Configurando o Servidor de E-mail Para a criação do servidor de e-mail é necessário a configuração do serviço SMTP, que é responsável pelo envio de e-mail entre os servidores de e-mail e o serviço POP3 para o cliente de e-mail do usuário. Ao configurar o serviço POP3 foi utilizado o método de autenticação de usuário integrado ao Active Directory como mostra a figura 4.60, que conta com o protocolo de autenticação Kerberos versão 5, onde o cliente e o servidor possuem um KDC (Key Distribution Center) e estes devem ser compatíveis com os serviços do Active Directory, para que a autenticação seja bem sucedida. Utilizou-se este tipo de autenticação para que na 113 rede Intranet, no qual estão o usuário e o servidor Web do mesmo domínio (MRRP.com) e os administradores possam garantir que todos os usuários tenham o mesmo browser. Figura 4.60 Configuração do método de autenticação. No Assistente para configurar o servidor instalou-se os serviços SMTP e POP3 e concluiu-se a criação do servidor de E-mail. Para criar uma nova caixa de correios, como mostra a figura 4.61 abriu – se o domínio MRRP.com é selecionado a opção novo e na tela seguinte definiu-se o nome para a caixa de correios e a senha de acesso do servidor mayserver e selecionou-se a opção que permite criar usuários associados para esta caixa de correios, como mostra a figura 4.62. 114 Figura 4.61 Criando-se uma nova caixa de correios. Figura 4.62 Adicionando-se nome e senha a caixa de correios. Finalizando a instalação como mostra a figura 4.63. 115 Figura 4.63 Adicionando a caixa de correios. Estes foram os serviços configurados e instalados no servidor da empresa MRRP. Foram feitos vários testes para garantir o bom funcionamento destes. 116 CONCLUSÃO A partir da década de 80 surgiu a necessidade de descentralização dos dados, porque o mainframe além de ter o custo elevado, apresentava problemas em relação às linhas de comunicação e “terminais burros”, pois caso a linha ficasse inativa ninguém tinha acesso ao sistema. Mesmo assim este modelo ainda é muito usado em ambientes comerciais e grandes empresas pelo fato de ser considerado seguro [BAT03]. Com o modelo cliente/servidor é possível que uma máquina funcione como vários servidores ao mesmo tempo podendo atender várias requisições. Por isso esta arquitetura é econômica e flexível. Com seu uso torna – se mais rápido responder as demandas de uma corporação, portanto este modelo vem substituindo o centralizado [STA04]. Os sistemas operacionais passaram por uma grande evolução no decorrer dos anos. Os sistemas monousuários caracterizados por possuírem processamento centralizado, permitem que um único usuário utilize o processador e outros recursos do computador. Como as empresas necessitavam de acessar mais recursos ao mesmo tempo foi criado o sistema multiusuário. O TCP/IP é o protocolo mais usado nas redes das empresas, pois é utilizado tanto na Internet quanto em redes internas e sua adoção é cada vez maior. Os dois sistemas operacionais Windows e Linux têm como padrão este protocolo, por isso ganhou popularidade no ambiente de rede [BAT02]. O sistema operacional Windows Server 2003 já possui ele instalado automaticamente. 117 Após o estudo realizado do Windows Server 2003 concluiu - se que é um sistema seguro, pois apresenta políticas de segurança que podem ser adicionadas dependendo da necessidade das empresas. Este software apresenta facilidade de logon para usuários remotos porque os dados são armazenados em cache tornando o acesso ao servidor mais ágil e diminuindo o tráfego na rede. O Active Directory é o elemento fundamental deste sistema. Ele é capaz de replicar informações contidas no DC e para outros DC’s do domínio, efetuar pesquisas de objetos no seu banco de dados, manter relações de confiança entre árvore de domínios. O schema é composto de classes, atributos e objetos. Através do conjunto de serviços oferecidos pelo Active Directory a administração da rede de uma organização é mais simples, porque ele concentra todas as informações em um único banco de dados. As vantagens do Windows Server 2003 observadas foram: eficiência em relação ao tempo de configuração e implementação, segurança (autenticação, criptografia, política de segurança, lista de controle de acesso, auditoria e certificado digital) e desempenho. O Linux é um sistema operacional que ocupa a segunda posição na preferência mundial da arquitetura cliente/servidor. Para cada cinco máquinas conectadas à Internet uma utiliza este software livre de acordo com o instituto de pesquisa americano IDC. Porém, o Linux oferece pacotes de programas gratuitos e suporte na instalação [REV04]. O Windows tem como característica a interoperabilidade, pois permite que diferentes plataformas possam se comunicar com segurança e confiabilidade. Este possui uma melhor diversidade de programas para diversas áreas profissionais, além de ter vários drives de diversos dispositivos (impressora, monitor, placa de rede entre outros) [UOL06]. De acordo com a pesquisa realizada pela revista Info entre seus leitores, o Windows continua sendo o mais usado entre os sistemas operacionais [INFO08]. O sistema operacional Windows também apresenta desvantagens como à necessidade de se ter uma licença de uso oferecida pela Microsoft e exige maior recursos de hardware como memória e processador. O Windows Server 2008 foi disponibilizado no mercado em fevereiro de 2008. Ele possui os mesmos serviços do Windows Server 2003 e apresenta melhorias relacionadas à 118 segurança como novas políticas de senha, possível aumento na velocidade das redes, novo IIS 7, Windows Server Backup, facilidade no uso de clusters, Windows Server Core e outros [NEW07]. Possíveis sugestões de trabalhos futuros seriam: Implementar estes mesmos serviços com o IPv6; Utilizar as políticas de segurança (GPO); Abranger este tema ao uso de redes externas; Utilizar rede Wireless; Implementar este mesmo serviço com o Windows Server 2008; Fazer uso de cluster; Trabalhar com log de eventos; Criar servidor Web com certificação digital. 119 REFERÊNCIAS BIBLIOGRAFICAS [ARO07] ARONQUE, Daniele. Os segredos da Intranet. Na Internet em http://carreiras.empregos.com.br/carreira/administracao/planejamento/220601intranet.shtm, página acessada em setembro de 2007. [BAT02] BATTISTI, Júlio. Certificado de garantia - Visão geral sobre o protocolo TCP/IP. Na internet em http://timaster.com.br/revista/colunistas/ le_colunas_emp.aspw?cod=614, página acessada junho de 2008. [BAT03] BATTISTI, Júlio. Windows Server 2003 – Curso Completo. Rio de Janeiro: Axcel Books, 2003. [INF08] Revista Info, Editora Abril. O que você indicaria para seu melhor amigo? – Use a pesquisa Info de marcas como um termômetro para as compras de tecnologia. Março de 2008, página 75. [INF08/1] Revista Info. Editora Abril. Onde a TI acontece? – Descubra a tecnologia que move as 100 empresas mais ligadas do país. Abril de 2008, página 73. [MAN04] MANZIONE, Leonardo. Extranets de projeto: limitações e necessidades de avanço. Workshop Brasileiro de Gestão do Processo de Projeto na Construção de Edifícios, Escola Politécnica da USP, São Paulo, 2004. 120 [MAC92] MACHADO, Francis B. e Maia, Luiz Paulo. Introdução á Arquitetura de Sistemas Operacionais. LTC-Livros Técnicos e Científicos Editora S. A., 1992. [NEW07] Blog Internete! Novidades do Windows Server 2008. Na internet http://blog.fenon.com.br/artigos/novidades-do-windows-server-2008, página acessada em junho de 2008. [REV04] Campos, Augusto. Revista do Linux- Ameaça Pingüim. Editora Conectiva. Na Internet em http://augustocampos.net/resvista-do-linux/011/corporativo.html, pagina acessada em maio de 2008. [STA05] STALLINGS, William. Redes e Sistemas de Comunicação de Dados: Teoria de Aplicações Corporativas. Tradução da 5ª. Edição, Rio de Janeiro: Campus, 2005. [TAN02] TANENBAUM, Andrew. Sistemas Operacionais – Projeto e Implementação. Tradução da 2ª. Edição. Prentice-Hall/Artmed Editora, São Paulo, 2002. [UOL06] UOL tecnologia. Por que escolher o Windows, segundo Microsoft? Na internet http://tecnologia.uol.com.br/ultnot/2006/12/18/ult2870u231.jhtm, junho de 2008. página acessada em