Aula 2
Windows Server 2008
Conceitos e Modelos de Rede
Windows Server 2008 e
Conceitos/Modelos de Rede
Windows 2008 Server
Um rede baseada no Windows Server
2008 é implementada utilizando os
seguintes conceitos ou modelos:
Os servidores podem ser configurados para fazerem parte de um Domínio
Workgroups
Nesse modelo cada servidor é
independente do outro.
Esses servidores do Workgroup não
compartilham uma lista de usuários,
grupos e outras informações.
Cada servidor tem grupos e usuários
cadastrados.
Manoel Oscar Pedro Marta Oscar Silvio Grupo: Contabilidade SERVIDOR: SRV_CONT Manoel Paulo Mariana Juliana Sérgio Grupo: Financeiro SERVIDOR: SRV_FINANCEIRO José Ricardo Manoel Peter Grupo: Diretoria SERVIDOR: SRV_DIRETORIA
Manoel Oscar Pedro Marta Oscar Silvio Grupo: Contabilidade SERVIDOR: SRV_CONT Manoel Paulo Mariana Juliana Sérgio Grupo: Financeiro SERVIDOR: SRV_FINANCEIRO José Ricardo Manoel Peter Grupo: Diretoria SERVIDOR: SRV_DIRETORIA
Observe na Figura que o Usuário Manoel faz parte dos três grupos.
Cenário
Na rede do diagrama anterior temos três servidores, onde cada servidor tem a sua própria base de usuários, senhas e grupos.
As bases não estão sincronizadas, ou seja as contas de usuários foram criadas em cada um dos servidores.
Por exemplo, o usuário manoel existe nos 3 servidores. O
administrador cadastrou a conta manoel e a senha manoelbr nos servidores: Srv-Cont, Srv-Financeiro e Srv-Diretoria.
Alguns dias depois, o usuário manoel resolve alterar a sua senha. Vamos supor que ele esteja logado no Srv-Cont e altere sua senha para manoelbrcont.
Sua situação agora é:
SERVIDOR SENHA srv-cont manoelbrcont srv-financeiro manoelbr
O que Manoel acha disso?
Na “cabeça” de Manoel, o que vale agora é a sua nova senha,
independente de que servidor ele esteja acessando.
Para ele não interessa se um recurso estaria em um servidor ou outro.
Ou seja no modelo Workgroup, não existe uma sincronização entre as informações dos servidores). Manoel trocou a senha no Srv-Cont.
Nos demais servidores continua valendo a senha anterior.
Fica fácil concluir que o modelo de Workgroup ficaria insustentável, impossível de ser implementado na prática, para redes de média a grande porte.
Utilize esse modelo apenas para redes pequenas, com apenas um servidor e no máximo, 15 usuários.
Modelo de Domínio
No Windows Server 2000/2003/2008:
Servidores, estações de trabalho, informações do
diretório: formam um Domínio.
Todos os servidores que contém uma cópia da base de dados do Active Directory, fazem parte do domínio.
As estações de trabalho podem ser configuradas para fazer parte do domínio.
Active Directory (AD)
É o serviço de diretórios disponibilizado a
uma rede de computadores a partir de um
ou mais servidores baseados no Windows
Server 2000/2003/2008.
Mas afinal, o que são exatamente os
diretórios?
Diretório - Conceitos
Diretório: Fonte de dados(cadastro) utilizada para
armazenar informações sobre objetos num determinado ambiente.
A lista telefônica é um bom exemplo de diretório. Pois armazena informações sobre objetos (no caso,
assinantes) de uma forma clara (alfabética, por
exemplo). Objetivo: facilitar a procura do telefone de alguém.
Um serviço de diretório fornece num ambiente computacional, informações detalhadas sobre:
impressoras, computadores, usuários, servidores, configurações, etc.
Componentes Lógicos e Físicos
Antes de iniciarmos propriamente dito o estudo do AD, vamos conhecer os componentes lógicos e físicos do Windows 2003/2008 Server:
Lógicos:
Objetos,
Grupos,
Unidades Organizacionais,
Domínio / Árvores e Florestas Físicos: Sites, Links, Controladores de Domínio, Catálogos Globais, Replicação
Objeto
É a representação lógica de algum componente da rede.
Objetos mais utilizados:
Usuários.
Cada um dos usuários possui uma identificação e uma
senha. Outros objetos: impressoras, contatos, computadores, grupos e pastas compartilhadas.
Grupo
Os grupos são utilizados para unir objetos que possuem algo em comum. Exemplo:
Um grupo Contabilidade é criado e cinco funcionários da contabilidade são adicionados nele.
No AD temos dois tipos de grupos:
Segurança: Usado para definir permissões de
acesso a um determinado recurso.
Distribuição: Tem a função de agrupar objetos sem
fins de segurança, por exemplo, um endereço de e-mail coletivo no Exchange Server.
Grupos
Escopo
Os grupos possuem 03 níveis de escopo:
1 - Universais: utilizados em grandes redes com
mais de um domínio.
2 - Globais: utilizados para agrupar usuários com
funções ou permissões comuns. Exemplo:
Um grupo global chamado financeiro que é formado por funcionários do grupo financeiro.
3 - Locais de domínio: usados para atribuição direta
de permissões em cada um dos recursos a serem compartilhados e controlados.
Unidades Organizacionais
São contêineres (recipientes) que representam um conjunto de objetos quaisquer. Exemplo:
Uma filial pode ser representada por uma unidade organizacional.
Nota: Não confunda grupos com unidades
organizacionais.
Grupos: agrupa usuários por funções (ou
necessidades de recurso) similares.
Unidade Organizacional: ordena os objetos de
Recomenda-se
É recomendado criar unidades organizacionais que
representem a empresa. Nota: Este tipo de objeto torna a estrutura de TI muito parecida com a real estrutura da empresa.
Ao criar unidades organizacionais, preocupe-se em estruturar um nível hierárquico superior num modelo
estável (por exemplo, geográfico) e conforme o nível
hierárquico desce, você pode utilizar modelos menos estáveis.
Talvez você conheça empresas que a cada três
meses mudam o nome dos departamentos, passam pelas famosas “reestruturações”.
Domínio
Um domínio é a unidade
administrativa de redes baseada no
Windows 2008 Server.
Todos os objetos mencionados
anteriormente são cadastrados em um domínio.
Mesmo em redes de médio e grande portes possuem idealmente um único
domínio, pois um domínio pode ser
estabelecido em muitos locais diferentes.
Domínio no AD
Todos os computadores baseados na tecnologia NT devem fazer parte do domínio, ou seja,
devem ser inseridos no domínio para que a conta de computador associada a esses
equipamentos seja criada.
Sistemas baseados em Windows 95/98/ME não
possuem contas de computador no domínio, mas devem ser configurados para permitir o
logon no domínio (configuração do Cliente para Rede Microsoft).
Domínio e nome DNS
Cada domínio no AD possui um nome DNS (xxx.br, xxx.com.br).
O AD é totalmente integrado ao DNS e este serviço pode ser executado em todos os
controladores de domínio.
Os servidores são localizados na rede a partir desse serviço.
Árvores e Florestas
Árvores: são estruturas de
hierarquia de um ou mais
Domínios , entretanto, você pode criar um namespace para
trabalhar com múltiplos domínios em uma estrutura hierarquica.
Florestas: são grupos de uma
ou mais árvores. A floresta
fornece recursos de segurança, convenções, confianças e global catalog. Criar uma floresta é a maneira de organizar as árvores e manter os esquemas
DNS (Domain Name System)
DNS é a sigla para Domain Name System
ou Sistema de Resolução de Nomes.
Trata-se de um recurso usado em redes
TCP/IP que permite acessar
computadores sem que o usuário ou sem
que o próprio computador tenha
DNS (Domain Name System)
Cada site da internet é acessível por um
endereço IP. O problema é que existem
tantos que é praticamente impossível
decorar o IP de cada um.
Exemplo:
www.uol.com.br = 200.98.249.120
Funcionamento do DNS
Os serviços de DNS da internet são um conjunto de
bancos de dados espalhados em servidores de todo o mundo. Esses bancos de dados têm a função de indicar qual IP está associado a um nome de um site.
Quando você digita um endereço em seu
navegador, por exemplo, www.google.com, seu
computador solicita aos servidores de DNS de seu provedor de internet que encontre o endereço IP associado a www.google.com.
Se os servidores não tiverem essa informação, ele
Os nomes dos sites são
divididos hierarquicamente
Raiz {.} .net .com .br .ar .fr .gov .orgNote que dentro de cada domínio (.com, .net, .gov) existem outras subdivisões. Por exemplo, dentro de
Cache de DNS
Caso você tenha visitado um site que nunca
tenha sido resolvido pelo serviço de DNS de seu provedor, ele fará uma pesquisa em outros
servidores de DNS
Para evitar que essa pesquisa tenha que ser feita novamente o serviço de DNS guarda a informação da primeira consulta. Esse
procedimento é conhecido como "cache de DNS".
As informações do cache são armazenadas por um determinado período de tempo.
DNS
A utilização do DNS não se limita à
internet.
Esse recurso pode (e é) utilizado em redes
locais, extranets, etc.
Sua implementação pode ser feita em
praticamente qualquer sistema
Componentes Físicos
Paralelamente aos componentes e a
hierarquia lógica que estudamos, o AD
possui alguns componentes físicos em sua
estrutura.
Não só entidades lógicas como usuários
são publicadas nesse diretório, mas
também as características físicas (como
Sites
Representa a localidade ou região onde os recursos de rede estão localizados, facilitando o processo de logon dos usuários.
Levando em consideração o exemplo abaixo, os
usuários do site de São Paulo devem tentar validar seus usuários no site local, evitando o consumo de banda entre as localidades.
Links
Os meios de comunicação entre os sites
são cadastros no AD e utilizados na
Controlador de Domínio
Servidor encarregado da autenticação dos usuários, replicação dos dados entre outros DC´s.
É responsável pela comunicação com outros
domínios da empresa. Para haver um serviço de diretório, é necessário pelo menos um Domain Controller em sua rede.
Catálogos Globais
Controladores de domínio especiais. Ao definir um DC como um catálogo global, ele passa a ter uma cópia não só dos objetos do domínio do qual ele faz parte, mas agora de todos os domínios dentro de uma floresta.
Em grandes redes de computadores, isso é
importante. Uma recomendação importante é a seguinte: em cada site ao menos um controlador de domínio deve ser passado para catálogo
Replicação
Quando utilizamos mais de em controlador de domínio, é necessário que os dados do diretório sejam atualizados em cada um dos seus
controladores.
Por exemplo, ao alterar a senha de um usuário,
ela precisa ser atualizada em todos os
controladores de domínios. Este processo ocorre de duas formas:
Intra-sites: controladores do mesmo site replicam o
bando de dados entre si.
Intersites: controladores de diferentes sites replicam
Passo a passo
1) Faça o logon no Windows 2008 usando
a conta de administrador e insira o CD de
instalação. Se o setup for iniciado,
feche-o.
Assistente para Instalação
3) A próxima tela é um alerta sobre o novo
padrão de segurança do Windows Server
2008, o qual informa que ele poderá
causar problemas em clientes Windows
NT 4.0, clientes não Microsoft SMB e
dispositivos NAS, que não suportam
algoritmo de criptografia forte.
Se a sua rede é microsoft e não tem
nenhum NT não se preocupe.
Assistente para Instalação
4) Como estamos criando um novo
domínio, selecione a segunda opção.
Após pressione Avançar.
Assistente para Instalação
5) Neste momento será solicitado o nome dns na qual o Active Directory será conhecido.
Como este é o primeiro domínio na floresta, ele será responsável por toda a relação de herança. Digite o nome completo do domínio, no meu
6) No momento que você pressionar
Avançar, o instalador enviará uma
solicitação para o servidor de DNS
configurado para verificar se esse domínio
já não existe.
Caso já exista, será veiculada a
informação solicitando a alteração do
domínio.
7) Definir Nível Funcional da Floresta
O nível funcional da floresta irá fornecer
os recursos disponíveis conforme o nível
selecionado, por exemplo, se você
selecionar o nível funcional Windows
2000 você terá compatibilidade com
Domain Controllers com Windows 2000,
porém alguns novos recursos
do Windows Server 2008 não estarão
disponíveis, por isso é importante fazer
essa seleção corretamente.
Os níveis de florestas disponíveis são:
Windows 2000 – Todos os recursos padrão do
Active Directory para Windows 2000.
Windows Server 2003 - Todos os recursos padrão
do Active Directory disponíveis no Windows 2000 e os adicionáis para o 2003.
Windows Server 2008 – Esse nível funcional
fornece todos os recursos disponíveis no nível
funcional de floresta do Windows Server 2008, mas nenhum recurso adicional. Entretanto, todos os
domínios que forem adicionados subseqüentemente à floresta funcionarão no nível funcional de floresta de domínio Windows Server 2008 por padrão.
Opções adicionais do
Controlador de Domínio
8) Possibilita incluir certas opções adicionais no Domain Controller. Como estamos instalando o primeiro Domain Controller da floresta o
assistente de instalação automaticamente seleciona a opção Catálogo Global.
O assistente também seleciona o serviço de Servidor DNS para que seja instalado nesse Domain Controller. Seguindo as
recomendações damos continuidade. Clique em Avançar.
Processo de instalação do DNS
9 - Processo de instalação do DNS Será
exibido um alerta informando que a delegação para o Servidor DNS não pode ser criada.
Essa mensagem pode ser ignorada, porque o serviço de DNS Server ainda não está instalado e configurado no Domain Controller. Isso será efetuado automaticamente pelo assistente de instalação do Active Directory.
Local de Banco de Dados,
Arquivos de Log e SYSVOL
10 – Neste processo vamos definir onde
será armazenado o database, os arquivos
de log e a pasta SYSVOL.
A pasta SYSVOL é fundamental para o
AD. Ela é compartilhada e seu conteúdo
replicado entre todos os controladores de
domínios. Você pode manter o caminho
padrão também, clique em Avançar.
Senha do modo de restauração
dos serviços de diretório
11) Defina uma senha que será usada
no
“Restore Mode” deste DC. Lembrando
a senha deve ser Complexa e diferente da
conta do administrador do domínio.
Esta senha é usada quando o Controlador
de Domínio for iniciado no modo de
Restauração dos serviços de diretório.
Resumo
12) Aqui analisamos um resumo e conferimos as configurações definidas antes de iniciar a
instalação.
Você também tem a opção de exportar as
configurações para serem utilizadas em uma futura instalação, sendo necessário somente
clicar no botão Export settings e definir o local a ser salvo.
Clique em Avançar para iniciar a Instalação e aguarde.
Assistente para Instalação
13) Após concluir todos os processos sem
nenhuma falha, vamos clicar em Concluir.
Depois reinicie o servidor para concluir o
Validando a instalação
14) Após o Servidor Reiniciar vamos
efetuar Login com o
usuário Administrator no dominio
Ferramentas Administrativas
Após a instalação do AD, várias ferramentas são instaladas juntas, localizadas no menu
Ferramentas:
Usuários e computadores do AD: principal
ferramenta do AD, onde se cria e gerencia
praticamente todos os objetos lógicos: usuários, contatos, grupos, unidades organizacionais.
Sites e serviço do AD: ferramenta utilizada para
gerenciamento dos objetos físicos, sites, links, sub-redes, catálogos globais.
Domínios e confiança do AD: utilizada em redes
com vários domínios no gerenciamento das relações de confiança.
Validando a instalação
15) Usuários e Computadores do
Active Directory
Vamos abrir o Console Usuários e
Computadores do Active Directory
clicando em Iniciar, Ferramentas
Administrativas e depois em Active
Directory Users and Computers.
Nessa Aula Vimos:
Conceitos de Modelos de Rede:
Workgroups e Domínios;
Componentes Lógicos e Físicos
Implementação do AD.
Referências Bibliográficas
Baddini, Francisco Carlos, Windows
Server 2008 em português:
implementação e administração. /
Francisco Baddini. – 1 ed. – São Paulo:
Érica, 2008.