1455 sistemas operacionais
TRANSCRIPT
1
SISTEMA OPERACIONAL
DE REDES I
WINDOWS 2000
Eduardo da Silva Marcos Laureano
2
SUMÁRIO 1. Visão Geral do Windows 2000 ......................................................................................7
1.1. Histórico do Sistema Operacional Windows .......................................................7 1.2. Características Gerais do Windows 2000............................................................7 1.3. Diferentes Edições do Windows 2000..................................................................8
1.3.1. Windows 2000 Professional ...........................................................................8 1.3.2. Windows 2000 Standard Server....................................................................8 1.3.3. Windows 2000 Advanced Server ..................................................................9 1.3.4. Windows 2000 Datacenter Server ................................................................9
2. Conceitos Fundamentais ..............................................................................................11 2.1. Domínio ...................................................................................................................11
2.1.1. Grupos de Trabalho Windows 2000 ...........................................................11 2.1.2. Domínios Windows 2000 ..............................................................................12
2.2. Serviço de Diretório ...............................................................................................13 3. Active Directory ..............................................................................................................14
3.1. Características do Active Directory.....................................................................14 3.1.1. Escalabilidade ................................................................................................14 3.1.2. Suporte a Padrões Abertos ..........................................................................14 3.1.3. DNS..................................................................................................................15
3.2. Estrutura do Active Directory ...............................................................................15 3.2.1. Estrutura Lógica .............................................................................................15 3.2.2. Objetos e Atributos ........................................................................................15
4. Instalando o Active Directory .......................................................................................18 5. Administrando Contas de Usuários ............................................................................26
5.1. Planejando Novas Contas de Usuários .............................................................26 5.1.1. Convenções para Nomes de Contas de Usuário .....................................26 5.1.2. Diretrizes para as Senhas ............................................................................27 5.1.3. Opções de Conta ...........................................................................................27
5.2. Contas de Usuário Local ......................................................................................29 5.3. Contas de Usuário do Domínio ...........................................................................30
5.3.1. Propriedades para Contas de Usuários do Domínio ...............................34 5.3.2. Cópia de Contas de Usuário do Domínio ..................................................35
6. Gerenciamento de Grupos ...........................................................................................37 6.1. Grupos em um Domínio........................................................................................37
6.1.1. Tipos de Grupos.............................................................................................37 6.1.2. Escopos de Grupos .......................................................................................37 6.1.3. Estratégias de Grupos ..................................................................................38 6.1.4. Criação de Grupos de Domínio ...................................................................38
7. Segurança do Sistema de Arquivos ...........................................................................41 7.1. Pastas Compartilhadas.........................................................................................41
7.1.1. Permissões de Pastas Compartilhadas .....................................................41 7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas.....................44
8. Conexão de Clientes ao Windows 2000 ....................................................................46 8.1. Configurando Clientes Windows 9x ....................................................................46 8.2. Configurando Clientes Windows 2000 Professional ........................................48
9. Visão Geral sobre TCP/IP no Windows 2000 ...........................................................51 9.1. Endereço IP Dinâmico: DHCP.............................................................................52 9.2. Endereço IP Estático.............................................................................................53
9.2.1. Configuração de Endereços IP Estáticos ..................................................53 9.3. Verificação da Configuração TCP/IP ..................................................................54
9.3.1. Depurando Problemas com o Protocolo TCP/IP ......................................55
3
10. DHCP Service ............................................................................................................56 10.1. Instalação e Configuração do DHCP Service ...............................................56
10.1.1. Instalação do DHCP Service .......................................................................56 10.1.2. Configuração do Servidor DHCP ................................................................57 10.1.3. Autorização do Servidor DHCP ...................................................................59
11. WINS............................................................................................................................60 11.1. Implementação de WINS..................................................................................61
11.1.1. Considerações sobre Servidores WINS.....................................................61 11.1.2. Instalação do WINS .......................................................................................62 11.1.3. Configuração do Servidor WINS .................................................................63 11.1.4. Configuração de Replicação WINS ............................................................65 11.1.5. Backup do Banco de Dados WINS .............................................................66
12. Segurança NTFS .......................................................................................................67 12.1. Permissões NTFS de Pasta.............................................................................67 12.2. Permissões NTFS de Arquivo .........................................................................67 12.3. Múltiplas Permissões NTFS .............................................................................68 12.4. Concessão de Permissões NTFS ...................................................................68 12.5. Herança de Permissões ...................................................................................69 12.6. Mover e Copiar Pastas e Arquivos .................................................................70
12.6.1. Copiar Pastas e Arquivos .............................................................................70 12.6.2. Mover Pastas e Arquivos..............................................................................70
12.7. Recomendações para Concessão de Permissões NTFS...........................71 13. Gerenciamento de Impressão .................................................................................72
13.1. Requisitos para Impressão em Rede .............................................................72 13.2. Diretrizes para um Ambiente de Impressão em Rede.................................73 13.3. Instalação de uma Impressora ........................................................................73 13.4. Configuração de Computadores Clientes ......................................................74
13.4.1. Clientes Windows 9x ou Windows NT 4.0 .................................................74 13.5. Compartilhamento de uma Impressora ..........................................................74 13.6. Prioridades de Impressoras .............................................................................75 13.7. Permissões para as Impressoras....................................................................76
14. Gerenciamento de Discos ........................................................................................77 14.1. Discos Básicos ...................................................................................................77 14.2. Discos Dinâmicos ..............................................................................................77 14.3. Criando Partições em Discos Básicos ...........................................................78 14.4. Atualizando um Disco Básico para Disco Dinâmico ....................................80
14.4.1. Reverter para um Disco Básico...................................................................81 14.4.2. Criando Volumes Simples ............................................................................81 14.4.3. Estendendo Volumes Simples .....................................................................81
14.5. Tarefas Comuns do Disk Management..........................................................82 14.5.1. Status do Disco ..............................................................................................82 14.5.2. Reparando Partições e Volumes.................................................................82 14.5.3. Excluindo Partições e Volumes ...................................................................82
14.6. Adicionando Discos ...........................................................................................82 14.6.1. Adicionando Discos de Outros Computadores .........................................83 14.6.2. Importando Volumes Completos .................................................................83
14.7. Desfragmentando Partições.............................................................................83 14.8. Práticas Recomendadas...................................................................................84
15. Proteção contra Perda de Dados ............................................................................85 15.1. Tolerância a Falhas e Recuperação de Desastres ......................................85 15.2. Sistema de Alimentação Ininterrupta..............................................................85
15.2.1. Configurações do Serviço UPS ...................................................................85
4
15.3. Tipos de Implementações de RAID ................................................................87 15.3.1. Implementação de RAID de Software ........................................................87 15.3.2. Implementação de RAID de Hardware.......................................................88 15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados...88
16. Ferramentas para Recuperação de Desastres.....................................................92 16.1. Opções Avançadas de Inicialização ...............................................................92 16.2. Recuperando um Computador com o Recovery Console... Erro! Indicador não definido.
16.2.1. Instalando o Recovery Console...................................................................93 16.2.2. Comandos do Recovery Console ...............................................................93
16.3. Recuperando um Computador com o Processo de Reparação de Emergência.........................................................................................................................94
16.3.1. Usando o Processo de Reparação de Emergência .................................94
5
LISTA DE FIGURAS
Figura 1 – Grupo de trabalho Windows 2000 ...................................................................12 Figura 2 – Domínio Windows 2000.....................................................................................12 Figura 3 – Estrutura de diretórios em uma partição de disco rígido..............................13 Figura 4 – Árvore de Domínios Windows 2000 ................................................................16 Figura 5 – Execução do Dcpromo.......................................................................................18 Figura 6 – Assistente para instalação do Active Directory..............................................18 Figura 7 – Criação de um controlador de domínio para um novo domínio ..................19 Figura 8 – Criação de uma nova árvore.............................................................................19 Figura 9 – Criação de uma nova floresta...........................................................................20 Figura 10 – Definição do nome do domínio.......................................................................20 Figura 11 – Nome NetBIOS do novo domínio...................................................................21 Figura 12 – Localização do banco de dados e do log de transações ...........................21 Figura 13 – Localização física da pasta Netlogon............................................................22 Figura 14 – Mensagem de não localização de um servidor DNS com atualização
automática.......................................................................................................................22 Figura 15 – Opção para instalação e configuração de um servidor DNS ....................22 Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K
..........................................................................................................................................23 Figura 17 – Definição da senha para o reparo do serviço de diretório .........................23 Figura 18 – Resumo das informações para criação do Active Directory......................24 Figura 19 – Tela de início do processo de configuração do Active Directory ..............24 Figura 20 – Conclusão da instalação do Active Directory...............................................25 Figura 21 – Reinicialização do computador ......................................................................25 Figura 22 – Definição dos horários nos quais o usuário pode logar-se........................28 Figura 23 – Definição de Computadores para Logon ......................................................28 Figura 24 – Data para expiração da conta ........................................................................29 Figura 25 – Propriedades do usuário local ........................................................................29 Figura 26 – Novo usuário local ............................................................................................30 Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de
domínio ............................................................................................................................30 Figura 28 – Wizard para instalação das Ferramentas Administrativas.........................31 Figura 29 – Opções de instalação das Ferramentas Administrativas...........................31 Figura 30 – Instalação dos componentes ..........................................................................31 Figura 31 – Finalização da instalação ................................................................................32 Figura 32 – Snap-in Active Directory Users and Computers ..........................................32 Figura 33 – Caixa para criação de uma nova conta de usuário do domínio...............33 Figura 34 – Informações complementares para uma nova conta .................................33 Figura 35 – Finalização da criação de uma nova conta ..................................................34 Figura 36 – Caixa de propriedades da conta de usuário ................................................35 Figura 37 – Criação de um novo grupo..............................................................................39 Figura 38 – Inclusão de participantes em um grupo global ............................................39 Figura 39 – Seleção de objetos para o grupo global .......................................................40 Figura 40 – Propriedades do usuário .................................................................................40 Figura 41 – Pasta compartilhada ........................................................................................41 Figura 42 – Propriedades do compartilhamento de pasta ..............................................43 Figura 43 – Permissões padrão para pasta compartilhada ............................................43 Figura 44 – My Network Places...........................................................................................44 Figura 45 – Mapeamento de unidade de rede ..................................................................44 Figura 46 – Comando Run ...................................................................................................45
6
Figura 47 – Propriedades de rede do Windows 9x ..........................................................46 Figura 48 – Seleção do tipo de componente de rede ......................................................46 Figura 49 – Seleção do cliente de rede da Microsoft.......................................................47 Figura 50 – Definição da validação de logon no domínio ...............................................47 Figura 51 – Definição do grupo de trabalho ......................................................................48 Figura 52 – Definição do controle de acesso ....................................................................48 Figura 53 – Propriedades de Meu Computador do Windows 2000...............................49 Figura 54 – Identificação de rede das Propriedades do Meu Computador..................49 Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000) .................49 Figura 56 – Ícone My Network Places................................................................................51 Figura 57 – Janela Network and Dial-up Connections ....................................................51 Figura 58 – Caixa de diálogo das propriedades da conexão local ................................51 Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede ..............52 Figura 60 – Propriedades do protocolo TCP/IP ................................................................52 Figura 61 – Caixa de diálogo para configuração de endereço IP estático...................54 Figura 62 – Caixa de diálogo Windows Components Wizard ........................................57 Figura 63 – Caixa de diálogo Networking Services .........................................................57 Figura 64 – Snap-in DHCP...................................................................................................57 Figura 65 – Auxiliar para criação de escopo .....................................................................58 Figura 66 – Caixa de diálogo Windows Components Wizard ........................................63 Figura 67 – Caixa de diálogo Networking Services .........................................................63 Figura 68 – Criação de um mapeamento estático ...........................................................64 Figura 69 – Caixa de diálogo New Static Mapping ..........................................................64 Figura 70 – Rede WAN.........................................................................................................65 Figura 71 - Configuração de novos parceiros de replicação WINS...............................66 Figura 72 – Propriedades de segurança de uma pasta ..................................................68 Figura 73 – Propriedades de segurança de uma pasta ..................................................69 Figura 74 – Caixa de diálogo para cópia ou exclusão de permissões da pasta pai...70 Figura 75 – Drivers adicionais .............................................................................................74 Figura 76 – Compartilhamento de uma impressora.........................................................75 Figura 77 – Propriedades avançadas da impressora ......................................................75 Figura 78 – Permissões da impressora .............................................................................76 Figura 79 – Início da configuração do UPS.......................................................................86 Figura 80 – Seleção do Fabricante.....................................................................................86 Figura 81 – Configuração do UPS ......................................................................................86
7
1. Visão Geral do Windows 2000
1.1. Histórico do Sistema Operacional Windows
A história do Windows inicia em 1985 com o lançamento do Windows 1.0. Tratava-se de uma
extensão gráfica do MS-DOS e que permitia aos usuários visualizar múltiplas aplicações ao mesmo
tempo. Além disso, as aplicações podiam utilizar-se de uma área de armazenamento em comum para
compartilhar dados.
Windows 2.0 foi anunciado em 1987 e oferecia suporte para os novos processadores Intel
80286 e para hardware com memória expandida.
Windows 3.0 foi disponibilizado em 1990, suportando processadores Intel 80386 e provendo
uma interface gráfica mais fácil de utilizar.
Windows 3.1, disponibilizado em 1992, incluiu muitas melhorias em relação à versão 3.0.
Windows for Workgroups 3.11 levou o Windows para o ambiente de redes com a inclusão de
protocolos e drivers de placas de rede. Ele também permitia a configuração de redes ponto-a-ponto,
sem a utilização de servidor.
Em agosto de 1995 a Microsoft disponibilizou o Windows 95 que substituía a estrutura de
ambiente 16-bits do Windows 3.x por um ambiente 32-bits. O Windows 95 incluía uma nova interface
gráfica, suporte a Plug-and-Play e muitos recursos para conectividade com redes. Em 1998 foi
lançado o Windows 98 e no ano 2000 o Windows Millenium.
Enquanto estes sistemas operacionais foram planejados principalmente para usuários
domésticos, o Windows NT foi planejado para atender necessidades das empresas, como
confiabilidade e segurança.
No início, havia o LAN Manager, que fornecia uma alternativa amigável ao usuário para UNIX
e para Novell Netware que atendia a redes de pequeno a médio tamanho. Entretanto, o LAN Manager
e seu sucessor, o Windows NT 3.1, não dominaram rapidamente o mercado.
Os Windows NT Server 3.5 e 3.51 continuaram a evolução e se tornaram bastantes comuns
em redes de todos os tamanhos. Próximo do fim do ciclo de vida do produto, a Microsoft lançou um
suplemento gratuito chamado Internet Information Server 1.0. Esse software introduziu o Windows NT
no território do UNIX: a Internet.
O Windows NT Server 4.0 era um sistema operacional aprimorado, especialmente em suas
capacidades de Internet. No lançamento do produto foi disponibilizado o Internet Information Server
2.0. A aplicação do Service Pack 3 atualizava o IIS para a versão 3.0 e finalmente a instalação do
pacote Option Pack produzia o upgrade do IIS para a versão 4.0.
O próximo passo nesta evolução é o objeto de nosso estudo: o Windows 2000.
1.2. Características Gerais do Windows 2000
Windows 2000 é um sistema operacional multi-propósito com suporte integrado para redes
cliente/servidor e ponto-a-ponto. A família de produtos Windows 2000 foi planejada para aumentar a
segurança, possibilitar altos níveis de disponibilidade do sistema, e provido para escalabilidade desde
pequenas redes até grandes redes corporativas. O Windows 2000 incorpora tecnologias que reduzem
o TCO permitindo às organizações incrementar o valor dos seus investimentos existentes enquanto
diminuem os custos gerais com computação. Em adição, W2K incorpora suporte à Internet e
8aplicações, baseado no sucesso do Windows NT 4.0 como um sistema operacional servidor para
aplicações e para a Internet.
A família Windows 2000 consiste de quatro versões ou edições de sistemas operacionais:
Windows 2000 Professional.
Windows 2000 Standard Server.
Windows 2000 Advanced Server.
Windows 2000 Datacenter Server.
1.3. Diferentes Edições do Windows 2000
1.3.1. Windows 2000 Professional O sistema operacional confiável para desktops e notebooks corporativos. Projetado para
usuários da Internet e usuários móveis, o Windows 2000 Professional ajuda a manter os usuários de
empresas em constante atividade.
Windows 2000 Professional é o principal sistema operacional desktop para empresas de
todos os tamanhos. Ele tem uma alta performance, é um sistema operacional desktop corporativo que
atua como cliente de redes. Além disso, une as melhores características comerciais do Windows 98 e
a estabilidade do Windows NT Workstation.
Windows 2000 Professional inclui uma interface de usuário simplificada, capacidades plug
and play, gerenciamento de força aprimorado e suporte para uma grande quantidade de dispositivos
de hardware. Em adição, Windows 2000 Professional estende significativamente a gerenciabilidade,
confiança e segurança do Windows NT em função do seu novo sistema de criptografia de arquivo e
ferramentas de gerenciamento de aplicações.
Para utilizar o Microsoft Windows 2000 Professional, é necessário:
133 MHz ou superior compatível com processador Pentium. O Windows 2000
Professional suporta até 2 processadores simétricos.
64 megabytes (MB) de RAM recomendado (32MB RAM mínimo suportado; 4GB RAM
máximo).
2 GB Hard Disk com o mínimo de 650 MB disponível.
Unidade de CD-ROM ou DVD.
Placa de vídeo VGA ou superior.
Teclado.
Microsoft Mouse ou compatível (opcional).
1.3.2. Windows 2000 Standard Server Sistema operacional de rede multi-propósito, ideal para ambientes de grupos de trabalho e
pequenas empresas, o Windows 2000 Server permite que as organizações lancem seus negócios na
Internet com segurança e de maneira rentável.
O Windows 2000 Standard Server é um servidor de arquivos, impressão e aplicação, como
também um servidor de plataforma Web. Contém todas as características do Windows 2000
Professional e mais as funções específicas de servidor. O centro do Windows 2000 é um conjunto
completo de serviços de infra-estrutura baseados nos serviços do Active Directory.
Os serviços do AD centralizam o gerenciamento de usuário, grupos, serviços de segurança e
recursos de rede. Windows 2000 Server suporta desde sistemas com um único processador até
9sistemas de multiprocessamento simétrico (SMP) com quatro processadores com até 4 GB de
memória física. Ele inclui as capacidades multifuncionais requeridas para atuar como servidor de
arquivos, de impressão, de aplicações, de comunicação ou Web, tanto para pequenas redes como
para grandes corporações com unidades ligadas remotamente. Windows 2000 Server é o ideal para
aplicações em corporações pequenas a médias.
Para utilizar o Windows 2000 Server, você precisa:
133 MHz ou superior compatível com processador Pentium. O Windows 2000 Standard
Server suporta até 4 processadores simétricos.
256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 4GB RAM
máximo).
1GB disponível no Hard Disk.
Unidade de CD-ROM ou DVD.
Placa de vídeo VGA ou superior.
Teclado.
Microsoft Mouse ou compatível (opcional).
1.3.3. Windows 2000 Advanced Server A edição separada do Windows 2000 Advanced Server foi projetada para aplicativos de e-
commerce e linha de negócios. Inclui tudo o que está no Windows 2000 Standard Server, mais os
recursos de disponibilidade e escalabilidade que suportam volumes maiores de usuários e aplicativos
mais complexos.
O Windows 2000 Advanced Server é o mais poderoso sistema operacional servidor para
aplicações ou redes departamentais. Ele inclui o conjunto completo de características do Windows
2000 Standard Server e adiciona a alta disponibilidade e escalabilidade requeridas para soluções
corporativas. Windows 2000 Advanced Server suporta oito processadores (SMP) e integra a alta
disponibilidade provida por clusters, e é o ideal para trabalhos intensivos em bancos de dados. O
hardware que é projetado para suportar Intel Physical Address Extensions (PAEs) permite ao
Windows 2000 Advanced Server tomar proveito de mais memória física.
Para utilizar o Windows 2000 Advanced Server, é necessário:
133 MHz ou superior compatível com processador Pentium. O Windows 2000 Advanced
Server suporta até 8 processadores simétricos.
256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 8GB RAM
máximo).
1GB disponível no Hard Disk.
Unidade CD-ROM ou DVD.
Placa de vídeo VGA ou superior.
Teclado.
Microsoft Mouse ou compatível (opcional).
1.3.4. Windows 2000 Datacenter Server Além de todos os recursos do Advanced Server, o Datacenter Server incluirá maior
capacidade de processamento e de memória para atender às necessidades de processamento
intensivo de transações on-line (OLTP), aos grandes armazenamentos de dados e aos grandes
provedores de serviços de Internet e aplicativos (ISPs e ASPs).
10O Windows 2000 Datacenter Server é a versão mais avançada da família Windows 2000,
projetado para soluções corporativas de larga escala. O Windows 2000 Datacenter Server é
otimizado para grandes datawarehouses, simulações de grande escala em ciência ou engenharia,
processamento de transações on-line (OLTP) e consolidação de projetos. Ele é também ideal para
Provedores de Serviços Internet (ISP) e hospedeiros de Web sites. O Windows 2000 Datacenter inclui
todas as características do Windows 2000 Advanced Server, e provê ainda serviços de
balanceamento de carga e melhorias nos serviços de clustering através do suporte de 4 clusters. Ele
suporta até 16 processadores (SMP) na caixa e até 32 processadores (SMP) através de versões
OEM.
Para utilizar o Windows 2000 Datacenter Server, é necessário:
Pentium III Xeon ou superior. O Windows 2000 Datacenter Server suporta até 32
processadores simétricos.
256 megabytes (MB) de RAM.
1GB disponível no Hard Disk.
Unidade CD-ROM ou DVD.
Placa de vídeo VGA ou superior.
Teclado.
Microsoft Mouse ou compatível (opcional).
11
2. Conceitos Fundamentais
Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000,
até porque são peças fundamentais para a construção de ambientes baseados neste sistema
operacional. Vamos conhecer agora dois destes conceitos: Domínio e Serviço de Diretório.
2.1. Domínio
Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) já sabemos que não
existe um banco de dados central com as informações de todos os usuários da rede. Por esse motivo
neste tipo de arquitetura não existe um único computador responsável por administrar os recursos da
rede e efetuar a autenticação de usuários. Cada computador gerencia seus próprios recursos e
autentica seus usuários localmente.
Já em uma rede cliente/servidor uma lista de informações relacionadas com os usuários (os
nomes, senhas e outras informações a respeito de pessoas autorizadas a utilizar o sistema) é
mantida de forma centralizada.
A Microsoft adota uma terminologia própria para referenciar-se a redes Windows 2000
baseadas nestas duas arquiteturas: grupos de trabalho e domínios.
2.1.1. Grupos de Trabalho Windows 2000 Um grupo de trabalho (ou workgroup) é um agrupamento lógico de computadores em rede
que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado,
responsável pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1
ou Professional participantes de um grupo de trabalho mantém um banco de dados de segurança
local, o qual contém uma lista de contas de usuários e informações de segurança de recurso para
aquele computador.
Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de
segurança local, a administração de contas de usuários e recursos é descentralizada. Um usuário
precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudança na conta
do usuário (como a troca de senha, por exemplo) precisa ser executada em cada um dos
computadores do grupo de trabalho que ele utilizar.
Os grupos de trabalho baseados em Windows 2000 têm as seguintes vantagens:
Não requer um computador rodando Windows 2000 Server para manter as informações
de segurança centralmente.
É simples para planejar e implementar; ele não requer o extensivo planejamento e
administração que um domínio exige.
É conveniente para um limitado número de computadores localizados proximamente,
portanto um grupo de trabalho torna-se impraticável em ambiente com mais de 10
computadores.
É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica para
dispensar o trabalho de um administrador para a rede.
1 Em um grupo de trabalho, um computador executando Windows 2000 Server é chamado de stand-alone Server.
12
BD desegurança
localWindows 2000 Professional
Windows 2000 Server
Windows 2000 Server
BD de segurança
local
Windows 2000 Professional
Grupo de TrabalhoWindows 2000
BD desegurança
local
BD de segurança
local
Figura 1 – Grupo de trabalho Windows 2000
2.1.2. Domínios Windows 2000 Um domínio Windows 2000 é um agrupamento lógico de computadores em rede que
compartilham um banco de dados de segurança centralizado, responsável dentre outras coisas por
armazenar as informações dos usuários da rede e informações de segurança para o domínio. Este
banco de dados é conhecido como diretório e é parte do Active Directory, que é o serviço de diretório
do Windows 2000.
Em um domínio, o diretório reside em computadores configurados como controladores de
domínio2 (domains controllers). Um controlador de domínio (domain controller) é um servidor que
gerencia todas as informações de segurança relacionadas a usuários, interação entre domínios e
administração centralizada.
Figura 2 – Domínio Windows 2000
Um domínio não refere-se a uma única localização ou a um tipo específico de configuração
de rede. Os computadores em um domínio podem estar fisicamente próximos em uma pequena rede
local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vários
tipos de conexões (WAN). Os domínios Windows 2000 provêm as seguintes vantagens: 2 No Windows NT, controladores de domínio eram configurados como controladores de reserva (Backup Domain Controller, BDC) ou como controladores primários (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo de controlador de domínio e todos os controladores são pares, ou seja, exercem esta função de forma igualitária.
Replicação
Computador Cliente
Controlador de Domínio
Controlador de Domínio
Computador Cliente
Domínio Windows
2000
Serviços do Active
Directory
13 Provê administração centralizada porque todas as informações de usuários estão
armazenadas centralmente.
Provê um processo único de logon para usuário obterem acesso aos recursos da rede,
como arquivos, impressoras ou aplicações para as quais ele tenha permissão. Um
usuário pode autenticar-se em um computador (controlador de domínio) e acessar
recursos em qualquer outro computador do domínio, desde que tenha as permissões
apropriadas para tal.
Provê escalabilidade para atender desde pequenas redes locais até redes de extensão
mundial.
2.2. Serviço de Diretório
Uma definição sobre diretórios que remonta aos primórdios dos PCs é de que são uma
estrutura organizacional (geralmente hierárquica) para armazenamento de informações.
Figura 3 – Estrutura de diretórios em uma partição de disco rígido Um conceito mais abrangente sobre diretórios define que é um banco de dados hierárquico
de informações de recursos e serviços. Estes recursos e serviços são organizados sob a forma de
objetos com propriedades e valores. Os diretórios sempre foram usados para organizar as
informações a fim de facilitar sua localização quando necessário. No universo das redes esta
finalidade também é a principal.
Monitorar tudo em uma rede é uma tarefa demorada. Mesmo em redes pequenas, os
usuários tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede.
Sem algum tipo de diretório de rede, é impossível gerenciar redes grandes e médias e os usuários
freqüentemente terão dificuldades em localizar recursos na rede.
Vamos tentar imaginar a dificuldade de administração que existiria em uma rede sem serviço
de diretório em uma empresa média que utilize recursos como: um gerenciador de correio eletrônico,
uma aplicação cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxy
com autenticação para acesso à Internet. Um usuário deveria possuir uma conta para cada um destes
recursos além da própria conta para acesso à rede.
A admissão ou demissão de um funcionário exigiria do administrador da rede a repetição da
ação de inclusão ou exclusão de usuário em cada uma das aplicações além do próprio sistema
operacional de rede. A simples alteração de senha de um usuário geraria um trabalho significativo.
Em uma rede com um serviço de diretório cada conta de usuário seria criada uma única vez.
Os dados de cada usuário ficariam armazenados em um banco dados do serviço de diretório e seriam
utilizados pelo gerenciador de correio eletrônico, pelo gerenciador de banco de dados, pelo servidor
proxy, etc. O usuário seria autenticado pelo sistema operacional da rede uma única vez e seria
identificado automaticamente por todas estas aplicações.
14
3. Active Directory
Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o serviço de
diretório da Microsoft. Na verdade, o AD é oriundo de um acréscimo de uma série de melhorias e
modificações no serviço de diretório já existente no Windows NT 4.0 (NT Directory Service, NTDS).
O conceito de domínio, por exemplo, já existia no Windows NT. Mas os domínios do Windows
NT trabalhavam melhor em ambientes de tamanho pequeno e médio. Os administradores de
ambientes grandes eram forçados a particionar sua rede em múltiplos domínios interconectados
através de um recurso chamado relação de confiança. O Active Directory continuará a fazer o
trabalho dos domínios do Windows NT, porém de uma maneira muito mais eficiente.
Os serviços do Active Diretory provêm um ponto único para gerenciamento da rede,
permitindo aos administradores adicionar, remover e realocar usuários e recursos facilmente.
O AD é a parte mais importante do Windows 2000 e, infelizmente, também a mais complexa.
Uma de suas complexidades é sua alta difusão, já que virtualmente qualquer recurso importante do
Windows 2000 requer o AD.
3.1. Características do Active Directory
Os serviços do AD organizam recursos hierarquicamente em domínios. Como já visto
anteriormente, um domínio é um agrupamento lógico de servidores e outros recursos da rede sob um
nome de domínio simples. O domínio é a unidade básica de replicação e segurança em uma rede
Windows 2000.
Cada domínio inclui um ou mais controladores de domínio. Um controlador de domínio é um
computador com Windows 2000 Server que armazena uma réplica completa do diretório do domínio.
Para simplificar a administração, todos os controladores de domínio no AD são pares, então é
possível efetuar mudanças em qualquer controlador de domínio e as atualizações serão replicadas
para todos os outros controladores no domínio.
3.1.1. Escalabilidade No AD, o diretório armazena informações utilizando partições, as quais são divisões lógicas
que organizam o diretório em seções e permitem armazenar um grande número de objetos. Portanto,
o diretório pode expandir-se para acompanhar o crescimento de uma organização, possibilitando a
existência desde de uma instalação pequena com pouco mais de uma centena de objetos a grandes
instalações com milhões de objetos.
3.1.2. Suporte a Padrões Abertos Os serviços do AD integram o conceito Internet de espaço de nomes com os serviços de
diretório do Windows NT. Esta integração permite unificar e gerenciar os múltiplos espaços de nome
que existem hoje em ambientes heterogêneos de software e hardware de redes corporativas. O AD
usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informações com
qualquer aplicação ou diretório que usa Lightweight Directory Access Protocol (LDAP). Os serviços do
AD também compartilham informações com outros serviços de diretório que suportam LDAP versões
2 e 3, como o Novell Directory Services (NDS).
153.1.3. DNS
Em função do AD usar DNS como sua forma de denominação de domínios e localização de
serviços, os nomes de domínio do Windows 2000 são também nomes DNS. Windows 2000 Server
utiliza DNS dinâmico, o qual habilita computadores clientes com associação de endereços
dinamicamente registrados no servidor DNS e com atualização da tabela também de forma dinâmica.
O DNS dinâmico pode eliminar a necessidade de outros serviços de nome Internet, como o Windows
Internet Naming Service (WINS).
3.2. Estrutura do Active Directory
O Active Directory provê um método para planejamento de uma estrutura de diretório que
atenda às necessidades das empresas. Portanto, é preciso examinar a estrutura de negócios e de
operação da organização antes de instalar os serviços do AD.
O Active Directory separa a rede em duas estruturas: lógica e física.
3.2.1. Estrutura Lógica Nos serviços do AD você organiza recursos em uma estrutura lógica. O agrupamento lógico
de recursos possibilita localizar um recurso pelo seu nome ao invés de sua localização física.
3.2.2. Objetos e Atributos Tudo o que o AD rastreia é considerado como um objeto. Um objeto é qualquer usuário,
sistema, recurso ou serviço rastreado dentro do AD. O termo genérico objeto é utilizado porque o AD
é capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns.
Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User
compartilham atributos para armazenar o nome de um usuário na rede, seu nome completo e uma
descrição. Os computadores também são objetos, mas têm um conjunto separado de atributos que
inclui um nome de host, um endereço IP e uma localização.
Um contêiner é um tipo de objeto especial utilizado para organizar o AD. Ele não representa
nada físico, como um usuário. Em vez disso, é utilizado para agrupar outros objetos. Os objetos
contêineres podem ser aninhados dentro de outros contêineres.
Nos serviços do AD é possível ainda organizar objetos em classes, os quais são
agrupamentos de objetos. Exemplos de classes de objetos são usuários, grupos, computadores,
domínios ou unidades organizacionais.
a. Unidades Organizacionais
Uma unidade organizacional é um objeto contêiner usado para organizar objetos como contas
de usuários, grupos, computadores, impressoras, aplicações, compartilhamento de arquivos e outros.
b. Domínios
A principal unidade da estrutura lógica nos serviços do AD é o domínio. Grupamentos de
objetos em um ou mais domínios permite refletir a organização da empresa no ambiente de rede.
Todos objetos da rede existem dentro de um domínio, e cada domínio armazena informações
somente dos objetos que ele contém. Teoricamente, um domínio pode conter até 10 milhões de
objetos, mas 1 milhão de objetos por domínio é o limite testado.
O acesso aos objetos do domínio é controlado pelas listas de controle de acesso (ACLs,
Access Control Lists), as quais são formadas com entradas de controle de acesso (ACEs, Access
16Control Entries). Todas as políticas de segurança e configurações, como os direitos administrativos,
políticas de segurança e as ACLs não atravessam de um domínio para outro. O administrador do
domínio tem poderes absolutos para definir políticas somente dentro do seu domínio.
Um domínio geralmente possui os seguintes tipos de computadores:
Controladores de domínio rodando Windows 2000 Server: cada controlador de
domínio armazena e mantém uma cópia do diretório.
Servidores membros rodando Windows 2000 Server: um servidor membro não
armazena informações do diretório e não pode autenticar usuários. Servidores membros
são geralmente usados para prover recursos compartilhados, como arquivos,
impressoras e aplicativos.
Computadores clientes rodando Windows 2000 Professional: computadores clientes usados
para fornecer ao usuário o acesso aos recursos no domínio.
c. Árvores, Esquema e Catálogo Global
Uma árvore é um agrupamento ou arranjo hierárquico de um ou mais domínios Windows
2000 que permite o compartilhamento global de recursos. Uma árvore pode também consistir de um
único domínio Windows 2000. Contudo é possível criar grandes estruturas através da união de
múltiplos domínios em uma estrutura hierárquica.
A figura abaixo apresenta uma árvore formada por um domínio pai (Silva Corporation) e dois
domínios filhos (Silva do Brasil e Silva das Ilhas Virgens).
Figura 4 – Árvore de Domínios Windows 2000
Todos os domínios em uma árvore compartilham informações e recursos para funcionarem
como uma única unidade. Existe somente um diretório em uma árvore, mas cada domínio mantém
uma parcela do diretório que contém as informações de contas dos seus usuários. Em uma árvore,
um usuário que autentica-se em um domínio pode usar recursos em outro domínio desde que tenha
permissões apropriadas para tal.
O Windows 2000 combina as informações de diretório de todos os domínios em um único
diretório, o qual torna as informações de cada domínio globalmente acessíveis. Em adição, cada
domínio automaticamente provê um subconjunto de suas informações nos serviços do AD como um
índice, que reside nos controladores de domínio. Usuários utilizam este índice para localizar outros
usuários, computadores, recursos e aplicações através da árvore do domínio.
Todos os domínios dentro de uma árvore compartilham um esquema, que é uma definição
formal de todos os tipos de objetos que podem ser armazenados em uma implementação do AD.
Silva Corporation
Silva do Brasil Silva das IlhasVirgens
17Além disso, todos os domínios dentro de uma árvore simples compartilham um catálogo global, que é
um repositório de informações sobre objetos na árvore ou floresta.
Todos os domínios em uma árvore simples também compartilham um espaço de nomes
comum e uma estrutura de nomes hierárquica. Um espaço de nomes é um conjunto de regras de
nomes que provê a estrutura hierárquica, ou caminho, da árvore. Seguindo os padrões DNS, o nome
de domínio do domínio filho (em uma árvore) é o nome relativo deste domínio anexado ao nome do
domínio pai.
d. Florestas
Uma floresta é um agrupamento de uma ou mais árvores. Florestas permitem que
organizações agrupem divisões (ou que duas organizações combinem suas redes) que não usam o
mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a
organização inteira.
18
4. Instalando o Active Directory
Uma das características interessantes no Windows 2000 é o fato da Microsoft ter separado o
seu processo de instalação do processo de criação de um controlador de domínio. Desta forma é
possível efetuar a instalação completa do Windows 2000 Server em um computador e posteriormente
transformá-lo em um controlador de domínio.
Para converter um servidor do Windows 2000 Server em um controlador de domínio, executa-
se o programa Dcpromo a partir do comando Run no menu Start.
Figura 5 – Execução do Dcpromo
Um assistente será iniciado que guiará todo processo de instalação do Active Directory. Esse
assistente poderá ser usado também para rebaixar um controlador de domínio para um servidor
membro. O assistente fará uma série de perguntas e então, baseado nas respostas, criará uma nova
árvore, floresta ou domínio ou criará uma réplica de controlador de domínio em um domínio já
existente.
Figura 6 – Assistente para instalação do Active Directory
A forma para criar um novo domínio é simples: basta definir uma máquina como o primeiro
controlador de domínio. A construção do primeiro controlador de domínio de um domínio e a criação
de um novo domínio são exatamente a mesma coisa.
19
Figura 7 – Criação de um controlador de domínio para um novo domínio
Seguindo a opção mostrada na figura anterior, este será o primeiro domínio em uma árvore
nova, por isso esta deverá ser a opção na próxima caixa de diálogo.
Figura 8 – Criação de uma nova árvore
Como o Windows 2000 permite a construção de domínios organizados em árvores e árvores
organizadas em florestas, de forma que, logicamente, o assistente precisará saber onde colocar a
nova árvore – em uma floresta inteira nova ou em uma floresta já existente.
20
Figura 9 – Criação de uma nova floresta
Na tela seguinte será preciso definir o nome do novo domínio.
Figura 10 – Definição do nome do domínio
A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas
estações de trabalho, então a rede contém máquinas rodando softwares de rede escritos para as
versões anteriores (Windows NT) quando os nomes de domínios não podiam ter mais de 15
caracteres e não podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de diálogo seguinte
será definido o nome Net BIOS para este novo domínio, de forma a ser compatível com estes outros
sistemas operacionais.
21
Figura 11 – Nome NetBIOS do novo domínio
O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como
geralmente ocorre com bancos de dados – o banco de dados propriamente dito e um registro de
transações. Dois detalhes importantes com relação a esta informação são o fato de que o arquivo de
banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e
que é uma boa idéia colocar o registro de transações em um disco rígido diferente do que contém o
banco de dados do Active Directory.
A localização dos arquivos que contém o banco de dados do Active Directory e do registro de
transações é definido na tela mostrada a seguir.
Figura 12 – Localização do banco de dados e do log de transações
Assim como no Windows NT 4.0, o Windows 2000 também terá uma pasta compartilhada
com o nome de Netlogon, onde serão armazenadas informações como os arquivos de política do
sistema, perfis padrão e scripts de login.
A localização física desta pasta é definida na tela mostrada a seguir.
22
Figura 13 – Localização física da pasta Netlogon
No próximo passo, o programa Dcpromo tentará localizar e contatar um servidor DNS para o
nome de domínio escolhido (como support.com.br, por exemplo) e determinará ainda se um servidor
DNS encontrado suporta atualização dinâmica, característica presente no DNS do Windows 2000
Server.
O Dcpromo pode não encontrar um servidor DNS para o domínio escolhido ou ainda pode
encontrar um servidor DNS que não suporta atualização dinâmica. Em qualquer um dos dois casos a
seguinte mensagem será exibida.
Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática
O programa oferece a oportunidade de instalar e configurar um servidor DNS.
Figura 15 – Opção para instalação e configuração de um servidor DNS
23Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de
usuários a servidores Windows NT) precisam acessar e obter informações do controlador de domínio.
Se algum programa com esta característica será utilizado na rede deve-se optar pelas Permissões
compatíveis com servidores pré-Windows 2000. Caso contrário, é importante selecionar a outra
opção que aumentará o nível de segurança da rede.
Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K
Uma das opções que aparecem no momento da inicialização do Windows 2000 é a
reconstrução de um banco de dados do Active Directory danificado para restaurá-lo para uma versão
anterior consistente internamente, mas que provavelmente não contém as alterações mais recentes.
Para esta restauração é exigida uma senha, que é definida na seguinte tela.
Figura 17 – Definição da senha para o reparo do serviço de diretório
A tela seguinte é uma confirmação das informações escolhidas ao longo de todo o processo e
é uma oportunidade de revisar todas as decisões tomadas para evitar qualquer tipo de engano.
24
Figura 18 – Resumo das informações para criação do Active Directory
Uma vez conferidas todas as informações e tendo-se avançado na tela anterior, a seguinte
tela será exibida por um longo período, que poderá ser de mais de 20 minutos dependendo da
capacidade do computador.
Se neste momento for constatado que algum erro tenha sido cometido será necessário:
Aguardar o término deste processo;
Reinicializar o computador;
Executar novamente o Dcpromo para remover o Active Directory;
Reinicializar o computador;
Iniciar novamente o Dcpromo para efetuar uma nova instalação.
Figura 19 – Tela de início do processo de configuração do Active Directory
Quando o diretório estiver pronto será exibida uma tela avisando sobre o término do processo
de criação e, em seguida, o computador deverá ser reiniciado.
25
Figura 20 – Conclusão da instalação do Active Directory
Figura 21 – Reinicialização do computador
Após a reinicialização, o servidor já será um controlador de domínio.
26
5. Administrando Contas de Usuários
Contas de usuários precisam ser criadas para dar a estes a capacidade de logar-se em um
domínio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais.
Uma conta de usuário contém as credenciais exclusivas e é um registro que define este usuário para
o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usuário é
membro e os direitos e permissões que o usuário possui para uso do computador e da rede e para
acesso à recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usuário.
O Windows 2000 suporta dois tipos de contas de usuários: do domínio e local. Com uma
conta de usuário do domínio, um usuário pode logar-se em um domínio para ganhar acesso à
recursos da rede. Com uma conta de usuário local, um usuário pode logar-se em um computador
específico para ganhar acesso aos recursos daquele computador.
Além destes dois tipos, o Windows 2000 também provê contas de usuário internas (buit-in
user accounts), que são usadas para desempenhar tarefas administrativas ou ganhar acesso à
recursos da rede. As contas de usuário internas são criadas automaticamente durante a instalação do
Windows 2000 e a instalação do Active Directory.
5.1. Planejando Novas Contas de Usuários
Para tornar mais eficiente o processo de gerenciamento das contas de usuários é importante
adotar e seguir determinadas convenções e diretrizes através do planejamento das seguintes áreas:
Convenções de nomes para as contas de usuário;
Diretrizes para as senhas;
Opções de conta.
5.1.1. Convenções para Nomes de Contas de Usuário A convenção de nomes estabelece como as contas de usuário são identificadas no domínio
(ou no computador local). Uma convenção de nomes consistente facilita lembrar nomes de logon de
usuários e localizá-los em listas. Os seguintes aspectos devem ser considerados na determinação de
uma convenção de nomes para uma organização:
Os nomes de logon para contas de usuário devem ser exclusivos no Active Directory. Os
nomes completos de contas de usuário de domínio devem ser exclusivos na OU onde a
conta de usuário foi criada. Os nomes de contas de usuário local devem ser exclusivos no
computador em que foram criadas.
Os nomes de logon de usuário podem conter até 20 caracteres maiúsculos ou minúsculos
(não existe diferenciação, mas o Windows 2000 preservará a forma como for digitado).
Apesar do campo aceitar mais de vinte caracteres, o Windows 2000 só reconhecerá os
primeiros vinte. Os caracteres não permitidos são: “ / \ [ ] : ; | = , + * ? < >
Se existir um grande número de usuários, a convenção de nomes deve considerar os
funcionários com nome igual, utilizando tratamentos como:
Usar concatenações de nome e sobrenome de forma diferenciada. Por exemplo, se
existirem dois Pedro Silva, utilizar PedroSil e PedroSilva.
Usar números após o nome, como por exemplo Pedro1 e Pedro2.
27 Em algumas organizações pode ser útil identificar determinados tipos de usuários pela
sua conta. Para usuários temporários, por exemplo, pode-se acrescentar a letra T e um
hífen no início do nome da conta de usuário: T-Pedro.
5.1.2. Diretrizes para as Senhas Para proteger o acesso ao domínio ou a um computador, todas as contas de usuário devem
ter uma senha associada. Estas são as recomendações para o uso de senhas:
Atribuir sempre uma senha para a conta Administrator para impedir o acesso não
autorizado à conta. Na verdade, é recomendável a alteração do nome da conta
Administrator. Uma vez que para obter acesso ao domínio é necessário um nome de
conta e uma senha, um invasor já terá metade do que precisa se a conta Administrator
permanecer com seu nome padrão.
Determinar se o administrador da rede ou os usuários controlarão as senhas. É possível
atribuir senhas exclusivas para as contas de usuário e impedir que os usuários as
alterem, ou então pode-se permitir que os próprios usuários definam suas senhas no
primeiro logon.
Orientar os usuários para o uso de senhas complexas bem como manter o sigilo sobre
sua senha. Algumas recomendações:
Evitar senhas com associação óbvia, como o próprio nome, sobrenome ou nome de
alguém da família.
Usar senhas longas. As senhas no Windows 2000 podem ter até 128 caracteres, mas
recomenda-se o tamanho mínimo de 8 caracteres.
Usar combinações de letras maiúsculas e minúsculas e caracteres não-alfanuméricos
permitidos. Os mesmos caracteres não permitidos para nomes de conta também não
são permitidos nas senhas.
5.1.3. Opções de Conta As opções de conta de usuário controlam a maneira como um usuário acessa o domínio ou
um computador. É possível, por exemplo, limitar as horas durante as quais um usuário pode efetuar
logon no domínio e os computadores nos quais ele pode efetuar logon. Também pode-se especificar
a data de expiração de uma conta de usuário.
e. Horas de Logon
É possível definir as horas de logon para os usuários que só precisam de acesso em horários
específicos. Esta configuração está disponível nas propriedades de cada usuário, através do botão
‘Logon Hours’ na guia ‘Account’.
28
Figura 22 – Definição dos horários nos quais o usuário pode logar-se
f. Computadores Permitidos para Logon3
Por padrão, os usuários podem efetuar logon em qualquer computador do domínio, mas é
possível especificar os computadores nos quais os usuários podem efetuar logon. Isso ajuda a
restringir o acesso a informações armazenadas localmente nos computadores do domínio. Esta
configuração também está disponível nas propriedades de cada usuário, através do botão ‘Log On
To’ na guia ‘Accounts’.
Figura 23 – Definição de Computadores para Logon
g. Expiração de Conta
A definição de uma data para expiração de uma conta é um recurso bastante útil,
principalmente para utilização em contas de usuários temporários. Com esta configuração, uma data
de expiração para a conta é definida e, a partir desta data, o usuário não obtém mais acesso à rede.
Este recurso está acessível na guia ‘Account’ das propriedades de cada usuário.
3 Para o funcionamento deste recurso é necessário que o NetBIOS over TCP/IP esteja disponível, caso contrário o Windows 2000 não conseguirá determinar de qual computador o usuário está tentando efetuar logon.
29
Figura 24 – Data para expiração da conta
5.2. Contas de Usuário Local
Uma conta de usuário local é uma conta que só existe em um determinado computador
(Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta
só deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores
autônomos que não estão conectados em uma rede. Não é recomendável a criação de contas locais
em computadores que façam parte de um domínio, pois o domínio não as reconhece e, como
resultado, elas só conseguiriam obter acesso aos recursos do computador no qual foram criadas.
As contas de usuário local residem no banco de dados SAM, que é o banco de contas de
segurança local. Elas não são armazenadas no Active Directory do domínio. Além disso, as contas de
usuário local possuem um menor número de propriedades que as contas de domínio.
Figura 25 – Propriedades do usuário local
Para criação de contas locais deve ser utilizado no ‘Computer Management’, o snap-in ‘Local
Users and Groups’. Com o botão direito na pasta Users, clica-se em New User e a seguinte tela será
exibida.
30
Figura 26 – Novo usuário local
Importante destacar que em um servidor Windows 2000 que seja controlador de domínio,
este snap-in não estará disponível. Neste caso, devem ser criadas contas do domínio usando a
ferramenta Active Directory Users and Computers, conforme será descrito posteriormente.
Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio
5.3. Contas de Usuário do Domínio
Para criar contas de usuários do domínio é preciso utilizar o snap-in Active Directory Users
and Computers. Este snap-in sempre estará disponível em um controlador de domínio. Já um servidor
membro não terá este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do
Windows 2000.
Para instalar estas ferramentas, basta executar o pacote de instalação Adminpak.msi
encontrado na pasta I386 do CD de instalação do Windows 2000 Server. Ao executar este pacote, a
seguinte tela é exibida:
31
Figura 28 – Wizard para instalação das Ferramentas Administrativas
Prosseguindo com a instalação, pode-se optar pela instalação ou desinstalação das
Ferramentas Administrativas.
Figura 29 – Opções de instalação das Ferramentas Administrativas
O programa passa então a instalar os componentes das Ferramentas Administrativas.
Figura 30 – Instalação dos componentes
32Uma vez concluída a instalação estarão disponíveis em um servidor membro (não controlador
de domínio) as Ferramentas Administrativas do Windows 2000 e um usuário com uma conta que faça
parte do grupo Domain Administrators poderá executar atividades administrativas (como a criação de
usuários do domínio) neste servidor membro.
Figura 31 – Finalização da instalação
O snap-in Active Directory Users and Computers permite a criação de contas de usuários do
domínio4.
Figura 32 – Snap-in Active Directory Users and Computers
Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usuário ou
mesmo usar a Unidade Organizacional padrão Users, e no menu Action selecionar New e escolher
User. A seguinte caixa de diálogo será exibida:
4 Em uma rede com vários controladores de domínio, quando uma conta de usuário do domínio é criada, ela sempre será criada no primeiro controlador disponível contatado para depois ser replicada para todos os demais controladores.
33
Figura 33 – Caixa para criação de uma nova conta de usuário do domínio
A tabela a seguir descreve as informações que deverão ser preenchidas nesta caixa de
diálogo.
Opção Descrição First name O primeiro nome do usuário. Este ou o último nome são requeridos Last name O último nome do usuário. Este ou o primeiro nome são requeridos
Full name O nome completo do usuário e é preenchido automaticamente de acordo com as informações digitadas nas caixas anteriores
User logon name O nome exclusivo de logon do usuário, baseado na convenção de nomes adotada. Esta informação é requerida e precisa ser única no domínio
User logon name (pre-Windows 2000)
O nome exclusivo de logon do usuário para clientes com sistemas operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou 3.51. Esta informação é requerida e precisa ser única no domínio
Na tela seguinte deverá ser informada uma senha e deverão ser feitas algumas opções.
Figura 34 – Informações complementares para uma nova conta
Opção Descrição Password A senha que será usada pelo usuário
Confirm password Confirmação da senha definida na caixa anterior, para assegurar que não ocorreram erros de digitação
User must change Selecionar esta caixa obrigará ao usuário efetuar a troca da senha
34
password at next logon
definida na caixa Password na primeira vez que efetuar logon. Esta opção assegura a privacidade da senha do usuário, de tal forma que nem o administrator a conhecerá
User cannot change password
Selecionar esta senha impedirá que o usuário proceda a troca de sua senha. Esta opção é útil quando mais de uma pessoa estiver usando a mesma conta
Password never expires
Selecionar esta caixa fará com que a senha do usuário nunca expire, mesmo que estejam definidas diretivas que definam expirações de senhas em determinados períodos. Esta opção é útil em contas de determinados programas ou serviços
Account is disabled Selecionar esta opção fará com que a conta não esteja disponível para uso. Esta opção é útil quando um usuário irá afastar-se por um período ou quando um novo funcionário ainda não iniciou suas atividades
Figura 35 – Finalização da criação de uma nova conta
5.3.1. Propriedades para Contas de Usuários do Domínio Um conjunto de propriedades padrão está associado a cada conta de usuário criada no
domínio. Estas propriedades podem ser usadas para localizar usuários no Active Directory e, por esta
razão, estas informações devem ser preenchidas para cada conta de usuário.
As propriedades da conta de usuário são acessadas no snap-in Active Directory Users and
Computers, clicando com o botão direito no usuário desejado e escolhendo o comando Properties.
35
Figura 36 – Caixa de propriedades da conta de usuário
A tabela a seguir descreve as guias da caixa de diálogo Properties referente ao usuário.
Guia Finalidade
General Documenta o nome, a descrição, o local do escritório, o número de telefone, o alias de e-mail e as informações sobre a página inicial referentes ao usuário
Address Documenta o endereço do usuário, caixa postal, cidade, estado ou município, CEP e país
Account Atribui o nome de logon do usuário, define opções de conta e especifica a expiração de contas
Profile Atribui o caminho do perfil e a pasta base do usuário
Telephones Documenta o endereço, pager, celular, fax e números de telefone IP e permite digitar observações que contêm informações descritivas sobre o usuário
Organization Documenta o cargo, o departamento, o gerente da empresa e os relatórios diretos do usuário
Member of Especifica os grupos aos quais o usuário pertence
Dial-in Define as permissões de acesso, as opções de retorno de chamada e as rotas e endereços IP estáticos
Environment Especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon do usuário
Sessions Especifica configurações do Terminal Services Remote control Especifica configurações de controle remoto do Terminal Services Terminal Services Profile Define o perfil do usuário no Terminal Services
5.3.2. Cópia de Contas de Usuário do Domínio5 Para simplificar o processo de criação de novas contas de usuário de domínio é possível
efetuar uma cópia de uma conta já existente. Com a cópia, uma série de propriedades da conta são
copiadas para o novo usuário, evitando a necessidade de digitação de dados repetidos.
As propriedades de usuário copiadas da conta de usuário de domínio existente para a nova
conta são descritas a seguir:
5 Não é possível copiar contas de usuário em um computador com Windows 2000 Professional ou em um servidor membro do Windows 2000. A cópia só é possível em controladores de domínio.
36
Guia Propriedades copiadas General Nenhuma Address Nenhuma Account Todas, exceto Logon Name
Profile Todas, exceto as entradas Profile Path e Home Folder, que são alteradas para refletir o nome de logon do novo usuário
Telephones Nenhuma Organization Todas, exceto Title Member of Todas Dial-in Nenhuma, as configurações padrão aplicam-se à nova conta Environment Nenhuma, as configurações padrão aplicam-se à nova conta Sessions Nenhuma, as configurações padrão aplicam-se à nova conta Remote control Nenhuma, as configurações padrão aplicam-se à nova conta Terminal Services Profile Nenhuma, as configurações padrão aplicam-se à nova conta
O recurso de cópia de contas permite o uso de modelo de conta de usuário, que nada mais é
do que uma conta de usuário padrão criada para conter as propriedades que aplicam-se aos usuários
com necessidades em comum.
Algumas recomendações importantes para o uso de modelos de conta são:
Criar um modelo para cada categoria de funcionário ou para cada setor da empresa;
Utilizar nomes nos modelos de conta que iniciem com caractere não-alfabético, como o
caractere de sublinhado ( _ ), já que desta forma os modelos sempre aparecerão juntos
na parte superior da lista do painel de detalhes da janela do Active Directory Users and
Computers;
Marcar nos modelos de conta a caixa de seleção Account is disabled na guia Account
para evitar que os modelos sejam utilizados para obter acesso à rede da empresa,
lembrando sempre de desmarcar esta opção nas cópias geradas.
37
6. Gerenciamento de Grupos
Um grupo é uma coleção de contas de usuários usada para gerenciar o acesso de usuários a
recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a
administração permitindo associar permissões e direitos a grupos de usuários em vez de associar a
cada usuário individualmente. Usuários podem ainda participar de vários grupos simultaneamente.
6.1. Grupos em um Domínio
As características dos grupos em um domínio são:
São criados somente em controladores de domínio;
Residem no serviço de diretório do Active Directory;
São usados para conceder permissões a recursos e direitos para tarefas do sistema em
qualquer computador do domínio;
Os grupos em um domínio podem diferir quanto ao tipo a ao escopo.
Esta última característica merece um melhor detalhamento, uma vez que é importante
conhecer as diferenças entre os tipos de grupos e os escopos de grupos.
6.1.1. Tipos de Grupos Há dois tipos de grupo no Active Directory:
Grupos de segurança: usados para fins relacionados à segurança, como a concessão
de permissões para acesso a recursos.
Grupos de distribuição6: usados pro aplicativos como listas para funções não
relacionadas à segurança, como o envio de mensagens de e-mail para grupos de
usuários. Não é possível conceder permissões a grupos de distribuição.
6.1.2. Escopos de Grupos O escopo de um grupo determina onde usar esse grupo no domínio, ou seja, qual a sua
abrangência. São três os escopos de grupos do Windows 2000: Globais, Locais e Universais.
h. Grupos Globais
Usados para organizar os usuários que compartilham requisitos semelhantes de acesso à
rede. É possível utilizar um grupo global para conceder permissões de acesso a recursos localizados
em qualquer domínio.
Têm participação limitada. Pode-se adicionar contas de usuário e grupos globais somente
provenientes do domínio em que o grupo global foi criado.
Podem ser aninhados em outros grupos. Essa função permite adicionar um grupo global
a outro no mesmo domínio ou a grupos de domínio local e universal de outros domínios.
i. Grupos Locais
Usados para conceder permissões a recursos de domínio localizados no mesmo domínio em
que o grupo de domínio local foi criado. Os recursos não precisam residir em um controlador de
domínio.
Têm participação aberta. Pode-se adicionar contas de usuário, grupos universais e
globais de qualquer domínio. 6 Somente programas que foram desenvolvidos para trabalhar com os serviços do Active Directory podem usar grupos de distribuição.
38 Não podem ser aninhados em outros grupos, significando que não é possível adicionar
um grupo de domínio local a nenhum grupo, nem aos localizados no mesmo domínio.
j. Grupos Universais7
Concedem permissões a recursos relacionados em vários domínios. Devem ser usados para
conceder permissões de acesso a recursos localizados em qualquer domínio.
Têm participação aberta. Todas as contas de usuário e grupos de domínio podem ser
participantes.
Podem ser aninhados em outros grupos de domínio. Essa capacidade permite adicionar
um grupo universal a grupos de domínio local ou universal em qualquer domínio.
6.1.3. Estratégias de Grupos Uma estratégia bastante recomendada pela Microsoft para uso de grupos em um domínio
único é conhecida como A G L P. Consiste em colocar as contas de usuário (A, de Account) em
grupos globais (G), colocar os grupos globais em grupos de domínio local (L) e conceder permissões
(P) ao grupo de domínio local. Um exemplo desta estratégia seria o seguinte:
Em uma empresa seria recomendável identificar os usuários com responsabilidades
comuns e adicionar suas contas de usuário a um grupo global. Por exemplo, poderiam
ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os
diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing).
Nesta mesma empresa existirá uma impressora laser colorida que poderá ser usada
pelos diretores e pelos funcionários do marketing. Poderia então ser criado um grupo de
domínio local chamado Usuarios Laser Colorida.
Os grupos globais Diretoria e Marketing seriam então incluídos no grupo de domínio local
Usuarios Laser Colorida.
Por fim a impressora seria compartilhada e seriam concedidas as permissões adequadas
para o grupo de domínio local Usuarios Laser Colorida.
Antes da criação de um novo grupo de domínio local é recomendável verificar se já não existe
um grupo de domínio local interno que atenda as necessidades. Por exemplo, se o administrador
precisa de um grupo para incluir as contas de usuários que executarão o backup diário, não será
necessário criar um novo grupo. Basta utilizar o grupo de domínio local interno Backup Operators.
6.1.4. Criação de Grupos de Domínio Para criar-se grupos em um domínio utiliza-se o snap-in Active Directory Users And
Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra
Unidade Organizacional criada pelo administrador. Com o botão direito do mouse sobre a Unidade
Organizacional desejada escolhe-se a opção New e o comando Group, surgindo então a seguinte
caixa de diálogo.
7 Só estarão disponíveis quando o domínio estiver no modo nativo. O modo nativo será ativado quando todos os controladores de domínio estiverem executando o Windows 2000.
39
Figura 37 – Criação de um novo grupo
Opção Descrição
Group name Nome do novo grupo, que deve ser exclusivo no domínio em que o grupo for criado
Group name (pre-Windows 2000)
Nome usado para dar suporte a clientes e servidores de versões anteriores do Windows
Group scope Escopo do grupo. Lembrando que a opção Universal só estará disponível em redes formadas por mais de um domínio e que estejam funcionando em modo nativo
Group type Tipo de grupo
k. Inclusão de Participantes
Para incluir participantes em um grupo também utiliza-se o snap-in Active Directory Users and
Computers clicando nas propriedades do grupo desejado (botão direito do mouse).
Figura 38 – Inclusão de participantes em um grupo global
Nesta caixa de diálogo, obtém-se acesso à lista de objetos que podem ser incluídos no grupo
(neste exemplo um grupo global) clicando-se em Add.
40
Figura 39 – Seleção de objetos para o grupo global
Também é possível definir-se os grupos dos quais um usuário fará parte nas propriedades da
conta de usuário.
Figura 40 – Propriedades do usuário
41
7. Segurança do Sistema de Arquivos
O compartilhamento de pastas é a única forma de tornar pastas e seus conteúdos disponíveis
através da rede. As pastas compartilhadas provêm um caminho seguro para recursos de arquivos e
podem ser usadas em partições FAT16 ou FAT32, como também em partições NTFS (os volumes
NTFS oferecem ainda uma segurança adicional que será apresentada mais adiante).
7.1. Pastas Compartilhadas
Quando uma pasta é compartilhada, usuários podem conectar-se a ela através da rede e
obter acesso aos arquivos que ela contém. Contudo, para obter acesso aos arquivos os usuários
devem ter as permissões apropriadas sobre o compartilhamento.
As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um
usuário. O uso de pastas de aplicativo compartilhadas centraliza a administração, permitindo instalar
e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso de pastas de
dados compartilhadas fornece um local central para que os usuários obtenham acesso a arquivos em
comum e facilita o backup dos dados contidos nesses arquivos.
7.1.1. Permissões de Pastas Compartilhadas Conforme já comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados
pessoais de usuários (pastas base ou home folders). Cada tipo de dado pode exigir diferentes
permissões de compartilhamento. As permissões de pastas compartilhadas apresentam as seguintes
características em comum:
As permissões são aplicadas à pastas, não a arquivos individuais. Uma vez que uma
pasta tenha sido compartilhada todos os usuários com permissão para tal terão acesso a
todo o conteúdo da pasta. Uma segurança adicional poderá ser obtida através das
permissões NTFS apresentadas mais adiante.
As permissões de pastas compartilhadas não restringem o acesso de usuários que estão
utilizando localmente o computador onde as pastas estão armazenadas. As permissões
aplicam-se somente a usuários que conectam-se à pasta através da rede.
Permissões de compartilhamento de pastas são o único caminho para obter segurança
em volumes FAT.
A permissão padrão em pastas compartilhadas é Full Control para o grupo Everyone. Se
algum nível de segurança é desejado esta permissão deve ser excluída e as permissões
apropriadas devem ser atribuídas.
Uma pasta compartilhada é exibida com uma mão sob seu ícone, conforme mostrado abaixo:
Figura 41 – Pasta compartilhada
A tabela a seguir descreve as permissões e o que cada usuário pode fazer uma vez que
tenha recebido a permissão:
Permissão Permite que o usuário
Read Exiba nomes de pastas, nomes de arquivos, dados de arquivos e
42
atributos, execute arquivos de aplicativo e altere as pastas contidas na
pasta compartilhada
Change Crie pastas; adicione arquivos a pastas; altere dados em arquivos;
acrescente dados a arquivos; altere atributos de arquivo; exclua pastas
e arquivos e execute as ações autorizadas pela permissão Read
Full Control Altere permissões de arquivo, aproprie-se de arquivos e execute todas
as tarefas permitidas pelas permissões Change e Read
l. Múltiplas Permissões
Um usuário pode ser membro de vários grupos, cada um com diferentes permissões em uma
determinada pasta compartilhada. As permissões efetivas de um usuário para um recurso são a
combinação das permissões concedidas ao próprio usuário e a todos os grupos dos quais ele faça
parte. Por exemplo, se um usuário tiver a permissão Read para uma pasta compartilhada e for
participante de um grupo que tenha a permissão Change para a mesma pasta, a permissão efetiva do
usuário será Change, a qual já inclui as propriedades da permissão Read.
A exceção para esta regra é a permissão Deny. Esta permissão substitui qualquer permissão
definida para contas de usuário e grupos.
m. Requisitos para Compartilhamento de Pastas
No Windows 2000, os únicos grupos que podem compartilhar pastas são Administratos,
Server Operators e Power Users. Esses grupos são contas padrão instaladas na pasta Users do
Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os requisitos para
compartilhamento de pastas são:
Em um domínio Windows 2000 podem compartilhar pastas membros dos grupos
Administrators e Server Operators.
Em servidores membro ou estações com Windows 2000 Professional que façam ou não
parte de um domínio, os membros dos grupos Administrators e Power Users podem
compartilhar pastas residentes no próprio computador.
Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e Power
Users podem compartilhar pastas nos próprios computadores.
n. Criação de Compartilhamento de Pastas
Para criar uma pasta compartilhada basta clicar com o botão direito do mouse na pasta
desejada (no Windows Explorer) e, em seguida, clicar em Sharing.
43
Figura 42 – Propriedades do compartilhamento de pasta
Opção Descrição
Share this folder Clicar para compartilhar a pasta
Share name Nome que os usuários remotos usam para estabelecer uma conexão
com a pasta compartilhada
Comment Descrição opcional para o nome da pasta compartilhada
User limit Número de usuários que podem conectar-se simultaneamente à pasta
compartilhada. Se for escolhido Maximum Allowed, o Windows 2000
Professional dará suporte a até dez conexões, enquanto que o Windows
2000 Server poderá dar suporte a tantas conexões quanto o número de
licenças adquiridas
Permissions Define as permissões de pasta compartilhada. Por padrão, a permissão
Full Control é concedida ao grupo Everyone para todas as novas pastas
compartilhadas
Figura 43 – Permissões padrão para pasta compartilhada
44Esta caixa de diálogo, acessível a partir do botão Permissions, permite definir outras
permissões para a pasta compartilhada bem como excluir a permissão padrão.
7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas Uma vez compartilhada uma pasta, os usuários que receberam as permissões para tal
poderão conectar-se ao compartilhamento e utilizar os arquivos lá armazenados. São quatro as
formas dos usuários obterem acesso a uma pasta compartilhada em outro computador:
o. My Network Places
Usando o My Network Places basta navegar pela rede até o computador que contém a pasta
desejada e, por fim, acessar a pasta.
Figura 44 – My Network Places
Nota: Quando uma pasta compartilhada na rede é aberta o Windows 2000 a adiciona automaticamente a My Network Places.
p. Map Network Drive
Mapeando uma unidade de rede uma letra de unidade e um ícone serão associados a uma
pasta compartilhada específica. Isto facilita a referência ao local de um arquivo em uma pasta
compartilhada. Por exemplo, em vez de apontar para \\Servidor\Compartilhamento\Arquivo, pode-se
apontar para Unidade:\Arquivo. As letras de unidades fornecem um acesso mais rápido e fácil do que
os caminhos do tipo convenção universal de nomenclatura (UNC).
Para mapear uma unidade de rede, basta seguir as seguintes etapas:
Com o botão direito do mouse em My Network Places escolher a opção Map Network
Drive.
Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada.
Digita-se o nome da pasta compartilhada ou utiliza-se o botão Browser para localizá-la.
Se desejar-se utilizar esta conexão de forma recorrente mantém-se a opção Reconnect at
logon selecionada.
Figura 45 – Mapeamento de unidade de rede
45q. Comando Run
A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o
caminho UNC na caixa Open, conforme mostrado abaixo:
Figura 46 – Comando Run
r. Comando Net Use
Uma outra forma de executar um mapeamento de unidade de rede é o comando Net use que
possui a seguinte sintaxe básica:
Net use letra_da_unidade: \\servidor\compartilhamento
Para conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt
de comando.
46
8. Conexão de Clientes ao Windows 2000
Conforme já comentado, o Windows 2000 suporta conexões de clientes com diferentes
sistemas operacionais. Para implementações do Windows 2000 Professional estão disponíveis vários
recursos, até mesmo para instalação automatizada. Já para clientes como o Windows 9x, o
procedimento é idêntico ao aplicado na configuração de acesso à redes baseadas no Windows NT
Server 4.0.
8.1. Configurando Clientes Windows 9x
Veremos agora como configurar clientes com Windows 9x para que passem a conectar-se a
um domínio Windows 2000.
Todas as configurações necessárias são executadas nas propriedades do Ambiente de Rede.
Figura 47 – Propriedades de rede do Windows 9x
Se o componente Cliente para Redes Microsoft não estiver instalado, deve-se proceder sua
instalação clicando no botão Adicionar e, na tela mostrada a seguir, selecionando o tipo de
componente Cliente.
Figura 48 – Seleção do tipo de componente de rede
Uma vez escolhido o componente Cliente, deve-se escolher o cliente de rede correto: Cliente
para rede Microsoft.
47
Figura 49 – Seleção do cliente de rede da Microsoft
Uma vez instalado o Cliente para redes Microsoft, pode-se proceder a configuração para
conexão ao domínio Windows 2000. Obtêm-se acesso a esta configuração através das propriedades
do Cliente para redes Microsoft. Conforme mostrado na caixa de diálogo a seguir, deve ser informado
o nome NetBIOS do domínio Windows 2000 ao qual o cliente efetuar a conexão.
Figura 50 – Definição da validação de logon no domínio
Diferentemente de uma máquina Windows NT ou Windows 2000, uma máquina Windows 9x
não precisa pertencer a um domínio específico para poder efetuar logon neste mesmo domínio. Isso
permite que o cliente esteja em um grupo de trabalho, mas ainda possa efetuar logon em qualquer
domínio. Mas se pretende-se que os computadores da rede sejam exibidos dentro do domínio no
Ambiente de Rede, na caixa ‘Grupo de trabalho’ na guia Identificação deverá ser informado o nome
do domínio Windows 2000.
48
Figura 51 – Definição do grupo de trabalho
Adicionalmente poderá ser interessante optar-se pelo controle de acesso em nível de usuário,
acessível a partir da guia ‘Controle de acesso’. Desta forma será possível compartilhar recursos
(como arquivos e impressoras) nas estações de trabalho utilizando-se os grupos e usuários do
domínio ao invés de definir-se senhas para cada compartilhamento.
Figura 52 – Definição do controle de acesso
8.2. Configurando Clientes Windows 2000 Professional
Veremos agora como configurar clientes com Windows 2000 Professional para que passem a
conectar-se a um domínio Windows 2000.
Todas as configurações necessárias são executadas nas propriedades do Ambiente de Rede.
49
Figura 53 – Propriedades de Meu Computador do Windows 2000
Para a configuração do domínio ou grupo de trabalho, as informações serão fornecidas na
‘Identificação de rede’, conforme é apresentado na figura abaixo:
Figura 54 – Identificação de rede das Propriedades do Meu Computador
Para que um computador usando Windows 2000 seja renomeado ou ingressar em um
domínio, é necessário clicar no botão ‘Propriedades’ da Identificação de Rede. Assim podemos alterar
algumas as propriedade de identificação do computador na rede, como mostra a figura a seguir:
Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000)
50Assim é possível trocar o nome de um computador, colocá-lo em um grupo de trabalho, ou
mesmo colocá-lo para trabalhar em um domínio Windows 2000. Para adicionar ao domínio Windows
2000 será necessário informar a senha de um usuário com privilégios administrativos no domínio
utilizado.
51
9. Visão Geral sobre TCP/IP no Windows 2000
Conforme já comentado, o protocolo TCP/IP é o protocolo padrão do Windows 2000, até
mesmo por ser o mais usado nas redes de todo o mundo além da Internet.
O Windows 2000 instala o TCP/IP automaticamente como o protocolo padrão durante a
instalação (se um adaptador de rede for detectado). No entanto, se o TCP/IP não tiver sido instalado
durante a instalação, será possível instalá-lo manualmente. Estes são os procedimentos:
Botão direito do mouse em My Network Places e, em seguida, Properties;
Figura 56 – Ícone My Network Places
Na janela Network and Dial-up Connections, utilizar o botão direito do mouse sobre a
conexão local desejada e escolher Properties;
Figura 57 – Janela Network and Dial-up Connections
Uma vez constatado que o Internet Protocol (TCP/IP) realmente não está instalado, clicar
no botão Install;
Figura 58 – Caixa de diálogo das propriedades da conexão local
Uma vez selecionado o componente de rede Protocol, clicar em Add;
52
Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede
Na caixa de diálogo Select Network Protocol, escolher o TCP/IP e confirmar.
9.1. Endereço IP Dinâmico: DHCP
Diferente do protocolo NetBEUI, o TCP/IP exige um certo nível de configuração para o seu
correto funcionamento. Para facilitar estas configurações existe o DHCP (Dynamic Host Configuration
Protocol), que possibilita o fornecimento automático de um endereço IP para computadores de uma
rede. É importante destacar que o computador configurado como servidor DHCP deverá possuir um
endereço IP definido manualmente.
Um servidor DHCP pode fornecer automaticamente, além do endereço IP, outras informações
de configuração como o endereço IP do servidor DNS, o servidor WINS e o gateway padrão. O
processo usado por um servidor DHCP para fornecer o endereço IP automaticamente é o seguinte:
O computador cliente solicita um endereço IP ao servidor DHCP;
O servidor DHCP fornece o endereço IP aos computadores cliente.
No Windows 2000, o local onde é definido se um computador utilizará um endereço IP
estático ou será um cliente DHCP é na caixa de diálogo Internet Protocol (TCP/IP) Properties,
acessível a partir do botão Properties do protocolo TCP/IP na caixa de diálogo Local Area Connection
Properties (Figura 58).
Figura 60 – Propriedades do protocolo TCP/IP
Se um computador Windows 2000 for configurado como um cliente DHCP, mas por algum
motivo não conseguir obter um endereço de um servidor DHCP, um endereço é automaticamente
53atribuído. Este recurso conhecido como Automatic Private IP Adressing fornece somente um
endereço IP e uma mascara de sub-rede, e não informações adicionais como o gateway padrão.
Quando um computador cliente DHCP sem um endereço IP é iniciado, o seguinte ocorre:
O computador cliente tenta localizar um servidor DHCP e obter informações sobre a
configuração do IP a partir desse servidor;
Se um servidor DHCP não for encontrado, o computador cliente automaticamente
configurará seu endereço IP e a mascara de sub-rede usando um endereço selecionado
da rede de classe B, reservada para a Microsoft, 169.254.0.0, com a máscara de sub-
rede 255.255.0.0.
9.2. Endereço IP Estático
Mesmo em uma rede que esteja executando o serviço do servidor DHCP, haverá momentos
em que talvez seja necessário configurar endereços IP estáticos manualmente para determinados
computadores da rede. Por exemplo, um computador que execute o serviço do servidor DHCP não
pode ser configurado para receber um endereço IP automático. Além disso, um servidor de correio ou
servidor Web talvez precise manter o mesmo endereço IP, portanto estes computadores devem
utilizar um endereço IP estático.
9.2.1. Configuração de Endereços IP Estáticos Ao configurar um endereço IP estático, devem ser fornecidas a máscara de sub-rede e o
gateway padrão além do próprio endereço IP para cada adaptador de rede de um computador que
esteja usando TCP/IP. A tabela a seguir descreve as definições de configuração do TCP/IP.
Definição de configuração
Descrição
IP Address8
Um endereço de 32 bits que identifica um host TCP/IP. Cada adaptador de rede em
um computador que execute o TCP/IP requer um endereço IP exclusivo, que
normalmente é mostrado em formato decimal, como 192.168.0.120. Cada endereço
tem duas partes: uma identificação de rede, que identifica todos os hosts na mesma
rede, e uma identificação de host, que identifica um host específico na rede. Neste
exemplo, a identificação de rede é 192.168.0, e a identificação de host é 120, com
base na máscara de sub-rede padrão.
Subnet mask
Um número que é usado para determinar em que sub-rede o computador está. As
sub-redes dividem uma grande rede intranet em várias redes conectadas com
roteadores. Uma máscara de sub-rede indica que parte de um endereço IP do host é
a identificação de rede e que parte é a identificação de host. Quando os hosts tentam
se comunicar, usam sua máscara de sub-rede para determinar se o host de destino
está na rede local ou remota.
Default O roteador através do qual um host enviará todos os pacotes IP para redes remotas
8 Se dois ou mais computadores executando o Windows 2000 tiverem o mesmo endereço IP, será apresentada uma mensagem de aviso nos dois computadores e desativará o TCP/IP no computador com o endereço IP duplicado. A mensagem de aviso é exibida quando o computador é ligado e continua a ser exibida na inicialização até o endereço IP ser alterado ou o computador com endereço duplicado ser removido. Os computadores que executam outros sistemas operacionais podem não fornecer o mesmo mecanismo para detectar conflitos de endereços IP.
54
gateway quando ele não tiver uma rota específica para essa rede. Um gateway é geralmente
configurado com informações de roteamento que permitem o encaminhamento de
pacotes para a rede de destino ou para outros roteadores intermediários.
Figura 61 – Caixa de diálogo para configuração de endereço IP estático
9.3. Verificação da Configuração TCP/IP
Após a conclusão da configuração do TCP/IP, alguns comandos podem ser úteis para
realização de testes de funcionalidade ou depuração de problemas a fim de assegurar que o
computador possa se comunicar usando este protocolo.
O primeiro comando é ipconfig (o uso de letras maiúsculas ou minúsculas não faz diferença).
Este comando exibe informações sobre a configuração do TCP/IP no computador no qual é
executado e determina se o computador foi inicializado com TCP/IP. Com o uso do comando
ipconfig /? são mostradas a sintaxe e todas as opções deste comando. As principais são:
/All Exibe informações mais completas sobre as configurações TCP/IP de todos os adaptadores
de rede do computador.
/Release Usado apenas em clientes DHCP, permite liberar um endereço IP obtido de um servidor
DHCP.
/Renew Também usado em clientes DHCP, faz com que o computador cliente tente obter uma
renovação do atual endereço IP concedido ou um novo endereço IP.
O outro comando bastante utilizado é Ping, que é uma ferramenta de diagnóstico que pode
ser usada para testar as configurações de TCP/IP entre dois computadores e diagnosticar falhas de
conexão. Com o uso do comando ping /? são exibidas a sintaxe e as opções deste comando.
559.3.1. Depurando Problemas com o Protocolo TCP/IP
O uso combinado dos comandos Ipconfig e Ping permite testar a configuração IP do
computador local e a conexão IP entre dois computadores na rede. As etapas descritas a seguir
devem ser seguidas em um processo de depuração de problemas com endereços IP.
Utilizar o comando Ipconfig, a partir do prompt de comando. O resultado será o seguinte:
o Se o TCP/IP tiver sido inicializado corretamente, o comando Ipconfig exibirá o
endereço IP e uma máscara de sub-rede para cada adaptador de rede do
computador. Esse comando também exibe outras configurações como o
gateway padrão.
o Se houver um endereço IP duplicado, o comando indicará que o endereço IP
está configurado, no entanto, a máscara de sub-rede é 0.0.0.0, o que indica
que o endereço IP do computador está sendo usado na rede.
o Se o endereço exibido for 169.254.x.x, isso significa que o computador não
está recebendo um endereço IP de um servidor DHCP e, em vez disso, está
recebendo um endereço através do Automatic Private IP Addressing. Um
Automatic Private IP Addressing sempre tem uma identificação de rede
169.254.0.0.
Executar o comando Ping com o endereço de auto-retorno (Ping 127.0.0.1) para verificar
se o TCP/IP está instalado corretamente. Um endereço de auto-retorno é aquele que o
computador utiliza para identificar-se.
Executar o comando Ping com o endereço IP do computador local para verificar se o
endereço IP está configurado corretamente.
Executar o comando Ping com o endereço IP do gateway padrão para verificar se o
computador pode se comunicar com a rede local.
Executar o comando Ping com o endereço IP de um host remoto para verificar se o
computador pode se comunicar através de um roteador.
Para exemplificar, vamos supor que o seguinte comando Ping tenha sido executado:
Ping 192.168.0.121 Se este comando obtiver êxito, a seguinte mensagem será exibida quatro vezes:
Reply from 192.168.0.121 Esta mensagem será seguida ainda de algumas informações estatísticas.
Já se o comando supra citado não obtiver êxito, a seguinte mensagem será exibida:
Destination host unreachable
56
10. DHCP Service
DHCP é um padrão TCP/IP para simplificar o gerenciamento de configurações IP. Cada vez
que um cliente DHCP inicia, ele requisita informações de endereçamento IP para um servidor DHCP.
Estas informações de endereçamento incluem informações como:
Um endereço IP
Uma máscara de sub-rede
Valores opcionais, como o endereço do gateway padrão, o endereço do servidor DNS ou
o endereço do servidor WINS
Quando um servidor DHCP recebe uma requisição para um endereço IP, ele seleciona
informações de endereçamento IP a partir de um escopo de endereços definidos em seu banco de
dados e oferece as informações ao cliente DHCP. Se o cliente aceita a oferta, o servidor DHCP
concede as informações de endereçamento IP para o cliente por um período específico.
10.1. Instalação e Configuração do DHCP Service
Para implementar DHCP é preciso instalar e configurar o DHCP Service em pelo menos um
computador executando Windows 2000 Server em uma rede TCP/IP. O servidor poderá ser um
controlador de domínio ou um servidor membro.
Um servidor DHCP requer um computador executando o Windows 2000 Server configurado
com as seguintes características:
Um endereço IP estático, máscara de sub-rede, gateway padrão (se necessário) e outros
parâmetros TCP/IP. Um servidor DHCP não pode ser um cliente DHCP;
O DHCP Service corretamente instalado e configurado;
Um escopo DHCP ativado, Um escopo é uma faixa de endereços IP que estarão
disponíveis para serem concedidos aos clientes. Uma vez que um escopo é criado ele
pode ser ativado;
Uma autorização, uma vez que o servidor DHCP precisa estar autorizado no Active
Directory.
Um cliente DHCP requer um computador que esteja com o uso do DHCP habilitado e
executando qualquer um dos sistemas operacionais suportados:
Windows 2000
Windows NT Server 3.51 ou superior
Windows NT Workstation 3.51 ou superior
Windows 9x
Windows for Workgroups 3.11 executando o Microsoft TCP/IP – 32
Microsoft Network Client 3.0 for Microsoft MS-DOS com drivers TCP/IP real mode
LAN Manager versão 2.2c para MS-DOS (LAN Manager 2.2c para OS/2 não é suportado)
10.1.1. Instalação do DHCP Service Para instalar o DHCP Service, utiliza-se o utilitário Add/Remove Programs no Control Panel.
O botão Add/Remove Windows Components fornece acesso à caixa de diálogo Windows
Components Wizard.
57
Figura 62 – Caixa de diálogo Windows Components Wizard
Nesta caixa, deve-se selecionar o item Network Services e clicar no botão Details.
Figura 63 – Caixa de diálogo Networking Services
Uma vez selecionado o item Dynamic Host Configuration Protocol, pode-se confirmar a
instalação do DHCP Service.
10.1.2. Configuração do Servidor DHCP Todas as tarefas de configuração e gerenciamento do DHCP Service são executadas no
snap-in DHCP. Neste snap-in obtém-se acesso a informações detalhadas sobre os escopos DHCP e
suas opções.
Figura 64 – Snap-in DHCP
58O primeiro passo na configuração de um servidor DHCP é a criação do escopo. Este precisa
ser criado para que o servidor DHCP possa começar a conceder informações de endereçamento IP
para os clientes DHCP da rede.
Um escopo nada mais é do que uma faixa de endereços IP disponíveis para concessão.
Quando um escopo é criado, as seguintes recomendações devem ser observadas:
É preciso criar pelo menos um escopo para cada servidor DHCP;
Os endereços IP de hosts com endereços estáticos precisam ser excluídos do escopo;
Podem ser criados múltiplos escopos em um servidor DHCP para centralizar a
administração e associar endereços IP específicos para cada sub-rede. Só é possível
associar um único escopo para uma sub-rede específica;
Servidores DHCP não compartilham informações. Como resultado, quando são criados
escopos em múltiplos servidores, é preciso assegurar que o mesmo endereço IP não
exista em mais do que um escopo para prevenir endereços IP duplicados.
As informações descritas a seguir serão necessárias no processo de criação do escopo.
Parâmetro Descrição
Name O nome do escopo
Description Uma descrição opcional para o escopo
Start IP Address O endereço IP inicial de uma faixa de endereços que podem ser concedidos
aos clientes DHCP
End IP Address O endereço IP final de uma faixa de endereços que podem ser concedidos aos
clientes DHCP
Subnet Mask A máscara de sub-rede associada aos clientes DHCP
Start IP Address
(for excluded range)
O endereço IP inicial da faixa que será excluída do escopo. Os endereços na
faixa de exclusão não serão concedidos a clientes DHCP
Ende IP Address
(for excluded range)
O endereço IP inicial da faixa que será excluída do escopo
Lease Duration O número de dias, horas e minutos que a concessão de IP para o cliente
DHCP estará válida antes que precise ser renovada
Para criar um escopo seleciona-se o comando New Scope no menu Action, obtendo-se então
acesso a um Wizard que possibilitará o fornecimento de informações para o novo escopo.
Figura 65 – Auxiliar para criação de escopo
59a. Opções DHCP
Uma vez que o escopo tenha sido criado com sucesso, pode-se ainda configurar opções para
os clientes DHCP. Estas opções permitem o fornecimento de informações adicionais (além do
endereço IP e da máscara de sub-rede) como Gateway padrão, servidores DNS e servidores WINS.
Algumas das principais opções são:
Opção Descrição
003 Router
O endereço IP do roteador da rede, ou seja, o endereço IP do gateway padrão.
Um gateway padrão definido localmente no computador cliente terá
predominância sobre esta opção DHCP. Para assegurar que será utilizada a
opção DHCP deve-se verificar se a caixa Default Gateway no computador
cliente está vazia
044 WINS/NBNS
Servers
O endereço IP de um servidor WINS disponível na rede. Um servidor WINS
definido manualmente no cliente sobrepõem-se ao valor configurado nesta
opção
046 WINS/NBT Node
Type
O tipo de resolução de nomes NetBIOS usada pelo cliente. As opções são 1 =
B-node (broadcast), 2 = P-node (peer), 4 = M-node (mixed) e 8 = H-node
(hybrid)
10.1.3. Autorização do Servidor DHCP Um servidor DHCP precisa ser autorizado no Active Directory antes que ele possa iniciar a
concessão de endereços IP para os clientes. A autorização é uma precaução de segurança para
garantir que somente servidores DHCP autorizados estejam em execução na rede. Para autorizar um
servidor DHCP, seleciona-se o domínio no árvore do snap-in e então escolhe-se Authorize no menu
Action.
60
11. WINS
O serviço WINS provê um banco de dados distribuído para registro e consulta de
mapeamentos dinâmicos de nomes NetBIOS para computadores e grupos da rede.
NetBIOS foi desenvolvido para a IBM em 1983 pela Sytek Corporation para permitir que
aplicações comunicassem sobre a rede.
Um nome NetBIOS é um endereço único de 16 bytes usado para identificar um recurso
NetBIOS na rede. Este nome pode ser único (exclusivo) ou de grupo (não exclusivo). Nomes únicos
são tipicamente usados para envio de comunicações de rede para um processo específico em um
computador. Nomes de grupo são usados para envio de informações para múltiplos computadores ao
mesmo tempo. Um exemplo de um processo que usa nomes NetBIOS é o serviço File and Printer
Sharing for Microsoft Networks em um computador rodando Windows 2000. Quando um computador
inicia, este serviço registra um nome único baseado no nome do computador. O nome exato usado
pelo serviço é formado pelos 15 caracteres do nome do computador seguido de um 16º caractere
(0x20). Se o nome do computador não possui 15 caracteres são colocados espaços até este número.
A resolução de nomes NetBIOS é o processo de mapeamento de nomes NetBIOS de
computadores para endereços IP. Um nome NetBIOS de computador precisa ser resolvido para um
endereço IP antes que o endereço IP seja resolvido para um endereço de hardware. A
implementação de TCP/IP da Microsoft usa diversos métodos para resolver nomes NetBIOS;
contudo, o mecanismo exato pelo qual os nomes NetBIOS são resolvidos para endereços IP depende
do tipo de nó (node type) configurado. A RFC 1001, “Protocol Standard for a NetBIOS Service on a
TCP/UDP Transport: Concepts and Methods”, define os tipos de nó NetBIOS, conforme listado na
tabela abaixo:
Node Type Descrição
B-node (broadcast) B-node usa broadcast para consultas de nomes NetBIOS para registro e
resolução
P-node (peer-peer) P-node usa um servidor de nomes NetBIOS, como o servidor WINS,
para resolução de nomes. P-node não usa broadcast; em vez disso
consulta diretamente com o servidor de nomes
M-node (mixed) M-node é uma combinação de B-node e P-node. Por padrão, um M-
node funciona como um B-node. Se um M-node não consegue resolver
um nome através de broadcast, ele então consulta um servidor de
nomes
H-node (hybrid) H-node é uma combinação de P-node e B-node. Por padrão um H-node
funciona como um P-node. Se um H-node não consegue resolver um
nome através do servidor de nome NetBIOS, ele usa então broadcast
Computadores rodando Windows 2000 são B-node por padrão e tornam-se H-node quando
são configurados com um servidor WINS. Windows 2000 também pode utilizar um arquivo local
chamado LMHOSTS para resolver nomes NetBIOS remotos. O arquivo LMHOSTS é armazenado na
pasta \Winnt\System32\Drivers\Etc, onde também está localizado um arquivo exemplo
(LMHOSTS.SAM).
61Existem diversas vantagens no uso de WINS. A primeira vantagem é que a requisição para
resolução de nomes é enviada diretamente do cliente para o servidor WINS. Se o servidor WINS
resolve o nome, ele envia o endereço IP diretamente para o cliente. Como resultado, não é
necessário o envio de broadcasts pela rede. Contudo, se o servidor WINS não estiver disponível, o
cliente poderá ainda usar broadcast na tentativa de resolver o nome. Outra vantagem do uso de
WINS é que o seu banco de dados é atualizado dinamicamente, logo estará sempre atualizado. Isto
eliminará a necessidade de arquivos LMHOSTS.
O processo de registro e consulta de nomes pelos clientes é bastante simples:
Em um ambiente WINS , cada vez que o cliente inicia, o mapeamento do seu nome
NetBIOS e seu endereço IP é registrado no servidor WINS configurado;
Quando um cliente WINS iniciar um comando de comunicação com outro host, a consulta
de nome é enviada diretamente para o servidor WINS em vez de ser enviada para toda a
rede através de broadcast;
Se o servidor WINS encontra um mapeamento de nome NetBIOS e endereço IP em seu
banco de dados para o host consultado, esta informação é retornada ao cliente WINS que
requisitou a consulta.
11.1. Implementação de WINS
Antes de implementar um servidor WINS em um ambiente é preciso primeiro analisar se este
serviço será realmente necessário para o melhor funcionamento da rede. Para tal, algumas questões
devem ser consideradas:
Existem clientes legados ou aplicações que requerem o uso de nomes NetBIOS? É importante lembrar que todas os computadores da rede que rodem versões prévias dos
sistemas operacionais Microsoft, como as versões do MS-DOS, Windows ou Windows NT requerem
suporte para nomes NetBIOS para prover serviços básicos de arquivo e impressão na rede e para
suportar muitas aplicações legadas. Windows 2000 é o primeiro sistema operacional da Microsoft que
não requer o use de nomes NetBIOS.
Todos os computadores da rede estão configurados e aptos para suportar outro tipo de resolução de nomes, como o DNS?
Resolução de nomes é ainda um serviço vital para localização de computadores e recursos
através da rede, mesmo quando nomes NetBIOS não são requeridos. Antes de decidir eliminar o
suporte a nomes NetBIOS através do WINS é preciso ter certeza que todos os computadores e
programas na rede estarão aptos a funcionar usando outro serviço de resolução de nomes, como o
DNS.
A rede é pequena ou é uma subrede roteada com múltiplas subredes? Se tratar-se de uma pequena rede local (LAN) que ocupa um segmento físico de rede e tem
menos de 50 clientes, provavelmente não será necessário o uso de servidor WINS.
11.1.1. Considerações sobre Servidores WINS Mesmo em redes roteadas, formadas por múltiplas subredes, somente um servidor WINS
poderá ser necessário uma vez que as requisições para resolução de nomes são datagramas
direcionados que podem ser roteados.
62O uso de dois servidores WINS poderá ser interessante como uma forma de backup para
tolerância a falhas. Se um servidor tornar-se indisponível, o segundo servidor poderá ser usado na
resolução de nomes.
Também deve-se considerar as seguintes recomendações para servidores WINS:
Não existe limite para o número de requisições WINS que podem ser atendidas por um
servidor WINS, mas geralmente poderão ser gerenciados 1500 registros e cerca de 4500
consultas por minuto;
Uma recomendação conservadora recomenda um servidor WINS e um backup para cada
10.000 clientes WINS.
Computadores com múltiplos processadores demonstram uma melhoria de performance
de aproximadamente 25% para cada processador adicional, já que processos WINS
separados são iniciados para cada processador.
Se o log da mudanças no banco de dados é desabilitado (através do WINS Manager), os
registros de nome são mais rápidos, mas se uma falha ocorrer, existe o risco de perda
das últimas atualizações.
Para que o serviço WINS possa ser configurado é necessário pelo menos um computador na
rede rodando Windows NT Server ou Windows 2000 Server (não é necessário que seja um
controlador de domínio). O servidor precisa ter um endereço IP, máscara de subrede e,
opcionalmente gateway padrão e outros parâmetros TCP/IP. O servidor WINS poderá ser um cliente
DHCP, muito embora não seja recomendável.
O cliente WINS poderá ser um computador rodando os seguintes sistemas operacionais:
Windows 2000
Windows NT 3.5 ou superior
Windows 9x
Windows for Workgroups rodando Microsoft TCP/IP-32
Microsoft Network Client 3.0 for MS-DOS
LAN Manager 2.2c for MS-DOS
O cliente precisa ter configurado o endereço IP de um servidor WINS primário ou um servidor
primário e um secundário.
11.1.2. Instalação do WINS Para instalar o WINS, utiliza-se o utilitário Add/Remove Programs no Control Panel. O botão
Add/Remove Windows Components fornece acesso à caixa de diálogo Windows Components
Wizard.
63
Figura 66 – Caixa de diálogo Windows Components Wizard
Nesta caixa, deve-se selecionar o item Network Services e clicar no botão Details.
Figura 67 – Caixa de diálogo Networking Services
Uma vez selecionado o item Windows Internet Name Service (WINS), pode-se confirmar a
instalação do WINS.
11.1.3. Configuração do Servidor WINS Na maioria dos ambientes o WINS funcionará perfeitamente sem que nenhuma configuração
adicional seja necessária. O que pode ser necessário em algumas situações é a inclusão de
mapeamentos estáticos no banco de dados.
Estes mapeamentos são necessários quando precisa-se adicionar o mapeamento de nome
NetBIOS para endereço IP de um computador que não opera como cliente WINS. Por exemplo,
servidores rodando outros sistemas operacionais (Unix ou outros) não podem registrar um nome
NetBIOS diretamente em um servidor WINS. Embora estes nomes possam ser resolvidos através de
um arquivo LMHOSTS ou consultando um servidor DNS deve-se considerar o uso de mapeamentos
estáticos.
Para configurar um mapeamento estático utiliza-se o snap-in WINS em Administrative Tools,
onde deve-se selecionar o item Active Registration com o botão direito e escolher o comando New
Static Mapping, conforme mostrado na figura abaixo.
64
Figura 68 – Criação de um mapeamento estático
Na caixa de diálogo que surgirá deverão ser preenchidas as informações relacionadas ao
host cujo registro será estático9.
Figura 69 – Caixa de diálogo New Static Mapping
A tabela a seguir descreve os itens que deverão ser preenchidos nesta caixa de diálogo.
Opção Descrição
Computer name Nome NetBIOS do host
NetBIOS scope Identificador do escopo NetBIOS, se aplicável
Tipo de mapeamento estático que será criado. Poderá ser: Type
Unique Um nome único mapeado para um endereço IP simples
9 Os mapeamentos estáticos constituem um recurso que só deve ser utilizado para hosts que não registram-se automaticamente no servidor WINS, tais como sistemas operacionais que não sejam Microsoft. Não existe ganho de performance na resolução de nomes se registrarmos estaticamente um host que suporte registro automático.
65
Group Também referido como grupo “Normal”. Quando adicionada
uma entrada para um grupo usando o WINS Manager, é preciso
entrar com o nome do computador e seu endereço IP. Contudo,
os endereços IP para membros individuais do grupo não são
armazenados no banco de dados WINS. Pelo fato dos
endereços de membros não serem armazenados, não existe
limite para o número de membros que podem ser adicionados
ao grupo. Pacotes de nome broadcast são usados para
comunicar com membros do grupo.
Domain
Name
É um mapeamento de nome NetBIOS para endereço IP que
possui 0x1C como o 16º byte. Um grupo domínio armazena no
máximo 25 endereços para membros.
Internet
Group
Grupos Internet são definidos pelo usuário para possibilitar o
agrupamento de recursos, como impressoras, para facilitar a
referência. Um grupo Internet pode armazenar no máximo 25
endereços para membros.
Multihomed Um nome único que pode ter mais de um endereço IP. É usado
para computadores multihomed. Cada nome de grupo
multihomed pode conter um máximo de 25 endereços.
11.1.4. Configuração de Replicação WINS Todos os servidores WINS em uma rede podem ser configurados para replicarem seus
bancos de dados entre si. Isto garante que um nome registrado com um servidor WINS estará
disponível nos demais servidores WINS da rede.
A replicação ocorre sempre que ocorrerem mudanças, incluindo quando um nome é liberado.
A replicação de banco de dados WINS habilita um servidor WINS a resolver nomes de hosts
registrados com outro servidor WINS. Isto é particularmente interessante em grandes redes formadas
por múltiplas sub-redes dispersas remotamente.
WINS Server
WINS Client WINS Client
WINS Server
WINS Client WINS Client
WINS Server
WINS Client WINS Client
Joinville
Blumenau Florianópolis
Figura 70 – Rede WAN
Na figura mostrada acima, se um host localizado na sub-rede de Blumenau precisar
estabelecer uma comunicação utilizando NetBIOS com um host de Joinville, será necessário que o
66servidor WINS de Blumenau tenha a capacidade de resolver o nome deste host remoto. A melhor
forma de obter este resultado seria estabelecer a replicação WINS entre os servidores.
Para replicar entradas do banco de dados WINS10 cada servidor precisa ser configurado
como parceiro Pull ou Push com pelo menos um outro servidor WINS. Um parceiro Push é um
servidor WINS que envia uma mensagem para seu parceiro Pull notificando sobre alguma mudança
no banco de dados. Quando o parceiro Pull responde a mensagem com uma requisição de
replicação, o parceiro Push envia a cópia das novas entradas no banco de dados.
Para configurar parceiros de replicação utiliza-se o snap-in WINS selecionado o item
Replication Partners e no menu de contexto escolhe-se o comando New Replication Partner.
Figura 71 - Configuração de novos parceiros de replicação WINS
11.1.5. Backup do Banco de Dados WINS O snap-in WINS provê ferramentas de backup para que o banco de dados do WINS possa
ser copiado e restaurado. Quando o backup é efetuado é criada uma estrutura de pastas
\Wins_bak\New sob a pasta especificada como Default backup path em Server Properties. Por
padrão, o caminho para o backup é a pasta raiz da partição do sistema, como C:\. Após a
especificação da pasta que conterá o backup do banco de dados, o WINS efetua um backup
completo do banco a cada três horas. WINS também pode ser configurado para efetuar um backup
automaticamente quando o serviço é parado ou quando o servidor é desligado.
10 Servidores WINS replicam apenas as novas entradas dos seus bancos de dados. O banco de dados inteiro não é copiado cada vez que ocorre a replicação.
67
12. Segurança NTFS
Permissões NTFS são um conjunto de permissões que permitem conceder ou negar acesso a
pastas e arquivos para cada usuário ou grupo. A segurança NTFS é efetiva nos acessos locais
(diretamente no computador onde está localizada a pasta ou arquivo) ou nos acessos através da
rede.
O NTFS armazena uma lista de controle de acesso (ACL) com cada arquivo e pasta em uma
partição NTFS. A ACL contém uma lista de todas as contas de usuário, grupos e computadores aos
quais foi concedido acesso para o arquivo ou pasta, além do tipo de acesso permitido. Para que um
usuário acesse um arquivo ou pasta, a ACL deve conter uma entrada, chamada entrada de controle
de acesso (ACE), para a conta de usuário, grupo ou computador ao qual o usuário pertence. A
entrada deve permitir especificamente o tipo de acesso que o usuário está solicitando, para que ele
consiga acessar o arquivo ou pasta. Se não existir nenhuma ACE na ACL, o Windows 2000 negará o
acesso do usuário ao recurso.
As permissões NTFS além de especificar os usuários, grupos e computadores que podem
acessar arquivos e pastas também determinam o que estes poderão fazer com o conteúdo do arquivo
ou pasta.
12.1. Permissões NTFS de Pasta
A tabela a seguir lista as permissões padrão NTFS para pastas que podem ser concedidas e
o tipo de acesso fornecido por cada uma delas:
Permissão NTFS Permite que o usuário
Read Visualize os arquivos e as subpastas da pasta e os atributos, a propriedade e
as permissões desta pasta
Write Crie novos arquivos e subpastas na pasta, altere seus atributos e visualize
as permissões e a propriedade desta pasta
List Folder Contents Visualize os nomes dos arquivos e subpastas da pasta
Read & Execute Percorra as pastas e execute as ações permitidas pelas permissões Read e
List Folder Contents
Modify Exclua a pasta e execute as ações autorizadas pelas permissões Write e
Read & Execute
Full Control Altere as permissões, aproprie-se, exclua as subpastas e os arquivos, e
execute as ações autorizadas por todas as permissões NTFS de pasta
12.2. Permissões NTFS de Arquivo
A tabela a seguir lista as permissões NTFS de arquivo, que podem ser concedidas, e o tipo
de acesso que cada uma delas fornece ao usuário:
Permissão NTFS Permite que o usuário
Read Leia o arquivo e visualize os atributos, a propriedade e as permissões
deste arquivo
Write Substitua o arquivo, altere seus atributos e visualize a propriedade e as
68
permissões deste arquivo
Read & Execute Execute aplicativos e realize as ações autorizadas pela permissão Read
Modify Modifique e exclua o arquivo e execute as ações permitidas pelas
permissões Write e Read & Execute
Full Control Altere as permissões, aproprie-se e execute as ações permitidas por
todas as outras permissões NTFS de arquivo
12.3. Múltiplas Permissões NTFS
Permissões de arquivos e pastas podem ser associadas a usuários ou grupos. Portanto é
possível que um usuário receba múltiplas permissões: as permissões associadas ao próprio usuário e
as permissões associadas a grupos dos quais ele faça parte.
Nestes casos, as permissões efetivas de um usuário são originadas pela combinação das
permissões de usuário e de grupos. Por exemplo, se um usuário tem a permissão Write para uma
pasta e um grupo do qual ele faça parte tem a permissão Read para a mesma pasta as permissões
efetivas do usuário serão Read e Write para esta pasta.
Uma exceção a esta regra é a permissão Deny, que nega acesso a pastas ou arquivos. Se o
usuário receber esta permissão não importarão as demais permissões NTFS que ele possa ter
recebido: a permissão efetiva será Deny.
Uma outra situação possível é um determinado usuário receber uma permissão (Write, por
exemplo) para uma pasta e receber uma outra permissão (Read, por exemplo) para um arquivo
contido na mesma pasta. Neste caso, a permissão efetiva será Read, pois as permissões NTFS de
arquivo têm prioridade sobre as permissões NTFS de pasta.
12.4. Concessão de Permissões NTFS
As permissões NTFS são concedidas na caixa de diálogo Properties da pasta ou arquivo. Ao
conceder ou modificar as permissões NTFS pode-se adicionar ou remover usuários, grupos ou
computadores do arquivo ou pasta.
Figura 72 – Propriedades de segurança de uma pasta
69Na guia Security da caixa de diálogo Properties do arquivo ou da pasta, pode-se configurar as
opções descritas na tabela a seguir.
Opção Descrição
Name Seleciona a conta de usuário ou grupo para o qual deseja-se alterar
permissões ou que deseja-se remover da lista
Permissions Concede uma permissão quando marcada a caixa de seleção Allow
Nega uma permissão quando você marca a caixa de seleção Deny
Add Abre a caixa de diálogo Select Users, Computers or Groups, usada para
selecionar contas de usuário e grupos a serem adicionados à lista Name
Remove Remove a conta de usuário ou grupo selecionado e as permissões
associadas do arquivo ou da pasta
12.5. Herança de Permissões
Por padrão, as permissões concedidas a uma pasta pai são herdadas e propagadas para as
subpastas e os arquivos contidos nessa pasta.
Em geral, deve-se permitir que o Windows 2000 propague as permissões de uma pasta pai
para as subpastas e os arquivos que ela contém. A propagação de permissões simplifica a atribuição
de permissões para recursos.
No entanto, às vezes convém impedir a herança de permissões, assegurando que subpastas
e arquivos não herdarão as permissões de sua pasta pai.
Conforme mostrado na guia Security da caixa de diálogo Properties, quando a caixa de
seleção Allow inheritable permissions from parent to propagate to this object está marcada a herança
ocorrerá. Para impedir que uma subpasta ou arquivo herde as permissões da pasta pai, deve-se
desmarcar essa caixa de seleção e, em seguida, selecionar uma das opções na caixa de diálogo que
surgirá.
Figura 73 – Propriedades de segurança de uma pasta
70
Figura 74 – Caixa de diálogo para cópia ou exclusão de permissões da pasta pai
Opção Descrição
Copy Copia para a subpasta ou arquivo as permissões que foram herdadas
anteriormente da pasta pai e nega herança de permissões
subseqüentes da pasta pai
Remove Remove da subpasta ou do arquivo a permissão que foi herdada da
pasta pai e mantém somente as permissões concedidas explicitamente
a subpasta ou arquivo
12.6. Mover e Copiar Pastas e Arquivos
Quando copia-se ou move-se um arquivo ou pasta, as permissões podem ser alteradas,
dependendo do local para o qual a pasta ou arquivo é copiado ou movido.
12.6.1. Copiar Pastas e Arquivos Quando copiam-se arquivos ou pastas de uma pasta para outra, ou de uma partição para
outra, talvez as permissões para esses arquivos ou pastas sejam alteradas. A cópia de um arquivo ou
pasta gera os seguintes efeitos nas permissões NTFS:
Quando copia-se uma pasta ou arquivo dentro de uma única partição NTFS, a cópia da
pasta ou arquivo herda as permissões da pasta de destino;
Quando copia-se uma pasta ou arquivo entre partições NTFS, a cópia dessa pasta ou
arquivo herda as permissões da pasta de destino;
Quando copiam-se arquivos ou pastas para partições que não são NTFS (como FAT, por
exemplo), as pastas e arquivos perdem suas permissões.
Para copiar arquivos e pastas em uma única partição NTFS ou entre partições NTFS, deve-se
possuir pelo menos a permissão Read para a pasta de origem e a permissão Write para a pasta de
destino.
12.6.2. Mover Pastas e Arquivos Mover um arquivo ou pasta tem os seguintes efeitos nas permissões NTFS:
Quando move-se uma pasta ou arquivo em uma mesma partição NTFS, as permissões
são mantidas;
Quando move-se uma pasta ou arquivo entre partições NTFS, essa pasta ou arquivo
herda as permissões da pasta de destino. Na verdade, o que ocorre é que a pasta ou
arquivo é primeiramente copiado para o local de destino e em seguida excluído da
localização de origem;
71 Quando movem-se arquivos ou pasta para partições que não são NTFS, as permissões
são perdidas.
Para mover arquivos e pastas em uma mesma partição NTFS ou entre partições NTFS, deve-
se possuir a permissão Write para a pasta de destino e a permissão Modify para a pasta ou arquivo
de origem.
12.7. Recomendações para Concessão de Permissões NTFS
As seguintes práticas devem ser consideradas para o uso de permissões NTFS:
Conceder permissões a grupos e não a usuários. É mais fácil gerenciar grupos do que
usuários. Isso mantém a ACL com poucas entradas, o que aumenta o desempenho;
Agrupar arquivos em pastas de aplicativos e dados e atribuir as permissões às pastas e
não aos arquivos;
Permitir aos usuários apenas o nível de acesso necessário;
Criar grupos de acordo com o tipo de acesso que seus participantes requerem para
recursos e conceder as permissões apropriadas a esses grupos;
Ao conceder permissões para pastas de aplicativos, conceder a permissão Read &
Execute aos grupos. Isso impede que os dados e arquivos de aplicativo sejam excluídos
ou danificados acidentalmente por usuários ou vírus;
Ao conceder permissões para pastas de dados, deve-se conceder as permissões Read &
Execute e Write ao grupo Users e a permissão Full Control ao Creator Owner. Isso
permite que os usuários tenham a capacidade de ler e modificar os documentos criados
or outros usuários e a capacidade de ler, modificar e excluir os arquivos e as pastas
criados por eles próprios.
Em geral é melhor não associar permissões do que negar permissões com o uso do
Deny. A permissão Deny só deve ser usada quando for essencial negar acesso a uma
conta de usuário ou grupo específico.
72
13. Gerenciamento de Impressão
O Windows 2000 Server foi projetado para trabalhar como servidor de impressão para
clientes de diversas plataformas, como Windows 9x e Windows NT.
Antes de verificar como procedem-se as configurações de impressão, é importante estar
familiarizado com algumas terminologias relacionadas à impressão adotadas pela Microsoft:
Dispositivo de impressão: é o dispositivo de hardware que produz documentos impressos.
O Windows 2000 suporta os seguintes dispositivos de impressão:
Dispositivos de impressão locais: são os dispositivos de impressão conectados a uma
porta física no servidor de impressão.
Dispositivos de impressão com interface de rede: são os dispositivos de impressão
conectados a um servidor de impressão através da rede, e não por meio de uma porta
física.
Impressora: é a interface de software entre o sistema operacional e o dispositivo de
impressão.
Servidor de impressão: é o computador em que estão localizadas as impressoras e os
drivers dos clientes. O servidor de impressão recebe e processa os documentos dos
computadores cliente.
Driver de impressora: equivale a um ou mais arquivos que contém as informações que o
Windows 2000 precisa para converter os comandos de impressão em uma linguagem de
impressora específica. Essa conversão possibilita que um dispositivo de impressão
imprima um documento. O driver de impressora é específico para cada modelo de
dispositivo de impressão. É necessário que o driver de impressora apropriado esteja
presente no servidor de impressão.
13.1. Requisitos para Impressão em Rede
Há requisitos de hardware específicos que são necessários para a configuração de um
ambiente de impressão eficiente. Se os requisitos mínimos de hardware não forem satisfeitos, a
impressão pela rede poderá ser altamente ineficiente. A configuração da impressão em uma rede do
Windows 2000 requer o seguinte:
Pelo menos um computador que funcione como servidor de impressão. Se o servidor de
impressão for usado para gerenciar muitos trabalhos de impressão pesados, a Microsoft
recomenda dedicar um servidor para a impressão. O servidor de impressão pode ser
executado de uma destas maneiras:
Windows 2000 Server, Windows 2000 Advanced Server ou Windows 2000 Datacenter
Server. Um destes produtos deve ser usado quando for necessário suporte a um grande
número de conexões, além dos clientes Macintosh, UNIX e NetWare.
Windows 2000 Professional. Este produto deve ser usado quando o número de conexões
simultâneas a partir de outros computadores para arquivo e serviços de impressão for
limitado a dez, incluindo os clientes UNIX.
RAM suficiente para processar os documentos impressos. Se um servidor de impressão
gerenciar um grande número de impressoras ou vários documentos grandes, ele poderá
precisar de mais RAM, além da necessária ao Windows 2000 para outras tarefas. Se um
73servidor de impressão não tiver RAM suficiente para sua carga de trabalho, o
desempenho da impressão poderá diminuir.
Espaço em disco suficiente no servidor de impressão. É necessário que haja espaço em
disco suficiente para assegurar que o Windows 2000 possa armazenar os documentos
enviados ao servidor de impressão até que o servidor de impressão envie os documentos
ao dispositivo de impressão. Esse é um aspecto importante no caso de documentos
grandes ou que ficam acumulados. Por exemplo, se dez usuários enviarem, cada um, um
documento grande para que seja impresso ao mesmo tempo, o servidor de impressão
deverá ter espaço em disco suficiente para reter todos os documentos até que o servidor
de impressão envie-os ao dispositivo de impressão.
13.2. Diretrizes para um Ambiente de Impressão em Rede
Antes de configurar a impressão pela rede, é importante desenvolver uma estratégia de
impressão para lidar efetivamente com as necessidades de impressão da rede. Esses procedimentos
garantirão o tratamento sem problemas dos trabalhos de impressão:
Determinar os requisitos de impressão da organização. Isso inclui o número e os tipos de
dispositivos de impressão necessários. Considerar também o tipo de carga de trabalho a
ser gerenciado por cada dispositivo de impressão.
Determinar os requisitos de impressão dos usuários em cada departamento. Uma carga
de trabalho de impressão maior pode precisar de mais dispositivos de impressão.
Determinar o número de servidores de impressão necessários à rede a fim de gerenciar o
número e os tipos de impressora da rede.
Determinar o local dos dispositivos de impressão.
Determinar quais trabalhos de impressão precisam de alta prioridade.
13.3. Instalação de uma Impressora
Para adicionar uma impressora compartilhada, deve-se efetuar logon como Administrator no
servidor de impressão. Em seguida, poderá ser incluída e compartilhada uma nova impressora
utilizando o Add Printer Wizard.
O Add Printer Wizard orienta durante as etapas necessárias para adicionar uma impressora a
um dispositivo de impressão conectado ao servidor de impressão. O número de dispositivos de
impressão locais que podem ser conectados a um servidor de impressão através de portas físicas
depende da configuração de hardware.
A tabela a seguir descreve as opções fornecidas pelo Add Printer Wizard para adição de uma
impressora para um dispositivo de impressão local.
Opção Descrição
Local printer Esta opção indica que será adicionada uma impressora localizada no
computador local
Use the following
port
A porta no servidor de impressão à qual esta conectado o dispositivo de
impressão. Pode-se também adicionar uma porta. A adição de uma
porta permite imprimir usando portas de hardware que não sejam
padrão, como uma conexão com interface de rede
74
Manufacturers e
Printers
O driver de impressora correto para o dispositivo de impressão local
Printer name Um nome que identifica a impressora para os usuários. Alguns
aplicativos poderão não suportar mais de 31 caracteres na combinação
de nome do servidor e impressora
Default printer A impressora padrão de todos os aplicativos baseados no Windows
Shared as Um nome de compartilhamento que os usuários (com a permissão
apropriada) podem usar para fazer uma conexão com a impressora
através da rede
Location e Comment Estas informações poderão ser usadas para localização de impressoras
no Active Directory
13.4. Configuração de Computadores Clientes
Após adicionar e compartilhar uma impressora, deve-se configurar os computadores cliente
para que os usuários possam imprimir seus documentos. Embora a tarefa de configuração de
computadores cliente seja diferente dependendo do sistema operacional executado no computador
cliente, todos os computadores cliente requerem que um driver de impressora esteja instalado.
13.4.1. Clientes Windows 9x ou Windows NT 4.0 Os usuários de computadores cliente que executam o Windows 95, o Windows 98 ou o
Windows NT 4.0 só precisam fazer uma conexão com a impressora compartilhada. O computador
cliente faz automaticamente o download do driver de impressora apropriado, desde que haja uma
cópia dele no servidor de impressão. Além disso, quando o driver de impressora para o sistema
operacional do cliente é atualizado no servidor de impressão, os computadores clientes atualizarão
automaticamente o driver utilizado na próxima vez que o cliente fizer uma conexão na impressora.
Figura 75 – Drivers adicionais
13.5. Compartilhamento de uma Impressora
Para compartilhar uma impressora já existente será necessário o fornecimento de algumas
informações adicionais:
Atribuir um nome de compartilhamento à impressora;
75 Publicar a impressora no Active Directory, de modo que os usuários possam pesquisar a
impressora mais rapidamente;
Adicionar outros drivers de impressora para computadores clientes que executam o
Windows 95, o Windows 98 ou o Windows NT 4.0 em diferentes plataformas de
hardware.
Figura 76 – Compartilhamento de uma impressora
13.6. Prioridades de Impressoras
Pode-se criar várias impressoras que apontem para o mesmo dispositivo de impressão, cada
uma com prioridades diferentes. Isso permitirá que os usuários enviem os documentos críticos para
uma impressora de alta prioridade e os documentos não críticos para uma impressora de baixa
prioridade. Os documentos enviados para a impressora de alta prioridade serão impressos primeiro.
A prioridade de uma impressora pode ser definida na guia Advanced nas propriedades da
impressora.
Figura 77 – Propriedades avançadas da impressora
As seguintes tarefas devem ser cumpridas para definir as prioridades entre as impressoras:
76 Apontar duas ou mais impressoras para o mesmo dispositivo de impressão (a mesma
porta). A porta pode ser física no servidor de impressão ou uma porta que aponte para
um dispositivo de impressão com interface de rede;
Definir uma prioridade diferente para cada impressora conectada ao dispositivo de
impressão e, em seguida, fazer com que diversos grupos de usuários imprimam em
impressoras diferentes.
13.7. Permissões para as Impressoras
Há três níveis de permissão de impressoras: Print, Manage Documents e Manage Printer. A
tabela a seguir lista as capacidades dos diversos níveis de permissão.
Capacidade das permissões de impressão Permissão Print
Permissão Manage Documents
Permissão Manage Printer
Imprimir documentos X X X
Pausar, continuar, reiniciar e cancelar o próprio
documento do usuário X X X
Estabelecer conexão com uma impressora X X X
Controlar as configurações de trabalho para todos
os documentos X X
Pausar, reiniciar e excluir todos os documentos X X
Compartilhar uma impressora X
Alterar as prioridades da impressora X
Excluir impressoras X
Alterar as permissões de impressoras X
Por padrão, os administradores de um servidor e os operadores de impressão e do servidor
em um controlador de domínio possuem a permissão Manage Printer. O grupo Everyone possui a
permissão Print, e o proprietário de um documento possui a permissão Manage Documents.
Figura 78 – Permissões da impressora
77
14. Gerenciamento de Discos
Quando configuramos discos em um servidor Windows 2000 é preciso optar entre
implementar discos básicos ou dinâmicos. O tipo escolhido determina como o espaço será utilizado
no disco rígido. Uma compreensão dos discos básicos e dinâmicos permitirá configurar os discos
rígidos de uma forma mais eficiente.
14.1. Discos Básicos
Quando instalamos um novo disco o Windows 2000 configura-o como um disco básico. O tipo
básico é o suportado pelo Windows NT, permitindo partições de disco primárias e estendidas e drives
lógicos. Conseqüentemente este tipo de disco está restrito ao limite de quatro partições imposto pela
estrutura da tabela de partição de disco (um arquivo de 64 bytes no primeiro setor de qualquer disco;
a tabela de partição lista os locais físicos de qualquer partição lógica no disco, mas só pode descrever
quatro partições porque cada descrição ocupa 16 bytes). Estas quatro partições podem ser primárias
(ou três primárias e uma estendida que por sua vez poderá conter drives lógicos).
Não é possível criar novos conjuntos de volumes, faixas de disco nem conjuntos RAID-5 em
discos básicos no Windows 2000. No entanto, se um Windows NT com algum destes recursos for
atualizado para Windows 2000 eles serão suportados em um disco básico.
O disco básico é compatível com outros sistemas operacionais e deve ser usado apenas nos
equipamentos em que uma inicialização dupla (dual boot) com o Windows 2000 for necessária.
Os tipos de partições que podem ser constituídas em um disco básico são:
Primária: uma parte de espaço de armazenamento utilizável criada a partir de um espaço
não alocado em um disco. Atribui-se uma letra de unidade a cada partição primária.
Estendida: uma parte do espaço de armazenamento utilizável criada a partir de um
espaço não alocado em um disco quando deseja-se criar mais de quatro espaços de
armazenamento em um disco básico. Pode-se dividir uma partição estendida em
unidades lógicas e não deve-se atribuir uma letra de unidade a uma partição estendida, e
sim às suas unidades lógicas.
Lógica: uma parte criada dentro de uma partição estendida. Deve-se atribuir a ela uma
letra de unidade sendo que não poderá estender-se por vários discos.
É importante saber que ao criar partições deve-se deixar um mínimo de 1 megabyte de
espaço não alocado no disco se pretende convertê-lo de disco básico para dinâmico. O processo de
conversão usa 1 MB de espaço em cada disco dinâmico para armazenar um banco de dados que
controla a configuração de todos os discos dinâmicos no computador.
14.2. Discos Dinâmicos
Os discos dinâmicos são mais eficientes e fornecem maior capacidade e flexibilidade que os
discos básicos. Em vez de partições, eles contêm volumes que são uma parte lógica de uma unidade
de disco rígido à qual atribuímos uma letra de unidade ou um ponto de montagem.Os volumes podem
ser estendidos para incluir espaço não contíguo nos discos disponíveis e não há limite quanto ao
número de volumes que pode ser criado por disco.
O Windows 2000 armazena as informações sobre a configuração de disco dinâmico no
próprio disco, em vez de fazê-lo no Registro ou em outros locais onde elas podem não ser
78atualizadas com precisão. Ele também duplica essas informações em todos os discos dinâmicos de
modo que uma falha em um disco rígido não afete o acesso aos dados em outros discos.
Um disco rígido pode ser básico ou dinâmico, mas não ambos; não é possível combinar os
tipos de armazenamento em um disco. No entanto, se o computador possuir vários discos rígidos é
possível configurar cada um deles como básico ou dinâmico.
Os tipos de volume que podem ser configurados em um disco dinâmico são:
Simples: contém o espaço em disco proveniente de um único disco.
Distribuído: combina áreas de espaço livre de dois ou mais discos (até 32 discos rígidos)
em um volume. Quando dados são gravados em um volume distribuído, eles são
divididos em blocos de 64 KB e distribuídos igualmente entre todos os discos na matriz.
Uma matriz consiste em um conjunto de dois ou mais discos. Esse processo de dividir os
dados por um conjunto de discos melhora o desempenho mas não fornece tolerância a
falhas. A tolerância a falhas é a capacidade de um computador ou sistema operacional
responder a um desastre, como uma falha no disco rígido, sem que haja perda de dados.
Dividido: consiste na combinação do espaço de dois ou mais discos (até 32 discos).
Quando os dados são gravados em um volume dividido, a parte desse volume que reside
no primeiro disco rígido usado é preenchida primeiro e, depois, os dados são gravados no
disco rígido seguinte do volume. Se um disco específicos falhar no volume dividido, todos
os dados armazenados no volume serão perdidos. Da mesma forma que um conjunto de
volumes nas versões anteriores do Windows NT, um volume dividido permite combinar o
armazenamento em disco, mas não melhora o desempenho de disco. O desempenho de
disco é a velocidade na qual o computador pode acessar dados em um ou mais discos.
Espelhados: são duas cópias idênticas de um volume simples, cada uma localizada em
um disco rígido separado. Os volumes espelhados fornecem tolerância a falhas em caso
de uma falha no disco rígido.
RAID-5: são volumes distribuídos tolerantes a falhas. O Windows 2000 adiciona uma
faixa com paridade a cada disco rígido do volume. A paridade é uma técnica matemática
que adiciona bits a um fluxo de dados que contém informações redundantes, permitindo a
reconstrução do fluxo de dados se parte dele estiver corrompido ou ausente. Os dados e
as informações sobre paridade são organizados de forma que fiquem sempre em discos
separados. Um bloco de faixas de paridade existe em cada linha do disco. O Windows
2000 usa as informações sobre paridade dessas faixas para reconstruir os dados quando
um disco rígido falha. Os volumes RAID-5 requerem no mínimo três discos rígidos.
14.3. Criando Partições em Discos Básicos
O armazenamento em disco básico é usado por todos os sistemas operacionais Windows
anteriores ao Windows 2000, sendo que nestes discos só pode-se criar partições primárias,
estendidas e unidades lógicas. Para criar partições primárias, utiliza-se a ferramenta Disk
Management, clicando com o botão direito do mouse em um espaço não particionado.
79
Um Wizard será apresentado para auxiliar no processo de criação da partição. As opções
apresentadas poderão estar diferentes, de acordo com a estrutura já existente no disco. Nas telas
exibidas a seguir apenas a opção Partição Primária está disponível, uma vez que já existia uma
partição estendida no disco escolhido.
Na tela a seguir escolhe-se o tamanho da partição.
Será possível associar uma letra de unidade à nova partição ou ainda associá-la a uma pasta.
80
Por fim, as informações relacionadas com a formatação da nova partição.
14.4. Atualizando um Disco Básico para Disco Dinâmico
Ao configurar um novo disco, por padrão, o Windows 2000 o cria como um disco básico. Para
usar um disco dinâmico, deve-se atualizar o disco básico para um disco dinâmico. Quando o
processo de atualização estiver concluído, poderá ser criada uma ampla variedade de volumes
dinâmicos. O processo de conversão de disco básico para dinâmico poderá ser feito a qualquer
momento sem que haja perda de dados, utilizando-se o Disk Management.
Se o disco rígido que estiver sendo atualizado contiver a partição de inicialização ou a do
sistema, ou ainda um arquivo de paginação ativo, será necessário reiniciar o computador para
concluir o processo de atualização.
81Quando o disco é atualizado, todas as partições existentes no disco básico tornam-se
volumes. A tabela a seguir descreve os resultados de uma atualização.
Organização de um disco básico (antes da atualização)
Organização de um disco dinâmico (após a atualização)
Partições de inicilização e do sistema Volumes simples Partição primária Volumes simples Partição estendida Todas as unidades lógicas tornam-se volumes e
todo o espaço livre torna-se espaço não alocadoConjunto de volumes de versões anteriores do Windows NT (não mais disponíveis no Windows 2000)
Volume dividido
Faixas de disco de versões anteriores do Windows NT (não mais disponíveis no Windows 2000)
Volume distribuído
Conjunto de espelhos de versões anteriores do Windows NT (não mais disponível no Windows 2000)
Volume espelhado
Faixas de disco com paridade de versões anteriores do Windows NT (não mais disponível no Windows 2000)
Volume RAID-5
14.4.1. Reverter para um Disco Básico Não é possível converter um disco dinâmico em um disco básico e manter a estrutura e os
dados do disco dinâmico. Para reverter um disco dinâmico em básico é preciso configurar o disco
básico vazio, sem os dados armazenados no disco dinâmico. Exclui-se os dados e volumes no disco
dinâmico e recria-se uma partição básica a partir do novo espaço não alocado.
Para reverter um disco dinâmico para básico, após excluir os dados e volumes do disco, clica-
se com o botão direito sobre o disco (a partir do Disk Management) e escolhe-se Revert To Basic
Disk.
14.4.2. Criando Volumes Simples Um volume simples contém espaço em disco em um único disco e é criado a partir do espaço
não alocado em um disco dinâmico. Embora um volume simples se pareça com uma partição, ele não
possui a limitação de tamanho que a partição possui, e também não há restrição quanto ao número
de volumes que pode ser criado em um único disco. Além disso, é possível adicionar espaço a um
volume simples, ou estendê-lo, posteriormente.
Os volumes simples usam os formatos de sistema de arquivos NTFS, FAT ou FAT32. No
entanto, só será possível estender um volume se ele estiver formatado com o NTFS.
Os volumes simples não são tolerantes a falhas, no entanto, é possível criar um espelho de
um volume simples, ou volume espelhado, para fornecer esse recurso.
Para criar um volume simples, clica-se com o botão direito do mouse no espaço não alocado
no disco dinâmico e, em seguida, clica-se em Create Volume para acessar o assistente que guiará o
restante dos passos.
14.4.3. Estendendo Volumes Simples Pode-se estender um volume simples formatado com NTFS para incluir o espaço não alocado
contíguo ou não contíguo pertencente a qualquer disco dinâmico. Isso significa que é possível
adicionar espaço em disco a um volume existente em vez de reconfigurar todos os discos rígidos. As
exceções incluem qualquer volume que contém arquivos de sistema ou de inicialização ou um arquivo
de paginação ativo.
82Para estender um volume simples, clica-se com o botão direito do mouse no volume simples
desejado no Disk Management e escolhe-se Extend Volume.
14.5. Tarefas Comuns do Disk Management
As tarefas de gerenciamento de discos são um conjunto de tarefas executadas através do
Disk Management. O Disk Management fornece um local central para exibir as informações e
executar as tarefas de gerenciamento de discos, como, por exemplo, reparar e excluir partições e
volumes.
Periodicamente podem ocorrer falhas em um disco ou volume que precise ser reparado ou
excluído. O Disk Management permite localizar rapidamente os problemas de armazenamento em
disco. É possível exibir o status de um disco ou volume, reparar um disco se possível, ou excluir o
disco se este não puder ser reparado.
14.5.1. Status do Disco A tabela a seguir analisa os diferentes tipos de status de disco e as ações a serem
executadas em cada status.
Status do disco Ação
Healthy (íntegro) para volumes ou Online para
discos
Nenhuma ação necessária
Failed: Incomplete Volume (Falha: disco
incompleto)
Importar os discos restantes para o conjunto
Foreign (Externo) Importar o disco externo
Failed Redundancy (Falha de redundância) Importar o disco restante para o conjunto
14.5.2. Reparando Partições e Volumes Se um disco ficar off-line por ter sido corrompido, por interrupção de fornecimento de energia
ou desconexão, pode haver problemas com as partições de disco básico e com volumes de disco
dinâmico. Se isso acontecer, será necessário reparar as partições ou volumes, clicando com o botão
direito do mouse na partição ou volume que esteja marcada como Missing (Ausente) ou Offline e
clicar em Reactivate Disk (Reativar disco). O disco deverá estar marcado como Online após ter sido
reativado.
14.5.3. Excluindo Partições e Volumes É possível excluir qualquer partição de disco básico ou volume de disco dinâmico, exceto o
volume ou partição do sistema ou de inicialização ou ainda qualquer partição ou volume que
contenha um arquivo de paginação ativo. Além disso, será necessário excluir todas as unidades
lógicas ou outros volumes antes de excluir a partição ou volume estendido.
Para excluir uma partição, clica-se com o botão direito do mouse na partição ou volume
desejado e, em seguida, em Delete Partition ou Delete Volume.
14.6. Adicionando Discos
Para adicionar um novo disco rígido a um computador que ofereça suporte a hot swapping
basta instalar ou anexar fisicamente o disco e, em seguida, clicar em Rescan Disks no menu Action
do Disk Management. O comando Rescan Disks deve ser usado sempre que for adicionado um disco
83com suporte a hot swapping para que o Disk Management possa examinar novamente e registrar o
disco.
Nessa situação, normalmente não será necessário reiniciar o computador. No entanto se o
disco não for detectado poderá ser preciso reiniciar o computador.
14.6.1. Adicionando Discos de Outros Computadores Poderá ser necessário transferir um disco de um computador para outro e, na maioria dos
casos, o Windows 2000 importa automaticamente um disco que contém dados. No entanto, se o
status do disco aparecer como Foreign, deve-se clicar como o botão direito do mouse e escolher
Import Foreign Disk.
14.6.2. Importando Volumes Completos Há diversas formas de importar volumes incompletos. Para cada uma delas, existe uma
mensagem de status diferente:
Se o status de um volume importado for exibido como Failed: Incomplete Volume, um
disco que contém parte de um volume distribuído ou expandido foi importado, mas suas
partes restantes não foram importadas. Isso também se aplica aos volumes RAID-5 se
dois ou mais discos não forem importados. Será necessário importar os discos restantes
para completar o volume. Não será possível acessar o volume até que os discos
restantes sejam importados.
Se o status de um volume importado for exibido como Failed Redundancy, é provável que
um volume espelhado ou RAID-5 tenha sido importado, mas não tenha sido possível
importar um ou mais volumes que contêm as partes restantes desse volume. É possível
acessar os dados no volume, mas a redundância será perdida. Pode-se importar os
discos restantes para completar o volume e restaurar a redundância.
14.7. Desfragmentando Partições
O Windows 2000 tenta salvar arquivos ou pastas em locais no disco rígido que tenham
espaço suficiente para acomodar o arquivo ou pasta por completo. Caso não haja um local
apropriado, o Windows 2000 salva fragmentos do arquivo ou pasta em vários locais. Esta
fragmentação de arquivos no disco rígido reduz o desempenho do sistema porque o computador
deve ler dados de arquivo em vários locais no disco rígido. O Disk Defragmenter pode localizar e
reorganizar os fragmentos em um único espaço no disco rígido.
A janela do Disk Defragmenter possui três painéis que fornecem as informações a seguir:
O painel superior lista as partições que podem ser analisadas e desfragmentadas.
O painel do meio, chamado Analisys Display, fornece uma representação gráfica de quão
fragmentada a partição está em um ponto específico.
O painel inferior, chamado Defragmentation Display, fornece uma representação gráfica da
partição durante a após a desfragmentação.
84
14.8. Práticas Recomendadas
A tabela a seguir lista algumas das práticas recomendadas a serem consideradas para
problemas de configuração de discos e de armazenamento em discos.
Melhor Opção Razão
Manter sempre um mínimo de 1 MB livre em cada disco básico
Isto permitirá converter o disco para dinâmico. O espaço de 1 MB é usado para armazenar as informações sobre a configuração do disco.
Usar o NTFS para obter a maior flexibilidade possível nos métodos de armazenamento em disco
O NTFS permite a maior proteção de segurança e o uso completo de todos os aspectos do armazenamento dinâmico.
Criar um volume espelhado no disco contendo os arquivos de inicialização
Permitirá que o servidor continue funcionando no caso de uma falha no disco de inicialização.
Implementar um volume RAID-5 para proteger os dados de uma falha em um único disco
Isto permite que os dados sejam protegidos e permite que os usuários continuem a acessar os dados no caso de uma falha em um único disco.
Manter registros gravados com as informações sobre a configuração do disco
Em servidores de alta capacidade e ambientes que usam a tolerância a falhas, a configuração do disco pode ser complexa. Recriar as informações sobre a configuração da unidade e restaurar os dados no caso de uma falha do disco será mais fácil se houver registros com as informações sobre a configuração.
Usar o Disk Defragmenter regularmente para maximizar o acesso a dados
O acesso a dados tem seu desempenho reduzido com o tempo devido à fragmentação de arquivos. Com o uso regular do Disk Defragmenter, pode-se maximizar o acesso de usuários e ajudar a evitar uma redução do desempenho.
85
15. Proteção contra Perda de Dados
15.1. Tolerância a Falhas e Recuperação de Desastres
Tolerância a falhas é a capacidade de um computador ou sistema operacional responder a
um evento catastrófico, como uma falha de energia ou de sistema, de modo que nenhum dado seja
perdido e o trabalho em andamento não seja comprometido. Os sistemas totalmente tolerantes a
falhas usam controladores de disco e sistemas de alimentação redundantes, além de subsistemas de
disco tolerantes a falhas. Eles geralmente incluem um sistema de alimentação ininterrupta (UPS) para
proteger-se contra a falha de energia local.
Embora os dados fiquem disponíveis e atualizados em um sistema tolerante a falhas, deve-se
fazer cópias de backup para proteger as informações dos discos rígidos contra exclusões
equivocadas, incêndios, roubos e outros desastres físicos. A tolerância a falhas do disco não deve ser
considerada uma alternativa para a estratégia de backup com armazenamento off-site, que é o
método mais seguro para recuperação de dados perdidos ou danificados.
Recuperação de desastres é o processo de restauração de um computador depois de um
desastre, que permite aos usuários efetuarem logon e obterem acesso aos recursos do sistema. O
ideal é que as técnicas de restauração de desastres retornem os computadores danificados ao
mesmo estado em que estavam antes do desastre ocorrer.
15.2. Sistema de Alimentação Ininterrupta
Um tipo comum de desastre é a perda de energia local, que pode resultar em perda de dados
ou dados corrompidos em um servidor ou computador cliente. Embora as empresas geralmente
protejam os servidores contra esse tipo de desastre, deve-se também considerar o fornecimento de
proteção contra perda de energia para computadores cliente, dependendo da confiabilidade do
sistema de alimentação do utilitário local. Isso fornece uma segurança adicional contra perdas de
dados acidentais durante uma interrupção de energia.
O Uninterruptible Power Supply (sistema de alimentação ininterrupta) fornece eletricidade
durante interrupções de energia causadas por problemas na rede pública de energia. Os dispositivos
UPS geralmente são regulados para fornecer uma quantidade específica de energia por um
determinado período de tempo. Em geral, um UPS deve fornecer energia suficiente para que seja
possível, pelo menos, desligar o computador de forma ordenada, salvando trabalhos, encerrando
processos e fechando sessões.
15.2.1. Configurações do Serviço UPS Depois que o computador estiver conectado ao UPS e ligado, e o UPS estiver conectado ao
computador com um cabo serial (ou um cabo especificado pelo fabricante), será possível selecionar e
configurar o UPS.
Para selecionar o suporte ao UPS no Windows 2000 deve-se abrir Power Options no Control
Panel.
Em seguida seleciona-se a guia UPS e clica-se no botão Select.
86
Figura 79 – Início da configuração do UPS
Na caixa que se apresenta escolhe-se o fabricante, o modelo e a porta através da qual o
computador está conectado ao UPS.
Figura 80 – Seleção do Fabricante
Pode-se agora efetuar as configurações de funcionamento do Serviço UPS clicando no botão
Configurar na caixa de diálogo UPS Properties.
Figura 81 – Configuração do UPS
87Na caixa de diálogo UPS Configuration personaliza-se as seguintes configurações:
Com a caixa Enable all notifications ativada seleciona-se o número de segundos entre a
falha de energia e a primeira notificação (Seconds between power failure and first
notification) e o número de segundos entre as notificações de falha de energia seguintes
(Seconds between subsequent power failure notifications).
Nas configurações de Critical alarm determina-se o número total de minutos na bateria
antes da emissão do alarme crítico (Minutes on battery before critical alarm), o programa
a ser executado quando o alarme ocorrer (When the alarm occurs, run this program) e
instruções para que o computador seja desligado mediante a ativação do alarme crítico
(Next, instruct the computer to).
Importante observar que as opções de configuração para o serviço UPS podem variar de
acordo com o dispositivo UPS utilizado. Alguns fabricantes de UPS fornecem seu próprio software
para tirar proveito dos recursos exclusivos de seus dispositivos, como logs de eventos de energia,
envio de e-mail ou mensagens de Pager para problemas de energia, gerenciamento remoto através
de um navegador Web, entre outros.
É também importante testar o funcionamento do dispositivo e do serviço UPS simulando uma
falha de energia. Neste teste deve-se observar se as mensagens acontecerão de acordo com o
configurado e se os eventos serão registrados. É recomendável inclusive aguardar até que a bateria
do UPS atinja um nível baixo para verificar se ocorrerá um desligamento automático ordenado.
15.3. Tipos de Implementações de RAID
Para manter o acesso aos dados durante a perda de um único disco rígido, o Windows 2000
Server fornece uma implementação de software de uma tecnologia de tolerância a falhas conhecida
como matriz redundante de discos independentes (RAID). O RAID fornece tolerância a falhas
implementando a redundância de dados. Com a redundância de dados, um computador grava os
dados em vários discos de modo que, se um disco falhar, as informações ainda ficarão disponíveis.
Existem duas maneiras de implementar a tolerância a falhas no Windows 2000: uma
implementação de RAID de software ou uma implementação de RAID de hardware. O Windows 2000
provê três implementações de RAID de software.
15.3.1. Implementação de RAID de Software11 Em uma implementação de RAID de software, o sistema operacional fornece um mecanismo
para garantir a redundância de dados. O Windows 2000 Server oferece suporte a três tipos de RAID
de software, conforme descrito nas seções a seguir.
RAID 0 O RAID 0 também é conhecido como Distribuição em Discos, onde um volume armazena
dados em faixas de dois ou mais discos físicos. Os dados de um volume distribuído são alocados de
forma alternada e uniforme nas faixas nesses discos. Os volumes distribuídos oferecem o melhor
desempenho de todos os tipos de volume disponíveis no Windows 2000, mas não fornecem
tolerância à falhas.
11 Com as implementações de RAID de software não há tolerância a falhas até que sua causa seja corrigida. Se ocorrer uma segunda falha antes da regeneração dos dados perdidos na primeira, deve-se restaurar os dados a partir de uma cópia de backup.
88
RAID 1 O RAID 1 também é conhecido como Espelhamento de Disco. Nesta implementação os
dados são gravados em dois discos simultaneamente. Se um disco falhar, o sistema usará os dados
do outro disco para continuar a operação. O Windows grava todos os dados no disco primário e no
secundário ou espelhado, de forma que apenas 50% do total de espaço em disco disponível pode ser
usado.
RAID 5 Os volumes RAID 5 compartilham dados em todos os discos de uma matriz. O RAID nível 5 é
exclusivo porque grava as informações de paridade em todos os discos. Informações de paridade são
as informações redundantes associadas a um bloco de informações. No Windows 2000 Server, a
paridade é um valor calculado usado para reconstruir os dados depois de uma falha. O Windows
2000 obtém a redundância de dados organizando um bloco de dados e suas informações de paridade
em diferentes discos na matriz.
15.3.2. Implementação de RAID de Hardware Em uma implementação de hardware, a interface do controlador do disco trata da criação e
regeneração de informações redundantes. Alguns fornecedores de hardware implementam a
proteção de dados RAID diretamente no hardware, como fazem com as placas controladoras da
matriz de discos. Como esses métodos são específicos de cada fornecedor e ignoram os drivers de
software tolerantes a falhas do sistema operacional, normalmente geram um melhor desempenho se
comparados às implementações de RAID de software. Além disso, as implementações de RAID de
hardware geralmente incluem recursos extras, como hot swapping de discos rígidos com falhas e
memória cache dedicada, para um desempenho aprimorado.
Os seguintes pontos devem ser considerados para optar entre uma implementação de RAID
por software ou por hardware:
A tolerância a falhas de hardware é mais cara do que a de software;
A tolerância a falhas de hardware geralmente faz com que o computador tenha um
desempenho mais rápido do que a tolerância a falhas de software;
As soluções de tolerância a falhas de hardware podem limitar as opções de equipamento
a um único fornecedor.
As soluções de tolerância a falhas de hardware podem implementar o hot swapping de
discos rígidos para permitir a substituição de um disco rígido com falhas sem que seja
preciso desligar o computador.
15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados12 Um volume espelhado usa o driver de tolerância a falhas (Ftdisk.sys) do Windows 2000
Server para gravar os mesmos dados simultaneamente no volume de cada membro em cada um dos
dois discos físicos. Cada volume é considerado um membro do volume espelhado. A implementação
de um volume espelhado o ajuda a assegurar que os dados não sejam perdidos no caso de falha de
um membro do volume espelhado.
12 Um volume espelhado pode conter qualquer partição, inclusive a partição de inicialização ou de sistema. No entanto, ambos os discos em um volume espelhado devem ser discos dinâmicos do Windows 2000.
89Os volumes espelhados podem melhorar o desempenho de leitura, pois o driver de tolerância
a falhas lê a partir dos dois membros do volume de uma só vez. Pode ocorrer uma pequena queda no
desempenho de gravação, já que o driver de tolerância a falhas deve gravar nos dois membros.
Quando um membro de um volume espelhado falhar, o desempenho voltará ao normal, pois o driver
de tolerância a falhas estará trabalhando com apenas uma partição.
De forma resumida, as principais vantagens e desvantagens dos volumes espelhados são:
Oferecem suporte a volumes do tipo tabela de alocação de arquivos (FAT) e a volumes
do sistema de arquivos NTFS;
Com eles, pode-se proteger as partições de sistema ou de inicialização;
Requerem dois discos rígidos;
Têm um alto custo por megabyte porque apenas 50% dos discos são utilizados para
armazenamento de dados;
Têm um bom desempenho de leitura e gravação;
Usam menos memória do sistema se comparados aos volumes RAID-5.
15.4. Duplexação de Discos
Se o mesmo controlador de disco que controla os dois discos físicos em um volume
espelhado falhar, nenhum membro do volume espelhado ficará acessível. Instalando-se um segundo
controlador no computador cada disco no volume espelhado terá o seu próprio controlador. Essa
organização, chamada de duplexação de discos, pode proteger o volume espelhado contra falhas no
controlador e no disco rígido. A duplexação de discos também reduz o tráfego do barramento e
provavelmente pode melhorar o desempenho de leitura.
A duplexação de discos é um aprimoramento de hardware para um volume espelhado do
Windows 2000 e não requer nenhuma configuração de hardware adicional.
15.5. Configuração de RAID 1
Utiliza-se o Create Volume Wizard no Computer Management para criar volumes espelhados
a partir de espaço não alocado em discos dinâmicos (são necessários dois discos dinâmicos para
criar um volume espelhado).
Para criar um volume espelhado a partir do espaço não alocado em dois discos dinâmicos,
basta clicar com o botão direito do mouse na área de espaço não alocado e, em seguida, escolher
Create Volume. Na página Select Volume Type escolhe-se Mirrored volume para em seguida
escolher os dois discos dinâmicos que comporão o espelhamento. Para completar escolhe-se a letra
de unidade e executa-se o procedimento de formatação.
Para espelhar um volume existente em um disco dinâmico basta clicar com o botão direito do
mouse no volume que deseja-se espelhar e escolhe-se Add Mirror. Por fim, seleciona-se o segundo
disco e clica-se em Add Mirror.
15.6. Configuração de RAID-5
Para criar um volume RAID-5 será necessário clicar com o botão direito do mouse na área de
espaço não alocado, escolher Create Volume, selecionar RAID-5 volume como o tipo de volume
desejado e selecionar pelo menos três discos dinâmicos na página Select Disks. Para finalizar será
preciso ainda escolher uma letra de unidade e formatar o volume.
90
Recuperação de Falhas em Volumes Espelhados Quando um membro de um volume espelhado falha, o outro continua a funcionar, mas não é
mais tolerante a falhas. Para evitar a perda potencial de dados, é necessário recuperar o volume
espelhado o mais rapidamente possível.
O status do volume que falhou aparecerá como Failed Redundancy (Falha de redundância)
no Disk Management, e um dos discos será exibido como Offline, Missing ou Online (Errors). O
método usado para recuperar o volume espelhado dependerá do status do disco.
Nota: Se o Windows 2000 não reparar o volume, talvez a única opção seja excluí-lo. Isso
ocorre em situações em que o disco está gravemente danificado ou não pode ser reparado.
Recuperando um volume em um disco identificado como Offline ou Missing Certificar-se de que o disco está conectado ao computador e ligado;
No Disk Management, clicar com o botão direito d mouse no disco identificado como
Missing ou Offline e, em seguida, clicar em Reactivate Disk.
O status do disco deverá retornar a Healthy e o volume espelhado deverá ser regenerado
automaticamente.
Recuperando um volume espelhado que falhou em um disco identificado como Online (Errors)
Clicar com o botão direito do mouse no disco e, em seguida, clicar em Reactivate Disk.
O status do volume deverá retornar a Healthy e o volume espelhado deverá ser regenerado
automaticamente.
Substituindo um disco e criando um novo volume espelhado Se os procedimentos anteriores não reativarem o disco ou se o status do volume não retornar
a Healthy, será necessário substituir o disco que falhou e criar um novo volume espelhado, seguindo
estas etapas:
Clicar com o botão direito do mouse no volume espelhado do disco que falhou e, em
seguida, clicar em Remove Mirror;
Na caixa de diálogo Remove Mirror, clicar no disco que falhou e, em seguida, clicar em
Remove Mirror (uma confirmação será solicitada);
Clicar com o botão direito do mouse no volume que deseja-se espelhar e, em seguida,
clicar em Add Mirror;
Selecionar o segundo disco do volume e clicar em Add Mirror.
Recuperando um volume RAID-5 que falhou Quando um membro de um volume RAID-5 falha, os outros membros continuam a funcionar,
embora o volume não seja mais tolerante a falhas. Para evitar a perda potencial de dados, é
necessário recuperar o volume RAID-5 o mais rapidamente possível.
O status do volume que falhou aparecerá como Failed Redundancy no Disk Management e
um dos discos será exibido como Offline, Missing ou Online (Errors). O método usado para recuperar
o volume RAID-5 depende do status do disco.
91
Recuperando um volume RAID-5 que falhou em um disco identificado como Offline ou Missing
Para recuperar um volume RAID-5 quando o status do disco for Offline ou Missing, estas
etapas devem ser seguidas:
Certificar-se de que o disco esteja conectado ao computador e ligado;
Clicar com o botão direito do mouse no disco identificado como Missing ou Offline e, em
seguida, clicar em Reactivate Disk.
O status do disco deverá retornar a Healthy e o volume RAID-5 deverá ser regenerado
automaticamente.
Recuperando um volume RAID-5 que falhou em um disco identificado como Online (Errors)
Para recuperar um volume RAID-5 quando o status do disco for Online (Errors), clicar com o
botão direito do mouse no disco e, em seguida, clicar em ractivate Disk. O status do volume deverá
retornar a Healthy e o volume RAID-5 deverá ser regenerado automaticamente.
Substituindo um disco e regenerando um volume RAID05 Se os procedimentos anteriores não reativarem o disco ou se o status do volume não retornar
a Healthy, será necessário substituir o disco que falhou e regenerar o volume RAID-5.
Para regenerar um volume RAID-5 usando um disco diferente, estas etapas devem ser
seguidas:
Clicar com o botão direito do mouse no volume RAID-5 do disco que falhou e, em
seguida, clicar em Rapair Volume;
Na caixa de diálogo Repair RAID-5 Volume selecionar o disco que substituirá o disco que
falhou no volume RAID-5 e clicar em OK.
92
16. Ferramentas para Recuperação de Desastres
Se houver um desastre, o Windows 2000 fornecerá várias opções que podem ser usadas na
tentativa de restaurar o computador. Com o correto uso destas opções pode-se restaurar um
computador de modo que ele volte a funcionar normalmente.
16.1. Opções Avançadas de Inicialização
O Windows 2000 inclui opções avançadas de inicialização13 usadas para solucionar
problemas de inicialização e para conectar o computador a um depurador. Essas opções melhoram a
capacidade de diagnosticar e solucionar problemas de inicialização e incompatibilidade de drivers no
Windows 2000.
A tabela a seguir descreve as opções avançadas de inicialização do Windows 2000:
Opção Descrição
Safe Mode Carrega somente os dispositivos e drivers básicos necessários para iniciar o computador, inclusive mouse, teclado, dispositivos de armazenamento em massa, vídeo base e o conjunto padrão de serviços do sistema. Esta opção também cria um arquivo de log
Safe Mode with Networking Carrega somente os dispositivos e drivers básicos necessários para iniciar o computador e habilitar a rede. Esta opção também cria um arquivo de log
Safe Mode with Command Prompt Carrega as opções do modo de segurança, mas inicia um prompt de commando em vez da interface gráfica do usuário. Esta opção também cria um arquivo de log
Enable Boot Logging Cria um arquivo de log que faz referência a todos os drivers e serviços carregados (ou não) pelo sistema. Esse arquivo de log é chamado Ntbtlog.txt e está localizado na pasta raiz do sistema (que também contém os arquivos de sistema do Windows 2000)
Enable VGA Mode Carrega o driver VGA básico. Este modo será útil se um driver de vídeo estiver impedindo que o Windows 2000 seja iniciado de modo adequado
Last Known Good Configuration Usa as informações sobre a última configuração válida contidas no Registro para iniciar o computador
Directory Services Restore Mode Permite a restauração e manutenção do Active Directory, e a restauração da pasta Sysvol nos controladores de domínio
Debugging Mode Envia informações de depuração para outro computador através de um cabo serial
Nota: Um controlador de domínio pode utilziar as opções Safe Mode e Safe Mode with Command Prompt, mas os serviços do Active Directory não ficarão disponíveis.
16.2. Recuperando um Computador com o Recovery Console
O Recovery Console no Windows 2000 é um console de linha de commando que pode ser
iniciado a partir do Setup do Windows 2000. O Recovery Console será especialmente útil se for
preciso reparar um sistema copiando um arquivo de um disco ou CD para a unidade de disco rígido,
13 Para exibir as opções avançadas de inicialização, basta pressionar F8 durante a fase de seleção do sistema operacional no processo de inicialização do Windows 2000.
93ou se for preciso reconfigurar um serviço que está impedindo o computador de ser iniciado da forma
adequada.
Pode-se usar o Recovery Console para:
Iniciar e interromper serviços;
Ler e gravar dados em uma unidade local (inclusive unidades formatadas com o sistema
de arquivos NTFS);
Formatar discos rígidos e exibir arquivos de sistema ocultos.
16.2.1. Instalando o Recovery Console Para instalar o Recovery Console, executa-se o comando Winnt32 com a opção /cmdcons.
Para acessar o Recovery Console basta escolher esta opção no menu de inicialização do sistema14.
Ao iniciar o Recovery Console, deve-se especificar em qual instalação do Windows 2000
deseja-se efetuar logon (mesmo em um computador configurado para inicialização única). É
necessário efetuar logon como administrador.
16.2.2. Comandos do Recovery Console Ao executar o Recovery Console, é possível obter ajuda sobre os comandos disponíveis
digitando help no prompt de comando. A tabela a seguir descreve os comandos disponíveis no
Recovery Console:
Comando Descrição
Chdir (cd) Exibe o nome da pasta atual ou altera a pasta atual
Chkdsk Verifica um disco e exibe um relatório de status Cls Limpa a tela Copy Copia um único arquivo para um outro local Delete (Del) Exclui um ou mais arquivos Dir Exibe a lista dos arquivos e subpastas de uma
pasta Disable Desativa um driver de dispositivo ou serviço do
sistema Enable Inicia ou ativa um driver de dispositivo ou
serviço do sistema Exit Sai do Recovery Console e reinicia o
computador Fdisk Gerencia as partições nos discos rígidos Fixboot Grava um novo setor de inicialização na
partição do sistema Fixmbr Repara o registro de inicialização mestre do
setor de inicialização da partição Format Formata um disco Help Exibe a lista dos comandos usados no
Recovery Console Logon Efetua logon em uma instalação do Windows
2000 Map Exibe os mapeamentos de letras de unidade Mkdir (md) Cria uma pasta More Exibe um arquivo de texto Rmdir (rd) Exclui uma pasta Rename (ren) Renomeia um único arquivo Systemroot Define a pasta atual como a pasta “raiz do
sistema” do sistema ao qual estiver-se
14 Também é possível acessar o Recovery Console usando os discos de instalação ou o CD do Windows 2000 para iniciar o computador e selecionado a opção Recovery Console quando solicitado a escolher as opções de reparação.
94
conectado no momento Type Exibe um arquivo de texto
16.3. Recuperando um Computador com o Processo de Reparação de Emergência
Utiliza-se o processo de reparação de emergência para tentar recuperar o Registro, arquivos
do sistema, setor de inicialização da partição e ambiente de inicialização. No entanto, o sucesso
deste processo poderá depender da existência do ERD (Emergency Repair Disk), que deve ser criado
com o utilitário de backup do Windows 2000. Se não existir um ERD, ainda pode-se tentar utilizar este
processo para consertar um sistema, mas talvez não seja possível solucionar todos os problemas.
O processo de criação do ERD é bastante simples, bastando escolher no utilitário de Backup
a opção Emergency Repair Disk.
Também pode-se determinar que seja feito um backup do Registro na pasta de reparação
para auxiliar na recuperação do sistema caso o Registro seja danificado.
O ERD deve ser devidamente identificado e armazenado em local seguro, além de
freqüentemente dever ser atualizado.
16.3.1. Usando o Processo de Reparação de Emergência As seções a seguir fornecem uma visão geral do processo de reparação de emergência.
95Nota: O processo de reparação conta com as informações salvas na pasta \Winnt\Repair.
Esta pasta, portanto, não deve ser alterada ou excluída.
Iniciar o computador usando os discos ou o CD de instalação do Windows 2000
A primeira etapa do processo de reparação de emergência é iniciar o computador com
problemas usando os discos ou o CD de instalação do Windows 2000.
Escolher as opções de reparação durante a instalação Após a inicialização do computador, o Setup é iniciado. Durante o Setup, escolhe-se
continuar instalando o sistema operacional Windows 2000. Durante a instalação, especifica-se se
será realizada uma instalação de uma versão nova do Windows 2000 ou uma reparação de uma já
existente. Para reparar um sistema danificado ou corrompido, pressiona-se R. Deve-se então
escolher entre o Recovery Console e o processo de reparação de emergência. Pressiona-se
novamente R para reparar o sistema usando o processo de reparação de emergência.
Escolher o tipo de reparação Posteriormente, escolhe-se a opção de reparação a ser usada. A opção de reparação mais
rápida não requer nenhuma interação do usuário. Esta opção tenta reparar os problemas
relacionados ao Registro, aos arquivos do sistema, ao setor de inicialização da partição no volume de
inicialização a ao ambiente de inicialização (se existir uma configuração de inicialização dupla).
A opção de reparação manual requer intervenção do usuário. Esta opção permite optar por
reparar arquivos do sistema, problemas no setor de inicialização da partição ou no ambiente de
inicialização, mas não problemas com o Registro.
Iniciar o processo de recuperação Para iniciar o processo de reparação, deve-se verificar a existência do ERD de 1.44 MB
criado como o utilitário de backup. O CD original do Windows 2000 também deverá estar disponível.
Caso não exista um ERD, o processo de reparação de emergência tentará localizar os arquivos de
instalação do Windows 2000 e começar a reparar o sistema, mas pode ser que o processo falhe.
Reiniciar o computador Se o processo de reparação de emergência tiver sido concluído com êxito, o computador será
reiniciado automaticamente e o sistema voltará a funcionar normalmente.
96
17. Técnicas de Medição de Performance
Uma das tarefas de um profissional responsável pelo correto funcionamento de uma ambiente
computacional baseado em Windows 2000 é monitorar os recursos do sistema nos servidores a fim
de avaliar a carga de trabalho e observar possíveis gargalos. Com isso, espera-se do profissional a
devida intervenção antes que o gargalo provoque problemas visíveis aos usuários do ambiente.
O Windows 2000 possui ferramentas para o monitoramento dos recursos do sistema, como
por exemplo, o System Monitor, que deve ser usado para coletar e exibir dados em tempo real ou
registrados previamente sobre a atividade da rede, do processador, do disco e da memória.
17.1. Análise e Otimização do Servidor
Análise e otimização do servidor consiste em saber quais as ações a executar para melhorar
o desempenho do sistema em resposta à demanda.
A análise e otimização do servidor começam pela manutenção cuidadosa e organizada dos
registros. Isto é feito com o objetivo de analisar a utilização do recurso para determinar a demanda
futura ao sistema. A análise de performance de um servidor Windows 2000 envolve a procura pela
superutilização de qualquer recurso de hardware que cause redução no desempenho do sistema.
Vários recursos precisam ser monitorados ao implementar uma estratégia para análise e
otimização do servidor. Os recursos a seguir têm, freqüentemente, o maior impacto no desempenho
do servidor:
Memória
Processador
Subsistema de disco
Subsistema de rede
Ao monitorar recursos do sistema, é importante não só monitorar cada recurso
individualmente, mas também o sistema como um todo. Monitorando-se o sistema inteiro, torna-se
mais fácil detectar problemas resultantes de combinações de recursos. A utilização de um recurso do
sistema pode afetar o desempenho de outro, mascarando desta forma a utilização e o desempenho
do segundo recurso. Por exemplo, em um servidor a falta de RAM pode resultar em paginação
excessiva, que reduz o rendimento do subsistema de disco na resposta às solicitações do sistema e
dos usuários. Se apenas o subsistema de discos fosse monitorado neste servidor, poderia chegar-se
à conclusão errada de que o disco deveria ser substituído por um mais rápido, quando na verdade o
problema estaria na falta de memória RAM (ou na má utilização da existente).
Monitorar todos os quatro recursos do sistema fornece uma visão mais clara dos efeitos que
estes recursos combinados exercem um sobre o outro.
17.2. Objetos, Ocorrências e Contadores
A compreensão de como os objetos, ocorrências e contadores se relacionam é fundamental
para o uso eficiente do System Monitor. Eles são:
Objetos: No System Monitor, os objetos são os componentes ou subsistemas principais
do sistema de computador. Eles podem ser um hardware, como o disco rígido, ou um
software, como um processo. Existe um número fixo de objetos no Windows 2000.
97 Instâncias: As instâncias (ou ocorrências) são múltiplos do mesmo tipo de objeto. Por
exemplo, se um sistema tiver vários processadores, o tipo de objeto Processor terá várias
instâncias.
Contadores: Os contadores obtêm dados sobre diferentes aspectos dos objetos. Por
exemplo, para o objeto Process (Processo), os contadores obtêm dados sobre o tempo
de processador e de usuário. Os contadores são incorporados ao sistema operacional e
capturam dados continuamente, quer eles estejam visíveis ou não no System Monitor. Se
um tipo de objeto tiver várias ocorrências, os contadores controlarão estatísticas para
cada ocorrência ou para o total de todas as ocorrências.
17.3. Usando o System Monitor
Utiliza-se o System Monitor para coletar e exibir dados em tempo real ou registrados
previamente sobre a atividade da rede, do processador, do disco e da memória.
As informações do System Monitor podem ser exibidas no formato gráfico, de histograma
(gráfico em barras) ou de relatório. Os gráficos, histogramas e relatórios podem ser exibidos em um
navegador e impressos quando os dados de desempenho são salvos como um arquivo no formato
HTML
17.4. Adicionando Contadores
Como os contadores obtêm continuamente dados sobre o desempenho do sistema, quando
são adicionados contadores, seus valores passam a ser exibidos no System Monitor. Isso permite
monitorar o desempenho do sistema.
Para adicionar contadores no System Monitor, executa-se as seguintes etapas:
Na ferramenta Performance, clica-se com o botão direito do mouse no paine de detalhes
do System Monitor e, em seguida, clica-se em Add Counters;
Na lista Performance Object, seleciona-se um objeto para ser monitorado.
Os objetos disponíveis se baseiam nos serviços e aplicativos instalados no computador local.
Pode-se escolher vários contadores para cada objeto. A tabela a seguir descreve os principais
objetos do Windows 2000 System Monitor.
Nome do objeto Descrição
Cachê Área da memória física que armazena os dados
usados recentemente
Memory RAM usada para armazenar código e dados
Objects Certos objetos de software de sistema
Paging File Arquivo usado para alocações de memória
virtual
Physical Disk Unidade de disco do hardware
Process Objeto de software que representa um
programa em execução
Processor Unidade de hardware que executa instruções
de programa
Server Serviço que responde às solicitações de dados
98
de clientes na rede
System Contadores que se aplicam a todo hardware e
software do sistema
Thread Parte de um processo que usa o processador
Depois que um objeto for selecionado, os contadores a ele associados serão exibidos na lista.
Clicar em All counters ou Select counters from list para escolher contadores individuais;
Se um objeto tiver ocorrências, clicar em All instances ou Select instances from list para
escolher ocorrências individuais;
Clicar em Add e clicar em Close para fechar a caixa de diálogo Add Counters.
Além de observar os contadores em tempo real, é possível registrar os dados no Performance
Logs anda Alerts, no console Performance, e exibi-los posteriormente.
Para tanto, basta clicar com o botão direito do mouse em Counter logs e escolher a opção
New log settings, adicionar os contadores desejados, definir um nome e um formato de arquivo para
os dados coletados e, por fim, agendar sua coleta.
17.5. Otimizando o Desempenho
O nível de desempenho do sistema considerado aceitável quando ele está tratando de uma
carga de trabalho típica e executando todos os serviços necessários é chamado de linha de base. O
desempenho de linha de base é um padrão subjetivo que o administrador determina com base no
nível típico de desempenho sob cargas de trabalho e uso típicos. A linha de base pode ser a medida
usada para definir as expectativas de desempenho dos usuários e pode ser incluída nos contratos de
nível de serviço.
O processo de otimização ajuda a determinar quais ações devem se tomadas para melhorar
o desempenho do sistema em resposta às demandas do sistema. A otimização do desempenho inicia
com a manutenção de registros de forma organizada e cuidadosa.
O processo de otimização do desempenho inclui as seguintes tarefas:
Analisar os dados de monitoramento. A análise dos dados de monitoramento consiste em
examinar os valores de contadores que são reportados enquanto o sistema está
executando várias operações. Durante esse processo, deve-se determinar:
99o Quais os processos mais ativos e quais programas ou segmentos (se
existentes) estão monopolizando um recurso.
o Se o uso excessivo de algum recurso de hardware ocasiona uma redução no
desempenho do sistema.
o Se há efeitos residuais de gargalos e outros recursos de hardware
subutilizados. Por exemplo, se o sistema ficar mais lento e a atividade do
disco rígido aumentar, isso poderá indicar um problema na unidade de disco
rígido ou RAM insuficiente para dar suporte aos aplicativos a ao sistema
operacional.
Identificar áreas de desempenho inaceitável. Como resultado dessa análise, pode-se
descobrir que o desempenho do sistema é algumas vezes satisfatório e outras,
insatisfatório. Em geral, determinar se o desempenho ou não aceitável é um julgamento
subjetivo que varia significativamente com as variações nos ambientes dos usuários. Os
valores estabelecidos como as linhas de base de organização são a melhor base de
comparação. Além disso, é preciso lembrar que o desempenho varia ao longo do tempo e
o monitoramento precisa incluir diferentes períodos de uso do sistema.
Tomar uma ação corretiva. Dependendo das causas dessas variações e do grau de
diferença, pode-se tomar uma ação corretiva ou aceitar essas variações e adiar o ajuste
ou a atualização dos recursos para uma data posterior. Em alguns casos, o impacto da
ação corretiva poderá não ser suficiente para que a alteração valha a pena.
17.5.1. Examinando o desempenho da memória Um nível de memória baixa pode tornar lenta a operação dos aplicativos e serviços no
computador e afetar o desempenho de outros recursos do sistema.
Todo o processamento em um sistema ocorre na memória, portanto, deve-se garantir que
haja memória suficiente para dar suporte às tarefas diárias executadas pelo sistema. Os contadores
descritos na tabela a seguir são úteis para examinar o objeto Memory.
Contador Descrição
Pages/séc Indica o número de páginas solicitadas que não
ficaram imediatamente disponíveis na RAM e
que precisaram ser lidas ou gravadas no disco
para abrir espaço para outras páginas na RAM.
Se seu sistema tiver uma taxa alta de falhas de
páginas do disco rígido, o valor de Pages/sec
poderá ser alto.
Available bytes Indica a quantidade de memória física restante
após os conjuntos de trabalho dos processos
em execução e do cachê terem sido atendidos
Se o valor de Available Bytes estiver sempre abaixo do limite definido pelo sistema e o valor
de Pages/sec aumentar continuamente, é provável que a configuração de memória seja insuficiente
para as necessidades.
Uma outra maneira de descobrir se há quantidade insuficiente de memória é se o sistema
estiver paginando freqüentemente.
100Paginação é o processo que consiste em mover continuamente a memória virtual entre a
memória física e o disco. Quando há pouca memória no computador, a atividade de paginação
aumenta; portanto, a paginação freqüente indica quantidade insuficiente de memória.
A maior atividade de paginação15 acarreta mais trabalho para os discos e compete com
outras transações que estão sendo executadas no disco. Por sua vez, o processador é usado menos
ou executa um trabalho desnecessário processando diversas interrupções devido às falhas de
páginas repetidas. Essas falhas ocorrem quando o sistema não consegue localizar o código ou os
dados solicitados na memória física disponível para o processo que fez a solicitação. Finalmente, os
aplicativos e os serviços passam a responder menos.
Para verificar se um arquivo de paginação está próximo de seu limite máximo16, verifique o
tamanho real do arquivo e compare esse valor com a configuração de tamanho máximo de arquivo de
paginação contida em System no Control Panel. Se esses dois números tiverem um valor próximo,
considere o aumento do tamanho do arquivo de paginação inicial ou a execução de um menor
número de programas.
O arquivo de paginação está localizado no disco em que o Windows 2000 foi instalado. Para
verificar o tamanho desse arquivo, exiba o tamanho de arquivo mostrado para Pagefile.sys no
Windows Explorer. Se o espaço em disco for adequado, você poderá aumentar o tamanho do arquivo
de paginação. O tamanho recomendado para esse arquivo equivale a 1,5 vezes a quantidade de
RAM disponível no sistema.
Os seguintes contadores monitoram o tamanho do arquivo de paginação:
Monitore este contador Depois aumente o tamanho do arquivo se
Paging File\ % Usage O valor estiver próximo da configuração
máxima do arquivo de paginação
Paging File\ % Usage Peak (bytes) O valor estiver próximo de 100%
17.5.2. Examinando o desempenho do processador Ao examinar o desempenho do processador, considere a função do computador e o tipo de
trabalho que está sendo executado. Dependendo do que o computador estiver fazendo, valores altos
de utilização de processador poderão indicar que o sistema está tratando com eficiência de uma
carga de trabalho pesada ou está tentando mantê-la sob controle. No entanto, se vários processos
estiverem disputando o tempo do processador, a instalação de um processador mais rápido poderá
melhorar a taxa de transferência.
Os contadores que são úteis para examinar o desempenho do processador são descritos na
tabela a seguir.
Objeto Contador Descrição
Processor % Processor Time Mostra a porcentagem de tempo decorrido que um
processador está ocupado executando um
segmento não ocioso. Uma porcentagem maior do
que 80% poderá indicar um gargalo
15 Como a paginação excessiva pode fazer um uso substancial do disco rígido, é possível confundir quantidade insuficiente de memória, que ocasiona paginação, com um gargalo do disco que resulta da paginação. 16 Se o arquivo de paginação atingir seu tamanho máximo, será exibido um aviso e a execução do computador talvez seja interrompida.
101
System Processor Queue Lenght Mostra o total de segmentos existentes atualmente
na fila do processador. Uma fila de dois ou mais
itens em um sistema de processador único poderá
indicar um gargalo
Valores de Processor em torno de 100% em um servidor que esteja processando várias
solicitações de clientes indicam que os processos estão em fila, aguardando tempo do processador e
ocasionando um gargalo. Um gargalo ocorre quando um subsistema está tão sobrecarregado com
trabalho que os outros subsistemas não são totalmente utilizados ou ficam ociosos aguardando que o
subsistema sobrecarregado conclua uma tarefa. Esse nível constante de uso do processador é
inaceitável para um servidor.
17.5.3. Examinado o desempenho do disco O Windows 2000 inclui contadores que monitoram a atividade dos discos físicos17 (incluindo
unidades de mídia removível), bem como de volumes ou partições lógicas. O objeto PhysicalDisk
fornece contadores que reportam a atividade dos discos físicos. O objeto LogicalDisk fornece
contadores que reportam estatísticas sobre discos lógicos e volumes de armazenamento. O System
Monitor identifica os discos físicos por número iniciando em 0 e identifica os discos lógicos pela letra
da unidade.
A tabela a seguir fornece uma descrição dos contadores dos objetos LogicalDisk e
PhysicalDisk que são úteis para examinar o desempenho do disco.
Objeto Contador Descrição
LogicalDisk % Free Space Reporta a porcentagem de espaço não alocado em
disco em relação ao espaço total utilizável no
volume lógico
LogicalDisk
PhysicalDisk
Avg. Disk Bytes/Transfer Mede o tamanho das operações de E/S. O disco
será eficiente se transferir grandes quantidades de
dados de modo relativamente rápido
LogicalDisk
PhysicalDisk
Avg. Disk sec/Tranfer Indica a velocidade de transferência dos dados (em
segundos). Mede o tempo médio de cada
transferência de dados, independentemente do
número de bytes lidos ou gravados.
Um valor alto desse contador poderá indicar que o
sistema está repetindo as solicitações devido a uma
fila muito longa ou, com menor freqüência, devido a
falhas do disco
LogicalDisk
PhyscalDisk
Disk Bytes/sec Indica a taxa de transferência de bytes e é a
principal medida da taxa de transferência do disco.
Quanto mais alto o número, melhor o desempenho
LogicaDisk
PhysicalDisk
Disk Transfers/sec Indica o número de leituras e gravações concluídas
por segundo, independentemente da quantidade de
17 Ao monitorar o desempenho do disco, é recomendável registrar os dados de desempenho em outro disco ou computador para que eles não interfiram com o disco que está sendo testado.
102
dados envolvida. Mede a utilização do disco.
Se o valor exceder 50 (por disco físico no caso de
um conjunto de distribuição), um gargalo poderá
estar sendo criado
17.5.4. Examinado o desempenho da rede A atividade da rede pode influenciar o desempenho não só dos componentes da rede, como
também do sistema como um todo. Após testar e otimizar os recursos do computador cliente ou do
sistema do servidor, examine o desempenho da rede. Após capturar e analisar os dados, identifique
as áreas que representam problema e tome uma ação corretiva.
O Performance Monitor permite monitorar o desempenho dos objetos de rede em um
servidor. A tabela a seguir fornece uma descrição dos objetos e de seus contadores úteis para
examinar a atividade de um servidor membro de rede.
Objeto Contador Descrição
Network
Interface
Output Queue Lenght Indica o tamanho da fila de pacotes de saída. O
valor deve ser baixo. As filas que têm um ou dois
itens apresentam um desempenho satisfatório. Filas
mais longas indicam que o adaptador está
aguardando a rede e não pode atender as
solicitações do servidor
Network
Interface
Packets Outbound
Discarded
Use este contador para determinar se a rede está
saturada. Se o contador aumentar continuamente,
isso poderá indicar que a rede está tão ocupada que
os seus buffers não podem dar suporte ao fluxo de
pacotes de saída
Network
Interface
Bytes Total/séc Use este contador para monitorar o desempenho do
adaptador de rede. Valores altos indicam um grande
número de transmissões com êxito. Se o valor
estiver próximo ou corresponder à capacidade da
rede, ela poderá estar saturada
17.5.5. Usando Alertas Utiliza-se alertas para notificar o usuário ou o administrador quando as indicações
ultrapassam um critério definido.
Os alertas serão úteis se não houver monitoramento ativo de um determinado contador, mas
ainda assim desejar-se uma notificação quando exceder ou ficar abaixo de um valor especificado. Por
exemplo, pode-se definir um alerta quando a porcentagem de espaço em disco usada exceder 80%
ou o número de tentativas de logon malsucedidos exceder um número especificado. Há três tarefas
envolvidas na configuração de um alerta:
Selecionar contadores para controlar uma atividade específica do sistema;
Definir um valor limite para a atividade;
Especificar a ação a ser tomada quando o limite for excedido ou ficar abaixo de um valor
específico:
103 Enviar uma mensagem de rede
Executar um programa
Iniciar um log