Page 1

CURSO TÉCNICO EM INFORMÁTICA

Redes Avançado

Eudes Danilo da Silva Mendonça Tecnólogo em informática eudesdanilo@gmail.com


Dedicatória

Dedico este trabalho primeiramente a Deus, que me deu a oportunidade de viver todos estes instantes de minha vida, com alegria e saúde. Dedico também aos meus pais, minha família e amigos, que sempre me apoiaram e estiveram ao meu lado, dentre eles destaco especialmente a minha esposa Michelle Mendonça e meus pais (Eudes Mendonça e Rubelucia Mendonça), pelo incentivo e pela paciência diante das dificuldades impostas pelo dia a dia. Por fim, meus sinceros agradecimentos


ÍNDICE I. Revisão dos Conhecimentos Básicos .................................................................6

1. O que é Redes de Computadores? ....................................................................................................6 2. Porque ligar Micros em Rede .............................................................................................7 3. Palavra Chave “Compartilhamento” ...................................................................................8 4. Tipos de Redes ..................................................................................................................8 4.1 Redes Ponto-a-ponto ..........................................................................................11 4.2 Redes Cliente Servidor .......................................................................................11 5 – Noção de Cabeamento Estruturado ................................................................................11 5.1 - Importância dele na rede ..................................................................................12 5.2 – conector RJ45 ..................................................................................................12 5.3 - Cabo UTP ........................................................................................................12 5.4 - Categorias ........................................................................................................12 5.5 - Crimpador ........................................................................................................12 5.6 - Testador de Cabos ............................................................................................12 5.7 - Delay ................................................................................................................12 5.8 – Processo de Crimpagem ..................................................................................12 5.9 – Cabeamento Estruturado .................................................................................12 5.10 – Sugestão para a Rede Elétrica .......................................................................xx 5.11 – Sistema de Aterramento ................................................................................xx 5.11.1 - Consequências da falta de aterramento ...........................................xx 5.12 – Documentar uma Rede ..................................................................................xx 6 – Protocolos .......................................................................................................................13 6.1 O que é protocolo? ..............................................................................................15 6.2 Como trabalham os protocolos ...........................................................................15 6.3 Pilhas de protocolos mais comuns ......................................................................15 6.4 Classificação dos protocolos ..............................................................................15 6.4.1 Aplicativos ..........................................................................................20 6.4.2 Transporte ...........................................................................................20 6.4.3 Rede .....................................................................................................20 6.4.4 Física ...................................................................................................20 6.5 Protocolos de Mercado .....................................................................................22 6.5.1 Netbeui ...............................................................................................23 6.5.2 IPX/ SPX e NWLINK .............................................................................25 6.5.3 – TCP/IP ..............................................................................................30 6.5.3.1 Benefícios na utilização do TCP ...........................................32 6.5.3.2 Conceitos necessários .........................................................34 6.5.3.3 Configuração ........................................................................xx 6.5.3.1 Como configurar .....................................................40 6.5.3.2 Onde Configurar ......................................................xx 6.5.3.4 Solucionar Principais problemas .........................................44 7 – Que Software Utilizar ? ................................................................................................xx

II Revisão Prática do Curso (Workstation).................................................................xx

de

Redes

1 – Conceito ................................................................................................................................xx 2 – tutorial de como configurar uma rede Windows XP .............................................................xx


III –Segurança de ..............................................................................................................xx

Redes

1 – Introdução .....................................................................................................................xx 2 – Tipos de Segurança .......................................................................................................xx 2.1 – Segurança Física .............................................................................................xx 2.1.1 Introdução ........................................................................................xx 2.1.2 Objetivos ..........................................................................................xx 2.2 – Segurança Lógica ........................................................................................... xx 3 – Objetivos ..................................................................................................................xx 4 – Introdução a ataques .................................................................................................xx 4.1 – O que o ataque ? .........................................................................................xx 4.2 – Vulnerabilidades ............................................................................................xx 4.3 - Um ataque típico .............................................................................................xx 4.4 – O que o hacker ataca ? .....................................................................................xx 4.5 - Fonte de Problemas ou Ataques ........................................................................xx 4.6 - Tipos de ataques conhecidos ............................................................................xx 4.7 - Como Evitar ....................................................................................................xx 4.8 - Como prevenir e evitar Ameaças Internas? .........................................................xx 4.9 – Exemplo de cases ..........................................................................................xx 5 - Análise de Segurança .......................................................................................................xx 6 – Custo de Segurança ......................................................................................................xx 7 - Custo Visíveis x Invisíveis ................................................................................................xx 8 - Erros mais comuns ........................................................................................................xx 9 - Manual do motorista Virtual .............................................................................................xx 10 - Jogos dos erros: ...........................................................................................................xx

IV - Sistemas Operacionais de Redes

1 – Windows 2000 1 Tutorial de Instalação.......................................................................................................11 2.1. Domínio ...............................................................................................................................11 2.1.1. Grupos de Trabalho Windows 2000 .....................................................................11 2.1.2. Domínios Windows 2000..............................................................................12 2.2. Serviço de Diretório ...............................................................................................13 3. Active Directory ..............................................................................................................14 3.1. Características do Active Directory.....................................................................14 3.1.1 Escalabilidade .............................................................................................14 3.1.2. Suporte a Padrões Abertos..........................................................................14 3.1.3. DNS ...........................................................................................................15 3.2. Estrutura do Active Directory ...............................................................................15 3.2.1. Estrutura Lógica ........................................................................................15 3.2.2. Objetos e Atributos ...................................................................................15 4. Instalando o Active Directory .......................................................................................18 5. Administrando Contas de Usuários ............................................................................26 5.1. Planejando Novas Contas de Usuários .............................................................26 5.1.1. Convenções para Nomes de Contas de Usuário .....................................26 5.1.2. Diretrizes para as Senhas ..........................................................................27 5.1.3. Opções de Conta.........................................................................................27 5.2. Contas de Usuário Local ......................................................................................29 5.3. Contas de Usuário do Domínio ...........................................................................30


5.3.1. Propriedades para Contas de Usuários do Domínio ...............................34 5.3.2. Cópia de Contas de Usuário do Domínio ..................................................35 6. Gerenciamento de Grupos ...........................................................................................37 6.1. Grupos em um Domínio........................................................................................37 6.1.1. Tipos de Grupos.........................................................................................37 6.1.2. Escopos de Grupos......................................................................................37 6.1.3. Estratégias de Grupos ................................................................................38 6.1.4. Criação de Grupos de Domínio ..................................................................38 7. Segurança do Sistema de Arquivos ...........................................................................41 7.1. Pastas Compartilhadas.........................................................................................41 7.1.1. Permissões de Pastas Compartilhadas .....................................................41 7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas.....................44 8. Conexão de Clientes ao Windows 2000 ....................................................................46 8.1. Configurando Clientes Windows 9x....................................................................46 8.2. Configurando Clientes Windows 2000 Professional ........................................48 9. Visão Geral sobre TCP/IP no Windows 2000 ...........................................................51 9.1. Endereço IP Dinâmico: DHCP.............................................................................52 9.2. Endereço IP Estático.............................................................................................53 9.2.1. Configuração de Endereços IP Estáticos ..................................................53 9.3. Verificação da Configuração TCP/IP..................................................................54 9.3.1. Depurando Problemas com o Protocolo TCP/IP ......................................55 10. DHCP Service ............................................................................................................ 56 10.1. Instalação e Configuração do DHCP Service ............................................... 56 10.1.1. Instalação do DHCP Service ...................................................................... 56 10.1.2. Configuração do Servidor DHCP ............................................................ 57 10.1.3. Autorização do Servidor DHCP ................................................................... 59 11. WINS............................................................................................................................ 60 11.1. Implementação de WINS.................................................................................. 61 11.1.1. Considerações sobre Servidores WINS.................................................... 61 11.1.2. Instalação do WINS ................................................................................. 62 11.1.3. Configuração do Servidor WINS ............................................................. 63 11.1.4. Configuração de Replicação WINS ......................................................... 65 11.1.5. Backup do Banco de Dados WINS ...................................................... 66 12. Segurança NTFS ....................................................................................................... 67 12.1. Permissões NTFS de Pasta ............................................................................. 67 12.2. Permissões NTFS de Arquivo ......................................................................... 67 12.3. Múltiplas Permissões NTFS ............................................................................. 68 12.4. Concessão de Permissões NTFS ................................................................... 68 12.5. Herança de Permissões ................................................................................... 69 12.6. Mover e Copiar Pastas e Arquivos ................................................................. 70 12.6.1. Copiar Pastas e Arquivos ........................................................................ 70 12.6.2. Mover Pastas e Arquivos ......................................................................... 70 12.7. Recomendações para Concessão de Permissões NTFS........................... 71 13. Gerenciamento de Impressão ................................................................................. 72 13.1. Requisitos para Impressão em Rede ............................................................. 72 13.2. Diretrizes para um Ambiente de Impressão em Rede ................................. 73 13.3. Instalação de uma Impressora ........................................................................ 73 13.4. Configuração de Computadores Clientes ...................................................... 74 13.4.1. Clientes Windows 9x ou Windows NT 4.0 ............................................. 74 13.5. Compartilhamento de uma Impressora .......................................................... 74 13.6. Prioridades de Impressoras ............................................................................. 75 13.7. Permissões para as Impressoras.................................................................... 76 14. Gerenciamento de Discos ........................................................................................ 77


14.1. Discos Básicos ................................................................................................... 77 14.2. Discos Dinâmicos .............................................................................................. 77 14.3. Criando Partições em Discos Básicos ........................................................... 78 14.4. Atualizando um Disco Básico para Disco Dinâmico .................................... 80 14.4.1. Reverter para um Disco Básico ............................................................... 81 14.4.2. Criando Volumes Simples ...................................................................... 81 14.4.3. Estendendo Volumes Simples ................................................................ 81 14.5. Tarefas Comuns do Disk Management.......................................................... 82 14.5.1. Status do Disco ........................................................................................ 82 14.5.2. Reparando Partições e Volumes............................................................... 82 14.5.3. Excluindo Partições e Volumes ..................................................... 82 14.6. Adicionando Discos ........................................................................................... 82 14.6.1. Adicionando Discos de Outros Computadores ........................................ 83 14.6.2. Importando Volumes Completos ............................................................. 83 14.7. Desfragmentando Partições............................................................................. 83 14.8. Práticas Recomendadas................................................................................... 84 15. Proteção contra Perda de Dados ............................................................................ 85 15.1. Tolerância a Falhas e Recuperação de Desastres ...................................... 85 15.2. Sistema de Alimentação Ininterrupta.............................................................. 85 15.2.1. Configurações do Serviço UPS ............................................................... 85 15.3. Tipos de Implementações de RAID ................................................................ 87 15.3.1. Implementação de RAID de Software ..................................................... 87 15.3.2. Implementação de RAID de Hardware..................................................... 88 15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados... 88 16. Ferramentas para Recuperação de Desastres ..................................................... 92 16.1. Opções Avançadas de Inicialização ............................................................... 92 16.2. Recuperando um Computador com o Recovery Console... ......................................xx 16.2.1. Instalando o Recovery Console................................................................ 93 16.2.2. Comandos do Recovery Console ............................................................. 93 16.3. Recuperando um Computador com o Processo de Reparação de Emergência ...... 94 16.3.1. Usando o Processo de Reparação de Emergência ................................. 94 17. Técnicas de Medição de Performance ......................................... 92 17.1. Análise e Otimização do Servidor ..................................................... 92 17.2. Objetos, Ocorrências e Contadores ..................................................... 92 17.3. Usando o System Monitor ..................................................... 92 17.4. Adicionando Contadores ..................................................... 92 17.5. Otimizando o Desempenho ..................................................... 92 17.5.1. Examinando o desempenho da memória ................................................ 92 17.5.2. Examinando o desempenho do processador .......................................... 92 17.5.3. Examinado o desempenho do disco ..................................................... 92 17.5.4. Examinado o desempenho da rede ..................................................... 92 17.5.5. Usando Alertas ..................................................... 92 18 – Ferramentas de Group Policy ..................................................... 92 19 - IIS 6.0 – Instalação, Administração e Configuração 19.1 - Objetivos 19.2 - Introdução 19.3 - IIS – Arquitetura – Visão Geral 19.3.1 - Arquitetura de Processos Tolerante a Falhas 19.3.2 Health Monitor 19.3.3 Novo modo driver kernel, HTTP.sys 19.3.4 Integração com Aplicativos e Segurança 19.3.5 Confiabilidade – Modo de Isolamento 19.3.6 Worker Processes


19.3.7 IIS 5.0 Isolation Modes 19.4 - Instalação 19.5 Serviço de FTP 19.5.1 Objetivos 19.5.2 O Protocolo FTP 19.5.3 Transferência de dados e firewalls 19.5.4 Segurança 19.5.5 Serviço de FTP no IIS 19.5.6 Autenticação de Usuários no IIS 19.5.7 Autenticação de Usuários em site FTP 19.5.8 Serviço de FTP no IIS 5.0 19.5.9 Serviço de FTP no IIS 6.0 19.5.10 Instalação 19.5.11 Criando um novo site FTP 19.5.12 Configurando o Serviço de FTP para Acesso Anônimo 19.5.13 Simulação de criar os sites com IPs diferentes 19.5.14 Site FTP com isolamento de usuários 19.5.14.1 Configurando o isolamento do usuário de FTP com o Active Directory 19.5.15 Monitorando o Serviço de FTP 19.5.15.1 Configurando o Logging de Sites FTP 19.5.15.2 Log da atividade do site 19.5.15.3 Formatos de arquivo de log 19.5.16 Parando e Iniciando Sites FTP

4.2 – Linux – Suse. 4.3 – Ambiente Misto.


I. Revisão dos Conhecimentos Básicos 1 – O que é Redes de computadores? Atualmente é praticamente impossível não se deparar com uma rede de computadores, em ambientes relacionados à informática, principalmente porque a maioria dos usuários de computadores se conectam a Internet – que é a rede mundial de computadores. Mesmo em ambientes que não estão relacionados à informática, mas fazem uso de computadores, a utilização de redes pode ser facilmente evidenciada. Observe o ambiente de um supermercado, cada caixa registradora pode ser um computador, que, além de estar somando o total a ser pago, está automaticamente diminuindo o do controle de estoque dos produtos que você está comprando. O responsável pelo controle de estoque tem acesso em tempo real à lista de mercadorias que tem dentro do supermercado, assim como o responsável pelo fluxo de finanças tem acesso ao fluxo de caixa daquele momento, facilitando enormemente o processo de gerência e controle do supermercado. As redes de computadores surgiram da necessidade de troca de informações, onde é possível ter acesso a um dado que está fisicamente localizado distante de você, por exemplo em sistemas bancários. Neste tipo de sistema você tem os dados sobre sua conta armazenado em algum lugar, que não importa onde, e sempre que você precisar consultar informações sobre sua conta basta acessar um caixa automático. As redes não são uma tecnologia nova. Existe desde a época dos primeiros computadores, antes dos PC‘s existirem, entretanto a evolução da tecnologia permitiu que os computadores pudessem se comunicar melhor a um custo menor. Além da vantagem de se trocar dados, há também a vantagem de compartilhamento de periféricos, que podem significar uma redução nos custos de equipamentos. A figura abaixo representa uma forma de compartilhamento de impressora (periférico) que pode ser usado por 3 computadores.

É importante saber que quando nos referimos a dados, não quer dizer apenas arquivos, mas qualquer tipo de informação que se possa obter de um computador. Outra aplicação para redes de computadores é a criação de correio eletrônico, o que facilita a comunicação interna em uma empresa, e se esta empresa estiver conectada a Internet, pode-se usar esse tipo de correio. Resumindo Como foi visto, as redes de computadores são um conjunto de computadores autônomos interligados através de um meio físico de comunicação para o compartilhamento de recursos, isso os diferencia bem de um sistema multiterminal onde os terminais funcionam como uma unidade de entrada e saída de dados do computador principal – chamado Servidor. Nas Redes os computadores conectados são sistemas independentes, cada computador, ou nó da rede, processa localmente suas informações, executa seus próprios programas e opera de maneira autônoma em relação aos demais. Os principais motivos que levam a implantação de uma rede de computadores são: • Possibilitar o compartilhamento de informações (programas e dados) armazenadas nos computadores da rede;


• Permitir o compartilhamento de recursos associados às máquinas interligadas; • Permitir a troca de informações entre os computadores interligados; • Permitir a troca de informações entre usuários dos computadores interligados; • Possibilitar a utilização de computadores localizados remotamente; • Permitir o gerenciamento centralizado de recursos e dados; • Melhorar a segurança de dados e recursos compartilhados

2 – Porque ligar micros em rede? A partir do momento em que passamos a usar mais de um micro, seja dentro de uma empresa, escritório, ou mesmo em casa, fatalmente surge a necessidade de transferir arquivos e programas, compartilhar a conexão com a Internet e compartilhar periféricos de uso comum entre os micros. Certamente, comprar uma impressora, um modem e um drive de CD-ROM para cada micro e ainda por cima, usar disquetes, ou mesmo CDs gravados para trocar arquivos, não é a maneira mais produtiva, nem a mais barata de se fazer isso. A melhor solução na grande maioria dos casos é também a mais simples: ligar todos os micros em rede. Montar e manter uma rede funcionando, tem se tornado cada vez mais fácil e barato. Cada placa de rede custa apartir de 35 reais, um Hub/switch simples, 10/100 pode ser encontrado por 100 reais, ou até um pouco menos, enquanto 10 metros de cabo de par trançado não custam mais do que 6 ou 8 reais.Se você mesmo for fazer o trabalho, ligar 10 micros em rede, custaria entre 500 e 800 reais, usando cabos de par trançado e um hub e placas 10/100 em todos os micros. Com a rede funcionando, você poderá compartilhar e transferir arquivos, compartilhar a conexão com a Internet, assim como compartilhar impressoras, CD-ROMs e outros periféricos, melhorar a comunicação entre os usuários da rede através de um sistema de mensagens ou de uma agenda de grupo, jogar jogos em rede, entre várias outras possibilidades.

3 Palavra Chave “Compartilhamento” Num grupo onde várias pessoas necessitem trabalhar nos mesmos arquivos (dentro de um escritório de arquitetura, por exemplo, onde normalmente várias pessoas trabalham no mesmo desenho), seria muito útil centralizar os arquivos em um só lugar, pois assim teríamos apenas uma versão do arquivo circulando pela rede e ao abri-lo, os usuários estariam sempre trabalhando com a versão mais recente. Centralizar e compartilhar arquivos também permite economizar espaço em disco, já que ao invés de termos uma cópia do arquivo em cada máquina, teríamos uma única cópia localizada no servidor de arquivos. Com todos os arquivos no mesmo local, manter um backup de tudo também torna-se muito mais simples. Simplesmente ligar os micros em rede, não significa que todos terão acesso a todos os arquivos de todos os micros; apenas arquivos que tenham sido compartilhados, poderão ser acessados. E se por acaso apenas algumas pessoas devam ter acesso, ou permissão para alterar o arquivo, basta protegê-lo com uma senha (caso esteja sendo usado o Windows 95/98/XP/VISTA) ou estabelecer permissões de acesso, configurando exatamente o que cada usuário poderá fazer (caso esteja usando Windows 2000, XP, Linux, Netware, ou outro sistema com este recurso).


Além de arquivos individuais, é possível compartilhar pastas ou mesmo, uma unidade de disco inteira, sempre com o recurso de estabelecer senhas e permissões de acesso.

4 Tipos de Redes Do ponto de vista da maneira com que os dados de uma rede são compartilhados podemos classificar as redes em dois tipos básicos: • Ponto-a-ponto: que é usado em redes pequenas; • Cliente/servidor: que pode ser usado em redes pequenas ou em redes grandes. Esse tipo de classificação não depende da estrutura física usada pela rede (forma como está montada), mas sim da maneira com que ela está configurada em software. 4.1. Redes Ponto-a-Ponto Esse é o tipo mais simples de rede que pode ser montada, praticamente todos os Sistemas Operacionais já vêm com suporte a rede ponto-a-ponto (com exceção do DOS). Nesse tipo de rede, dados e periféricos podem ser compartilhados sem muita burocracia, qualquer micro pode facilmente ler e escrever arquivos armazenados em outros micros e também usar os periféricos instalados em outros PC‘s, mas isso só será possível se houver uma configuração correta, que é feita em cada micro. Ou seja, não há um micro que tenha o papel de —servidor da rede, todos micros podem ser um servidor de dados ou periféricos.

Apesar de ser possível carregar programas armazenados em outros micros, é preferível que todos os programas estejam instalados individualmente em cada micro. Outra característica dessa rede é na impossibilidade de utilização de servidores de banco de dados, pois não há um controle de sincronismo para acesso aos arquivos. Vantagens e Desvantagens de uma rede Ponto-a-Ponto: • Usada em redes pequenas (normalmente até 10 micros); • Baixo Custo;


• Fácil implementação; • Baixa segurança; • Sistema simples de cabeamento; • Micros funcionam normalmente sem estarem conectados a rede; • Micros instalados em um mesmo ambiente de trabalho; • Não existe um administrador de rede; • Não existe micros servidores; • A rede terá problemas para crescer de tamanho. 4.2 Redes Cliente/Servidor Este tipo de rede é usado quando se deseja conectar mais de 10 computadores ou quando se deseja ter uma maior segurança na rede. Nesse tipo de rede aparece uma figura denominada servidor. O servidor é um computador que oferece recursos especializados, para os demais micros da rede, ao contrário do que acontece com a rede ponto-a-ponto onde os computadores compartilham arquivos entre si e também podem estar fazendo um outro processamento em conjunto. A grande vantagem de se ter um servidor dedicado é a velocidade de resposta as solicitações do cliente (computador do usuário ou estações de trabalho), isso acontece porque além dele ser especializado na tarefa em questão, normalmente ele não executa outra tarefas. Em redes onde o desempenho não é um fator importante, pode-se ter servidores não dedicados, isto é, micros servidores que são usados também como estação de trabalho. Outra vantagem das redes cliente/servidor é a forma centralizada de administração e configuração, o que melhora a segurança e organização da rede. Para uma rede cliente/servidor podemos ter vários tipos de servidores dedicados, que vão variar conforme a necessidade da rede, para alguns tipos desses servidores podemos encontrar equipamentos específicos que fazem a mesma função do computador acoplado com o dispositivo, com uma vantagem, o custo desses dispositivos são bem menores. Abaixo temos exemplos de tipos de servidores: • Servidor de Arquivos: É um servidor responsável pelo armazenamento de arquivos de dados – como arquivos de texto, planilhas eletrônicas, etc... É importante saber que esse servidor só é responsável por entregar os dados ao usuário solicitante (cliente), nenhum processamento ocorre nesse servidor, os programas responsáveis pelo processamento dos dados dos arquivos deve estar instalados nos computadores clientes. • Servidor de Impressão: É um servidor responsável por processar os pedidos de impressão solicitados pelos micros da rede e enviá-los para as impressoras disponíveis. Fica a cargo do servidor fazer o gerenciamento das impressões. • Servidor de Aplicações: É responsável por executar aplicações do tipo cliente/servidor como, por exemplo, um banco de dados. Ao contrário do servidor de arquivos, esse tipo de servidor faz processamento de informações.


• Servidor de Correio Eletrônico: Responsável pelo processamento e pela entrega de mensagens eletrônicas. Se for um e-mail destinado a uma pessoa fora da rede, este deverá ser passado ao servidor de comunicação (firewall) Servidor de Comunicação (Firewall): Usado para comunicação da sua rede com outras redes, como a Internete Se você acessa a Internet através de uma linha telefônica convencional, o servidor de comunicação pode ser um computador com uma placa de modem ou conexões com ADSL ou LPCD. Além desses, existem outros tipos de servidores que podem ser usados, vai depender da necessidade da rede. Vantagens e Desvantagem: Usada normalmente em redes com mais de 10 micros ou redes que necessitem de alto grau de segurança; • Custo Maior desempenho do que as redes ponto-a-ponto; • Implementação necessita de especialistas; • Melhor desempenho que as redes ponto-a-ponto; • Alta segurança; • Configuração e manutenção na rede é feita de forma centralizada; • Existência de servidores, que são micros capazes de oferecer recursos aos demais micros da rede

5 Noções de Cabeamento Estruturado Antes de iniciarmos este tópico trabalho, é interessante termos em mente a real necessidade de padronização em nosso mundo. Antes de qualquer coisa, a padronização serve para uma montagem rápida e segura de qualquer processo, e no futuro, não haver quaisquer problemas de expansão e melhorias. Na criação de uma rede, desde sua idealização no papel até sua


concepção física, que é o que realmente fica de permanente em toda a sua vida, é a filosofia da informação que trafegará por ela. Filosofia da informação? Como assim? Teremos informação refletindo sobre algo? Exatamente o que pretendemos neste trabalho é mostrar o quão importante é conhecer seu cliente e principalmente o tipo de informação. Para que a rede realmente se destinará? Qual o investimento necessário? Que equipamentos comprar? Obviamente quando falamos de cabos, nem pensar em trabalhar algo que não esteja ligado a boas marcas do mercado, certificadas, resistentes e sobretudo a preços justos (preço justo não significa ser caro). Não cogitamos nada fora da categoria de cabos nível 5 (como veremos adiante). Mas uma nota deve ser registrada: mesmo com massa ruim o bom pedreiro constrói. Não pretendemos aqui tratar o assunto de forma ampla e técnica demais, mas o assunto deve abranger e preencher o conhecimento do leitor com alguns subsídios técnicos e que não estejam apenas restritos a termos meramente elegantes e charmosos de se referir a cores de cabos de cobre. Interessante saber que este material inicialmente, apenas dizia a respeito de crimpagem de cabos e seus padrões, mas devido à importância tamanha da padronização, organização e sobretudo “Carinho” com a informação, pouco a pouco abrangemos outros termos e conceitos, que abrangem toda a rede Tendo em vista, que todos os tipos de cabeamento já foram mostrados no curso básico, falaremos rapidamente apenas dos itens mais utilizados no mercado. 5.1 – Importância dele na Rede: A função primordial de uma rede local (LAN, ou Local Area Network) é ligar fisicamente vários computadores entre si e também a um servidor (que não é nada mais que um simples micro, porém preparado para ficar 24hs. Disponível para as tarefas da rede). Isto é conseguido através de cabos de pares trançados, fibra ótica, linhas telefônicas e até mesmo sinais de rádio e infra-vermelhos! É incrível o que podemos fazer. Há várias formas de interligar computadores. Cada configuração de rede – ou topologia – precisa ainda realizar as mesmas tarefas que o computador exercia antes. A situação mais comum é o envio de mensagens de um computador para outro. A mensagem pode ser uma solicitação de dados, uma resposta de solicitação de algum outro computador ou uma instrução para executar um programa que esteja armazenado na rede. Os dados ou o programa que a mensagem solicita podem estar armazenados em um computador utilizado por um colega de trabalho em rede, em um servidor de arquivos ou por um computador específico. Um servidor de arquivos é geralmente um computador de alto desempenho, com disco rígido grande não utilizado exclusivamente por qualquer usuário da rede. Ele existe simplesmente para atender todos os computadores em rede, fornecendo um lugar comum no qual são armazenados os dados a serem recuperados com a máxima rapidez possível. Existem grandes vantagens em se manter um servidor de rede. As principais podemos destacar como: centralização das informações proporcionando facilidade de acesso através de simples padronização de pastas, e a realização simples de backup em disco, em fita, em CD ou mesmo ZIP Disk. A rede deve receber as solicitações de acesso através dos computadores – ou nós – ligados a ela; a rede também precisa achar uma forma de gerenciar todas essas solicitações simultâneas de seus serviços. A rede precisa gerenciar tudo o mais rápido possível, enquanto distribui seus serviços entre todos os nós. Três topologias de rede – de barramento (bus), anel (token ring) e estrela – respondem pela maioria das configurações de LAN. A comunicação em rede vai além do envio de mensagens. Não é simplesmente um processo de transmissão de bits representando caracteres alfanuméricos. As comunicações em rede podem envolver computadores que funcionam com MS-DOS, Windows, modelos da linha Macintosh, computadores de grande porte e qualquer outra família de computadores, todos tendo sua forma própria de gerenciamento de códigos de dados e de transmissão. Para que todos estes sistemas possam estar em comunicação eles têm que seguir um padrão: o modelo OSI (Open Systems Interconnection, ou Interligação de Sistemas Abertos), que é seguido pela maioria dos computadores em rede. Este padrão é baseado em camadas: cada componente da rede existe


numa determinada camada do sistema, e cada componente pode comunicar-se somente com a camada diretamente abaixo ou diretamente acima dele. Cada camada fornece serviços à camada superior e pode solicitar os serviços da camada inferior. Mas não vamos entrar neste assunto tão técnico assim. Apenas precisamos de saber que, tanto fisicamente quanto logicamente uma rede precisa de padronização. Padronização é a associação de signos a símbolos que tenham significado comum, igualitário e normativo em todo o mundo. Montar uma rede em Belém deve ser a mesma tarefa de se montar uma rede em Tóquio. Se não houvesse padronização os grandes bancos, por exemplo, nunca iriam se comunicar para realizar as milhares de operações financeiras por todo o mundo. Entendemos agora “por onde” vai nosso dinheiro. “Para onde” é o mistério. 5.2 –Conector RJ45 Macho

É o responsável pelo acabamento das pontas de nossos cabos par trançado. Abordaremos este tipo de cabeamento em especial por ser o mais comum, barato e “simples”. É dentro dele que determinamos a ordem dos pares. Aplicação Conexões de terminações de cabos UTP de condutores sólidos (solid wire) com bitolas de 22 a 26 AWG. Funcionamento Conexão com conectores RJ-45 macho através do contato elétrico e de travamento mecânico (trava do conector fêmea). Material Corpo principal em termoplástico fosco classe UL V-0 com 8 contatos metálicos banhados com uma fina camada em ouro e terminal de contatos para os cabos UTP do tipo 110 IDC. Dimensões (AxLxP) (21,8x26,4x32,7) mm. Instalação Devem ser obedecidos os seguintes procedimentos: 1. Preparação do Cabo: Desemcapar a capa externa cerca de 50 mm com o cuidados de não danificar os condutores. 2. Observar a posição final do conector na tomada ou espelho, efetuando a acomodação do cabo. 3. Em um dos lados do conector, posicionar os dois pares dos condutores nos terminais ordenadamente segundo a correspondência de cores. 4. Inserir os condutores com a ferramenta “110 Puch Down Tool” na posição de baixo impacto – perpendicular ao conector apoiando-o contra uma base firme e com o auxílio do suporte que acompanha o produto. Com o uso da ferramenta “110 Puch Down Tool” as sobras dos fios são automaticamente cortadas. 5. Repetir os passos 3 e 4 com os outros 2 pares para o lado oposto do conector.


6. Acomodar o cabo convenientemente e encaixar as travas de segurança manualmente sobre os terminais. 7. Encaixar o conector na tomada ou espelho e identificar o ponto com os ícones de identificação. 8. Como o conector inclinado, encaixe a trava fixa na parte inferior da abertura do espelho e empurre até a trava flexível ficar perfeitamente encaixada. 9. Após a instalação do conector RJ-45 fêmea, encaixar a tampa de proteção do conector qua acompanha o produto (dust cover). CUIDADO – O raio de curvatura do cabo não deve ser inferior a 4 vezes o diâmetro do mesmo (21,2 mm) e evitar que o comprimento dos pares destorcidos ultrapasse 13 mm. Abaixo, esquema de função de caba cabo dentro do conector RJ-45:

1– Transmissão de dados (Transmit Data) TD 2 - Transmissão de dados (Transmit Data) TD 3 - Recepção de dados (Receive Data) RD 4– Não utilizado 5 - Não utilizado 6 – Recepção de dados (Receive Data) RD 7 - Não utilizado 8 – Não utilizado ATENÇÃO – Importante notar que esta é a ordem padrão no CONECTOR e não no padrão escolhido pelos cabos. Lembrando que as cores somente representam uma sinalização para as vias. “Às vezes, é importante saber separar o símbolo do signo”. 5.3 Cabo UTP O cabo normalmente vem em uma caixa padrão com 300m, pesando cerca de 10 Kg. Vários fabricantes hoje se destacam como marcar assumidamente de qualidade, como Furukawa, Alcatel, Nexans, e outros. Hoje o Brasil fabrica cabos de excelente qualidade.


A disposição padrão dos cabos quando vêm de fábrica é a seguinte: UTP Color Codes Par 1 Branco-Azul (BA) / Azul (A) Par 2 Branco-Laranja (BL) / Laranja (L) Par 3 Branco-Verde (BV) / Verde (V) Par 4 Branco-Marrom (BM) / Marrom (M)

Detalhe do cabo com os pares originalmente dispostos. Alguns cabos possuem blindagem, que é uma cobertura protetora que elimina a interferência eletromagnética e interferência por rádio-freqüência. 5.4 – Categorias O cabo par trançado foi usado durante décadas para transmitir sinais analógicos e digitais. Sua utilização permite percorrer muitos metros sem amplificação. Contudo, quando se desejar atingir maiores distâncias é necessário utilizar repetidores. A aplicação mais comum do par trançado é o sistema telefônico. As categorias seguintes de cabos são freqüentemente usadas, mas o padrão TIA/EIA-568 reconhece apenas as categorias 3,4 e 5. Categoria 1 – cabo de par trançado tradicional, que é o utilizado para telefonia (instalado antes de 1983). Não é recomendado para utilização em redes locais. Categoria 2 – cabo certificado para transmissão de dados (possui 4 pares trançados). Sua utilização em redes também não é recomendável. Categoria 3 – esta categoria suporta 10 Mbit/sec numa rede Ethernet, 4Mbit/s em uma Token Ring. Este cabo permite que até quatro telefones normais ou dois multilinhas sejam conectados ao equipamento da companhia telefônica. Categoria 4 – esta categoria suporta taxas de transmissão de até 16 Mbit/s em uma rede Token Ring. Este cabo possui quatro pares. Categoria 5 – possui 4 pares trançados com oito torções. Suporta taxas de transmissão de 100 Mbit/s. Sua utilização é adequada para redes Fast Ethernet e redes ATM. No início dos anos 90, 60% dos edifícios possuíam este tipo de cabo (EUA). Categoria 6 – também possui 4 pares trançados. Suporta taxas de transmissão de até 155 Mbit/s. Sua utilização é adequada a redes Fast Ethernet para transmissão de dados e voz.


Pares

Mbit/s

Categoria 1

1

n/d

Categoria 2

4

n/d

Categoria 3

4

10

Categoria 4

4

16

Categoria 5

4

100

Categoria 6

4

155

O cabo Categoria 5 foi desenvolvido para tratar redes de alta velocidade podendo transmitir até 100 Mbps (mega bits por segundo). Cabos par trançado categoria 5 interligam segmentos de rede de até 100 metros (normalmente os cálculos são feitos em torno de 90m. Notar que esta distância pode tem de ser respeitada máquina a hub/switch ou hub/switch a hub/switch). Vale ressaltar também que muitas tecnologias de redes podem utilizar o cabo par trançado, dentre elas, os padrões Ethernet e Token Ring. UTP – Unshielded Twisted Pair. O cabo categoria 5 foi um padrão criado em 1991 pela ANSI (American National Standards Institute), EIA (Electronics Industries Association), e TIA (Telecommunications Industry Association).Nas redes de cabos UTP, a norma EIA/TIA padronizou o conector RJ-45 para a conectorização de cabos UTP. São conectores que apresentam uma extrema facilidade, tempo reduzido na conectorização e confiabilidade, sendo que estes fatores influem diretamente no custo e na qualidade de uma instalação. Os conectores estão divididos em 2 tipos, macho (plug) e fêmea ( ack). O conector RJ-45 macho possui um padrão único no mercado, no que diz respeito ao tamanho, formato e em sua maior parte material, pois, existem vários fabricantes deste tipo de conector, portanto, todos devem obedecer à um padrão para que qualquer conector RJ-45 macho de qualquer fabricante seja compatível com qualquer conector RJ-45 fêmea de qualquer fabricante. Já o conector RJ-45 fêmea pode sofrer algumas alterações com relação à sua parte externa. Para a conectorização do cabo UTP, a norma EIA/TIA 568 A/B determina a pinagem e configuração. Esta norma é necessária para que haja uma padronização no mercado. Contudo, existem, no mercado, duas padronizações para a pinagem categoria 5, o padrão 568 A e 568 B, que diferem apenas nas cores de dois pares de condutores dos cabo UTP (laranja e verde).

5.5– Crimpador


Normalmente estes alicates permitem a utilização tanto de conectores RJ45 como RJ11 (usados em telefones). Também possuem uma seção para “corte” dos cabos e descascar o isolamento. É importante verificar se o local onde é feito a prensagem, é feito de forma uniforme ao invés de diagonal, pois se for da forma diagonal bem provavelmente irá gerar muitos problemas nas prensagens dos conectores. 5.6– Testador de Cabos

Normalmente é a ferramenta mais cara neste tipo de montagem de rede por conta própria (existem testadores de cabos que são muito caros, mas são utilizado em montagens profissionais de grande redes). De novo vale a recomendação: comprar uma ferramenta de má qualidade, pensando somente no preço, pode resultar em problemas na crimpagem dos conectores no cabo, muitas vezes imperceptíveis inicialmente, mas gerando no futuro erros de rede que poderão tomar muito de seu tempo. Apesar de não ser um item obrigatório, você encontrará modelos simples e não muito caros que poderão ser de grande ajuda quando você está montando vários cabos. 5.7 – Delay É um dos itens mais importantes, pois a estruturação física pode influenciar na performance e velocidade da rede. É ideal que tenha o menor número de segmentação e quando ocorrer a segmentação que seja centralizado os servidores, pontos de saída da rede e principais clientes no switch principal. 5.8 – Processo da Crimpagem A crimpagem tem um papel muito importante e deve ser bastante considerada no planejamento de tempo de execução da rede. O alicate de crimpagem deve estar em ordem e a pessoa que for executar a crimpagem deve ter habilidade suficiente para evitar ao máximo as perdas com


grimpagens erradas, pares soltos, entre outros. Boa parte do tempo da montagem da rede pode ir embora nesta fase. Padronização EIA/TIA 568ª – Conhecida como “seqüência de crimpagem de normal”. Utilizada para conexão de um microcomputador a um HUB ou SWITCH. EIA/TIA-568ª 1. Branco-Verde 2. Verde 3. Branco-Laranja 4. Azul 5. Branco-Azul 6. Laranja 7. Branco-Marrom 8. Marrom

ATENÇÃO – É importante lembrar que NÃO HÁ qualquer problema uma rede inteira ser montada com a trava do conector RJ-45 (jack) apontada “para cima” ou “para baixo” em relação à ordem dos cabos, pois, desde que se obedeça a ordem até o fim desta rede, a mesma estará operacional em quaisquer condições. Usualmente, a trava é apontada para baixo, como os pontilhados do esquema mostram. As cores somente representam uma sinalização para as vias. “Às vezes, é importante saber separar o símbolo do signo”. Crossover Para ligar PC/PC (crossover) 1ª ponta do cabo branco verde verde branco laranja azul branco azul laranja branco marrom marrom

2ª ponta do cabo branco laranja laranja branco verde azul branco azul verde branco marrom marrom

Crossover (cabo) Um cabo crossover consiste na interligação de 2 (dois) computadores pelas respectivas placas de rede sem ser necessário a utilização de um concentrador (Hub ou Switch) ou a ligação de modems a CABO com a maquina cliente com conectores do tipo RJ45. A alteração dos padrões das pinagens dos cabos torna possível a configuração de cabo crossover ou cabo direto. A ligação é feita com um cabo de par trançado (na maioria das vezes) onde se tem: em uma ponta o padrão T568A, e, em outra o padrão T568B (utilizado também com modems ADSL). Este cabo denomina-se CABO CROSSOVER. Processo de Crimpagem: Primeiro é importante você decidir que tipo de cabo você deseja! Existem 2 tipos de cabo rede mais comumente utilizados: Direto (ou normal) e Invertido (ou cross ou cross-over).


Cortando o cabo: Corte um pedaço do cabo de rede do tamanho que você irá necessitar! Lembre-se! Nunca conte em fazer emendas, portanto, ao medir o tamanho necessário, tenha muito cuidado, considere curvas, subidas, descidas, saliências, reentrâncias, etc. E não se esqueça: se sobrar você pode cortar, mas se faltar a solução fica bem mais cara... Após a medição, faça um corte reto e limpo. Como a imagem abaixo:

Retire a proteção/isolamento (capa azul na figura) da extremidade, em mais ou menos uns 3 centímetros. Alguns alicates de crimpagem possuem uma seção de corte específica para isto (você coloca o cabo na seção de corte que não realiza o corte até o fim, somente retirando o isolamento – veja figura em anexo), caso contrário, pode ser usado um estilete ou canivete. ATENÇÃO: é muito importante que seja cortado APENAS o isolamento (na figura acima seria a capa azul) e não os fios que estão internamente. Se alguns dos fios internos for danificado, poderá comprometer toda a sua conexão. Normalmente nesta fase são cometidos erros de danificar os fios internos e não se perceber, ocasionando erros posteriores que serão muito difíceis de serem identificados. A pressão a realizar no corte, o tamanho da seção de isolamento a ser removido, etc., serão mais fáceis de serem controlados com o tempo e a experiência. Preparando/separando o cabo: Após o corte do isolamento, é necessário você separar os cabo/fios internos conforme a cor de cada um. Você verá que são 4 pares de cabo coloridos, sendo cada par composto por uma cor (azul, verde, laranja ou marrom), e seu “par” branco (branco com listas azuis, branco com listas verdes, branco com listas laranja, branco com listas marrom). Se o cabo é padrão UTP categoria 5, serão SEMPRE estas cores!


Atenção, algumas lojas vendem cabos com 8 fios, porém de outras cores e principalmente com os fios brancos SEM as listas: são cabos telefônicos. Vão funcionar, porém irão dar muito mais trabalho na identificação do “par” correto, e pode vir a ser um problema se algum dia você quiser fazer alguma alteração no cabo... Conclusão: Não vale a economia que oferecem! Bom, agora que os cabos internos estão separados, você deverá alinhá-los conforme a ordem desejada (se é um cabo direto ou um cabo cross-over), da esquerda para a direita. A ordem é importante pois seguem um padrão definido na indústria, e mesmo funcionando utilizando um padrão diferente, poderá resultar em mais trabalho na hora de fazer algum tipo de manutenção posterior no cabo, ou reconectorização, ou identificação, etc. A prática me ensinou que é muito mais prático e rápido seguir um padrão! O padrão que seguimos é o da Associação de Industrias de Telecomunicação (Telecommunications Industry Association – TIA) http://www.tiaonline.org/. O padrão é chamado EIA/TIA-568. Seguindo o padrão ao lado, alinhe os cabos internos no seu dedo indicador, de maneira uniforme. Após o alinhamento, corte as pontas, de forma a que fiquem exatamente do mesmo tamanho, e com cerca de 1 a 1,5 centímetros da capa de isolamento

Colocando o conector RJ-45 A maneira mais prática de inserir o cabo em um conector RJ-45 é assim: Segure o conector RJ-45 firmemente, em uma das mãos e o cabo separado na outra, como a figura acima. A medida que for inserindo os cabos para dentro do conector, force os cabos de forma CONJUNTA, para que não haja problemas de contato. Empurre os cabos olhando bem se todos estão seguindo o caminho correto dentro do conector, mantendo-se paralelos. Você pode


sentir uma *pequena* resistência, mas o conector e o cabosão dimensionados para entrar *justos*, sem folgas, e sem muita dificuldade. Empurre os cabos por toda a extensão do conector RJ-45. Eles devem encostar a parede contrária ao orifício de entrada. Você pode conferir olhando de lado (como na imagem abaixo) e na parede onde eles terminam (uma série de pontos). Se algum dos cabos não estiver entrado correto, VOCÊ DEVERÁ RETIRAR O CONECTOR E COMEÇAR TUDO NOVAMENTE! No final, force um pouco o revestimento do cabo trançado, de forma que este revestimento passe completamente o ressalto no conector (que será pressionado pelo alicate de crimpagem mais tarde). Veja na imagem lateral abaixo.Inserir todos os cabos corretamente, sem folgas, de forma justa, é puramente JEITO e PRÁTICA! Depois de vários cabos, você se sentirá mais a vontade nesta tarefa e parecerá simples, porém as primeiras conexões podem ser irritantes, demoradas,sem jeito, mas não difícil! Não *economize tempo* nesta tarefa! Uma conexão mal feitapode arruinar toda sua rede e ser um problema de difícil identificação. CERTO ERRADO

O quem não pode ocorrer:

Crimpando o cabo com o alicate: Antes de partir para o uso do alicate, verifique novamente se os cabos estão bem montados nos conectores: os fios até o fim e a capa de cobertura passando o ressalto do conector.Estando tudo


ok, insira o conector montado, com cuidado para não desmontar, na abertura própria do seu alicate de crimpagem (veja imagem abaixo) Com a outra mão no alicate, comece a apertar, finalizando com as 2 mãos em um bom aperto, porém sem quebrar o conector! Após a crimpagem, verifique lateralmente no conector se todos os contatos foram para dentro do conector, estando uniformes e encostando nos fios. Se houver algum problema, que não seja falta de pressão no alicate, não há como recuperar o conector, o cabo deverá ser retirado, ou cortado, e o conector estará perdido. Bom, agora é só continuar com o restante das conectorizações. Um lembrete: verifique sempre com cuidado se as conexões estão bem feitas, se os fios estão bem encaixados e os contatos bem feitos. Se tiver um testador de cabos, aproveite para logo em seguida testar se está tudo ok! Verifique com atenção se os cabos serão diretos ou cross-over na montagem dos fios no conector.

5.9 - Cabeamento Estruturado. A idéia básica do cabeamento estruturado fornece aoambiente de trabalho um sistema de cabeamento que facilite a instalação e remoção de equipamentos, sem muita perda de tempo. Dessa forma, o sistema mais simples de cabeamento estruturado é aquele que provê tomadas RJ-45 para os micros da rede em vez de conectarem o hub diretamente aos micros. Podendo haver vários pontos de rede já preparados para receber novas maquinas. Assim, ao trocar um micro de lugar ou na instalação de um novo micro, não haverá a necessidade de se fazer o cabeamento do micro até o hub; este cabeamento já estará feito, agilizando o dia-a-dia da empresa.


A idéia do cabeamento estruturado vai muito alem disso. Além do uso de tomadas, o sistema de cabeamento estruturado utiliza um concentrador de cabos chamado Patch Panel (Painel de Conexões). Em vez de os cabos que vêm das tomadas conectarem-se diretamente ao hub, eles são conectados ao patch panel. Dessa forma, o patch panel funciona como um grande concentrador de tomadas.

O patch panel é um sistema passivo, ele não possui nenhum circuito eletrônico. Trata-se somente de um painel contendo conectores. Esse painel é construído com um tamanho padrão, de forma que ele possa ser instalado em um rack.

O uso do patch panel facilita enormemente a manutenção de redes medis e grandes. Por exemplo, se for necessário trocar dispositivos, adicionar novos dispositivos (hubs e switches, por exemplo) alterar a configuração de cabos, etc., basta trocar a conexão dos dispositivos no


patch panel, sem a necessidade de alterar os cabos que vão até os micros. Em redes grandes é comum haver mais de um local contendo patch panel. Assim, as portas dos patch panels não conectam somente os micros da rede, mas também fazem a ligação entre patch panels. Para uma melhor organização das portas no patch panel, este possui uma pequena área para poder rotular cada porta, isto é, colocar uma etiqueta informando onde a porta esta fisicamente instalada. Dessa forma, a essência do cabeamento estruturado é o projeto do cabeamento da rede. O cabeamento deve ser projetado sempre pensado na futura expansão da rede e na facilitação de manutenção. Devemos lembrar sempre que, ao contrario de micros e de programas que se tornam obsoletos com certa facilidade, o cabeamento de rede não é algo que fica obsoleto com o passar dos anos. Com isso, na maioria das vezes vale à pena investir em montar um sistema de cabeamento estruturado. 5.10 - SUGESTÃO PARA REDE ELÉTRICA A rede elétrica deve possuir um circuito exclusivo para a alimentação da rede de computadores. É ideal que seja estabilizada e possuir filtros de linha caso não haja nos estabilizadores, e um sistema de no-break , para uma possível falta de energia. Quando toda a rede estiver conectada a apenas um estabilizador o quadro de força deverá ser montado após o estabilizador. Ideal ter a cada circuito até 3 tomadas.

Não permitir que sejam ligados outros equipamentos como: Copiadoras, ventiladores, motores elétricos, ou qualquer outro que exija ou produza ruído na linha. Quando forem utilizados estabilizadores individuais de voltagem para cada estação de trabalho, o quadro de força para os micros deverá ser montado após o quadro geral de força. Conforme esquema abaixo :


Para os circuitos que alimentam as estações de trabalho , recomenda-se disjuntores de no Maximo 10 A (dez ampéres). Para a ligação das tomadas, deverá ser usado cabos de ótima qualidade, de diâmetro compatível, a bitola deve ser de no mínimo 4mm. As tomadas devem ser do tipo universal de três pinos (tripolares) e a ligação fase/neutro/terra conforme figura a seguir:

As tensões aproximadas na rede elétrica deverão ser as seguintes: Entre terra e fase = 117 V Entre neutro e fase = 115 V Entre terra e neutro = 2,5 V(valor Maximo tolerado) 5.11 SISTEMA DE ATERRAMENTO O terra dos equipamentos de informática DEVE ser totalmente independente dos demais terras existentes. Observando o seguinte na instalação: Ser construído á distância mínima de 2,40m dos outros terras do quadro e do neutro e a uma distância mínima de 25,00 do terra de pára-raios. O cabo que liga as barras de aterramento ao quadro deve ser encapado, possuir bitola compatível com a distancia entre o sistema e o quadro, e NÃO DEVERÁ ESTAR NUNCA CONECTADO AO NEUTRO.Não são aconselháveis distâncias maiores que 50m entre o terra e o quadro de distribuição.


Material necessário para um aterramento simples: 3 barras de cobre, com 2 a 3 metros de comprimento e 15cm de diâmetro. 6 abraçadeiras de bronze para as barras de cobre. 10 metros de fio isolado, de bitola idêntica á dos fios fase e neutro. Sal grosso, carvão vegetal e enxofre em quantidades suficientes para cobrir o poço dos eletrodos. Água destilada suficiente para regar a mistura. As barras de cobre são chamadas eletrodos de aterramento; dão uma referência de terra de 0 volt e uma conexão á terra para descargas elétricas atmosféricas. Também fornecem uma trajetória de impedância baixa á terra ( valor máximo de 25 ohms). 5.11.1 Consequências da falta de aterramento: Aparição de BAD CLUSTERS no HD ou até mesmo a perda total. Isto não demora a acontecer. Você poderá perder seu HD em 2 ou 3 meses. Danos na placa mãe. Danos na memória, que podem vir a causar perda repentina de dados e ou congelamento de todo o sistema. 5.12 - DOCUMENTAR UMA REDE Nos itens anteriores vimos o que devemos ou não fazer com a parte física da rede, como manusear cabos e a melhor maneira de se instalar uma rede elétrica e o aterramento. Agora, antes de sairmos passando os cabos e colocando canaletas devemos primeiro analisar o local para melhor dimensionar a passagem dos mesmos. O ideal é fazer um projeto, verificando toda a estrutura do local o layout as mesas e possíveis expansões. Fazer um levantamento de material necessário (como canaletas, cabos, conectores, etc..), procurar apresentar mais de uma opção de projeto é sempre bom, e não esquecer de identificar cada ponto de rede. Obs.: Veja quando falamos em projeto, não queremos e não vamos formar engenheiros aqui, nossa intenção e mostrar que uma documentação bem feita pode ser o diferencial dentro desta área , o projeto pode ser escrito, não necessariamente um desenho, lógico que se possuir o desenho é muito melhor, mesmo porque hoje existem ferramentas para auxiliar neste propósito.

6 Protocolos 6.1 - O que são protocolos? Pacote é uma estrutura de dados utilizada para que dois computadores possam enviar e receber dados em uma rede. Através do modelo OSI, cada camada relaciona-se com a superior e inferior a ela agregando informações de controle aos pacotes. Cada camada do modelo OSI se comunica com a camada adjacente à sua, ou seja, as camadas de um computador se comunicam com as mesmas camadas em um outro computador. Para que dois computadores possam enviar e receber pacotes e para que as camadas possam comunicar-se de forma adjacente (no mesmo nível) é necessário um tipo de software chamado de protocolo. Mas o que são protocolos? “Protocolos são padrões que definem a forma de comunicação entre dois computadores e seus programas”.


Quando uma camada OSI em um computador deseja enviar dados para outra camada adjacente à sua, é preciso que o dado seja preparado e enviado segundo regras que tanto o primeiro computador quanto o segundo possam entender. Dessa forma, a condição básica para que dois computadores se falem na rede é que utilizem o mesmo protocolo, ou seja, o mesmo conjunto de regras e padrões para a preparação e entrega dos pacotes. Algumas características dos protocolos: • Protocolos podem ser proprietários ou abertos. Os protocolos proprietários são limitados a um tipo de aplicação ou empresa. Por exemplo, o protocolo APPC (Advanced Program-to-Program Communication) é de propriedade da IBM e utilizado em sua arquitetura de rede SNA. • Os protocolos abertos são extensíveis às empresas Os protocolos abertos são extensíveis às empresas, são divulgados e padronizados por organismos e associações internacionais e são aderidos pela indústria de informática. Por exemplo, o TCP/IP é um tipo de protocolo aceito universalmente para a comunicação de computadores na Internet. • Protocolos podem fornecer diversas informações sobre a rede. Em função e através do tipo de protocolo utilizado pode-se obter diversas informações sobre a rede, tais como performance, erros, endereçamento, etc. • Protocolos podem ser analisados com ferramentas de software. De onde o pacote está saindo, para onde vai, quanto tempo demorou para chegar, quanto tempo ficou parado em um roteador, se utilizou rota única ou alternativa, etc., são informações que podem ser muito importantes na avaliação de uma rede. Estas informações podem ser fornecidas através de um pacote de software de monitoração de rede. • Existe um grande número de protocolos. Quando nos referimos à quantidade de protocolos que existe na área técnica, dizemos que é uma verdadeira sopa de letras. Fica impossível lembrar ou decorar cada um deles. Por exemplo, vamos citar apenas alguns, X.400, TCP/IP, DLC, FTP, NWLink, ATP, DDP. Para se ter uma idéia ainda mais clara, TCP/IP é considerado uma suíte de protocolos. Dentro dele existe mais de 10 protocolos distintos. Cada protocolo tem funções diferentes, vantagens e desvantagens, restrições e a sua escolha para implementação na rede depende ainda de uma série de fatores. • A camada na qual um protocolo trabalha descreve as suas funções. Existem protocolos para todas as camadas OSI. Alguns protocolos trabalham em mais de uma camada OSI para permitir o transporte e entrega dos pacotes. • Os protocolos trabalham em grupos ou em pilhas. Protocolos diferentes trabalham juntos em diferentes camadas. Os níveis na pilha de protocolos correspondem às camadas no modelo OSI. A implementação dos protocolos nas pilhas é feita de forma diferente por cada vendedor de sistema operacional. Apesar das diferentes implementações, os modelos se tornam compatíveis por serem baseados no padrão OSI. 6.2 - Como trabalham os protocolos Os protocolos devem trabalhar em conjunto para garantir o envio e entrega dos pacotes. Quando um computador vai enviar dados, eles são divididos pelo protocolo em pequenos pedaços chamados pacotes. No pacote o protocolo adiciona informações de status e


endereçamento para que na rede, o computador de destino possa conseguir acessar o pacote. O protocolo também prepara os dados para serem transmitidos através do cabo de rede. Todas as operações que foram realizadas pelo computador que está emitindo o dado, também serão realizadas pelo computador que recebe os dados, mas agora na forma inversa. Para que a transmissão de dados tenha sucesso na rede, será necessário que o computador que envia e o computador que recebe os dados cumpram sistematicamente as mesmas etapas, e para tanto, devem possuir em suas camadas os mesmos protocolos. Se dois computadores tiverem protocolos diferentes em suas camadas OSI, com certeza a comunicação não será realizada, pois o pacote de dados, gerado no computador emissor, não conseguirá ser traduzido pelo computador de destino. Para que os protocolos possam trabalhar nas camadas OSI eles são agrupados ou ainda colocados em pilhas, ou seja, a pilha é uma forma de combinar e organizar protocolos por camadas. As camadas vão então, oferecer os serviços baseados no protocolo a ser utilizado para que o pacote de dados possa trafegar na rede. 6.3. Pilhas de protocolos mais comuns Cada fornecedor de sistema operacional desenvolve e implementa a sua própria pilha de protocolos a partir do modelo OSI, que especifica os tipos de protocolos que devem ser utilizados em cada camada. Microsoft, Novell, IBM, Digital e Apple implementaram sua pilha de protocolos baseados na evolução de seus sistemas operacionais. Adotam também modelos de pilhas pré -estabelecidos pela indústria para melhorar o seu próprio padrão, como é o caso do uso do TCP/IP. 6.4 - Classificação de protocolos Existem protocolos em cada uma das camadas do modelo OSI realizando tarefas gerais de comunicação na rede. Eles são classificados em quatro níveis: Aplicativo, Transporte, Rede e Física. 6.4.1. Aplicativo Neste nível situam-se nas camadas mais altas do modelo OSI. Sua missão é a de proporcionar interação entre os aplicativos que estão sendo utilizados na rede. Exemplos. • FTP (File Transfer Protocol) -Suite TCP/IP: Protocolo de Transferência de Arquivo. Permite a cópia de arquivos entre computadores na Internet. • Telnet -Suite TCP/IP: Permite que um computador remoto se conecte a outro. Quando conectado, o computador age como se o seu teclado estivesse atachado ao computador remoto. O computador conectado pode utilizar os mesmos serviços do computador local. • SNMP (Simple Network Management Protocol) -Suite TCP/IP: Protocolo de Gerenciamento de Rede Simples. Utilizado para estabelecer a comunicação entre um programa de gerenciamento e um agente de software sendo executado em um computador host. • SMTP (Simple Mail Transfer Protocol) -Suite TCP/IP: Protocolo de Transferência de Correio Simples. Protocolo Internet para Transferência de Correio Eletrônico.


• X.400: Protocolo para Transmissões Internacionais de Correio Eletrônico. Foi desenvolvido pelo CCITT (International Consultative Committee on Telephony and Telegraphy) baseado no modelo OSI. O gol do X.400 é permitir usuários trocarem mensagens não importando o sistema de correio em uso. • X.500: Serviço de diretório global para correio eletrônico. Conjunto de padrões OSI que descreve a interconexão de diferentes sistemas de informação. Desenvolvido pelo CCITT. SMB (Server Message Block): Blocos de Mensagens de Servidor. Protocolo de compartilhamento de arquivo desenvolvido pela Microsoft e utilizado nas redes Windows. • NCP (Novell Core Protocol): Protocolo Novell Core. Protocolo de compartilhamento de arquivo desenvolvido pela Novell e utilizado nas redes Netware. • AppleShare: Protocolo de compartilhamento de arquivo desenvolvido pela Apple para as redes MAC. • APPC (Advanced Program-to-Program Communication): Comunicação Avançada Programa a Programa. Protocolo SNA, Par-a-Par IBM, utilizado nos computadores AS-400. 6.4.2. Transporte Os protocolos de transporte asseguram o empacotamento e a entrega segura dos dados. Estabelecem sessões de comunicação entre os computadores. Exemplos: • SPX (Sequencial Packet eXchange): Constitui uma parte do grupo de protocolos para dados seqüenciais IPX/SPX da Novell. • TCP (Transmission Control Protocol): Protocolo de Controle de Transmissão. Protocolo da suite TCP/IP que realiza a entrega garantida dos dados seqüenciais. • UDP (User Datagram Protocol): Protocolo semelhante ao TCP que realiza a entrega dos dados mas sem garantia de que eles chegarão ao seu destino. • NWLINK: Implementação nas redes Microsoft do protocolo IPX/SPX. Desenvolvido pela Microsoft para permitir a comunicação entre os sistemas operacionais da família Windows e o sistema Netware. • ATP (AppleTalk Transaction Protocol) e NBP (Name Binding Protocol): Protocolo de transação AppleTalk e protocolo de ligação de nomes. Protocolos AppleTalk para estabelecimento de sessão de comunicação e transporte de dados. • NetBEUI: Utilizado para estabelecer sessões entre computadores NetBIOS e proporcionar serviço de transporte de dados. NetBIOS é uma interface que é utilizada para estabelecer nomes lógicos na rede, estabelecer sessões entre dois nomes lógicos, entre dois computadores na rede, e suportar a transferência de dados entre os computadores. 6.4.3. Rede


Protocolos que controlam informações de endereçamento e roteamento, estabelecem regras de comunicação e realizam testes de erro e pedidos de retransmissão. • NetBEUI: Protocolo de transporte. Proporciona serviços de transporte de dados para as sessões estabelecidas entre os computadores utilizando a interface NetBIOS. • IPX (Internetwork Packet Exchange): Intercâmbio de pacote de interconexão de rede. Utilizado nas redes Netware. Realiza o encaminhamento de roteamento do pacote padrão IPX/SPX. • IP (Internet Protocol): Protocolo da suíte TCP/IP para encaminhamento e roteamento do pacote. Realiza o roteamento das informações de um computador para outro. Roteamento é a sua função primária. • NWLINK: Implementação pela Microsoft do protocolo IPX/SPX. • DDP (Datagram Delivery Protocol): Protocolo de entrega de datagrama. Não garante a entrega dos dados. Pertence ao grupo de protocolos AppleTalk. 6.4.4. Física Os protocolos da camada física são definidos pelo IEEE no projeto 802. O driver da placa adaptadora de rede é o responsável por realizar o controle de acesso à mídia, fornecendo acesso de baixo nível às placas adaptadoras de rede Para que o driver acesse a mídia física ou o cabo, será necessária a utilização de um protocolo. Esse protocolo é chamado de protocolo de acesso à mídia e é responsável por dizer, em um determinado momento, qual computador deve utilizar o cabo. Os protocolos da camada física são os seguintes: 802.3 -Ethernet: É o padrão mais utilizado mundialmente. Transmite dados a 10Mbps utilizando o método de acesso CSMA/CD que faz com que os computadores possam transmitir os dados apenas se o cabo estiver desocupado. Os dados são enviados a todos os computadores e copiados por aqueles que são os donos. Os computadores ficam passivos na rede esperando os dados chegarem. 802.4 - Token Passing: É o protocolo padrão para passagem de símbolo ou bastão (Token Passing) utilizado nas redes Token Ring. O token ou bastão é um símbolo (sinal elétrico) que trafega pelo cabo, de máquina em máquina, verificando qual computador deseja realizar o broadcast (difusão) dos dados. Os computadores são ativos no processo, recebendo e enviando token através da mídia física. 6.5. Protocolos de Mercado Com o desenvolvimento das redes LAN e WAN, e mais recentemente com o crescimento da Internet, alguns protocolos tornaram-se mais comuns. Entre eles pode-se citar: NetBEUI, IPX/SPX e TCP/IP Cada um desses protocolos apresenta características próprias e que podem ser utilizados em situações diferentes. 6.5.1. NetBEUI (NetBIOS Extended User Interface) É o mais simples dos protocolos. É auto-configurável, não exigindo do usuário ou administrador de rede esforço para sua implantação. NetBEUI foi introduzido pela IBM pela primeira vez em 1985 quando ficou claro que uma LAN poderia ser segmentada em grupos de trabalho de 20 a 200 computadores e que gateways poderiam ser usados para conectar segmentos de LAN e ainda mainframes. O objetivo primário da IBM na utilização do


NetBEUI era conectar LANs a mainframes. Inicialmente a IBM desenvolveu a interface de programação chamada NetBIOS (Network Basic Input/Output System) que significa sistema básico de entrada/saída de rede. NetBIOS é uma interface de LAN da camada de sessão que atua como uma interface de aplicativo para a rede. Ela fornece as ferramentas para que um programa estabeleça uma sessão com outro programa em computadores distintos na rede. Máquinas clientes, servidores, repetidores, roteadores, bridges (pontes) são chamados de nós de uma rede. Um nó em uma LAN é o dispositivo que é conectado à rede e pode se comunicar com outros dispositivos nesta rede. NetBIOS não é um pacote de software. NetBIOS são funções. NetBIOS são APIs (Application Program Interface) que os programadores utilizam para que os aplicativos possam requisitar os serviços de rede das camadas mais baixas, estabelecendo sessões entre os nós da rede e permitindo a transferência de informações entre eles. A função principal de NetBIOS é a de permitir que uma aplicação utilize os serviços de um protocolo de transporte. A Interface NetBIOS é responsável por: • Estabelecer nomes lógicos na rede (nomes de máquinas) • Estabelecer conexões chamadas sessões, entre dois computadores usando os seus nomes lógicos na rede • Transmitir dados entre computadores na rede NetBIOS é uma interface de programação. NetBEUI é o protocolo. NetBEUI faz uso de NetBIOS para realizar as tarefas relacionadas anteriormente. NetBIOS permite que as aplicações façam uso dos serviços de um protocolo. O NetBEUI possui diversas vantagens, entre elas: • Protocolo pequeno e rápido • Não requer configuração • Utiliza uma pequena quantidade de memória • Possui performance excelente em links lentos (por exemplo, acesso remoto) NetBEUI tem duas desvantagens: • NetBEUI não é roteável • NetBEUI tem performance pobre através de WANs Diversos fornecedores de sistemas operacionais perceberam as vantagens de NetBIOS como interface e a separaram de NetBEUI. Com isso foi possível passar a utilizar NetBIOS também com outros protocolos como o TCP/IP e o IPX/SPX. Assim sendo, uma aplicação de rede podia “falar” com outra utilizando nomes amigáveis em vez de endereços complexos de rede. É essa característica de NetBIOS que permite que se encontre máquinas na rede pelo seu nome. Usuários podem se conectar a drivers simplesmente fornecendo o nome na máquina e o nome do recurso. 6.5.2. IPX/SPX e NWLink


O XNS (Sistema de Rede Xerox) foi desenvolvido pela Xerox para uso de suas LANs padrão Ethernet. A partir desse protocolo da Xerox, a Novell desenvolveu o protocolo IPX/SPX. O IPX/SPX (Intercâmbio de pacote de interconexão de rede/Intercâmbio seqüencial de pacote) é uma pilha de protocolos padrão utilizada pelo sistema operacional NetWare da Novell. A implementação da Microsoft do IPX/SPX é chamada de NWLINK IPX/SPX. Se o computador estiver com Windows e for preciso se conectar a uma rede NetWare, será necessário utilizar esse protocolo. O IPX/SPX é um protocolo pequeno e rápido, diferente do NetBEUI, pois pode ser roteável. Um protocolo é chamado de roteável quando permite a passagem do pacote de dados entre segmentos de redes diferentes através de nós ou dispositivos chamados de roteadores. A idéia de dividir uma rede e m segmentos existe com o objetivo de torná-la mais rápida e eficiente. O protocolo IPX/SPX, sendo roteável, pode ser utilizado em redes que estão segmentadas por bridges (pontes) ou roteadores que sejam compatíveis com IPX/SPX. Para que os dados possam trafegar na rede é preciso que sejam formatados em pequenos pedaços chamados de pacotes ou frames. O protocolo IPX/SPX suporta mais de um tipo de frame e para que uma máquina em um segmento de rede possa visualizar a outra é preciso que ambas estejam utilizando o mesmo tipo de frame. Para a rede Ethernet existem três tipos de frames suportadas pelo IPX/SPX utilizando o sistema operacional de rede NetWare: Ethernet II, IEEE 802.2 e IEEE 802.3 Esses formatos de frame são definidos pelo IEEE e são implementados como padrão no NetWare da Novell. Formato de frame padrão Ethernet para IPX. Para configurar o IPX/SPX é preciso saber previamente qual frame está sendo utilizado na rede pelo IPX/SPX e também o número de cada segmento de rede IPX que será estabelecido na comunicação entre os roteadores O IPX/SPX implementa e suporta a interface NetBIOS, permitindo a comunicação com qualquer outra máquina ou sistema operacional que tenha uma implementação IPX/SPX com NetBIOS. Tanto a Novell quanto a Microsoft implementam NetBIOS over IPX/SPX (NetBIOS sobre IPX/SPX) em seus sistemas operacionais. A implementação Microsoft do protocolo IPX/SPX recebe o nome de NWLink. 6.5.3 TCP/IP (Transmission Control Protocol / Internet Protocol) O TCP/IP (Protocolo de Controle de Transmissão/Protocolo Internet) não é apenas um protocolo, mas uma suíte ou grupo de protocolos que se tornou padrão na indústria por oferecer comunicação em ambientes heterogêneos, tais como sistemas operacionais UNIX, Windows, MAC OS, minicomputadores e até mainframes. Hoje o TCP/IP se refere a uma suíte de protocolos utilizados na Internet, a rede das redes. Este conjunto padrão de protocolos especifica como computadores se comunicam e fornece as convenções para a conexão e rota no tráfego da Internet através de conexões estabelecidas por roteadores. 6.5.3.1. Benefícios na utilização de TCP/IP O TCP/IP sempre foi considerado um protocolo bastante pesado, exigindo muita memória e hardware para ser utilizado. Com o desenvolvimento das interfaces gráficas, com a evolução dos processadores e com o esforço dos desenvolvedores de sistemas operacionais em oferecer o TCP/IP para as suas plataformas com performance igual ou às vezes superior aos outros protocolos, o TCP/IP se tornou o protocolo indispensável. Hoje ele é tido como “The Master of the Network” (O Mestre das Redes), pois a maioria das LANs exige a sua utilização para acesso ao mundo externo. O TCP/IP oferece alguns benefícios, dentre eles: • Padronização: Um padrão, um protocolo roteável que é o mais completo e aceito protocolo disponível atualmente. Todos os sistemas operacionais modernos


oferecem o suporte para o TCP/IP e a maioria das grandes redes se baseia em TCP/IP para a maior parte de seu tráfego. • Interconectividade: Uma tecnologia para conectar sistemas não similares. Muitos utilitários padrões de conectividade estão disponíveis para acessar e transferir dados entre esses sistemas não similares, incluindo FTP (File Transfer Protocol) e Telnet (Terminal Emulation Protocol). • Roteamento: Permite e habilita as tecnologias mais antigas e as novas se conectarem à Internet. Trabalha com protocolos de linha como PPP (Point to Point Protocol) permitindo conexão remota a partir de linha discada ou dedicada. Trabalha como os mecanismos IPCs e interfaces mais utilizados pelos sistemas operacionais, como Windows Sockets e NetBIOS. • Protocolo robusto, escalável, multiplataforma, com estrutura para ser utilizada em sistemas operacionais cliente/servidor, permitindo a utilização de aplicações desse porte entre dois pontos distantes. • Internet: É através da suíte de protocolos TCP/IP que obtemos acesso a Internet. As redes locais distribuem servidores de acesso a Internet (proxy servers) e os hosts locais se conectam a estes servidores para obter o acesso a Internet. Este acesso só pode ser conseguido se os computadores estiverem configurados para utilizar TCP/IP 6.5.3.2

– Conceitos Necessários

Roteador: Componente da rede que se encarrega de destinar os dados que devem ser encaminhados a outras redes que não a que seu computador se encontra. Host: É chamado de host (em português significa anfitrião) qualquer cliente TCP/IP, como computadores, roteadores, impressoras conectadas diretamente à rede e assim por diante. Default Gateway: Quando você tenta enviar dados para outra estação da rede, o seu computador verifica se o endereço de destino pertence à rede local. Caso isso não ocorra, ele o enviará para o endereço configurado no campo "Default Gateway" (geralmente o IP de um roteador) que se encarregará de destinar os dados para o seu destino. Máscara de Subrede (Subnet Mask): A máscara de subrede é um método para determinar qual a parte correspondente à identificação da rede e qual a parte do endereço IP que corresponde à identificação de Host. Foi criada para substituir o obsoleto conceito de classes de IPs, que disperdiçava muitos endereços de Host válidos. Com o tempo a internet foi crescendo e os endereços IP ficaram escassos, e mudanças foram implementadas para evitar maiores problemas (note como a história do TCP/IP se confunde com a história da Internet!). Uma máscara de subrede é do tipo 255.255.255.0. Como se pode notar, o valor máximo para cada um dos campos é 255 e o mínimo é 0. Uma máscara de subrede obrigatoriamente deve ter valores máximos seguidos de valores mínimos. Assim sendo, 0.255.0.255 não é uma máscara de subrede válida. Antigamente, na Internet, existia o conceito de Classes de IPs para que os clientes TCP/IP pudessem determinar qual parte do endereço correspondia à identificação de rede e qual determinava um Host. Dado um endereço IP da forma w.x.y.z, as classes eram as seguintes: *Classe A: Reserva o primeiro número dos quatro (w) para endereço de redes e o resto fica


para endereços de Host, onde "w" pode variar de 1 a 126. Permite 126 redes e 16.777.214 hosts por rede. Por essa definição, o endereço 110.224.16.15 é da classe A. Seria o equivalente a uma máscara de subrede 255.0.0.0. *Classe B: Reserva os dois primeiros números para endereço de rede (w.x) e os dois restantes para endereços de Host. Neste caso, "w" pode variar de 128 a 191. Permite 16.384 redes e 65.534 hosts por rede. Exemplo de endereço classe B: 135.200.223.5. Equivalente a uma máscara de subrede 255.255.0.0. *Classe C: Reserva os três primeiros endereços para identificação de rede (w.z.y) e o último para identificação de Host. Os valores de "w" variam entre 192 e 223. Nesse caso, 2.097.152 redes são possíveis, com 254 hosts por rede. Exemplo: 200.248.170.1. Equivalente a uma máscara de subrede 255.255.255.0. *Classes D e E: Os endereços da classe D e E são reservados para usos específicos. Para os mais familiarizados, a Classe D é reservada para endereços de Multicast e a classe E e para uso futuro. A identificação de rede 127.0.0.0 (normalmente seria um endereço classe A) está reservada para testes de conectividade do TCP/IP. Explicaremos isso mais adiante neste tutorial. Note que o endereço 127.0.0.1 é chamado de endereço de loopback, ou seja, ele aponta para a própria máquina. 6.5.3.3– Configuração 6.5.3.3.1 Como Configurar Quando utilizamos o protocolo TCP/IP como protocolo de comunicação em uma rede de computadores, temos alguns parâmetros que devem ser configurados em todos os equipamentos que fazem parte da rede (computadores, servidores, hubs, switchs, impressoras de rede, etc). Na Figura a seguir temos uma visão geral de uma pequena rede baseada no protocolo TCP/IP:

No exemplo da Figura acima temos uma rede local para uma pequena empresa. Esta rede local não está conectada a outras redes ou à Internet. Neste caso cada computador da rede precisa de, pelo menos, dois parâmetros configurados: Número IP Máscara de sub-rede O Número IP é um número no seguinte formato: x.y.z.w


Ou seja, são quatro números separados por ponto. Não podem existir duas máquinas, com o mesmo número IP, dentro da mesma rede. Caso eu configure um novo equipamento com o mesmo número IP de uma máquina já existente, será gerado um conflito de Número IP e um dos equipamentos, muito provavelmente o novo equipamento que está sendo configurado, não conseguirá se comunicar com a rede. O valor máximo para cada um dos números (x, y, z ou w) é 255. Uma parte do Número IP (1, 2 ou 3 dos 4 números) é a identificação da rede, a outra parte é a identificação da máquina dentro da rede. O que define quantos dos quatro números fazem parte da identificação da rede e quantos fazem parte da identificação da máquina é a máscara de subrede (subnet mask). Vamos considerar o exemplo de um dos computadores da rede da Figura acima: Número IP: 10.200.150.1 Máscara de Sub-rede: 255.255.255.0 As três primeiras partes da máscara de sub-rede (subnet) iguais a 255 indicam que os três primeiros números representam a identificação da rede e o último número é a identificação do equipamento dentro da rede. Para o nosso exemplo teríamos a rede: 10.200.150, ou seja, todos os equipamentos do nosso exemplo fazem parte da rede 10.200.150 ou, em outras palavras, o número IP de todos os equipamentos da rede começam com 10.200.150. Neste exemplo, onde estamos utilizando os três primeiros números para identificar a rede e somente o quarto número para identificar o equipamento, temos um limite de 254 equipamentos que podem ser ligados nesta rede. Observe que são 254 e não 256, pois o primeiro número – 10.200.150.0 e o último número – 10.200.250.255 não podem ser utilizados como números IP de equipamentos de rede. O primeiro é o próprio número da rede: 10.200.150.0 e o último é o endereço de Broadcast: 10.200.150.255. Ao enviar uma mensagem para o endereço de Broadcast, todas as máquinas da rede receberão a mensagem. Nas próximas partes deste tutorial, alaremos um pouco mais sobre Broadcast. Com base no exposto podemos apresentar a seguinte definição: “Para se comunicar em uma rede baseada no protocolo TCP/IP, todo equipamento deve ter, pelo menos, um número IP e uma máscara de sub-rede, sendo que todos os equipamentos da rede devem ter a mesma máscara de sub-rede”. No exemplo da figura anterior observe que o computador com o IP 10.200.150.7 está com uma máscara de sub-rede diferente da máscara de sub-rede dos demais computadores da rede. Este computador está com a máscara: 255.255.0.0 e os demais computadores da rede estão com a máscara de sub-rede 255.255.255.0. Neste caso é como se o computador com o IP 10.200.150.7 pertencesse a outra rede. Na prática o que irá acontecer é que este computador não conseguirá se comunicar com os demais computadores da rede, por ter uma máscara de sub-rede diferente dos demais. Este é um dos erros de configuração mais comuns. Se a máscara de sub-rede estiver incorreta, ou seja, diferente da máscara dos demais computadores da rede, o computador com a máscara de subrede incorreta não conseguirá comunicar-se na rede. Na Tabela a seguir temos alguns exemplos de máscaras de sub-rede e do número máximo de equipamentos em cada uma das respectivas redes. Tabela: Exemplos de máscara de sub-rede. Máscara 255.255.255.0 255.255.0.0

Número de equipamentos na rede 254 65.534


255.0.0.0

16.777.214

Quando a rede está isolada, ou seja, não está conectada à Internet ou a outras redes externas, através de links de comunicação de dados, apenas o número IP e a máscara de sub-rede são suficientes para que os computadores possam se comunicar e trocar informações. A conexão da rede local com outras redes é feita através de links de comunicação de dados. Para que essa comunicação seja possível é necessário um equipamento capaz de enviar informações para outras redes e receber informações destas redes. O equipamento utilizado para este fim é o Roteador. Todo pacote de informações que deve ser enviado para outras redes deve, obrigatoriamente, passar pelo Roteador. Todo pacote de informação que vem de outras redes também deve, obrigatoriamente, passar pelo Roteador. Como o Roteador é um equipamento de rede, este também terá um número IP. O número IP do roteador deve ser informado em todos os demais equipamentos que fazem parte da rede, para que estes equipamentos possam se comunicar com os redes externas. O número IP do Roteador é informado no parâmetro conhecido como Default Gateway. Na prática quando configuramos o parâmetro Default Gateway, estamos informando o número IP do Roteador. Quando um computador da rede tenta se comunicar com outros computadores/ servidores, o protocolo TCP/IP faz alguns cálculos utilizando o número IP do computador de origem, a máscara de sub-rede e o número IP do computador de destino (veremos estes cálculos em detalhes nas próximas lições deste curso). Se, após feitas as contas, for concluído que os dois computadores fazem parte da mesma rede, os pacotes de informação são enviados para o barramento da rede local e o computador de destino captura e processa as informações que lhe foram enviadas. Se, após feitas as contas, for concluído que o computador de origem e o computador de destino, fazem parte de redes diferentes, os pacotes de informação são enviados para o Roteador (número IP configurado como Default Gateway) e o Roteador é o responsável por achar o caminho (a rota) para a rede de destino. Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP e conectada a outras redes ou a Internet, devemos configurar, no mínimo, os seguintes parâmetros: Número IP Máscara de sub-rede Default Gateway Em redes empresarias existem outros parâmetros que precisam ser configurados. Um dos parâmetros que deve ser informado é o número IP de um ou mais servidores DNS – Domain Name System. O DNS é o serviço responsável pela resolução de nomes. Toda a comunicação, em redes baseadas no protocolo TCP/IP é feita através do número IP. Por exemplo, quando vamos acessar um site: http://www.google.com.br/, tem que haver uma maneira de encontrar o número IP do Servidor onde fica hospedado o site. O serviço que localiza o número IP associado a um nome é conhecido como Servidor DNS. Por isso a necessidade de informarmos o número IP de pelo menos um servidor DNS, pois sem este serviço de resolução de nomes, muitos recursos da rede estarão indisponíveis, inclusive o acesso à Internet. Existem aplicativos antigos que são baseados em um outro serviço de resolução de nomes conhecido como WINS – Windows Internet Name System. O Windows NT Server 4.0 utilizava intensamente o serviço WINS para a resolução de nomes. Com o Windows 2000 o serviço utilizado é o DNS, porém podem existir aplicações que ainda dependam do WINS. Nestes casos você terá que instalar e configurar um servidor WINS na sua rede e configurar o IP deste servidor em todos os equipamentos da rede. As configurações do protocolo TCP/IP podem ser definidas manualmente, isto é, configurando cada um dos equipamentos necessários com as informações do protocolo, como por exemplo o


Número IP, Máscara de sub-rede, número IP do Default Gateway, número IP de um ou mais servidores DNS e assim por diante. Esta é uma solução razoável para pequenas redes, porém pode ser um problema para redes maiores, com um grande número de equipamentos conectados. Para redes maiores é recomendado o uso do serviço DHCP – Dynamic Host Configuration Protocol. O serviço DHCP pode ser instalado em um servidor com o Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 ou Windows Longhorn Server. Uma vez disponível e configurado, o serviço DHCP fornece, automaticamente, todos os parâmetros de configuração do protocolo TCP/IP para os equipamentos conectados à rede. Os parâmetros são fornecidos quando o equipamento é inicializado e podem ser renovados em períodos definidos pelo Administrador. Com o uso do DHCP uma série de procedimentos de configuração podem ser automatizados, o que facilita a vida do Administrador e elimina uma série de erros. Dica Importante: Serviços tais como um Servidor DNS e um Servidor DHCP, só podem ser instalados em computadores com uma versão de Servidor do Windows, tais como o Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 ou Windows Longhorn Server. Estes serviços não estão disponíveis em versões Clientes do Windows, tais como o Windows 95/98/Me, Windows 2000 Professional, Windows XP Professional ou Windows Vista. O uso do DHCP também é muito vantajoso quando são necessárias alterações no número IP dos servidores DNS ou WINS. Vamos imaginar uma rede com 1000 computadores e que não utiliza o DHCP, ou seja, os diversos parâmetros do protocolo TCP/IP são configurados manualmente em cada computador. Agora vamos imaginar que o número IP do servidor DNS foi alterado. Neste caso o Administrador e a sua equipe técnica terão que fazer a alteração do número IP do servidor DNS em todas as estações de trabalho da rede. Um serviço e tanto. Se esta mesma rede estiver utilizando o serviço DHCP, bastará alterar o número do servidor DNS, nas configurações do servidor DHCP. O novo número será fornecido para todas as estações da rede, automaticamente, na próxima vez que a estação for reinicializada. Muito mais simples e prático e, principalmente, com menor probabilidade de erros. 6.5.3.3.2 Onde configurar A maioria das configurações do protocolo TCP/IP é feita através da janela Internet Protocol (TCP/IP) Properties. Para acessá-la, siga os seguintes passos: na área de trabalho, clique com o botão direito do mouse no ícone "My Network Places" e clique em Properties. Localize o ícone da sua conexão de rede local (normalmente "Local Area Connection"), clique com o botão direito em seu ícone e clique em Properties.


Na janela que se abrirá, navegue pela lista de protocolos como mostrado abaixo até encontrar "Internet Protocol (TCP/IP)". Selecione-o e clique no botão Properties.


Normalmente, em uma estação de trabalho, a caixa de seleção "Obtain an IP Address Automatically" estará selecionada, o que significa que o DHCP está sendo utililizado para configuração do Host em vez de "Use the following IP adress" (que permite especificar as configurações do TCP/IP manualmente). Caso seu computador esteja se conectando à redenormalmente, estas configurações NÃO devem ser modificadas. Se você identificar algum erro a configuração que, no entanto, não atrapalhe sua conexão com a rede, chame seu administrador. Ele terá mais condições de avaliar qual a configuração que lhe renderá maior performance. 6.5.3.4– Solucionar Principais Problemas Identificando o Erro Se você não está conseguindo acessar a rede da maneira usual, algum componente deve estar falhando ou alguma configuração deve ter sido trocada erroneamente. Para determinar qual o erro, existe uma série de passos a serem seguidos. 1. Usando o Utilitário IPConfig O utilitário IPConfig é muito útil para determinar se as configurações de rede atuais são desejadas. Vários erros podem ser detectados através deste utilitário. Execute-o através de um Prompt de Comando (clique em Start -> Run e digite CMD), digitando ipconfig /all e teclando Enter.


Entre outros problemas que podem ser detectados através do IPConfig temos: - Conflito de IP: Ocorre quando um IP manual é atribuído à máquina e já existe outro computador na rede com o mesmo IP. Nesse caso, a tela do Ipconfig deve se parecer com a seguinte:

Note que os campos IP e Máscara de Subrede estão zerados. Essa é a principal característica de um conflito de IPs. - Configuração incompleta: Certifique-se de que os campos DNS Servers e Default Gateway não estão em branco. - DHCP não Disponível: Caso o computador não receba resposta de um servidor DHCP no tempo limite, seu IP será automaticamente reconfigurado para um do tipo 169.254.x.y (classe B). Este IP foi reservado pela Microsoft (não existe um IP assim na internet) especialmente para o APIPA - (Automatic Private IP Adressing - Endereçamento IP Privado Automático): O Windows 2000 (assim como o XP) possui este mecanismo de endereçamento. Caso o computador não consiga se conectar ao servidor DHCP dentro do tempo limite e a utilização de IPs automáticos tenha sido ativada, será atribuído ao computador um endereço de rede do tipo 169.254.x.z, onde "x" e "z" variam de 0 254. Desse modo, o computador poderá ter conectividade básica na rede em que se encontra.


Note que, como não há servidor DNS e nem Default Gateway configurados, o computador somente poderá enviar e receber dados dentro da rede local e com outros computadores com endereçamento APIPA. 2. "Pingue" o endereço de loopback (127.0.0.1) A expressão entre aspas pode parecer um pouco estranha para a maioria dos usuários. Ela se refere ao utilitário do TCP/IP denominado "Ping", que tem como função testar se um host está ativo, enviando um pacote de dados para esse host e pedindo uma reposta caso ele esteja online e funcionando corretamente. Então, "pingar" o endereço de loopback simplesmente testa se sua máquina inicializou o TCP/IP corretamente. Para fazer isso, entre em um Prompt de Comando e digite: ping 127.0.0.1 e tecle Enter.

Você saberá que seu computador está com o TCP/IP devidamente funcionando se a resposta obtida for parecida com a mostrada acima. Caso contrário, veja se o TCP/IP está selecionado nas Propriedades de sua conexão local.


Certifique-se que a caixa de seleção mostrada acima está selecionada. 3. Pingue o endereço IP do Computador Local Pingue o endereço IP local para determinar se a placa de rede está funcionando corretamente.

Caso este procedimento não esteja funcionando, é provável que o driver da placa de rede ou ela mesmo estejam com problemas. Tente reinciar a máquina. Um driver é uma interface entre o hardware e o sistema operacional. É ele que permite a comunicação entre o sistema operacional e, por sua vez, o usuário e os componentes de seu computador. 4. Pingue o endereço IP do Default Gateway Este procedimento testa se seu computador consegue se conectar à uma estação localizada na rede local e, já que o default gateway (normalmente um roteador) é geralmente um componente que roda 24 horas por dia, dificilmente ele estará offline. Você pode encontrar o endereço do gateway através do IPConfig (reveja a primeira imagem desta página).


Note os valores, em milissegundos, do tempo de ida e volta do pacote. Valores altos e pacotes perdidos podem indicar gargalos na rede. 5. Pingue um computador de outra rede O objetivo desta vez é obvio: saber se seu computador pode se conectar a um host remoto através de um roteador. Caso este passo tenha sido bem sucedido, não há necessidade de tentar os outros. Solucione os Principais Problemas de Conexão TCP/IP 6.1. Pingue o nome de domínio DNS Se todos os passos anteriores foram bem-sucedidos mas ainda assim você está tendo problemas para se conectar à rede, pingue um nome de domínio para ter certeza de que o servidor DNS está funcionando corretamente.

Perceba que o computador automaticamente p3SERVER3.INTERNO.LOCAL para o IP 10.0.0.3.

resolve

o

endereço

6.2. Teste o DNS através do utilitário Nslookup O utilitário nslookup é melhor para determinar qual o problema no caso do ping acima ter falhado. Acesse-o através de um Prompt de Comando digitando simplesmente "nslookup". No prompt que aparecerá, digite o nome de um computador para o qual você quer que o DNS resolva o IP.


Caso este utilitário lhe mostre uma mensagem de erro, verifique o servidor DNS. Nada disto resolveu? Agora você tem certeza que o problema não é dos mais fáceis de resolver. Verifique se os cabos estão devidamente conectados atrás do gabinete (especialmente os azuis). Considere a possibilidade do computador que você está tentando acessar estar desligado ou fora da rede.

7 - Que software utilizar ? Comparação entre diversos softwares de rede Windows 9x /XP Fácil instalação Valor software baixo Nível baixo de segurança Até 10 terminais Servidor internet fraco

Windows 2003 Instalação mais complicada Valor alto software Nível alto segurença Varios terminais + depende de licença Bom servidor de internet

Linux Exige qualificação técnica Valor baixíssimo software Nível alto de segurança Numero ilimitado Muito bom serv. Internert

Estes são os softwares para redes existentes hoje no mercado, cada um tem a suas vantagens e desvantagens, mas quem deve optar pelo tipo de rede a ser utilizada no seu ambiente é a pessoa que vai adquirir o produto, não o técnico que irá executar a instalação, o técnico deve mostrar ao cliente custo beneficio de cada software. Nesta apostila iremos explicar e exemplificar cada um destes aplicativos. Mas antes temos que conhecer alguns itens importantes para instalação de qualquer tipo de rede.


II - Revisão Prática do Curso de Redes (Workstation ou Redes ponto-a-ponto) 1 – Conceito Em uma rede ponto-a-ponto, não existem servidores dedicados ou hierárquicos entre os computadores. Todos os computadores são iguais. Normalmente cada computador funciona tanto como clientes como servidor, e nenhum deles é designado para ser o um administrador responsável por toda a rede. O usuário do seu computador determina quais dados ou periféricos serão compartilhados na rede.

! "

#$

%

&

$ ! 6

7*

8

9,

: / / 2< 7 3

,

/

01 234

#$

9

#

,

/ !

- 5 .

5

-, *

= ;

*

;

,

!

- 5

*

/

/ )06

' ()* + ./ !

. #

> 4- 7 $ # *

/ A

? *@ !


@ .

$

3

,/ & () !

, ? ,- 5

9

#

. :

# -

! ;?,

$ 2D *

>+

7 .+

.4

>E

9 7 .E

.4

!.C 7

$ $ !

-

? B: C *

*

5

7 .C

>E

= , , #

#

,

-

$

A

#

#

9 7 .C

#

9 7 .@A 7 .C

>+

$

>@A 7 .E

7 .@A 7 .C

>@A 7 .+

9 7 .C

>4

7

7 .C

>4

7

A

$

- 9,

,

*

#$

6)

/ ?

0 /

?

;

!.C 7

#

- ; 7

, *) . $ - 5 7 - 7* ) # 9,

. $

!

*

= $

-

01

#

-

@$

?

$

+

*0

,

$

/ $

@ = # A

' 7* 0

6

/ *+

,

?

?

9,

! #

$ ?

% *+

/ 6

/

- !

#$ , / !

/ /

# -

; F4

E

2

F


?

! F) F0 5! E

)

F* @ 9 F* 0 /

F0 -

5%

2 F - , - !

5%

1

:

?

;

Fig. @

02 -

9

/

.4, K

( ,

*

+ ,

-

H *

-

-

F) . 7 *I

G0)>6)F ? ) ; / / 6)7* 3 6) # ; I1 2 J3 6) , *

,

#

* *

* *

* * ! F: H

$ * * * ;

6)F

$

*0

/

*5


L $*

@ =

/ "

#

) /

M@$ 5

%

#

#

*

$ 9,

!

$

? 5! * @$

!

*0

#

L $* - 5

$

; ?

>

/

9 /

?

* F4

0 ?

F ?

/ F0

- ! ?

$

F;

/

9


L $* % /

? F* L

! F0

?

9, 2

/ /

&8 E

F F)

F

4

6

! $ ;7 ***

/

, ! M)

? #

* -

F4


III – SEGURANÇA DE REDES

O sistema informático mais seguro não é utilizável O sistema informático mais utilizável é inseguro Só existe um computador 100% seguro, o desligado.

1 – Introdução ♦ A Segurança da Informação pode ser definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas. ♦ A segurança no universo computacional divide-se em: – Segurança Física – Segurança Lógica O que você está tentando proteger? ♦ Seus dados Integridade Privacidade Disponibilidade ♦ Seus recursos ♦ Sua reputação Contra o que você está tentando se proteger? ♦ Roubo de senhas ♦ Engenharia Social ♦ BUG & Backdoors ♦ Falha de autenticação


♦ Falha de protocolo ♦ Obtendo Informações ♦ Negando serviços (DoS) Devemos cuidar de nossa identidade digital!

2 – Tipos de Segurança 2.1 – Segurança Física 2.1.1 - Introdução Deve-se ter em atenção que as ameaças estão sempre presentes, mas nem sempre lembradas, como por exemplo: – Incêndios – Desabamentos – Alagamentos – Relâmpagos – Problemas na rede elétrica, – Acesso indevido de pessoas ao Centro de Informática – Formação inadequado de funcionários – etc. O ponto-chave é que as técnicas de proteção de dados por mais sofisticadas que sejam, não servem se a segurança física não for garantida. Consiste então no desenvolvimento de medidas de segurança dos equipamentos, visando garantir a integridade física e a prontidão dos mesmos. Medidas de Proteção Física Serviços de guarda, alarmes, fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma parte da segurança de dados.


• • • • • •

Salas-cofre No-breaks Reservas (“Backups”) CPD/Data Center reserva Cópias em fita, etc Sistema redundantes

2.2 – Segurança Lógica Então esta consiste no desenvolvimento de medidas de segurança que permitam garantir a confidencialidade e a integridade da informação (dados). Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet, é a utilização de um programa de criptografia que embaralha o conteúdo da mensagem, de modo que ela se torna incompreensível para aqueles que não sejam nem o receptor ou dono da mesma. Ex: Criptografia é o processo de transformação de conjuntos de dados legíveis para uma forma ilegível (cifra) com a finalidade destes poderem circular em canais inseguros. A criptografia não só fornece proteção contra tentativas de acesso não autorizado como assegura a detecção de tentativas de modificação da informação.

3 – Objetivos A segurança de dados tem por objetivo restringir o uso de informações (softwares e dados armazenados) no computador e dispositivos de armazenamento associados a indivíduos selecionados. O objetivo da segurança da informação abrange desde uma fechadura na porta da sala de computadores até o uso de técnicas criptográficas sofisticadas e códigos de autorização. O estudo não abrange somente o crime computacional (hackers), envolve qualquer tipo de violação da segurança, como erros em processamento ou códigos de programação Quem? O que? Quando? Como? Onde? Porque? Preservação do patrimônio da empresa (os dados e as informações fazem parte do patrimônio). Deve-se preservá-lo protegendo-o contra revelações acidentais, erros operacionais e contra as infiltrações que podem ser de dois tipos: • Ataques passivos (interceptação) • Ataques ativos (interrupção, modificação e Fabricação)

4 – Introdução a ataques 4.1 - O que é ataque? Ataque é toda ação realizada com intuito ou não de causar danos


Os velhos e os novos meios de cometer crimes!

4.2 - Vulnerabilidades ♦ Todo computador é vulnerável a ataques. (Possui informação) • Tipos de Vulnerabilidades – Vulnerabilidades Físicas (Meio, Construção) – Vulnerabilidades Naturais (Desastres Naturais) – Vulnerabilidades de Hardware e Software(Falhas) – Vulnerabilidades de Media (Roubos de Media) – Vulnerabilidades de Comunicação (Hacker) – Vulnerabilidades de Humanos (Usuários) – Vulnerabilidades sobre Exploit (Brechas, Copias) 4.3 - Um ataque típico


4.4 O que um hacker ataca ?

4.5 - Fonte de Problemas ou Ataques ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦

Estudante – Alterar ou enviar e-mail em nome de outros Hacker - Examinar a segurança do Sistema; Roubar informação Empresário - Descobrir o plano de marketing estratégico do competidor Ex-empregado - Vingar-se por ter sido despedido Contador - Desviar dinheiro de uma empresa Corretor - Negar uma solicitação feita a um cliente por e-mail Terrorista - Roubar segredos de guerra Outros

Ex: Oliberal 10/02/08


4.6 - Tipos de ataques conhecidos Negação de serviços Syn Flood – inundar a fila de SYN para negar novas conexões Buffer overflow – colocar mais informações do que cabe no buffer Distributed DoS (DDoS) – ataque em massa de negação de serviços Ping of Death – envio de pacote com mais de 65507 bytes Smurf – envio de pacote ICMP em broadcast a partir de uma máquina, sendo inundada com as respostas recebidas CGI exploit Land, syn flooding, ... Simulação IP Spoofing – uso do IP de uma máquina para acessar outra DNS Spoofing – assumir o DNS de outro sistema Investigação Port scanning – varredura de portas para tentar se conectar e invadir Spam Acesso a um grande número de pessoas, via email, com link para sites clonados que pedem informações pessoais Escutas Packet Sniffing – escuta e inspeciona cada pacote da rede IP/Session Hijacking – interceptação da seção pelo invasor Senha Uso de dicionário de senhas Força bruta – tentativa e erro Outros ataques Alteração de site (web defacement) Engenharia social Ataque físico às instalações da empresa Uso de cavalos de tróia e códigos maliciosos


Trashing – revirar lixo em busca de informações War dialing – liga para vários números de telefone para identificar os que tem modem instalado Penetração de sistemas Falsificação de endereço (spoffing) Ataque dissimulado Penetração do controle de segurança do sistema Escoamento Comprometimento de recursos Uso malicioso 4.7 - Como Evitar • • • • • • • • • • • • • • • • • •

Muitos meios e ferramentas Diminuirmos a vulnerabilidades. Firewalls (fornecem limites fisicos) DMZ Conjuntos, de medidas que envolvem aspectos de negócios, humanos, tecnológicos, processuais e jurídicos. Políticas de segurança de usuários. Separação entre rede publica e privada. Sistemas de detecção de intrusão. Implementação de Criptografia. Autenticação. Controles de acesso Conhecer seus possíveis inimigos Política de senhas Política de acesso remoto Política de segurança (em ambientes cooperativos) Treinamento Conscientização Sistema de Detecção de intrusão IDS

4.8 - Como prevenir e evitar Ameaças Internas? ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦

Restringir ao máximo o acesso dos usuários às informações vitais da organização; Restringir o acesso físico às áreas críticas; Definir e divulgar normas e políticas de acesso físico e lógico; Implementar soluções de criptografia para informações críticas; Implementar soluções de auditoria para informações críticas; Controlar o acesso de prestadores de serviços as áreas críticas e as informações. Nunca dê sua senha ou informações pessoais a estranhos na Internet Nunca clique em links desconhecidos Nunca dê download e execute arquivos desconhecidos Fique alerta sobre qualquer empresa que não divulgar seu nome, endereço web ou número telefônico de forma clara

4.9 - Exemplos de cases: Email para roubo de informações:


Clonagem de cart達o de banco


C

)

6

N


4

O # #

+ !

$


4 O

@

C

Email de Promoção (roubo de informação)

Antivírus Grátis:


Engenharia Social ♦ Ao atender um telefonema, o interlocutor se identifica como vice-diretor da empresa. Você já o viu pelos corredores, mas nunca falou com ele por telefone. Ele informa que se encontra na filial da empresa, em reunião, e está com problemas para acessar o sistema. Assim sendo, solicita a senha para que possa ter acesso. Informa, ainda, que está acompanhado de 10 pessoas que possuem outros compromissos e que não podem esperar por muito tempo. Email Receita Federal


Email correios


Email PolĂ­cia civil


5 - Análise de Segurança - Origem de ataques informáticos: • 85% são originados na rede interna de uma organização • 15% são originados em plataformas externas - Método de levantamento remoto de recursos • Recolher o máximo de informação para caracterizar o sistema alvo • Analisar a informação que o sistema disponibiliza através das mensagens de serviços instalados • Utilizar aplicações especializadas e desenvolvidas para esse fim, com base nas idiossincrasias da pilha IP do sistema a analisar - São falhas em serviços, aplicativos e sistemas operacionais que pode acarretar acesso ao sistemas parcial ou total em nível de administração. - Hoje temos ferramentas de escaneamento de vulnerabilidades que detecta falhas de sistemas, mais também são utilizadas para invasão. - Segundo o site sectools.org temos as 10 principais ferramentas de escaneamento de vulnerabilidades de sistemas. – Nessus, GFI LANguard, Retina, Core Impact, ISS Internet Scanner, X-scan, Sara, QualysGuard, SAINT, MBSA

6 - Custo de Segurança:


7 - Custo Visíveis x Invisíveis:

8 - Erros mais comuns Reaproveitamento de políticas Reaproveitar políticas sem levar em conta aspectos culturais e legais da região


Compromisso da alta direção Falta de envolvimento da alta direção Falta de uniformidade de pensamento na alta direção Participação Falta de envolvimento dos principais setores da empresa na elaboração da política Divulgação Falta de divulgação e treinamento Atualização Falta de atualização ou atualização parcial

Falar em um chat que alguem cometeu algum crime (ex. – ele é um ladrão...)

Calúnia

Art.138 do C.P.

Dar forward para várias pessoas de um boato eletrônico

Difamação

Art.139 do C.P.

Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...)

Injúria

Art.140 do C.P.

Enviar um email dizendo que vai pegar a pessoa

Ameaça

Art.147 do C.P.

Enviar

Divulgação de

Art.153 do C.P.

um

email

para

terceiros

com


informação considerada confidencial

segredo

Enviar um virus que destrua equipamento ou conteudos

Dano

Art.163 do C.P.

Copiar um conteudo e não mencionar a fonte, baixar MP3

Violação ao direito autoral

Art.184 do C.P.

Criar uma Comunidade Online que fale sobre pessoas e religiões

Escárnio motivo religião

por de

Art.208 do C.P.

Acessar sites pornográficos

Favorecimento da prostituição

Art.228 do C.P.

Criar uma Comunidade para ensinar como fazer “um gato”

Apologia crime criminoso

Art.287 do C.P.

Enviar email com remetente falso (caso comum de spam)

Falsa identidade

Art.307 do C.P.

Fazer cadastro com nome falso em uma loja virtual

Inserção de dados falsos em sistema

Art.313-A C.P.

do

Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software)

Adulterar dados em sistema de informações

Art.313-B C.P.

do

Se você recebeu um spam e resolve devolver com um vírus, ou com mais spam

Exercício arbitrário das próprias razões

Art.345 do C.P.

Participar do Cassino Online

Jogo de azar

Art.50 da L.C.P.

Falar em um Chat que alguém é isso ou aquilo por sua cor

Preconceito ou Discriminação Raça-CorEtnia

Art.20 da Lei 7.716/89

Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus filhos)

Pedofilia

Art.247 da Lei 8.069/90

Usar logomarca de empresa em um link na pagina da internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte.

Crime contra a propriedade industrial

Art.195 da Lei 9.279/96

Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador

Crime de Concorrência Desleal

Art.195 da Lei 9.279/96

Usar copia de software sem ter a licença para tanto

Crimes Contra Software

Art.12 da Lei 9.609/98

de ou


â&#x20AC;&#x153;Piratariaâ&#x20AC;?

9 - Manual do motorista Virtual

10 - Jogos dos erros:


IV - Sistemas Operacionais de Redes 1 – Windows 2003 1.Instalação Um computador com os seguintes requisitos mínimos: Processador Pentium II, 256 MB de RAM (É possível instalar com apenas 128MB, mas eu não recomendo), e uma partição com no mínimo 2 GB (Na verdade, não é preciso ter a partição já criada, pois ela poderá ser criada no início da instalação, mas é preciso ter no mínimo 2GB de espaço livre em disco). . O CD do Windows 2003, Enterprise Edition. Para começarmos, vamos colocar o CD do Windows no CD-ROM, e reiniciar o computador. Ele já deve estar configurado ( no Setup da máquina) para inicializar pelo CD. Feito isso, quando começar a inicialização da máquina, é solicitado que pressionemos alguma tecla para inicializar pelo CD. Prestem atenção nesse detalhe, pois se não pressionarmos, não poderemos começar a instalar o Windows. Depois disso, o Setup do windows começa a reconhecer o hardware e se preparar para as configurações necessárias.

Quando esse procedimento é finalizado, ele nos solicita pressionar a tecla ENTER para começarmos a instalação.


E pressionem ENTER novamente:

Agora, vocês devem “ler” e concordar com o EULA, pressionando a tecla F8.


Chegou a hora de configurarmos a paritção na qual iremos instalar o Windows:

No meu caso, eu tenho um disco de 4GB. Vou deixá-lo selecionado e pressionar a tecla “C” para criar uma partição no meu disco.

Vou determinar que a minha partição terá 3GB colocando “3000” como tamanho da partição e pressionar ENTER


Se desejarmos instalar o Windows na partição recém criada, é só apertar a tecla ENTER. Se vocês quiserem criar outras partições nesse momento, é só realizar os últimos procedimentos novamente. No meu caso, vou instalar na partição que acabei de criar:

Vou formatar a partição com NTFS, então é só pressionar a tecla ENTER novamente:

O Setup do Windows formata a partição, copia os arquivos necessários e reinicia o cmputador.


Nesse momento, começa a parte gráfica da instalação. Se vocês repararem, ela melhorou bastante comparando com a instalação do 2000, e agora também temos um indicador de tempo para finalizar a instalação.


O Setup começa a instalar os Drivers:

Em seguida, podemos configurar as opções regionais, como por exemplo o idioma que iremos utilizar... No nosso caso, vamos deixar as configurações padrão e clicar em NEXT.


Agora vocĂŞs devem colocar o seu nome e o nome de sua empresa e clicar em NEXT.

O Serial Key (Geralmente ele vem em uma etiqueta amarela na caixa em que o CD veio.) :


Em seguida, o Setup nos pergunta como será o licenciamento do nosso servidor. Temos 2 opções, licenciamento “Per Server” ( essa opção determina quantas conexões simultâneas o nosso servidor poderá ter ) ou licenciamento “Per User” (Não há limite máximo para as conexões ao servidor, pois cada cliente terá sua licença). Eu vou escolher a primeira opção e configurar com 5 conexões simultâneas.

Agora é a hora de configurar o nome de nosso servidor (fiquem à vontade para escolher) e a senha da conta de Administrador (lembrem-se que é altamente recomendado usar senhas complexas no 2003).


E configuramos a data e o horĂĄrio de nosso servidor:

Feito isso, a instalação continua:


E para finalizarmos, vamos configurar as opções de rede. No meu caso, vou deixar como configurações típicas ( “Typical Settings”) e clicar em Next:

A instalaçãio continua mais uma vez:


E por último, o Setup nos pergunta se desejamos ingressar o nosso servidor em um WORKGROUP ou em um DOMÍNIO. No meu caso vou deixa-lo no Workgroup, pois mais tarde, poderei ingressá-lo em qualquer domínio à minha escolha.

L

A #

H !

/

#$ #

A

!

!

/

/

/

*

2. Conceitos Fundamentais Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000 e 2003, até porque são peças fundamentais para a construção de ambientes baseados neste sistema operacional. Vamos conhecer agora dois destes conceitos: Domínio e Serviço de Diretório.


2.1. Domínio Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) já sabemos que não existe um banco de dados central com as informações de todos os usuários da rede. Por esse motivo neste tipo de arquitetura não existe um único computador responsável por administrar os recursos da rede e efetuar a autenticação de usuários. Cada computador gerencia seus próprios recursos e utentica seus usuários localmente. Já em uma rede cliente/servidor uma lista de informações relacionadas com os usuários (os nomes, senhas e outras informações a respeito de pessoas autorizadas a utilizar o sistema) é mantida de forma centralizada. A Microsoft adota uma terminologia própria para referenciar-se a redes apartir do Windows 2000 baseadas nestas duas arquiteturas: grupos de trabalho e domínios. 2.1.1. Grupos de Trabalho Windows 2000 Um grupo de trabalho (ou workgroup) é um agrupamento lógico de computadores em rede que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado, responsável pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1 ou Professional participantes de um grupo de trabalho mantém um banco de dados de segurança local, o qual contém uma lista de contas de usuários e informações de segurança de recurso para aquele computador. Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de segurança local, a administração de contas de usuários e recursos é descentralizada. Um usuário precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudança na contado usuário (como a troca de senha, por exemplo) precisa ser executada em cada um dos computadores do grupo de trabalho que ele utilizar. Os grupos de trabalho baseados em Windows 2000 têm as seguintes vantagens: Não requer um computador rodando Windows 2000 Server para manter as informações de segurança centralmente. É simples para planejar e implementar; ele não requer o extensivo planejamento e administração que um domínio exige. É conveniente para um limitado número de computadores localizados proximamente, portanto um grupo de trabalho torna-se impraticável em ambiente com mais de 10 computadores. É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica para dispensar o trabalho de um administrador para a rede.

$

- ? 8

*

5

&

'

8

?


&

'

C1 8

$

& &

'

'

) #

) #

'

#

$ C1

C1 $

$

&

'

8

Figura 1 – Grupo de trabalho Windows 2000 2.1.2. Domínios Windows 2000 Um domínio Windows 2000 é um agrupamento lógico de computadores em rede que compartilham um banco de dados de segurança centralizado, responsável dentre outras coisas por armazenar as informações dos usuários da rede e informações de segurança para o domínio. Este banco de dados é conhecido como diretório e é parte do Active Directory, que é o serviço de diretório do Windows 2000. Em um domínio, o diretório reside em computadores configurados como controladores de domínio2 (domains controllers). Um controlador de domínio (domain controller) é um servidor que gerencia todas as informações de segurança relacionadas a usuários, interação entre domínios e administração centralizada.


2

!

0

0 1

1

N

N ( )* + ) , -

,

0 0

.

%

0 0

Figura 2 – Domínio Windows 2000 Um domínio não refere-se a uma única localização ou a um tipo específico de configuração de rede. Os computadores em um domínio podem estar fisicamente próximos em uma pequena rede local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vários tipos de conexões (WAN). Os domínios Windows 2000 provêm as seguintes vantagens:

2 No Windows NT, controladores de domínio eram configurados como controladores de reserva (Backup Domain Controller, BDC) ou como controladores primários (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo de controlador de domínio e todos os controladores são pares, ou seja, exercem esta função de forma igualitária.


P Provê administração centralizada porque todas as informações de usuários estão armazenadas centralmente.

Provê um processo único de logon para usuário obterem acesso aos recursos da rede, como arquivos, impressoras ou aplicações para as quais ele tenha permissão. Um usuário pode autenticar-se em um computador (controlador de domínio) e acessar recursos em qualquer outro computador do domínio, desde que tenha as permissões apropriadas para tal. Provê escalabilidade para atender desde pequenas redes locais até redes de extensão mundial. 2.2. Serviço de Diretório Uma definição sobre diretórios que remonta aos primórdios dos PCs é de que são uma estrutura organizacional (geralmente hierárquica) para armazenamento de informações.

Figura 3 – Estrutura de diretórios em uma partição de disco rígido Um conceito mais abrangente sobre diretórios define que é um banco de dados hierárquico de informações de recursos e serviços. Estes recursos e serviços são organizados sob a forma de objetos com propriedades e valores. Os diretórios sempre foram usados para organizar as informações a fim de facilitar sua localização quando necessário. No universo das redes esta finalidade também é a principal. Monitorar tudo em uma rede é uma tarefa demorada. Mesmo em redes pequenas, os usuários tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede. Sem algum tipo de diretório de rede, é impossível gerenciar redes grandes e médias e os usuários freqüentemente terão dificuldades em localizar recursos na rede. Vamos tentar imaginar a dificuldade de administração que existiria em uma rede sem serviço de diretório em uma empresa média que utilize recursos como: um gerenciador de correio eletrônico, uma aplicação cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxy com autenticação para acesso à Internet. Um usuário deveria possuir uma conta para cada um destes recursos além da própria conta para acesso à rede. A admissão ou demissão de um funcionário exigiria do administrador da rede a repetição da ação de inclusão ou exclusão de usuário em cada uma das aplicações além do próprio sistema operacional de rede. A simples alteração de senha de um usuário geraria um trabalho significativo. Em uma rede com um serviço de diretório cada conta de usuário seria criada uma única vez.


Os dados de cada usuário ficariam armazenados em um banco dados do serviço de diretório e seriam utilizados pelo gerenciador de correio eletrônico, pelo gerenciador de banco de dados, pelo servidor proxy, etc. O usuário seria autenticado pelo sistema operacional da rede uma única vez e seria identificado automaticamente por todas estas aplicações.

3. Active Directory Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o serviço de diretório da Microsoft. Na verdade, o AD é oriundo de um acréscimo de uma série de melhorias e modificações no serviço de diretório já existente no Windows NT 4.0 (NT Directory Service, NTDS). O conceito de domínio, por exemplo, já existia no Windows NT. Mas os domínios do Windows NT trabalhavam melhor em ambientes de tamanho pequeno e médio. Os administradores de ambientes grandes eram forçados a particionar sua rede em múltiplos domínios interconectados através de um recurso chamado relação de confiança. O Active Directory continuará a fazer o trabalho dos domínios do Windows NT, porém de uma maneira muito mais eficiente. Os serviços do Active Diretory provêm um ponto único para gerenciamento da rede, permitindo aos administradores adicionar, remover e realocar usuários e recursos facilmente. O AD é a parte mais importante do Windows 2000 e, infelizmente, também a mais complexa. Uma de suas complexidades é sua alta difusão, já que virtualmente qualquer recurso importante do Windows 2000 requer o AD. 3.1. Características do Active Directory Os serviços do AD organizam recursos hierarquicamente em domínios. Como já visto anteriormente, um domínio é um agrupamento lógico de servidores e outros recursos da rede sob um nome de domínio simples. O domínio é a unidade básica de replicação e segurança em uma rede Windows 2000. Cada domínio inclui um ou mais controladores de domínio. Um controlador de domínio é um computador com Windows 2000 Server que armazena uma réplica completa do diretório do domínio. Para simplificar a administração, todos os controladores de domínio no AD são pares, então é possível efetuar mudanças em qualquer controlador de domínio e as atualizações serão replicadas para todos os outros controladores no domínio.

3.1.1. Escalabilidade No AD, o diretório armazena informações utilizando partições, as quais são divisões lógicas que organizam o diretório em seções e permitem armazenar um grande número de objetos. Portanto, o diretório pode expandir-se para acompanhar o crescimento de uma organização, possibilitando a existência desde de uma instalação pequena com pouco mais de uma centena de objetos a grandes instalações com milhões de objetos.


3.1.2. Suporte a Padrões Abertos Os serviços do AD integram o conceito Internet de espaço de nomes com os serviços de diretório do Windows NT. Esta integração permite unificar e gerenciar os múltiplos espaços de nome que existem hoje em ambientes heterogêneos de software e hardware de redes corporativas. O AD usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informações com qualquer aplicação ou diretório que usa Lightweight Directory Access Protocol (LDAP). Os serviços do AD também compartilham informações com outros serviços de diretório que suportam LDAP versões 2 e 3, como o Novell Directory Services (NDS). 3.1.3. DNS Em função do AD usar DNS como sua forma de denominação de domínios e localização de serviços, os nomes de domínio do Windows 2000 são também nomes DNS. Windows 2000 Server utiliza DNS dinâmico, o qual habilita computadores clientes com associação de endereços dinamicamente registrados no servidor DNS e com atualização da tabela também de forma dinâmica. O DNS dinâmico pode eliminar a necessidade de outros serviços de nome Internet, como o Windows Internet Naming Service (WINS). 3.2. Estrutura do Active Directory O Active Directory provê um método para planejamento de uma estrutura de diretório que atenda às necessidades das empresas. Portanto, é preciso examinar a estrutura de negócios e de operação da organização antes de instalar os serviços do AD. O Active Directory separa a rede em duas estruturas: lógica e física. 3.2.1. Estrutura Lógica Nos serviços do AD você organiza recursos em uma estrutura lógica. O agrupamento lógico de recursos possibilita localizar um recurso pelo seu nome ao invés de sua localização física. 3.2.2. Objetos e Atributos Tudo o que o AD rastreia é considerado como um objeto. Um objeto é qualquer usuário, sistema, recurso ou serviço rastreado dentro do AD. O termo genérico objeto é utilizado porque o AD é capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns. Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User compartilham atributos para armazenar o nome de um usuário na rede, seu nome completo e uma descrição. Os computadores também são objetos, mas têm um conjunto separado de atributos que inclui um nome de host, um endereço IP e uma localização. Um contêiner é um tipo de objeto especial utilizado para organizar o AD. Ele não representa nada físico, como um usuário. Em vez disso, é utilizado para agrupar outros objetos. Os objetos contêineres podem ser aninhados dentro de outros contêineres.


Nos serviços do AD é possível ainda organizar objetos em classes, os quais são agrupamentos de objetos. Exemplos de classes de objetos são usuários, grupos, computadores, domínios ou unidades organizacionais. a. Unidades Organizacionais Uma unidade organizacional é um objeto contêiner usado para organizar objetos como contas de usuários, grupos, computadores, impressoras, aplicações, compartilhamento de arquivos e outros. b. Domínios A principal unidade da estrutura lógica nos serviços do AD é o domínio. Grupamentos de objetos em um ou mais domínios permite refletir a organização da empresa no ambiente de rede. Todos objetos da rede existem dentro de um domínio, e cada domínio armazena informações somente dos objetos que ele contém. Teoricamente, um domínio pode conter até 10 milhões de objetos, mas 1 milhão de objetos por domínio é o limite testado. O acesso aos objetos do domínio é controlado pelas listas de controle de acesso (ACLs, Access Control Lists), as quais são formadas com entradas de controle de acesso (ACEs, AccessControl Entries). Todas as políticas de segurança e configurações, como os direitos administrativos, políticas de segurança e as ACLs não atravessam de um domínio para outro. O administrador do domínio tem poderes absolutos para definir políticas somente dentro do seu domínio. Um domínio geralmente possui os seguintes tipos de computadores: Controladores de domínio rodando Windows 2000 Server: cada controlador de domínio armazena e mantém uma cópia do diretório. Servidores membros rodando Windows 2000 Server: um servidor membro não armazena informações do diretório e não pode autenticar usuários. Servidores membros são geralmente usados para prover recursos compartilhados, como arquivos, impressoras e aplicativos. Computadores clientes rodando Windows 2000 Professional: computadores clientes usados para fornecer ao usuário o acesso aos recursos no domínio. c. Árvores, Esquema e Catálogo Global Uma árvore é um agrupamento ou arranjo hierárquico de um ou mais domínios Windows 2000 que permite o compartilhamento global de recursos. Uma árvore pode também consistir de um único domínio Windows 2000. Contudo é possível criar grandes estruturas através da união de múltiplos domínios em uma estrutura hierárquica. A figura abaixo apresenta uma árvore formada por um domínio pai (Silva Corporation) e dois domínios filhos (Silva do Brasil e Silva das Ilhas Virgens).


8

8

0

C

8

6?

+ $

Figura 4 – Árvore de Domínios Windows 2000 Todos os domínios em uma árvore compartilham informações e recursos para funcionarem como uma única unidade. Existe somente um diretório em uma árvore, mas cada domínio mantém uma parcela do diretório que contém as informações de contas dos seus usuários. Em uma árvore, um usuário que autentica-se em um domínio pode usar recursos em outro domínio desde que tenha permissões apropriadas para tal. O Windows 2000 combina as informações de diretório de todos os domínios em um único diretório, o qual torna as informações de cada domínio globalmente acessíveis. Em adição, cada domínio automaticamente provê um subconjunto de suas informações nos serviços do AD como um índice, que reside nos controladores de domínio. Usuários utilizam este índice para localizar outros usuários, computadores, recursos e aplicações através da árvore do domínio. Todos os domínios dentro de uma árvore compartilham um esquema, que é uma definição formal de todos os tipos de objetos que podem ser armazenados em uma implementação do AD. Além disso, todos os domínios dentro de uma árvore simples compartilham um catálogo global, que é um repositório de informações sobre objetos na árvore ou floresta. Todos os domínios em uma árvore simples também compartilham um espaço de nomes comum e uma estrutura de nomes hierárquica. Um espaço de nomes é um conjunto de regras de nomes que provê a estrutura hierárquica, ou caminho, da árvore. Seguindo os padrões DNS, o nome de domínio do domínio filho (em uma árvore) é o nome relativo deste domínio anexado ao nome do domínio pai. d. Florestas Uma floresta é um agrupamento de uma ou mais árvores. Florestas permitem que organizações agrupem divisões (ou que duas organizações combinem suas redes) que não usam o mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a organização inteira.


4. Instalando o Active Directory Uma das características interessantes no Windows 2000 é o fato da Microsoft ter separado o seu processo de instalação do processo de criação de um controlador de domínio. Desta forma é possível efetuar a instalação completa do Windows 2000 Server em um computador e posteriormente transformá-lo em um controlador de domínio. Para converter um servidor do Windows 2000 Server em um controlador de domínio, executa-se o programa Dcpromo a partir do comando Run no menu Start.

Figura 5 – Execução do Dcpromo

Um assistente será iniciado que guiará todo processo de instalação do Active Directory. Esse assistente poderá ser usado também para rebaixar um controlador de domínio para um servidor membro. O assistente fará uma série de perguntas e então, baseado nas respostas, criará uma nova árvore, floresta ou domínio ou criará uma réplica de controlador de domínio em um domínio já existente.

Figura 6 – Assistente para instalação do Active Directory


A forma para criar um novo domínio é simples: basta definir uma máquina como o primeiro controlador de domínio. A construção do primeiro controlador de domínio de um domínio e a criação de um novo domínio são exatamente a mesma coisa.

Figura 7 – Criação de um controlador de domínio para um novo domínio Seguindo a opção mostrada na figura anterior, este será o primeiro domínio em uma árvore nova, por isso esta deverá ser a opção na próxima caixa de diálogo.

Figura 8 – Criação de uma nova árvore Como o Windows 2000 permite a construção de domínios organizados em árvores e árvores organizadas em florestas, de forma que, logicamente, o assistente precisará saber onde colocar a nova árvore – em uma floresta inteira nova ou em uma floresta já existente.


Figura 9 – Criação de uma nova floresta Na tela seguinte será preciso definir o nome do novo domínio.

Figura 10 – Definição do nome do domínio A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas estações de trabalho, então a rede contém máquinas rodando softwares de rede escritos para as versões anteriores (Windows NT) quando os nomes de domínios não podiam ter mais de 15 caracteres e não podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de diálogo seguinte será definido o nome NetBIOS para este novo domínio, de forma a ser compatível com estes outros sistemas operacionais.


Figura 11 – Nome NetBIOS do novo domínio

O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como geralmente ocorre com bancos de dados – o banco de dados propriamente dito e um registro de transações. Dois detalhes importantes com relação a esta informação são o fato de que o arquivo de banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e que é uma boa idéia colocar o registro de transações em um disco rígido diferente do que contém o banco de dados do Active Directory. A localização dos arquivos que contém o banco de dados do Active Directory e do registro de transações é definido na tela mostrada a seguir.

Figura 12 – Localização do banco de dados e do log de transações


Assim como no Windows NT 4.0, o Windows 2000 também terá uma pasta compartilhada com o nome de Netlogon, onde serão armazenadas informações como os arquivos de política do sistema, perfis padrão e scripts de login. A localização física desta pasta é definida na tela mostrada a seguir.

Figura 13 – Localização física da pasta Netlogon No próximo passo, o programa Dcpromo tentará localizar e contatar um servidor DNS para o nome de domínio escolhido (como support.com.br, por exemplo) e determinará ainda se um servidor DNS encontrado suporta atualização dinâmica, característica presente no DNS do Windows 2000 ou 2003 Server. O Dcpromo pode não encontrar um servidor DNS para o domínio escolhido ou ainda pode encontrar um servidor DNS que não suporta atualização dinâmica. Em qualquer um dos dois casos a seguinte mensagem será exibida.

Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática O programa oferece a oportunidade de instalar e configurar um servidor DNS.


Figura 15 – Opção para instalação e configuração de um servidor DNS Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de usuários a servidores Windows NT) precisam acessar e obter informações do controlador de domínio. Se algum programa com esta característica será utilizado na rede deve-se optar pelas Permissões compatíveis com servidores pré-Windows 2000. Caso contrário, é importante selecionar a outra opção que aumentará o nível de segurança da rede.

Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K Uma das opções que aparecem no momento da inicialização do Windows 2000 é a reconstrução de um banco de dados do Active Directory danificado para restaurá-lo para uma versão anterior consistente internamente, mas que provavelmente não contém as alterações mais recentes. Para esta restauração é exigida uma senha, que é definida na seguinte tela.


Figura 17 – Definição da senha para o reparo do serviço de diretório A tela seguinte é uma confirmação das informações escolhidas ao longo de todo o processo e é uma oportunidade de revisar todas as decisões tomadas para evitar qualquer tipo de engano.

Figura 18 – Resumo das informações para criação do Active Directory Uma vez conferidas todas as informações e tendo-se avançado na tela anterior, a seguinte tela será exibida por um longo período, que poderá ser de mais de 20 minutos dependendo da capacidade do computador. Se neste momento for constatado que algum erro tenha sido cometido será necessário: Aguardar o término deste processo; Reinicializar o computador; Executar novamente o Dcpromo para remover o Active Directory; Reinicializar o computador;


Iniciar novamente o Dcpromo para efetuar uma nova instalação.

Figura 19 – Tela de início do processo de configuração do Active Directory Quando o diretório estiver pronto será exibida uma tela avisando sobre o término do processo de criação e, em seguida, o computador deverá ser reiniciado.

Figura 20 – Conclusão da instalação do Active Directory

Figura 21 – Reinicialização do computador Após a reinicialização, o servidor já será um controlador de domínio.


5. Administrando Contas de Usuários Contas de usuários precisam ser criadas para dar a estes a capacidade de logar-se em um domínio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais. Uma conta de usuário contém as credenciais exclusivas e é um registro que define este usuário para o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usuário é membro e os direitos e permissões que o usuário possui para uso do computador e da rede e para acesso à recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usuário. O Windows 2000 suporta dois tipos de contas de usuários: do domínio e local. Com uma conta de usuário do domínio, um usuário pode logar-se em um domínio para ganhar acesso à recursos da rede. Com uma conta de usuário local, um usuário pode logar-se em um computador específico para ganhar acesso aos recursos daquele computador. Além destes dois tipos, o Windows 2000 também provê contas de usuário internas (buit-in user accounts), que são usadas para desempenhar tarefas administrativas ou ganhar acesso à recursos da rede. As contas de usuário internas são criadas automaticamente durante a instalação do Windows 2000 e a instalação do Active Directory. 5.1. Planejando Novas Contas de Usuários Para tornar mais eficiente o processo de gerenciamento das contas de usuários é importante adotar e seguir determinadas convenções e diretrizes através do planejamento das seguintes áreas: Convenções de nomes para as contas de usuário; Diretrizes para as senhas; Opções de conta. 5.1.1. Convenções para Nomes de Contas de Usuário A convenção de nomes estabelece como as contas de usuário são identificadas no domínio (ou no computador local). Uma convenção de nomes consistente facilita lembrar nomes de logon de usuários e localizá-los em listas. Os seguintes aspectos devem ser considerados na determinação de uma convenção de nomes para uma organização: Os nomes de logon para contas de usuário devem ser exclusivos no Active Directory. Os nomes completos de contas de usuário de domínio devem ser exclusivos na OU onde a conta de usuário foi criada. Os nomes de contas de usuário local devem ser exclusivos no computador em que foram criadas. Os nomes de logon de usuário podem conter até 20 caracteres maiúsculos ou minúsculos (não existe diferenciação, mas o Windows 2000 preservará a forma como for digitado). Apesar


do campo aceitar mais de vinte caracteres, o Windows 2000 só reconhecerá os primeiros vinte. Os caracteres não permitidos são: “ / \ [ ] : ; | = , + * ? < > Se existir um grande número de usuários, a convenção de nomes deve considerar os funcionários com nome igual, utilizando tratamentos como: Usar concatenações de nome e sobrenome de forma diferenciada. Por exemplo, se existirem dois Pedro Silva, utilizar PedroSil e PedroSilva. Usar números após o nome, como por exemplo Pedro1 e Pedro2. Em algumas organizações pode ser útil identificar determinados tipos de usuários pela sua conta. Para usuários temporários, por exemplo, pode-se acrescentar a letra T e um hífen no início do nome da conta de usuário: T-Pedro. 5.1.2. Diretrizes para as Senhas Para proteger o acesso ao domínio ou a um computador, todas as contas de usuário devem ter uma senha associada. Estas são as recomendações para o uso de senhas: Atribuir sempre uma senha para a conta Administrator para impedir o acesso não autorizado à conta. Na verdade, é recomendável a alteração do nome da conta Administrator. Uma vez que para obter acesso ao domínio é necessário um nome de conta e uma senha, um invasor já terá metade do que precisa se a conta Administrator permanecer com seu nome padrão. Determinar se o administrador da rede ou os usuários controlarão as senhas. É possível atribuir senhas exclusivas para as contas de usuário e impedir que os usuários as alterem, ou então pode-se permitir que os próprios usuários definam suas senhas no primeiro logon. Orientar os usuários para o uso de senhas complexas bem como manter o sigilo sobre sua senha. Algumas recomendações: Evitar senhas com associação óbvia, como o próprio nome, sobrenome ou nome de alguém da família. Usar senhas longas. As senhas no Windows 2000 podem ter até 128 caracteres, mas recomenda-se o tamanho mínimo de 8 caracteres. Usar combinações de letras maiúsculas e minúsculas e caracteres não-alfanuméricos permitidos. Os mesmos caracteres não permitidos para nomes de conta também não são permitidos nas senhas.

5.1.3. Opções de Conta As opções de conta de usuário controlam a maneira como um usuário acessa o domínio ou um computador. É possível, por exemplo, limitar as horas durante as quais um usuário pode efetuar logon no domínio e os computadores nos quais ele pode efetuar logon. Também pode-se especificar a data de expiração de uma conta de usuário.


e. Horas de Logon

É possível definir as horas de logon para os usuários que só precisam de acesso em horários específicos. Esta configuração está disponível nas propriedades de cada usuário, através do botão ‘Logon Hours’ na guia ‘Account’.

Figura 22 – Definição dos horários nos quais o usuário pode logar-se f. Computadores Permitidos para Logon3 Por padrão, os usuários podem efetuar logon em qualquer computador do domínio, mas é possível especificar os computadores nos quais os usuários podem efetuar logon. Isso ajuda a restringir o acesso a informações armazenadas localmente nos computadores do domínio. Esta configuração também está disponível nas propriedades de cada usuário, através do botão ‘Log On To’ na guia ‘Accounts’.

Figura 23 – Definição de Computadores para Logon 3

Para o funcionamento deste recurso é necessário que o NetBIOS over TCP/IP esteja disponível, caso contrário o Windows 2000 não conseguirá determinar de qual computador o usuário está tentando efetuar logon


g. Expiração de Conta A definição de uma data para expiração de uma conta é um recurso bastante útil, principalmente para utilização em contas de usuários temporários. Com esta configuração, uma data de expiração para a conta é definida e, a partir desta data, o usuário não obtém mais acesso à rede. Este recurso está acessível na guia ‘Account’ das propriedades de cada usuário.

Figura 24 – Data para expiração da conta 5.2. Contas de Usuário Local Uma conta de usuário local é uma conta que só existe em um determinado computador (Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta só deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores autônomos que não estão conectados em uma rede. Não é recomendável a criação de contas locais em computadores que façam parte de um domínio, pois o domínio não as reconhece e, como resultado, elas só conseguiriam obter acesso aos recursos do computador no qual foram criadas. As contas de usuário local residem no banco de dados SAM, que é o banco de contas de segurança local. Elas não são armazenadas no Active Directory do domínio. Além disso, as contas de usuário local possuem um menor número de propriedades que as contas de domínio.


/

0

)

#

1

! S

R* 0

- !

A :

Q0

4 I ':

$

R $

QE : , 5- *

Figura 26 – Novo usuário local Importante destacar que em um servidor Windows 2000 que seja controlador de domínio, este snap-in não estará disponível. Neste caso, devem ser criadas contas do domínio usando a ferramenta Active Directory Users and Computers, conforme será descrito posteriormente.


Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio 5.3. Contas de Usuário do Domínio Para criar contas de usuários do domínio é preciso utilizar o snap-in Active Directory Users and Computers. Este snap-in sempre estará disponível em um controlador de domínio. Já um servidor membro não terá este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do Windows 2000. Para instalar estas ferramentas, basta executar o pacote de instalação Adminpak.msi encontrado na pasta I386 do CD de instalação do Windows 2000 Server. Ao executar este pacote, a seguinte tela é exibida:

Figura 28 – Wizard para instalação das Ferramentas Administrativas Prosseguindo com a instalação, pode-se optar pela instalação ou desinstalação das Ferramentas Administrativas.


Figura 29 – Opções de instalação das Ferramentas Administrativas O programa passa então a instalar os componentes das Ferramentas Administrativas.

Figura 30 – Instalação dos componentes Uma vez concluída a instalação estarão disponíveis em um servidor membro (não controlador de domínio) as Ferramentas Administrativas do Windows 2000 e um usuário com uma conta que faça parte do grupo Domain Administrators poderá executar atividades administrativas (como a criação de usuários do domínio) neste servidor membro.


Figura 31 – Finalização da instalação O snap-in Active Directory Users and Computers permite a criação de contas de usuários do domínio4.

Figura 32 – Snap-in Active Directory Users and Computers Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usuário ou mesmo usar a Unidade Organizacional padrão Users, e no menu Action selecionar New e escolher User. A seguinte caixa de diálogo será exibida:

4 Em uma rede com vários controladores de domínio, quando uma conta de usuário do domínio é criada, ela sempre será criada no primeiro controlador disponível contatado para depois ser replicada para todos os demais controladores.


Figura 33 – Caixa para criação de uma nova conta de usuário do domínio A tabela a seguir descreve as informações que deverão ser preenchidas Opção First name Last name Full name

Descrição O primeiro nome do usuário. Este ou o último nome são requeridos O último nome do usuário. Este ou o primeiro nome são requeridos O nome completo do usuário e é preenchido automaticamente de acordo

com as informações digitadas nas caixas anteriores O nome exclusivo de logon do usuário, baseado na convenção de User logon name nomes adotada. Esta informação é requerida e precisa ser única no domínio O nome exclusivo de logon do usuário para clientes com sistemas User logon name operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou (pre-Windows 2000) 3.51. Esta informação é requerida e precisa ser única no domínio


Na tela seguinte deverá ser informada uma senha e deverão ser feitas algumas opções.

Figura 34 – Informações complementares para uma nova conta

Opção

Descrição

Password

A senha que será usada pelo usuário

Confirm password

Confirmação da senha definida na caixa anterior, para assegurar que não ocorreram erros de digitação

User must change password at Selecionar esta caixa obrigará ao usuário efetuar a troca da next logon senha No próximo logon User cannot change password

Password never expires

Account is disabled

Selecionar esta senha impedirá que o usuário proceda a troca de sua senha. Esta opção é útil quando mais de uma pessoa estiver usando a mesma conta Selecionar esta caixa fará com que a senha do usuário nunca expire, mesmo que estejam definidas diretivas que definam expirações de senhas em determinados períodos. Esta opção é útil em contas de determinados programas ou serviços Selecionar esta opção fará com que a conta não esteja disponível para uso. Esta opção é útil quando um usuário irá afastar-se por um período ou quando um novo funcionário ainda não iniciou suas atividades


Figura 35 – Finalização da criação de uma nova conta 5.3.1. Propriedades para Contas de Usuários do Domínio Um conjunto de propriedades padrão está associado a cada conta de usuário criada no domínio. Estas propriedades podem ser usadas para localizar usuários no Active Directory e, por esta razão, estas informações devem ser preenchidas para cada conta de usuário. As propriedades da conta de usuário são acessadas no snap-in Active Directory Users and Computers, clicando com o botão direito no usuário desejado e escolhendo o comando Properties.

/ @

%2 -

3 $

# #

1 $

5

, $ )

#

,

*

Guia

Finalidade

General

Documenta o nome, a descrição, o local do escritório, o número de telefone, o alias de e-mail e as


informações sobre a página inicial referentes ao usuário Address

Documenta o endereço do usuário, caixa postal, cidade, estado ou município, CEP e país

Account

Atribui o nome de logon do usuário, define opções de conta e especifica a expiração de contas

Profile

Atribui o caminho do perfil e a pasta base do usuário

Telephones

Documenta o endereço, pager, celular, fax e números de telefone IP e permite digitar observações que contêm informações descritivas sobre o usuário.

Organization

Documenta o cargo, o departamento, o gerente da empresa e os relatórios diretos do usuário

Member of

Especifica os grupos aos quais o usuário pertence

Dial-in

Define as permissões de acesso, as opções de retorno de chamada e as rotas e endereços IP estáticos

Environment

Especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon do usuário

Sessions

Especifica configurações do Terminal Services

Remote control

Especifica configurações de controle remoto do Terminal Services

Terminal Services

Define o perfil do usuário no Terminal Services

Profile

5.3.2. Cópia de Contas de Usuário do Domínio5 Para simplificar o processo de criação de novas contas de usuário de domínio é possível efetuar uma cópia de uma conta já existente. Com a cópia, uma série de propriedades da conta são copiadas para o novo usuário, evitando a necessidade de digitação de dados repetidos. As propriedades de usuário copiadas da conta de usuário de domínio existente para a nova conta são descritas a seguir:

Não é possível copiar contas de usuário em um computador com Windows 2000 Professional ou em um servidor membro do Windows 2000. A cópia só é possível em controladores de domínio.


Guia

Propriedades copiadas

General

Nenhuma

Address

Nenhuma

Account

Todas, exceto Logon Name

Profile

Todas, exceto as entradas Profile Path e Home Folder, que são alteradas para refletir o nome de logon do novo usuário

Telephones

Nenhuma

Organization

Todas, exceto Title

Member of

Todas

Dial-in

Nenhuma, as configurações padrão aplicam-se à nova conta

Environment

Nenhuma, as configurações padrão aplicam-se à nova conta

Sessions

Nenhuma, as configurações padrão aplicam-se à nova conta

Remote control

Nenhuma, as configurações padrão aplicam-se à nova conta

Terminal Services

Nenhuma, as configurações padrão aplicam-se à nova conta

Profile

O recurso de cópia de contas permite o uso de modelo de conta de usuário, que nada mais é do que uma conta de usuário padrão criada para conter as propriedades que aplicam-se aos usuários com necessidades em comum. Algumas recomendações importantes para o uso de modelos de conta são: Criar um modelo para cada categoria de funcionário ou para cada setor da empresa; Utilizar nomes nos modelos de conta que iniciem com caractere não-alfabético, como o caractere de sublinhado ( _ ), já que desta forma os modelos sempre aparecerão juntos na parte superior da lista do painel de detalhes da janela do Active Directory Users and Computers; P

4 /

5 9 !

=

A $

! @ -

*

"

$

@ -


6. Gerenciamento de Grupos Um grupo é uma coleção de contas de usuários usada para gerenciar o acesso de usuários a recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a administração permitindo associar permissões e direitos a grupos de usuários em vez de associar a cada usuário individualmente. Usuários podem ainda participar de vários grupos simultaneamente.

6.1. Grupos em um Domínio As características dos grupos em um domínio são: São criados somente em controladores de domínio; Residem no serviço de diretório do Active Directory; São usados para conceder permissões a recursos e direitos para tarefas do sistema em qualquer computador do domínio; Os grupos em um domínio podem diferir quanto ao tipo a ao escopo. Esta última característica merece um melhor detalhamento, uma vez que é importante conhecer as diferenças entre os tipos de grupos e os escopos de grupos.

6.1.1. Tipos de Grupos Há dois tipos de grupo no Active Directory: Grupos de segurança: usados para fins relacionados à segurança, como a concessão de permissões para acesso a recursos. Grupos de distribuição6: usados pro aplicativos como listas para funções não relacionadas à segurança, como o envio de mensagens de e-mail para grupos de usuários. Não é possível conceder permissões a grupos de distribuição.

6.1.2. Escopos de Grupos 3 -

$ $

$ '

#

* 8!

$ $

&

'

N ;S -

E

9 :

/ *

'

6 Somente programas que foram desenvolvidos para trabalhar com os serviços do Active Directory podem usar grupos de distribuição.


Usados para organizar os usuários que compartilham requisitos semelhantes de acesso à rede. É possível utilizar um grupo global para conceder permissões de acesso a recursos localizados em qualquer domínio. Têm participação limitada. Pode-se adicionar contas de usuário e grupos globais somente provenientes do domínio em que o grupo global foi criado. Podem ser aninhados em outros grupos. Essa função permite adicionar um grupo global a outro no mesmo domínio ou a grupos de domínio local e universal de outros domínios.

i. Grupos Locais Usados para conceder permissões a recursos de domínio localizados no mesmo domínio em que o grupo de domínio local foi criado. Os recursos não precisam residir em um controlador de domínio. Têm participação aberta. Pode-se adicionar contas de usuário, grupos universais e globais de qualquer domínio. Não podem ser aninhados em outros grupos, significando que não é possível adicionar um grupo de domínio local a nenhum grupo, nem aos localizados no mesmo domínio. j. Grupos Universais7 Concedem permissões a recursos relacionados em vários domínios. Devem ser usados para conceder permissões de acesso a recursos localizados em qualquer domínio. Têm participação aberta. Todas as contas de usuário e grupos de domínio podem ser participantes. Podem ser aninhados em outros grupos de domínio. Essa capacidade permite adicionar um grupo universal a grupos de domínio local ou universal em qualquer domínio. 6.1.3. Estratégias de Grupos Uma estratégia bastante recomendada pela Microsoft para uso de grupos em um domínio único é conhecida como A G L P. Consiste em colocar as contas de usuário (A, de Account) em grupos globais (G), colocar os grupos globais em grupos de domínio local (L) e conceder permissões (P) ao grupo de domínio local. Um exemplo desta estratégia seria o seguinte: Em uma empresa seria recomendável identificar os usuários com responsabilidades comuns e adicionar suas contas de usuário a um grupo global. Por exemplo, poderiam ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing). 7 Só estarão disponíveis quando o domínio estiver no modo nativo. O modo nativo será ativado quando todos os controladores de domínio estiverem executando o Windows 2000.


Nesta mesma empresa existirá uma impressora laser colorida que poderá ser usada pelos diretores e pelos funcionários do marketing. Poderia então ser criado um grupo de domínio local chamado Usuarios Laser Colorida. Os grupos globais Diretoria e Marketing seriam então incluídos no grupo de domínio local Usuarios Laser Colorida. Por fim a impressora seria compartilhada e seriam concedidas as permissões adequadas para o grupo de domínio local Usuarios Laser Colorida. Antes da criação de um novo grupo de domínio local é recomendável verificar se já não existe um grupo de domínio local interno que atenda as necessidades. Por exemplo, se o administrador precisa de um grupo para incluir as contas de usuários que executarão o backup diário, não será necessário criar um novo grupo. Basta utilizar o grupo de domínio local interno Backup Operators.

6.1.4. Criação de Grupos de Domínio Para criar-se grupos em um domínio utiliza-se o snap-in Active Directory Users And Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra Unidade Organizacional criada pelo administrador. Com o botão direito do mouse sobre a Unidade Organizacional desejada escolhe-se a opção New e o comando Group, surgindo então a seguinte caixa de diálogo.

Figura 37 – Criação de um novo grupo Opção

Descrição

Group name

Nome do novo grupo, que deve ser exclusivo no domínio em que o grupo for criado

Group name (pre-Windows 2000) Nome usado para dar suporte a clientes e servidores de versões anteriores do Windows Group scope

Escopo do grupo. Lembrando que a opção Universal só estará disponível em redes formadas por mais de um


domínio e que estejam funcionando em modo nativo Group type

Tipo de grupo

k. Inclusão de Participantes Para incluir participantes em um grupo também utiliza-se o snap-in Active Directory Users and Computers clicando nas propriedades do grupo desejado (botão direito do mouse).

Figura 38 – Inclusão de participantes em um grupo global Nesta caixa de diálogo, obtém-se acesso à lista de objetos que podem ser incluídos no grupo (neste exemplo um grupo global) clicando-se em Add.

/

G

%4 (

, *

*5

N

6

#

#

#

$

/

,

# ,


Figura 40 – Propriedades do usuário

7. Segurança do Sistema de Arquivos

O compartilhamento de pastas é a única forma de tornar pastas e seus conteúdos disponíveis através da rede. As pastas compartilhadas provêm um caminho seguro para recursos de arquivos e podem ser usadas em partições FAT16 ou FAT32, como também em partições NTFS (os volumes NTFS oferecem ainda uma segurança adicional que será apresentada mais adiante). 7.1. Pastas Compartilhadas Quando uma pasta é compartilhada, usuários podem conectar-se a ela através da rede e obter acesso aos arquivos que ela contém. Contudo, para obter acesso aos arquivos os usuários devem ter as permissões apropriadas sobre o compartilhamento. As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um usuário. O uso de pastas de aplicativo compartilhadas centraliza a administração, permitindo instalar e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso de pastas de dados compartilhadas fornece um local central para que os usuários obtenham acesso a arquivos em comum e facilita o backup dos dados contidos nesses arquivos. 7.1.1. Permissões de Pastas Compartilhadas Conforme já comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados pessoais de usuários (pastas base ou home folders). Cada tipo de dado pode exigir diferentes permissões de compartilhamento. As permissões de pastas compartilhadas apresentam as seguintes características em comum: As permissões são aplicadas à pastas, não a arquivos individuais. Uma vez que uma pasta tenha sido compartilhada todos os usuários com permissão para tal terão acesso a


todo o conteúdo da pasta. Uma segurança adicional poderá ser obtida através das permissões NTFS apresentadas mais adiante. As permissões de pastas compartilhadas não restringem o acesso de usuários que estão utilizando localmente o computador onde as pastas estão armazenadas. As permissões aplicamse somente a usuários que conectam-se à pasta através da rede. Permissões de compartilhamento de pastas são o único caminho para obter segurança em volumes FAT. A permissão padrão em pastas compartilhadas é Full Control para o grupo Everyone. Se algum nível de segurança é desejado esta permissão deve ser excluída e as permissões apropriadas devem ser atribuídas. Uma pasta compartilhada é exibida com uma mão sob seu ícone, conforme mostrado abaixo:

Figura 41 – Pasta compartilhada A tabela a seguir descreve as permissões e o que cada usuário pode fazer uma vez que tenha recebido a permissão: 5

7

1

5-

2

/ /

-

5

/

? 0?

$

0

/

L

0

T / 5 ! 2

@

/ T /

5 %

T

T

5

%

% /

T / A

/ # 0?

$

2

l. Múltiplas Permissões Um usuário pode ser membro de vários grupos, cada um com diferentes permissões em uma determinada pasta compartilhada. As permissões efetivas de um usuário para um recurso são a combinação das permissões concedidas ao próprio usuário e a todos os grupos dos quais ele faça parte. Por exemplo, se um usuário tiver a permissão Read para uma pasta compartilhada e for participante de um grupo que tenha a permissão Change para a mesma


pasta, a permissão efetiva do usuário será Change, a qual já inclui as propriedades da permissão Read. A exceção para esta regra é a permissão Deny. Esta permissão substitui qualquer permissão definida para contas de usuário e grupos. m. Requisitos para Compartilhamento de Pastas No Windows 2000, os únicos grupos que podem compartilhar pastas são Administratos, Server Operators e Power Users. Esses grupos são contas padrão instaladas na pasta Users do Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os requisitos para compartilhamento de pastas são: Em um domínio Windows 2000 podem compartilhar pastas membros dos grupos Administrators e Server Operators. Em servidores membro ou estações com Windows 2000 Professional que façam ou não parte de um domínio, os membros dos grupos Administrators e Power Users podem compartilhar pastas residentes no próprio computador. Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e Power Users podem compartilhar pastas nos próprios computadores. n. Criação de Compartilhamento de Pastas Para criar uma pasta compartilhada basta clicar com o botão direito do mouse na pasta desejada (no Windows Explorer) e, em seguida, clicar em Sharing.

/

"

#

#

$

#

Opção

Descrição

Share this folder

Clicar para compartilhar a pasta

Share name

Nome que os usuários remotos usam para estabelecer uma


conexão com a pasta compartilhada Comment

Descrição opcional para o nome da pasta compartilhada

User limit

Número de usuários que podem conectar-se simultaneamente à pasta compartilhada. Se for escolhido Maximum Allowed, o Windows 2000 ou Windows 2003 Windows Professional ou XP dará suporte a até dez conexões, enquanto que o Windows Server poderá dar suporte a tantas conexões quanto o número de licenças adquiridas

Permissions

Define as permissões de pasta compartilhada. Por padrão, a permissão Full Control é concedida ao grupo Everyone para todas as novas pastas compartilhadas

Figura 43 – Permissões padrão para pasta compartilhada Esta caixa de diálogo, acessível a partir do botão Permissions, permite definir outras permissões para a pasta compartilhada bem como excluir a permissão padrão.

7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas Uma vez compartilhada uma pasta, os usuários que receberam as permissões para tal poderão conectar-se ao compartilhamento e utilizar os arquivos lá armazenados. São quatro as formas dos usuários obterem acesso a uma pasta compartilhada em outro computador: o. My Network Places Usando o My Network Places basta navegar pela rede até o computador que contém a pasta desejada e, por fim, acessar a pasta.


Figura 44 – My Network Places Nota: Quando uma pasta compartilhada na rede é aberta o Windows 2000 a adiciona automaticamente a My Network Places. p. Map Network Drive Mapeando uma unidade de rede uma letra de unidade e um ícone serão associados a uma pasta compartilhada específica. Isto facilita a referência ao local de um arquivo em uma pasta compartilhada. Por exemplo, em vez de apontar para \\Servidor\Compartilhamento\Arquivo, pode-se apontar para Unidade:\Arquivo. As letras de unidades fornecem um acesso mais rápido e fácil do que os caminhos do tipo convenção universal de nomenclatura (UNC). Para mapear uma unidade de rede, basta seguir as seguintes etapas: Com o botão direito do mouse em My Network Places escolher a opção Map Network Drive. Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada. Digita-se o nome da pasta compartilhada ou utiliza-se o botão Browser para localizá-la. Se desejar-se utilizar esta conexão de forma recorrente mantém-se a opção Reconnect at logon selecionada.

Figura 45 – Mapeamento de unidade de rede


q. Comando Run A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o caminho UNC na caixa Open, conforme mostrado abaixo:

Figura 46 â&#x20AC;&#x201C; Comando Run r. Comando Net Use


Uma outra forma de executar um mapeamento de unidade de rede é o comando Net use que possui a seguinte sintaxe básica: Net use letra_da_unidade: \\servidor\compartilhamento Para conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt de comando.

8. Conexão de Clientes ao Windows 2000 ou 2003

Conforme já comentado, o Windows 2000 suporta conexões de clientes com diferentes sistemas operacionais. Para implementações do Windows 2000 Professional estão disponíveis vários recursos, até mesmo para instalação automatizada. Já para clientes como o Windows 9x, o procedimento é idêntico ao aplicado na configuração de acesso à redes baseadas no Windows NT Server 4.0. 8.1. Configurando Clientes Windows 9x Veremos agora como configurar clientes com Windows 9x para que passem a conectar-se a um domínio Windows 2000. Todas as configurações necessárias são executadas nas propriedades do Ambiente de Rede.

Figura 47 – Propriedades de rede do Windows 9x Se o componente Cliente para Redes Microsoft não estiver instalado, deve-se proceder sua instalação clicando no botão Adicionar e, na tela mostrada a seguir, selecionando o tipo de componente Cliente.


Figura 48 – Seleção do tipo de componente de rede Uma vez escolhido o componente Cliente, deve-se escolher o cliente de rede correto: Cliente para rede Microsoft.

Figura 49 – Seleção do cliente de rede da Microsoft Uma vez instalado o Cliente para redes Microsoft, pode-se proceder a configuração para conexão ao domínio Windows 2000. Obtêm-se acesso a esta configuração através das propriedades do Cliente para redes Microsoft. Conforme mostrado na caixa de diálogo a seguir, deve ser informado o nome NetBIOS do domínio Windows 2000 ao qual o cliente efetuar a conexão.

Figura 50 – Definição da validação de logon no domínio


Diferentemente de uma máquina Windows NT ou Windows 2000, uma máquina Windows 9x não precisa pertencer a um domínio específico para poder efetuar logon neste mesmo domínio. Isso permite que o cliente esteja em um grupo de trabalho, mas ainda possa efetuar logon em qualquer domínio. Mas se pretende-se que os computadores da rede sejam exibidos dentro do domínio no Ambiente de Rede, na caixa ‘Grupo de trabalho’ na guia Identificação deverá ser informado o nome o domínio Windows 2000 ou 2003.

Figura 51 – Definição do grupo de trabalho Adicionalmente poderá ser interessante optar-se pelo controle de acesso em nível de usuário, acessível a partir da guia ‘Controle de acesso’. Desta forma será possível compartilhar recursos (como arquivos e impressoras) nas estações de trabalho utilizando-se os grupos e usuários do domínio ao invés de definir-se senhas para cada compartilhamento.

Figura 52 – Definição do controle de acesso


8.2. Configurando Clientes Windows 2000 Professional Veremos agora como configurar clientes com Windows 2000 Professional para que passem a conectar-se a um domínio Windows 2000. Todas as configurações necessárias são executadas nas propriedades do Ambiente de Rede.

Figura 53 – Propriedades de Meu Computador do Windows 2000 Para a configuração do domínio ou grupo de trabalho, as informações serão fornecidas na ‘Identificação de rede’, conforme é apresentado na figura abaixo:

Figura 54 – Identificação de rede das Propriedades do Meu Computador Para que um computador usando Windows 2000 seja renomeado ou ingressar em um domínio, é necessário clicar no botão ‘Propriedades’ da Identificação de Rede. Assim podemos alterar algumas as propriedade de identificação do computador na rede, como mostra a figura a seguir:


Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000) Assim é possível trocar o nome de um computador, colocá-lo em um grupo de trabalho, ou mesmo colocá-lo para trabalhar em um domínio Windows 2000. Para adicionar ao domínio Windows 2000 será necessário informar a senha de um usuário com privilégios administrativos no domínio utilizado.

9. Visão Geral sobre TCP/IP no Windows 2000

Conforme já comentado, o protocolo TCP/IP é o protocolo padrão do Windows 2000, até mesmo por ser o mais usado nas redes de todo o mundo além da Internet. O Windows 2000 instala o TCP/IP automaticamente como o protocolo padrão durante a instalação (se um adaptador de rede for detectado). No entanto, se o TCP/IP não tiver sido instalado durante a instalação, será possível instalá-lo manualmente. Estes são os procedimentos: Botão direito do mouse em My Network Places e, em seguida, Properties;

Figura 56 – Ícone My Network Places Na janela Network and Dial-up Connections, utilizar o botão direito do mouse sobre a conexão local desejada e escolher Properties;


Figura 57 – Janela Network and Dial-up Connections Uma vez constatado que o Internet Protocol (TCP/IP) realmente não está instalado, clicar no botão Install;

Figura 58 – Caixa de diálogo das propriedades da conexão local Uma vez selecionado o componente de rede Protocol, clicar em Add;

Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede Na caixa de diálogo Select Network Protocol, escolher o TCP/IP e confirmar.


9.1. Endereço IP Dinâmico: DHCP Diferente do protocolo NetBEUI, o TCP/IP exige um certo nível de configuração para o seu correto funcionamento. Para facilitar estas configurações existe o DHCP (Dynamic Host Configuration Protocol), que possibilita o fornecimento automático de um endereço IP para computadores de uma rede. É importante destacar que o computador configurado como servidor DHCP deverá possuir um endereço IP definido manualmente. Um servidor DHCP pode fornecer automaticamente, além do endereço IP, outras informações de configuração como o endereço IP do servidor DNS, o servidor WINS e o gateway padrão. O processo usado por um servidor DHCP para fornecer o endereço IP automaticamente é o seguinte: O computador cliente solicita um endereço IP ao servidor DHCP; O servidor DHCP fornece o endereço IP aos computadores cliente. No Windows 2000, o local onde é definido se um computador utilizará um endereço IP estático ou será um cliente DHCP é na caixa de diálogo Internet Protocol (TCP/IP) Properties, acessível a partir do botão Properties do protocolo TCP/IP na caixa de diálogo Local Area Connection Properties (Figura 58).

Figura 60 – Propriedades do protocolo TCP/IP Se um computador Windows 2000 for configurado como um cliente DHCP, mas por algum motivo não conseguir obter um endereço de um servidor DHCP, um endereço é automaticamente atribuído. Este recurso conhecido como Automatic Private IP Adressing fornece somente um endereço IP e uma mascara de sub-rede, e não informações adicionais como o gateway padrão. Quando um computador cliente DHCP sem um endereço IP é iniciado, o seguinte ocorre: O computador cliente tenta localizar um servidor DHCP e obter informações sobre a configuração do IP a partir desse servidor;


Se um servidor DHCP não for encontrado, o computador cliente automaticamente configurará seu endereço IP e a mascara de sub-rede usando um endereço selecionado da rede de classe B, reservada para a Microsoft, 169.254.0.0, com a máscara de sub- rede 255.255.0.0. 9.2. Endereço IP Estático Mesmo em uma rede que esteja executando o serviço do servidor DHCP, haverá momentos em que talvez seja necessário configurar endereços IP estáticos manualmente para determinados computadores da rede. Por exemplo, um computador que execute o serviço do servidor DHCP não pode ser configurado para receber um endereço IP automático. Além disso, um servidor de correio ou servidor Web talvez precise manter o mesmo endereço IP, portanto estes computadores devem utilizar um endereço IP estático. 9.2.1. Configuração de Endereços IP Estáticos Ao configurar um endereço IP estático, devem ser fornecidas a máscara de sub-rede e o gateway padrão além do próprio endereço IP para cada adaptador de rede de um computador que esteja usando TCP/IP. A tabela a seguir descreve as definições de configuração do TCP/IP. ,

*5

,

*5

*5 :

6) @

-

5 *

* *

#

? G0)>6)* 0 G0)>6) / 6) # ; # ! / # ! ? / 5 # ! , -

5

/ *0

# # *

/ /

? ? *

N# !

#

*I ?

! 8 -

/

U

-

,* @

$ ,

-

/ V

/ #

6) !

S

' W

#

?

, ,

3

/ / #$

?

,

: ! -

6) *:

N# #

*: H ?

*

*

!

$ ? ,

?

/

? 1 #

-

,

%

$

' W

/

*

8 Se dois ou mais computadores executando o Windows 2000 tiverem o mesmo endereço IP, será apresentada uma mensagem de aviso nos dois computadores e desativará o TCP/IP no computador com o endereço IP duplicado. A mensagem de aviso é exibida quando o computador é ligado e continua a ser exibida na inicialização até o endereço IP ser alterado ou o computador com endereço duplicado ser removido. Os computadores que executam outros sistemas operacionais podem não fornecer o mesmo mecanismo para detectar conflitos de endereços IP.


Figura 61 – Caixa de diálogo para configuração de endereço IP estático 9.3. Verificação da Configuração TCP/IP Após a conclusão da configuração do TCP/IP, alguns comandos podem ser úteis para realização de testes de funcionalidade ou depuração de problemas a fim de assegurar que o computador possa se comunicar usando este protocolo. O primeiro comando é ipconfig (o uso de letras maiúsculas ou minúsculas não faz diferença). Este comando exibe informações sobre a configuração do TCP/IP no computador no qual é executado e determina se o computador foi inicializado com TCP/IP. Com o uso do comando ipconfig /? são mostradas a sintaxe e todas as opções deste comando. As principais são: /All Exibe informações mais completas sobre as configurações TCP/IP de todos os adaptadores de rede do computador. /Release Usado apenas em clientes DHCP, permite liberar um endereço IP obtido de um servidor DHCP. /Renew Também usado em clientes DHCP, faz com que o computador cliente tente obter uma renovação do atual endereço IP concedido ou um novo endereço IP. O outro comando bastante utilizado é Ping, que é uma ferramenta de diagnóstico que pode ser usada para testar as configurações de TCP/IP entre dois computadores e diagnosticar falhas de conexão. Com o uso do comando ping /? são exibidas a sintaxe e as opções deste comando. 9.3.1. Depurando Problemas com o Protocolo TCP/IP O uso combinado dos comandos Ipconfig e Ping permite testar a configuração IP do computador local e a conexão IP entre dois computadores na rede. As etapas descritas a seguir devem ser seguidas em um processo de depuração de problemas com endereços IP. Utilizar o comando Ipconfig, a partir do prompt de comando. O resultado será o seguinte:


o Se o TCP/IP tiver sido inicializado corretamente, o comando Ipconfig exibirá o endereço IP e uma máscara de sub-rede para cada adaptador de rede do computador. Esse comando também exibe outras configurações como o gateway padrão. o Se houver um endereço IP duplicado, o comando indicará que o endereço IP está configurado, no entanto, a máscara de sub-rede é 0.0.0.0, o que indica que o endereço IP do computador está sendo usado na rede. o Se o endereço exibido for 169.254.x.x, isso significa que o computador não está recebendo um endereço IP de um servidor DHCP e, em vez disso, está recebendo um endereço através do Automatic Private IP Addressing. Um Automatic Private IP Addressing sempre tem uma identificação de rede 169.254.0.0. Executar o comando Ping com o endereço de auto-retorno (Ping 127.0.0.1) para verificar se o TCP/IP está instalado corretamente. Um endereço de auto-retorno é aquele que o computador utiliza para identificar-se. Executar o comando Ping com o endereço IP do computador local para verificar se o endereço IP está configurado corretamente. Executar o comando Ping com o endereço IP do gateway padrão para verificar se o computador pode se comunicar com a rede local. Executar o comando Ping com o endereço IP de um host remoto para verificar se o computador pode se comunicar através de um roteador. Para exemplificar, vamos supor que o seguinte comando Ping tenha sido executado: Ping 192.168.0.121 Se este comando obtiver êxito, a seguinte mensagem será exibida quatro vezes: Reply from 192.168.0.121 Esta mensagem será seguida ainda de algumas informações estatísticas. Já se o comando supra citado não obtiver êxito, a seguinte mensagem será exibida: Destination host unreachable

10.

DHCP Service

DHCP é um padrão TCP/IP para simplificar o gerenciamento de configurações IP. Cada vez que um cliente DHCP inicia, ele requisita informações de endereçamento IP para um servidor DHCP. Estas informações de endereçamento incluem informações como: Um endereço IP Uma máscara de sub-rede


Valores opcionais, como o endereço do gateway padrão, o endereço do servidor DNS ou o endereço do servidor WINS Quando um servidor DHCP recebe uma requisição para um endereço IP, ele seleciona informações de endereçamento IP a partir de um escopo de endereços definidos em seu banco de dados e oferece as informações ao cliente DHCP. Se o cliente aceita a oferta, o servidor DHCP concede as informações de endereçamento IP para o cliente por um período específico. 10.1. Instalação e Configuração do DHCP Service Para implementar DHCP é preciso instalar e configurar o DHCP Service em pelo menos um computador executando Windows 2000 Server em uma rede TCP/IP. O servidor poderá ser um controlador de domínio ou um servidor membro. Um servidor DHCP requer um computador executando o Windows 2000 Server configurado com as seguintes características: Um endereço IP estático, máscara de sub-rede, gateway padrão (se necessário) e outros parâmetros TCP/IP. Um servidor DHCP não pode ser um cliente DHCP; O DHCP Service corretamente instalado e configurado; Um escopo DHCP ativado, Um escopo é uma faixa de endereços IP que estarão disponíveis para serem concedidos aos clientes. Uma vez que um escopo é criado ele pode ser ativado; Uma autorização, uma vez que o servidor DHCP precisa estar autorizado no Active Directory. Um cliente DHCP requer um computador que esteja com o uso do DHCP habilitado e executando qualquer um dos sistemas operacionais suportados: Windows 2000 Windows NT Server 3.51 ou superior Windows NT Workstation 3.51 ou superior Windows 9x Windows for Workgroups 3.11 executando o Microsoft TCP/IP – 32 Microsoft Network Client 3.0 for Microsoft MS-DOS com drivers TCP/IP real mode LAN Manager versão 2.2c para MS-DOS (LAN Manager 2.2c para OS/2 não é suportado) 10.1.1. Instalação do DHCP Service Para instalar o DHCP Service, utiliza-se o utilitário Add/Remove Programs no Control Panel. O botão Add/Remove Windows Components fornece acesso à caixa de diálogo Windows Components Wizard.


/ I

2

3 5

1

# I ' U8

8 - ! 1

*

Figura 63 – Caixa de diálogo Networking Services Uma vez selecionado o item Dynamic Host Configuration Protocol, pode-se confirmar a instalação do DHCP Service. 10.1.2. Configuração do Servidor DHCP Todas as tarefas de configuração e gerenciamento do DHCP Service são executadas no snap-in DHCP. Neste snap-in obtém-se acesso a informações detalhadas sobre os escopos DHCP e suas opções.


Figura 64 – Snap-in DHCP O primeiro passo na configuração de um servidor DHCP é a criação do escopo. Este precisa ser criado para que o servidor DHCP possa começar a conceder informações de endereçamento IP para os clientes DHCP da rede. Um escopo nada mais é do que uma faixa de endereços IP disponíveis para concessão. Quando um escopo é criado, as seguintes recomendações devem ser observadas: É preciso criar pelo menos um escopo para cada servidor DHCP; Os endereços IP de hosts com endereços estáticos precisam ser excluídos do escopo; Podem ser criados múltiplos escopos em um servidor DHCP para centralizar administração e associar endereços IP específicos para cada subrede. Só é possível associar um único escopo para uma sub-rede específica; Servidores DHCP não compartilham informações. Como resultado, quando são criados escopos em múltiplos servidores, é preciso assegurar que o mesmo endereço IP não exista em mais do que um escopo para prevenir endereços IP duplicados. As informações descritas a seguir serão necessárias no processo de criação do escopo. Parâmetro

Descrição

Name

O nome do escopo

Description

Uma descrição opcional para o escopo

Start IP Address

O endereço IP inicial de uma faixa de endereços que podem ser concedidos aos clientes DHCP

End

IP

Address O endereço IP final de uma faixa de endereços que podem ser concedidos aos clientes DHCP

Subnet Mask

A máscara de sub-rede associada aos clientes DHCP

Start IP Address (for O endereço IP inicial da faixa que será excluída do escopo. Os excluded range) endereços na faixa de exclusão não serão concedidos a clientes DHCP Ende IP Address O endereço IP inicial da faixa que será excluída do escopo (for excluded range)


Lease Duration

O número de dias, horas e minutos que a concessão de IP para o cliente DHCP estará válida antes que precise ser renovada

Para criar um escopo seleciona-se o comando New Scope no menu Action, obtendo-se então acesso a um Wizard que possibilitará o fornecimento de informações para o novo escopo.

Figura 65 – Auxiliar para criação de escopo a. Opções DHCP Uma vez que o escopo tenha sido criado com sucesso, pode-se ainda configurar opções para os clientes DHCP. Estas opções permitem o fornecimento de informações adicionais (além do endereço IP e da máscara de sub-rede) como Gateway padrão, servidores DNS e servidores WINS. Algumas das principais opções são: Opção

Descrição

003 Router

O endereço IP do roteador da rede, ou seja, o endereço do gateway padrão. Um gateway padrão definido localmente no computador cliente terá predominância sobre esta opção DHCP. Para assegurar que será utilizada a opção DHCP deve-se verificar se a caixa Default Gateway no computador cliente está vazia

044 WINS/NBNS Servers

O endereço IP de um servidor WINS disponível na rede. Um servidor WINS definido manualmente no cliente sobrepõemse ao valor configurado nesta opção

046 WINS/NBT Node Type O tipo de resolução de nomes NetBIOS usada pelo cliente. As opções são 1 =B-node (broadcast), 2 = P-node (peer), 4 = Mnode (mixed) e 8 = H-node (hybrid)


10.1.3. Autorização do Servidor DHCP Um servidor DHCP precisa ser autorizado no Active Directory antes que ele possa iniciar a concessão de endereços IP para os clientes. A autorização é uma precaução de segurança para garantir que somente servidores DHCP autorizados estejam em execução na rede. Para autorizar um servidor DHCP, seleciona-se o domínio no árvore do snap-in e então escolhe-se Authorize no menu Action.

11.

WINS

O serviço WINS provê um banco de dados distribuído para registro e consulta de mapeamentos dinâmicos de nomes NetBIOS para computadores e grupos da rede. NetBIOS foi desenvolvido para a IBM em 1983 pela Sytek Corporation para permitir que aplicações comunicassem sobre a rede. Um nome NetBIOS é um endereço único de 16 bytes usado para identificar um recurso NetBIOS na rede. Este nome pode ser único (exclusivo) ou de grupo (não exclusivo). Nomes únicos são tipicamente usados para envio de comunicações de rede para um processo específico em um computador. Nomes de grupo são usados para envio de informações para múltiplos computadores ao mesmo tempo. Um exemplo de um processo que usa nomes NetBIOS é o serviço File and Printer Sharing for Microsoft Networks em um computador rodando Windows 2000. Quando um computador inicia, este serviço registra um nome único baseado no nome do computador. O nome exato usado pelo serviço é formado pelos 15 caracteres do nome do computador seguido de um 16º caractere (0x20). Se o nome do computador não possui 15 caracteres são colocados espaços até este número. A resolução de nomes NetBIOS é o processo de mapeamento de nomes NetBIOS de computadores para endereços IP. Um nome NetBIOS de computador precisa ser resolvido para um endereço IP antes que o endereço IP seja resolvido para um endereço de hardware. A implementação de TCP/IP da Microsoft usa diversos métodos para resolver nomes NetBIOS; contudo, o mecanismo exato pelo qual os nomes NetBIOS são resolvidos para endereços IP depende do tipo de nó (node type) configurado. A RFC 1001, “Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods”, define os tipos de nó NetBIOS, conforme listado na tabela abaixo: Node Type

Descrição

B-node (broadcast)

B-node usa broadcast para consultas de nomes NetBIOS para registro e resolução

P-node (peer-peer)

P-node usa um servidor de nomes NetBIOS, como o servidor WINS, para resolução de nomes. P-node não usa broadcast; em vez disso consulta diretamente com o servidor de nomes

M-node (mixed)

M-node é uma combinação de B-node e P-node. Por padrão, um


M- node funciona como um B-node. Se um M-node não consegue resolver um nome através de broadcast, ele então consulta um servidor de nomes H-node

0

&

#$ ?

(hybrid) H-node é uma combinação de P-node e B-node. Por padrão um Hnode funciona como um P-node. Se um H-node não consegue resolver um nome através do servidor de nome NetBIOS, ele usa então broadcast

' ! C &6I8* & ' E4B38G8 I C638 X& X8W X1 X 5 .E4B38G8*8@47*

! *3 / , A

B A E4B38G8

/ /

! A /

Existem diversas vantagens no uso de WINS. A primeira vantagem é que a requisição para resolução de nomes é enviada diretamente do cliente para o servidor WINS. Se o servidor WINS resolve o nome, ele envia o endereço IP diretamente para o cliente. Como resultado, não é necessário o envio de broadcasts pela rede. Contudo, se o servidor WINS não estiver disponível, o cliente poderá ainda usar broadcast na tentativa de resolver o nome. Outra vantagem do uso de WINS é que o seu banco de dados é atualizado dinamicamente, logo estará sempre atualizado. Isto eliminará a necessidade de arquivos LMHOSTS. O processo de registro e consulta de nomes pelos clientes é bastante simples: Em um ambiente WINS , cada vez que o cliente inicia, o mapeamento do seu nome NetBIOS e seu endereço IP é registrado no servidor WINS configurado; Quando um cliente WINS iniciar um comando de comunicação com outro host, a consulta de nome é enviada diretamente para o servidor WINS em vez de ser enviada para toda a rede através de broadcast; Se o servidor WINS encontra um mapeamento de nome NetBIOS e endereço IP em seu banco de dados para o host consultado, esta informação é retornada ao cliente WINS que requisitou a consulta. 11.1. Implementação de WINS Antes de implementar um servidor WINS em um ambiente é preciso primeiro analisar se este serviço será realmente necessário para o melhor funcionamento da rede. Para tal, algumas questões devem ser consideradas: Existem clientes legados ou aplicações que requerem o uso de nomes NetBIOS? É importante lembrar que todas os computadores da rede que rodem versões prévias dos sistemas operacionais Microsoft, como as versões do MS-DOS, Windows ou Windows NT requerem suporte para nomes NetBIOS para prover serviços básicos de arquivo e impressão na rede e para suportar muitas aplicações legadas. Windows 2000 é o primeiro sistema operacional da Microsoft que não requer o use de nomes NetBIOS.


Todos os computadores da rede estão configurados e aptos para suportar outro tipo de resolução de nomes, como o DNS? Resolução de nomes é ainda um serviço vital para localização de computadores e recursos através da rede, mesmo quando nomes NetBIOS não são requeridos. Antes de decidir eliminar o suporte a nomes NetBIOS através do WINS é preciso ter certeza que todos os computadores e programas na rede estarão aptos a funcionar usando outro serviço de resolução de nomes, como o DNS. A rede é pequena ou é uma subrede roteada com múltiplas subredes? Se tratar-se de uma pequena rede local (LAN) que ocupa um segmento físico de rede e tem menos de 50 clientes, provavelmente não será necessário o uso de servidor WINS. 11.1.1. Considerações sobre Servidores WINS Mesmo em redes roteadas, formadas por múltiplas subredes, somente um servidor WINS poderá ser necessário uma vez que as requisições para resolução de nomes são datagramas direcionados que podem ser roteados. O uso de dois servidores WINS poderá ser interessante como uma forma de backup para tolerância a falhas. Se um servidor tornar-se indisponível, o segundo servidor poderá ser usado na resolução de nomes. Também deve-se considerar as seguintes recomendações para servidores WINS: Não existe limite para o número de requisições WINS que podem ser atendidas por um servidor WINS, mas geralmente poderão ser gerenciados 1500 registros e cerca de 4500 consultas por minuto; Uma recomendação conservadora recomenda um servidor WINS e um backup para cada10.000 clientes WINS. Computadores com múltiplos processadores demonstram uma melhoria de performancede aproximadamente 25% para cada processador adicional, já que processos WINS separados são iniciados para cada processador. Se o log da mudanças no banco de dados é desabilitado (através do WINS Manager), os registros de nome são mais rápidos, mas se uma falha ocorrer, existe o risco de perda das últimas atualizações. Para que o serviço WINS possa ser configurado é necessário pelo menos um computador na rede rodando Windows NT Server ou Windows 2000 Server (não é necessário que seja um controlador de domínio). O servidor precisa ter um endereço IP, máscara de subrede e, opcionalmente gateway padrão e outros parâmetros TCP/IP. O servidor WINS poderá ser um cliente DHCP, muito embora não seja recomendável. O cliente WINS poderá ser um computador rodando os seguintes sistemas operacionais: Windows 2000 Windows NT 3.5 ou superior


Windows 9x Windows for Workgroups rodando Microsoft TCP/IP-32 Microsoft Network Client 3.0 for MS-DOS LAN Manager 2.2c for MS-DOS O cliente precisa ter configurado o endereço IP de um servidor WINS primário ou um servidor primário e um secundário. 11.1.2. Instalação do WINS Para instalar o WINS, utiliza-se o utilitário Add/Remove Programs no Control Panel. O botão Add/Remove Windows Components fornece acesso à caixa de diálogo Windows Components Wizard.

Figura 66 – Caixa de diálogo Windows Components Wizard Nesta caixa, deve-se selecionar o item Network Services e clicar no botão Details.

Figura 67 – Caixa de diálogo Networking Services Uma vez selecionado o item Windows Internet Name Service (WINS), pode-se confirmar a instalação do WINS.


11.1.3. Configuração do Servidor WINS Na maioria dos ambientes o WINS funcionará perfeitamente sem que nenhuma configuração adicional seja necessária. O que pode ser necessário em algumas situações é a inclusão de mapeamentos estáticos no banco de dados. Estes mapeamentos são necessários quando precisa-se adicionar o mapeamento de nome NetBIOS para endereço IP de um computador que não opera como cliente WINS. Por exemplo, servidores rodando outros sistemas operacionais (Unix ou outros) não podem registrar um nome NetBIOS diretamente em um servidor WINS. Embora estes nomes possam ser resolvidos através de um arquivo LMHOSTS ou consultando um servidor DNS deve-se considerar o uso de mapeamentos estáticos. Para configurar um mapeamento estático utiliza-se o snap-in WINS em Administrative Tools, onde deve-se selecionar o item Active Registration com o botão direito e escolher o comando New Static Mapping, conforme mostrado na figura abaixo.

Figura 68 – Criação de um mapeamento estático Na caixa de diálogo que surgirá deverão ser preenchidas as informações relacionadas ao host cujo registro será estático9. 9 Os mapeamentos estáticos constituem um recurso que só deve ser utilizado para hosts que não registram-se automaticamente no servidor WINS, tais como sistemas operacionais que não sejam Microsoft. Não existe ganho de performance na resolução de nomes se registrarmos estaticamente um host que suporte registro automático.


Figura 69 – Caixa de diálogo New Static Mapping A tabela a seguir descreve os itens que deverão ser preenchidos nesta caixa de diálogo. Opção

Descrição

Computer name

Nome NetBIOS do host

NetBIOS scope

Identificador do escopo NetBIOS, se aplicável

Type

Tipo de mapeamento estático que será criado. Poderá ser:

Unique

Um nome único mapeado para um endereço IP simples

Group Também referido como grupo “Normal”. Quando adicionada uma entrada para um grupo usando o WINS Manager, é preciso entrar com o nome do computador e seu endereço IP. Contudo, os endereços IP para membros individuais do grupo não são armazenados no banco de dados WINS. Pelo fato dos endereços de membros não serem armazenados, não existe limite para o número de membros que podem ser adicionados ao grupo. Pacotes de nome broadcast são usados para comunicar com membros do grupo. Domain

É um mapeamento de nome NetBIOS para endereço IP que possui 0x1C como o 16º byte. Um grupo domínio armazena no máximo 25 endereços para membros Name

Internet Group

Grupos Internet são definidos pelo usuário para possibilitar o agrupamento de recursos, como impressoras, para facilitar a referência. Um grupo Internet pode armazenar no máximo 25 endereços para membros.

Multihomed

Um nome único que pode ter mais de um endereço IP. É usado para computadores multihomed. Cada nome de grupo multihomed pode conter um máximo de 25 endereços


11.1.4. Configuração de Replicação WINS Todos os servidores WINS em uma rede podem ser configurados para replicarem seus bancos de dados entre si. Isto garante que um nome registrado com um servidor WINS estará disponível nos demais servidores WINS da rede. A replicação ocorre sempre que ocorrerem mudanças, incluindo quando um nome é liberado. A replicação de banco de dados WINS habilita um servidor WINS a resolver nomes de hosts registrados com outro servidor WINS. Isto é particularmente interessante em grandes redes formadaspor múltiplas sub-redes dispersas remotamente.

Figura 70 – Rede WAN Na figura mostrada acima, se um host localizado na sub-rede de Blumenau precisar estabelecer uma comunicação utilizando NetBIOS com um host de Joinville, será necessário que o servidor WINS de Blumenau tenha a capacidade de resolver o nome deste host remoto. A melhor forma de obter este resultado seria estabelecer a replicação WINS entre os servidores. Para replicar entradas do banco de dados WINS10 cada servidor precisa ser configuradocomo parceiro Pull ou Push com pelo menos um outro servidor WINS. Um parceiro Push é um servidor WINS que envia uma mensagem para seu parceiro Pull notificando sobre alguma mudança no banco de dados. Quando o parceiro Pull responde a mensagem com uma requisição de replicação, o parceiro Push envia a cópia das novas entradas no banco de dados. Para configurar parceiros de replicação utiliza-se o snap-in WINS selecionado o item Replication Partners e no menu de contexto escolhe-se o comando New Replication Partner.

10 Servidores WINS replicam apenas as novas entradas dos seus bancos de dados. O banco de dados inteiro não é copiado cada vez que ocorre a replicação.


Figura 71 - Configuração de novos parceiros de replicação WINS 11.1.5. Backup do Banco de Dados WINS O snap-in WINS provê ferramentas de backup para que o banco de dados do WINS possa ser copiado e restaurado. Quando o backup é efetuado é criada uma estrutura de pastas \Wins_bak\New sob a pasta especificada como Default backup path em Server Properties. Por padrão, o caminho para o backup é a pasta raiz da partição do sistema, como C:\. Após a especificação da pasta que conterá o backup do banco de dados, o WINS efetua um backup completo do banco a cada três horas. WINS também pode ser configurado para efetuar um backup automaticamente quando o serviço é parado ou quando o servidor é desligado.

12.

Segurança NTFS

Permissões NTFS são um conjunto de permissões que permitem conceder ou negar acesso a pastas e arquivos para cada usuário ou grupo. A segurança NTFS é efetiva nos acessos locais (diretamente no computador onde está localizada a pasta ou arquivo) ou nos acessos através da rede. O NTFS armazena uma lista de controle de acesso (ACL) com cada arquivo e pasta em uma partição NTFS. A ACL contém uma lista de todas as contas de usuário, grupos e computadores aos quais foi concedido acesso para o arquivo ou pasta, além do tipo de acesso permitido. Para que um usuário acesse um arquivo ou pasta, a ACL deve conter uma entrada, chamada entrada de controle de acesso (ACE), para a conta de usuário, grupo ou computador ao qual o usuário pertence. A entrada deve permitir especificamente o tipo de acesso que o usuário está solicitando, para que ele consiga acessar o arquivo ou pasta. Se não existir nenhuma ACE na ACL, o Windows 2000 negará o acesso do usuário ao recurso. As permissões NTFS além de especificar os usuários, grupos e computadores que podem acessar arquivos e pastas também determinam o que estes poderão fazer com o conteúdo do arquivo ou pasta.


12.1. Permissões NTFS de Pasta A tabela a seguir lista as permissões padrão NTFS para pastas que podem ser concedidas e o tipo de acesso fornecido por cada uma delas: Permissão NTFS

Permite que o usuário

Read

Visualize os arquivos e as subpastas da pasta e os atributos, a propriedade e as permissões desta pasta

Write

Crie novos arquivos e subpastas na pasta, altere seus atributos e visualize as permissões e a propriedade desta pasta

List Folder Contents

Visualize os nomes dos arquivos e subpastas da pasta

Read & Execute

Percorra as pastas e execute as ações permitidas pelas permissões Read e List Folder Contents

Modify

Exclua a pasta e execute as ações autorizadas pelas permissões Write e Read & Execute

Full Control

Altere as permissões, aproprie-se, exclua as subpastas e os arquivos, e execute as ações autorizadas por todas as permissões NTFS de pasta

12.2. Permissões NTFS de Arquivo A tabela a seguir lista as permissões NTFS de arquivo, que podem ser concedidas, e o tipo de acesso que cada uma delas fornece ao usuário: Permissão NTFS

Permite que o usuário

Read

Leia o arquivo e visualize os atributos, a propriedade e as permissões deste arquivo

Write

Substitua o arquivo, altere seus atributos e visualize a propriedade e as permissões deste arquivo

Read & Execute

Execute aplicativos e realize as ações autorizadas pela permissão Read

Modify

Modifique e exclua o arquivo e execute as ações permitidas pelas permissões Write e Read & Execute

Full Control

Altere as permissões, aproprie-se e execute as ações permitidas portodas as outras permissões NTFS de arquivo

12.3. Múltiplas Permissões NTFS


Permissões de arquivos e pastas podem ser associadas a usuários ou grupos. Portanto é possível que um usuário receba múltiplas permissões: as permissões associadas ao próprio usuário e as permissões associadas a grupos dos quais ele faça parte. Nestes casos, as permissões efetivas de um usuário são originadas pela combinação das permissões de usuário e de grupos. Por exemplo, se um usuário tem a permissão Write para uma pasta e um grupo do qual ele faça parte tem a permissão Read para a mesma pasta as permissões efetivas do usuário serão Read e Write para esta pasta. Uma exceção a esta regra é a permissão Deny, que nega acesso a pastas ou arquivos. Se o usuário receber esta permissão não importarão as demais permissões NTFS que ele possa ter recebido: a permissão efetiva será Deny. Uma outra situação possível é um determinado usuário receber uma permissão (Write, por exemplo) para uma pasta e receber uma outra permissão (Read, por exemplo) para um arquivo contido na mesma pasta. Neste caso, a permissão efetiva será Read, pois as permissões NTFS de arquivo têm prioridade sobre as permissões NTFS de pasta. 12.4. Concessão de Permissões NTFS As permissões NTFS são concedidas na caixa de diálogo Properties da pasta ou arquivo. Ao conceder ou modificar as permissões NTFS pode-se adicionar ou remover usuários, grupos ou computadores do arquivo ou pasta.

Figura 72 – Propriedades de segurança de uma pasta Na guia Security da caixa de diálogo Properties do arquivo ou da pasta, pode-se configurar as opções descritas na tabela a seguir. Opção

Descrição

Name

Seleciona a conta de usuário ou grupo para o qual deseja-se alterar permissões ou que deseja-se remover da lista

Permissions

Concede uma permissão quando marcada a caixa de seleção


Allow Nega uma permissão quando você marca a caixa de seleção Deny Add

Abre a caixa de diálogo Select Users, Computers or Groups, usada para selecionar contas de usuário e grupos a serem adicionados à lista Name

Remove

Remove a conta de usuário ou grupo selecionado e as permissões associadas do arquivo ou da pasta

12.5. Herança de Permissões Por padrão, as permissões concedidas a uma pasta pai são herdadas e propagadas para as subpastas e os arquivos contidos nessa pasta. Em geral, deve-se permitir que o Windows 2000 propague as permissões de uma pasta pai para as subpastas e os arquivos que ela contém. A propagação de permissões simplifica a atribuição de permissões para recursos. No entanto, às vezes convém impedir a herança de permissões, assegurando que subpastas e arquivos não herdarão as permissões de sua pasta pai. Conforme mostrado na guia Security da caixa de diálogo Properties, quando a caixa de seleção Allow inheritable permissions from parent to propagate to this object está marcada a herança ocorrerá. Para impedir que uma subpasta ou arquivo herde as permissões da pasta pai, deve-se desmarcar essa caixa de seleção e, em seguida, selecionar uma das opções na caixa de diálogo que surgirá.

Figura 73 – Propriedades de segurança de uma pasta


/

9"

3

1

#

:#

3

5

#

;

#

#

Opção

Descrição

Copy

Copia para a subpasta ou arquivo as permissões que foram herdadas anteriormente da pasta pai e nega herança de permissões subseqüentes da pasta pai

Remove

Remove da subpasta ou do arquivo a permissão que foi herdada da pasta pai e mantém somente as permissões concedidas explicitamente a subpasta ou arquivo

12.6. Mover e Copiar Pastas e Arquivos Quando copia-se ou move-se um arquivo ou pasta, as permissões podem ser alteradas, dependendo do local para o qual a pasta ou arquivo é copiado ou movido. 12.6.1. Copiar Pastas e Arquivos Quando copiam-se arquivos ou pastas de uma pasta para outra, ou de uma partição para outra, talvez as permissões para esses arquivos ou pastas sejam alteradas. A cópia de um arquivo ou pasta gera os seguintes efeitos nas permissões NTFS: Quando copia-se uma pasta ou arquivo dentro de uma única partição NTFS, a cópia da pasta ou arquivo herda as permissões da pasta de destino; Quando copia-se uma pasta ou arquivo entre partições NTFS, a cópia dessa pasta ou arquivo herda as permissões da pasta de destino; Quando copiam-se arquivos ou pastas para partições que não são NTFS (como FAT, por exemplo), as pastas e arquivos perdem suas permissões. Para copiar arquivos e pastas em uma única partição NTFS ou entre partições NTFS, deve-se possuir pelo menos a permissão Read para a pasta de origem e a permissão Write para a pasta de destino. 12.6.2. Mover Pastas e Arquivos Mover um arquivo ou pasta tem os seguintes efeitos nas permissões NTFS: Quando move-se uma pasta ou arquivo em uma mesma partição NTFS, as permissões são mantidas;


Quando move-se uma pasta ou arquivo entre partições NTFS, essa pasta ou arquivo herda as permissões da pasta de destino. Na verdade, o que ocorre é que a pasta ou arquivo é primeiramente copiado para o local de destino e em seguida excluído da localização de origem; Quando movem-se arquivos ou pasta para partições que não são NTFS, as permissões são perdidas. Para mover arquivos e pastas em uma mesma partição NTFS ou entre partições NTFS, deve-se possuir a permissão Write para a pasta de destino e a permissão Modify para a pasta ou arquivo de origem. P

12.7. Recomendações para Concessão de Permissões NTFS As seguintes práticas devem ser consideradas para o uso de permissões NTFS: Conceder permissões a grupos e não a usuários. É mais fácil gerenciar grupos do que usuários. Isso mantém a ACL com poucas entradas, o que aumenta o desempenho; Agrupar arquivos em pastas de aplicativos e dados e atribuir as permissões às pastas e não aos arquivos; Permitir aos usuários apenas o nível de acesso necessário; Criar grupos de acordo com o tipo de acesso que seus participantes requerem para recursos e conceder as permissões apropriadas a esses grupos; Ao conceder permissões para pastas de aplicativos, conceder a permissão Read & Execute aos grupos. Isso impede que os dados e arquivos de aplicativo sejam excluídos ou danificados acidentalmente por usuários ou vírus; Ao conceder permissões para pastas de dados, deve-se conceder as permissões Read & Execute e Write ao grupo Users e a permissão Full Control ao Creator Owner. Isso permite que os usuários tenham a capacidade de ler e modificar os documentos criados por outros usuários e a capacidade de ler, modificar e excluir os arquivos e as pastas criados por eles próprios. Em geral é melhor não associar permissões do que negar permissões com o uso do Deny. A permissão Deny só deve ser usada quando for essencial negar acesso a uma conta de usuário ou grupo específico.

13.

Gerenciamento de Impressão

O Windows 2000 Server foi projetado para trabalhar como servidor de impressão para clientes de diversas plataformas, como Windows 9x e Windows NT. Antes de verificar como procedem-se as configurações de impressão, é importante estar familiarizado com algumas terminologias relacionadas à impressão adotadas pela Microsoft:


Dispositivo de impressão: é o dispositivo de hardware que produz documentos impressos. O Windows 2000 suporta os seguintes dispositivos de impressão: Dispositivos de impressão locais: são os dispositivos de impressão conectados a uma porta física no servidor de impressão. Dispositivos de impressão com interface de rede: são os dispositivos de impressão conectados a um servidor de impressão através da rede, e não por meio de uma porta física. Impressora: é a interface de software entre o sistema operacional e o dispositivo de impressão. Servidor de impressão: é o computador em que estão localizadas as impressoras e os drivers dos clientes. O servidor de impressão recebe e processa os documentos dos computadores cliente. Driver de impressora: equivale a um ou mais arquivos que contém as informações que o Windows 2000 precisa para converter os comandos de impressão em uma linguagem de impressora específica. Essa conversão possibilita que um dispositivo de impressão imprima um documento. O driver de impressora é específico para cada modelo de dispositivo de impressão. É necessário que o driver de impressora apropriado esteja presente no servidor de impressão. 13.1. Requisitos para Impressão em Rede Há requisitos de hardware específicos que são necessários para a configuração de um ambiente de impressão eficiente. Se os requisitos mínimos de hardware não forem satisfeitos, a impressão pela rede poderá ser altamente ineficiente. A configuração da impressão em uma rede do Windows 2000 requer o seguinte: Pelo menos um computador que funcione como servidor de impressão. Se o servidor de impressão for usado para gerenciar muitos trabalhos de impressão pesados, a Microsoft recomenda dedicar um servidor para a impressão. O servidor de impressão pode ser executado de uma destas maneiras: Windows 2000 Server, Windows 2000 Advanced Server ou Windows 2000 Datacenter Server. Um destes produtos deve ser usado quando for necessário suporte a um grande número de conexões, além dos clientes Macintosh, UNIX e NetWare. Windows 2000 Professional. Este produto deve ser usado quando o número de conexões simultâneas a partir de outros computadores para arquivo e serviços de impressão for limitado a dez, incluindo os clientes UNIX. RAM suficiente para processar os documentos impressos. Se um servidor de impressão gerenciar um grande número de impressoras ou vários documentos grandes, ele poderá precisar de mais RAM, além da necessária ao Windows 2000 para outras tarefas. Se um servidor de impressão não tiver RAM suficiente para sua carga de trabalho, o desempenho da impressão poderá diminuir. Espaço em disco suficiente no servidor de impressão. É necessário que haja espaço em disco suficiente para assegurar que o Windows 2000 possa armazenar os documentos


enviados ao servidor de impressão até que o servidor de impressão envie os documentos ao dispositivo de impressão. Esse é um aspecto importante no caso de documentos grandes ou que ficam acumulados. Por exemplo, se dez usuários enviarem, cada um, um documento grande para que seja impresso ao mesmo tempo, o servidor de impressão deverá ter espaço em disco suficiente para reter todos os documentos até que o servidor de impressão envie-os ao dispositivo de impressão. 13.2. Diretrizes para um Ambiente de Impressão em Rede Antes de configurar a impressão pela rede, é importante desenvolver uma estratégia de impressão para lidar efetivamente com as necessidades de impressão da rede. Esses procedimentos garantirão o tratamento sem problemas dos trabalhos de impressão: Determinar os requisitos de impressão da organização. Isso inclui o número e os tipos de dispositivos de impressão necessários. Considerar também o tipo de carga de trabalho a ser gerenciado por cada dispositivo de impressão. Determinar os requisitos de impressão dos usuários em cada departamento. Uma carga de trabalho de impressão maior pode precisar de mais dispositivos de impressão. Determinar o número de servidores de impressão necessários à rede a fim de gerenciar o número e os tipos de impressora da rede. Determinar o local dos dispositivos de impressão. Determinar quais trabalhos de impressão precisam de alta prioridade. 13.3. Instalação de uma Impressora Para adicionar uma impressora compartilhada, deve-se efetuar logon como Administrator no servidor de impressão. Em seguida, poderá ser incluída e compartilhada uma nova impressora utilizando o Add Printer Wizard. O Add Printer Wizard orienta durante as etapas necessárias para adicionar uma impressora a um dispositivo de impressão conectado ao servidor de impressão. O número de dispositivos de impressão locais que podem ser conectados a um servidor de impressão através de portas físicas depende da configuração de hardware. A tabela a seguir descreve as opções fornecidas pelo Add Printer Wizard para adição de uma impressora para um dispositivo de impressão local. Opção

Descrição

Local printer

Esta opção indica que será adicionada uma impressora localizada no computador local

Use the following port

A porta no servidor de impressão à qual esta conectado o dispositivo de impressão. Pode-se também adicionar uma porta. A adição de umaporta permite imprimir usando portas de hardware que não sejam padrão, como uma conexão com interface de rede


Manufacturers e Printers

O driver de impressora correto para o dispositivo de impressão local

Printer name

Um nome que identifica a impressora para os usuários. Alguns aplicativos poderão não suportar mais de 31 caracteres na combinação de nome do servidor e impressora

Default printer

A impressora padrão de todos os aplicativos baseados no Windows

Shared as

Um nome de compartilhamento que os usuários (com a permissão apropriada) podem usar para fazer uma conexão com a impressora através da rede

Location e Comment

Estas informações poderão ser usadas para localização de impressoras no Active Director

13.4. Configuração de Computadores Clientes Após adicionar e compartilhar uma impressora, deve-se configurar os computadores cliente para que os usuários possam imprimir seus documentos. Embora a tarefa de configuração de computadores cliente seja diferente dependendo do sistema operacional executado no computador cliente, todos os computadores cliente requerem que um driver de impressora esteja instalado. 13.4.1. Clientes Windows 9x ou Windows NT 4.0 Os usuários de computadores cliente que executam o Windows 95, o Windows 98 ou o Windows NT 4.0 só precisam fazer uma conexão com a impressora compartilhada. O computador cliente faz automaticamente o download do driver de impressora apropriado, desde que haja uma cópia dele no servidor de impressão. Além disso, quando o driver de impressora para o sistema operacional do cliente é atualizado no servidor de impressão, os computadores clientes atualizarão automaticamente o driver utilizado na próxima vez que o cliente fizer uma conexão na impressora.


Figura 75 – Drivers adicionais 13.5. Compartilhamento de uma Impressora Para compartilhar uma impressora já existente será necessário o fornecimento de algumas informações adicionais: Atribuir um nome de compartilhamento à impressora; Publicar a impressora no Active Directory, de modo que os usuários possam pesquisar a impressora mais rapidamente; Adicionar outros drivers de impressora para computadores clientes que executam o Windows 95, o Windows 98 ou o Windows NT 4.0 em diferentes plataformas de hardware.

Figura 76 – Compartilhamento de uma impressora 13.6. Prioridades de Impressoras Pode-se criar várias impressoras que apontem para o mesmo dispositivo de impressão, cada uma com prioridades diferentes. Isso permitirá que os usuários enviem os documentos críticos para uma impressora de alta prioridade e os documentos não críticos para uma impressora de baixa prioridade. Os documentos enviados para a impressora de alta prioridade serão impressos primeiro. A prioridade de uma impressora pode ser definida na guia Advanced nas propriedades da impressora.


Figura 77 – Propriedades avançadas da impressora As seguintes tarefas devem ser cumpridas para definir as prioridades entre as impressoras: Apontar duas ou mais impressoras para o mesmo dispositivo de impressão (a mesma porta). A porta pode ser física no servidor de impressão ou uma porta que aponte para um dispositivo de impressão com interface de rede; Definir uma prioridade diferente para cada impressora conectada ao dispositivo de impressão e, em seguida, fazer com que diversos grupos de usuários imprimam em impressoras diferentes. 13.7. Permissões para as Impressoras Há três níveis de permissão de impressoras: Print, Manage Documents e Manage Printer. A tabela a seguir lista as capacidades dos diversos níveis de permissão.

Capacidade das permissões de impressão

Permissão Print

Permissão Manage Documents

Permissão Manage Printer

Imprimir documentos

X

X

X

Pausar, continuar, reiniciar e cancelar o próprio documento do usuário

X

X

X

Estabelecer conexão com uma impressora

X

X

X

Controlar as configurações de trabalho para todos os documentos

X

X

Pausar, reiniciar documentos

X

X

e

excluir

todos

os


Compartilhar uma impressora

X

Alterar as prioridades da impressora

X

Excluir impressoras

X

Alterar as permiss천es de impressoras

X


Por padrão, os administradores de um servidor e os operadores de impressão e do servidorem um controlador de domínio possuem a permissão Manage Printer. O grupo Everyone possui a permissão Print, e o proprietário de um documento possui a permissão Manage Documents.

Figura 78 – Permissões da impressora

14.

Gerenciamento de Discos

Quando configuramos discos em um servidor Windows 2000 é preciso optar entre implementar discos básicos ou dinâmicos. O tipo escolhido determina como o espaço será utilizado no disco rígido. Uma compreensão dos discos básicos e dinâmicos permitirá configurar os discos rígidos de uma forma mais eficiente. 14.1. Discos Básicos Quando instalamos um novo disco o Windows 2000 configura-o como um disco básico. O tipo básico é o suportado pelo Windows NT, permitindo partições de disco primárias e estendidas e drives lógicos. Conseqüentemente este tipo de disco está restrito ao limite de quatro partições imposto pela estrutura da tabela de partição de disco (um arquivo de 64 bytes no primeiro setor de qualquer disco; a tabela de partição lista os locais físicos de qualquer partição lógica no disco, mas só pode descrever quatro partições porque cada descrição ocupa 16 bytes). Estas quatro partições podem ser primárias (ou três primárias e uma estendida que por sua vez poderá conter drives lógicos). Não é possível criar novos conjuntos de volumes, faixas de disco nem conjuntos RAID-5 em discos básicos no Windows 2000. No entanto, se um Windows NT com algum destes recursos for atualizado para Windows 2000 eles serão suportados em um disco básico. O disco básico é compatível com outros sistemas operacionais e deve ser usado apenas nos equipamentos em que uma inicialização dupla (dual boot) com o Windows 2000 for necessária.


Os tipos de partições que podem ser constituídas em um disco básico são: Primária: uma parte de espaço de armazenamento utilizável criada a partir de um espaço não alocado em um disco. Atribui-se uma letra de unidade a cada partição primária. Estendida: uma parte do espaço de armazenamento utilizável criada a partir de um espaço não alocado em um disco quando deseja-se criar mais de quatro espaços de armazenamento em um disco básico. Pode-se dividir uma partição estendida em unidades lógicas e não deve-se atribuir uma letra de unidade a uma partição estendida, e sim às suas unidades lógicas. Lógica: uma parte criada dentro de uma partição estendida. Deve-se atribuir a ela uma letra de unidade sendo que não poderá estender-se por vários discos. É importante saber que ao criar partições deve-se deixar um mínimo de 1 megabyte de espaço não alocado no disco se pretende convertê-lo de disco básico para dinâmico. O processo de conversão usa 1 MB de espaço em cada disco dinâmico para armazenar um banco de dados que controla a configuração de todos os discos dinâmicos no computador. 14.2. Discos Dinâmicos Os discos dinâmicos são mais eficientes e fornecem maior capacidade e flexibilidade que os discos básicos. Em vez de partições, eles contêm volumes que são uma parte lógica de uma unidade de disco rígido à qual atribuímos uma letra de unidade ou um ponto de montagem.Os volumes podem ser estendidos para incluir espaço não contíguo nos discos disponíveis e não há limite quanto ao número de volumes que pode ser criado por disco. O Windows 2000 armazena as informações sobre a configuração de disco dinâmico no próprio disco, em vez de fazê-lo no Registro ou em outros locais onde elas podem não ser atualizadas com precisão. Ele também duplica essas informações em todos os discos dinâmicos de modo que uma falha em um disco rígido não afete o acesso aos dados em outros discos. Um disco rígido pode ser básico ou dinâmico, mas não ambos; não é possível combinar os tipos de armazenamento em um disco. No entanto, se o computador possuir vários discos rígidos é possível configurar cada um deles como básico ou dinâmico. Os tipos de volume que podem ser configurados em um disco dinâmico são: Simples: contém o espaço em disco proveniente de um único disco. Distribuído: combina áreas de espaço livre de dois ou mais discos (até 32 discos rígidos) em um volume. Quando dados são gravados em um volume distribuído, eles são divididos em blocos de 64 KB e distribuídos igualmente entre todos os discos na matriz. Uma matriz consiste em um conjunto de dois ou mais discos. Esse processo de dividir os dados por um conjunto de discos melhora o desempenho mas não fornece tolerância a falhas. A tolerância a falhas é a capacidade de um computador ou sistema operacional responder a um desastre, como uma falha no disco rígido, sem que haja perda de dados. Dividido: consiste na combinação do espaço de dois ou mais discos (até 32 discos).


Quando os dados são gravados em um volume dividido, a parte desse volume que reside no primeiro disco rígido usado é preenchida primeiro e, depois, os dados são gravados no disco rígido seguinte do volume. Se um disco específicos falhar no volume dividido, todos os dados armazenados no volume serão perdidos. Da mesma forma que um conjunto de volumes nas versões anteriores do Windows NT, um volume dividido permite combinar o armazenamento em disco, mas não melhora o desempenho de disco. O desempenho de disco é a velocidade na qual o computador pode acessar dados em um ou mais discos. Espelhados: são duas cópias idênticas de um volume simples, cada uma localizada em um disco rígido separado. Os volumes espelhados fornecem tolerância a falhas em caso de uma falha no disco rígido. RAID-5: são volumes distribuídos tolerantes a falhas. O Windows 2000 adiciona uma faixa com paridade a cada disco rígido do volume. A paridade é uma técnica matemática que adiciona bits a um fluxo de dados que contém informações redundantes, permitindo a reconstrução do fluxo de dados se parte dele estiver corrompido ou ausente. Os dados e as informações sobre paridade são organizados de forma que fiquem sempre em discos separados. Um bloco de faixas de paridade existe em cada linha do disco. O Windows 2000 usa as informações sobre paridade dessas faixas para reconstruir os dados quando um disco rígido falha. Os volumes RAID-5 requerem no mínimo três discos rígidos. 14.3. Criando Partições em Discos Básicos O armazenamento em disco básico é usado por todos os sistemas operacionais Windows anteriores ao Windows 2000, sendo que nestes discos só pode-se criar partições primárias, estendidas e unidades lógicas. Para criar partições primárias, utiliza-se a ferramenta Disk Management, clicando com o botão direito do mouse em um espaço não particionado.

Um Wizard será apresentado para auxiliar no processo de criação da partição. As opções apresentadas poderão estar diferentes, de acordo com a estrutura já existente no disco. Nas telas exibidas a seguir apenas a opção Partição Primária está disponível, uma vez que já existia uma partição estendida no disco escolhido.


Na tela a seguir escolhe-se o tamanho da partição.

Será possível associar uma letra de unidade à nova partição ou ainda associá-la a uma pasta.

Por fim, as informações relacionadas com a formatação da nova partição.

14.4. Atualizando um Disco Básico para Disco Dinâmico


Ao configurar um novo disco, por padrão, o Windows 2000 o cria como um disco básico. Para usar um disco dinâmico, deve-se atualizar o disco básico para um disco dinâmico. Quando o processo de atualização estiver concluído, poderá ser criada uma ampla variedade de volumes dinâmicos. O processo de conversão de disco básico para dinâmico poderá ser feito a qualquer momento sem que haja perda de dados, utilizando-se o Disk Management.

Se o disco rígido que estiver sendo atualizado contiver a partição de inicialização ou a do sistema, ou ainda um arquivo de paginação ativo, será necessário reiniciar o computador para concluir o processo de atualização. Quando o disco é atualizado, todas as partições existentes no disco básico tornam-se volumes. A tabela a seguir descreve os resultados de uma atualização. 3$

A ! A ! 7

) ) )

% ! !

-,

.

3$

A !

A ! A ! 7

O

+ + G

,

.

=

=$ !

0 9 & ' IG . ! 7 L 5 &

% N

&

'

+

N

&

'

% N

&

'

% ' IG . !

7 0 9 ? & ' IG . ! 7

+

- N

+

?

Faixas de disco com paridade de versões Volume RAID-5 anteriores do Windows NT (não mais disponível no Windows 2000)


14.4.1. Reverter para um Disco Básico Não é possível converter um disco dinâmico em um disco básico e manter a estrutura e os dados do disco dinâmico. Para reverter um disco dinâmico em básico é preciso configurar o disco básico vazio, sem os dados armazenados no disco dinâmico. Exclui-se os dados e volumes no disco dinâmico e recria-se uma partição básica a partir do novo espaço não alocado. Para reverter um disco dinâmico para básico, após excluir os dados e volumes do disco, clica-se com o botão direito sobre o disco (a partir do Disk Management) e escolhe-se Revert To Basic Disk. 14.4.2. Criando Volumes Simples Um volume simples contém espaço em disco em um único disco e é criado a partir do espaço não alocado em um disco dinâmico. Embora um volume simples se pareça com uma partição, ele não possui a limitação de tamanho que a partição possui, e também não há restrição quanto ao número de volumes que pode ser criado em um único disco. Além disso, é possível adicionar espaço a um volume simples, ou estendê-lo, posteriormente. Os volumes simples usam os formatos de sistema de arquivos NTFS, FAT ou FAT32. No entanto, só será possível estender um volume se ele estiver formatado com o NTFS. Os volumes simples não são tolerantes a falhas, no entanto, é possível criar um espelho de um volume simples, ou volume espelhado, para fornecer esse recurso. Para criar um volume simples, clica-se com o botão direito do mouse no espaço não alocado no disco dinâmico e, em seguida, clica-se em Create Volume para acessar o assistente que guiará o restante dos passos. 14.4.3. Estendendo Volumes Simples Pode-se estender um volume simples formatado com NTFS para incluir o espaço não alocado contíguo ou não contíguo pertencente a qualquer disco dinâmico. Isso significa que é possível adicionar espaço em disco a um volume existente em vez de reconfigurar todos os discos rígidos. As exceções incluem qualquer volume que contém arquivos de sistema ou de inicialização ou um arquivo de paginação ativo. Para estender um volume simples, clica-se com o botão direito do mouse no volume simples desejado no Disk Management e escolhe-se Extend Volume. 14.5. Tarefas Comuns do Disk Management As tarefas de gerenciamento de discos são um conjunto de tarefas executadas através do Disk Management. O Disk Management fornece um local central para exibir as informações e executar as tarefas de gerenciamento de discos, como, por exemplo, reparar e excluir partições e volumes. Periodicamente podem ocorrer falhas em um disco ou volume que precise ser reparado ou excluído. O Disk Management permite localizar rapidamente os problemas de armazenamento em disco. É possível exibir o status de um disco ou volume, reparar um disco se possível, ou excluir o disco se este não puder ser reparado.


14.5.1. Status do Disco A tabela a seguir analisa os diferentes tipos de status de disco e as ações a serem executadas em cada status. 8

@ !

B

?W .N

L

;6

L L

$ . 5 2

$ 7

3

+

I

.L ? ;

?

6 O

,

6

7 W .L ?

!

7

6

9

5 9

14.5.2. Reparando Partições e Volumes Se um disco ficar off-line por ter sido corrompido, por interrupção de fornecimento de energia ou desconexão, pode haver problemas com as partições de disco básico e com volumes de disco dinâmico. Se isso acontecer, será necessário reparar as partições ou volumes, clicando com o botão direito do mouse na partição ou volume que esteja marcada como Missing (Ausente) ou Offline e clicar em Reactivate Disk (Reativar disco). O disco deverá estar marcado como Online após ter sido reativado. 14.5.3. Excluindo Partições e Volumes É possível excluir qualquer partição de disco básico ou volume de disco dinâmico, exceto o volume ou partição do sistema ou de inicialização ou ainda qualquer partição ou volume que contenha um arquivo de paginação ativo. Além disso, será necessário excluir todas as unidades lógicas ou outros volumes antes de excluir a partição ou volume estendido. Para excluir uma partição, clica-se com o botão direito do mouse na partição ou volume desejado e, em seguida, em Delete Partition ou Delete Volume. 14.6. Adicionando Discos Para adicionar um novo disco rígido a um computador que ofereça suporte a hot swapping basta instalar ou anexar fisicamente o disco e, em seguida, clicar em Rescan Disks no menu Action do Disk Management. O comando Rescan Disks deve ser usado sempre que for adicionado um disco com suporte a hot swapping para que o Disk Management possa examinar novamente e registrar o disco. Nessa situação, normalmente não será necessário reiniciar o computador. No entanto se o disco não for detectado poderá ser preciso reiniciar o computador. 14.6.1. Adicionando Discos de Outros Computadores


Poderá ser necessário transferir um disco de um computador para outro e, na maioria dos casos, o Windows 2000 importa automaticamente um disco que contém dados. No entanto, se o status do disco aparecer como Foreign, deve-se clicar como o botão direito do mouse e escolher Import Foreign Disk. 14.6.2. Importando Volumes Completos Há diversas formas de importar volumes incompletos. Para cada uma delas, existe uma mensagem de status diferente: Se o status de um volume importado for exibido como Failed: Incomplete Volume, um disco que contém parte de um volume distribuído ou expandido foi importado, mas suas partes restantes não foram importadas. Isso também se aplica aos volumes RAID-5 se dois ou mais discos não forem importados. Será necessário importar os discos restantes para completar o volume. Não será possível acessar o volume até que os discos restantes sejam importados. Se o status de um volume importado for exibido como Failed Redundancy, é provável que um volume espelhado ou RAID-5 tenha sido importado, mas não tenha sido possível importar um ou mais volumes que contêm as partes restantes desse volume. É possível acessar os dados no volume, mas a redundância será perdida. Pode-se importar os discos restantes para completar o volume e restaurar a redundância. 14.7. Desfragmentando Partições O Windows 2000 tenta salvar arquivos ou pastas em locais no disco rígido que tenham espaço suficiente para acomodar o arquivo ou pasta por completo. Caso não haja um local apropriado, o Windows 2000 salva fragmentos do arquivo ou pasta em vários locais. Esta fragmentação de arquivos no disco rígido reduz o desempenho do sistema porque o computador deve ler dados de arquivo em vários locais no disco rígido. O Disk Defragmenter pode localizar e reorganizar os fragmentos em um único espaço no disco rígido. A janela do Disk Defragmenter possui três painéis que fornecem as informações a seguir: O painel superior lista as partições que podem ser analisadas e desfragmentadas. O painel do meio, chamado Analisys Display, fornece uma representação gráfica de quão fragmentada a partição está em um ponto específico. O painel inferior, chamado Defragmentation Display, fornece uma representação gráfica da partição durante a após a desfragmentação.


14.8. Práticas Recomendadas A tabela a seguir lista algumas das práticas recomendadas a serem consideradas para problemas de configuração de discos e de armazenamento em discos. 4 ?

3 !

2 A!

4

N

4C

6 3

-,

, #

:

IGL8

-

# 5-

N

O 4C -

%

#$

!

3 IGL8

*

!

$

A A

0

? A !

/ 6 # ?

)

O

*

,/

# # ?

2@61 H

$

6

A ! *

/

9

/

$

, # ?

4

$ -

*

A

#$

$ !

#

H

% /

O #

%

-

#

, %

#, -

*

#$

# ? #$

5 * 2 !

#$

$ ! *

!

# ?

: 5

1 U1 # $ A

$

?

3

? A

/ 1 # $ ,

* 0 5 9 ? *

"# $ $ A

! 1 U !


15.

Proteção contra Perda de Dados

15.1. Tolerância a Falhas e Recuperação de Desastres Tolerância a falhas é a capacidade de um computador ou sistema operacional responder a um evento catastrófico, como uma falha de energia ou de sistema, de modo que nenhum dado seja perdido e o trabalho em andamento não seja comprometido. Os sistemas totalmente tolerantes a falhas usam controladores de disco e sistemas de alimentação redundantes, além de subsistemas de disco tolerantes a falhas. Eles geralmente incluem um sistema de alimentação ininterrupta (UPS) para proteger-se contra a falha de energia local. Embora os dados fiquem disponíveis e atualizados em um sistema tolerante a falhas, deve-se fazer cópias de backup para proteger as informações dos discos rígidos contra exclusões equivocadas, incêndios, roubos e outros desastres físicos. A tolerância a falhas do disco não deve ser considerada uma alternativa para a estratégia de backup com armazenamento off-site, que é o método mais seguro para recuperação de dados perdidos ou danificados. Recuperação de desastres é o processo de restauração de um computador depois de um desastre, que permite aos usuários efetuarem logon e obterem acesso aos recursos do sistema. O ideal é que as técnicas de restauração de desastres retornem os computadores danificados ao mesmo estado em que estavam antes do desastre ocorrer. 15.2. Sistema de Alimentação Ininterrupta Um tipo comum de desastre é a perda de energia local, que pode resultar em perda de dados ou dados corrompidos em um servidor ou computador cliente. Embora as empresas geralmente protejam os servidores contra esse tipo de desastre, deve-se também considerar o fornecimento de proteção contra perda de energia para computadores cliente, dependendo da confiabilidade do sistema de alimentação do utilitário local. Isso fornece uma segurança adicional contra perdas de dados acidentais durante uma interrupção de energia. O Uninterruptible Power Supply (sistema de alimentação ininterrupta) fornece eletricidade durante interrupções de energia causadas por problemas na rede pública de energia. Os dispositivos UPS geralmente são regulados para fornecer uma quantidade específica de energia por um determinado período de tempo. Em geral, um UPS deve fornecer energia suficiente para que seja possível, pelo menos, desligar o computador de forma ordenada, salvando trabalhos, encerrando processos e fechando sessões. 15.2.1. Configurações do Serviço UPS Depois que o computador estiver conectado ao UPS e ligado, e o UPS estiver conectado ao computador com um cabo serial (ou um cabo especificado pelo fabricante), será possível selecionar e configurar o UPS. Para selecionar o suporte ao UPS no Windows 2000 deve-se abrir Power Options no Control Panel


Em seguida seleciona-se a guia UPS e clica-se no botão Select.

Figura 79 – Início da configuração do UPS Na caixa que se apresenta escolhe-se o fabricante, o modelo e a porta através da qual o computador está conectado ao UPS.

Figura 80 – Seleção do Fabricante Pode-se agora efetuar as configurações de funcionamento do Serviço UPS clicando no botão Configurar na caixa de diálogo UPS Properties.


Figura 81 – Configuração do UPS Na caixa de diálogo UPS Configuration personaliza-se as seguintes configurações: Com a caixa Enable all notifications ativada seleciona-se o número de segundos entre a falha de energia e a primeira notificação (Seconds between power failure and first notification) e o número de segundos entre as notificações de falha de energia seguintes (Seconds between subsequent power failure notifications). Nas configurações de Critical alarm determina-se o número total de minutos na bateria antes da emissão do alarme crítico (Minutes on battery before critical alarm), o programa a ser executado quando o alarme ocorrer (When the alarm occurs, run this program) e instruções para que o computador seja desligado mediante a ativação do alarme crítico (Next, instruct the computer to). Importante observar que as opções de configuração para o serviço UPS podem variar de acordo com o dispositivo UPS utilizado. Alguns fabricantes de UPS fornecem seu próprio software para tirar proveito dos recursos exclusivos de seus dispositivos, como logs de eventos de energia, envio de e-mail ou mensagens de Pager para problemas de energia, gerenciamento remoto através de um navegador Web, entre outros. É também importante testar o funcionamento do dispositivo e do serviço UPS simulando uma falha de energia. Neste teste deve-se observar se as mensagens acontecerão de acordo com o configurado e se os eventos serão registrados. É recomendável inclusive aguardar até que a bateria do UPS atinja um nível baixo para verificar se ocorrerá um desligamento automático ordenado. 15.3. Tipos de Implementações de RAID Para manter o acesso aos dados durante a perda de um único disco rígido, o Windows 2000 Server fornece uma implementação de software de uma tecnologia de tolerância a falhas conhecida como matriz redundante de discos independentes (RAID). O RAID fornece tolerância a falhas implementando a redundância de dados. Com a redundância de dados,


um computador grava os dados em vários discos de modo que, se um disco falhar, as informações ainda ficarão disponíveis. Existem duas maneiras de implementar a tolerância a falhas no Windows 2000: uma implementação de RAID de software ou uma implementação de RAID de hardware. O Windows 2000 provê três implementações de RAID de software. 15.3.1. Implementação de RAID de Software11 Em uma implementação de RAID de software, o sistema operacional fornece um mecanismo para garantir a redundância de dados. O Windows 2000 Server oferece suporte a três tipos de RAID de software, conforme descrito nas seções a seguir. RAID 0 O RAID 0 também é conhecido como Distribuição em Discos, onde um volume armazena dados em faixas de dois ou mais discos físicos. Os dados de um volume distribuído são alocados de forma alternada e uniforme nas faixas nesses discos. Os volumes distribuídos oferecem o melhor desempenho de todos os tipos de volume disponíveis no Windows 2000, mas não fornecem tolerância à falhas. RAID 1 O RAID 1 também é conhecido como Espelhamento de Disco. Nesta implementação os dados são gravados em dois discos simultaneamente. Se um disco falhar, o sistema usará os dados do outro disco para continuar a operação. O Windows grava todos os dados no disco primário e no secundário ou espelhado, de forma que apenas 50% do total de espaço em disco disponível pode ser usado. RAID 5 Os volumes RAID 5 compartilham dados em todos os discos de uma matriz. O RAID nível 5 é exclusivo porque grava as informações de paridade em todos os discos. Informações de paridade são as informações redundantes associadas a um bloco de informações. No Windows 2000 Server, a paridade é um valor calculado usado para reconstruir os dados depois de uma falha. O Windows 2000 obtém a redundância de dados organizando um bloco de dados e suas informações de paridade em diferentes discos na matriz.

11 Com as implementações de RAID de software não há tolerância a falhas até que sua causa seja corrigida. Se ocorrer uma segunda falha antes da regeneração dos dados perdidos na primeira, deve-se restaurar os dados a partir de uma cópia de backup.


15.3.2. Implementação de RAID de Hardware Em uma implementação de hardware, a interface do controlador do disco trata da criação e regeneração de informações redundantes. Alguns fornecedores de hardware implementam a proteção de dados RAID diretamente no hardware, como fazem com as placas controladoras da matriz de discos. Como esses métodos são específicos de cada fornecedor e ignoram os drivers de software tolerantes a falhas do sistema operacional, normalmente geram um melhor desempenho se comparados às implementações de RAID de software. Além disso, as implementações de RAID de hardware geralmente incluem recursos extras, como hot swapping de discos rígidos com falhas e memória cache dedicada, para um desempenho aprimorado. Os seguintes pontos devem ser considerados para optar entre uma implementação de RAID por software ou por hardware: A tolerância a falhas de hardware é mais cara do que a de software; A tolerância a falhas de hardware geralmente faz com que o computador tenha um desempenho mais rápido do que a tolerância a falhas de software; As soluções de tolerância a falhas de hardware podem limitar as opções de equipamento a um único fornecedor. As soluções de tolerância a falhas de hardware podem implementar o hot swapping de discos rígidos para permitir a substituição de um disco rígido com falhas sem que seja preciso desligar o computador. 15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados12 Um volume espelhado usa o driver de tolerância a falhas (Ftdisk.sys) do Windows 2000 Server para gravar os mesmos dados simultaneamente no volume de cada membro em cada um dos dois discos físicos. Cada volume é considerado um membro do volume espelhado. A implementação de um volume espelhado o ajuda a assegurar que os dados não sejam perdidos no caso de falha de um membro do volume espelhado. Os volumes espelhados podem melhorar o desempenho de leitura, pois o driver de tolerância a falhas lê a partir dos dois membros do volume de uma só vez. Pode ocorrer uma pequena queda no desempenho de gravação, já que o driver de tolerância a falhas deve gravar nos dois membros. Quando um membro de um volume espelhado falhar, o desempenho voltará ao normal, pois o driver de tolerância a falhas estará trabalhando com apenas uma partição.

: &

? * I '

/ -

*

/

!

! ?

A ! O


De forma resumida, as principais vantagens e desvantagens dos volumes espelhados são: Oferecem suporte a volumes do tipo tabela de alocação de arquivos (FAT) e a volumes do sistema de arquivos NTFS; Com eles, pode-se proteger as partições de sistema ou de inicialização; Requerem dois discos rígidos; Têm um alto custo por megabyte porque apenas 50% dos discos são utilizados para armazenamento de dados; Têm um bom desempenho de leitura e gravação; Usam menos memória do sistema se comparados aos volumes RAID-5. 15.4. Duplexação de Discos Se o mesmo controlador de disco que controla os dois discos físicos em um volume espelhado falhar, nenhum membro do volume espelhado ficará acessível. Instalando-se um segundo controlador no computador cada disco no volume espelhado terá o seu próprio controlador. Essa organização, chamada de duplexação de discos, pode proteger o volume espelhado contra falhas no controlador e no disco rígido. A duplexação de discos também reduz o tráfego do barramento e provavelmente pode melhorar o desempenho de leitura. A duplexação de discos é um aprimoramento de hardware para um volume espelhado do Windows 2000 e não requer nenhuma configuração de hardware adicional. 15.5. Configuração de RAID 1 Utiliza-se o Create Volume Wizard no Computer Management para criar volumes espelhados a partir de espaço não alocado em discos dinâmicos (são necessários dois discos dinâmicos para criar um volume espelhado). Para criar um volume espelhado a partir do espaço não alocado em dois discos dinâmicos, basta clicar com o botão direito do mouse na área de espaço não alocado e, em seguida, escolher Create Volume. Na página Select Volume Type escolhe-se Mirrored volume para em seguida escolher os dois discos dinâmicos que comporão o espelhamento. Para completar escolhe-se a letra de unidade e executa-se o procedimento de formatação. Para espelhar um volume existente em um disco dinâmico basta clicar com o botão direito do mouse no volume que deseja-se espelhar e escolhe-se Add Mirror. Por fim, seleciona-se o segundo disco e clica-se em Add Mirror. 15.6. Configuração de RAID-5 Para criar um volume RAID-5 será necessário clicar com o botão direito do mouse na área de espaço não alocado, escolher Create Volume, selecionar RAID-5 volume como o tipo de volume desejado e selecionar pelo menos três discos dinâmicos na página Select Disks. Para finalizar será preciso ainda escolher uma letra de unidade e formatar o volume.


Recuperação de Falhas em Volumes Espelhados Quando um membro de um volume espelhado falha, o outro continua a funcionar, mas não é mais tolerante a falhas. Para evitar a perda potencial de dados, é necessário recuperar o volume espelhado o mais rapidamente possível. O status do volume que falhou aparecerá como Failed Redundancy (Falha de redundância) no Disk Management, e um dos discos será exibido como Offline, Missing ou Online (Errors). O método usado para recuperar o volume espelhado dependerá do status do disco. Nota: Se o Windows 2000 não reparar o volume, talvez a única opção seja excluí-lo. Isso ocorre em situações em que o disco está gravemente danificado ou não pode ser reparado. Recuperando um volume em um disco identificado como Offline ou Missing Certificar-se de que o disco está conectado ao computador e ligado; No Disk Management, clicar com o botão direito d mouse no disco identificado como Missing ou Offline e, em seguida, clicar em Reactivate Disk. O status do disco deverá retornar a Healthy e o volume espelhado deverá ser regenerado automaticamente. Recuperando um volume espelhado que falhou em um disco identificado como Online (Errors) Clicar com o botão direito do mouse no disco e, em seguida, clicar em Reactivate Disk. O status do volume deverá retornar a Healthy e o volume espelhado deverá ser regenerado automaticamente. Substituindo um disco e criando um novo volume espelhado Se os procedimentos anteriores não reativarem o disco ou se o status do volume não retornar a Healthy, será necessário substituir o disco que falhou e criar um novo volume espelhado, seguindo estas etapas: Clicar com o botão direito do mouse no volume espelhado do disco que falhou e, em seguida, clicar em Remove Mirror; Na caixa de diálogo Remove Mirror, clicar no disco que falhou e, em seguida, clicar em Remove Mirror (uma confirmação será solicitada); Clicar com o botão direito do mouse no volume que deseja-se espelhar e, em seguida, clicar em Add Mirror; Selecionar o segundo disco do volume e clicar em Add Mirror. Recuperando um volume RAID-5 que falhou


Quando um membro de um volume RAID-5 falha, os outros membros continuam a funcionar, embora o volume não seja mais tolerante a falhas. Para evitar a perda potencial de dados, é necessário recuperar o volume RAID-5 o mais rapidamente possível. O status do volume que falhou aparecerá como Failed Redundancy no Disk Management e um dos discos será exibido como Offline, Missing ou Online (Errors). O método usado para recuperar o volume RAID-5 depende do status do disco. Recuperando um volume RAID-5 que falhou em um disco identificado como Offline ou Missing Para recuperar um volume RAID-5 quando o status do disco for Offline ou Missing, estas etapas devem ser seguidas: Certificar-se de que o disco esteja conectado ao computador e ligado; Clicar com o botão direito do mouse no disco identificado como Missing ou Offline e, em seguida, clicar em Reactivate Disk. O status do disco deverá retornar a Healthy e o volume RAID-5 deverá ser regenerado automaticamente. Recuperando um volume RAID-5 que falhou em um disco identificado como Online (Errors) Para recuperar um volume RAID-5 quando o status do disco for Online (Errors), clicar com o botão direito do mouse no disco e, em seguida, clicar em ractivate Disk. O status do volume deverá retornar a Healthy e o volume RAID-5 deverá ser regenerado automaticamente. Substituindo um disco e regenerando um volume RAID05 Se os procedimentos anteriores não reativarem o disco ou se o status do volume não retornar a Healthy, será necessário substituir o disco que falhou e regenerar o volume RAID-5. Para regenerar um volume RAID-5 usando um disco diferente, estas etapas devem ser seguidas: Clicar com o botão direito do mouse no volume RAID-5 do disco que falhou e, em seguida, clicar em Rapair Volume; Na caixa de diálogo Repair RAID-5 Volume selecionar o disco que substituirá o disco que falhou no volume RAID-5 e clicar em OK.

16.

Ferramentas para Recuperação de Desastres

Se houver um desastre, o Windows 2000 fornecerá várias opções que podem ser usadas na tentativa de restaurar o computador. Com o correto uso destas opções pode-se restaurar um computador de modo que ele volte a funcionar normalmente.


16.1. Opções Avançadas de Inicialização O Windows 2000 inclui opções avançadas de inicialização13 usadas para solucionar problemas de inicialização e para conectar o computador a um depurador. Essas opções melhoram a capacidade de diagnosticar e solucionar problemas de inicialização e incompatibilidade de drivers no Windows 2000. A tabela a seguir descreve as opções avançadas de inicialização do Windows 2000: Opção Safe Mode

Descrição Carrega somente os dispositivos e drivers básicos necessários para iniciar o computador, inclusive mouse, teclado, dispositivos de armazenamento em massa, vídeo base e o conjunto padrão de serviços do sistema. Esta opção também cria um arquivo de log Safe Mode with Networking Carrega somente os dispositivos e drivers básicos necessários para iniciar o computador e habilitar a rede. Esta opção também cria um arquivo de log Safe Mode with Command Prompt Carrega as opções do modo de segurança, mas inicia um prompt de commando em vez da interface gráfica do usuário. Esta opção também cria um arquivo de log Enable Boot Logging Cria um arquivo de log que faz referência a todos os drivers e serviços carregados (ou não) pelo sistema. Esse arquivo de log é chamado Ntbtlog.txt e está localizado na pasta raiz do sistema (que também contém os arquivos de sistema do Windows 2000) Enable VGA Mode Carrega o driver VGA básico. Este modo será útil se um driver de vídeo estiver impedindo que o Windows 2000 seja iniciado de modo adequado Last Known Good Configuration Usa as informações sobre a última configuração válida contidas no Registro para iniciar o computador Directory Services Restore Mode Permite a restauração e manutenção do Active Directory, e a restauração da pasta Sysvol nos controladores de domínio Debugging Mode Envia informações de depuração para outro computador através um cabo serial Nota: Um controlador de domínio pode utilziar as opções Safe de Mode e Safe Mode with Command Prompt, mas os serviços do Active Directory não ficarão disponíveis.

13 Para exibir as opções avançadas de inicialização, basta pressionar F8 durante a fase de seleção do sistema operacional no processo de inicialização do Windows 2000.


16.2. Recuperando um Computador com o Recovery Console O Recovery Console no Windows 2000 é um console de linha de commando que pode ser iniciado a partir do Setup do Windows 2000. O Recovery Console será especialmente útil se for preciso reparar um sistema copiando um arquivo de um disco ou CD para a unidade de disco rígido, ou se for preciso reconfigurar um serviço que está impedindo o computador de ser iniciado da forma adequada. Pode-se usar o Recovery Console para: Iniciar e interromper serviços; Ler e gravar dados em uma unidade local (inclusive unidades formatadas com o sistema de arquivos NTFS); Formatar discos rígidos e exibir arquivos de sistema ocultos. 16.2.1. Instalando o Recovery Console Para instalar o Recovery Console, executa-se o comando Winnt32 com a opção /cmdcons. Para acessar o Recovery Console basta escolher esta opção no menu de inicialização do sistema14. Ao iniciar o Recovery Console, deve-se especificar em qual instalação do Windows 2000 deseja-se efetuar logon (mesmo em um computador configurado para inicialização única). É necessário efetuar logon como administrador. G

-

N

2

W0

! ! 2

%

W0

01

/

&

' ?

!

16.2.2. Comandos do Recovery Console Ao executar o Recovery Console, é possível obter ajuda sobre os comandos disponíveis digitando help no prompt de comando. A tabela a seguir descreve os comandos disponíveis no Recovery Console: Comando Chdir (cd)

Descrição Exibe o nome da pasta atual ou altera a pasta atual

Chkdsk

Verifica um disco e exibe um relatório de status Limpa a tela Copia um único arquivo para um outro local Exclui um ou mais arquivos Exibe a lista dos arquivos e subpastas de uma pasta Desativa um driver de dispositivo ou serviço do sistema

Cls Copy Delete (Del) Dir Disable Enable

Inicia ou ativa um driver de dispositivo ou serviço do sistema


Exit Fdisk Fixboot Fixmbr Format Help Logon Map Mkdir (md) More Rmdir (rd) Rename (ren) Systemroot

Sai do Recovery Console e reinicia o computador Gerencia as partições nos discos rígidos Grava um novo setor de inicialização na partição do sistema Repara o registro de inicialização mestre do setor de inicialização da partição Formata um disco Exibe a lista dos comandos usados no Recovery Console Efetua logon em uma instalação do Windows 2000 os mapeamentos de letras de unidade Exibe Cria uma pasta Exibe um arquivo de texto Exclui uma pasta Renomeia um único arquivo Define a pasta atual como a pasta “raiz do sistema” do sistema ao qual estiver-se

16.3. Recuperando um Computador com o Processo de Reparação de Emergência Utiliza-se o processo de reparação de emergência para tentar recuperar o Registro, arquivos do sistema, setor de inicialização da partição e ambiente de inicialização. No entanto, o sucesso deste processo poderá depender da existência do ERD (Emergency Repair Disk), que deve ser criado com o utilitário de backup do Windows 2000. Se não existir um ERD, ainda pode-se tentar utilizar este processo para consertar um sistema, mas talvez não seja possível solucionar todos os problemas. O processo de criação do ERD é bastante simples, bastando escolher no utilitário de Backup a opção Emergency Repair Disk.

Também pode-se determinar que seja feito um backup do Registro na pasta de reparação para auxiliar na recuperação do sistema caso o Registro seja danificado.


O ERD deve ser devidamente identificado e armazenado em local seguro, além de freqüentemente dever ser atualizado.

2% @

< %

#

seguir #

*5

=

>

! $

!

$

*

Nota: O processo de reparação conta com as informações salvas na pasta \Winnt\Repair. Esta pasta, portanto, não deve ser alterada ou excluída. Iniciar o computador usando os discos ou o CD de instalação do Windows 2000 A primeira etapa do processo de reparação de emergência é iniciar o computador com problemas usando os discos ou o CD de instalação do Windows 2000. Escolher as opções de reparação durante a instalação Após a inicialização do computador, o Setup é iniciado. Durante o Setup, escolhe-se continuar instalando o sistema operacional Windows 2000. Durante a instalação, especificase se será realizada uma instalação de uma versão nova do Windows 2000 ou uma reparação de uma já existente. Para reparar um sistema danificado ou corrompido, pressiona-se R. Deve-se então escolher entre o Recovery Console e o processo de reparação de emergência. Pressiona-se novamente R para reparar o sistema usando o processo de reparação de emergência. Escolher o tipo de reparação Posteriormente, escolhe-se a opção de reparação a ser usada. A opção de reparação mais rápida não requer nenhuma interação do usuário. Esta opção tenta reparar os problemas relacionados ao Registro, aos arquivos do sistema, ao setor de inicialização da partição no volume de inicialização a ao ambiente de inicialização (se existir uma configuração de inicialização dupla). A opção de reparação manual requer intervenção do usuário. Esta opção permite optar por reparar arquivos do sistema, problemas no setor de inicialização da partição ou no ambiente de inicialização, mas não problemas com o Registro.


Iniciar o processo de recuperação Para iniciar o processo de reparação, deve-se verificar a existência do ERD de 1.44 MB criado como o utilitário de backup. O CD original do Windows 2000 também deverá estar disponível. Caso não exista um ERD, o processo de reparação de emergência tentará localizar os arquivos de instalação do Windows 2000 e começar a reparar o sistema, mas pode ser que o processo falhe. Reiniciar o computador Se o processo de reparação de emergência tiver sido concluído com êxito, o computador será reiniciado automaticamente e o sistema voltará a funcionar normalmente.

17.

Técnicas de Medição de Performance

Uma das tarefas de um profissional responsável pelo correto funcionamento de uma ambiente computacional baseado em Windows 2000 é monitorar os recursos do sistema nos servidores a fim de avaliar a carga de trabalho e observar possíveis gargalos. Com isso, espera-se do profissional a devida intervenção antes que o gargalo provoque problemas visíveis aos usuários do ambiente. O Windows 2000 possui ferramentas para o monitoramento dos recursos do sistema, como por exemplo, o System Monitor, que deve ser usado para coletar e exibir dados em tempo real ou registrados previamente sobre a atividade da rede, do processador, do disco e da memória. 17.1. Análise e Otimização do Servidor Análise e otimização do servidor consiste em saber quais as ações a executar para melhorar o desempenho do sistema em resposta à demanda. A análise e otimização do servidor começam pela manutenção cuidadosa e organizada dos registros. Isto é feito com o objetivo de analisar a utilização do recurso para determinar a demanda futura ao sistema. A análise de performance de um servidor Windows 2000 envolve a procura pela superutilização de qualquer recurso de hardware que cause redução no desempenho do sistema. Vários recursos precisam ser monitorados ao implementar uma estratégia para análise e otimização do servidor. Os recursos a seguir têm, freqüentemente, o maior impacto no desempenho do servidor: Memória Processador Subsistema de disco Subsistema de rede


Ao monitorar recursos do sistema, é importante não só monitorar cada recurso individualmente, mas também o sistema como um todo. Monitorando-se o sistema inteiro, torna-se mais fácil detectar problemas resultantes de combinações de recursos. A utilização de um recurso do sistema pode afetar o desempenho de outro, mascarando desta forma a utilização e o desempenho do segundo recurso. Por exemplo, em um servidor a falta de RAM pode resultar em paginação excessiva, que reduz o rendimento do subsistema de disco na resposta às solicitações do sistema e dos usuários. Se apenas o subsistema de discos fosse monitorado neste servidor, poderia chegar-se à conclusão errada de que o disco deveria ser substituído por um mais rápido, quando na verdade o problema estaria na falta de memória RAM (ou na má utilização da existente). Monitorar todos os quatro recursos do sistema fornece uma visão mais clara dos efeitos que estes recursos combinados exercem um sobre o outro. 17.2. Objetos, Ocorrências e Contadores A compreensão de como os objetos, ocorrências e contadores se relacionam é fundamental para o uso eficiente do System Monitor. Eles são: Objetos: No System Monitor, os objetos são os componentes ou subsistemas principais do sistema de computador. Eles podem ser um hardware, como o disco rígido, ou um software, como um processo. Existe um número fixo de objetos no Windows 2000. Instâncias: As instâncias (ou ocorrências) são múltiplos do mesmo tipo de objeto. Por exemplo, se um sistema tiver vários processadores, o tipo de objeto Processor terá várias instâncias. Contadores: Os contadores obtêm dados sobre diferentes aspectos dos objetos. Por exemplo, para o objeto Process (Processo), os contadores obtêm dados sobre o tempo de processador e de usuário. Os contadores são incorporados ao sistema operacional e capturam dados continuamente, quer eles estejam visíveis ou não no System Monitor. Se um tipo de objeto tiver várias ocorrências, os contadores controlarão estatísticas para cada ocorrência ou para o total de todas as ocorrências. 17.3. Usando o System Monitor Utiliza-se o System Monitor para coletar e exibir dados em tempo real ou registrados previamente sobre a atividade da rede, do processador, do disco e da memória. As informações do System Monitor podem ser exibidas no formato gráfico, de histograma (gráfico em barras) ou de relatório. Os gráficos, histogramas e relatórios podem ser exibidos em um navegador e impressos quando os dados de desempenho são salvos como um arquivo no formato HTML 17.4. Adicionando Contadores


Como os contadores obtêm continuamente dados sobre o desempenho do sistema, quando são adicionados contadores, seus valores passam a ser exibidos no System Monitor. Isso permite monitorar o desempenho do sistema. Para adicionar contadores no System Monitor, executa-se as seguintes etapas: Na ferramenta Performance, clica-se com o botão direito do mouse no paine de detalhes do System Monitor e, em seguida, clica-se em Add Counters; Na lista Performance Object, seleciona-se um objeto para ser monitorado. Os objetos disponíveis se baseiam nos serviços e aplicativos instalados no computador local. Pode-se escolher vários contadores para cada objeto. A tabela a seguir descreve os principais objetos do Windows 2000 System Monitor. Nome do objeto Cachê

Descrição Área da memória física que armazena os dados

Memory Objects Paging File

RAM usada para armazenar código e dados Certos objetos de software de sistema Arquivo usado para alocações de memória

Physical Disk Process

Unidade de disco do hardware Objeto de software que representa programa em execução

Processor

Unidade e hardware que executa instruções de programa

um

Server

Serviço que responde às solicitações de dados de clientes na rede System Contadores que se aplicam a todo hardware e software do sistema Thread Parte de um processo que usa o processador Depois que um objeto for selecionado, os contadores a ele associados serão exibidos na lista. Clicar em All counters ou Select counters from list para escolher contadores individuais; Se um objeto tiver ocorrências, clicar em All instances ou Select instances from list para escolher ocorrências individuais; Clicar em Add e clicar em Close para fechar a caixa de diálogo Add Counters. Além de observar os contadores em tempo real, é possível registrar os dados no Performance Logs anda Alerts, no console Performance, e exibi-los posteriormente. Para tanto, basta clicar com o botão direito do mouse em Counter logs e escolher a opção New log settings, adicionar os contadores desejados, definir um nome e um formato de arquivo para os dados coletados e, por fim, agendar sua coleta.


17.5. Otimizando o Desempenho O nível de desempenho do sistema considerado aceitável quando ele está tratando de uma carga de trabalho típica e executando todos os serviços necessários é chamado de linha de base. O desempenho de linha de base é um padrão subjetivo que o administrador determina com base no nível típico de desempenho sob cargas de trabalho e uso típicos. A linha de base pode ser a medida usada para definir as expectativas de desempenho dos usuários e pode ser incluída nos contratos de nível de serviço. O processo de otimização ajuda a determinar quais ações devem se tomadas para melhorar o desempenho do sistema em resposta às demandas do sistema. A otimização do desempenho inicia com a manutenção de registros de forma organizada e cuidadosa. O processo de otimização do desempenho inclui as seguintes tarefas: Analisar os dados de monitoramento. A análise dos dados de monitoramento consiste em examinar os valores de contadores que são reportados enquanto o sistema está executando várias operações. Durante esse processo, deve-se determinar: o Quais os processos mais ativos e quais programas ou segmentos (se existentes) estão monopolizando um recurso. o Se o uso excessivo de algum recurso de hardware ocasiona uma redução no desempenho do sistema. o Se há efeitos residuais de gargalos e outros recursos de hardware subutilizados. Por exemplo, se o sistema ficar mais lento e a atividade do disco rígido aumentar, isso poderá indicar um problema na unidade de disco rígido ou RAM insuficiente para dar suporte aos aplicativos a ao sistema operacional. Identificar áreas de desempenho inaceitável. Como resultado dessa análise, pode-se descobrir que o desempenho do sistema é algumas vezes satisfatório e outras, insatisfatório. Em geral, determinar se o desempenho ou não aceitável é um julgamento subjetivo que varia significativamente com as variações nos ambientes dos usuários. Os valores estabelecidos como as linhas de base de organização são a melhor base de comparação.


Além disso, é preciso lembrar que o desempenho varia ao longo do tempo e o monitoramento precisa incluir diferentes períodos de uso do sistema. Tomar uma ação corretiva. Dependendo das causas dessas variações e do grau de diferença, pode-se tomar uma ação corretiva ou aceitar essas variações e adiar o ajuste ou a atualização dos recursos para uma data posterior. Em alguns casos, o impacto da ação corretiva poderá não ser suficiente para que a alteração valha a pena. 17.5.1. Examinando o desempenho da memória Um nível de memória baixa pode tornar lenta a operação dos aplicativos e serviços no computador e afetar o desempenho de outros recursos do sistema. Todo o processamento em um sistema ocorre na memória, portanto, deve-se garantir que haja memória suficiente para dar suporte às tarefas diárias executadas pelo sistema. Os contadores descritos na tabela a seguir são úteis para examinar o objeto Memory. Contador Pages/sec

Descrição Indica o número de páginas solicitadas que não ficaram imediatamente disponíveis na RAM e que precisaram ser lidas ou gravadas no disco para abrir espaço para outras páginas na RAM. Se seu sistema tiver uma taxa alta de falhas de páginas do disco rígido, o valor de Pages/sec poderá ser alto.

Available bytes

Indica a quantidade de memória física restante após os conjuntos de trabalho dos processos em execução e do cachê terem sido atendidos

Se o valor de Available Bytes estiver sempre abaixo do limite definido pelo sistema e o valor de Pages/sec aumentar continuamente, é provável que a configuração de memória seja insuficiente para as necessidades. Uma outra maneira de descobrir se há quantidade insuficiente de memória é se o sistema estiver paginando freqüentemente. Paginação é o processo que consiste em mover continuamente a memória virtual entre a memória física e o disco. Quando há pouca memória no computador, a atividade de paginação aumenta; portanto, a paginação freqüente indica quantidade insuficiente de memória. A maior atividade de paginação15 acarreta mais trabalho para os discos e compete comoutras transações que estão sendo executadas no disco. Por sua vez, o processador é usado menos ou executa um trabalho desnecessário processando diversas interrupções devido às falhas de páginas repetidas. Essas falhas ocorrem quando o sistema não consegue localizar o código ou os dados solicitados na memória física disponível para o processo que fez a solicitação. Finalmente, os aplicativos e os serviços passam a responder menos.


15 Como a paginação excessiva pode fazer um uso substancial do disco rígido, é possível confundir quantidade insuficiente de memória, que ocasiona paginação, com um gargalo do disco que resulta da paginação. Para verificar se um arquivo de paginação está próximo de seu limite máximo16, verifique o tamanho real do arquivo e compare esse valor com a configuração de tamanho máximo de arquivo de paginação contida em System no Control Panel. Se esses dois números tiverem um valor próximo, considere o aumento do tamanho do arquivo de paginação inicial ou a execução de um menor número de programas. 16 Se o arquivo de paginação atingir seu tamanho máximo, será exibido um aviso e a execução do computador talvez seja interrompida. O arquivo de paginação está localizado no disco em que o Windows 2000 foi instalado. Para verificar o tamanho desse arquivo, exiba o tamanho de arquivo mostrado para Pagefile.sys no Windows Explorer. Se o espaço em disco for adequado, você poderá aumentar o tamanho do arquivo de paginação. O tamanho recomendado para esse arquivo equivale a 1,5 vezes a quantidade de RAM disponível no sistema. Os seguintes contadores monitoram o tamanho do arquivo de paginação: Monitore este contador Paging File\ % Usage

Depois aumente o tamanho do arquivo se O valor estiver próximo da configuração

Paging File\ % Usage Peak (bytes)

O valor estiver próximo de 100%

17.5.2. Examinando o desempenho do processador Ao examinar o desempenho do processador, considere a função do computador e o tipo de trabalho que está sendo executado. Dependendo do que o computador estiver fazendo, valores altos de utilização de processador poderão indicar que o sistema está tratando com eficiência de uma carga de trabalho pesada ou está tentando mantê-la sob controle. No entanto, se vários processos estiverem disputando o tempo do processador, a instalação de um processador mais rápido poderá melhorar a taxa de transferência. Os contadores que são úteis para examinar o desempenho do processador são descritos na tabela a seguir. Objeto

Contador

Descrição

Processor

% Processor Time Mostra a porcentagem de tempo decorrido que um processador está ocupado executando um segmento não ocioso. Uma porcentagem maior do que 80% poderá indicar um gargalo

System

Processor Queue Mostra o total de segmentos existentes atualmente na fila Lenght do processador. Uma fila de dois ou mais itens em um sistema de processador único poderá indicar um gargalo


Valores de Processor em torno de 100% em um servidor que esteja processando várias solicitações de clientes indicam que os processos estão em fila, aguardando tempo do processador e ocasionando um gargalo. Um gargalo ocorre quando um subsistema está tão sobrecarregado com trabalho que os outros subsistemas não são totalmente utilizados ou ficam ociosos aguardando que o subsistema sobrecarregado conclua uma tarefa. Esse nível constante de uso do processador é inaceitável para um servidor. 17.5.3. Examinado o desempenho do disco O Windows 2000 inclui contadores que monitoram a atividade dos discos físicos17 (incluindo unidades de mídia removível), bem como de volumes ou partições lógicas. O objeto PhysicalDisk fornece contadores que reportam a atividade dos discos físicos. O objeto LogicalDisk fornece contadores que reportam estatísticas sobre discos lógicos e volumes de armazenamento. O System Monitor identifica os discos físicos por número iniciando em 0 e identifica os discos lógicos pela letra da unidade. A tabela a seguir fornece uma descrição dos contadores dos objetos LogicalDisk e PhysicalDisk que são úteis para examinar o desempenho do disco. Objeto Contador LogicalDisk % Free Space

Descrição Reporta a porcentagem de espaço não alocado em disco em relação ao espaço total utilizável no volume lógico

LogicalDisk Avg. Disk Bytes/Transfer Mede o tamanho das operações de E/S. O disco será eficiente se transferir grandes quantidades de dados de modo relativamente rápido PhysicalDisk LogicalDisk Avg. Disk sec/Tranfer Indica a velocidade de transferência dos dados (em segundos). Mede o tempo médio de cada transferência de dados, independentemente do número de bytes lidos ou gravados. PhysicalDisk

LogicalDisk Disk Bytes/sec

PhyscalDisk LogicaDisk Disk Transfers/sec

Um valor alto desse contador poderá indicar que o sistema está repetindo as solicitações devido a uma fila muito longa ou, com menor freqüência, devido a falhas do disco Indica a taxa de transferência de bytes e é a principal medida da taxa de transferência do disco. Quanto mais alto o número, melhor o desempenho Indica o número de leituras e gravações concluídas por segundo, independentemente da quantidade de dados envolvida. Mede a utilização do disco.

PhysicalDisk 17 Ao monitorar o desempenho do disco, é recomendável registrar os dados de desempenho em outro disco ou computador para que eles não interfiram com o disco que está sendo testado.


Se o valor exceder 50 (por disco físico no caso de um conjunto de distribuição), um gargalo poderá estar sendo criado 17.5.4. Examinado o desempenho da rede A atividade da rede pode influenciar o desempenho não só dos componentes da rede, como também do sistema como um todo. Após testar e otimizar os recursos do computador cliente ou do sistema do servidor, examine o desempenho da rede. Após capturar e analisar os dados, identifique as áreas que representam problema e tome uma ação corretiva. O Performance Monitor permite monitorar o desempenho dos objetos de rede em um servidor. A tabela a seguir fornece uma descrição dos objetos e de seus contadores úteis para examinar a atividade de um servidor membro de rede. Objeto Network

Contador Output Queue Lenght

Interface

Network

Packets

Interface

Discarded

Network

Bytes Total/séc

Interface

Outbound

Descrição Indica o tamanho da fila de pacotes de saída. O valor deve ser baixo. As filas que têm um ou dois itens apresentam um desempenho satisfatório. Filas mais longas indicam que o adaptador está aguardando a rede e não pode atender as solicitações do servidor Use este contador para determinar se a rede está saturada. Se o contador aumentar continuamente, isso poderá indicar que a rede está tão ocupada que os seus buffers não podem dar suporte ao fluxo de pacotes de saída Use este contador para monitorar o desempenho do adaptador de rede. Valores altos indicam um grande número de transmissões com êxito. Se o valor estiver próximo ou corresponder à capacidade da rede, ela poderá estar saturada

17.5.5. Usando Alertas Utiliza-se alertas para notificar o usuário ou o administrador quando as indicações ultrapassam um critério definido. Os alertas serão úteis se não houver monitoramento ativo de um determinado contador, mas ainda assim desejar-se uma notificação quando exceder ou ficar abaixo de um valor especificado. Por exemplo, pode-se definir um alerta quando a porcentagem de espaço em disco usada exceder 80% ou o número de tentativas de logon malsucedidos


exceder um número especificado. Há três tarefas envolvidas na configuração de um alerta: Selecionar contadores para controlar uma atividade específica do sistema; Definir um valor limite para a atividade; Especificar a ação a ser tomada quando o limite for excedido ou ficar abaixo de um valor específico: Enviar uma mensagem de rede Executar um programa Iniciar um log

18 – Ferramentas de Group Policy Ir em Start, Programs, Administrative Tools e depois em Group Policy Management

No painel esquedo expandir Forest:seudominio à Domanins à seudominio e depois selecionar Group Policy Objects. No painel direito clique com o botão do mouse na GPO desejada e depois em Copy.


No painel esquerdo clique com o bot達o direito do mouse em Group Policy Objects e depois em Paste.

Na tela Copy GPO selecione Preserve the existing permissions e depois clique em OK.


Na tela Copy aguarde o tĂŠrmino do processo e clique em OK.

Observe no Group Policy Objects a GPO copiada


Linkando uma Group Policy existente Clique com o bot達o direito do mouse na Organization Unit desejada e depois em Link an Existing GPO...


Na tela Select GPO na caixa Group Policy objects selecione a GPO desejada e clique em OK

Salvando um relat贸rio da Group Policy I

/

S S )3

9

)

W 3-9

/

/

- !


I

1

8

/

?

/

*?

$

9

-

=

#$

%

/

S

*

)

W*


19 - IIS 6.0 – Instalação, Administração e Configuração 19.1 - Objetivos Esta tutorial sobre o Internet Information Services versão 6.0 (IIS 6.0), o Servidor Web da Microsoft. Pretendemos, abranger todos os aspectos da arquitetura, instalação, administração e configuração dos serviços disponíveis pelo IIS e mostrar sua importância no mundo atual que, cada vez mais, migra para globalização de recursos e tecnologias. Nesta abordagem a arquitetura do IIS 6.0 e sua instalação padrão. Em outras oprtunidades abordaremos em detalhe os seus recursos mais utilizados com dicas e técnicas de melhores práticas. 19.2 - Introdução Nos últimos 3 anos, tem sido muito claro a intenção das corporações em migrar, senão todo, grande parte de seu ambiente colaborativo para as tecnologias que envolvem a Internet. Não somente pela diminuição de custos que isso representa na maioria dos casos como também pelas facilidades imensas de acessibilidade, padronização e portabilidade que este ambiente fornece. Grandes fornecedores de softwares e soluções corporativas têm voltado seus olhos para a migração de seus Sistemas de Gestão para essa plataforma. É o caso, por exemplo da SAP - com o MySAP e Netweaver - da IBM, com o WebSphere, e da própria Microsoft com a plataforma .NET, por entenderem que dessa forma, com a diminuição de custos e aumento de valor agregado, podem desembarcar na terra das pequenas e médias empresas (Small and Medium Business) com valores competitivos e acessíveis a esse nicho de mercado. Com o anúncio da Microsoft sobre tornar os documentos do Office v.12 padrão XML, certamente o IIS terá um lugar ainda maior de destaque no cenário empresarial. Produtos como o SharePoint Portal e Sharepoint services e o WSUS, para citar somente os da Microsoft, já evidenciam o papel de importância que o IIS tem e terá na área de WebServers.


Desse modo, é de vital importância o entendimento, tanto de sua arquitetura como de seu funcionamento como um todo, por parte dos desenvolvedores para Web, webmasters e administradores de rede. 19.3 - IIS – Arquitetura – Visão Geral 19.3.1 - Arquitetura de Processos Tolerante a Falhas O IIS 6.0 isola os sites da Web e aplicativos em unidades chamadas "Classes de Aplicativos”. As Classes de Aplicativos fornecem uma forma conveniente de administrar os sites na Web e aplicativos, e aumentam a confiabilidade, já que erros em uma Classe de Aplicativos não provocam erros em outras classes ou falhas no servidor. 19.3.2 Health Monitor O IIS 6.0 verifica periodicamente o status das Classes de Aplicativos reiniciando-as automaticamente em caso de falhas nos sites da Web ou em aplicativos nessa Classe de Aplicativos, aumentando a disponibilidade. Ele também protege o servidor e outros aplicativos, desabilitando automaticamente sites na Web e aplicativos, se falharem em um curto período de tempo. 19.3.3 Novo modo driver kernel, HTTP.sys O Windows Server 2003 introduz um novo driver kernel, protocolo HTTP (HTTP.sys), melhorando o desempenho e a escalabilidade. Esse driver foi desenvolvido especificamente para melhorar o tempo de resposta do Servidor da Web. 19.3.4 Integração com Aplicativos e Segurança O IIS 6.0 oferece integração com o ASP.NET, o Microsoft .NET Framework e os Serviços da Web em XML, tornando-se a plataforma especialmente projetada para aplicações .NET. Existe uma ação mais pró-ativa contra os usuários mal-intencionados. O IIS 6.0 não é instalado por padrão como acontece com o IIS 5.0 e o Windows 2000 Server. Além disso, o processo de instalação padrão da versão 6.0 é mais rígido que a versão 5.0 e é realizada em um ambiente altamente seguro e bloqueado. Ela desabilita mais de 20 serviços que vinham habilitados automaticamente no Windows 2000. O IIS 6.0 é "Locked-down server By default", em outras palavras, está protegido na sua instalação, exigindo que o administrador habilite as funções especiais e necessárias para executar o site na Web. Sem isso, ele só pode oferecer conteúdo estático e extensões dinâmicas desabilitadas. Isso faz com que o IIS 6.0 seja o servidor de Web mais seguro. Veja as principais diferenças no processo de instalação:


IIS.

Tabela 1 - Comparação de Instalação Padrão entre as versões 5.0 e 6.0 do

Componentes do IIS Suporte a arquivos estáticos ASP Server-side Includes Internet Data Connector WebDAV Index Server ISAPI Internet Printing ISAPI CGI Extensões do FrontPage Funcionalidade de Troca de Senhas SMTP FTP ASP .NET BITS

Instalação Padrão do IIS 5.0 Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Instalação Padrão do IIS 6.0 Habilitado Desabilitado Desabilitado Desabilitado Desabilitado Desabilitado Desabilitado Desabilitado Desabilitado Desabilitado

Habilitado Habilitado X X

Desabilitado Desabilitado Desabilitado Desabilitado

Tabela adaptada da apresentação do WebCast da Microsoft – “Windows Server 2003 – Gerenciando o Internet Information Services 6.0(IIS 6.0)”, apresentado em 05 de agosto de 2005. Os recursos que permitem conteúdo dinâmico como o ASP, ASP .NET, WebDAV e extensões FrontPage, só funcionarão se forem habilitados manualmente. Se você não habilitou esses recursos após uma instalação “NNF” (Next, Next... Finish) do IIS, ele retornará um erro código 404 para as requisições de páginas ao servidor. Além da necessidade de habilitação manual, se uma extensão de aplicativo não estiver mapeada no IIS (.php por ex.), ele também retornará um erro 404. Ou seja, quase todas as funcionalidades da versão 6.0 precisam ser explicitamente desejadas e habilitadas manualmente para funcionar. Assim, o ambiente torna-se mais controlado. Veremos, no decorrer do nosso curso, como habilitar e configurar detalhadamente as principais funções e como resolver os problemas mais freqüentes. No quesito autenticação, a autenticação Digest avançada traz importantes melhorias em relação à autenticação básica, pois as credenciais são enviadas pela rede como um hash MD5 e são armazenadas dessa forma no Active Directory do controlador do domínio. Esse mecanismo torna extremamente difícil, para os usuários malintencionados, descobrir senhas de usuários, e você não precisa modificar os aplicativos.


Se você tiver interesse em conhecer melhor o hash MD5, leia a RFC 1321 http://www.faqs.org/rfcs/rfc1321.html. Ainda comentando sobre as principais diferenças, segue uma tabela comparativa entre as versões 4.0, 5.0 e 6.0 do IIS. Saber essas diferenças é importante, não somente para acompanhar a evolução do produto mas também ter conhecimento das funcionalidade que vocês encontrará em cada versão do produto ainda ativa no mercado.

Tabela 2 - Principais diferenças entre as versões ativas no mercado.

Plataforma Arquitetura Configuração do metabase Segurança

IIS 4.0 Windows NT 4.0 32-bits Binário • •

Windows Authentication SSL

Administração HTMLA Remota

IIS 5.0 Windows 2000 32-bits Binário • • •

• •

IIS 6.0 Windows Server 2003 32-bits e 64-bits XML

Windows Authentication SSL Kerberos

HTMLA Terminal Services

• • • •

Suporte a In Windows NT 4.0 Cluster Suporte a ESMTP Mail Suporte ao Ipv6 IPv4

Windows Authentication SSL Kerberos Security Wizard Suporte a Passaportes Remote Administration Tool (HTML) Remote Desktop

IIS Clustering

Windows support

SMTP

SMTP & POP3

IPv4

IPv4 e IPv6

Tabela adaptada da apresentação do WebCast da Microsoft – “Windows Server 2003 – Gerenciando o Internet Information Services 6.0(IIS 6.0)”, apresentado em 05 de agosto de 2005. 19.3.5 Confiabilidade – Modo de Isolamento O IIS 6.0 é mais confiável do que as versões anteriores devido a uma nova arquitetura de processamento de solicitação, que fornece um ambiente de isolamento de


aplicativo que permite o funcionamento de aplicativos da Web individuais em seu próprio processo. Você pode configurar o IIS 6.0 para execução em modo de isolamento por processos, que executa todos os processos em um ambiente isolado, ou no modo de isolamento do IIS 5.0, por questões de incompatibilidade de aplicativos Web com o modo de isolamento da versão 6.0. O IIS 6.0 funciona em um dos seguintes modos de operação, denominados modos de isolamento de aplicativos (Isolation Modes): Worker Processes e IIS 5.0 Isolation Modes (modos de isolamento do IIS 5.0). Ambos dependem do HTTP.sys como escuta do Hypertext Transfer Protocol (HTTP); no entanto, suas funções internas são basicamente diferentes. Como configurar os modos de isolamento de aplicativos será detalhado nos próximos capítulos. O modo de isolamento de aplicativos do IIS que você escolher influencia o desempenho, a confiabilidade, a segurança e a disponibilidade de recursos. 19.3.6 Worker Processes

Figura 1 - Worker Processes


Esse modo aproveita a arquitetura remodelada do IIS 6.0 e usa o componente principal de processo do operador. É o modo de operação recomendado para o IIS 6.0 porque oferece uma plataforma mais robusta para os aplicativos. Ele também oferece um nível de segurança mais alto porque a identidade padrão dos aplicativos em execução em processos do operador é o NetworkService. Os processos principais do IIS, neste modo, rodam separados dos processos dos sites. Se um Application Pool apresentar algum problema e ‘travar’, somente o site pertencente a este Application pool vai parar. Todo o resto do IIS continuará funcionando. Essa arquitetura torna o IIS muito confiável porque o Serviço de publicação na World Wide Web(serviço WWW), o serviço de administração do IIS e o HTTP.sys podem ficar ativos e em execução continuamente, independentemente de qualquer interrupção no serviço que possa ocorrer em um processo do operador. Além disso, sites em execução em Worker Processes não são afetados por falhas em outros Worker Processes, pois estão isolados uns dos outros por limites de processo. O modo Worker Process permite que os clientes criem vários Applications Pool(Pool de Aplicativos), onde cada um deles pode ter uma configuração exclusiva. O desempenho e a confiabilidade são aprimorados porque esses pools recebem suas solicitações diretamente do kernel e não do serviço da Web. Você pode configurá-los para que, quando um pool de aplicativos específico sofrer várias falhas consecutivas, ele seja desabilitado automaticamente. Além disso, você pode configurar o IIS para reiniciar os Worker Processes periodicamente em um pool de aplicativos. Quando um novo processo é reinicializado, ele se encarrega de todas as solicitações para o pool de aplicativos enquanto o processo de operador que o precedeu termina o processamento de suas solicitações da fila. A reciclagem de processos de operador permite que você gerencie aplicativos problemáticos, como os que apresentam perdas de memória, sem interromper o serviço para os usuários. Embora este modo de isolamento ofereça isolamento, confiabilidade, disponibilidade e desempenho melhores, alguns aplicativos podem apresentar problemas de compatibilidade quando executados nesse modo. Se ocorrer esse tipo de problema, use o modo de isolamento do IIS 5.0. 19.3.7 IIS 5.0 Isolation Modes É fornecido para aplicativos que dependem de recursos e comportamentos específicos do IIS 5.0. O modo de isolamento é especificado pela propriedade IIs5IsolationModeEnabled da metabase. O metabase será discutido em maiores detalhes nos próximos capítulos.


Figura 2 - IIS 5.0 Isolation Mode O modo de isolamento do IIS 5.0 garante a compatibilidade dos aplicativos desenvolvidos para o IIS 5.0. O processamento de solicitações do IIS 6.0 executado em modo de isolamento do IIS 5.0 é quase igual ao do IIS 5.0. No modo de isolamento do IIS 5.0, os recursos de pools de aplicativos, reciclagem e detecção de integridade não estão disponíveis. Nesse modo o HTTP.sys é usado da mesma maneira que no modo de isolamento do Worker Process. A única exceção é que ele encaminha as solicitações apenas a uma única fila de solicitações, mantida pelo serviço WWW. Perceba que todos os serviços juntamente com os processos rodam sob o Inetinfo.exe. Se este componente falhar, o IIS todo para. IIS 6.0

Compare abaixo as funcionalidades presente nos dois modos de processos do Tabela 3 - Comparando funções do IIS 6.0

Função do IIS

IIS 5.0 Isolation Mode Host / Componente

Worker Processes Host / Componente


Gerenciamento de Worker Processes Worker Process Execução de extensões ISAPI no processo Execução de extensões ISAPI externas ao processo Execução de filtros ISAPI Configuração do http.sys Suporte ao protocolo http Metabase do IIS FTP NNTP SMTP

Não Disponível (N/D)

Svchost.exe / serviço WWW

N/D Inetinfo.exe

W3wp.exe / Worker Process W3wp.exe

DLLHost.exe

N/D (todas as extensões ISAPI são executadas no processo) W3wp.exe Svchost.exe / serviço WWW

Inetinfo.exe Svchost.exe / serviço WWW Kernel do Windows / HTTP.sys Inetinfo.exe Inetinfo.exe Inetinfo.exe Inetinfo.exe

Kernel do Windows / HTTP.sys Inetinfo.exe Inetinfo.exe Inetinfo.exe Inetinfo.exe

Adaptação da tabela de referência às funções no tópico IIS Isolation modes do Help do IIS (iismmc.chm). Notas •

O IIS 6.0 não é capaz de executar os dois modos de isolamento de aplicativos simultaneamente. Portanto, não é possível executar alguns aplicativos da Web no modo Worker Process e outros em modo IIS 5.0 Isolation Process no mesmo servidor IIS. Se existirem aplicativos que requerem modos diferentes, você terá que executá-los em servidores separados. Na pasta %SystemRoot%\help, onde %SystemRoot% = caminho de instalação do sistema (geralmente C:\Windows ou C:\Winnt), existem vários arquivos de help (.chm) interessantíssimos. Invista um tempo em estudá-los.

Se você quiser saber mais detalhes sobre todos os recursos implementados e melhorados da versão 6.0 do IIS, leia o tópico Getting Start – IIS 6.0 Features (Guia de Introdução – Recursos do IIS) do arquivo de help do IIS 6.0 (ismmc.chm, localizado em %SystemRoot%\help). 19.4 - Instalação Depois desta breve descrição de suas funcionalidades, vamos passar para a parte prática, descrevendo o processo deinstalação padrão do IIS O processo foi realizado em um Windows Server 2003 – Standard Edition (English). 1. Clique em START » Settings » Control Panel » Add or Remove Programs;


2. Clique em Add/Remove Windows Components; 3. Selecione & Application Server

4. Clique em ‘Details’ para que os sub-itens de ‘Application Server’ apareçam; 5. Selecione o item ‘Internet Information Services (IIS) e clique em ‘Details...’;

Ao selecionar o item ‘Internet Information Services(IIS), todos os componentes necessários para uma instalação básica do IIS serão selecionados automaticamente.


Veremos posteriormente a função de cada um desses sub-componentes, o que deveremos fazer e quando deveremos habilitá-los. No momento vamos nosdeter na instalação básica pois o objetivo é instalar o IIS e colocá-lo para atender como WebServer.

Você notará que somente 3 itens dos Sub-componentes do IIS estarão selecionados. Ainda, se selecionarmos o item ‘World Wide Web Service’, veremos que somente o serviço World Wide Web está assinalado. Todos os outros sub-componentes, necessários para desenvolvimento de sites dinâmicos estão desabilitados por padrão.


Bom, aogra que você visualizou todos os sub-componentes disponíveis para o IIS, clique em ‘OK’ quantas vezes for necessário para voltar à tela do ‘Application Server’ e clique em ‘Next’. A caixa ‘Configuring Components’ aparecerá e solicitará para que você insira o disco do Windows Server 2003 que, no nosso caso, é a versão Standard. Esse procedimento é o mesmo para todas as versões do Windows Server 2003, inclusive para a Web Edition.

Ao inserir o CD do Sistema Operacional, ele continuará a instalação e a finalizará com a tela já conhecida do ‘Finish’.


Clique em Finish e abra o Gerenciador do IIS através do START » Programs » Administrative Tools » Internet Information Services (IIS). Pronto! Seu IIS está ativo e pronto para atender requisições de páginas. Porém, nessa configuração padrão ele somente atenderá requisição de páginas estáticas, retornando, como já vimos, o erro 404 para qualquer requisição de páginas dinâmicas. Você poderia pergunta por exemplo, porque iria querer ter um IIS sem funcionalidades de páginas dinâmicas. Temos um exemplo disso em nossa empresa! Temos um IIS servindo somente o SMTP e outro com os sites em desenvolvimento. Isso é interessante por diversas razões, desde o balanceamento de carga de trabalho até por questões de segurança. No nosso caso, temos alguns sistemas que emitem relatórios e enviam-nos pelo correio (o ISA Server por exemplo). Desse modo, em nossa DMZ temos um IIS Server somente para essa função. Desse modo, a carga de correio fica ao encargo desse servidor, liberando nosso Web Server de desenvolvimento e caso haja algum comprometimento deste IIS, não teremos nosso trabalho de desenvolvimento comprometido.


Conclusão O objetivo principal desta parte do tutorial foi mais teórico do que prático por entendermos a necessidade de se conhecer a arquitetura do servidor que estamos trabalhando. É importante sabermos as funcionalidades disponíveis, o que podemos e o que não podemos fazer com nosso WebServer, sejamos webmasters, programadores ou administradores de redes. Conhecer o produto nos traz vantagens na resolução de problemas e inclusive permite ações de segurança mais objetivas quando sentimo-nos ameaçados de alguma forma por pessoas inescrupulosas e até pela Internet como um todo. Longe de querer ser ‘O Tutorial” sobre IIS, queremos despertar em você o interesse pela pesquisa. Não discutimos aqui nem 10% do que significa a arquitetura do IIS, mas esperamos que, com esse ‘aperitivo’, você sinta-se estimulado a procurar mais. Como já dissemos, o próprio arquivo de Help do IIS é um material bastante intenso sobre o produto. Leia-o, pesquise, envie-nos seus questionamentos. Teremos prazer em auxiliá-lo. 19.5 Serviço de FTP 19.5.1 Objetivos Passo-a-passo de como instalar e configurar um servidor FTP (File Transfer Protocol) até a funcionalidade, explorando os problemas de gerenciamento e segurança na publicação de servidor na web. Vamos estudar os tipos de configurações possíveis do servidor e suas implementações de segurança em cada um deles. 19.5.2 O Protocolo FTP Segundo a Wikipédia, FTP significa File Transfer Protocol (Protocolo de Transferência de Arquivos), e é uma forma bastante rápida e versátil de transferir arquivos sendo uma das mais usadas na internet. O FTP é um dos meios mais comum de se copiar arquivos de um lugar para outro na Internet. É bastante antigo, inclusive existe suporte até para os sistemas Mainframe. Por esse fato, é desnecessário dizer que é um protocolo bastante simples e não foi projetado pra atender os requisitos de segurança que se fazem necessários nos dias atuais. Por isso mesmo, precisamos entender o seu funcionamento (pelo menos o básico), pra ajustarmos nosso ambiente de rede (corporativo ou não), pra melhor configurar a disponibilidade e a segurança do processo. O Protocolo FTP faz parte da suíte de protocolos TCP/IP e trabalha na camada de Aplicação de sua Arquitetura. Diferentemente do http, por exemplo, e de outros protocolos usados na Internet, o FTP usa no mínimo duas conexões durante uma sessão: uma conexão half-duplex para controle e uma conexão full-duplex para transferência de


dados. Para isso, utiliza as portas 20 e 21 para se comunicar e transmitir dados. A RFC 959 é atualmente o documento oficial que dita seus padrões. A porta 21 é utilizada para estabelecer e manter a comunicação entre o cliente e o servidor. Essa sessão também é conhecida como ‘Control Channel’. É ela quem verifica se a conexão com o servidor ainda existe. A porta 20 é utilizada para a transferência dos dados (arquivos), propriamente dita. É conhecida também como ‘Data Channel’. É nela que é feito o controle do fluxo e integridade dos dados. Para utilizar o FTP, a estação cliente realiza uma conexão com o servidor FTP na porta 21. Após a conexão estabelecida, para cada arquivo transferido estabelece-se uma nova conexão, chamada de conexão de dados. Por padrão, a porta TCP 21 é usada no servidor para controlar a conexão, mas a conexão de dados é determinada pelo método que o cliente usa para se conectar ao servidor. Assim, existem 2 tipos de conexões: » Conexões FTP de modo ativo são algumas vezes chamadas de conexões "gerenciadas pelo cliente" porque o cliente envia um comando PORT ao servidor na conexão do controle. O comando solicita ao servidor que estabeleça uma conexão de dados da porta TCP 20 no servidor até o cliente com a porta TCP especificada pelo comando PORT. » Conexões FTP de modo passivo são às vezes chamadas de conexões "gerenciadas pelo servidor" porque, depois que o cliente emite o comando PASV, o servidor responde com uma de suas portas temporárias usadas como a porta do servidor na conexão de dados. Depois que um comando de conexão de dados é emitido pelo cliente, o servidor se conecta ao cliente usando a porta imediatamente acima da porta do cliente na conexão do controle.


Figura - 1 - FTP Ativo e Passivo Uma sess達o FTP geralmente envolve os elementos ilustrados na figura abaixo.

Figura - 2 - Modelo de Conex達o FTP


1. Interface com o usuário – Aplicativo responsável pela comunicação entre o usuário e o interpretador do protocolo; 2. Interpretador de protocolo (Client/Server PI) – através da conexão de controle (Porta 21), conversa com o interpretador de protocolo do lado servidor (Server PI) e juntos controlam a transferência. Também controla o processo de transferência de dados do cliente (Client DTP). 3. Processo de transferência de dados (Client/Server DTP) – responsável pela comunicação com o Server DTP através da conexão de dados (Porta 20). É a parte do cliente que realmente realiza transferência de dados. Controla também o sistema de arquivos local (4).

19.5.3 - Transferência de dados e firewalls O problema que ocorre com mais freqüência no FTP pela Internet envolve a transferência de dados por servidor proxy, firewall ou dispositivo de conversão de endereços de rede (NAT). Em muitos casos, esses dispositivos de segurança de rede permitem que a conexão de controle seja estabelecida na porta TCP 21 (ou seja, o usuário faz o logon com êxito no servidor FTP); porém, quando o usuário tenta realizar uma transferência de dados do tipo DIR, LS, GET ou PUT, o cliente FTP aparentemente para de responder porque o dispositivo de segurança da rede bloqueia a porta de conexão de dados especificada pelo cliente. Se o dispositivo de segurança da rede der suporte a logs, você poderá verificar o bloqueio da porta consultando os logs de negação/rejeição do dispositivo de segurança. O firewall com filtro de pacotes com base no estado da conexão consegue analisar todo o tráfego da conexão FTP, identificando qual o tipo de transferência que será utilizada (ativa ou passiva) e quais as portas que serão utilizadas para estabelecer a conexão. Sendo assim, todas as vezes que o firewall identifica que uma transferência de arquivos se realizará, é acrescentado uma entrada na tabela de estados, permitindo que a conexão seja estabelecida. As informações ficam armazenadas na tabela somente enquanto a transferência do arquivo é realizada. Com FTP ativo, quando um usuário se conecta ao servidor FTP remoto e solicita informações ou um arquivo, o servidor FTP abre uma nova conexão com o cliente para transferir os dados. Esta é a chamada conexão de dados. Para iniciar, o cliente FTP escolhe uma porta aleatória para receber a conexão de dados. O cliente envia o número da porta escolhida para o servidor FTP e fica esperando uma conexão nessa porta. Então o servidor FTP inicia a conexão com o endereço do cliente na porta escolhida e transfere os dados. Isto se torna um problema para usuários atrás de um gateway NAT tentando se conectar a servidores FTP. Por causa da forma como NAT funciona, o servidor FTP inicializa a conexão de dados se conectando ao endereço externo do gateway NAT na porta escolhida. A


máquina fazendo NAT receberá o pedido, mas como não possui mapeamento para o pacote na tabela de estado, descartará o pacote sem entrega-lo ao cliente. No modo FTP passivo, o cliente pede ao servidor que escolha uma porta aleatória para ouvir esperando a conexão de dados. O servidor informa ao cliente a porta escolhida e o cliente se conecta na porta para transferir os dados. Infelizmente, isto nem sempre é possível ou desejável, por causa da possibilidade do firewall em frente ao servidor FTP bloquear a conexão de dados em portas aleatórias. Em resumo, há dois pontos a considerar. O primeiro é o modo de conexão, que pode ser passivo ou ativo; o segundo é o modo de transferência de dados, que pode ser de fluxo, de bloco ou compactado. O serviço FTP do IIS dá suporte às conexões de modo ativo e passivo, dependendo do método especificado pelo cliente. O IIS FTP não permite desabilitar os modos de conexão ativo ou passivo. O modo de transferência de dados padrão do FTP do IIS é de fluxo. No momento, o IIS não dá suporte ao modo de transferência de dados de bloco ou compactado. A tabela a seguir contém clientes FTP fornecidos pela Microsoft e o modo de conexão a que cada cliente dá suporte.

Tabela 1 - Clientes FTP Microsoft O FTP é um auxiliar indispensável para webdesigners, DBAs, e outros profissionais que necessitam constantemente publicar, criar ou sincronizar dados, planilhas, pagínas html, etc. Mais uma vez, vale a pena lembrar-se de que entender os processos básicos de conexão e transmissão de dados via FTP é importante para a correta configuração de seu ambiente de rede, tanto no que se diz respeito ao seu bom funcionamento como aos aspectos de segurança dos dados. 19.5.4 Segurança Porque a preocupação com segurança? Bom, em princípio, vamos deixar a parte mais ‘fantasiosa’ de lado que são ataques como descritos em filmes clássicos como A Rede e Swordfish e olharmos o lado prático e real.


Apesar da Internet ser a “fonte de todos os males”, algo mais próximo e real é a pior de todas; nossos próprios usuários. Usuários insatisfeitos com a empresa, desonestos e ignorantes, no sentido de desconhecedores, deve ser sua maior preocupação. Os primeiros porque têm a intenção em causar danos, e isso faz com que eles porcurem agulha em palheiro pra atingirem seus objetivos e os últimos por total falta de conhecimento podem realizar acessos indevidos e cometerem os mais absurdos dos erros sem ao menos saberem que os fizeram. E não pense que isso é exclusivo de grandes corporações, se você tem um usuário você já tem um problema. Diante disso, se você é um adminsitrador de redes como eu, deve ter uma preocupação quase que paranóica com a segurança de seus servidores porque, diante das leis atuais você é cúmplice de todo e qualquer dano causado aos negócios da empresa por uma falha de segurança explorada em seus servidores até que se prove o contrário. Essa segurança não se trata somente de questões técnicas mas também administrativas e de disponibilidade de serviços. Nos dias atuais, os administradores de rede devem ser além de especialistas na área, conhecedores das leis sobre recursos digitais, dos negócios da corporação em detalhes, atentos às normas de conduta (execrar os tais ‘jeitinhos brasieleiros’), e cientes de tudo o que acontece no seu território de trabalho. Sem querer me extender mais sobre o assunto, leis como a SOX (Sarbanes & Oxley) e até mesmo algumas alterações no Código Civil Brasileiro, e normas como a ISO 17799, foram criadas diante do fato de que muito se pode fraudar eletrônicamente de dentro da própria corporação. Se, por exemplo, seu servidor de e-commerce se tornar indisponível por causa da exploração de uma vulnerabilidade que é conhecida e corrigida em um path e, esse path não foi aplicado por você por negligência (e não adianta usar a ‘falta de tempo’ como justificativa), o mínimo que pode lhe acontecer é dispensa por justa causa. Por tudo isso é que devemos nos preocupar com essa tal segurança. 19.5.5 Serviço de FTP no IIS O IIS é uma plataforma poderosa para se criar e hospedar web sites, tanto para a Internet quanto para Intranets corporativas e, da mesma forma, para se disponibilizar sites FTP para uso público ou corporativo. A Microsoft é bastante ironizada pelo fato de promover seus produtos em cima dos próprios produtos em versão anterior. Realmente chega a ser cômico o fato dela destacar as deficiências de um produto na versão anterior pra salientar as melhorias da nova versão. Tenho o hábito de dizer que nós só conhecemos verdadeiramente um produto da Microsoft quando ela lança uma nova versão dele. Discussões à parte, vejo esse episódio de uma forma muito otimista porque podemos estudar como garantir melhor a segurança e disponibilidade das versões anteriores do produto ou justificar a aquisição da nova versão, se as melhorias forem realmente importantes para o negócio.


Assim, vamos ver as características e problemas das versões anteriores do serviço de FTP e o que ele nos apresenta de novidade (e verdadeiramente útil), em sua versão 6.0. 19.5.6 Autenticação de Usuários no IIS Através da autenticação do usuário são definidos os níveis de acesso às informações que ele pode acessar como também criar registros das ações realizadas por ele ao se gravar logs de acesso. Na tabela abaixo, segue uma descrição rápida dos tipos de autenticação suportadas pelo IIS.

Tabela 2 - Métodos de Autenticação do IIS 19.5.7 Autenticação de Usuários em site FTP Para sites FTP, no entanto, o IIS disponibiliza somente a autenticação anônima e básica. Com base em seus requisitos de segurança, você poderá selecionar um método de autenticação do IIS para validar os usuários que estiverem solicitando acesso a seus sites FTP. A tabela a seguir resume os métodos de autenticação do FTP.


Tabela 3 - Métodos de Autenticação do IIS FTP O acesso anônimo (Anonymous Authentication) é bastante comum porque permite que o usuário acesse aos sites (WWW ou FTP) sem a necessidade de fornecer nome de usuário e senha. Quando um site (WWW, FTP...) está configurado para permitir esse tipo de acesso uma conta anônima que é criada quando instalamos o IIS é utilizada para permitir o acesso. Geralmente essa conta de usuário tem o formato IUSR_Nome_do_Servidor (no nosso caso IUSR_PLUTAO). Essa conta é incluída em um grupo de usuários que tem restrições de segurança impostas pelas permissões do sistema de arquivo (NTFS) e que designam o nível de acesso e o tipo de conteúdo disponível para os usuários públicos, via acesso anônimo. Com isso, o usuário possui limitações sobre os recursos que pode acessar no servidor. 19.5.8 Serviço de FTP no IIS 5.0 Relembrando um pouco da arquitetura do IIS 5.0 (estudada no Capítulo 1), o serviço de FTP roda dentro do Inetinfo.exe juntamente com outros serviços como o SMTP e o NNTP. Além disso, alguns componentes do serviço WWW também são executados nele. O problema que podemos encontrar nesse modelo é que, se um aplicativo ou site www, ou um desses serviços se comportar mal ou for atacado, todos os serviços e componentes dependentes do Inetinfo.exe sofrerão o efeito colateral deixando de funcionar. Isso nos alerta pra que sejamos bastante criteriosos com a disponibilidade de qualquer serviço do IIS e devemos considerar sempre a possibilidade de distribuirmos os serviços entre dois ou mais servidores colocando, por exemplo, o IIS FTP e servidor diferente do que disponibiliza as Páginas da Intranet corporativa. A segurança de acesso ao serviço FTP nas versão 5.0 é totalmente dependente do Sistema de Arquivos do Windows Server (NTFS). Se a configuração das devidas permissões nas pastas ou diretórios disponíveis para FTP, todos os usuários conseguem visualizar todos os conteúdos de todas as pastas a partir da raiz, independente da confidencialidade de cada um. Essa dependência apesar de eficiente , em termos de segurança, apresenta alguns problemas que devem ser considerados: » Se o administrador esquecer de atribuir permissões ou atribuir permissões inadequadas alguma pasta, toda a segurança do servidor – quiçá da rede toda – pode ser comprometida; » Configurar e manter os registros de permissões para um grande número de usuários requer um esforço descomunal, é altamente complicado e estressante, pra não dizer que é quase impossível ser feito por uma única pessoa (o que não é difícil de acontecer diante das conteções de despesas nos dias atuais). Além da questão NTFS, existem mais alguns detalhes a serem considerados sobre a segurança dessa versão do IIS. » Acesso Anônimo – Por padrão o IIS FTP permite ambos os acessos, anônimo e por autenticação. Para desabilitar o acesso anônimo é necessário desmarcar a opção “Allow anonymous connections” (Figura 4);


» Autenticação – Como já vimos, embora o IIS tenha uma gama de opções muito boa para autenticação, o IIS FTP suporta somente a autenticação Anonymous e Basic-Like Authentication (Figura 5). Em geral, o FTP é considerado erradamente como um meio seguro de transferência de dados, já que o servidor FTP pode ser configurado para solicitar uma combinação de nome de usuário e senha válidos antes de conceder acesso aos dados. Esteja ciente de que tanto as credenciais especificadas no logon quanto os dados propriamente ditos não são criptografados nem codificados. O que significa dizer que todas as credenciais são transmitidos através da rede em ‘cleartext’, ou seja, sem formatação. Em outras palavras, todos os dados FTP podem ser facilmente interceptados e analisados por qualquer estação ou rede entre o cliente e o servidor FTP. O risco de credenciais em texto sem formatação é que pessoas estranhas consigam fazer logon no FTP e façam download de arquivos destinados a usuários específicos. » FTP Logon – A utilização deautenticação via logon no IIS FTP requer alguns privilégios especiais aos usuários e à conta Anonymous. È necessário atribuir-lhe o direito do logon local (Logo n Locally). » Isolamento de usuários – Isolamento de usuários significa garantir que cada usuário tenha acesso ao diretório FTP a partir de sua pasta de usuário e nunca a partir da raiz do serviço. Para conseguir isso nessa versão, como já foi dito, é necessário configurar as permissões do sistema de arquivo (no caso, NTFS), do servidor FTP. » O IIS 5.0 não oferece suporte ao Secure FTP e FTPS (FTP sobre SSL). E nesse caso ainda temos mais um problema pra quem utiliza o ISA Server;ele também não oferece este tipo de suporte para publicação de sites FTP. » O único mecanismo de limitação de acesso ao IIS FTP 5.0 é a “Restrição por Endereço IP”(Figura 6). Isso restringe o acesso por estações mas não por usuário. Qualquer usuário, com permissão ou não pra utilizar o serviço, sentado a frente de uma estação com IP ‘válido’ pode acessar as pastas e diretorios FTP.


Figura - 3 - Tipos de autenticação suportada no IIS 5.0


Figura - 4 - IP Address Restriction Resolvendo Alguns Problemas com Segurança na Versão 5.0. Para minimizarmos esses potenciais problemas podemos adotar, como sugestão, as seguintes medidas: » Retirar a permissão de escrita (Write), de pastas em que não serão necessários uploads de arquivos por parte dos usuários; » Não instalar, em hipótese alguma, o serviço de FTP para utilização corporativa em servidores Controladores de Domínio. » Em relação ao FTP Logon, criar as contas de usuários na base de usuários do servidor FTP é uma boa saída. Principalmente se os usuários não forem corporativos (clientes ou parceiros de negócios, por exemplo). Isso restringe o acesso somente ao servidor FTP e pode impedir uma provável invasão de outros servidores. » Desabilitar o acesso anônimo é importante inclusive para questões de auditoria de sistemas. Se o modo de autenticação pode ser implementado e o conteúdo exposto no FTP não é considerado para domínio público, o acesso anônimo deve ser banido. » Como os dados de usuário e senha trafegam em clear-text no modo de autenticação do FTP, se está previsto colocar dados sigilosos no site FTP ou se a segurança na comunicação entre os clientes e o servidor FTP for essencial,o estudo para implementação de um canal criptografado, como uma rede virtual privada(VPN), protegida com protocolo de encapsulamento ponto a ponto (PPTP) ou com protocolo IPSec, devem ser considerados e amplamente encorajados. Deve ser também considerado o uso do WebDAV, que utiliza a SSL (camada de soquetes de segurança). Um cuidado extra deve ser dado aos sites FTP na Web ou diretórios virtuais configurados para usar isolamento com Active Directory (IIS 6.0), ou balanceamento de carga de FTP. Estes não devem ser mapeados para diretórios físicos usados em sites com as Extensões de servidor do FrontPage instaladas. Esse procedimento pode permitir que usuários vejam todos os arquivos dessa estrutura de pastas na rede. » Criar políticas de grupos de trabalhos para determinar as permissões NTFS é uma boa saída para minimizar os esforços de manutenção. Ao menos os usuários corporativos devem ser organizados em grupos departamentais e as permissões NTFS atribuídas a esses grupos ao invés de usuário para usuário. Esses usuários geralmente possuem seu Home Directory para armazenar dados pessoais e não faz muito sentido criar um endereço FTP somente pra esse tipo de serviço. Serviços corporativos, via de regra, devem disponibilizar conteúdos corporativos e não pessoais. 19.5.9 Serviço de FTP no IIS 6.0 A arquitetura redesenhada do IIS 6.0 colaborou em muito para a confiança na establidade e disponibilidade dos seu diversos serviços. Como já vimos, agora os


serviços FTP, SMTP e NNTP continuam rodando sobre o inetinfo.exe, porém os aplicavos web rodam totalmente em processo separados com maior controle sobre sua ‘saúde’. Assim, se um site web se comportar mal não comprometerá os outros serviços e vice-versa.

Figura - 5 - Arquitetura dos Serviços IIS 6.0 No aspecto de segurança, a versão 6.0 do IIS inclui o isolamento de usuários para auxiliar os administradores e, particularmente os provedores de hospedagem na Internet, a manter a segurança e a eficiência dos serviços FTP e oferecer a seus clientes diretórios individuais de FTP para fazer o upload de arquivos e de conteúdo da Web. Isso é muito útil quando você tem vários usuários acessando um ou mais sites. O isolamento dos usuários de FTP impede que eles exibam ou sobrescrevam o conteúdo da Web de outros usuários, restringindo-os a seus próprios diretórios. Os usuários não podem navegar mais acima na árvore de diretórios porque o diretório de nível superior aparece como a raiz do serviço FTP. Dentro de seu site específico, os usuários têm a capacidade de criar, modificar ou excluir arquivos e pastas. O isolamento do usuário de FTP é uma propriedade do site e não uma propriedade do servidor; o que significa dizer que cada site FTP pode ter o isolamento de usuários configurado de maneira diferente. Se o seu site se localiza em uma intranet ou na internet, os princípios disponibilização de um local para trocas (uploads e downloads) de arquivos usando o FTP são os mesmos. Você grava seus arquivos em diretórios no seu servidor de FTP para que seus usuários possam estabelecer uma conexão FTP e transferir arquivos com um cliente FTP ou com o browser (Internet Explorer, Firefox,etc) habilitado para conexões FTP. Porém, além de simplesmente armazenar arquivos em seu servidor, você precisa gerenciar como o seu site está instalado e, o mais importante, como seu site se desenvolve.


O isolamento do usuário de FTP oferece suporte a três modos de isolamento. Cada modo ativa diferentes níveis de isolamento e autenticação. O modo desejado deve ser configurado no ato da criação do site e não poderá ser alterado depois. A única maneira de fazer isso é excluir o site e criá-lo novamente com a outra opção de isolamento porque essa propriedade está presente somente na criação do site. » Não isolar usuários – Este modo não ativa o isolamento do usuário de FTP. Ele foi criado para funcionar de maneira semelhante a versões anteriores do IIS. Aqui é necessário se preocupar diretamente com as permissões NTFS para evitar acessos indevidos às pastas de outros usuários. Todas as recomendações de segurança dadas nesse artigo para a versão 5.0 servem pra este tipo de configuração. » Quando Utilizar: Como o isolamento não é imposto entre diferentes usuários que fazem logon no seu servidor FTP, esse modo é ideal para um site que oferece apenas recursos de download de conteúdo compartilhado ou para sites que não exigem proteção de acesso a dados entre os usuários. » Isolar usuários – Este modo autentica os usuários em contas locais ou de domínio, antes que eles possam acessar o diretório base que corresponde ao seu nome de usuário. Todos os diretórios-base de usuários devem ser criados localmente, ou seja, é necessário criar uma estrutura de diretórios em um único diretório raiz do FTP em que cada usuário é colocado e restrito ao seu diretório base. Os usuários não têm permissão para navegar fora de seu diretório base. Se os usuários precisarem de acesso a pastas compartilhadas dedicadas, também é possível estabelecer uma raiz virtual. Este modo não é autenticado no serviço de diretórios do Active Directory. » Quando Utilizar: Este modo de isolamento tem alguns pontos positivos e negativos. O lado positivo é que pode autenticar usuários locais ou remotos e é de fácil entendimento para o administrador. O lado negativo é que todos as sub-pastas do site precisam estar em um mesmo diretório raiz e o desempenho do servidor pode degradar quando este modo for usado para criar centenas de diretórios-base. Este modo é indicado nas seguintes condições: » Quando houver um número pequeno de sites pra gerenciar; » Quando houver um número pequeno de contas de usuários FTP. Lembre-se de que 100 usuários significam 100 FTP home directories. » Quando a escalabilidade (potencial de crescimento), for baixo. » Isolar usuários usando o Active Directory – Este modo autentica credenciais de usuário em um recipiente do Active Directory correspondente, em vez de procurar em todo o Active Directory, o que requer muito tempo de processamento. Instâncias específicas do servidor FTP podem ser dedicadas a cada cliente, para assegurar a integridade e o isolamento dos dados. Quando o objeto de um usuário estiver localizado no recipiente do Active Directory, as propriedades FTPRoot e FTPDir serão extraídas para fornecer o caminho completo para o diretório base do


usuário, o que torna desnecessário a manutenção de uma estrutura de diretórios para o FTP. Se o serviço FTP puder acessar com êxito o caminho, o usuário será colocado no diretório base, que representa o local raiz do FTP. Para o usuário é exibido apenas seu local raiz do FTP e ele não pode navegar acima na árvore de diretórios. O usuário terá o acesso negado se a propriedade FTPRoot ou FTPDir não existir ou se essas duas juntas não formarem um caminho válido e acessível. » Quando Utilizar: » Quando houve a necessidade de se criar um FTP Farm ou Load Balance; » Quando houver a necessidade de alta disponibilidade do serviço; Observação: Este modo requer que um servidor do Active Directory seja executado em um sistema operacional da família Windows Server 2003. Um Active Directory do Windows 2000 também poderá ser usado, mas irá requerer extensão manual do esquema User Object. 19.5.10 Instalação O processo de instalação do serviço de FTP que descrevo abaixo, foi copiado dos procedimentos indicados pela Microsoft. Após a instalação vamos estudar como configurar e gerenciar nosso servidor FTP. 1. Abra o “Add Remove Programs” no Painel de Controle e clique em “Add/Remove Windows Components”;


Figura - 6 - Instalação do Serviço de FTP no Windows Server 2003 2. Clique em “Application Server” à “Details” e, em seus subcomponentes, procure e clique em “Internet Information Services (IIS)” à “Details”. 3. Nos subcomponentes de “Internet Information Services (IIS)”, selecione “File Transfer Protocol (FTP) Service” à OK. 4. Clique em “Next”. Se solicitado, insira o CD do Windows Server 2003. 6. Clique em “Finish”. O IIS Manager cria um site FTP padrão durante a instalação dos serviços FTP. Pode-se utilizar o diretório \Inetpub\Ftproot para publicar o conteúdo ou criar outro diretório. Pronto! Instalamos o Serviço FTP. Agora precisamos configurá-lo adequadamente pra que você possa oferecer este serviço para sua empresa/clientes de maneira segura e adequada. 19.5.11 Criando um novo site FTP


1. No IIS Manager, expanda o computador local, clique com o botão direito na pasta FTP Sites, aponte para New... e clique em FTP Site. O Assistente para criação de site FTP aparece. 2. Clique em Next. 3. Na caixa Description, digite o nome do site e clique em Next. 4. Especifique, digitando ou clicando, o endereço IP (o padrão é (All Unassigned)) e a porta TCP para o site, e clique em Next. 5. Clique na opção de isolamanto do usuário que você deseja e clique em Next. 6. Na caixa Path, digite, ou procure, o diretório que contém ou conterá conteúdo compartilhado e clique em Next. 7. Marque as caixas de seleção correspondentes às permissões de acesso ao site FTP que você quer atribuir aos usuários e clique em Next. 8. Clique em Finish. 9. Para posteriormente alterar estas e outras configurações, clique com o botão direito no site FTP e clique em Properties. Discutiremos posteriormente como manter vários sites FTP em um único servidor. DICA: Ao terminar a instalação, se vocês estiver utilizando o servidor com algum Service Pack (SP1 no caso do Windows Server 2003), é interessante reaplicar o último Service Pack após a instalação do serviço. O primeiro requisito de segurança é a aplicação do Service Pack mais atual do seu Sistema Operacional (no nosso caso, o Windows Server 2003). Os Service Packs são ‘programados’ para instalar as correções somente dos serviços em execução no servidor. Assim, se houver alguma correção a ser feita (e há!) no serviço de FTP, ela só será aplicada após o serviço instalado. Existem pelo menos 5 artigos inclusos no SP1 que tratam de problemas diretamente ligados ao serviço de FTP (KB826270 – KB828086 – KB830886 – KB830885 – KB831914 – KB887175). É uma boa prática verificar a compatibilidade dos sistemas que estão rodando no servidor que foi escolhido para ser o servidor de FTP, com os patchs do Service Pack atual antes de re-aplicá-lo ou aplicá-lo pela primeira vez. Alguns sistemas, como banco de dados por exemplo, podem deixar de funcionar ou começar apresentar erros após uma substituição de dll feita pelo Service Pack. E, acredite, é melhor pesquisar pelas incompatibilidades antes do que durante a ocorrência do problema. 19.5.12 Configurando o Serviço de FTP para Acesso Anônimo


Se o servidor FTP tiver por finalidade simplesmente ser um repositório de documentos de domínio público que podem e devem ser pesquisados pela empresa toda (pela intranet), ou pelo mundo (através da internet), a simples configuração para permitir somente conexões anônimas será o suficiente. Para configurar o Serviço FTP de modo a permitir somente conexões anônimas, siga estas etapas: 1. Abra o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS. 2. Expanda Nome_do_servidor, em que Nome_do_servidor é o nome do servidor. 3. Expanda FTP Sites. 4. Clique com o botão direito em Default FTP Site e clique em Properties. 5. Clique na guia Security Accounts.

Figura - 7 - Propriedades de Segurança de Contas de Acesso


6. Clique para marcar as caixas de seleção Allow anonymous connections (se já não estiver selecionada) e Allow only anonymous connections. Ao clicar para selecionar a caixa de seleção Allow only anonymous connections, você configura o Serviço FTP para permitir somente conexões anônimas. Os usuários não podem conectar-se usando nomes de usuário e senhas. 7. Clique na guia Home Directory. 8. Clique para marcar as caixas de seleção Read e Log Visits (se já não estiverem marcadas) e clique para desmarcar a caixa de seleção Write (se já não estiver desmarcada). 9. Clique em OK. 10. Feche o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS. O servidor FTP está configurado para aceitar solicitações de entrada FTP. Copie ou mova os arquivos que deseja tornar disponível para acesso para a pasta de publicação em FTP. A pasta padrão é unidade:\Inetpub\Ftproot, onde unidade é a unidade na qual o IIS está instalado. Conclusão Eu quis mostrar as diferenças existentes (pra melhor), na versão 6.0 em relação à versão anterior do IIS FTP. Olhando este artigo com um critério mais apurado parece que a versão 5.0 só tem problemas e é o inferno de todos os administradores de servidores, mas não é assim. Logicamente, eu mostrei muito mais as falhas do que as vantagens justamente pra chamar a atenção para as necessidades de cuidados com os detalhes da configuração, da segurança e da disponibilização do serviço. A versão 7.0 do IIS já está em Beta e logo será lançada no mercado, o que com certeza nos fará olhar com mais carinho para as deficiências da versão 6.0, porém isso não significa e nem siginificará que teremos que abandonar a versão que estamos utilizando porque ‘de repente’ ela se tornou ‘bichada’. Significa sim, que conheceremos melhor seus problemas e teremos que fazer o necessário para que ela continue tão boa quanto antes. Precisamos atentar para a realidade de que não dá pra ficar fazendo upgrades eternos de nossos sistemas simplesmente porque saiu uma versão que se diz melhor que a que estamos usando. Para pensarmos em migrar dezenas, centenas ou até milhares de sites de um servidor de serviços Internet para uma versão mais nova devemos avaliar – como a serviço tecnológico existente - as melhorias de performance, segurança, de aplicações, enfim, tudo aquilo que pode realmente incrementar valor ao nosso negócio. 19.5.13 Simulação de criar os sites com IPs diferentes


Você pode criar vários sites FTP com o uso de vários endereços IP e/ou portas. Apesar de ser uma prática comum e recomendada, a criação de vários sites com o uso de vários endereços IP pode ser mais complicada, já que, por padrão, os clientes chamam a porta 21 quando usam o protocolo FTP. Entretanto, se você criar vários sites FTP com várias portas, deverá informar os usuários sobre o número da nova porta para que o cliente FTP deles possa localizar a porta e se conectar a ela. Se você criar um novo site com a mesma porta de um site existente com o mesmo endereço IP, o novo site não será iniciado. A regra é que você pode ter vários sites que usem IP e porta iguais, mas apenas um site desse grupo pode ser executado por vez. Se você tentar iniciar um outro site desse grupo, receberá uma mensagem de erro. Portanto, deve optar por utilizar o mesmo IP e portas diferentes ou diferentes IPs com a mesma porta de acesso.

Cenário Em nosso exemplo, optamos por criar os sites com IPs diferentes e manter a porta padrão 21 para as conexões. A vantagem de se diferenciar os sites FTP de um mesmo servidor por endereço IP reside na facilidade adicional de se configurar um registro HOST em seu DNS interno para atender ao site. Isso obviamente facilita o uso pelo usuário. Em nosso exemplo, nós registramos os seguintes endereços para os sites:

Tabela 1 - Dados de configuração dos sites FTP Nunca é demais lembrar-se de que é preciso ser um membro do grupo Administradores do computador local para executar este procedimento (ou procedimentos) ou ter recebido autoridade apropriada para isso. Nesse cenário, nosso servidor tem os IPs 172.23.192.171; 172.23.192.172; 172.23.192.173. Na verdade, eles foram adicionados à placa de rede interna; não temos no servidor uma placa para cada IP.


Apesar de atualmente existirem ferramentas mais apropriadas e controle de documentações, dois departamentos que fazem bom uso Recursos Humanos e o Help Desk. O Recursos Humanos documentações e formulários que devem ser disponibilizados para toda download.

completas para do FTP são o possue várias a empresa para

Desse modo, os requisitos de segurança são mínimos já que todos podem visualizar todo o conteúdo do site. Devemos somente tomar o cuidado de atribuir ao site somente a permissão Read para impedir que alguém faça uploads de arquivos indesejados e/ou altere o conteúdo oficial dos documentos existentes. Os detalhes do processo de criação de um site FTP com essas características foi explicado no artigo anterior. Aqui vamos acrescentar alguns detalhes que são necessários para se manter ambos os sites em funcionamento no mesmo servidor. Já o Help Desk se utiliza de arquivos de instalação, drivers de equipamentos, etc. quase todos os dias e pela empresa toda; para o que, também é muito interessante mantê-los em um local único e de acesso por toda a corporação pelos integrantes da equipe de suporte. Vamos assumir também que o departamento de Help Desk tem dois analistas, Felipe Konnus (fkonnus) e Eliana Borges (eborges). Precisaremos dessa informação quando criarmos o site com o recurso FTP User Islolation habilitado. Antes de implementar este cenário, vamos revisar o Default FTP Site. Quando instalamos o serviço de FTP, o Default FTP Site é pré-configurado para responder por todos os IPs configurados no servidor (Figura 1). Isso significa que qualquer endereço IP que não esteja especificamente atribuído a outro site FTP no servidor, responderá pelo Default FTP site. Em nosso exemplo, se tentarmos abrir o FTP em ftp://172.23.192.172 ou ftp://172.23.192.173 pelo Internet Browser (Internet Explorer, por exemplo), antes de atribuirmos esses endereços aos sites que criaremos, todos esses endereços disponibilizarão o conteúdo do Default FTP site.


Figura - 1 - Propriedades do Default FTP site (Todos os IPs atribuídos). Criação de um Site FTP Antes de criar o site FTP para o departamento de Recursos Humanos, nós temos que realizar uma das seguintes tarefas: atribuir um endereço IP para o Default FTP site, caso ele esteja sendo utilizado para alguma coisa ou simplesmente desativá-lo. Para fixar um endereço IP pro Default FTP Site: » No IIS Manager, expanda o computador local e depois a pasta FTP Sites; » Clique com o botão direito do mouse sobre o Default FTP Site e clique em Properties; » No campo IP Address, clique e selecione o IP desejado na lista que vai parecer ou simplesmente digite-o (no nosso caso, 172.23.192.171); » Clique em Apply e em OK; Para desativá-lo, basta clicar com o botão direito sobre o Default FTP Sites e selecione a opção Stop do menu suspenso. Site FTP do Recursos Humanos 1. No IIS Manager, expanda o computador local, clique com o botão direito do mouse na pasta FTP Sites, aponte para New e clique em FTP Site;


2. Clique em Next; 3. Na caixa Description, digite a descrição do site FTP (Departamento de Recursos Humanos, por exemplo) e clique em Next; 4. Em Digite o endereço IP a ser usado para este site FTP, digite o novo endereço IP (172.19.192.173) e mantenha a configuração da porta TCP em 21. 5. Adicionalmente você pode configurar as mensagens que você deseja que apareça quando a conexão for feita pela linha de comando:

Figura - 2 - Configuração de Mensagens 6. Conclua os procedimentos restantes do Assistente para criação de site FTP. No acesso via Internet Explorer, o nome do usuário aparecerá na barra de status, na parte inferior do browser. Quando houver o acesso via linha de comando, o usuário visualizará algo parecido com a tela abaixo:


Figura - 3 - Detalhes do acesso via linha de comando Quando o site é criado para uso público com acesso anônimo, uma auditoria satisfatória sobre seu acesso é quase impossível apesar dos logs, devido ao acesso como “anonymous”. No controle de sessões abertas no site, você somente visualizará o que ele colocar como senha de acesso anônimo – se ele fizer o acesso via linha de comando – e o user IEUser@, se o acesso vier do Internet Explorer, como na figura abaixo.


Figura - 4 - Controle de sessões abertas no site. Usuários anônimos. Por padrão, a permissão para conexões anônimas é permitida, e isso é ótimo para sites FTP públicos, mas para sites FTP privados dentro de uma intranet corporativa, você pode querer deixar essa opção desmarcada pra prevení-las. Desabilitando a opção “Allow anonymous connections” na guia “Security Accounts” das propriedades do site FTP, ele passa a utilizar a Basic Authentication. Os usuários que tentarem o acesso ao site receberão uma caixa de diálogo de autenticação quando acessarem via Internet Explorer e em linha de comando não será mais permitido utilizar o usuário anonymous como mostra a figura abaixo.

Figura - 5 - Negação de Acesso Anônimo via Linha de Comando Lembre-se de que a Basic Authentication passa as credenciais do usuário pela rede em clear text, o que significa que os sites FTP são, por natureza, inseguros (eles não suportam Windows Integrated Authentication). Então se você vai instalar um site FTP privado em sua rede interna, certifique-se de que fechou as portas 20 e 21 em seu firewall para bloquear tráfego de usuários externos na Internet.


19.5.14 Site FTP com isolamento de usuários O fato de negarmos o acesso anônimo e solicitar credenciais de logon não significa que, após o logon, teremos um ambiente privado. Para isso precisamos configurar o site para que use o recurso de isolamento de usuários. Quando um site FTP se vale desse recurso, cada um que o acessa tem uma pasta FTP, que é um subdiretório embaixo do diretório raiz do site FTP e, da perspectiva do usuário, ele é visto como a pasta raiz. Isso significa que os usuários são impedidos de visualizar os arquivos de outros usuários em outras pastas que não a dele, fornecendo segurança para os arquivos. Quando o site FTP está definido para isolar os usuários, todos as pastas base de usuários se localizam em uma estrutura de pastas de dois níveis no diretório do site FTP (como configurado na página de propriedades do home directory do FTP). O diretório do site FTP pode residir no computador local ou em um compartilhamento de rede, porém todos as pastas base de usuários precisam estar obrigatóriamente embaixo do diretório raiz do site. Vamos criar um novo site FTP chamado Help Desk que se utiliza desta nova característica, usando as configurações para o site do Help Desk, descritas anteriormente na Tabela 1. Inicie o Assistente de Criação de Sites FTP como mostrado passo – a – passo no capítulo anterior e caminhe até chegar à página FTP User Isolation e selecione a opção Isolate Users desta página:

Figura - 6 - Criação de site com isolamento de usuários Lembre-se da boa prática de retirar a permissão de acesso anônimo após a criação do site, na folha Security Accounts nas propriedades do site. Porém, se desejar permitir acesso anônimo, crie os subdiretórios LocalUser e LocalUser\Public no diretório base do site FTP. Podemos ter na empresa, situações que nos levem à necessidade de criar contas locais em servidores para se limitar acessos a recursos. Por exemplo, podemos estar em


um processo de implantação de um ERP que enche nossa empresa de consultores que necessitam de acesso a recursos específicos e por tempo específico. Criar esses usuários em nosso Active Directory pode não ser uma boa prática. Dar a eles um usuário tipo Guest (guest_consultoriaxyz, por exemplo) no domínio e criar contas locais em servidores específicos para maiores permissões naquele recurso, pode ser uma saída mais segura. Se houver a necessidade de se criar contas locais no servidor de FTP, para que façam logon com seus nomes de usuário da conta individual (em vez de usuários anônimos), devem ser criados os subdiretórios LocalUser e LocalUser\nome_do_usuário no diretório raiz do site FTP para cada usuário que tem permissão para se conectar a esse site FTP. Se existem usuários de diferentes domínios que farão o logon com suas credenciais domínio\nome_do_usuário explícitas, deve ser criado um subdiretório para cada domínio (usando o nome do domínio) no diretório raiz do site FTP e, em cada diretório de domínio, deve-se criar uma pasta para cada usuário. Por exemplo, para oferecer suporte ao acesso pelo usuário NetkonRondonia\user1, crie as pastas NetkonRondonia e NetkonRondonia\user1. Veja como ficou a estrutura de pastas do nosso exemplo:

Figura - 7 - Estrutura de pastas do site FTP do Help Desk - Isolamento de Usuário Veja como fica a visualização pelo Internet Explorer, o acesso a um site sem o isolamento de usuários e com isolamento de usuários:


Figura - 8 - Acesso autenticado ao site RH - sem isolamento de usuário

Note que, embora eu tenha sido autenticado pelo site, eu consigo visualizar todas as pastas e documentos existentes no site, inclusive a pasta do usuário acampos. Se o site estiver com a opção Write habilitada, eu posso fazer upload de qualquer arquivo que desejar para qualquer pasta, como também alterar arquivos existentes e substituí-los.

Figura - 9 - Acesso autenticado no site do Help Desk - com isolamento de usuários Note agora com o isolamento de usuários. Apesar da estrutura de pastas do helpdesk possuir outras pastas (Figura 7), o usuário conectado enxerga sua pasta base como sendo a raiz do site, sem a possibilidade de navegar em outras pastas de usuários ou sequer enxergá-las. Note também (na barra de status), que o usuário agora está logado como domínio\usuário.


19.5.14.1 Configurando o isolamento do usuário de FTP com o Active Directory Nós ainda precisamos explorar mais uma opção, que é a terceira na página FTP User Isolation do Assistente de Criação de Sites FTP, chamada “Isolate users using Active Directory”. Como nós não temos mais endereços IP, primeiramente vamos liberar o IP 172.23.192.171, parando o Default FTP Site. Uma maneira de fazermos isso é abrir o command prompt e digitar iisftp /stop “Default FTP Site” usando o script iisftp.vbs. O script que nós utilizamos aqui, o Iisftp.vbs, é um dos muitos scripts administrativos do IIS disponíveis quando você instala o IIS sobre o Windows Server 2003. Uma descrição completa da sintaxe deste script pode ser encontrada no link descrito na Bibliografia. Depois que você criou um novo site FTP utilizando este script, você pode melhorar a configuração do site utilizando o IIS Manager da maneira usual. Agora, vamos iniciar novamente o assistente de Criação de sites FTP e selecionar a terceira opção mencionada acima (vamos nomear esse novo site como Engenharia e lhe dar o IP que estava reservado para o Default FTP Site):

Clique em Next e entre com uma conta de administrador do domínio, a senha e o nome do domínio:


Clique em Next, confirme a senha e complete o assistente normalmente. Você notará que não será mais solicitado pra você especificar um diretório raiz para o novo site FTP. Isso é devido ao fato de que, quando você usa esta opção, todos os FTP home directory de usuário é definido por duas variáveis de ambiente: %ftproot%, que define o diretório raiz e pode ser qualquer lugar que inclua um caminho UNC para um compartilhamento na rede ou em qualquer outra máquina, como por exemplo, \\Engenharia\docs, e a variável %ftpdir% que pode ser configurada para %username%. Assim, no exemplo da pasta base FTP da Eliana, teremos \\Engenharia\docs\eborges e esta pasta é a que precisa ser criada antecipadamente para ela. Você pode configurar essas variáveis de ambiente usando um script de logon e atribuir o script utilizando Group Policy, mas isso está fora do escopo deste artigo. Detalhes do Active Directory Quando o servidor FTP é definido para isolar usuários com o Active Directory, o diretório base de cada usuário pode residir em um caminho de rede arbitrário. Neste modo, temos a flexibilidade para distribuir pastas base de usuários em vários servidores, volumes e diretórios, conforme adequado para a configuração da rede. Também é possível definir as propriedades FTPRoot e FTPDir para um usuário formar um caminho local para o computador do servidor FTP. Este modo integra a autenticação do Active Directory ao recuperar as informações do diretório base de um usuário. Essa integração permite que se utilize a Active Directory Services Interface (ADSI) e scripts para gerenciar o local físico das pastas base dos usuários. Este modo é mais adequado para implantações de ISPs, em que um conjunto de servidores FTP de front-end acessa um Active Directory para recuperar informações do diretório base para os usuários e permitir o acesso a um conjunto de servidores de arquivos de back-end. O objeto User do Active Directory foi ampliado para incluir duas propriedades: FTPRoot e FTPDir. Essas propriedades armazenam o diretório base relativo e de


compartilhamento do servidor de arquivos de cada usuário. A FTPRoot determina o compartilhamento do servidor de arquivos da convenção universal de nomenclatura (UNC), enquanto a FTPDir indica o caminho relativo no compartilhamento. A concatenação dessas duas propriedades resulta no caminho UNC completo para o diretório base dos usuários ou para o servidor FTP. Essas duas propriedades correspondem às propriedades msIIS-FTPRoot e msIIS-FTPDir que foram adicionadas no schema do Active Directory na família Windows Server 2003. Elas também podem ser definidas e modificadas usando o script de administração iisftp.vbs. Você também pode instalar o Admin Pack, disponível com o Resource Kit da família Windows Server 2003 e modificar essas propriedades usando o snap-in do Active Directory. A configuração do isolamento do usuário usando o Active Directory envolve a configuração dos seguintes serviços correspondentes: » Servidores de arquivo: É possível utilizar os servidores de arquivo para criar os diretórios de compartilhamentos e de usuários para todos os usuários com permissão para se conectar ao seu serviço FTP, incluindo contas anônimas. É preciso planejar o uso esperado de espaço em disco, gerenciamento de armazenamento, tráfego de rede e outros processos relacionados com a infra-estrutura do servidor. » Active Directory: Este modo de isolamento do usuário requer a disponibilidade de um servidor do Active Directory sendo executado em um sistema operacional da família Windows Server 2003. O esquema do Active Directory da família Windows Server 2003 é o primeiro a conter as propriedades de objeto do usuário usadas pelo serviço FTP. As informações recuperadas do Active Directory com uso freqüente, são armazenadas em cache no servidor FTP. É possível limitar o tempo máximo transcorrido, antes de liberar o cache das propriedades do Active Directory correspondentes ao usuário anônimo usando o parâmetro do Registro DsCacheRefreshSecs.

Conclusão Vimos em detalhes a criação e configuração de sites FTP de várias maneiras no IIS 6. Com exceção do isolamento de usuários, tudo que foi abordado aqui também se aplica ao IIS 5 sobre Windows 2000. É possível percebermos que, conforme novas funcionalidades são adicionadas em novas versões dos aplicativos, maior se torna a complexidade de gerenciamento e necessidade de entendimento da infraestrutura da nossa rede como um todo. Neste capítulo de estudos do IIS, percebemos que precisamos dominar não só os passos da


criação de um site FTP, mas também como estrutura nosso DNS para comportar os registros de nomes para os sites com a finalidade de facilitar a vida do nosso cliente (leia-se usuário). Vimos a necessidade de estruturar corretamente as pastas dos diretórios FTP e suas permissões básicas. E por último, e talvez um dos itens de maior importância, deve-se chamar a atenção do adminitrador para compreender detalhadamente os processos com a finalidade de prover a segurança necessária para o bom funcionamento da rede como um todo e seus recursos disponíveis. Monitorando o Serviço de FTP O gerenciamento dos recursos disponíveis em nossa rede é tão importante quanto o próprio recurso. O monitoramento dos serviços podem nos livrar de grandes dores de cabeça tendo em vista que podemos analisar em tempo real tudo o que acontece com nossos serviços, ainda que por um pequeno período de tempo. Por isso, vamos detalhar alguns pontos sobre o gerenciamento de sites FTP em um servidor IIS. Vamos também estudar como configurar os logs de acesso aos sites, os tipos de logs e como ‘ler’ os registros do arquivo de log. Podemos precisar (e geralmente precisamos), monitorar os diversos aspectos de um serviço em nossa rede. Uma ferramenta muito pouco comentada mas de uma grande utilidade é o Performance Monitor, que vem junto com o Sistema Operacional desde o Windows NT. Com ela conseguimos, em tempo real, visualizar o estado dos serviços, dos servidores, o tráfego de acesso e até mesmo se algum problema está acontecendo ou por acontecer. Outra ferramenta bastante interessante também é o arquivo de logs criado pelo próprio IIS. Enquanto o Performance Monitor tem uma função mais apropriada para Capacity Planning, os arquivos de logs do IIS servem para resolução de problemas, auditorias e estatísiticas de acesso e operações mais realizadas. Vamos estudar um pouco dos dois.


Figura - 1 - Monitorando o Serviço de FTP É importante dizer que esse tipo de monitoramento nos traz somente a situação atual do serviço. Porém podemos programar relatórios diários de performance, programando o Performance Monitor para tirar uma “fotografia” da situação do serviço por algum período durante o dia. Por exemplo, é possível programar o Performance Monitor para disparar o monitoramento desse contadores por duas horas diárias, das 14:00 às 16:00 h, considerando que seja o período de maior acesso ao serviço. A determinação desse período será feita por você de acordo com as análises on-line que fizer do serviço. É possível também configurar alertas para que o performance monitor escrever um evento no EventLog, enviar uma mensagem para nossa estação ou até mesmo iniciar outro programa, quando por exemplo o contador “Current Connections” passar o limite de 50 conexões. Para monitorarmos o serviço de FTP utilizando o Performance Monitor: 1. Clique em Start » Programs » Adminstrative Tools » Performance 2. Limpe qualquer objeto que houver na parte inferior clicando na linha do objeto e apertando o Delete para cada uma das linhas; NOTA: Você pode desejar não alterar as configurações do Performance Monitor por estar utilizando-o para monitorar outras partes de sua rede. Se esse for o caso, você pode criar um mmc (Microsoft Management Console) com o snapin ACTIVEX – System Monitor Tool e configurá-lo de acordo com o descrito nesse artigo. 3. Clique no botão [+] na barra de botões e selecione o objeto “FTP Service” na caixa Performance Object;


Figura - 2 - Selecionando o Objeto "FTP Service" 4. Selecione a opção “All Instances” antes de selecionar os contadores desejados para monitorar; 5. Selecione as instâncias descritas abaixo, mantendo a tecla CTRL apertada:


Figura - 3 - Selecionando os Contadores » Bytes Received/sec » Bytes Sent/sec » Bytes Total/sec » Current Anonymous Users (Se permitir acesso anônimo aos sites) » Current Connections » Total Files Sent » Total Files Received » Total Logon Attempts » Clique no botão Add; Esses contadores são suficientes para que você tenha uma noção do que está ocorrendo com seus sites. Os contadores “Current Connections” e “Total Logon Attempts” são importantes informações para controle de “banda” e o contador “Total Files Received” pode lhe dar uma noção para seu “Capacity Planning” em relação aos recursos disponíveis para seu serviço de FTP.


NOTA: Se desejar monitorar somente um site, ou alguns sites ao invés de todos, você deve selecionar a opção “Select Instances from list” e com a tecla CTRL apertada, clicar nas instâncias desejadas. 19.5.15.1 Configurando o Logging de Sites FTP O assunto sobre logs é bastante chato. Não vi sequer um administrador até hoje que tenha alguma afinidade por análises de logs, principalmente pelo fato de se parecerem muito mais com hierógrifos, mensagens subliminares ou coisa do tipo, do que algo que faça algum sentido para nós, pobres mortais. Apesar de ser um sonho de todo o administrador o fato de, “bater os olhos” em um registro de log e o conseguir ler como qualquer frase em língua pátria, poucos são os que têm coragem para transformar esse sonho em realidade e investir tempo para estudar o assunto, mesmo porque – para completar o inferno em terra – cada aplicação parece ter sua linguagem própria de logs. Assim sendo, prometo colocar aqui somente alguns conceitos que considero os mais importantes e descrever um pouco sobre a estrutura dos logs do IIS. Veremos somente o necessário para compreender o que o log quer nos informar J. O próprio serviço de FTP, como o serviço WWW, tem um log padrão. O formato padrão dos logs para sites FTP é o W3C Extended Log File Format. Os logs de site FTP são armazenados em pastas nomeadas como a seguir: SystemRoot%\system32\LogFiles\MSFTPSVCnnnnnnnnnn Onde nnnnnnnnnn é o número de ID do site FTP. Você pode usar um aplicativo como o Microsoft Log Parser, parte do IIS 6.0 Resource Kit Tools, para analisar esses logs, ou simplesmente abri-los no notepad.


Figura - 4 - Pastas com os arquivos de Logs dos Sites FTP

Figura - 5 - Arquivo de Log gerado pelo serviço FTP Aqui você já pode entender porque a auditoria do uso do serviço FTP se complica se for permitido acesso anônimo. Perceba que não há nenhuma consistência


de dados que lhe aponte quem são os usuários que fizeram o logon anonimamente. Note a diferença na figura abaixo, quando obriga-se a autenticação do usuário.

Figura - 6 - Arquivo de Log com a autenticação de usuários habilitada 19.5.15.2 Log da atividade do site Habilitando o log dos sites FTP nas páginas de propriedade do site você pode rastrear as atividades que um usuário desenvolveu em seu site. As informações são armazenadas em arquivos ASCII ou em um banco de dados compatível com a conectividade aberta de banco de dados (ODBC). As informações de log que o IIS fornece vão além do padrão do log de eventos ou dos recursos de monitoração de desempenho do Performance Monitor. As informações coletadas pelo log do IIS-FTP possuem mais a característica de auditoria do que avaliação de comportamento do site. Eles podem incluir informações como, por exemplo, quem visitou o site, por onde o visitante navegou, se fez download de arquivos, quais arquivos e quando as informações foram exibidas pela última vez. Você


pode usar os logs para avaliar a popularidade do conteúdo ou identificar afunilamentos de informações. 19.5.15.3 Formatos de arquivo de log Para registrar as atividades dos usuários no servidor FTP, estão disponíveis os formatos: » Formato de arquivo de log do W3C (W3C Extended Log File Format); » Log de ODBC (ODBC Logging); » Formato de arquivo do Log do IIS (Microsoft IIS Log Format). O formato W3C Extended Log File e o Microsoft IIS Log são formatos de texto ASCII. O formato W3C registra os dados de log no formato de ano com quatro dígitos. O formato IIS usa dois dígitos para os anos até 1999, e um formato de quatro dígitos para o ano 2000 e posteriores. No formato de log do IIS, os dados registrados para cada solicitação são fixos. Já o formato estendido do W3C permite escolher as propriedades que devem ser registradas para cada solicitação.


Figura - 7 - Opções de Log do Formato W3C O formato estendido do W3C é um formato ASCII personalizável com diversas propriedades distintas. Permite criar um log das propriedades que são importantes para você e limitar o tamanho do log omitindo campos de propriedades irrelevantes. As propriedades são separadas por espaços. O horário é registrado como UTC. É possível selecionar qualquer propriedade (Figura 7), mas algumas podem não ter informações disponíveis para algumas solicitações. No arquivo de log, os campos das propriedades selecionadas para as quais não há informações mostram um hífen (-) como um espaço reservado. O formato do IIS é um formato ASCII fixo (não pode ser personalizado). O formato do IIS contém itens básicos como endereço IP do usuário, nome do usuário, data e hora da solicitação, código de status do serviço e o número de bytes recebidos. Além disso, contém itens detalhados como tempo decorrido, número de bytes enviados, ação (por exemplo, um download efetuado por um comando GET) e arquivo de destino. Os itens são separados por vírgulas, o que torna a leitura desse formato mais fácil do que a de outros formatos ASCII que usam espaços como separadores. A hora é registrada com base no horário local. Quando você abre um arquivo de formato do IIS em um editor de texto, as entradas são semelhantes às deste exemplo:

Figura - 8 - Log no formato Microsoft IIS As duas últimas entradas do exemplo acima são interpretados nas tabelas a seguir. A primeira linha de cada tabela corresponde ao penúltimo registro e a última linha corresponde ao último registro do log da Figura 8. O exemplo é apresentado em três tabelas devido às limitações de largura da página.


Tabela 3 - Opções do Log do IIS - Parte 3 No exemplo acima, a primeira entrada indica que o usuário eborges om o endereço IP 172.23.192.170 tentou fazer o upload do arquivo controle_chamados_abr06.xls no dia 25 de Maio de 2006 às 15:59:10h. A solicitação exigiu um tempo de processamento de 0 segundos (provavelmente foram milésimos de segundos), para ser concluída e não não enviou e nem retornou dados porque o código de status do windows foi ‘5’ que significa acesso negado para essa operação. No arquivo de log, todos os campos de propriedade terminam com uma vírgula (,). O hífen (-), conforme já dito, funciona como um espaço reservado quando não existe um valor para a propriedade. O formato de log de ODBC é um registro de um conjunto fixo de propriedades de dados em um banco de dados compatível com a ODBC (conectividade aberta de banco de dados), como o Microsoft Access ou Microsoft SQL Server. Alguns dos itens registrados no log são o endereço IP do usuário, o nome do usuário, a data e a hora da solicitação (registrados de acordo com o horário local), os bytes recebidos, os bytes enviados, a ação executada (por exemplo, um download efetuado por um comando GET) e o destino (por exemplo, o arquivo que foi transferido). Com essa opção, você deve especificar o banco de dados em que será efetuado o log e deve configurá-lo para receber os dados. Quando o log de ODBC está habilitado, o IIS desabilita o cache do modo do kernel. Por esse motivo, a implementação de log de ODBC pode prejudicar o desempenho global do servidor.


Figura - 9 - Opções para o formato de log do ODBC NOTA: Por motivos de segurança, não use a conta SQL SA para logs de ODBC. Se um usuário mal-intencionado acessar o processo de trabalho, ele poderá usar a conta SA para acessar o servidor SQL. Ao invés disso, crie uma nova conta com o mínimo de permissões necessárias. Para usar o log de ODBC 1. Crie um banco de dados contendo uma tabela com as propriedades adequadas para os dados do log. O IIS contém um arquivo de modelo do SQL que pode ser executado em um banco de dados SQL para criar uma tabela que aceita entradas de log do IIS. O nome do arquivo é Logtemp.sql e ele se localiza na pasta raiz_do_sistema\System32\Inetsrv se você aceitou os padrões da instalação. As seguintes propriedades são obrigatórias:


2. Forneça ao banco de dados um DSN (nome da fonte de dados) do sistema, que é um nome que o software ODBC usa para encontrar o banco de dados(Figura 9). 3. Forneça ao IIS o nome do banco de dados e da tabela. Se forem necessários um nome de usuário e uma senha para acessar o banco de dados, eles também devem ser especificados no IIS. No IIS 6.0, você pode gravar dados de log em um compartilhamento remoto da rede usando um caminho de convenção universal de nomenclatura (UNC) completo. Por exemplo, você pode especificar \\nome_do_servidor\LogFiles como o diretório de armazenamento para os arquivos de log, onde nome_do_servidor representa o nome do servidor remoto e LogFiles representa o nome do diretório onde os arquivos de log são armazenados. O log remoto permite que você realize e armazene o backup de arquivos de log centralizados; porém, ele é mais lento que os métodos de log padrão. O log remoto grava o arquivo de log pela rede, o que pode provocar queda de desempenho. NOTA: Se um diretório de arquivo de log ou o proprietário do arquivo não estiver no grupo de administradores local, o IIS publica um erro no log de eventos do NT, indicando que o proprietário do diretório ou do arquivo não está nesse grupo e que a gravação no log foi suspensa para o site até que o proprietário seja adicionado ao grupo de administradores local, ou o diretório ou arquivo de log existente seja excluído. Você pode evitar esse erro permitindo que o componente HTTP.sys do IIS, crie diretórios de arquivos de log e arquivos de log. É altamente recomendável a ativação do IPSec, entre o servidor web que executa o IIS e o servidor remoto, antes de configurar o log remoto. Se o IPSec não estiver habilitado entre o servidor web que executa o IIS e o servidor remoto, os pacotes de dados que contiverem dados de log correrão risco potencial de interceptação por


indivíduos e aplicativos de captura de informações invasivos enquanto trafegam pela rede. 19.5.16 Parando e Iniciando Sites FTP Se um site FTP torna-se indisponível, você pode precisar reiniciá-lo para que se torne disponível novamente. Isso pode ser feito utilizando o IIS Manager, clicando com o botão direito sobre o site FTP em questão, selecionando Stop e depois Start. Pela linha de comando você pode digitar net stop msftpsvc ou utilizar o comando iisreset para reiniciar todos os serviços do IIS. Lembre-se de que a reinicialização de um site FTP é o último recurso a ser utilizado porque todos os usuários que estiverem conectados nele, naquele momento, serão desconectados. Conclusão Vimos em detalhes a criação e configuração de sites FTP de várias maneiras no IIS 6. Com exceção do isolamento de usuários, tudo que foi abordado aqui também se aplica ao IIS 5 sobre Windows 2000. É possível percebermos que, conforme novas funcionalidades são adicionadas em novas versões dos aplicativos, maior se torna a complexidade de gerenciamento e necessidade de entendimento da infraestrutura da nossa rede como um todo. Neste capítulo de estudos do IIS, percebemos que precisamos dominar não só os passos da criação de um site FTP, mas também como estrutura nosso DNS para comportar os registros de nomes para os sites com a finalidade de facilitar a vida do nosso cliente (leia-se usuário). Vimos a necessidade de estruturar corretamente as pastas dos diretórios FTP e suas permissões básicas. E por último, e talvez um dos itens de maior importância, deve-se chamar a atenção do adminitrador para compreender detalhadamente os processos com a finalidade de prover a segurança necessária para o bom funcionamento da rede como um todo e seus recursos disponíveis.

curso técnico em informática - senai - turma avancada  

curso técnico em informática - senai - turma avancada

Read more
Read more
Similar to
Popular now
Just for you