Post on 14-Apr-2016
description
transcript
Windows Server 2003
O que usar: Windows XP ou Windows Server 2003?
O Windows Server 2003 será tipicamente utilizado como servidor de rede.
O Windows XP será utilizado como posto de trabalho.
Objectivos do Windows Server Compatibilidade; Escalabilidade; Segurança; Processamento distribuído; Robustez Fiabilidade; Extensibilidade; Portabilidade.
Características técnicas o Windows Server 2003
Arquitectura cliente/servidor; Multitarefa (multitasking) ou
multiprocessamento (multiprocessing);
Multithreading; Segurança da informação; Ambiente de trabalho
Novas características e componentes do Windows Server 2003
Active Directory (AD); Sistemas de ficheiros distribuídos
(DFS – Distributed File System); Versão 5 da NTFS; IntelliMirror; Serviços de terminal (Terminal
services);
Consola de gestão da Microsoft – MMMC (Microsoft Management Console);
Plug and Play; DNS Dinâmico (DDNS – Dynamic
Domain System); Comando Runas.
Consola de gestão da Microsoft - MMC
Ao utilizar o Windows 2000 Server e o Windows Server 2003 verificamos que, quando comparadas ao Windows NT, as ferramentas de administração não só são bastantes diferentes, como passaram a ser acedidas através da MMC.Que mais não é a consola de administração.
A MMC permite aos administradores escolherem os grupos de ferramentas que mais se adequam às suas necessidades.
Algumas funções do Windows Server 2003
Entre as suas funções, poderão estar: a validação de todos os utilizadores de uma rede, a disponibilização de dados através de um motor de base de dados (como, por exemplo, o SQL Server, o Oracle e o Informix), a partilha de impressoras e de ficheiros, a entrega de correio electrónico.
Quais os concorrentes do Windows Server 2003?
Como concorrentes do Windows Server 2003, temos precisamente outros servidores de rede, como :o Novell Netware e sistemas Unix, como o Solaris, da Sun, o Caldeira Open Server (ex-SCO) e o Linux.
Quais são as versões do Windows Server 2003?
Há quatro versões distintas do Windows Server 2003:Standart Edition;Enterprise Edition;Datacenter Edition;Web Edition.
Standart Edition
A Edição Standart é a que se destina à utilização em redes empresariais de pequena ou média dimensão.
Concretizando um pouco mais, podemos dizer que a típica PME portuguesa, com algumas dezenas de utilizadores, deverá optar por esta edição.
Standart EditionA Standart Edition inclui serviços como:a partilha de ficheiros e impressoras,validação de utilizadores no Active Directory,suporte para VPN (Rede Privada Virtual),partilha de acesso à Internet,Firewall,Distributed File System,
Standart EditionServiço de fax,Serviços para Macintosh,IntellMirror,serviços de terminal (Terminal Services),Windows Media Services e suporte para framework .NET, incluindo ASP.NET.
Standart Edition
Ao nível do suporte de hardware, permite até 4 Gb de RAM e inclui suporte para multiprocessamento simétrico com 4 processadores.
Tem características suficientes para um típica rede de microcomputadores de uma PME.
Enterprise Edition
O Enterprise Edition é uma expansão da Standart Edition, que tem suporte para processadores de 64 bits Intel Itanium, fazendo multiprocessamento simétrico até 8 processadores e endereçando 32 Gb de RAM (64 Gb de RAM com processadores Intel Itanium).
Enterprise Edition
Além dos serviços mencionados para a Standart Edition, encontramos nesta edição os Serviços de clustering, Metadirectory Services e suporte integral para certificados digitais.
Enterprise EditionEsta edição será adoptada por empresas que necessitem do suporte para hardware mais avançado ou dos serviços adicionais.
Poderá também ser adoptada para suportes de aplicações mission-critical ou com necessidades de elevada disponibilidade (por exemplo, comercio electrónico).
Data EditionA Data Edition é a mais escalável incluindo suporte para até 64 Gb de RAM (512 com processadores Intel Itanium de 64 bits) e máquinas com 64 processadores.
Sendo uma edição muito especializada, nela não existe suporte para algumas funções como Firewall e partilha de acesso à Internet.
Data Edition
Esta edição, altamente especifica, só poderá ser adquirida através de fabricantes de equipamento devidamente qualificados.
Web EditionA Web Edition é a mais básica em termos de características.
Esta edição destina-se a servidores Web, em ambientes de produção de desenvolvimento.
Apenas suporta 2 Gb de memória de RAM e não inclui suporte para processadores Intel Itanium de 64 bits.
Web Edition
Permite multiprocessamento simétrico, mas apenas com dois processadores.
Esta edição apenas suporta parcialmente o Active Directory e não inclui Terminal Services.
Web Edition
Tem outras limitações, nomeadamente ao nível do IntelliMirror, Remate Storage, Serviços de fax e Serviços para Macintosh.
Também não inclui Windows Media Services.
Arquitectura cliente/servidor Um sistema cliente/servidor é aquele em que existe um ou mais computadores (servidores) responsáveis por satisfazer pedidos e outros (clientes) que colocam os pedidos aos primeiros.
Multitarefa ou Multiprocessamento
A multitarefa ou multiprocessamento é a capacidade de executar mais do que uma tarefa em simultâneo.
Multithreading
Multithreading é a capacidade de uma tarefa que está a ser executada dar origem a uma subtarefa, que irá disputar tempo de processador com todas as outras tarefas em execução no sistema.
Multithreading
Esta capacidade é especialmente importante para operações demoradas, já que a subtarefa que é lançada permite à tarefa principal continuar. Trabalhar com threads permite a aplicações servidores responder em simultâneo a pedidos de vários clientes.
MultithreadingExemplo:
Se três postos de trabalho de rede fizerem cada um, um pedido de dados a um servidor e não forem usadas threads, os três pedidos vão ser respondidos por ordem sequencial.
Site
Um site é um conjunto de controladores de domínio, ligados por uma conexão de alto desempenho. É um limite ou uma fronteira, dentro da qual existem um ou mais domínios.
A entidade site é um dos principais responsáveis pela replicação entre os domínios.
Domínio
Domínio é o termo usado pela Microsoft para designar redes ou conjuntos de redes em que existe um servidor que é responsável pela segurança da rede, no que diz respeito à validação de utilizadores.
Unidades OrganizacionaisA implementação de Unidades Organizacionais (OU) permite efectuar uma divisão de um domínio em diversas unidades que façam sentido na estrutura de uma organização, como, por exemplo, a divisão em departamentos.
Esta divisão pode ser multinível, ou seja, uma OU pode conter outras OU.
A criação de Unidades Organizacionais permite definir para cada uma delas politicas de grupo e esquemas de segurança, facilitando deste modo a administração.
Outra facilidade interessante será a delegação de poderes.
Unidades Organizacionais dentro de um domínio
Dep. Técnico
Dep. Comercial
Contabilidade
empresa.pt
Árvore
Uma árvore é um conjunto de um ou mais domínios de um site. Para criar uma árvore, é necessário criar um domínio raiz. Esse domínio terá a mesma nomenclatura de um domínio em ambiente de domínio único (por exemplo, empresa.pt).
Árvore
Exemplos de domínios filhos seriam, por exemplo, os domínios lisboa e coimbra. Os nomes DNS gerados por este exemplo, seriam lisboa.empresa.pt e coimbra.empresa.pt, respectivamente.
Árvore
Os membros de uma árvore possuem automaticamente uma relação de confiança bidireccional entre eles, isto quer dizer que cada um dos domínios dá acesso aos recursos a cada um dos outros.
A Implementação de uma árvore
empresa.pt
coimbra.empresa.ptlisboa.empresa.pt
Floresta
Uma floresta é um conjunto de duas ou mais árvores. A implementação de uma floresta não cria automaticamente relações de confiança entre as árvores, mas é possível implementá-las manualmente.
Servidor
Um servidor é um computador que tem como função disponibilizar serviços numa rede.
Nos serviços disponibilizados pela rede temos:
• A validação de utilizadores (login);
• A disponibilização de espaço em disco;
• A disponibilização de impressoras;
• A disponibilização de servidores de base de dados, como o Oracle ou o SQL Server;
• A disponibilização do Servidor Internet (WWW, FTP e outros).
Servidor dedicadoDiz-se que um servidor é dedicado quando não podemos trabalhar com ele de forma interactiva, ou seja, quando não nos é possível usá-lo simultaneamente como servidor e como cliente.
O Windows Server 2003 não implementa servidores dedicados porque podemos os usar como estação de trabalho.
Algumas características relevantes nas Ferramentas Administrativas:
Interface intuitiva – A interface destas ferramentas usa os elementos habituais em aplicações Windows e mantém a filosofia de operação típica de aplicações Microsoft: Selecção de elementos e activação de
comandos sobre eles.Por exemplo, para apagar um utilizador no “Utilizadores e grupos locais”, primeiro seleccionamos o utilizador e depois escolhemos, a partir dos menus, o comando apagar.
Interligação e integração – Existe integração das ferramentas com o sistema operativo, integração entre as diferentes ferramentas e mesmo entre as ferramentas e outros programas.Um exemplo da Interligação entre
diferentes ferramentas é o facto de operações feitas no “Utilizadores e grupos locais” ficarem (ou poderem ficar) registadas na “Visualização de Eventos”.
Como exemplo da integração entre ferramentas de administração e outras aplicações, temos o facto de o SQL Server e o Exchange Server acrescentarem ao “Monitor de desempenho” contadores específicos, que permitem medir o desempenho destas duas aplicações em situações especificas das mesmas.
Outro exemplo, o Backup permite fazer não só backups dos discos como também permite fazer o backup da informação armazenada num servidor de Exchange (servidor de mensagens ou correio electrónico.
Gestão centralizada – Algumas destas ferramentas, nomeadamente o “Gestão de computadores” ou o “Visualizador de eventos”, permitem-nos fazer a administração não só da própria máquina como também de uma outra máquina da rede.
Gestão a partir de um posto de trabalho – A Microsoft disponibiliza a instalação de algumas ferramentas de administração do servidor em postos de trabalho.
Usar o “Serviços de Terminal” para administrar o servidor remotamente a partir de uma janela da máquina do cliente.
Estas Ferramentas estão disponíveis através:
Menu Iniciar
Programas
Ferramentas Administrativas
Descrição das Ferramentas Administrativas
Autoridade de certificação – Faz a gestão dos “Serviços de certificado”, que emitem certificados para programas de segurança baseados em chaves públicas.
Administrador de clusters – Ferramenta utilizada para criação, configuração e gestão de clusters.
Serviços componentes – Serviço usado pelos administradores para distribuir e administrar aplicações COM+ ou automatizar tarefas administrativas usando linguagens de programação ou scrips.
Gestão de computadores – Ferramenta usada para a gestão das máquinas, quer locais, quer remotas. Combina uma série de ferramentas administrativas numa interface consolidada.
Configurar o servidor – Aplicação usada para a gestão rápida de um servidor. Após a instalação, aparece automaticamente na primeira entrada no sistema do utilizador Administrador, mas pode ser chamada sempre que houver necessidade.
Origens de dados (ODBC) – É uma ferramenta que permite aos programas o acesso a dados em sistemas de gestão de base de dados usando o SQL como linguagem comum.
Sistema de ficheiros distribuídos – Serviço utilizado pelos administradores para permitir que os utilizadores acedam de forma centralizada a dados que estão fisicamente distribuídos na rede.
Visualizador de eventos – É usado para a visualização e gestão de registos de log do sistema. O Event Viewer vai guardando informações relativas a problemas de hardware e monitoriza a segurança.
Licenciamento – Ferramenta que faz a gestão das licenças do Windows NT/200x e outros produtos da linha BackOffice, confrontando as necessárias com as existentes.
Política de segurança local –Usado para configurar as definições de segurança do sistema. Estas definições incluem politicas de passwords, auditoria e direitos dos utilizadores, entre outras.
Desempenho – Aplicação usada para a recolha real de dados de desempenho da memória, dos discos, do processador e da rede, entre outros, e os processa para análise sobre a forma de gráfico, histograma ou relatório.
Acesso remoto e encaminhamento – Configura os encaminhamentos e os acessos remotos que permitem ligações via LAN, dial-up ou VPN com utilizadores e redes remotas.
Serviços – Programa usado para gerir os serviços da máquina local e o seu comportamento.
Licenciamento dos serviços de terminal – Ferramenta auxiliar para a gestão das licenças necessárias para os clientes do serviço.
Configuração de serviços de terminal – Faz a gestão da configuração dos protocolos dos serviços de terminal e das definições do servidor.
Gestor dos serviços de terminal – Faz a gestão de acessos, de sessões e de processos de um servidor a correr os serviços de terminal.
Outras Ferramentas que podem ser encontradas nas Ferramentas Administrativas:
Domínios e confiança do Active Directory – Ferramenta que permite o estabelecimento de relações de confiança entre vários domínios.
Serviços e locais do Active Directory – Permite a criação e manutenção da estrutura hierárquica de uma rede.
Computadores e utilizadores do Active Directory – Esta é a ferramenta mais utilizada do serviço ActiveDirectory e permite ao administrador da rede fazer a criação e a manutenção dos objectos do directório.
DHCP – Permite a configuração dos parâmetros necessários ao perfeito funcionamento do serviço de DHCP.
DNS – Ferramenta para a gestão do serviço DNS (Domain Name Service), que permite a resolução de nomes em Windows 2003.
Política de segurança do controlador de domínio – Permite ver e modificar as políticas de segurança para a unidade organizacional do controlador de domínio.
Política de segurança do domínio – Ferramenta para a configuração de políticas do domínio, como os direitos dos utilizadores e configurações de auditoria.
WINS – Ferramenta para gestão do serviço de WINS, que permite a resolução de nomes NetBIOS para endereços IP.
Gestor de serviços da Internet – É a consola de gestão dos Internet Information Services.
Active DirectoryPor definição, Active Directory é o serviço de directório do Windows 2003.
Um directório poderá ser definido como uma fonte de informação hierárquica e que contém informação sobre utilizadores e outros objectos da rede, como impressoras e servidores de fax.
Isto é, o Active Directory é um serviço que mantém e gere o acesso à informação dos objectos de rede, como as contas de utilizadores e as impressoras, entre outros.
Esta informação está disponível quer para utilizadores quer para administradores, facilitando as tarefas de ambos.
Por exemplo, o Active Directory guarda informação sobre utilizadores, como o seu nome, a morada e os números de telefone.
Na perspectiva dos utilizadores, a utilidade está no acesso a essa informação, caso tenha direito a tal.
No caso dos administradores, possuem ferramentas que permitem definir esses direitos, de forma centralizada.
Nota que os utilizadores e os seus dados representam um mero exemplo, pois na realidade expande-se aos diversos objectos armazenados no directório.
O serviço de directório inclui um conjunto de regras, chamadas Esquema, que define as classes de objectos e os atributos que podem ser armazenados no Active Directory.
Podemos definir um atributo como uma propriedade que pode ser comum a várias classes, como por exemplo, o atributo “Descrição”.
Já uma classe pode ser definida como qualquer objecto que pode ser armazenado no directório e que é formada por um conjunto de atributos.
Um exemplo de classe é o objecto “Utilizador” e os seus atributos serão o “Nome”, a “Morada” e outros.
Um conceito importante, quando falamos de Active Directory, é o de Catálogo Global.
O servidor que contém o Catálogo Global é chamado Catálogo Global Servidor.
Tipicamente este servidor é o primeiro domain controller a ser configurado numa floresta, embora possam existir mais do que um.
O Catálogo Global contém informação sobre todos os objectos do directório e permite que utilizadores e administradores encontrem a informação de que necessitam, independentemente do domínio que contém esses dados.
Tudo isto é possível graças ao serviço de replicação, que distribui e sincroniza os dados do directório pelos controladores de domínio da rede.
Em redes de grande porte, a complexidade do directório aumenta vertiginosamente.
Prevendo essa situação, foi incluindo um mecanismo de indexação e de pesquisa, que facilita o acesso aos recursos disponibilizados pelo Active Directory mais fácil e rapidamente.
Para que os clientes da rede tenham acesso aos serviços do Active Directory, têm de ser compatíveis com ele.
No caso do cliente ser o Windows 2000/XP Professional, não existe o mínimo de problema, pois a integração é total.
Já na situação dos clientes Windows9x, as coisas não são tão simples, sendo necessário a instalação do cliente do Active Directory.
Os principais benefícios do Active Directory:
Segurança da informação – A segurança é parte integrante do Active Directory. O controlo do acesso pode ser definido quer ao nível de cada objecto quer ao nível das suas propriedades. O Active Directory suporta protocolos de autenticação como o Kerberos 5, o Secure Sockets Layer 3 (SSL) e os certificados X.509;
Administração baseada em políticas – A implementação de políticas de grupo permite determinar regras que restringem o acesso aos objectos do directório e aos recursos do domínio. Estas politicas podem ser aplicadas quer a toda estrutura da organização, representada no Active Directory, quer a nível de grupos que representam partes da organização, implementadas na forma de Unidades Organizacionais;
Extensibilidade – Representa a capacidade de introduzir novas classes de objectos e de criar os seus próprios atributos ou, ainda, de alterar os atributos de objectos já existentes;
Escalabilidade – Ao criarmos um domínio, podemos incluí-lo numa árvore que por sua vez está incluída numa floresta. A escalabilidade consiste na capacidade de adicionar novos domain controllers, permitindo assim o aumento das capacidades da rede e uma mais eficaz distribuição dos recursos;
Replicação – A replicação da informação entre os domain controllers permite uma mais eficaz tolerância a falhas, disponibilidade de informação e aumentos de eficácia. Assim, no caso de falha ou de indisponibilidade de um domain controller qualquer outro domain controller poderá desempenhar o papel do primeiro, quer ao nível das questões de segurança quer das questões de disponibilização de recursos;
Integração com o DNS – A integração do DNS no Active Directory permite a “tradução” de endereços IP em nomes perceptíveis, de forma dinâmica, ou seja, sem que o administrador tenha de se preocupar em criar tabelas de conversão;
Compatilidade – O Active Directory utiliza protocolos de acesso standard, como o LDAP (Lighweight Directory Access Protocol), de modo a ser compatível com outros serviços de directório, existentes há mais tempo no mercado.
Instalação do Active DirectoryA instalação do Active Directory é assistida por uma prática janela, tornando o processo mais simplificado.
Como pré-requisito, devemos ter em consideração que para a instalação do Active Directory o sistema tem de ter pelo menos uma partição formatada no sistema de ficheiros NTFS.
Se não tem nenhuma partição livre, pode converter uma das já existentes, sem perder os seus dados, usando o comando convert.exe.
Assim, na linha de comandos [Menu Executar], digite o seguinte comando:convert [drive :] /fs:ntfs [/v]Onde:drive – será a letra que representa a drive a converter/v – será um parâmetro opcional, que, caso seja
incluído, fará o comando correr em modo verboso, ou seja, ao longo da execução do comando serão exibidas todas as mensagens.
A forma mais rápida de iniciar a instalação do Active Directory é utilizando o comando dcpromoem Menu Executar.
Contas de utilizadores
As contas e os grupos de utilizadores podem variar mediante o tipo de servidor, dependendo se são servidores controladores de domínio, servidores membro ou servidores autónomos.
As contas de utilizadores destes dois últimos tipos de servidor, bem como o Windows NT Workstation, 2000 Professional e XP Professional, encontram-se guardados em cada computador, numa base de dados chamada SAM – Security Access Manager, que, normalmente, se encontra localizada em
\Windows\System32\config,dependendo do local onde se criou o directório da raiz do sistema (System root directory).
Para um utilizador destes tipos de servidor entrar num domínio, ele terá de estar identificado, através de uma palavra-passe, por um controlador de domínio.
Num servidor que seja controlador de dominio (tem instalado o Active Directory), a segurança é controlada pelo Active Directory.
O Active Directory guarda a informação de segurança num ficheiro designado NTDS.DIT, que se encontra, por defeito, em Windows\NTDS, embora se possa especificar um caminho diferente na rotina do dcpromo.
A base de dados NTDS.DIT guarda muito mais informação do que a base de dados SAM, chegando também a guardar informação sobre servidores e workstations (estações de trabalho), recursos, aplicações publicadas e politicas de segurança.
Sempre que são criadas contas de utilizadores, é-lhes automaticamente atribuído um identificador de segurança SID (security identifier), que é um número exclusivo que identifica uma conta.
Os SID têm sido usados desde que começou o NT.
O sistema não reconhece o nome de utilizador, mas sim o seu SID.
As ID (identidades) do utilizador só lá estão para a interface humana.
Os SID nunca são reutilizados; quando uma conta é apagada, o seu SID é apagado com ela.
Um SID típico pode ter o seguinte aspecto:S-1-5-21-1659004503-193565697-854245398-1002.
Os SID podem ser partidos em segmentos como este:S-1-5-21-D1-D2-D3-RID
S-1-5 é apenas um prefixo standard (na realidade, o 1 é o numero da versão, que não mudou desde o NT 3.1 e o 5 significa que o SID foi atribuído pelo NT);21 também é um prefixo do NT; e D1, D2 e D3 são apenas números de 32 bit que são específicos para um domínio.
Uma vez criado um domínio, são indicados os D1 até D3 e todos os SID daquele domínio passam a ter os mesmos três valores.
Os RID significam identificadores relativos (relative identifier)
O SID é a parte exclusiva de qualquer SID atribuido.
Cada nova conta tem sempre um número RID exclusivo/único, mesmo que o nome de utilizador ou outra informação seja a mesma de uma conta antiga.
Deste modo, a nova conta não terá qualquer um dos direitos e permissões da conta antiga e a segurança é preservada.
Utilizadores e computadores do Active Directory
É o nome dado à ferramenta de gestão de utilizadores, que se encontra disponivel através:
Botão Iniciar Ferramentas administrativas Utilizadores e computadores do Active Directory.
É esta ferramenta que possibilita, entre outras funções, por exemplo, a criação de contas de acesso (utilizadores) e de grupos (universais, globais e locais), o desbloqueamento de contas de acesso, alteração de propriedades de um utilizador e o envio de correio electrónico para utilizadores ou grupos.É também esta a ferramenta que é usada para gerir computadores ou até para usar “templates de utilizador”, ou seja, “modelos de utilizadores”, pois esta ferramenta permite indicar que se quer criar um utilizador usando um outro como modelo.
Criação de contas de utilizadores
Utilizadores e computadores do Active Directory Clicar com o botão direito do rato sobre o contentor onde se pretende criar o novo utilizador.No menu, Novo UtilizadorIndicar o nome próprio do utilizador, iniciais, apelido e nome completo
Indicar o nome de login (no campo logon) para computadores que correm Windows 2000 e 2003 (composto pelo seu nome e pelo domínio, separados pelo símbolo @) e um nome usado para compatibilidade com sistemas anteriores ao Windows 2000 (NT/9x).Clicar em Seguinte.Introduzir a palavra-passe e voltar a introduzi-la para confirmação
Seleccionar uma das opções:O utilizador tem de mudar a palavra-passe no próximo inicio de sessão;O utilizador não pode alterar a palavra-passe;A palavra-passe nunca expira (nunca será necessário mudar de palavra-passe para a referida conta);Conta desactivada (a conta não pode ser usada para acesso à rede, por não estar activa)Clicar em Seguinte, para prosseguir
Verificar os dados apresentados no resumo (em caso de erros ou alterações, pressionar o botão Retroceder).Clicar em Concluir.
Algumas regras para a criação de utilizadores
Todas as contas de utilizador possuem um nome de exibição e um nome logon.
O nome de exibição será mostrado para os outros utilizadores, quando o sistema se referir aquele utilizador.
O nome de logon é o utilizado para o login do domínio.
Nome de exibiçãoÉ formado pelo primeiro nome, a inicial do segundo nome e o apelido do utilizador.
Exemplo:João Manuel Pereira MarquesNome de exibição - João M.
Marques
Nome de logonDeve ser previamente definido a partir de um padrão criado.
Um padrão utilizado é o nome de logon ser igual à primeira letra do primeiro nome, seguido do apelido, em caso de haver dois utilizadores iguais, utiliza-se as duas primeiras letras do primeiro nome.
Voltando ao exemplo:jpereira;jopereira.
Outro padrão utilizado é o primeiro nome seguido da primeira letra do apelido.
paulaapaulaal – em caso, repetição
de nome
Caracteres que não podem ser utilizados:
“/\[]:;|=,+*?<>
Não pode conter mais do que 64 caracteres.
Inicialmente, devemos criar uma conta para o administrador de rede, porque é recomendado não utilizar a conta Administrador durante o dia-a-dia administrativo.