Embed Size (px)
Citation preview
O Programa de certificação Microsoft, um dos mais reconhecidos em todo o mundo. Atingir o status de MCSE (Microsoft Certified Systems Engineer) não é certamente um dos feitos mais simples para um profissional de da área de tecnologia da informação. Neste curso, você terá acesso a informações essenciais para passar no exame 70-290 – Managing and Mantaining a Windows Server 2003 Environment (Gerenciando e mantendo um ambiente Windows Server 2003), um exame obrigátório para as certificações MCSE, MCSA.
Como funcionam as provas de certificação
As provas são eletrônicas. O candidato responde a em média, 50 questões em frente a um computador. Ao final do exame o candidato já fica sabendo o resultado.As questões da prova podem ser de múltipla escolha, ou questões que requerem a interatividade do candidato, como por exemplo, arrastar itens para formular uma resposta ou ainda realizar configurações em um simulador.As provas podem sofrer alterações em seu formato ao longo do tempo, para manter a sua credibilidade no mercado. Para obter as últimas informações sobre alterações e novos exames acesse o site de treinamento e certificação da Microsoft (http://www.microsoft.com/learning).
Quais metas você deve atingir para este exame
Este exame contém 50 questões. Você deverá acertar pelo 70% das questões (700 pontos de 1000 possíveis)Como realizar uma prova de certificaçãoDuas empresas estão credenciadas para desenvolver os exames de certificação da Microsoft, a Virtual University Enterprises – VUE (http://www.vue.com) e a Tomphson Prometric (http://www.2test.com). Estas empresas mantêm contrato com outras empresas chamados de centro de teste. Para saber qual é o centro de testes mais próximo de você, acesse os sites e realize uma pesquisa.
Microsoft Certified Systems Engineer - MCSE
Um profissional com o status de MCSE, está apto a desenhar e implementar soluções baseadas no Microsoft Windows Server 2003 e produtos da linha Backoffice, como o Microsoft Exchange Server e Microsoft SQL Server. Esta é uma das principais certificações da Microsoft e uma das mais reconhecidas por empresas ao redor do mundo.Para uma listagem completa e atualizada dos requirementos para a certificação MCSE em Windows 2003, refira-se a este Web site:http://www.microsoft.com/traincert/mcp/mcse/windows2003/
Como este curso irá ajudá-lo a se tornar um profissional certificado
As informações contidas neste curso cobrem os tópicos abordados no exame 70-290 e são apresentadas de maneira concisa, identificando pontos importantes para o seu estudo.Algumas sessões assumem que o leitor já tem um conhecimento prévio do assunto abordado, apontando apenas pontos críticos para a prova.
Exames simulados
O MCPBrasil.com traz um conjunto de exames simulados que vão ajuda-lo a testar seus conhecimentos. Acesse http://www.mcpbrasil.com e selecione o exame simulado 70-290.
Um candidato a MCSE deve saber como gerenciar dispositivos de hardware de um servidor executando o Windows 2003. Neste capítulo, vamos estudar os seguintes tópicos para atingir este objetivo:
Gerenciar discos básicos e dinâmicos ; Otimizar a performance do servidor por meio de configurações de disco; Instalar e configurar dispositivos de hardware do servidor.
Gerenciando discos básicos e dinâmicos
O Windows Server 2003 oferece duas maneiras diferentes de armazenamento das informações em disco: Armazenamento básico e dinâmico. Os dois métodos se diferenciam pela maneira de armazenar os dados em disco, propriamente dito e pela compatibilidade com outros sistemas operacionais.
Armazenamento básico
O armazenamento básico utiliza tabelas de partição comuns, suportadas pelo MS-DOS e outros sistemas operacionais da Microsoft. Um disco configurado para armazenamento básico é chamado de disco básico e pode conter partições primárias, extendidas e drives lógicos.Os discos básicos podem conter até quatro partições primárias ou três partições primárias e uma partição estendida. Uma partição é uma divisão lógica de seu disco, a qual você assiná-la uma letra de unidade. Os tipos de partição nos discos básicos são:
Partição primária: Uma porção do espaço em seu disco que você reserva para poder escrever seus dados. Cada partição tem uma letra de unidade assinalada à mesma. Você pode utilizar um espaço ainda não alocado em disco para criar uma partição primária.
Partição estendida: Uma porção de espaço para armazenamento de seus dados que pode ser criado a partir de um espaço não alocado em disco. As partições estendidas não são assinaladas letras de unidades. Você dividirá as partições estendidas para criar Unidades Lógicas.
Unidades Lógicas: Uma porção de espaço em disco utilizado para armazenamento de dados criado a partir de espaço em um partição estendida.
Ao criar partições em discos básicos do Windows 2003, é importante que seja reservado pelo 1 Mbytes para que os mesmos possam ser convertidos para discos dinâmicos, caso exista esta necessidade.
Um disco dinâmico contém volumes em vez de partições. Um volume é uma área reservada ao armazenamento de dados em disco para o qual você assinala uma letra de unidade. Um volume somente pode ser criado em um disco dinâmico.
Entre as vantagens da utilização de discos dinâmicos está a possibilidade dos mesmos serem estendidos utilizando espaço em vários discos físicos aumentando a capacidade de armazenamento ou tornando-os tolerantes a falhas. Não existem limitações de quantidade de volumes que podem ser criados por discos.Todas as informações da configuração do disco é armazenada no próprio disco, em vez do Registry ou qualquer outro método. O sistema operacional replica as informações em todos os outros discos dinâmicos que a máquina possuir e então a falha de um único disco não afetará o funcionamento dos demais.Por padrão os discos no Windows 2003 são básicos, para que os mesmos se tornem dinâmicos você deverá convertê-los. Este é um processo sem volta. A única maneira de fazer com que um disco dinâmico volte a ser um disco básico é excluindo todos os volumes do mesmo.
Um disco pode ser dinâmico ou básico, mas nunca os dois ao mesmo tempo. Quando você tiver que fazer configurações diferenciadas em seus discos, como, por exemplo, espelhamento ou aproveitar espaço disponível em vários discos para aumentar o espaço de armazenamento disponível, você obrigatoriamente deverá converter os seus discos para dinâmicos.
Podemos criar vários tipos de volumes com a utilização de discos dinâmicos. A tabela a seguir descreve os tipos de volumes, suas implicações e funcionalidades:
Simple Volume: Este tipo de volume é um espaço alocado em um único disco rígido. Se estar formatado com o sistema de arquivos NTFS pode ser expandido, exceto se for o volume onde residem o boot e o sistema.
Spanned Volume: É utilizado para agregar espaço disponível em múltiplos discos formando assim um único volume com as suas capacidades de armazenamento aumentadas.
Striped Volume: O Striped Volume permite que você utilize faixas de disco em múltiplos discos físicos (mínimo 2, máximo 32). As informações serão gravadas em blocos de 64 Kbytes, o que aumenta em muito o desempenho de gravação. Se algum disco falhar, todos os dados serão perdidos, pois o Striped Volume não é tolerante á falhas. Não é possível retirar apenas um disco do Striped Volume sem remover o volume por completo.
Mirrored Volumes: Consiste do espelhamento de um Simple Volume em outro disco, ou seja, tudo que é gravado em um disco, também é gravado no outro. Em caso de falha em um dos discos, você poderá recorrer aos dados que foram espelhados no outro. Isto permite que seu sistema fique mais tolerante a falhas. Para implementar volumes do tipo Mirrored é necessário a utilização de dois discos.
RAID-5 Volumes: Volumes do tipo RAID-5 também são tolerantes a falhas. Cada um dos discos envolvidos (no mínimo 3, no máximo 32), reservam um espaço para guardar informações de paridade. Estas informações serão utilizadas para restaurar um dos discos em caso de falha. Se mais de um disco falhar, você terá que recorrer ao backup para fazer com que seu sistema esteja disponível novamente aos usuários.
Implementando sistemas de tolerância a falhas
O Windows Server 2003 suporta sistemas de tolerância a falhas gerenciados por hardware ou por software. Em geral, sistemas de tolerância a falha baseados em hardware tem um melhor nível de desempenho em confiabilidade, porém, seu custo é equivalente. No exame você irá se deparar com questões relacionadas aos níveis de tolerância a falha que o próprio sistema operacional pode prover.
Façamos uma comparação entre os dois níveis de RAID gerenciados por sofware que são suportados pelo Windows Server 2003: Levando en conta o fator custo, suponhamos que você vá implementar as soluções com a quantidade mínima de discos exigida (3 para RAID-5, 2 para Mirrored). Certamente você dirá que a solução mais barata é a solução Mirrored, pois a quantidade de discos que deverá ser comprada é menor. Agora se analisarmos o custo por MB de disco, o resultado será outro. Quando você utiliza um sistema espelhado para garantir a tolerância a falha de seu sistema operacional, você terá dois discos funcionando, mas somente um deles é que realmente está ativo, fazendo assim com que você perca 50% do espaço total de armazenamento. Para a implementação de um sistema RAID-5, é utilizado um parte do disco para que sejam guardadas as informações de paridade, informações que serão utilizadas para recompor os outros discos em caso de falha. Para saber o quanto isso ocupará em disco, você deverá utilizar a formula 1/x. Se você tem 5 discos envolvidos em seu volume RAID-5, então utilizará 1/5 de espaço em disco, ou seja, um dos discos. No caso de três discos, você utilizará 1/3, chegando a uma perda de espaço para armazenamento de informações, ou seja, apenas 33%.
Não é possível utilizar volumes do tipo RAID-5 para volumes de sistema ou de Boot, nestes casos você deverá utilizar volumes Mirrored. O desempenho de volumes Mirrored é inferior a do RAID-5, por tanto para volumes que contenham os dados de seus dados devem estar em uma volume do tipo RAID. É comum a utilização de estratégias que combinam volumes Mirrored para as partições de sistema e volumes do tipo RAID-5 para seus dados.A conversão de discos básicos para discos dinâmicos é feita a partir da ferramenta Disk Management.
Disk Management
Para a realização de tarefas comuns em seus discos você deverá utilizar o Disk Management. Este utilitário permite o gerenciamento de seus discos e a criação de partições e volumes. Utilize a ferramenta Computer Management do menu de ferramentas administrativas, selecione Storage e então Disk Management. Isto o levará a interface para administração de seus discos.
Figura 2.1 Disk Management
Vamos identificar quais são as tarefas que podem ser realizadas por meio do Disk Management.
Identificando o Status de um disco
O Disk Management mostra informações sobre os discos instalados em nosso computador executando o Windows Server 2003. Uma das informações mais importantes é status do disco, que pode indicar um problema em potencial que podemos estar enfrentando. A tabela a seguir mostra todos os status de disco e o seu significado, além da ação necessária para solucionar o problema:
Status Descrição Ação necessáriaon-line O disco está funcionando normalmente. Nenhuma.
on-line (Errors)
O sistema operacional encontrou erros enquanto lia ou escrevia em uma região de seu disco.
Tente a opção Reactivate Disk, clicando com o botão direito para que o status volte a ficar on-line. Caso o erro continue a ocorrer, tente verificar o disco por meio da ferramenta Chkdisk
Offline
O disco já esteve acessível, mas não se encontra mais nessa condição.
Verifique como estão as conexões físicas de seu disco, esse status pode ser ocasionado pela desconexão momentânea de seu disco.
Foreign
Esse status é mostrado para um disco que foi configurado originalmente em outro computador e ainda não foi configurado no computador atual.
Clique com o botão direito sobre o disco e então selecione a opção Import Foreign Disks.
Unreadable
Todo o disco ou parte dele pode estar danificado fisicamente.
O computador deve ser reinicializado para voltar esse status para on-line, caso isto não ocorra, clique com o botão direito sobre o disco e selecione a opção Reescan Disks. Se esse status ainda assim permanecer, existe realmente um problema físico no disco. Tente utilizar ferramentas de terceiros para tentar extrair dados que possam ser recuperados do disco.
Missing
O Disco está desligado, corrompido ou desconectado.
Depois de se certificar de que o disco está conectado e ligado de maneira apropriada, tente utilizar a opção Reactivate Disk, que pode ser acessada ao se clicar com o botão direito sobre o disco.
Not initialized
O disco não contém uma assinatura válida. Isto acontece quando o disco foi inicializado em um sistema operacional não Microsoft, como por exemplo em um computador executando o Linux.
Clique com o botão direito sobre o disco e selecione a operação initialize disk.
No Media
Esse status aparece somente para drives que estejam se utilizando de mídia removível, como por exemplo, drives de ZipDrive. A mensagem indica que não há nenhum disco no drive.
Insira um disco no drive e então clique com o botão direito. A opção Rescan Disks, deve tornar o status on-line.
Tabela 1.1 – Mensagens de status de disco
Além de status de discos, podemos também coletar informações sobre a situação de nossas partições ou volumes. A tabela a seguir mostra essas mensagens de status:
Status Descrição Ação NecessáriaHealthy O Volume está OK. Nenhuma
HealthyO Sistema Operacional encontrou problemas ao ler ou escrever dados nesse volume.
A opção Reactivate Disk, que pode ser acionada ao se clicar com o botão direito sobre o disco deve solucionar o problema.(At Risk)
Healthy
Partições criadas por outros sistemas operacionais podem não ser reconhecidas pelo Windows Server 2003.
Se você estiver utilizando um outro sistema operacional, que tenha que acessar esse volume, não há muito o que se fazer. Caso esse volume não seja mais necessário, clique com o botão direito sobre este e o exclua, selecionando a opção Delete Partition..
(Unknow Partition)
InitializingO disco está sendo inicializado. Aguarde até que o processo de inicialização tenha se
completado.
Failed
O disco ou o sistema de arquivos está corrompido
Para reparar um volume nessa situação, observe se o status do disco não está como on-line. Caso não esteja, utilize a opção Reactivate Disk. Selecione o volume, clique com o botão direito e escolha a opção Reactivate Volume.
Unknow
O Boot Sector do volume está com problemas. Um vírus, por exemplo, é uma das causas possíveis para esse status.
Utilize uma ferramenta anti-vírus, para identificar a presença de um vírus no Boot Sector. Caso o disco não esteja infectado, tente utilizar o Recovery Console para acertar o Boot Sector.
Tabela 2.2 – Mensagens de status de volumes
Dica: geralmente, status representando problemas em volumes são apenas conseqüências de status representando problemas no disco. Quando você quiser retornar os status de seus volumes ou partições ao normal, tente primeiro verificar o status para o disco que contém aquele volume.
Criando, excluindo e formatando volumes
Para criar partições em seu disco, você utilizará o Create Partition Wizard. Você selecionará o tipo e tamanho da partição que deseja criar. Você acionar este Wizard clicando em um espaço não particionado com o botão direito de seu disco e então selecionando Create Partition.O processo para criação de volumes é igual, modificando apenas o nome do Wizard para Create Volume Wizard, e apresentando opções de tolerância a falhas que poderão ser selecionados.Ao criar uma nova partição ou volume, você terá a opção, ao final do Wizard, de proceder a formatação do disco. Caso queira faze-lo posteriormente, isto também será possível, clicando sobre o volume com o botão direito e selecionando Format. No processo de formatação de seu disco todos os dados serão perdidos. Você não conseguirá formatar a partição de sistema ou de Boot.
Gerenciamento de letras de unidade e caminhos
Você pode utilizar o Disk Management para gerenciar as letras de unidade que são atribuídas a seus volumes ou partições. Por padrão as letras e A e B são reservadas para drives de discos flexíveis, mas se você tem apenas uma unidade deste tipo, a letra B poderá ser associada a um volume.Para associar uma letra de unidade a um volume ou partição você deverá proceder da seguinte maneira:
1. Clique com o botão direito do mouse sobre a partição ou volume que deseja atribuir ou alterar a letra de unidade.
2. Percorra o menu e selecione Change Drive Letter and Paths. Assinale uma nova letra de unidade clicando sobre o botão Add.
3. Remova uma letra de unidade que já havia sido associada anteriormente clicando sobre o botão Remove.
4. Você pode ainda modificar a letra de unidade atribuída atualmente, clicando sobre o botão Modify.
Existe ainda a possibilidade de montar uma unidade em uma pasta vazia de uma partição ou volume NTFS, os Mounting Points. Esta característica elimina a limitação de 24 letras de unidade que podem ser associadas a seus volumes. Outra funcionalidade,
é tornar possível a criação de pastas com nomes intuitivos para seus usuários.Para criar um novo Mounting Point você deverá fazer o seguinte:
1. Clique sobre o volume que deseja montar em uma pasta vazia de um volume NTFS com o botão direito.
2. Percorra o menu e selecione Change Drive Letter and Paths.3. Clique em Add e depois Browse.4. Aponte a sua seleção para uma pasta vazia em uma partição NTFS e então clique
em OK.
Otimizando o desempenho do servidor por meio de configurações de disco
A configuração ou manutenção dos discos podem melhorar o desempenho do servidor. Entre as atividades administrativas com este fim está a desfragmentação de discos.O Disk Defragmenter é um utilitário de sistema que consolida as informações em um volume, tornando o acesso aos dados mais veloz. A ferramenta permite que seja realizada uma analise da situação do disco antes de realizar a desfragmentação propriamente dita, isto é interessante para que você verifique a real necessidade de realizar o processo que necessita pelo menos 15% de espaço livre em disco. É recomendável que este processo seja realizado somente em horários onde o acesso as informções seja menor, já que o acesso aos dados pode causar lentidão no processo de desfragmentação e este poderá causar lentidão no acesso aos dados.Você poderá atingir melhor desempenho de seus discos com a utilização de configurações RAID. O RAID 0 ou Striped Volume, como mencionado anteriormente, não protege o sistema de um problema em discos, porém, devido a maneira como os dados são gravados, podemos obter o melhor desempenho de I/O de todas as configurações de disco suportadas pelo Windows. Este desempenho é atingido por este esquema de configuração de discos, pelo fato deste dividir a carga de gravação dos dados em blocos de um mesmo tamanho. Por exemplo, supondo que temos um arquivo de 192 kb a ser armazenado em um Striped Volume que compreende 3 discos, o sistema irá armazenar blocos de 64k em cada um dos discos, fazendo com que a gravação seja muito mais eficiente, conforme ilustra a imagem a seguir:
Figura 2.2 Gravação de dados em um Striped Volume
FSUtil e Diskpart
O FSUtil (File System Utility), foi desenvolvida para profissionais de suporte para executar tarefas como alterar nomes curtos de arquivos, procurar arquivos pelo SID (Security Identifier), além de outras tarefas que a interface do Disk Management não permite.A funcionalidade do Diskpart, é fundamentada na possibilidade de se utilizar uma ferramenta console, em linha de comando para se gerenciar discos e volumes.Veja a lista de comandos disponíveis com o DiskPart:
Função DescriçãoADD Adiciona um mirror a um Volume SimplesACTIVE Ativa a partição básica atualASSIGN Assina-la uma letra de unidade ou ponto de montagem a um volumeBREAK Quebra um mirrorCLEAN Limpa as informações de configuração de um discoCONVERT Converte entre formatações diferentes de discoCREATE Cria um volume ou partiçãoDELETE Exclui um objetoDETAIL Provê detalhes de um objetoEXIT Abandona o DiskPartEXTEND Extende um volumeHELP Mostra a lista de comandos e suas funcionalidades em tela.IMPORT Importa um grupo de discos.LIST Mostra uma lista de objetos
ONLINE Altera o status de um disco para on-lineREM Sua única função é permitir a utilização de comentários em scriptsREMOVE Remove uma letra de unidade ou ponto de montagem assinaladoRESCAN Busca pela configuração de discos no computadorSELECT Move o foco para um objeto
Para se utilizar do DiskPart, simplesmente digite DiskPart no prompt de comando. O Shell será alterado mostrando o um prompt com o nome diskpart que aceitará os comando citados anteriormente.O comando LIST, por exemplo, com o parâmetro Volume, geraria o seguinte resultado:
2.3 – Output do diskpart
Instalando e configurando o hardware do servidor
A tarefa de manter e configurar o hardware do servidor faz parte do dia-a-dia de um administrador de servidores baseados em Windows 2003. Você deverá conhecer muitos dos aspectos dos procedimentos relacionados a esta tarefa para se dar bem no exame 70-290.A manutenção de hardware abrange a instalação e configuração de dispositivos como:
Discos Rígidos Modens Drives de CD-ROM e DVD Impressoras Adaptadores de rede Etc
Nem todos os dispositivos do mercado foram testados e aprovados pelo Microsoft para funcionar com o Windows Server 2003. Ao comprar um novo servidor para executar este sistema operacional, você deverá estar atento e identificar se todos os componentes
de hardware estão listados na Hardware Compatibility List (HCL). Esta lista mantida pela Microsoft fornece informações sobre dispositivos de hardware que são totalmente suportados por seus sistemas operacionais. Você poderá consultar esta lista on-line em http://www.microsoft.com/hcl. Configurações do Windows Server 2003 que contam com componentes de hardware que não estejam listados na HCL podem não ser suportados pela Microsoft.
Drivers
Para que um dispositivo funcione corretamente no Windows Server 2003, é necessário que um driver apropriado seja instalado no sistema. O Driver faz a interface entre o sistema operacional e o dispositivo de hardware. Esta peça de software conhece os comandos básicos que o sistema operacional enviará ao tipo de dispositivo que ele controla e as repassa. Quando o dispositivo necessita enviar alguma informação ao sistema operacional, o driver também é responsável por levar está informação.
O Windows Server 2003 traz um conjunto de drivers disponíveis para uma grande quantidade de marcas, modelos e tipos de dispositivos. A idéia destes drivers incluídos com o sistema operacional é permitir que o dispositivo seja instalada de maneira prática. Os fabricantes dos dispositivos, podem disponibilizar versões mais atualizadas destes drivers, para que o administrador de servidor ou usuário final tirem ainda mais proveito das funcionalidades do dispositivo. É possível atualizar o driver de um dispositivo que já está instalado no sistema operacional, substituindo-o por uma versão mais recente, que provavelemente terá maiores funcionalidades.
Para verificar qual são os dispositivos instalados atualmente no sistema operacional e realizar as devidas atualizações necessárias, você utilizará o Device Manager. Esta ferramenta pode ser encontrada no Snap-in Computer Management ou nas propriedades de seu servidor no Control Panel.
Figura 2.4 – Interface do Device Manager
Por meio desta ferramenta você poderá ainda modificar as configurações de determinado dispositivo ou solucionar problemas relacionados ao hardware.Para atualizar o driver de um dispositivo você deverá realizar os seguintes passos:
1. No Device Manager, clique duas vezes sobre o dispositivo que deseja atualizar.2. Na aba Driver, clique sobre o botão Update Driver.3. Um Wizard será iniciado e lhe questionará sobre a localização dos arquivos
necessários a atualização do driver do dispositivos. Estes arquivos normalmente são disponibilizados pelo forncedor do dispositivo.
Para realizar esta atualização, você deverá ser menbro do grupo local Adminstrators. Se o computador é parte de um domínio, por padrão, o grupo Domain Admins tem esta permissão.
Driver Signing
Drivers de dispositivos não testados suficientemente podem fazer com que o dispositivo deixe de funcionar corretamente em seu computador. O Windows Server 2003 tem um mecanismo que permite a implementação de drivers assinados digitalmente por seus fabricantes. Essa assinatura digital garante que os drivers não foram alterados por outros programas ou por um vírus, por exemplo. O sistema é configurado por padrão para avisar quando um driver que não possui uma assinatura digital estiver sendo instalado
(Warn)e lhe dá a chance de parar com o processo de instalação. O sistema pode ser configurado para ignorar (Ignore. ou impedir (Block) a instalação de drivers sem uma assinatura digital.Enquanto administrador de um computador executando o Microsoft Windows Server 2003, você poderá tornar a sua seleção padrão para o sistema.
Driver Rollback
Caso a atualização de um driver de dispositivo instalado em um computador executando o Microsoft Windows Server 2003 venha a apresentar problemas e fazer com que o dispositivo ou até mesmo o computador deixem de funcionar corretamente, é possível voltar a uma versão anterior. Essa característica do Windows Server 2003 é o Driver Rollback. Quando utilizado, o Driver Rollback reinstala o driver que estava sendo executado anteriormente, mantendo as configurações que estavam funcionando corretamente. Essa implementação pode ser utilizada com qualquer driver de dispositivo, com exceção de drivers de impressora.
Para executar o Driver Rollback proceda da seguinte maneira:
1. No Device Manager, acesse as propriedades do Driver de dispositivo que deseja restaurar a versão anterior.
2. Clique na aba Drivers.3. Clique no botão Roll Back Driver.
Configurando dispositvos
Você poderá configurar os dispositivos instalados em seu servidor também por meio do Device Manager. As configurações que você poderá realizar incluem:
Alterar a interrupção (Interrupt Request - IRQ) utilizada pelo dispositivo. Modificar os canais de acesso direto a memória (Direct Memory Access -
DMA). Modificar endereços de Input/Output (I/O). E também alterar intervalos de endereços de memória.
Normalmente você somente fará este tipo de alteração em dispositivos mais antigos, já que atualmente a grande maioria dos dispositivos são compatíveis com a tecnologia Plug-and-Play, que permite que uma vez agregado ao sistema, o dispositivo seja reconhecido e configurado automaticamente pelo sistema, sem interferir com o funcionamento dos demais dispositivos.
O Device Manager permitirá também que você remova dispositivos que não estejam mais conectados a seu sistema, cujos drivers continuam presentes.
Solucionando conflitos de Hardware
Utilizar dispositivos mais antigos, não compatíveis com o Plug and Play, em um computador executando o Microsoft Windows Server 2003, pode ser um problema quando tratamos de recursos de Hardware. A explicação para essa afirmação é muito simples. Dispositivos mais antigos, utilizando, por exemplo, o padrão ISA, podem ter os
seus recursos de hardware, como a IRQ que deve ser utilizada, configurada na própria placa, com a ajuda de Deep Swicthes ou ainda Jumpers. Dispositivos Plug and Play não necessitam desse tipo de configuração.
Suponhamos que você, administrador de um computador executando o Windows Server 2003, faça a instalação de um modem mais antigo, configurado para se utilizar da IRQ 5 e você tenha uma placa de vídeo padrão PCI. Ao ser iniciado, o sistema carrega os drives de dispositivo e não irá nem suspeitar que essa IRQ está reservada para um outro dispositivo, ou seja, dois dispositivos estarão se utilizando do mesmo recurso, gerando assim um conflito.
Para solucionar esse tipo de problema, podemos visualizar os dispositivos conflitantes no Device Manager e então alterar suas configurações para que os dois dispositivos possam funcionar corretamente. Podemos ainda alterar a BIOS do computador para reservar as IRQs que estão configuradas fisicamente nos dispositivos mais antigos.Existem dispositivos que podem funcionar com recursos compartilhados, ou seja, dois dispositivos se utilizam de um mesmo recurso, porém, o sistema gerencia o acesso de cada um, o que não gera um conflito. As propriedades do dispositivo no Device Manager mostram dispositivos que se utilizam de recursos compartilhados.
Gerenciando usuários, grupos e computadores
A cada funcionário que começa ou deixa seu trabalho na empresa, a cada recurso criado em um servidor, você, enquanto administrador de um servidor com o Windows Server 2003, deverá lidar com contas de usuário, grupos e contas de computadores. Se esta é uma tarefa tão comum em um ambiente de rede, imagine a sua importância no exame 70-290.
Estudaremos os seguintes tópicos para alcançar este objetivo do exame:
Introdução ao Microsoft Active Directory Services; Gerenciar contas de usuários locais e de domínio ; Criar e gerenciar perfis de usuário ; Gerenciar grupos.
Introdução ao Microsoft Active Directory Services
Para podermos colocar as informações no seu devido contexto, devemos inicialmente adquirir algumas noções do serviço de diretórios da Microsoft. O Microsoft Active Directory Services é o serviço de diretórios para redes baseadas em Windows Server 2003. Um serviço de diretórios é repositório central de informações sobre objetos da rede. Esses objetos são, por exemplo, usuários, grupos de usuários, computadores, etc. O Active Directory, provê um local centralizado para administração de recursos de rede e autenticação de usuários.
Um computador que executa o Windows Server 2003 com o Active Directory instalado é chamado de Domain Controller. Esse tipo de computador tem uma cópia do banco de dados do Active Directory, com todas as informações sobre os objetos de rede. É possível acrescentar múltiplos Domain Controllers em um ambiente de rede Windows
Server 2003 para otimizar o desempenho e ainda prover tolerância. Todas as modificações geradas em um Domain Controller, como por exemplo, a criação de uma nova conta de usuário, são replicadas para os outros Domain Controllers participantes.
Estrutura Lógica do Active Directory
A estrutura lógica do Active Directory permite aos administradores a organização dos objetos de rede, de modo que a sua administração seja simplificada. O desenho de sua estrutura lógica de Active Directory, vai evoluir de acordo com o processo de administração de recursos de rede em sua empresa.
Domínios
Um domínio do Active Directory é um agrupamento lógico de computadores e outros objetos. Essa é a unidade básica de replicação de informações, segurança e de administração, ou seja, quando um novo objeto for criado ou alterado, será replicado para todos os Domain Controllers do domínio no qual esta operação foi realizada. Um usuário pertencente ao grupo Domain Admins, criado automaticamente durante a instalação do Active Directory, tem privilégios suficientes para administrar todos os objetos daquele domínio. A quantidade de objetos que pode ser armazenada em um domínio do Active Directory é infinita, limitando-se apenas, obviamente, ao Hardware empregado para a solução.
O método primário de resolução de nomes em uma rede Windows Server 2003 é o DNS (Domain Name System). Os nomes de domínio no Active Directory devem seguir as convenções de nomes do DNS e representar a empresa como um todo.
DicaA Microsoft recomenda que se utilizem domínios com a extensão .local para distinguir do domínio de Internet, evitando problemas resolução de nomes no futuro. Por exemplo, ao invés de configurar o domínio de DNS para o Active Directory como mcpbrasil.com, poderíamos configura-lo para mcpbrasil.local.
Organizational Units
Quando estamos falando de uma estrutura de arquivos, por exemplo, criamos pastas para auxiliar na administração do conteúdo armazenado em disco, para separar documentos que tenham similaridade ou relação. As Organizational Units, ou OUs, tem essa mesma função para o Active Directory, organizar os objetos para simplificar a administração. Trata-se de um objeto container, ou seja, um objeto criado para conter outros objetos, como contas de usuários e grupos. A criação de uma estrutura de Organizational Units é importante também para a delegação de permissões administrativas e implementação de diretivas de segurança.
DicaQuando se exclui uma Organizational Unit do Active Directory, todas as informações contidas no objeto container também são excluídas. Por tanto, se você possuir em seu ambiente uma OU com 500 objetos do tipo usuário dentro e essa for excluída, os objetos do tipo usuário também serão excluídos. Cuidado!.
Árvores
Em um ambiente onde a administração de recursos seja descentralizada, podemos ter múltiplos domínios para as que as questões de segurança sejam implementadas com mais facilidade. Vamos supor, por exemplo, que a Microsoft Corporation, tivesse um domínio em Redmond, que fosse utilizado apenas para manter os dados à respeito dos usuários e recursos de rede da empresa nos Estados Unidos e mantive um outro domínio para cada uma das suas subsidiárias em outros países. Poderíamos criar uma relação pai e filho entre esses domínios, fazendo com que o domínio do Brasil, ou o domínio do Chile, por exemplo, fossem filhos do domínio pai em Redmond. Esse conjunto de domínios com uma mesma estrutura de nomes é considerada uma Árvore do Active Directory. Poderíamos imaginar uma estrutura conforme a figura 3.1:
Figura 3.1 – Exemplo de uma Árvore para o domínio microsoft.com
A utilização de múltiplas árvores pode ser necessária para, por exemplo, um conglomerado de empresas. Suponha, por exmplo, que uma holding irá implementar o Active Directory e é um grupo industrial. Uma das empresas do grupo fabrica pneus e a outra fabrica salsichas. Certamente essas duas empresas terão nomes diferentes e deverão manter múltiplas árvores dentro de sua estrutura.
Florestas
Bem, se uma árvore é um conjunto de um ou mais domínios, uma floresta é um conjunto de uma ou mais árvores, no sentido mais ecológico possível.Uma floresta comporta múltiplas Árvores, utilizando, inclusive nomes diferentes.
Figura 3.2 – Exemplo de uma floresta com múltiplas árvores
Relacionamentos de confiança
Em um ambiente com múltiplos domínios se faz necessária a utilização de relacionamentos de confiança. Um relacionamento de confiança define as regras de acessos aos recursos de um domínio por usuários de um outro domínio. Por exemplo, suponha que existam em uma árvore com os domínios DOMAINA e DOMAINB. Para que os usuários do domínio DOMAINA possam acessar os recursos de DOMAINB, este deve confiar em seus usuários. Nesse caso, o domínio DOMAINA, aquele cujos usuários necessitam acessar os recursos, é chamado de domínio confiável e o domínio DOMAINB, aquele que tem os recursos a serem acessados, é chamado de domínio confiante.No Active Directory, os relacionamentos de confiança entre domínios pai e domínios filho ou subdomínios é gerada automaticamente e tem como características, o fato de ser bidirecional e transitiva.
Figura 3.3 – Relacionamentos de confiança
Relacionamentos de confiança bidirecionais, indicam que ambos os domínios participantes do relacionamento de confiança confiam e são confiados pelo outro domínio. Para entender o relacionamento de confiança transitivo, podemos nos basear em uma árvore como o da figura 3.4:
Figura 3.4 – Relacionamentos de confiança transitivos
Se o domínio DOMAINA confia em DOMAINB e DOMAINA também confia em DOMAINC, o domínio DOMAINB confiará em DOMAINC, mesmo que não exista um relacionamento de confiança direto entre eles.Podemos criar relacionamentos de confiança com outros domínios que estejam disponíveis em servidores de uma floresta diferente ou ainda em um domínio no Microsoft Windows NT 4.0.
DicaOs relacionamentos de confiança são criados entre domínios e não entre servidores.
Functional Levels
Os Functional Levels de um domínio ou de uma floresta definem o conjunto de sistemas operacionais que poderão ser executados com funções de Domain Controller. Estes níveis, também defininem as características do serviço de diretórios que poderão ou não ser implementadas. Por exemplo, para um domínio funcione no nível de Windows Server 2003 é necessário que todos os Domain Controllers estejam executando o Windows Server 2003. Este é o mais alto nível da implementação do Active Directory e permite a utilização de todas as funcionalidades, como por exemplo, renomear um domínios.
Delegando permissões no Active Directory
Após instalar o Active Directory, qual usuário tem permissões para criar novas contas de usuário ou editar contas existentes? Por padrão, os membros dos grupos Domain Admins e Account Operators.
Em ambientes onde a administração é realizada de maneira centralizada, essa configuração pode ser eficiente. Uma equipe é responsável pelo administração de objetos do Active Directory em toda a organização.
Um cenário nos ajudará a compreender esse conceito. Suponha uma empresa seja constituída por 5 escritórios regionais (Norte, Nordeste, Centro-Oeste, Sudeste e Sul). Cada região tem múltiplos escritórios de representação.
Cada uma das regiões tem seu grupo de administradores, responsável por configurar políticas válidas para todas os escritórios de representação. Cada escritório de representação tem um administrador local, responsável por administrar as contas de usuários locais. Essa estrutura toda conta com uma floresta com um único domínio do Active Directory. Para distribuir a administração nesse domínio, será necessário criar uma estrutura de Organizational Units e delegar permissões. Para essa estrutura, poderíamos organizar o Active Directory conforme a ilustração a seguir:
Entra figura3.5 – Estrutura de Organizational Units
As Organizational Units são objetos container, ou seja, são objetos criados apenas para conter outros objetos, permitindo uma melhor organização destes.Podemos delegar permissões a um usuário ou grupo a qualquer objeto no Active Directory, porém, normalmente realizamos essas operações em Organizational Units, por ser muito mais simples administrativamente.
Quando delegamos permissões, configuramos o Active Directory, de modo que este possa ser administrado por um usuário ou grupo que não tenha, necessariamente, permissões de administrador.
Podemos configurar qual é o nível de permissões que este usuário ou grupo pode ter no objeto. As permissões vão desde de controle total até tarefas específicas, como alterar as senhas dos objetos do tipo usuário que estejam dentro de uma OU.
O processo de delegação, consiste basicamente de alterar as permissões para um determinado objeto. Isso pode ser realizado acessando propriedades do objeto no Active Directory User and Computers por meio da aba Security. Porém, esse método pode ser complexo devido a quantidade de configurações de segurança que existem. Essas configurações de segurança também podem variar de acordo com o objeto a ser utilizado. Para facilitar essa tarefa, podemos utilizar o Delegation of Control Wizard, uma ferramenta desenhada especificamente para esse fim. Utilizando o nosso exemplo, vamos supor que tenhamos que delegar permissões de controle total para os administradores da região Sul. Poderíamos criar um grupo global chamado Administradores Região Sul, é seguir os passos do wizard.
Efetuando buscas no Active Directory
Em grandes organizações, a quantidade de objetos no Active Directory pode chegar a casa do milhares. Colocando esses objetos em diferentes OUs, pode fazer com que o processo de se encontrar determinado objeto para fazer uma manutenção seja demorado e ineficiente.
Podemos utilizar o próprio Active Directory Users and Computers para realizar uma busca pelos objetos que desejamos encontrar.Para realizar esse procedimento, devemos clicar com o botão direito sobre a representação de nosso domínio e então selecionar a opção Find.
3.6 – Tela para buscar no Active Directory
Podemos realizar uma busca mais simplificada, ou podemos utilizar as opções avançadas, que permite buscar objetos pelos mais diversos atributos. Por exemplo, ao invés de procurar um usuário pelo nome, podemos querer encontrar todos os usuários que trabalham no departamento de vendas, então utilizaríamos uma busca avançada por este parâmetro.
Implementando Group Policies
Podemos implementar Group Policies ou GPOs (Group Policy Objects) em nível de Site, de Domínio ou de Organizational Unit, dependendo do alcance que desejamos que esta política tenha.
As Group Policies, são um conjunto de configurações que nos permite controlar o comportamento de nossas estações de trabalho, usuários ou servidores. Podemos realizar uma configuração uma única vez em uma GPO e esta se aplicará a todas os objetos.
Podemos, por exemplo, ter a necessidade de impedir que os usuários do departamento administrativo tenham acesso ao painel de controle em suas estações executando o Windows XP Professional. Supondo que todos esses usuários estejam em uma Organizational Unit, podemos criar uma Group Policy com essa configuração e esta será aplicada a todos os objetos do tipo usuário presentes nessa OU.
Utilizamos o Active Directory Users and Computers, para criar novas diretivas ou para visualizar e alterar as diretivas existentes. Ao instalar o Active Directory, já temos
algumas diretivas criadas. Uma diretiva chamada Default Domain Policy, aplicada ao domínio e outra chamada Default Domain Controller Policy, que é aplicada por padrão a OU Domain Controllers, onde por padrão estão as contas de computador de todos os Domain Controllers do domínio.
DicaNão é possível aplicar um Group Policy a objetos do tipo container. Por padrão, os usuários do sistema são armazenados no container Users. Caso queira aplicar uma Group Policy a um desses objetos, deverá coloca-los em uma OU.Para visualizar quais são as diretivas aplicadas a determinada OU ou Domínio, podemos acessar as suas propriedades e então clicarmos na aba Group policy.
Contas de usuário
Como administrador de um servidor executando o Windows Server 2003, você necessitará conhecer os tipos de contas de usuários que poderam ser criados em seu sistema.Contas de usuário são utilizadas para permitir que as pessoas ou serviços possam acessar recursos em um computador local ou na rede.
Contas de usuário locais
Todos os computadores executando o Microsoft Windows Server 2003, que não sejam Domain Controllers, possuem um banco de dados de contas de usuários locais. Usuários locais são criados para que se conceda acesso a recursos locais de um computador. Em um ambiente de Workgroup, por exemplo, para que os usuários possam acessar computadores executando o Windows XP Professional, será necessário que se crie uma conta de usuário.
A ferramenta utilizada para a criação de contas locais é o Computer Manager, que pode ser acessada no menu Administrative Tools.
Contas de usuário de domínio
As contas de usuários de domínio são armazenadas no Active Directory e permitem que um usuário tenha acesso a recursos de toda a rede aos quais ele tenha permissão sem ter que se autenticar mais de uma única vez. Uma vez criada, a conta é armazenada no banco de dados de objetos do Active Directory de um Domain Controller e logo é replicada para os outros Domain Controllers do domínio.
Quando um usuário de domínio efetua logon, um Domain Controller qualquer do domínio será responsável por autentica-lo, ou seja, identificar se a senha informada para este usuário está correta, se ele tem permissões para efetuar logon naquele horário e idenficar quais são os grupos aos quais ele pertence.A ferramente para a criação e manutenção de contas de usuário de domínio é o Active
Directory Users and Computers. Esta ferramenta se localiza no menu Administrative Tools.
Built-in User Accounts
Ao instalar o Windows Server 2003, algumas contas de usuário são criadas automaticamente. Essas contas de a função de permitir que se executem tarefas administrativas no sistema, como por exemplo, criar outras contas de usuário, ou administrar determinadas áreas do servidor. Na instalação do primeiro servidor com o Active Directory, o mesmo ocorre, porém, com contas de domínio.
Uma conta chamada Administrator é criada automaticamente, tanto no domínio, quanto localmente, e tem direitos administrativos sobre o sistema. A senha dessa conta é definida durante a instalação do sistema operacional, no caso da conta local ou na instalação do Active Directory do primeiro Domain Controller do domínio. Esta conta não pode ser excluída, porém, existe uma recomendação para que seja renomeada, por questões de segurança.
A conta Guest também é criada automaticamente. Essa conta fica desabilitada por padrão. Sua função é permitir acesso temporário ao sistema ou a recursos do domínio. Um exemplo para a utilização desse recurso seria o de um funcionário de uma outra filial que está visitando a sua empresa e precisa acessar a Internet. Você pode habilitar essa conta e permitir que o usuário acesse a Internet sem ter que criar uma conta para ele.
Criando contas de usuário locais
Para criar contas de usuário locais, proceda da seguinte maneira:
1. No Computer Manager, expanda Local Users and Groups2. Clique com o botão direito sobre Users e selecione a opção New User3. Preencha as informações solicitadas (Nome de usuario, Nome completo,
descrição)4. Preencha e confirme a senha do usuário5. Se for o caso, selecione as opções de conta (se a senha deve ser alterada no
próximo logon, ou se a conta está desabilitada)6. Clique em Create
Figura 3.7 – Criação de conta de usuário local
Demonstração
Vejamos uma demonstração de como funciona o processo de criação de contas locais de usuário:
Criando contas de usuário de domínio
Para criar contas de domínio, proceda da seguinte maneira:
1. No Active Directory Users and Computers, clique com o botão direito sobre o container Users e selecione a opção New User
2. Na janela New User, Preencha as informações solicitadas, como Name, Last Name, Description e User Name e clique em Next
3. Digite e confirme a senha do usuário e clique em Next4. Clique em Finish para concluir o processo.
Usando templates de contas de usuário
Templates de contas de usuário são bastante úteis para ambientes onde a rotatividade de funcionários é grande. Esse processo consiste da configuração de uma conta de usuário com todas as características necessárias a um determinado tipo de usuários e depois, simplesmente copiar essa conta no momento da criação do usuário. Por exemplo, supondo que o departamento de vendas de sua empresa tenha uma grande rotatividade de funcionários. Todos os usuários do departamento de vendas devem participar do grupo vendas e devem ter o seu horário de logon configurado entre as 8h e as 17h. Crie
uma conta com essas características e então realize uma cópia quando o próximo vendedor for contratado. Todos esses parâmetros serão copiados para a nova conta.
DicaUma conta de usuário usada como template é um conta normal, com direitos e permissões de acesso a recursos da rede. Para evitar que essa conta seja utilizada por um usuário mal intencionado, mantenha essa conta desabilitada.
Automatizando a criação de contas de usuário
Podemos automatizar a criação de contas de usuário por meio de scripts escritos, por exemplo, em VBScript. O apêndice C traz uma referência a criação de objetos no Active Directory e ainda, recursos na web que poderão ajuda-lo com esta tarefa.
Perfis de usuário
Em computadores executando o Windows Server 2003, os perfis de usuário podem criar e manter as configurações de desktop e preferências de configuração de cada usuário. Este perfil é criado automaticamente na primeira vez que um usuário efetua logon. Uma das grandes vantagens na utilização de perfis de um usuário é a possibilidade de ter vários usuários trabalhando em determinado computador, sem que suas configurações afetem as preferências de outros usuários e vice-versa.
Perfil Local
Um perfil local é armazenado no disco do serviodor, mais precisamente, por padão na pasta c:\documents and settings\username (onde username é o nome do usuário que gerou o perfil ao se logar no computador).
Um perfil local é específico ao computador onde foi criado. Caso o usuário queira manter a mesma configuração em um outro computador, utilizando perfis locais, terá que reconfigurar as suas preferências.
Perfil Roaming
Um perfil do tipo Roaming estará disponível ao usuário, independente do computador onde este se logar. Este tipo de perfil, criado pelo administrador, fica armazenado em um servidor e é descarregado no momento em que o usuário efetua logon. Apesar da vantagem de manter o desktop e as configurações do usuário independente de onde este esteja se logando, uma implementação de Roaming Profiles pode gerar tráfego indesejado na rede, já que os dados que compõe o perfil do usuário devem ser descarregados do servidor até o computador no qual o usuário está efetuando logon e no momento do logoff estes devem ser atualizados no servidor.
Perfil Obrigatório
Um perfil obrigatório, é um perfil do tipo Roaming que não pode ser alterado pelo usuário. Na verdade ele pode ser alterado, mas no momento do logoff, estas alterações não são salvas. Se, por algum motivo, um usuário não pode acessar a pasta onde seu perfil obrigatório está na rede, este não poderá efetuar logon.
Perfil temporário
Um perfil temporário é criado cada vez que uma condição de erro impede que um perfil de usuário seja carregado. No final da sessão do usuário este perfil será excluído e todas as alterações realizadas neste perfil serão perdidas.
Gerenciar grupos
Para passar no exame 70-290 é importante que você conheça todo o processo de gerenciamento de grupos locais e de domínio.
Grupos Locais
A função de Domain Controller não está presente, por padrão, em um computador executando o Windows Server 2003. Neste servidor, são criados alguns grupos para que se torne possível o processo de administração e o acesso a recursos. Estes grupos são chamados de Built-in Groups.
Pertencer a um grupo de usuários dá a um usuário direitos e permissões para executar tarefas específicas naquele computador.Você poderá criar grupos para satisfazer as necessidades de acesso a recursos em seu ambiente. Por exemplo, você poderá criar um grupo que tenha acesso a uma pasta compartilhada em seu servidor, definir as devidas permissões e acrescentar os usuários que tenham acesso a esta informação a este grupo. Veremos com mais detalhes a implementação de segurança no acesso a recursos no próximo capítulo.
Grupos de domínio
Para compreender o gerenciamento de grupos em um domínio do Active Directory, precisamos nos basear em alguns conceitos importantes, como o tipo e escopo de grupos.
Tipos de grupos
Os tipos de grupo estão relacionados à sua funcionalidade dentro do serviço de diretório do Windows Server 2003. Existem 2 tipos de grupo: Os Security Groups e os Distribution Groups. Os Security Groups (Grupos de Segurança) são utilizados para a implementação de acesso a recursos, já os grupos de distribuição são utilizados para o envio de mensagens de correio eletrônico por meio de um gerenciador, como por exemplo o Microsoft Exchange Server.
Quando um usuário efetua logon em um domínio do Windows Server 2003 e tem participação em grupos de segurança, automaticamente é gerada uma lista contendo informações à respeito do acesso a recursos por parte deste usuário. Esta lista se chama
DACL (Discretionary Access Control List). Para gerar esta lista, são consumidos recursos da rede e recursos do servidor.
Seu usuário não precisa utilizar nenhum recurso compartilhado na rede, dê preferência à utilização de Distribution Groups (Grupos de Distribuição). A participação do usuário neste tipo de grupo não gera a DACL, e por tanto, faz com que exista um desempenho melhor no processo de logon do usuário.
Escopos de grupo
Os escopos de grupo estão relacionados à maneira pela qual você vai gerenciar o acesso aos recursos de seu servidor. Existem três escopos de grupo diferentes: Domain Local Group, Global Group e Universal Group.
Domain Local Group
Os Domain Local Groups (grupos locais de domínio) são utilizados para dar acesso a recursos. Por exemplo, suponha que você tenha uma pasta chamada “Docs” em seu servidor. Você quer dar acesso a esta pasta para todos os usuários do departamento financeiro. Provavelmente os usuários do departamento financeiro estão em grupo global. Então você deve criar um grupo domain local, chamado “Docs” por exemplo, dar as devidas permissões a este grupo e associar os grupo global financeiro a este.
Domain Local Groups podem conter grupos globais, grupos universais e usuários de qualquer domínio de sua floresta. Um Domain Local Group também pode conter outros grupos deste mesmo escopo de seu próprio domínio.
Global Groups
Os Global Groups (Grupos Globais) são utilizados para agrupar usuários que possuam uma afinidade, por exemplo, o país ou estado onde vivem / trabalham, o departamento em que trabalham, cargo ou função que exercem. O Departamento de Marketing de sua empresa, por exemplo, concentra uma gama de profissionais que em geral, necessitam acesso aos mesmos recursos, mesmas impressoras, mesmas pastas compartilhadas no servidor. Para facilitar a administração destes usuários, é interessante que todos eles façam parte de um mesmo grupo.
Global Groups podem conter usuários, outros grupos globais (dependendo do nível de funcionalidade do domínio) e fazer parte de Domain Local Groups em seu próprio domínio.
Universal Groups (Grupos Universais)
Um grupo Universal é um grupo de distribuição ou segurança que pode ser utilizado em qualquer lugar da árvore de domínios ou da floresta. Grupos deste escopo podem conter membros de qualquer domínio de sua floresta. Também podem ser membros de um grupo Universal, outros grupos universais, grupos globais e contas de usuário de qualquer domínio. Grupos Universais podem ser membros de qual Domain Local Group, mas não podem ser membros de grupos globais.
A utilização de grupos universais agrega um melhor desempenho no acesso aos recursos de seus servidores, pois somente são registrados no Global Catalog Server informações a respeito do grupos globais que nele estão contidos e não todos os usuários envolvidos.
A possibilidade de se utilizar grupos universais tem dependência do Funcitional Level de sua floresta.
Group Nesting
O conceito de Group Nesting, consiste de se incluir grupos dentro de outros grupos para se diminur a quantidade membros existentes ao se conceder uma permissão. Essa medida pode mehorar o processo administrativo e otimizar o desempenho geral de sua rede.Vamos trabalhar com um exemplo para facilitar a compreensão desse conceito. Suponha que sua empresa tenha 5 filiais (Santiago, Buenos Aires, Caracas, La Paz, Belo Horizonte) e a matrz (Rio de Janeiro). Sua implementação conta com uma única floresta e 6 domínios
Cada uma de suas filiais tem um departamento de contas à pagar e um de contas à receber. Todos os funcionários desses departamentos acessam algumas pastas que estão compartilhadas em servidores locais. Foram criados grupos globais para reunir usuários de cada departamento.
Na matriz existe uma pasta compartilhada que deve ser acessada por todos os usuários da divisão financeira, que é constituída por usuários dos departamentos de contas à pagar e a receber de todas as filiais e da matriz.
Se você criar um grupo Domain Local e conceder as devidas permissões a esse grupo, e incluir todos os grupos globais de cada domínio nesse grupo, o grupo terá 10 membros.
Para minimizar a quantidade de membros do grupo Domain Local, podemos utilizar o conceito de Group Nesting. Podemos criar, por exemplo, um grupo chamado financeiro em cada domínio e acrescentar os grupos dos departamentos de contas à pagar e contas a receber neste. Se incluirmos apenas os grupos financeiro de cada um dos domínios no grupo domain local ao qual o recurso no servidor da matriz está associado, então reduziremos a quantidade de grupos membros para 5.
Podemos melhorar dimiuir ainda mais a quantidade de membros do grupo domain local. Podemos, por exemplo, no Domínio Raiz (riodejaneiro.novateceditora.local) criar um grupo universal chamado divisão financeira e então acrescentar os grupos chamados financeiro (que incluem os usuários dos departamento de contas à pagar e receber de cada domínio) e incluir apenas esse grupo na lista de membros do grupo domain local que está associado ao recurso no servidor da matriz.
Gerenciando e mantendo o acesso a recursos
Em um ambiente de rede com o Windows Server 2003, a correta configuração e manutenção de acesso a recursos como pastas compartilhadas e impressoras é um dos
pontos fundamentais. Isto se reflete de maneira bastante sensível no exame 70-290. Estudaremos os seguintes tópicos neste capítulo:
Configurando permissões de acesso no sistema de arquivos; Configurando o acesso a pastas compartilhadas; Combinando permissões NTFS e de pastas compartilhadas.
Configurando permissões de acesso no sistema de arquivos
Ao configurar permissões no sistema de arquivos, você estará determinando a que pastas e arquivos um usuário ou grupo terá acesso, mesmo que esteja logado diretamente no servidor. A implementaçao de permissões no sistema de arquivos somente é possível se a particacao ou volume nos quais os arquivos estiverem armazenados estiver formatada com o sistema de arquivos NTFS.
Configurando permissões NTFS
O Windows Server 2003, traz um conjunto padrão de permissões que são uma combinação de tipos específicos de acesso a arquivos e pastas.
As permissões padrão são as seguintes:
Permissão Descrição
Full Control Permite ao usuário controle total sobre a pasta, arquivos e sub-pastas.
Modify Modificar arquivos existentes e criar novos arquivos.
Read & Execute Ler arquivos existentes e executar aplicações.
List Folder Contents Listar o conteúdo da pasta.
Read Ler arquivos existentes na pasta.
Write Criar, excluir e alterar arquivos existentes.
Verificando as permissões efetivas de um usuário
A permissão efetiva de um usuário, se dará pela combinação das permissões indivíduais configuradas para o usuário e as permissões concedidas a grupos dos quais este usuário seja um membro. Por exemplo, supondo que uma pasta residente em um volume NTFS tenha as seguintes permissões configuradas:
Grupo Permissão
Grupo Administrators Allow/Full ControlGrupo Users Allow/Read
Grupo Gerentes Allow/Write
Por padrão todos os usuários são membros do grupo Users, isto significa que neste caso, todos os usuários poderiam ler as informações contidas na pasta. Se um usuário é gerente e participa do grupo Gerentes, então, ele passará a ter também as permissões concedidas a este grupo. Em nosso exemplo, o grupo Gerentes tem permissão para escrever nesta pasta, o que indica que um usuário comum que participa do grupo Gerentes, terá permissão para acessar esta pasta para leitura e escrita. A permissão efetiva do usuário é a soma das permissões dos grupos aos quais ele pertence.
Se neste mesmo exemplo, tivessemos ainda um outra permissão especìfica para um usuário, esta permissão seria somada as permissões existentes aos grupos aos quais ele pertence. Supondo que tenhamos a seguinte permissão agregado ao quadro anterior:
Usuário Permissão
Administrator Allow/Read
Por padrão, o usuário Administrator, pertence ao Grupo Administrators e por tanto, já tinha controle total sobre a pasta, a soma da permissão de leitura, neste caso, não modifica a permissão configurada anteriormente.Supondo agora, que queremos que somente umas das gerentes chamada Pedro Alvarez Cabral (PCabral), tenha necessidade de modificar os arquivos contidos na pasta, poderiamos agregar a seguinte permissão:
Usuário Permissão
PCabral Allow/Modify
Neste caso teriamos que somar as permissões dos grupos Users e Gerentes, dos quais o usuário em questão é membro, com as permissões delegadas específicamente para o usuário. O usuário Pedro Alvarez Cabral (pcabral), teria permissões de Read, Write e também de Modify.
É possível também, negar explicitamente o acesso a determinada pasta ou arquivo. Vamos utilizar como exemplo, uma situação onde temos um gerente chamado Alberto Santos Dumont (ADumont), ao qual não queremos conceder qualquer tipo de acesso a pasta em questão. Poderiamos implementar a seguinte permissão NTFS:
Usuário Permissão
ADumont Allow/Modify
A implementação de um permissão com Deny vai garantir que este usuário não acesse os arquivos desta pasta, já que o Deny, se sobrepõe a qualquer outra permissão configurada no arquivo ou pasta. Detalhando a soma que se faria neste caso, o usuário ADumont, teria permissão de Read, por petencer ao grupo Users, que seria somada as permissões concedidas ao grupo Gerentes ao qual este usuário também pertence, e que neste caso são permissões de Write. Como o usuário tem uma negativa explicita em qualquer uma permissões que possam ser configuradas na pasta, o usuário terá o seu acesso negado a pasta.
A herança de permissões minimiza o número de vezes que você precisa configurar as mesmas. Ao conceder permissões para uma determinada pasta, por padrão as sub-pastas recebem as mesmas permissões. Por exemplo, vamos supor que você crie uma pasta na raiz do seu disco rígido: c:\herança. Esta pasta herdará as permissões configuradas para a raiz do seu disco. Por padrão Everyone\Full-Controll. Continuando em nosso exemplo, você modifica as permissões para a pasta herança, colocando uma permissão Administrators\Full-Controll. Ao criar uma sub-pasta chamada, por exemplo, c:\herança\nova herança, esta pasta receberá as permissões herdadas do objeto que está
imediatamente acima dela na hierarquia de pastas. Portanto terá tanto as permissões para Everyone quanto para o grupo administrators.
Para quebrar a herança de uma determinada pasta ou arquivo, você deverá desmarcar a opção que permite a herança do objeto pai, na aba Security das propriedades do objeto.
Figura 4.1 – Check box configurando herança de permissões
Ao desmarcar esta opção você receberá uma mensagem perguntando se você quer simplesmente remover as permissões herdadas do objeto-pai, ou se quer copiar estas permissões.
Figura 4.2 – Confirmação da exclusão da configuração de herança
Caso as permissões sejam removidas, serão mantidas somente as permissões configuradas para o objeto em questão. Se as forem copiadas as mesmas serão mantidas.Copiando e movendo arquivos.
Ao copiar um arquivo armazenado em uma partição NTFS, este herda as permissões de destino. Isto se deve ao fato de estarmos criando um novo arquivo ao realizar a cópia.
Se o arquivo for movido para uma pasta dentro da mesma partição NTFS, as permissões são mantidas. Quando movemos um arquivo para outra partição, o processo realizado é copiar o arquivo e depois excluí-lo, por este motivo, as permissões serão retidas.
Configurando o acesso a pastas compartilhadas
Pastas compartilhadas permitem que usuários da rede tenham acesso a recursos de arquivos em seu servidor com o Windows Server 2003. Quando uma pasta é compartilhada, os usuários podem se conectar a estas e obter acesso aos arquivos que lá estão contidos, desde de que tenham as devidas permissões.Pastas podem ser compartilhadas tanto a partir do Windows Explorer quanto da ferramenta Computer Management.
Acessando uma pasta compartilhada
Para ter acesso acesso a uma pasta compartilhada, um usuario deverá descriminar a sua localização por meio de um caminho UNC (Universal Naming Convention). Um caminho UNC é composto do nome do servidor, mais o nome do compartilhamento. O usuário poderá, por exemplo, utilizar o a seguinte sintaxe no menu Run:
\\servidor\compartilhamento
Onde a palavra deve servidor deverá ser substiuída pelo nome do servidor no qual a pasta foi compartilhada e o nome do compartilhamento deverá ser inserido no lugar da palavra compartilhamento. Se por exemplo, um usuário deseja acessar uma pasta compartilhada que se chama controladoria que se encontra em um servidor chamado SERVER01, deveria digitar o seguinte comando no menu Run:
\\server01\controladoria
É possível ainda verificar quais são as pastas compartilhadas em um servidor, ou outro computador qualquer da rede, incluindo na sintaxe do comando, somente a parte relativa ao servidor. Executando esse comando no menu Run, uma janela deverà se abrir listando todos os compartilhamentos disponìveis naquele servidor.
Para facilitar a vida dos usuários, é provável que um administrador de um servidor com o Windows Server 2003, faça mapeamentos de letras de unidade dos computadores cliente aos compartilhamentos mais utilizados pelos usuários no servidor. Podemos por exemplo, designar que a pasta compartilhada Users, que contém os documentos pessoais de cada um dos usuários, seja mapeada para a letra de unidade U:. Desta forma, o usuàrio poderá ter acesso as suas informações pessoais ao acessar esta letra de unidade, como se estivesse acessando uma unidade local em seu computador. É possível ainda mapear compartilhamentos a letras de unidade dos computadores locais por linha de comando. Isto se torna especialmente importante, quando desejamos automatizar este processo por meio de scripts de logon por exemplo. Caso eu queira mapear a unidade U: a pasta users, que se encontra compartilhada no servidor SERVER01, por exemplo, poderia acrescentar a seguinte linha de comando a meu logon script:
Net use u: \\server01\users
Compartilhamentos especiais
Quando instalado, o Windows Server 2003 cria compartilhamentos especiais, que são utilizados para propósitos administrativos. Por padrão, são criados compartilhamentos para cada um dos volumes do servidor. Estes compartilhamentos tem a letra da unidade, seguido do simbolo $. Um administrador, pode, por exemplo, necessitar acesso ao disco C de seu servidor desde sua estação na rede para copiar um arquivo. Ele poderia realizar este procedimento utilizando o seguinte caminho UNC:
\\server01\c$
Além dos volumes, a pasta onde o Windows foi instalado também é compartilhada com o nome admin$. Este share é bastante útil, já que não obriga o administrador a saber exatamente em que volume o Windows Server 2003 foi instalado.
O compartilhamento dos volumes e da pasta onde o Windows foi instalado para a rede pode parecer pouco seguro, porém, por terem o simbolo $ ao final do nome do compartilhamento, estas pastas não estaram visíveis quando um usuário estiverem navegando na rede e estiver verificando os recursos do servidor. Além disso, mesmo que o usuário saiba que servidores Windows compartilham estas pastas especiais, somente administradores tem acesso a estas pastas. Ainda assim, é possível desabilitar estes compartilhamentos. Este procedimento deverá ser realizado por meio de diretivas de segurança. Se você desabilitar o compartilhamento pelo Computer Manager, os shares apareceram novamente assim que o serviço Server for reiniciado, por exemplo, no próximo boot do servidor. Também não é possível alterar as permissões para estes compartilhamentos.
Você pode ainda criar compartilhamentos “escondidos” em seus servidores. Se tratam de compartilhamentos comuns, que levam o simbolo $ ao final de seu nome. Os usuários não serão capazes de visualizar estes recursos no ambiente de rede, porém, caso saibam que o recurso está compartilhado e tenham as devidas permissões, vão conseguir acessa-lo normalmente.
Gerenciando as permissões de pastas compartilhadas
A quantidade de permissões disponíveis para pastas compartilhadas é bastante inferior a de permissões NTFS. As permissões de pasta compartilhada em um servidor Windows Server 2003 são:
Full control Change Read
O acesso ao conteùdo de pastas compartilhadas vai variar de acordo com a combinação destas permissões com as permissões NTFS.
Combinando permissões NTFS e de pasta compartilhada
Para liberar o acesso do usuário a uma pasta ou arquivo na rede, o Windows vai verificar a combinação das permissões existentes no compartilhamento e das permissões NTFS que se aplicam. Sempre a permissão mais restritiva será utilizada para garantir ou não o acesso a um arquivo ou pasta. Por exemplo, se uma pasta que reside em um volume NTFS é compartilhada com a permissão Read para o grupo users e dentro desta pasta existe um arquivo, cujas permissões NTFS são Write e Read para este mesmo grupo. Quando um usuário pertencente ao grupo users tentar acessar esta pasta localmente, ou seja, logado diretamente no servidor Windows Server 2003, somente se aplicaram as permissões NTFS. Neste caso, a soma das duas permissões existentes (Read e Write). Se o usuário tentar acessar esta mesma pasta pela rede, se aplicará a permissão mais restritiva entre as permissões do compartilhamento e as permissões NTFS. Neste exemplo, a permissão mais restritiva é Read, o que fará com que o usuário somente possa ler o arquivo especìficado.
Podem existir situações onde o usuário pertença a mais de um grupo com diferentes permissões NTFS e de Share. Vamos analisar um exemplo: um gerente de vendas de
sua empresa deseja acessar um arquivo que está em uma pasta compartilhado no servidor. Temos as seguintes permissões configuradas:
Grupo Permissão compartilhamento Permissão NTFS
Vendas Read Full Control
Gerentes Modify Full Control
Por ser um gerente de vendas, este funcionário pertence ao grupo Vendas e ao Grupo de Gerentes. Se levassemos em conta somente o grupo Vendas, e se o usuàrio estivesse se conectando diretamente ao servidor onde somente se aplicam permissões NTFS, ele teria acesso completo as pasta em questão, porém, como está acessando o arquivo pela rede e no compartilhamento sua permissão é apenas de leitura, a permissão mais restritiva a ser aplicada seria Read. Considerando apenas o grupo Gerentes, temos a mesma situação para um logon local no servidor, ou seja, a permissão NTFS de Full Control vai permitir ao usuário controle total sobre a pasta. Ao se conectar pela, a permissão Modify, mais restririva irá se aplicar. Comparando as permissões mais restritivas resultante no acesso individual de cada grupo (Grupo vendas - Read, Grupo Gerentes Modify) e seguindo o mesmo conceito se aplicaria a permissão de leitura, já que esta é a mais restritiva de todas.
Na prática, você somente deverá se preocupar com permissões de compartilhamento, se estiver compartilhando pastas que estejam em um volume FAT, já que não existirá outro tipo de controle possível. Administrativamente, é muito mais simples controlar o acesso a pastas compartilhando levando em consideração somente as permissões NTFS. Para alcançar isso, basta que se mantenham as permissões da pasta compartilhada para o grupo Everyone, com permissão de controle total. Como a permissão mais restritiva é a que vai se aplicar ao final do processo, você poderá definir as restrições de acesso via permissões NTFS.
Implementando o terminal services
No exame 70-290, você irá se deparar com muitas questões relacionadas a implementação do Terminal Services no Microsoft Windows Server 2003. Vamos estudar as seguintes funcionalidades:
Introdução ao Terminal Services; Licenciamento do Terminal Services;
Gerenciamento de conexões ao servidor;
Instalação de programas;
Remote Administration.
Introdução ao Terminal Services
Em uma implementação de Windows Server 2003 o Role de Terminal Services tem como principal função, criar um único ponto de instalação de aplicações, permitindo o acesso de múltiplos usuários. Administradores podem ser aproveitar das funcionalidades
do serviço para administrar de maneira remota seus servidores. Por meio do Terminal Services, um cliente poderá se conectar a um servidor Windows 2003 e ter acesso a interface deste, mesmo que esteja se conectando por meio de um sistema operacional mais antigo. O cliente poderá executar, como se estivesse trabalhando localmente; aplicações que sejam compatíveis.Este processo é possível devido a utilização do protocolo RDP (Remote Desktop Protocol) que para o Windows Server 2003 está em sua versão 5.2. Este protocolo, captura as requisições do cliente e as envia ao servidor. Depois, identifica a resposta do servidor e atualiza a tela do cliente, como se fossem diferentes imagens da tela do servidor que são constantemente atualizadas no cliente.
Licenciamento do Terminal Services
Para permitir conexões de usuários ao seu servidor de Terminal Services, será necessário instalar um pacote de licenças para seu ambiente. Este licenciamento poderá ser feito por dispositivo ou por usuário, de acordo com as suas necessidades.
O componente que controla o licenciamento é o Terminal Services Licensing. O processo de instalação deste componente é feita a parte do processo de instalação do TS. Caso um TS Licensing não esteja disponível, os computadores cliente se conectando ao servidor, irão obter um licença temporária, que funcionará durante 90 dias. Após este período, o servidor não poderá atender mais a solicitações de conexão.
Gerenciando conexões a seu servidor TS
Ao instalar o serviço de Terminal, somente usuários que façam parte do grupo de Adminstradores locais e um chamado Remote Desktop Users poderam se conectar ao seu servidor de Terminal. Você poderá alterar essa configuração para que as permissões de acesso se ajustem as suas necessidades.
A definição de quem poderá se conectar ao servidor via TS poderá ser realizada via Group Policies, com a opção “Allow logon to Terminal Services”. A ferramenta Terminal Services Configuration, lhe permite granularizar o nível de acesso requerido por cada grupo de usuários que irá estabelecer a conexão. Você poderá “Ligar e desligar” o acesso a seu servidor por meio da aba Remote, das propriedades do item My Computer, conforme ilustração a seguir:
5.1 – Propriedades do meu computador relacionadas a configuração de TS
No Terminal Services configuration, você deverá acessar o item Connections, depois acessar as propriedades da conexão RDP, e a aba Permissions. As permissões padrão que podem ser concedidas a um usuários ou grupo são:
Full Control; User Access;
Guest Access;
Special Permissions
5.2 – Aba permissions da configuração do RDP
O nível Special Permissions, lhe permite granularizar ainda mais o nível de acesso aos recursos do servidor TS, permitindo que você controle, por exemplo, se será possível fazer controle remoto de uma conexão.
A um outro Snap-in utilizado no processo de gerenciamento do TS, que é conhecido como Terminal Services Manager. Esta ferramenta lhe permite identificar quais conexões seu servidor está atendendo atualmente e ainda realizar tarefas administrativas sobre estas conexões, como por exemplo, desconecta-las ou fazer acesso a sessão de um usuário para fins de suporte.
5.3 – Terminal Services Manager
Instalando programas no Terminal Services
Por meio do TS, usuário poderam executar as aplicações que necessitem desde uma localização Remota. Isto facilita, por exemplo, a distribuição de aplicações dentro de uma corporação. Ao invés de instalar a aplicação em cada uma das estações de trabalho, é possível simplesmente instalar a aplicação no servidor e configurar o acesso do cliente ao servidor TS.
Para instalar uma aplicação que será executada em um servidor TS, você poderá escolher um dos seguintes métodos:
• Instalação via Add/Remove Programs: Você não conseguirá fazer a instalação de uma aplicação somente clicando no executável de instalação. Você deverá utilizar o Add/Remove Programs, sempre que possível.• Change User: Este comando será utlizado sempre que você for realizar a instalação de um componente que não tenha disponibilidade pelo Add/Remove Programs. Por exemplo, situações onde você tenha que fazer instalações On Demand, como a instalação de um componente do Internet Explorer. O comando Change User, faz a troca entre o modo de usuário para instalação ou para execução de programas. Para modo de usuário de instalação a sintáxe é:change user /install. Para modo de usuário de execução a sintáxe que se deve utilizar é: change user /execute
• Group Policy: Todo software associado ao usuário em uma GPO, estará disponível no processo de logon em um servidor de TS, seja esta aplicação publicada ou assinalada para este usuário. Você poderá criar diretivas que contemplem a instalação dos softwares necessários em seu servidor TS.Algumas aplicações podem requerer um script de compatibilidade para poderem funcionar corretamente. Estes scripts ficam armazenados na pasta systemroot\Application Compatibility Scripts\Install do servidor TS.SegurançaO Terminal Services opera em 2 diferentes modos de segurança, que estão diretamente ligados ao processo de instalação e execução de aplicações:• Full Security: Este modo provê o ambiente mais seguro para usuários que estejam se conectando ao servidor TS. Para poderem ser executadas neste modo, as aplicações devem ser escritas para executarem no contexto de um usuário comum, ou seja, se a aplicação necessitar de qualquer “poder” administrativo para ser executada corretamente, não irá funcionar de acordo ao esperado. Este é o modo de segurança padrão.• Relaxed Security: Este modo está disponível para manter compatibilidade com aplicações onde os usuários que as estão executando tem necessidade de alterar chaves de registry e confgurações do sistema.
Caso o seu servidor TS tenha sido atualizado a partir de uma versão anterior, você o estará executando em modo Relaxed. Como recomendação, você testar as suas aplicações em modo Full Security e caso esta aplicação não funcione de acordo, talvez você deverá modificar o modo para Relaxed. Para alterar a configuração do modo de segurança, você deverá realizar o seguinte procedimento:
1. No menu Administrative Tools, selecione Terminal Services Configuration;2. Expanda Server Settings;
3. Clique duas vezes sobre a opção Permission Compatibility e selecione entre as opções disponíveis (Relaxed ou Full Security)
Remote Administration
A utilização dos serviços de Terminal para administração remota é realizado por meio do Remote Desktop for Remote Administration. Por meio desta caracteristica do sistema operacional, você, enquanto administrador do sistema, poderá se conectar e gerenciar de maneira remota seu servidor. O Remote Desktop for Remote Administration é apresentado no sistema operacional como um console do Microsoft Management Console (MMC). Este console também está disponível para administradores que se utilizem do Microsoft Windows XP para tarefas de administração de sua rede.
Entra figura5.5 – Console de administração do Terminal Services
Solucionando problemas de conexão ao Terminal Services
Claro que conhecer o funcionamento do TS é importante, porém, certamente este é o tópico mais cobrado pelos examinadores no exame 70-290 em relação a configuração de um servidor TS.
No exame, basicamente, você irá se deparar com contas de usuário que não podem se conectar ao servidor TS. Verifique as propriedades da conta que são mostradas na tela na prova e identifique a que grupos o usuário pertence e se tem as devidas permissões para estabelecer conexão. Verifique também se a quantidade de conexões disponíveis foi ou não atingida e se há algum problema de conectividade com o servidor.
5.4 - Remote Desktops
Monitorando e otimizando o ambiente
Como administrador de um servidor Windows Server 2003, uma de suas principais tarefas, é monitorar a carga de trabalho gerada. Este procedimento permite que seu sistema permaneça sempre com o melhor desempenho possível. No exame 70-290, o candidato deverá estar preparado para responder a diversas questões sobre estes tópicos:
Monitorar e otimizar a utilização de recursos do sistema; Monitorando eventos do sistema.
Monitorar e otimizar a utilização de recursos do sistema
Para monitorar e o otimzar a utilização de recursos do sistema, podemos utilizar ferramentas como o Task Manager e o System Monitor.
Utilizando o Task Manager
O Windows task Manager é um aplicativo do Microsoft Windows Server 2003 que permite que se tenha uma noção das condições de desempenho do computador, além de identificar cada um dos processos e aplicativos que estão sendo executados atualmente.
Applications
A aba Aplications do Task Manager, mostra todos os aplicativos que estão sendo executados atualmente no computador executando o Windows Server 2003. Caso um desses aplicativos apresentem problemas e estiverem com um status indicando falha (Not Responding), é possível utilizar o botão End Task para encerrar o aplicativo sem afetar outros processos.
Figura 6.1 – Aba Applications do Task Manager
Processes
Além dos aplicativos que estamos utilizando e interagindo, como por exemplo, um editor de textos, existem processos que são executados em background, como serviços, e apesar de não estarmos visualizando uma interface de gerenciamento, ou algo que o valha, os mesmos estão lá, atendendo a solicitações realizadas por clientes ou processos específicos do sistema operacional.
Figura 6.2 – Aba Processes do Task Manager
Podemos alterar a prioridade que um processo irá ter em nossa configuração, basta clicar com o botão direito sobre o processo em questão, e então selecionar a opção Set Priority. Os níveis de prioridade disponíveis são os seguintes:
• Real Time;• High;• Above Normal;• Normal;• BelowNormal;• Low.
Alterar as prioridades de um processo que está sendo executado em seu servidor Windows Server 2003 poderá fazer com que o mesmo seja executado mais rapidamente ou mais lentamente. Se você der uma prioridade muito alta a um determinado processo, este poderá travar todos os outros processos que estão sendo executados.
Performance
Essa área do Task Manager permite uma visualização geral do desempenho do computador que executa o Windows Server 2003. A partir dessa tela, podemos identificar detalhes da utilização de memória e processador. Esta certamente não é a melhor ferramenta para se medir o desempenho de seu computador. Para esta tarefa, podemos utilizar o Performance Console, que será abordado mais tarde.
Figura 6.3 – Aba Performance do Task Manager
Networking
Podemos obter o percentual de utilização das conexões de rede do computador por meio dessa aba. Essa medição é interessante quando há a necessidade de solucionar problemas de desempenho no acesso a recursos de rede.
Figura 6.4 – Aba Networking do Task Manager
Utilizando o System Monitor
Outra ferramenta que pode ser utilizada para a otimização de performance é o System Monitor. Esta ferramenta permitirá que se obtenha informações a respeito dos processadores, discos, memória e atividade de rede de seu computador e outros computadores da rede. Você poderá verificar os dados apresentados em tempo real, ou analisar informações previamente coletadas.
As informações do System Monitor, poderão ser visualizadas em modo gráfico, em modo de histograma, ou em modo de relatório. Você pode exportar estes dados para o padrão HTML e visualizar estas informações a partir de um browser, como por exemplo, o Microsoft Internet Explorer.
Figura 6.5 - System Monitor em modo gráfico
O processo de monitoramento de seu sistema com o System Monitor, é realizado por meio da utilização de 3 componentes básicos: Objects, Instances e Counters.• Objects (Objetos): Os objetos, no System Monitor, representam os Subsistemas que compõe o seu sistema. Por exemplo, para mensurar qualquer característica do processador de seu computador, você deverá utilizar o Objeto Processor. • Instances (Instâncias): Quando o objeto a ser medido possui mais de uma unidade, você poderá selecionar qual a instância do mesmo deverá ser medida. Por exemplo, suponha que você possua 2 discos rígidos instalados em seu computador e queira realizar medições apenas no primeiro. Neste caso, você deverá selecionar somente a instância correspondente a este disco.• Counters (Contadores): Cada objeto tem contadores específicos, que vão permitir a medição de características de seu sistema. Por exemplo, o objeto que referência a memória RAM de seu computador, tem contadores que permitem examinar, a quantidade de memória utilizada, outro para a memória em paginação, e outro para a memória disponível.Para adicionar os contadores que devem ser medidos em seu servidor, proceda da seguinte maneira:• Clique em Start, vá até Programs, selecione Administrative Tools, e então acesse o programa Performance. Um gráfico em branco do System Monitor aparecerá.• Clique com o botão direito na página de detalhes do System Monitor, e então selecione a opção Add Counters.• Selecione o objeto que deseja realizar a medição.• Selecione os contadores disponíveis para este objeto.• Clique em Add.• Clique em OK para fechar esta janela.Depois de adicionar os contadores, você poderá observar as informações coletadas para analisar as mesmas. Você pode observar as informações em tempo real de 3 maneiras
diferentes:• Histogram (Histograma): Este método de visualização mostra as informações em barras de gráfico. O histograma, facilita a visualização de medições com múltiplos contadores.• Report (Relatório): Os dados numéricos dos contadores são mostrados em colunas. Esta visualização é muito útil para coletar dados a serem exportados para uma planilha eletrônica do Microsoft Excel, por exemplo.• Chart (Gráfico): O modo de visualização em gráfico, permite uma visualização de dados em tempo real, ou dados que foram coletados durante um determinado período.Você pode ainda personalizar a exibição dos dados coletados. Clique com o botão direito no painel de detalhes do System Monitor e acesse suas propriedades.Identificando gargalos de memóriaPouca memória pode causar a diminuição do desempenho dos aplicativos que estiverem rodando no servidor. Os seguintes contadores podem ser utilizados para análise da carga de utilização de memória sofrida pelo seu servidor:• Pages/sec (páginas por segundo): Quando algum aplicativo solicita memória ao sistema operacional, esta será concedida, mesmo que não exista mais memória física disponível. Para isto, o sistema operacional escreve os dados em disco, ou seja, faz a paginação. Quando houver uma grande quantidade de paginação, os seus discos podem ser afetados, tornando o sistema mais lento. O contador Pages/Sec, mede a quantidade de páginas de memória que foram escritas em disco, por segundo.• Available Bytes (Bytes Disponíveis): Este contador indica a quantidade de memória física disponível em seu sistema. Quanto mais alta a sua medição, melhor.
Em relação à memória, também devem ser levados em conta o(s) arquivo(s) de paginação. O arquivo de paginação (pagefile.sys), por padrão, reside na raiz da partição onde o sistema operacional reside. Neste arquivo são gravadas as informações de paginação de memória. É recomendável que este arquivo tenha um tamanho de pelo menos 1,5 vezes o tamanho de sua memória física. Portanto, se você tiver utilizando 256 MB RAM em seu servidor, deverá ter um arquivo de paginação de pelo menos 384 MB.
Para alterar as configurações do seu arquivo de paginação você deverá acessar a aba Advanced, das propriedades de sistema que pode ser alcançado através do ícone System, no Control Panel. Selecione a opção Performance Options e então o botão Change para poder alterar o tamanho do arquivo de paginação.
Para obter um melhor desempenho, você deve distribuir o seu arquivo de paginação através de discos, preferencialmente que não contenham o sistema operacional instalado, já que este fato faria com que os dois concorram por acesso a disco reduzindo assim o desempenho de maneira geral.
Entra figuraFigura 6.6 – Tela de configuração do arquivo de paginação
Utilizando o Performance Logs and Alerts
O Windows Server pode executar determinada ação baseando nas condições de desempenho do sistema. Você pode desejar, por exemplo, que o sistema envie uma
mensagem de rede (NET SEND), caso a quantidade de espaço em disco esteja abaixo de 10%. Podemos também, fazer com que o sistema seja monitorado durante determinado intervalo de tempo, sem que seja necessário a interatividade de um usuário. Ambas funções são realizadas pelo Performance Logs and Alerts. Essa ferramenta também resido no menu Performance (Performance Console. no menu Administrative Tools.
Entra figuraFigura 6.7 – Performance Logs and Alerts
Configurando logs de desempenho
Para configurar logs de desempenho, você deverá proceder da seguinte maneira:
• No Performance Console, selecione Performance Logs and Alerts;• Clique com o botão direito sobre a opção Counter Logs e selecione a opção New Counter Logs;• Na tela New Log Settings, crie um nome para sua configuração de log e clique em OK. A tela de configuração dos logs será apresentada;• Na aba General, adicione os contadores que deseja medir. Configure nessa tela também, qual o intervalo que deseja que o sistema colete informações de desempenho;• Você poderá configurar o tipo de arquivo de log que deseja que seja gerado. As opções vão desde um arquivo texto até um banco de dados do SQL Server. A opção-padrão é Binary Files (Arquios Binários). A escolha que você fizer determinará o quanto de espaço em disco será utilizado para os seus logs. Para nosso exemplo, vamos manter a opção-padrão (Binary Files);
• Clique no botão configure para identificar a localização dos arquivos. A pasta-padrão para armazenamento é “c:\perflogs”. Caso essa pasta não exista em seu sistema, esta será criada. Selecione também o nome do arquivo de log. Você poderá limitar o tamanho do arquivo. Isto impedirá que o arquivo de log encha o seu disco rígido. Esse procedimento deverá ser realizado na aba Log Files;• Na aba Schedule, configure quando você deseja que o log seja iniciado e concluído.
Entra figuraFigura 6.8 – Aba General da criação de um log
Entra figuraFigura 6.9 – Aba Log Files da criação de um logEntra figuraFigura 6.10 – Opções de configuração do arquivo de log (botão configure)
Entra figuraFigura 6.11 – Aba Log Schedule da criação de um log
Para criar um alerta, o procedimento é similar:• No Perfomance Logs And Alerts, clique com o botão direito sobre Alerts e então selecione a opção New Alert Settings;• Na janela New Alert Settings, selecione um nome para seu alerta;
• Na aba General, você deverá selecionar os contadores que deseja monitorar e configurar qual é o intervalo de valores que devem disparar o alerta. Por exemplo, se você deseja disparar um alerta caso o espaço em disco fique abaixo de 10%, selecione o objeto de desempenho LogicalDisk, o contador %Free Space. Configure a opção “Alert when the value is” para Under e coloque o valor de 10%. Configure o intervalo de tempo entre as amostras de desempenho.• Na aba Action, configure o que o alerta deverá fazer caso seja disparado. Você pode fazer com que o alerta envie uma mensagem de rede, inicie uma medição de desempenho por meio dos logs ou execute um programa.• Configure na aba Schedule, quando o sistema deve iniciar e parar a coleta de dados para este alerta.
Entra figuraFigura 6.12 – Aba General da criação de um alerta
Entra figuraFigura 6.13 – Aba Action da criação de um alerta
Entra figuraFigura 6.14 – Aba Schedule da criação de um Alerta
Alterando a inicialização de aplicações para otimizar o desempenho
Alterar as propriedades de inicialização de uma aplicação, pode ser benéfico no gerenciamento do desempenho de um servidor. Se uma aplicação tem uma prioridade muito alta, o desempenho geral do servidor pode ser afetado, impedindo que outras aplicações funcionem corretamente.
O comando Start pode ser utilizado em um arquivo de lote (.bat ou .cmd) para alterar a inicialização no momento da execução.
A sintaxe para a utilização do comando Start é a seguinte:
Start /[opções]
As opções disponíveis são as seguintes:
• Low: Inicia uma aplicação no modo de prioridade IDLE, ou seja, o processador irá dar prioridade para esta aplicação, somente quando não estiver sendo utilizado com outros processos.• BelowNormal: Prioridade intermediária entre IDLE e Normal.• Normal: Inicia uma aplicação no modo de prioridade Normal. Quando a aplicação tiver necessidade irá solicitar recursos ao computador.• AboveNormal: Prioridade intermediária entre Normal e High.• High: Inicia uma aplicação com alta prioridade. Esta configuração irá forçar o computador a disponibilizar recursos para a aplicação.
Aplicações de 16-Bit, são executadas no mesmo espaço de memória. Caso uma das aplicações venha a falhar, as demais também não funcionaram corretamente.Para iniciar uma aplicação de 16-Bit em um espaço de memória separado, para solucionar problemas, podemos também utilizar o comando Start com as seguintes opções:
• Sepaterated: Inicia uma aplicação 16-Bit em um espaço de memória separado.• Shared: Inicia uma aplicação 16-Bit em um espaço de memória compartilhado.
Podemos também utilizar a opção Run on a Separeted Memory Space, no menu Run, do menu iniciar.
Interpretando dados de desempenho
Durante o exame você serão apresentados contadores e valores e você deverá definir qual é o gargalo do sistema. Os valores podem ser simplesmente descritos, ou podem aparecer a aba Performance do Task Manager e o System Monitor. Para que você possa identificar mais facilmente qual é o problema de desempenho do sistema, procure memorizar esta tabela de valores aceitáveis para os principais contadores:
Processor
Contador Consideração%Processor Time Valores acima de 80% representam um gargalo. Este contador indica o tempo que o processador está ocupado.%User Time Pode ser utilizado em conjunto com o %Processor Time para maior detalhamento. Indica o volumes de requisições de clientes ao processador. Um valor sustentado próximo a 100% pode indicar um gargalo de processador.MemoryContador ConsideraçãoPages/Sec Indica a quantidade de páginas de dados que são escritas em disco devido a falta de memória física. Valores constantemente acima de 20 representam um gargalo.Available Bytes Esse contador e suas variantes (Available Kbytes e Available MBytes), mostra a quantidade de memória disponível no sistema, por tanto, quanto mais alto este contador estiver, melhor. Se em sua medição você tiver valores constantes na casa do 4MB, isso pode representar um gargalo.LogicalDiskContador Consideração%Free Space Quanto menos espaço em disco você tiver, menor será o desempenho geral de seu sistema. Este contador permite que você verifique o percentual de espaço em disco disponível. Isso pode ser feito em cada uma das partições que você tiver.PhysicalDiskContador ConsideraçãoDisk Reads e Disk Writes Esses contadores representam a quantidade leituras e gravações realizadas em disco.Avg. Disk Queue Length Representa a media de solicitações de leitura e gravação que foram colocados em fila para o disco selecionado. Um valor constantemente alto, pode indicar um gargalo.%Disk Time Indica o percentual de tempo que o disco selecionado estava ocupado
atendendo a solicitações.
DicaSempre que você encontrar um valor alto para qualquer um dos contadores de disco, observe o contador Memory – Pages/Sec. O processo de paginação realiza um grande número de leituras e gravações em disco.
Network Interface
Contador ConsideraçãoBytes Total/Sec Representa a taxa de transmissão em Bytes por segundo para a interface de rede selecionada. Um valor alto pode significar que essa estação está executando uma aplicação que faz um grande número de acessos a rede ou está sendo acessada por outros computadores da rede, o que pode ser o gargalo.
Monitorando eventos do sistema
Event Viewer
O Windows Server 2003, armazena informações de status, mensagens de erro e avisos do sistema operacional e aplicações no Event Log. Estas informações podem ser muito úteis na resolução de problemas.
Para ler as informações do Event Log, utilizamos o Event Viewer, uma ferramenta que além de permitir acesso as informações logadas no sistema, tem uma interface bastante simples, que permite a utilização de filtros, facilitando o processo administrativo.
Os logs de eventos armazenados no Event Viewer são divididos em 3 categorias:
• System Logs: Armazena eventos relacionados ao sistema operacional.• Security Logs: Armazena eventos relacionados a auditoria do sistema.• Application Logs: Armazena informações relacionadas a aplicações instaladas no Windows Server 2003. Se implementarmos, por exemplo, o Microsoft SQL Server 2000 em um servidor, os eventos gerados por este aplicativo poderão ser visualizados nesta categoria.
Entra figuraFigura 6.15 – Interface do Event Viewer
Temos 3 tipos de eventos que podem ser apresentados no Event Viewer:
• Information: Este não é um tipo de evento crítico, que requeira qualquer intervenção do administrador. Estes eventos são gerados apenas para que seja possíveis verificar funcionamento adequado de componentes do servidor. Quando o serviço DHCP é
inicializado, por exemplo, o mesmo escreve um evento no event log do Windows com esta informação.• Warning: Este tipo evento representa que um problema ocorreu em um servidor, mas o mesmo não requer uma intervenção imediata do administrador pois nenhum serviço essencial deixou de funcionar corretamente. É importante investigarmos as causas dos Warnings no Event Viewer para evitarmos que problemas maiores ocorram no futuro.• Error: Quando temos uma linha no Event Viewer que com a indicação do tipo Error, temos um problema que requer uma intervenção imediata do administrador. Quando iniciamos um computador executando o Microsoft Windows Server 2003 e recebemos uma mensagem dizendo que pelo menos um serviço não foi inicializado corretamente, podemos recorrer ao Event Viewer e procurar por eventos deste tipo para identificar o que ocorreu.
Cada evento gerado no pelo sistema no Event Log, possui um identificador, o Event ID. Este número pode ser utilizado para pesquisas no Knowledge Base da Microsoft, onde podemos saber o que gerou o erro e como podemos solucionar o problema.
Podemos importar e exportar logs do Event Viewer, isto facilita a apuração de problemas que possam estar ocorrendo em um servidor. Geralmente, quando recorremos ao serviços de suporte da Microsoft (PSS), uma das primeiras solicitações dos engenheiros de sistema da Microsoft é justamente o log de eventos. (para maiores informações sobre os serviços de suporte da Microsoft, acesse http://www.microsoft.com/brasil/suporte).
Os formatos nos quais podemos exportar logs no Event Viewer são os seguintes:
• Event Log Format (.evt): Este formato permite que as informações exportadas sejam visualizadas em um outro computador exatamente da mesma maneira que elas são apresentadas no momento em que são geradas, incluindo o Event ID e descrição do problema. Estes arquivos tem um tamanho maior.• Text File Format (.txt): Quando exportamos para o formato texto, temos um arquivo pequeno e fácil de gerenciar. Este formato é ideal para armazenarmos informações de tendência de utilização de recursos em nosso ambiente, já que as informações do arquivo são resumidas.• Comma Separated Values (.csv): O formato CSV, armazena os eventos do Event Log de maneira que possamos importa-los para um banco de dados. Arquivos neste formato também podem ser visualizados no Microsoft Excel.
Para exportar eventos gerados no Event Log do Windows Server 2003, proceda da seguinte maneira:
• Abra o Event Viewer no menu de ferramentas administrativas do Microsoft Windows Server 2003 Server.• Clique com o botão direito sobre o log que deseja exportar e então selecione a opção Save log as...• Ma caixa de salvar arquivo que é apresentada, selecione a pasta onde deseja armazenar o arquivo, o nome do arquivo e o formato e clique em salvar.Os procedimentos para importar um arquivo de log salvo anteriormente estão descritos a seguir:• Abra o Event Viewer no menu de ferramentas administrativas do Microsoft Windows
Server 2003 Server.• Clique com o botão direito sobre o item Event Viewer (Local) e selecione a opção Open Log File.• Na caixa abrir arquivo que é apresentada, selecione o arquivo que deseja importar e então selecione o tipo de log que será aberto (System, Security ou Application).
Cada log tem na configuração padrão um tamanho máximo de 512k, o que pode não ser suficiente para armazenar eventos durante períodos mais longos. Nas propriedades do log, podemos aumentar este tamanho para que nossas necessidades de armazenamento sejam satisfeitas. Neste mesma tela, podemos configurar qual será o comportamento do Event Log, quando o arquivo de Log chegar ao tamanho máximo configurado.
Entra figuraFigura 6.16 – Propriedades de um Log de Eventos dentro do Event Viewer.
Gerenciando a infraestrutura de atualização de software
Após o lançamento de um produto, a Microsoft continua trabalhando no mesmos para adicionar novas características e corrigir possível falhas que possam comprometer a segurança do ambiente.
Estas atualizações são disponibilizadas de forma gratuita a qualquer usuário. O processo de distribuição destas atualizações dentro de um ambiente com o Windows Server 2003 é uma tarefa que deve ser realizada com muita cautela pelo administrador.
Para entender as possibilidades de distribuição de atualização de software em um ambiente Windows Server 2003, vamos estudar os seguintes tópicos neste capítulo:
Microsoft Windows Update; Software Update Services
Microsoft Windows Update
Se você deseja fazer a implementação das atualizações disponibilizadas pela Microsoft em um único computador, talvez, o Windows Update seja a melhor solução.
O processo é bastante simples. Desde o computador para o qual se deseja aplicar as atualizações, um usuário com permissões de administração se conecta ao site http://windowsupdate.microsoft.com (ou acessa o atalho que está disponível no menu Start). A página irá fazer uma varredura no sistema para identificar quais são as atualizações disponíveis para o sistema operacional que ainda não estão instaladas. Isso inclui Service Packs e outras atualizações críticas Depois deste processo, o sistema indicará quais atualizações estão disponíveis.
Para instalar as atualizações, você deverá selecionar a opção Install Updates. O processo de download e instalação das atualizações irá começar automaticamente.Existem atualizações que deveram ser instaladas em separado, por exemplo, os service pack normalmente são instalados em separado e depois as demais atualizações podem ser realizadas, simplesmente regressando ao site do Windows Update.
As atualização do Windows Update para um computador com o Windows Server 2003 estão dividas em 3 categorias:
Critical updates and Service Packs; Windows Server 2003 Family; Driver Updates
O site permite ainda que você visualize um histórico das instalações realizadas e visite o Windows Update Catalog.
Windows Update Catalog
O Windows Update Catalog permite que você encontre atualizações disponíveis para diversos sistemas operacionais Microsoft. Você poderá baixar as atualizações que tenha necessidade e depois implementa-las em servidores e estações de trabalho, conforme sua disponibilidade.
Software Update Services (SUS)
O Microsoft Update Services permite aos administradores de ambientes com o Windows Server 2003 realizarem a distribuição de atualizações críticas a servidores baseados em Windows Server 2003 ou Windows 2000 e a estações de trabalho que estejam executando o Windows 2000 Professional e o Windows XP Professional.
A implementação do SUS faz com as atualizações disponíveis para os sistemas operacionais disponíveis na empresa sejam armazenados de forma centralizada. Isto otimiza o processo de atualização das estações de trabalho em seu ambiente, já que não é necessário que cada estação de trabalho se conecte ao site do Windows Update e realize downloads dos arquivos necessários.
Instalando o SUS no Windows Server 2003
O primeiro passo na instalação do SUS é o download da versão mais atualizada no site da Microsoft. Você pode ir diretamente a http://www.microsoft.com/sus. A versão mais atual disponível enquanto este manual estava sendo escrito era a SP1 (5.4.3630.2552).
A administração do SUS deve ser feita a partir de uma página Web de administração, por tanto, o IIS é um requerimento no servidor onde o SUS estará instalado.
Os passos para a instalação são os seguintes:
1. Execute o arquivo Sus10sp1.exe (o nome do arquivo pode mudar de acordo com a versão que você estiver instalando);2. Clique Next na tela de boas vindas;3. Leia e aceita o contrato de licença de usuário final e clique em Next;4. Escolha o tipo de instalação. Em nosso caso vamos selecionar a opção Typical;5. Tome nota da URL que é mostrada. Esta URL será utilizada para conexão dos clientes. 6. Clique em Finish.
DicaSe você não selecionar a opção Typical, poderá configurar a maoria das opções disponíveis na área de configuração do SUS.
Configuando o SUS
Para acessar a interface de administração do SUS, você deverá utilizar o seu web browser e se direcionar para a URL http://nomedoservidor/susadm (você deverá substituir o nomedoservidor pelo nome de netbios de seu servidor). Ao clicar em Set Options, você poderá configurar o seguinte:
Select a Proxy Server Configuration: permite que você identifique se seu servidor deverá buscar os updates disponíveis passando ou não por um servidor Proxy. Caso você selecione a opção use a proxy server, você poderá configurar o servidor para utilizar as configurações padrão do Internet Explorer ou especificar o proxy.
Specify the name your clients use to locate this update server: Você poderá alterar o nome para um fqdn caso os clientes não possam acessar o servidor via nome de NetBios.
Select how you want to handle new versions of previously approved updates: Você pode selecionar se deseja aprovar os updates antes de sua instalação ou se estes podem ser instalados de forma automática após seu download.
Select where you want to store updates: Nesta opção você poderá configurar o servidor para armazenar os updates em uma pasta local ou permtir que os computadores cliente façam acesso direto ao Windows Update. Nesta segunda opção, a única vantagem da implementação do SUS é a possibilidade de escolher quais updates podem ser instalados ou não.
Synchronize instalation packages only for this locales: permite escolher quais os idiomas nos quais os arquivos de atualização serão baixados.
Sincronizando o servidor
Depois de configurar o servidor de acordo as suas necessidades, você deverá sincroniza-lo com o servidor do Windows Update. Você poderá fazer uma sincronização manual ou então agendar para que a atualização ocorra um dia e horário específico.
DicaConfigure o servidor para fazer os updates em horários onde a quantidade de usuários conectados a rede seja menor. Desta maneira, você irá otimizar a utilização do tráfego de rede em seu ambiente.
Aprovando updates
O item Aprove Updates irá mostrar uma lista das atualizações que foram baixadas para seu servidor e irá permitir que você as aprove, simplesmente clicando no botão Approve.
Instalando o cliente
O Windows XP e o Windows 2000 Server (a partir do service pack 3) tem um cliente de updates automáticos instalado. Além das caracteristicas existentes neste cliente, o cliente do SUS permite:
Suporte para o download de conteúdo autorizado do servidor SUS; Suporte para agendamento da instalação de conteúdo; Todas as opções de instalação são configuráveis utilizando o Group Policy
Object Editor ou editando o registry. Suporte a instalação de updates em computadores onde o usuário logado
atualmente não é um administrador.
O cliente está disponível para a instalação em um pacote MSI separado, o que permite a aplicação de uma GPO para sua instalação.
Implementando e gerenciando um Servidor Web
O Internet Information Server (IIS) em sua versão 6.0 é parte integrante do Windows Server 2003, apesar de não ser instalado na configuração padrão do sistema operacional. O IIS permite que seu servidor com o Windows Server 2003 possa ser utilizado para a pubilicação de Web sites e sites FTP. Esse serviço é necessário para a implementação de outros produtos da Microsoft, como por exemplo, o Microsoft Exchange (2000 e 2003), Project Server e Sharepoint Portal Server. Para efeitos do exame 70-290, vamos estudar os seguintes pontos da implementação de um servidor Web com o Windows Server 2003:
Administração do IIS Configurando um Web Site; Publicando Multiplos Web Sites;
Conforme mencionando anteriormente, a instalação padrão do Windows Server 2003, não traz o IIS. Para que este serviço seja instalado, é necessário que o papel de Web Server seja adicionado ao sistema operacional.
O processo de adição do papel de servidor Web ao sistema operacional pode ser realizado por meio do Manage your server Wizard. Você também poderá realizar a instalação por meio do item Add/Remove Programs no Control Panel.
Você poderá configurar o IIS para receber conexões utilizando os protocolos HTTP, FTP, SMTP e NNTP.
Administração do IIS
Para administrar o IIS, você deverá utilizar o Snap-in Internet Information Services. Essa ferramenta poderá ser utilizada para administração remota do servidor, já que está incluída nas ferramentas de administração do Windows Server 2003.
Caso tenha necessidade de administrar um servidor IIS desde um computador cliente, que esteja executando, por exemplo, o Windows XP Professional, você poderá instalar as ferramentas de administração, apenas executando o arquivo adminpack.msi, que está localizado tanto no CD de instalação do Windows 2003, quanto na pasta %systemroot%/system32.
É possível ainda, utilizar scripts de administração para realizar tarefas, como criar e modificar Web sites. Estes scripts são baseados em Windows Management Instrumentation (WMI) ou em Active Directory Interfaces (ADSI).
Configurando um Web Site
Quando instalado, o IIS cria automaticamente um Web site chamado Default Web Site. Este é um site de exemplo, mas, você poderá configura-lo para armazenar as configurações de seu Web site.
As propriedades de um Web Site configurado no IIS, permitem que realizemos diferentes configurações para adequar o servidor web as nossas necessidades. A seguir, vamos verificar as principais configurações que podem ser realizadas.
Web Site
Nesta área, poderemos configurar as opções de endereçamento IP, porta e host header do web site. Entraremos em maiores detalhes sobre a configuração da identificação do web site, mais adiante neste capítulo.
Outra configuração importante desta aba, é a possibilidade de identificar como e onde o IIS fazer logar informações de acesso a este website. Estes logs de acesso permitem que o administrador do IIS gere estatísticas de acesso o Website, com informações como a quantidade de hits recebidos pelo site e quais sãos os principais web browsers que fazem acesso ao site. Por padrão, os logs são armazenados em %system root%/System32/logfiles. Existem 3 tipos de logs:
W3C Extended Log file format (Padrão); Microsoft IIS Log File format; NCSA Common log file format; ODBC Logging (permite que você armazene os dados estatísticos em um banco
de dados que possa ser acessado via ODBC, como por exemplo, o Microsoft SQL Server)-
Home Directory
Aqui definimos onde as páginas que compõe o web site estão armazenadas. É possível manter as páginas localmente, em uma pasta compartilhada na rede, ou redirecionar todas as requisições realizadas para uma outra URL. A pasta padrão para o Default Web site é c:/inetpub/wwwroot.
Esta aba também mantém a área de permissões de acesso ao web site. Estas permissões se combinam com permissões NTFS para negar ou garantir acesso ao web site. As opções de que demovos configurar são:
Script Source Access Read Write
Directory Browsing
È importante observar que o Directory Browsing vai permitir ao visitante do site a visualização do conteúdo das pastas que compõe o site no caso de uma pàgina padrão não existir.Além destas configurações, esta pasta também permite ao administrador configurar o comportamento das aplicações que estão sendo executadas no Web site.
Directory Security
Nesta aba você irá configurar como os usuários que se irão se conectar ao web site, vão realizar o processo de autenticação com o servidor. Temos 5 métodos de autenticação:
Anonymous: se a opção Enable Anonymous Access estiver habilitada, usuários poderão se conectar ao Web site se a necessidade de se autenticar. O usuário que será utilizado para este acesso está configurado nesta mesma área. Por padrão, um usuário chamado IUSR_COMPUTERNAME (onde COMPUTERNAME é o nome de Netbios do servidor) é criado automaticamente quando o IIS é instalado para se encarregar deste trabalho.
Integrated Windows Authentication: quando um usuário estiver tentando acessar uma página ou pasta na qual o usuário configurado para conexões anonimas não tiver acesso, o IIS irá requerer autenticação do usuário. Se este método estiver habilitado, o IIS irá tentar autenticar utilizando o usuário logado atualmente.
Digest Authentication: este método de authenticação funciona somente com contas do Active Directory. Uma das vantagens deste tipo de autenticação é que ela funciona normalmente quando se está utilizando um servidor proxy para a conexão.
Basic Authentication: a autenticação básica envia os dados de senha em clear text, sem nenhum tipo de criptografia. Isso faz com que o site seja compatível com qualquer browser e não somente com o Internet Explorer. É recomendável que somente se habilite este tipo de autenticação sob uma conexão SSL para garantir a segurança na transmissão de senhas.
.Net Passport authentication: é um método de autenticação baseado em Web, usando a conta do .Net Passport (a mesma que você normalmente utiliza para autenticar-se com o MSN Messenger)
É importante ter em mente que o conceito de Host Header funciona somente com web sites. Se você deseja manter mais de um FTP site em um único servidor IIS, deverá utilizar as outras opções para distinguir um site do outro: Trocar a porta (não recomendável) ou agregar um novo endereço IP ao servidor Web.
Master Properties
Podem existir situações onde, você queira realizar uma configuração que será padrão para todos os Web sites ou FTP sites de seu servidor. Você poderá otimizar esta tarefa utilizando as Master Properties. Quando um item é configurado nas Master Properties todos os sites do servidor receberam esta nova configuração. Novos sites tem seus itens configurados de acordo com as Master Properties.
Configurando Múltiplos Web Sites
O conceito do Host Header
Não é possìvel manter em um mesmo servidor, mais de uma aplicação utilizando o mesmo endereço IP e a mesma porta, ou seja, se temos apenas um endereço IP configurado no Windows Server 2003, a ùnica maneira de fazer a publicação de um segundo Web site, seria alterando a porta padrão para o serviço HTTP (porta 80), o que seria pouco pràtico, já que todos os Web Browsers, quando acionados para abrir uma URL, buscam por padrão a porta 80.
O conceito de Host Header, permite que um administrador de um servidor IIS, tenha uma terceira possibilidade para distinguir um web site que está sendo publicado, além da porta e do endereço IP. Com o IIS, é possível distinguir este web site, pela URL que o usuário indica no momento de acessar a página.
O processo é bastante simples. Em cada um dos web sites configurados, devemos discriminar qual é a URL pela qual este Web Site deve responder. O IIS vai ler o header do pacote que foi encaminhado pelo Web Browser até o servidor web. A partir do HTTP 1.1, este pacote contèm a URL digitada pelo usuário. O sistema operacional vai receber este pacote, encaminhar para o IIS e este vai identificar qual é o Web site que deverá ser acionado. Por exemplo, suponhamos que o site da Microsoft e o MCPBrasil.com estejam configurados como Web sites em um mesmo servidor IIS. No site da Microsoft, devemos configurar o IIS para atender requisições que cheguem a este servidor e que estejam destinadas para http://www.microsoft.com, ao passo que no web site definido para o MCPBrasil.com, devemos configura-lo de maneira que somente atenda requisições para http://www.mcpbrasil.com. Caso não configuremos o Host Header dos web sites, o segundo site não poderá ser iniciado.
Podemos configurar o host header de um web site durante a sua criação, mas se desejamos configurar esta opção posteriormente, devemos seguir estes passos:
1. Abra o Internet Information Services(IIS) Manager por meio do menu Administrative Tools;2. Expanda Web Sites e acesse as propriedades do weh site que você deseja configurar,3. Na guia Web Site, clique no botão Adavanced..;4. A tela Advanced Web Site Identification será aberta. Clique em Add…;5. Selecione o endereço IP, digite o número da porta, e então escreva a URL que deverá ser atendida por este web site;6. Clique em OK para fechar todas as propriedades.
DicaVocê deverá configurar o DNS de maneira apropriada, para que a resolução dos nomes do múltiplos web sites configurados em um servidor IIS sejam mapeados para o mesmo endereço IP.
Gerenciando e implementando proteção contra desastres
Um dos pontos mais importantes no exame 70-290 é o processo de manutenção e restauraução de cópias de segurança em servidores executando o Windows 2003. Isso não é para menos, dada a importância que a informação tem para as empresas nos dias atuais. Neste capítulo, vamos estudar os seguintes pontos:
• Implementando o ASR;• Implementando o Volume Shadow Copy;• Executando o Utilitário de backup do Windows Server 2003;• Realizando um processo de recovery para um servidor.
Restaurando dados de um volume Shadow Copy
O Volume Shadow Copy realiza backups periódicos dos dados contidos em uma pasta compartilhada. Estes backups permitem que um cliente com o Windows XP ou sistema operacional superior possam recuperar versões mais antigas de documentos. Esta caracterìstica do Windows Server 2003, vai ajuda-lo, principalmente naquelas situações onde um usuário altera um arquivo para poder gerar um novo, acaba se equivocando e pressionado o Save ao invés do Save as e assim sobrescrevendo o conteúdo do arquivo original.
Esta característica do sistema operacional somente disponível em volumes NTFS e deve ser configurada por volume. Isto significa que se o servidor tem 3 partições NTFS ( por exemplo, H, P e J), você, enquando administrador, deverá realizar o processo de configuração em cada uma das unidades. Vejamos uma demonstração de como configurar o Volume Shadow Copy:
O tamanho padrão desta configuração é de 300MB e uma agenda que cria Shadow Copies todos os dias úteis da semana duas vezes por dia (as 7h e as 12h).
Você poderá excluir cópias mais antigas e ainda desabilitar novas cópias na mesma aba das propriedades do volume NTFS em questão.
Para que um cliente possa ter acesso a versões anteriores de documentos que estejam disponíveis em pastas compartilhadas, será necessário instalar o cliente para Volume Shadow Copy. O arquivo de instalação está disponìvel na pasta %Systemroot%/System32/Clients/twclient. Em um computador com o cliente instalado em um Windows XP ou Windows Server 2003, será adicionada as propriedades do arquivo dentro da pasta compartilhada uma aba chamada Previous Versions. Nesta aba o usuário poderá selecionar a versão anterior e decidir se quer substitiuir a versão atual ou apenas copiar a versão mais antiga para uma outra pasta.
Gerenciando procedimentos de backup
Para poder recuperar um servidor de falhas, é necessário que você enquanto administrador de um servidor executando o Windows Server 2003, tenha formada um estratégia de backup e restore. Para estas contigências, é necessário que você leve alguns pontos em consideração:
Que tipo de backup realizar; De que informações devo realizar backup; Qual é a periodicidade desta cópia de segurança; Quem deve ter acesso a essas informações de backup; Como restaurar informações no caso de perda de dados; Como restaurar informações no caso problemas de hardware com o servidor.
Tipos de backup
O tipo de backup que iremos realizar irá determinar quanto tempo um backup demorará para ser realizado e quanto tempo o acesso a estes dados irá demorar para ser reestabelecido no caso de uma falha.
Antes de começarmos a descrever cada um dos tipos de backup, é importante que entendamos a função do atributo A (archive) de um arquivo. Este atributo indica se o arquivo foi ou não guardado em um cópia de segurança. Quando criamos um novo arquivo, este tem o atributo A automáticamente configurado, já que supostamente o arquivo não tem nenhuma cópia de segurança.
Dependendo do tipo de backup que estamos realizando, este atributo será desmarcado, indicando que não é necessário que seja guardado na próxima cópia de segurança. Se o arquivo for modificado, o atributo será automaticamente marcado novamente pelo sistema, o que indica que o arquivo foi alterado e necessita ser guardado em uma cópia de segurança de novo. A diferença entre os tipos de backup está baseado praticamente em desmarcar ou não este atributo do arquivo.
Temos 5 tipos de backups que podem figurar em sua estratégia:
Backup Normal ou Full; Backup Incremental; Backup diferencial; Copia; Diário;
O backup Normal é a base para sua estratégia. Seja qual for a combinação de tipos de backup que você pretende realizar, você deverá obrigatóriamente realizar um backup do tipo Normal. Este tipo de backup copia todos os arquivos selecionados e desmarca o atributo A de cada um deles, indicando que uma cópia de segurança dos mesmos foi realizada.
Se a quantidade de dados em seu backup não for muito grande, talvez valha a pena incluir somente backups completos em seu ambiente. Isto irá otimizar o processo de restauração dos dados. Mas se você tem uma quantidade de dados muito grande, talvez
seja necessário escolher entre combinar este backup Normal com backups Incrementais ou Backups diferenciais.
Os backups incrementais, irão copiar somente arquivos cujo atributo A tenha sido desmarcado depois do último backup normal, e depois de copiar cada arquivo, irá desmarcar este atributo novamente. Isto fará com que o processo de backup dos arquivos seja rápido, já que, basicamente o que será copiado no backup serão as modificações existentes. Você pode criar uma estratégia de backup que tenha um backup normal as segundas-feiras, por exemplo, e backups incrementais nos demais dias úteis da semana.
Backups diferenciais, também tem como base um backup normal. A diferença entre este tipo de backup e um backup diferencial, é que os arquivos que tenham sido modificados desde o último backup serão copiados normalmente, porém o atributo de arquivo não será modificado. Isto significa que se um arquivo for modificado todos os dias, será copiado todos os dias por seu backup diferencial. Sua estratégia pode contemplar a utilização de um backup normal as segunda-feiras, por exemplo, e backups diferenciais nos demais dias da semana.
Analisando estas duas estratégias de backup, se nota que teremos uma velocidade de backup muito maior ao escolher a combinação de backups normais com backups incrementais, o que se utilizado como único parametro para decisão poderia excluir a possibilidade da utilização de backups diferenciais, porém, para a corporação em sí, o parametro mais importante não seja o tempo que o backup demore para ser executado e sim o tempo que este demora para ser restaurado, já que os usuários estarão dependendo deste restore para seguirem trabalhando.
Inicializando o sistema em modo de segurança
O safe mode boot (boot em modo de segurança. dá ao Administrador de um computador executando o Microsoft Windows Server 2003 mais flexibilidade para solucionar problemas em computador que não esteja inicializando corretamente.
Ao pressionar F8, no momento da inicialização do sistema operacional, o menu Advanced Startup Options é apresentado com as seguintes opções:
Safe mode: esta opção incializa o sistema operacional, carregando somente os drivers básicos para o funcionamento do computador, como teclado, mouse e vídeo.
Safe mode with networking: similar ao safe mode, porém, também carrega os drivers básicos para conectividade de rede.
Safe mode with command prompt: ao término da carga dos drivers básicos, como acontece com o safe mode, o sistema operacional é inicializado, porém, o prompt de comando (cmd.exe), é utilizado como Shell, ao invés do Windows Explorer (explorer.exe)
Enable Boot Logging: a opção gera um arquivo chamado ntbtlog.txt na pasta de instalação do Windows Server 2003, que armazena informações a respeito de todos os drivers carregados pelo sistema operacional.
Enable VGA Mode: esta opção é interessantes para solucionar problemas de configuração de vídeo, por exemplo, uma resolução muito alta. O sistema é iniciado em modo VGA.
Last Know Good Configuration: esta é a configuração utilizada pelo sistema operacional na última operação de inicialização bem sucedida. Tenha em mente que o sistema considera o processo de inicialização completo somente após o logon de um usuário, por tanto, se você executar o logon, utilizando uma configuração com problemas, esta será conhecida como a última configuração válida.
Directory Services Restore Mode: esta opção é válida somente para computadores executando o Windows Server 2003 e atuando como um Domain Controller e é necessária para algumas tarefas de manutenção, como por exemplo, para restaurar um backup do Active Directory.
Debugging Mode: utilizando esta opção, podemos conectar o computador com problemas de inicialização através de um cabo serial na porta COM2 e identificar problemas no processo de boot.
Start Windows Normally: Esta opção sai do modo de segurança e coloca carrega o sistema operacional normalmente.
Quando inicializamos o computador utilizando qualquer uma das opções Safe mode (with command prompt ou with networking), o sistema irá carregar somente os drivers de dispositivos indispensáveis.
Utilizando o Recovery Console
Você pode se utilizar do Recovery Console, quando um computador não pode ser inicializado e você não consegue inicializar este computador em modo de segurança (safe mode boot). Utilizando uma conta de usuário e senha, você conseguirá acessar os arquivos de sistema do Windows Server 2003, executar algumas ferramentas de diagnóstico e ter acesso limitado ao Registry para habilitar ou desabilitar serviços. O acesso a arquivos independe do sistema de arquivos, que pode ser qualquer um dos suportados pelo Windows Server 2003 (NTFS, FAT e FAT32).
Você poderá acessar o Recovery Efetuando Boot com o CD de instalação do Windows Server 2003 para isso, proceda da seguinte maneira:
1. Inicie o computador com o disco do Windows Server 2003 e siga as instruções na tela.
2. Quando a tela Welcome to Setup, for mostrada, selecione R para reparar uma instalação do Windows Server 2003 existente.
3. Ao serem listadas as opções de recuperação para o Windows Server 2003, pressione C para selecionar o Windows Server 2003 Recovery Console.
4. A próxima tela mostra todos os sistemas operacionais instalados, selecione a instalação de sistema operacional que você deseja recuperar.
5. Digite a senha do administrator e pressione Enter.6. Uma tela de prompt de comando será apresentada na pasta de instalação do
Windows Server 2003.
Depois deste procedimento, é possível, executar ferramentas como o Chkdsk, para verificar ou solucionar problemas em um disco, copiar arquivos de um CD ou disquete
para substituir um arquivo corrompido, parar e iniciar serviços para retornar seu computador a um estado em que o mesmo possa ser inicializado novamente.
É prudente manter o Recovery Console instalado no computador (nem sempre temos um disco de instalação do Windows Server 2003 em mãos). Para instalar o Recovery Console, você deverá executar o arquivo winnt32.exe, que está localizado no diretório I386 do CD de instalação do Windows Server 2003, com a opção /cmdcons. Este procedimento irá copiar aproximadamente 7 MB de arquivos para o seu disco local, e criará uma nova opção no menu apresentando os sistemas operacionais instalados atualmente no computador no momento da inicialização do sistema.
Opções de Startup e Recovery
Quando um sistema que executa o Windows Server 2003 encontra um erro fatal, que impede que ele continue funcionando normalmente, toma uma série de medidas para manter sua integridade. Uma delas é exibir uma mensagem de parada (stop message), que se trata daquela tela azul, tão temida pelos administradores. Outra ação é jogar todo o conteúdo da memória para um arquivo que poderá ser analisado posteriormente. Esse processo é chamado de Memory Dump.Você pode alterar o comportamento do Windows 2003 em relação a falhas em dois aspectos. Se você deseja ou não que o sistema seja reiniciado após o Memory Dump e qual é o tamanho do arquivo que irá receber o conteúdo da memória.
Por padrão o Windows Server 2003 é reiniciado após uma mensagem de parada. Essa estratégia pode ser interessante, caso se tratar de um problema que acontece de maneira esporádica. Para realizar essas configurações, você deverá realizar o seguinte procedimento:
1. No control panel, acesse o applet System;2. Selecione a aba Advanced e clique no botão Settings;3. Na área System Failure, você poderá alterar as seguintes opções, que estão
selecionadas por padrão:o Write an event to the event viewer: Faz com que seja criada uma
mensagem de event no System Event Log do Windows, que pode ser visualizado pelo Event Viewer.
o Send Administrative Alert: Envia um alerta ao administrador para informa-lo do evento.Automatically Restart: Faz com que o sistema seja reiniciado após o Memory Dump.
4. Clique em OK.
Na mesma janela, você pode definir as opções do arquivo de Dump. Por padrão, os arquivos gerados por um Dump são mantidos com o menor tamanho possível pelo Windows. São arquivos de 64K chamados de Mini-Dumps que são armazenados na pasta %SystemRoot%\minidump, onde %SystemRoot% representa a pasta onde o Windows Server 2003 foi instalado.Você pode configurar o sistema para utilizar dois outros métodos de armazenamento das
informações de Dump: Kernel Memory Dump e Complete Memory Dump.
Kernel Memory Dump: Esse método, inclui a memória alocada ao modo Kernel do sistema, onde ocorrem a maioria do erros. Essa é uma opção interessante, já que espaço de memória não alocado no momento da falha, não são armazenados no arquivo.
Complete Memory Dump: Essa opção salva todo o conteúdo da memória para o arquivo de dump, incluindo espaço não alocado em memória. Isso significa que se sua estação possuir 512MB de RAM, será gerado um arquivo com o mesmo tamanho em seu disco rígido no caso de uma falha do sistema.
Ainda na janela Startup and Recovery, temos as opções de inicialização do sistema. Podemos definir nessas opções, a lista de sistemas operacionais que irão aparecer quando um computador com Dual Boot for inicializado. Podemos definir, por exemplo, qual é o sistema operacional padrão do sistema, que será inicializado automaticamente caso não haja nenhum tipo de interferência, e também, quanto tempo a lista ficará aparecendo e aguardando uma intervenção do usuário.Quando uma alteração é realizado nas opções de inicialização do sistema, essas informações são armazenadas em um arquivo chamado boot.ini, que reside na partição de boot do sistema. Quando o sistema é inicializado, esse arquivo é lido para determinar qual é o sistema operacional a ser inicializado. Caso não exista um arquivo boot.ini, o sistema operacional selecionado será aquele instalado na primeira partição do primeiro disco.Vejamos o formato de um arquivo boot.ini:
[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2003 Standard Edition" /fastdetect
A sessão Boot Loader, contém a configuração timeout, que indica quanto tempo à lista com os sistemas operacionais será exibida. O valor padrão é de 30 segundos, mas podemos alterar esse valor editando diretamente o boot.ini, ou por meio das configurações de inicialização do sistema, no applet System do Control Panel. Outra configuração presente na sessão Boot Loader é a default, que indica o caminho ARC padrão do sistema. Caso não exista nenhuma intervenção do usuário durante a inicialização do computador este sistema operacional será inicializado.
Na sessão operating systems, do boot.ini, temos o caminho ARC para todos os sistemas operacionais instalados no computador e ainda a descrição.Um caminho ARC (Advanced RISC), dá a posição exata da instalação do sistema operacional instalado, indicando o tipo de disco, o disco, a partição e o diretório onde os arquivos de inicialização do sistema operacional podem ser encontrados. Em nosso arquivo de exemplo, temos uma instalação do sistema operacional Windows Server 2003, instalado em um disco IDE de número 0, na partição 1, sendo o sistema operacional padrão do computador.
DicaDiscos começam a ser contados do 0, enquanto partições começam a ser contadas do 1.
Uma configuração incorreta do boot.ini ou a falta do mesmo, pode gerar problemas de inicialização. Se o caminho ARC para o sistema operacional estiver incorreto, você pode receber a seguinte mensagem de erro:"Windows Server 2003 could not start because the following file is missing or corrupt:<winntroot>/system32/ntoskrnl.exe. Please re-install a copy of the above file."Esse erro pode ser causado por uma alteração no números da partições. Para nos recuperarmos desta situação, podemos utilizar o Recovery Console.
Implementando o Automated System Recovery (ASR)
O ASR deve ser utilizado como um último recurso no processo de recuperação de um servidor. Antes de tentar restaurar seu servidor utilizando o ASR, você deverá tentar outras alternativas, como acessar o servidor em Safe Mode ou utilizar o Last Know Good Configuration.Esta opção de recuperação está dividida em 2 partes: o ASR Backup e o ASR Restore. A ferramenta de backup do Windows Server 2003 permite que você faça o ASR Backup.
O Wizard do ASR Backup, faz uma cópia do System State Data, Serviços do sistema e todos os discos relacionados com componentes do sistema operacional. Este processo ainda cria um disquete que contém as informações a respeito do próprio Backup e das configurações de disco.O processo de restore é iniciado pressionando a tecla F2 durante a parte texto do setup. O ASR irá ler o disquete e restaurar as assinaturas dos discos, volumes e partições nos discos requeridos para iniciar o sistema. Depois disto, o ASR faz uma instalação simples do Windows e restaura o backup criado anteriormente.
DicaO ASR não faz cópia de segurança de nenhum arquivo de dados de usuário. Você deverá fazer um backup em separado dos dados por meio da ferramenta de backup do Windows Server 2003.
![(CR2032) (EM-290(D7+) (EM-2900)7}) E— • YAMASA BIG ......BIG (+5%) KMG KCAL EM-285 R-k 999.9994b EM-290 O:OO) F]27g CR2032 (11B) EM—285 EM—290 OOkm* IJtzy1x gßDe EM-285 EM-290](https://img.document.onl/doc/110x75/60e333700f62a0599970905b/cr2032-em-290d7-em-29007-ea-a-yamasa-big-big-5-kmg-kcal.jpg)
![julio 70-290[1]](https://img.document.onl/doc/110x75/557213b1497959fc0b92d015/julio-70-2901.jpg)
