Baixe o app para aproveitar ainda mais
Prévia do material em texto
Livro Eletrônico Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira 1 de 181 AULA 02 – Windows Server 2008 SUMÁRIO Versões anteriores ........................................................................................................................... 3 Licenciamento e Versões do Windows Server 2008 ........................................................... 4 Características do Windows Server 2008 ............................................................................... 6 Instalação do Windows Server 2008 ........................................................................................ 9 Domain Name System .................................................................................................................. 17 Serviços de Diretório..................................................................................................................... 22 Protocolo LDAP ................................................................................................................................ 25 Dynamic Host Configuration Protocol ..................................................................................... 27 NTFS .................................................................................................................................................... 28 Serviços de arquivo e de impressão ....................................................................................... 35 Escalabilidade e alta disponibilidade ....................................................................................... 38 Distributed File System e FSRM ............................................................................................... 44 Network Load Balance .................................................................................................................. 44 Powershell ......................................................................................................................................... 46 Terminal Service ............................................................................................................................. 49 Protocolo SMB/CIFS ...................................................................................................................... 51 Protocolo WINS ............................................................................................................................... 52 Console MMC .................................................................................................................................... 53 IIS7 ...................................................................................................................................................... 55 Resolução de Questões ................................................................................................................ 70 Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 2 de 181 1. Windows Server 2008 Pessoal, antes de iniciar nosso assunto propriamente dito, precisamos esclarecer alguns pontos. Nessa aula, nosso assunto será os Sistemas Operacionais Windows Server. Nossa abordagem será descritiva, ou seja, iremos conhecê-lo descrevendo suas principais funcionalidades. Outro ponto que precisamos destacar é que nossa principal fonte de auxílio é o Microsoft Technet (http://technet.microsoft.com). Atenção, este site tem sido uma das principais fontes para elaboração de questões pelas bancas. Dito isto, é importante saber que em nossa aula nos cercaremos de recursos que tornem a aula menos maçante, recorreremos a tabelas, gráficos e figuras, na medida do possível. Um ponto que merece ser esclarecido é que, como sabem, já existe a plataforma do Windows Server 2012 e a 2016, com evoluções em relação ao do Windows Server 2008. Um Sistema Operacional de servidor é projetado para lidar com uma maior carga e variedade de tarefas do que em qualquer estação de trabalho. Eles são projetados para prestar serviços e executar aplicações pesadas, requerendo grandes quantidades de memória, muita capacidade de armazenamento, redundância de dados e alimentação, etc. O Windows Server 2008 é um software comercial, fabricado pela empresa Microsoft, e destinado a ser Sistema Operacional de servidor. Ele sucedeu outras plataformas, como o Windows Server 2003, Windows 2000, e Windows New Technologies 3.5 e 4.0. O Windows Server 2008 tem muito em comum com o Windows Vista, sistema operacional para desktop, pois compartilha uma parte considerável de seu código e, portanto, carrega muito da arquitetura e das principais funcionalidades. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 3 de 181 O Windows Server 2008 trouxe muitos avanços em relação aos antecessores, principalmente no tocante a segurança, gerenciamento e características administrativas. Para entender as características atuais do Windows Server 2008, é importante saber um pouco da história, pois esta acarreta várias das atuais peculiaridades desse Sistema Operacional, desconsiderando aspectos as opções marcadamente comerciais. Vamos então a uma pequena digressão. Versões anteriores Uma das primeiras iniciativas da Microsoft no mercado de servidores foi o Windows Server NT. O Windows Server NT compartilhava a interface gráfica do Windows 95, facilitando a administração, o que levou a um período de expansão dos Sistemas Operacionais da Microsoft, no ambiente de servidores. Apesar da facilidade administrativa proveniente da interface gráfica, o Windows Server NT apresentava características bastante limitadas de escalabilidade e disponibilidade. Um dos principais empecilhos, reportados à época, era que a função (servidor membro ou controlador de domínio) era definida no momento da instalação, dificultando sua alteração se fosse constatada a necessidade. Havia ainda uma limitação na quantidade de objetos por domínio que acarretava problemas de escalabilidade com a iminente expansão das redes. Outra dificuldade, esta de integração, era decorrente da incompatibilidade do Windows NT 4.0 com os sistemas de arquivos FAT 32, que constituíam grande parte dos dispositivos legados. Hoje, a compatibilidade com as versões anteriores é um requisito primordial para os novos Sistemas Operacionais para serviços de rede, principalmente em virtude da elevada complexidade que é alterar todo um parque de servidores, sem impacto para os serviços. Diante dos problemas patentes da plataforma Windows NT 4.0, a fabricante Microsoft lança o Windows Server 2000. A plataforma visava ganhar fatia de mercado em servidores, nicho dominado pelos UNIX. Apesar das pretensões, a plataforma do Windows Server 2000 apresentou uma vulnerabilidade no padrão de codificação Unicode, a qual foi bastante Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 4 de 181 explorada. Esse fato prejudicou bastante a confiabilidade no sistema, visto que coincidiu com o período de franca expansão da Internet. Diante dos problemas de segurança do Windows Server 2000, foi lançado o Windows Server 2003, visando resolver os problemas da plataforma anterior, e com foco principalmente na confiabilidade e segurança do sistema. A plataforma do Windows Server2003 incorporou técnicas de desenvolvimento seguro, fator essencial aos novos desafios impostos ao mercado de servidores, diante da explosão da Internet. É possível perceber que um fator comum aos antecessores do Windows Server 2008 foi a exigência de segurança e confiabilidade. Essa é uma marca característica do Windows Server 2008. Vamos ver em diante, quais são as características de licenciamento e das versões do sistema. Licenciamento e Versões do Windows Server 2008 Antes de conhecermos as versões do servidor, vamos entender um pouco as formas de licenciamento do Windows Server 2008. O licenciamento por Servidor é indicado para pequenas empresas, com apenas um servidor Windows instalado, essa licença define o número máximo de usuários conectados ao servidor simultaneamente. O licenciamento por dispositivo disponibiliza uma licença de acesso para cada estação de trabalho que se conecta ao servidor, independente do número de conexões dessa estação. É um tipo de licenciamento mais flexível quando se tem usuários que não permanecem constantemente conectados, permitindo a licença “flutuar” entre os usuários. Entender o modelo de licenciamento adequado é essencial, pois acarreta custos se não for adotado o modelo mais adequado para a realidade da organização. Por isso a necessidade de conhecer as diferenças entre versões do Windows Server 2008, aspecto que pode ser objeto de questões. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 5 de 181 Vamos agora conhecer um pouco das versões do sistema. A plataforma Windows Server 2008 é subdividida em várias versões, e cada versão é concebida para atender determinadas funções. Cada versão se propõe a ser mais adequada a uma atividade ou serviços e embute certa necessidade de computação e memória. Por isso, fiquem atentos a esses detalhes, ok? O Windows Server 2008 Web Edition é voltado para um servidor web básico. Ele dispõe do Internet Information Services (IIS) para construir aplicações Web compatíveis com eXtensible Markup Language (XML), e inclui linguagens como o Active Server Pages (ASP) e o Framework .NET. Importante observar que o Web Edition não pode desempenhar função de servidor de aplicações, em virtude de possuir recursos reduzidos. O Standard Edition é projetado para empresas de pequeno e médio as empresas, a versão oferece suporte a compartilhamento de arquivos e impressão, funciona com até quatro processadores, e acomoda até 4 GB de RAM. Já o Datacenter Edition é voltado para infraestruturas que demandem mais recursos de segurança e confiabilidade. Suporta até 64 processadores e 512GB para alta disponibilidade para processamento de alta demanda. O Enterprise Edition é apropriado para empresas de médio e de grande, suporta até oito processadores e 64GB de RAM, com recursos como clusterização virtualização. O Standard Edition, Datacenter Edition e Enterprise Edition compartilham a mesma mídia de instalação e várias características. Existem ainda as versões para Servidores de Storage e para sistemas baseados no processador Itanium, as quais, por não serem objeto de questões, não serão abordadas. Vamos ver em diante, quais são as principais características e inovações apresentadas pelo sistema Windows Server 2008. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 6 de 181 Características do Windows Server 2008 Vamos agora falar um pouco das melhorias encontradas no Windows Server 2008. Vamos focar nas novas características que constituam o diferencial do Windows Server 2008 em relação às versões anteriores. Atenção, pois a maioria destes pontos é recorrente em questões. Os pontos mais exigidos serão destacados. Foram várias inovações em relação ao Windows Server 2003, mas o principal diferencial foi em relação ao aspecto de segurança e resiliência da plataforma. A primeira característica que abordaremos será as melhorias providas na pilha TCP/IP, citada comercialmente com IP Next Generation. O Windows Server 2008 incluiu mudanças na pilha TCP/IP, especificamente no tocante ao protocolo da camada de rede que agora é o IPv6. O IPV6 dispõe de janela auto ajustável, descoberta de vizinhos, detecção automática de gateway inativo, e notificação de congestionamento, dentre outros. O suporte nativo a pilha dupla (dual stack) do protocolo de rede é uma característica nativa do Windows Server 2008. O suporte a pilha dupla facilita a vida dos administradores de rede que tem que lidar com a migração iminente para o IPv6. Outra característica do sistema é a inclusão de uma recuperação em tempo real do sistema de arquivos NTFS que provê resiliência, mesmo em caso de falhas relacionadas ao sistema de arquivos. Esta é uma importante melhoria, principalmente por que o Windows Server 2008 se propõe a desempenhar papel de servidor de arquivos. O Windows Server 2008 fornece virtualização para múltiplas instâncias de sistema operacional, ao mesmo tempo, utilizando o mesmo hardware de servidor. Essa característica facilita a administração de Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 7 de 181 parque de servidores virtualizados, e acarreta evidentes ganhos em eficiência ao permitir compartilhar o hardware com mais instâncias virtualizadas. Um novo conceito relacionado a segurança é o de Server Core. Ele permite uma instalação enxuta, sem interface gráfica, apenas com os componentes e necessários para um servidor de alta disponibilidade que requer menos atualizações e menos manutenção. Essa é uma alternativa de instalação providencial, principalmente para os administradores mais atarefados, pois permite instalações focadas no serviço a ser provido, em um ambiente menos vulnerável. Atenção, como veremos na resolução de questões, o conceito de instalação Server Core é objeto frequente de questões. Por enquanto, guardem a informação que o Server Core se propõe a reduzir as vulnerabilidades frequentes em uma instalação completa, e que ele não dispõe de interface gráfica. O Internet Information Services (IIS) é o servidor de páginas do Windows Server 2008. Agora ele é modular e permite escolher quais funcionalidades serão instaladas e executadas. Sua interface administrativa foi remodelada, e agora permite a delegação de controle. A delegação de controle facilita o gerenciamento em servidores cujo papel é o de Servidor Web. Novamente, podemos resumir que as principais alterações propostas objetivam melhorar a segurança, principalmente se considerarmos o histórico de vulnerabilidades das versões anteriores do IIS. O Active Directory (AD) incorporou o conceito de controlador de domínio somente leitura (RODC), ideal para ambientes onde a segurança física do controlador de domínio não puder ser garantida. A necessidade de replicação do banco de dados do AD entre os controladores de domínio constitui vetor de riscos e vulnerabilidade. O controlador somente leitura disponibiliza uma cópia somente leitura do AD para o controlador remoto, sem a cache de credenciais, o que propicia maior segurança em ambientes remotos. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 8 de 181 Conheceremos mais sobre o Active Directory em um tópicoespecífico sobre ele. Mas é importante ressaltar que o controlador de domínio somente leitura tem sido frequentemente objeto de questões de prova, por isso atentem para suas características e vantagens de segurança. As inovações do Windows Server 2008 que têm sido objeto de questões de prova são principalmente relacionadas a segurança. Entre elas, estão o conceito de Bitlocker e de Network Acces Protection. O Bitlocker Drive Encryption (para simplificar, as bancas se referem apenas como Bitlocker) é mais um recurso de segurança introduzido no Windows Server 2008. O BitLocker é um recurso de segurança para criptografar os dados sensíveis armazenados dentro do volume do sistema operacional. A criptografia engloba todos os dados armazenados no volume do Windows Server e quaisquer volumes relevantes de dados configurados, o que inclui arquivos de hibernação e paginação, aplicativos e dados de aplicativos. O BitLocker requer um módulo Trusted Platform Module (TPM) para garantir a integridade dos volumes protegidos, principalmente quando o sistema operacional estive desligado, já que o objetivo é proteger os dados de inicialização do Sistema Operacional, e seria inócuo se fossem armazenados no próprio disco rígido. Um módulo Trusted Platform Module (TPM) é um microchip que permite ao computador tirar proveito de recursos de segurança avançados, como a criptografia de unidade de disco BitLocker. O TPM já faz parte de alguns computadores mais recentes. Quando você inicia um computador que tem um TPM e o BitLocker habilitado, o TPM procura no sistema operacional as condições que possam indicar um risco de segurança. Essas condições podem incluir erros de disco, alterações no sistema BIOS ou em outros componentes de inicialização, ou uma indicação de que o disco rígido foi removido de um computador e está sendo iniciado em outro. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 9 de 181 Se o TPM detectar um desses riscos de segurança, o BitLocker manterá a partição do sistema bloqueada até que seja inserida a senha de recuperação do BitLocker para desbloqueá-lo. Além do Bitlocker, veremos em seguida que há também novos recursos de criptografia nativos do sistema de arquivos do Windows Server 2008. Outro recurso de segurança é o Network Access Protection (NAP) que adota medidas de proteção aos equipamentos da rede, com base em um comportamento padrão ou médio (ou baseline) do ambiente de rede. Para os integrantes do domínio ingressarem na rede, é exigido que atendam a certos critérios de segurança estabelecidos pelo NAP. Se ao ingressarem não estiverem de acordo com o comportamento padrão, o NAP pode, por exemplo, exigir que tenham um firewall atualizado. Esses critérios precisam ser satisfeitos, antes de fazer qualquer acesso à rede protegida. Instalação do Windows Server 2008 Pessoal, vamos neste tópico conhecer um pouco do processo de instalação do Windows Server 2008, através das principais telas que são apresentadas. É um processo bastante similar à instalação das outras versões, inclusive as versões para desktop. Antes da instalação propriamente dita, é importante observar que, em qualquer versionamento (Standard Edition, Datacenter Edition ou Enterprise Edition), é possível fazer a instalação para 32 ou 64 bits, conforme a arquitetura dos servidores nos quais será realizada a instalação. Outro aspecto importante é que, conforme comentamos, houve uma evolução gradativa da segurança na instalação, ao longo das diversas versões do Windows Server, e que se reflete em alguns aspectos das opções de instalação. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 10 de 181 Iniciar a instalação requer que a mídia do Windows Server 2008 seja inserida na unidade do computador ou servidor, e seja realizado o boot por ela. O passo inicial de instalação é mostrado na figura, no qual é necessário escolher o idioma, o formato de hora e moeda, e o idioma do teclado. Em seguida Avançar para continuar o processo de instalação. Após as configurações iniciais, é apresentada a tela abaixo, que indica o início do processo de extração e cópia dos arquivos de instalação da mídia para o local de instalação. Após a cópia dos arquivos para o local de instalação, a tela abaixo solicita a inserção da chave de ativação do Windows Server 2008. Caso seja informada nesse ponto, o processo de instalação seguirá adiante, já Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 11 de 181 conforme a versão de licenciamento adquirida (Standard Edition, Datacenter Edition ou Enterprise Edition). Ao chegarmos à tela abaixo, encontramos um ponto crítico no processo de instalação. São apresentadas duas opções para cada versão de licenciamento adquirida (Standard Edition, Datacenter Edition ou Enterprise Edition), instalação completa (Full Installation) ou somente o Server Core. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 12 de 181 A evolução dos requisitos de segurança, já a partir do processo de instalação, se reflete principalmente na opção entre instalação completa (Full Installation) ou somente o Server Core. Se a opção de instalação for pelo Server Core, o processo de instalação prosseguirá apenas em linha de comando, como exemplifica a figura abaixo. No Server Core temos uma instalação muito similar aos sistemas operacionais “Linux ou Unix Like”, sem interface gráfica, apenas com os componentes principais. Essa é uma alternativa voltada para ambientes que requerem um maior grau inicial de segurança, que poderiam ser comprometidos com a instalação de componentes desnecessários. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 13 de 181 A instalação completa, como o nome sugere, é uma instalação de todos os pacotes de serviços do Windows Server 2008. É importante sabermos que a opção por uma ou outra forma de instalação não limita as funções que o servidor poderá desempenhar, por exemplo servidor de aplicações ou servidor de arquivos. Essas funções ou papéis podem ser incluídas ou alteradas após o término da instalação, na Configuração de Servidores das Ferramentas Administrativas. As funções ou papéis que um servidor pode desempenhar podem encontrar limites principalmente em decorrência do hardware do equipamento. Por exemplo, um servidor de aplicações requer muito mais poder de processamento e memória, do que outros requisitos. Um servidor de arquivos requer capacidade de entrada e saída e desempenho, obtido com soluções de armazenamento de alto desempenho. Por isso a importância do planejamento prévio da instalação e estabelecimento das funções desempenhadas pelo Windows Server 2008. A tela posterior apresenta duas alternativas para prosseguir o processo de instalação. A primeira opção é para atualizar ou reparar uma versão pré-instalada (Upgrade). Caso seja uma nova instalação, é escolhida a segunda opção e prossegue o processo de instalação. Após as escolhas anteriores, é necessário informar em qual mídia será realizada a instalação doWindows Server 2008. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 14 de 181 Na tela abaixo vemos um exemplo em que se dispõe somente do disco 0, no qual será dado prosseguimento à instalação, após a seleção integral ou o particionamento da mídia. Após a seleção, será apresentada a tela abaixo que permite acompanhar o processo de cópia e descompactação dos arquivos de instalação. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 15 de 181 Após a conclusão da instalação, é necessária a alteração da senha de administrador. Essa é uma atividade importante para a segurança do sistema. Como até este ponto do processo de instalação não foi criada senha de administrador, é necessária que seja definida para que possa permitir a administração segura deste ponto em diante. Caso contrário, o administrador enfrentará problemas de segurança e necessitará contorná- los. A tela abaixo indica a configuração inicial do ambiente, não há informações que podem ser objeto do examinador sobre esta etapa da instalação. Vamos seguir com a instalação. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 16 de 181 Pessoal, muita atenção! As bancas geralmente tratam essas etapas do processo de instalação que vimos até esse ponto como Operating System Setup. Após o término dessa etapa da instalação, começam as etapas mais importantes do processo de instalação que podem ser divididas em duas fases: Initial Configuration Tasks; e Server Manager. Depois de ter concluído o Operating System Setup do Windows Server 2008, e antes de implantar o novo servidor, são necessárias algumas configurações para identificar o servidor para os demais recursos, proteger o servidor, permitir que os servidor possam executar tarefas, e personalizar o servidor, e adicionar funções e recursos de servidor. Essa etapa é chamada Initial Configuration Tasks e é representada pela tela abaixo. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 17 de 181 A janela de Tarefas de Configuração Inicial é aberta imediatamente após a conclusão da instalação do Windows Server e continuará sendo aberta a cada inicialização, a menos que a caixa de seleção “Não mostrar esta janela” seja marcada. Após o término das Tarefas de Configuração Inicial, terá início a etapa de Gerenciamento do Servidor (Server Manager). Pessoal, muita atenção sobre as etapas da instalação. Elas são objeto de questões de prova. As bancas geralmente não tratam de todas as etapas do processo de instalação. Mas tem sido recorrente tratar as fases da instalação. Para as bancas, a instalação é dividida em três fases: Operating System Setup; Initial Configuration Tasks; e Server Manager. Isso já foi objeto de questão recente, por isso guardem essa informação. Em seguida, vamos resolver questões relacionadas ao que tratamos até aqui. Domain Name System O DNS é um protocolo de resolução de nomes da pilha de protocolos TCP/IP. Sua estrutura é hierárquica e baseada no conceito de espaço de nomes de domínios, árvores e florestas. O DNS permite organizar as redes em agrupamentos lógicos, que Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 18 de 181 veremos em seguida, e nomear servidores, computadores e equipamentos de rede em geral (tais como roteadores, hubs, switchs). Mas por que a necessidade de um serviço de nomes? Primeiramente por que em uma rede baseada no protocolo TCP/IP toda comunicação é feita pelo endereço IP. Porém, é muito mais intuitivo para nós o trabalho com nomes do que com números, além do fato de não ser produtivo se tivéssemos que consultar uma tabela de números IP para cada acesso a um recurso da rede. Em segundo lugar, vamos ver em seguida que há uma total dependência do Active Directory, serviço de diretório do Windows Server 2008, em relação ao DNS. Os serviços que não dependem diretamente do DNS requerem o Active Directory, o que indiretamente ocasiona essa essencialidade do DNS para o Windows Server 2008. O papel do DNS é identificar o endereço IP associado ao nome informado pelo usuário. Por exemplo, se nós digitarmos http://www.estrategiaconcursos.com.br/, para acessarmos nossa querida aula de Sistemas Operacionais, não precisamos saber o endereço IP do servidor do Estratégia Concursos. O papel do DNS é resolver e retornar o endereço IP associado à URL que informamos. O DNS também pode ser conceituado como um grande banco de dados distribuído pelos servidores DNS do mundo, que proporciona a identificação dos nomes de domínios da Internet. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 19 de 181 A figura acima exemplifica a organização hierárquica do DNS. O principal domínio, o domínio root, ou o domínio de mais alto nível é nomeado com um ponto (.). No segundo nível são definidos os domínios superiores ou de topo (Top level domains). Alguns domínios são exemplificados na Tabela abaixo. Domínio Descrição .com organizações comerciais .gov organizações governamentais .edu instituições educacionais .org organizações não comerciais .net Diversos .mil instituições militares Após o nível anterior, existe um segundo nível hierárquico por distribuição geográfica, por exemplo “.com.br” para o Brasil. O nome completo de um domínio é o nome completo do caminho até chegar ao domínio root (.). O nome completo de um equipamento na rede é conhecido como Full Qualified Domain Name (FQDN). Como vimos, o DNS é baseado em conceitos como domínios e árvores, organizados de forma hierárquica. Além dos conceitos temos alguns componentes importantes do DNS, que são os seguintes: Espaço de nomes: espaço de nomes hierárquico e contínuo de um determinado domínio. Servidores DNS: contém o banco de dados de mapeamento entre os nomes DNS e o respectivo número IP, e respondem às consultas de nomes envidas por um usuário. Registros do DNS (Resource Records): cada entrada do Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 20 de 181 banco de dados do DNS, com um mapeamento entre um nome e uma informação associada ao nome. Cliente DNS: Conhecidos como resolvedores (resolvers), são os softwares responsáveis por receber um pedido de resolução de nome e encaminhar esta consulta para um servidor DNS. Cache DNS: mapeamento mantido nos servidores e usuários para acelerar o processo de resolução DNS, mantem as últimas ou mais frequentes consultas. Quando os mapeamentos são gravados no cache do servidor DNS, é associado a cada informação um parâmetro chamado Time-To-Live (TTL), que determina quanto tempo a informação será mantida no cache do servidor DNS, após uma consulta. O valor padrão do parâmetro TTL é 3600 segundos (1 hora). As informações sobre o DNS são armazenadas em zona DNS cominformações sobre computadores, serviços e endereços IP para um conjunto de equipamentos. Basicamente uma zona é um arquivo com informações no servidor DNS. Uma zona DNS é dita chamada primária no momento de sua criação com as informações do domínio. As zonas secundárias contém uma cópia integral dos registros da zona primária. As zonas secundárias somente podem ser criadas se já existir uma zona primária. O envio e recebimento das atualizações de DNS, entre zona primária e zona secundária, é feito através do mecanismo de transferência de zona. A transferência de zona pode ser completa (AXFR) ou parcial (IXFR). (Macete: A=All=Completa; I=Incremental=Parcial) Se a zona DNS contiver informações para mapear um nome para endereço IP, será chamada zona direta. A zona reversa mapeia um endereço IP para um nome associado ao endereço IP, e é utilizada quando o usuário, por exemplo, quer saber quem responde por um determinado endereço IP que está acarretando problemas na rede. Vamos conhecer agora uma importante informação: os tipos de Registros DNS. SOA - Start of authority (SOA) define o nome da zona e o nome do servidor que é a autoridade para a referida zona. Contém Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 21 de 181 também a definição das características básicas da zona, como o valor do TTL. É sempre o primeiro registro da zona. A - Mapeamento de um nome DNS para um endereço IP versão 4, de 32 bits. Exemplos: host1.estrategia.com.br IN A 10.10.10.1 AAAA - Mapeamento de um nome DNS para um endereço IP versão 6, de 128 bits. Exemplo: ipv6_ host1.estrategia.com.br. IN AAAA 2001:db8:1:2:3:4:567:89ab CNAME - Canonical name (CNAME): Mapeia um alias (apelido) ou nome DNS alternativo. Exemplo: www.estrategia.com.br. CNAME srv01.estrategia.com.br. MX - Mail exchanger (MX): informações utilizadas pelos servidores de e-mail, para o roteamento de mensagens. NS – Servidor de nomes (Name Server), relaciona um nome DNS com o servidor autoridade para o nome DNS. PTR - Pointer (PTR) utilizado em zonas reversas, para fazer o mapeamento reverso entre um número IP e um nome (atenção: o registro direto mapeia nome para endereço IP, o reverso mapeia IP para nome). SRV – mapeia um serviço ao respectivo servidor. Quando a consulta chega ao servidor DNS, se ele não puder responder a solicitação usando informações de uma zona local do DNS e nem informações contidas no cache do servidor DNS, continuará o processo de pesquisa usando o processo de recursão (recursion). Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 22 de 181 A recursão consiste em o servidor DNS recorrer a outros servidores da hierarquia para responder a consulta do usuário. O processo de recursão é ilustrado na figura acima. Nós podemos ter dois tipos de Servidor DNS. O servidor DNS autoritativo que é responsável por manter os mapas referentes a uma zona local e responder a requisições vindas de máquinas de todo o mundo, que precisarem resolver nomes de domínio da zona sobre a qual este servidor tem autoridade; E o servidor DNS recursivo que é responsável por receber as consultas DNS dos clientes locais e consultar os servidores externos, de modo a obter respostas às consultas efetuadas. É importante sabermos que, por segurança, a recursão, em regra, deve se limitar às consultas dos usuários internos. Caso a recursividade esteja disponível para consulta de usuários externos, temos o chamado DNS recursivo aberto que é extremamente não recomendado pelo cert.br (http://www.cert.br/docs/whitepapers/dns-recursivo-aberto). Atenção, este é um ponto potencial de questão de prova, pois foi uma vulnerabilidade bastante divulgada. Serviços de Diretório Pessoal, antes de entendermos o serviço de diretório, temos que saber que podemos administrar os recursos de uma rede de duas formas: descentralizada ou centralizada. Uma forma de administração descentralizada é o Grupo de Trabalho, ou Workgroup. Como a figura exemplifica, nele cada máquina é administrada localmente (ponto a ponto), ou seja, para um usuário utilizar os recursos (arquivos, impressoras, etc.) terá que possuir uma conta na base de dados local (SAM). Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 23 de 181 A figura acima exemplifica a diferença entre a gestão em grupos de trabalho e a gestão centralizada em domínio. Esse modelo de administração descentralizada (workgroup) é ideal para redes com pequeno número de recursos. À medida que cresce o número de recursos, a complexidade de administração também cresce exponencialmente. Se trabalharmos com Workgroup, não é obrigatória a instalação do Windows 2008 Server, pois estamos falando de uma rede descentralizada. Por outro lado, se for adotado um modelo de administração centralizado da rede, surge o conceito de domínio, e é necessária a instalação de um servidor de domínio como o Windows 2008 Server. Atenção para estes conceitos, pessoal. Domínio é uma estrutura (container) lógica para facilitar a gestão dos recursos da organização. Um domínio pode conter usuários, grupos, computadores e outras unidades organizacionais. O domínio se aplicaria em um escopo como uma organização ou a um setor, por exemplo. O domínio é um limite administrativo e todos os seus objetos compartilham um mesmo espaço de nomes (name space – podemos usar como analogia um domínio de internet, no qual todos os domínios filho compartilham um determinado sufixo). O Domínio é exemplificado pelo triângulo no topo da figura abaixo. Uma Unidade Organizacional também é um container utilizado com a mesma finalidade que o domínio, porém se aplica em um escopo menor. Uma Unidade Organizacional pode ser criada dentro de um domínio ou dentro de outra UO, e seu uso é facultativo. Em uma UO podemos ter usuários, grupos, computadores e outras unidades organizacionais. As Unidades Organizacionais (OU) são uma forma de controle administrativo. Distribuir os objetos em Unidades Organizacionais permite Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 24 de 181 o controle de administração em vários níveis e facilita a administração. Atentem que as Unidades Organizacionais não guardam necessariamente relação com a estrutura organizacional. Uma árvore é uma estrutura lógica mais abrangente que o domínio. A árvore é criada quando é criado um domínio. Todos os domínios da mesma árvore compartilham informações e recursos. Os domínios em uma árvore são unidos através de relações de confiança transitiva bidirecional. Uma relação de confiança significa que o Domínio A confia em B, e o domínio B confia em A. Floresta é um grupo de uma ou mais árvores. A floresta fornece recursos de segurança, convenções, confianças e global catalog. Criar uma floresta é a maneira de organizar as árvores e manter os esquemas separados. Os grupos são os tipos de objetos que podem conter computadores, usuários ou outros grupos, e permitem atribuir permissões aos recursos. A figura acima traz mais informações sobre grupos. Já o Group Policy Object (GPO) contém regras que são aplicadas Celson Carlos Martins Junior, Evandro Dalla VecchiaPereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 25 de 181 localmente, para sites do AD, domínio e unidades organizacionais. Um conceito chave é o de diretório, que é uma estrutura hierárquica que centraliza as informações sobre todos os objetos de um domínio. As informações sobre cada objeto no diretório são armazenadas em uma base chamada catálogo global do domínio. Ela permite aos administradores encontrarem informações de diretório independentemente de qual domínio do diretório realmente contenha os dados. Outro conceito importante é o de Serviço de diretório, que é um conjunto de atributos sobre recursos e serviços existentes na rede, ou seja, é uma maneira de organizar e simplificar o acesso aos recursos de sua rede. O Active Directory (AD) é um serviço de diretório para sistemas operacionais Microsoft Windows Server, posteriores à versão 2000, incluindo o Windows Server 2008. Nem todas as versões do Windows Server 2008 podem ser controladores de domínio, por exemplo a versão Web Server. Outro importante ponto é que o Active Directory depende totalmente do serviço DNS para a resolução de nomes dos objetos do domínio. O Active Directory é criado quando criamos um Domínio, não é possível criar um domínio antes de instalar o AD. Após a criação do domínio, o servidor no qual é criado o domínio passa a ser chamado de Controlador de Domínio. O Active Directory mantém dados como contas de usuários, impressoras, grupos, computadores, servidores, recursos de rede, etc. Cada recurso é chamado de objeto, ou seja, no AD objeto é todo recurso da rede representado no AD. Cada objeto possui propriedades ou atributos dos objetos. A base de dados de objetos do AD é armazenada em um arquivo chamado NTDS.dit, onde todos os recursos são armazenados. Os computadores clientes do Active Directory fazem buscas na base de dados do AD utilizando o protocolo LDAP. O Active Directory integra a segurança e o controle de acesso a objetos no diretório. A administração centralizada facilita o gerenciamento nas redes maiores e mais complexas. A administração centralizada é realizada por meio de um conjunto de regras chamado de esquema. Protocolo LDAP Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 26 de 181 O Lightweight Directory Access Protocol (LDAP) é um protocolo de rede executado sobre o TCP/IP. Sua função é organizar os recursos de rede de forma hierárquica, como uma árvore de diretório. As principais vantagens do LDAP são que ele é baseado em padrão aberto, possui API bem definidas, oferta maior velocidade de consulta que um banco de dados relacional, disponibiliza esquemas padronizados para dados e consolidação de informações, e é replicável e distribuível. Uma das principais vantagens do LDAP é que ele facilita a localização de informações e arquivos. Pesquisando pelo nome, é possível localizar informações sobre uma pessoa, como telefone, departamento, e outras informações, além de arquivos criados por ele ou que lhe façam referência. Uma árvore de diretório pode ser criada de acordo com a necessidade da instituição. Nessa árvore de diretórios, podemos ter organização hierárquica, primeiramente o diretório raiz, em seguida a rede corporativa, os departamentos e por fim os computadores dos usuários e os recursos de rede (arquivos, impressoras, etc.). O LDAP oferece escalabilidade. É possível replicar servidores LDAP (com backup ou balanceamento de carga) e incluir novos servidores, à medida que cresce a estrutura da organização. O LDAP pode ser usado em redes TCP/IP e é um padrão aberto, permitindo que existam produtos para várias plataformas. O LDAP define um conjunto de objetos e atributos para o armazenamento. Esse conjunto é chamado de schema. Todo novo objeto do LDAP é validado de acordo com as regras existentes no esquema. O esquema de objetos é modelado de acordo com o padrão X.500 da International Standards Organization (ISO) para serviços de diretório. Não há dois registros iguais em um mesmo diretório LDAP e os registros podem ser similares e conterem os mesmos atributos. O LDAP é gerenciado por comandos. O comando Connect permite a conexão com um servidor LDAP. Bind serve para autenticar o cliente no servidor LDAP. Ele envia o DN (Distinguished Name), a senha do usuário e a versão do protocolo que está sendo usada. O comando Search permite buscar ou recuperar entradas no LDAP. Modify permite alterar registros no LDAP. Já o comando Unbind realiza operação de fechamento da conexão entre cliente e servidor. Add adiciona registros em uma base LDAP. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 27 de 181 A versão 3 LDAP define “Extend Operation (operação estendida)", que permite enviar um pedido como o argumento e retornar uma resposta. O pedido pode conter um identificador que identifica o pedido e os argumentos do pedido. A resposta contém os resultados da realização do pedido. Por exemplo, pode haver uma operação de extensão solicitando conexão segura, utilizando o parâmetro StartTLS, que é um pedido para o servidor para ativar o protocolo TLS. Dynamic Host Configuration Protocol Administrar manualmente endereços IP não é uma tarefa trivial e conflitos de endereços de rede podem causar enormes transtornos, que não são fáceis de detectar e sanar. O Dynamic Host Configuration Protocol (DHCP) é um protocolo de atribuição dinâmica de endereço, que constitui um recurso de redes indispensável em redes de qualquer extensão, e que facilita a administração de endereços IP da rede. O DHCP facilita a execução de tarefas administrativas remotamente, e permite adicionar outras funções e papéis ao servidor que dependam do DHCP. O servidor DHCP de um domínio precisa ligar-se a um Active Directory e precisa estar em um servidor seja membro de um domínio. Os servidores DHCP podem trabalhar com agrupamentos lógicos dos endereços, para facilitar a administração. O escopo é um agrupamento administrativo de endereços IP em uma rede que use o serviço DHCP. Um escopo tem as seguintes propriedades: Um intervalo de endereços IP usados para ofertas de concessão de serviço DHCP. Uma máscara de sub-rede. Um nome de escopo. Valores de duração da concessão. Outras opções do escopo DHCP, como servidor do Sistema de Nomes de Domínio (DNS), endereço IP do gateway, e endereço do servidor do serviço WINS. Uma reserva DHCP é um recurso opcional que pode ser usado para garantir que um cliente DHCP sempre receba o mesmo endereço IP. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 28 de 181 Um superscopo é um grupo de escopos correlacionados que pode ser criado para atender redes que trabalhem conjuntamente. Um servidor DHCP com um superscopo engloba vários escopos menores, que podem ser estabelecidos para várias redes simultaneamente. Um recurso do Windows relacionado à atribuição de endereços IP é chamado Automatic Private IP Addressing (APIPA). Em redes que trabalham com DHCP, o APIPA é atribuído caso uma estação não possa receber um endereço IP de um servidor DHCP. NTFS Um sistema de arquivos é uma parte do sistema operacional que determina como os arquivos são nomeados, armazenados e organizados. Um sistema de arquivos gerencia arquivos e pastas e as informações necessárias para localizar e acessaresses itens. Todo acesso a esses recursos pelo Sistema Operacional é intermediado pelo sistema de arquivo, daí sua importância. O Windows Server 2008 oferece suporte ao sistema de arquivos NTFS em discos e volumes. Como a figura abaixo exemplifica, o New Technology File System (NTFS) é um sistema de arquivos hierárquico ou em árvore. Uma das principais características do NTFS diz respeito a Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 29 de 181 recuperação em caso de falhas, pois trabalha com journaling. Caso haja um desligamento repentino do computador, o NTFS é capaz de reverter os dados à condição anterior ao incidente. O NTFS também suporta redundância de dados, por exemplo, sistemas RAID. O sistema de arquivos NTFS é um sistema de arquivos proprietário desenvolvido pela Microsoft para ser um sistema de arquivos sucessor do FAT32. O NTFS não utiliza um número de versão, mas vem sendo atualizado incrementalmente ao longo dos anos pela fabricante, mantendo seu nome originial. Isto é que pode ser explorado nas questões de concurso, pois dependendo do elaborador da questão podem aparecer questões que digam que o NTFS não tem um recurso que há em uma versão mais nova, por exemplo. Então, para evitar confusão, quando se fala de NTFS entenda sempre como a versão mais atual, pois a utilização dele com número de versão é pouco utilizada. Outra característica do NTFS é o seu esquema de permissões de acesso, que permite que o usuário defina quem pode e como acessar pastas ou arquivos. As principais características do NTFS são: Controle de acesso a arquivos via listas de controle de acesso (ACLs) - sistemas FAT não suportam este recurso; NTFS Log – sistema de registros (journaling) de mudanças no sistema de arquivos; Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 30 de 181 Suporte à criptografia de sistema de arquivo transparente ao usuário; Suporte a quotas para usuários; Master File Table (MFT) - estrutura que armazena as principais informações de todos os diretórios e metadados de arquivos, como nome, data de criação e permissões de acesso. A MFT é tão importante que o NTFS armazena um backup dela no HD para evitar problemas em caso de defeito físico no setor do HD em que ela está armazenada. O NTFS também é bastante eficiente no trabalho com arquivos grandes e unidades de discos volumosos, especialmente quando comparado ao sistema de arquivos FAT. A tabela abaixo traz algumas informações técnicas do NTFS: Tamanho máximo dos arquivos 16 Exabytes (teórico), 16 TB no Windows 8 e no 2008 R2, 256 TB no Windows 8 e no Windows Server 2012 Tamanho máximo dos nomes de arquivos 255 caracteres (UTF-16) Tamanho máximo de um volume (partição) 264 clusters menos 1, o que dá aproximadamente 256 TB para clusters de 64 KB Outra característica do NTFS é que ao compartilhar arquivos ele permite definir quais serão as permissões de uso para quem acessar o recurso compartilhado, e ainda permite definir opções de segurança para o recurso compartilhado. O NTFS suporta dois diferentes tipos de permissões: padrão e especial. A tabela abaixo descreve as permissões padrão relativas ao NTFS. Tipo Descrição Ler (R) Permite que o usuário ou grupo leia o arquivo Escrever (W) Permite que o usuário ou grupo grave o conteúdo de um arquivo ou pasta e crie novos arquivos e pastas. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 31 de 181 É possível ter permissões de gravação sem permissões de leitura. Ler e Executar (RX) Permite que o usuário ou grupo para leia atributos de um arquivo ou pasta, visualizar o seu conteúdo, e leia arquivos dentro de uma pasta. Arquivos dentro de pastas com direitos RX herdam os direitos da pasta. Modificar (M) Permite que ao usuário ou grupo ler, escrever, executar e excluir o arquivo ou pasta. Listar (L) Semelhante ao RX, mas os arquivos dentro de uma pasta com direitos de L não herdarão direitos RX. Novos arquivos, no entanto, obter automaticamente permissões RX. Controle total (FC) Semelhante a M, também permite que o usuário ou grupo mude as permissões do arquivo ou pasta. As permissões migram na estrutura de diretórios e arquivos, em um processo conhecido como herança. A herança permite que arquivos e pastas criadas dentro de pastas já existentes tenham permissões atribuídas automaticamente a eles. Por exemplo, se a pasta A tem permissões RX, e for criada uma pasta B dentro dessa pasta, os usuários da pasta B terão automaticamente permissões RX. O Windows Server tem recursos que permitem quebrar o processo de herança automática de permissões, caso haja necessidade. Acesso à PastaB PastaA PastaB Herdam permissões Leitura / Gravação Impedem herança Sem acesso à PastaB PastaA PastaB PastaC Leitura / Gravação Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 32 de 181 Outro aspecto importante das permissões NTFS é observado no processo de copiar ou mover arquivos ou pastas, exemplificado na figura abaixo. Quando você copia arquivos e pastas, eles herdam permissões da pasta de destino. Quando você move arquivos e pastas dentro da mesma partição, eles mantêm suas permissões. Quando você move arquivos e pastas para outra partição, eles herdam as permissões da pasta de destino. Entender essas características do NTFS é importante por que todas suas peculiaridades e limitações se aplicam aos serviços de arquivos do Windows Server 2008, caso seja o NTFS utilizado como sistema de arquivos. Vamos agora partir para outro aspecto do Windows Server, ligado também ao sistema de arquivos: controle de acesso. Pessoal, o controle de acesso é um importante recurso para manutenção da segurança do sistema operacional. O controle de acesso consiste em verificar cada solicitação de acesso de um usuário a um recurso do sistema, para determinar se aquela solicitação deve ser autorizada ou negada. Políticas discricionárias As políticas discricionárias (Discretionary Access Control) se baseiam na atribuição de permissões de forma individualizada, ou seja, pode-se Copiar arquivos e pastas => herança de permissões da pasta de destino Move arquivos e pastas => herança de permissões da pasta de destino Move Copia Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 33 de 181 claramente conceder (ou negar) a um sujeito específico a permissão de executar a ação a sobre um objeto específico. Uma política discricionária têm a função de autorizar ou negar a Ação do Sujeito sobre o Objeto. O responsável pela definição das permissões de acesso a um objeto pode ser o seu proprietário ou um administrador central. Uma forma comum de implementar a politica discricionária é a Lista de Controle de Acesso. A lista de controle de acesso é a política discricionária frequentemente mais usada em sistemas operacionais, por ser simples de implementar e bastante robusta. Por exemplo, o sistema de arquivos NTFS do Windows faz uso de lista de controle de acessos para implementaro controle de permissões aos arquivos. Nesta abordagem, para cada objeto é definida uma lista de controle de acesso (ACL - Access Control List), que contém a relação de sujeitos que podem acessá-lo, com suas respectivas permissões (o que pode fazer, quando, e como). Políticas mandatórias Nas políticas obrigatórias (Mandatory Access Control) o controle de acesso é definido por regras globais, que não dependem das identidades dos sujeitos e objetos, da vontade de seus proprietários, ou do administrador do sistema. Imagine uma regra que vale para todos da empresa ou do órgão, por exemplo uma regra que proíba acesso a determinadas páginas web e é implementada por uma lista de proibição no filtro web. Uma das formas mais usuais de política obrigatória são as escalas de níveis de classificação (Multi-Level Security). Um exemplo de escala de níveis de classificação é aquela usada para definir a confidencialidade de um documento (Classificado, Reservado, Público). Pessoal, é importante saberem que, na maioria dos sistemas, as políticas obrigatórias são usadas em conjunto com as políticas discricionárias, pois elas se complementam. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 34 de 181 Em um sistema que usa políticas obrigatórias, cada acesso a recurso é verificado usando a politica obrigatória e também uma politica discricionária; o acesso é permitido somente se ambas as politicas o autorizarem. A ordem de avaliação das duas políticas não deve afetar o resultado final, mas pode ter impacto sobre o desempenho do sistema. Por isso, deve-se primeiro avaliar a regra mais restritiva, ou seja, aquela que tem mais probabilidades de negar o acesso. Políticas baseadas em papéis Um dos principais problemas de segurança em um sistema computacional é a administração correta das políticas de controle de acesso. As políticas mandatórias são geralmente consideradas pouco flexíveis e por isso as políticas discricionárias acabam sendo muito mais usadas. Para as políticas discricionárias também existem restrições. Na prática, há certa dificuldade de ficar gerenciando as autorizações. Lembrem que os usuários mudam de cargo, assumem novas responsabilidades, novos usuários entram na empresa e outros saem. Esse problema pode ser reduzido através do controle de acesso baseado em papéis (Role-Based Access Control). Uma política RBAC define um conjunto de papéis no sistema, como diretor, gerente, etc. e atribui a cada papel um conjunto de autorizações. Para cada usuário do sistema é definido um conjunto de papéis que este pode assumir. Ao cadastrar o usuário no sistema, o usuário escolhe os papéis que deseja ativar e recebe as autorizações correspondentes. Os papéis permitem desvincular os usuários das permissões. Por isso, um conjunto de papéis definido adequadamente é bastante estável, restando ao administrador apenas atribuir a cada usuário os papéis a que este tem direito. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 35 de 181 Geralmente, no modelo hierárquico baseado em papéis as funções são classificadas em uma hierarquia, na qual os papéis superiores herdam as permissões dos papéis inferiores. Serviços de arquivo e de impressão SERVIÇO DE ARQUIVOS A literatura prevê basicamente dois tipos de organização de diretórios, nível único ou em árvore. Nível único é a organização mais simples, nela todos os arquivos permanecem sob uma mesma estrutura lógica. Na organização em árvore, são criados diversos níveis ou subdiretórios, cada nível pode conter arquivos ou outros diretórios. O sistema de arquivos de cada Sistema Operacional se encarrega de delimitar o número de níveis da estrutura de diretórios. Uma das principais funções do Windows Server 2008 em uma organização é a de servir arquivos. Para isso, o Windows Server 2008 permite criar uma hierarquia de pastas compartilhadas que podem ser acessadas pela rede ou unidades mapeadas. Para entender melhor os serviços de arquivo do Windows Server 2008, precisamos estar familiarizados com a seguinte terminologia. Unidade Descrição Disco É o disco rígido real, físico dentro da máquina. Unidade A unidade é um objeto lógico formatado para uso com o Windows. Pode ser um disco físico ou uma partição. Partição Uma partição é uma parte de um disco físico, a qual pode Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 36 de 181 conter unidades lógicas, como volumes. Volume Um volume é uma unidade lógica, criada em uma unidade física como uma partição. Cota É um limite estabelecido a um disco, unidade ou partição. As cotas são aplicadas individualmente. Cotas trabalham com limites rígidos no Windows Server 2008. O comando fsutil quota gerencia cotas de disco em volumes NTFS. E o fsquota define quotas no nível do file system. Várias características e recursos que estão presentes no Windows Server 2008 permitem um acesso mais rápido, mais transparente para os serviços de arquivo. As principais características do serviço de arquivos do Windows Server 2008 são as seguintes: Encrypting File System (EFS) – é o recurso de criptografia nativa no Windows Server 2008 que foi incorporada ao sistema de arquivos NTFS. Permite criptografar e descriptografar os arquivos e pastas. Cópia de sombra de volume (Shadow Copy) - O recurso de cópia de sombra de volume é um recurso do Windows Server 2008 que tira fotos (snapshots) dos arquivos em períodos específicos, criando uma biblioteca de versões anteriores de um arquivo. Se um arquivo for acidentalmente substituído ou excluído, é possível clicar em versões anteriores e acessar uma versão de cópia de sombra. Serviço de busca do Windows - O Windows Search Service do Windows Server 2008 cria catálogos e índices do conteúdo dos discos rígidos dos servidores. Permite a pesquisa em arquivos de diferentes formatos e idiomas. Vamos passar a falar agora de um importante recurso do serviço de arquivos, o compartilhamento. No Windows Server 2008, somente Administradores, Operadores do Servidor, ou grupos de utilizadores avançados podem compartilhar pastas. Atenção que as permissões de compartilhamento são diferentes das permissões de arquivo e de pastas. Após a instalação, o Windows Server 2008 cria vários compartilhamentos padrão que são ilustrados abaixo. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 37 de 181 C$ - Compartilhamento administrativo que proporciona uma maneira rápida para acessar um determinado computador através da rede e verificar o conteúdo da unidade. O Windows Server 2008 cria um compartilhamento administrativo para cada unidade local em um sistema. São ferramentas úteis para gerenciamento remoto e solução de problemas. Admin$ - também é um compartilhamento administrativo que mapeia diretamente a localização dos arquivos de sistema do Windows Server 2008; é o mesmo que o ambiente de variável %systemroot%. IPC$ - Este compartilhamento do Windows Server 2008 permite a comunicação entre os processos. NETLOGON – Compartilhamento obrigatório em controladores de domínio, destinado a colocar os scripts de logon e logoff, programas e informações de perfil para os usuários registrados na rede. Está localizado em %SystemRoot%\sysvol\domainname\scriptsno sistema de arquivos do servidor. SYSVOL - Compartilhamento usado para operações de controlador de domínio interno. SERVIÇOS DE IMPRESSÃO O serviço de Impressão (Print Server) do Windows Server fornece do detalhes sobre o status de impressoras e servidores de impressão da rede, e permite instalar conexões de impressoras em um grupo de computadores e monitorar filas de impressão remotamente. Em impressoras que possuem interface de gerenciamento Web, o gerenciamento de Impressão pode exibir dados, como os níveis de toner e papel. Há duas ferramentas principais para administrar um servidor de impressão Windows Server: Gerenciador de Servidores e Gerenciamento de Impressão. O Gerenciador de Servidores permite instalar a função do servidor de Serviços de Impressão, recursos e serviços de função opcionais. O Gerenciador de Servidores também exibe eventos relacionados a impressão na opção Visualizar Eventos e inclui um snap-in de Gerenciamento de Impressão. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 38 de 181 O Gerenciamento de Impressão fornece uma interface que os administradores podem usar para administrar várias impressoras e servidores de impressão. Uma possibilidade bem vantajosa do serviço de impressão é instalar um único driver de impressora e associá-lo com diferentes impressoras. Este arranjo é conhecido como “pool de impressoras” e é utilizado para distribuir o volume de impressão entre as diversas impressoras da rede. Por exemplo, podemos instalar quatro impressoras da mesma marca e modelo em um servidor de impressão. Neste servidor, nós instalamos o driver da impressora e associamos este driver com as quatro impressoras instaladas. Com isso criamos um pool de impressão. A medida que as impressões chegam, o driver da impressora vai direcionando os trabalhos para a impressora que estiver com o menor volume de trabalho, ou seja, com a menor fila de impressão. Servidor de Impressão Servidor de Impressão é uma função que instalamos e é usado para gerenciar várias impressoras ou servidores de impressão e migrar impressoras de e para outros servidores de impressão do Windows. Escalabilidade e alta disponibilidade Pessoal, os servidores precisam observar alguns requisitos como escalabilidade, confiabilidade, disponibilidade, entre outros. Quando Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 39 de 181 falamos de servidores Windows as coisas não são diferentes, precisamos atender características similares, e é sobre isso que iremos falar nesse tópico. Escalabilidade, confiabilidade e disponibilidade são conceitos que tem se difundido e podem ter significados diferentes em várias. Em face disso, vamos então o que cada um desses requisitos quer dizer e que recursos podem ser utilizados para alcançá-los nos servidores. Redundância Pessoal, vamos começar do requisito ou conceito mais simples que é a redundância. Basicamente quando falamos em redundância estamos falando em duplicar os recursos. Com a redundância, passamos a dispor de dois servidores (físico ou virtualizado), um principal e outro servidor redundante. Podemos ter dois tipos de redundância, local ou geográfica. Na redundância local, o servidor redundante fica fisicamente no mesmo local que o principal. Na redundância geográfica, o servidor redundante fica em outro local. Mas a simples redundância pode não solucionar todos os problemas não é pessoal? Imaginem se tivermos um dos servidores redundantes respondendo a uma requisição. Se o principal falhar, como garantimos que o redundante continue a responder a requisição, sem interromper a comunicação? Para solucionar este problema surgiu o conceito de failover. No failover temos também uma solução redundante, porém mais sofisticada. No failover, quando o servidor principal falha, o redundante continua a responder a requisição, sem interromper a comunicação. Mas como é que acontece isso? Um dos principais mecanismos para isso é a replicação de estados, ou seja as informações são replicadas/compartilhadas entre os dois equipamentos. Se tivermos roteadores redundantes, por exemplo, os dois compartilharão a mesma tabela de roteamento. Mas somado a replicação, podemos ter outros recursos para que os equipamentos saibam sobre a disponibilidade dos outros, por exemplo um ping. Segundo a versão recente do ITIL, existem três tipos de estratégias de redundância, ou de recuperação de desastres, como citado em algumas literaturas. Os principais tipos de redundância são: Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 40 de 181 Tipo Descrição Cold Standby Em Cold Stanby a provisão dos recursos é feita para Recuperar o Serviço de TI em um período de tempo maior do que 72 horas. O nó redundante atua como backup de outro sistema idêntico, mas ele é instalado e configurado apenas quando o nó primário falha. No caso de uma falha no nó principal o nó secundário estará ligado e os dados serão restaurados, antes de reiniciar o componente com falha. Podem ser feitos backups do sistema primário em um sistema de armazenamento e restaurado no sistema secundário se for necessário. Um site frio é o tipo menos caro do site de backup para uma organização de operar. Em alguns casos, um cold site pode ter equipamento disponível, mas não operacional. Warm Standby Na recuperação Warm Standby a provisão é feita para Recuperar o serviço em um período de tempo entre 24 e 72 horas. O hardware e software precisam estar configurados e os dados precisam ser restaurados como parte do Plano de Continuidade. Hot Standby Na opção de recuperação conhecida como Hot Standby a recuperação do serviço é em um curto período de tempo, tipicamente inferior a 24 horas. Recuperação rápida geralmente usa um mecanismo fixo dedicado com sistemas de computadores, software e configurado pronto para executar os serviços de TI. Recuperação imediata pode levar até 24 horas, se há uma necessidade de restaurar os dados a partir de backups. Componentes de gerenciamento são instaladas em ambos os nós primário e secundário. Os componentes de software no sistema secundário ficam disponíveis, mas não processam dados ou solicitações. Os dados são espelhados em tempo quase real e ambos os sistemas tem dados idênticos. A replicação de dados (estados) é tipicamente feita por meio de recursos do software. Hot Standby pode proporcionar tempos de recuperação de até alguns segundos. Pessoal, o uso de estratégias de redundância pode tanto ser aplicado aos servidores, como também aos equipamentos. Por exemplo, podemos construir arquiteturas altamente disponíveis com a combinação das várias técnicas, alta disponibilidade, redundância, Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 41 de 181 balanceamento de carga. Caso um servidor falhe, o outro continua a responder. Escalabilidade Um servidor também necessita ser escalável, isso é essencial atualmente. Tipicamente podemos falar de duas características distintas que denotam escalabilidade. Escalabilidade pode ser a qualidade de um servidor responder, conforme aumenta o número de requisições dos seus usuários, de forma transparente para os usuários. Escalabilidade também pode ser a qualidade que permita adicionarrecursos para atender ao aumento de requisições, sem que isso interrompa seu funcionamento normal. Temos duas dimensões de escalabilidade: a horizontal (scale- out) e a vertical (scale-up). Nós podemos aumentar a escalabilidade de um servidor aumentando recursos. Nesse caso estamos nos referindo a Escalabilidade vertical (scale-up). Podemos, por exemplo, disponibilizar mais capacidade de processamento, mais disco, ou mais memória física, ou aumentar a largura de banda do servidor. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 42 de 181 Escalabilidade horizontal (scale-out/múltiplos hosts) é a capacidade de adicionar mais servidores/nós, ou adicionar um novo servidor a um cluster. Balanceamento de carga Outro importante recurso é o balanceamento de carga. Balanceamento de Carga (load balancing) é um recurso usado para atingir escalabilidade e disponibilidade, dividindo igualitariamente as requisições dos usuários entre um conjunto de servidores. Na figura abaixo, nós vemos um exemplo de balanceamento de carga entre servidores de aplicação. O balanceador de carga distribui equitativamente as requisições entre os diversos servidores, evitando que algum deles seja sobrecarregado. O objetivo do balanceamento de carga é promover a melhoria de desempenho do através da distribuição das tarefas a serem executadas entre os recursos. Podemos realizar balanceamento de carga de várias formas, quando falamos de servidores de aplicação as mais comuns são através de Round Robin ou First Available. Também obtemos estabilidade no tempo de resposta das requisições, de acordo com valores limites, e oferece escalabilidade de serviços e recursos, ou seja, à medida que houver aumento de demanda (novas aplicações, maior número de usuários conectados, etc), mais recursos podem ser alocados. Pessoal, atenção! Também podemos fazer uso conjunto desses recursos, ok. Podemos ter um arranjo, em que podemos combinar balanceamento de carga, com redundância. Podemos ter inúmeras combinações, conforme os requisitos de cada aplicação. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital www.estrategiaconcursos.com.br 69360 43 de 181 No balanceamento de carga também podemos fazer uso de clusters de balanceamento de carga ou de failover para obter alta disponibilidade, sobre o que falaremos em seguida. A seguir veremos os recursos do Windows Server para propiciar escalabilidade. Alta Disponibilidade Pessoal, quando falamos em aplicações críticas, um requisito que se torna indispensável é a disponibilidade. A disponibilidade permite que os usuários acessem e utilizem os serviços quando desejarem, com garantia de não interrupção. Para aumentar a disponibilidade, empregam-se técnicas chamadas de alta disponibilidade (HA). Na alta disponibilidade são empregadas em conjunto várias técnicas, virtualização, redundância, replicação, balanceamento de carga, entre outros, sempre com o objetivo de garantir às aplicações o máximo de disponibilidade possível. Com a necessidade crescente por sistemas de alta disponibilidade, uma medida de disponibilidade cada dia mais usada é a medida do número de noves no tempo de disponibilidade. Assim um sistema de cinco noves possui disponibilidade de 99,999%, e oferece serviços contínuos, com interrupção de aproximadamente 5 minutos por ano. O Data Center da Google pode, por exemplo, ter disponibilidade de 99,9995%. As medidas normalmente utilizadas para disponibilidade, MTTF, MTTR, MTBF, são também medidas relacionadas a confiabilidade. Medida Significado MTTF Mean time to failure - tempo esperado até a primeira ocorrência de defeito MTTR Mean time to repair - tempo médio para reparo do sistema MTBF Mean time between failure - tempo médio entre as defeitos do sistema Como falhas são inevitáveis em ambientes computacionais, são utilizadas técnicas para maximizar a disponibilidade, mesmo na presença de falhas. Vamos agora falar sobre dois recursos do Windows 2008: a clusterização e o balanceamento de carga. Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 44 de 181 Distributed File System e FSRM O Windows Server 2008 também inclui o Sistema de Arquivos Distribuído (Distributed File System - DFS), que é um recurso que permite criar um sistema de arquivos lógico distribuído. Isto torna mais fácil encontrar e armazenar arquivos de forma mais rápida e consistente, diminuindo o tempo de resposta. O DFS permite que vários sistemas de arquivos distintos, potencialmente em vários servidores sejam vistos em uma mesma representação lógica (por exemplo, um mesmo nome de domínio ou mesmo IP). As diferentes pastas compartilhadas, que podem estar em unidades diferentes em diferentes servidores, podem ser acessadas a partir de uma pasta, conhecida como namespace. O DFS namespace permite que pastas compartilhadas, armazenados em servidores diferentes, sejam apresentadas aos usuários em uma árvore coerente, tornando a localização real dos arquivos e pastas irrelevantes para o usuário. A replicação DFS é um mecanismo de replicação que suporta programação, otimização de largura de banda, e compressão. A Replicação DFS usa um algoritmo conhecido como Compression Remota Diferencial (RDC), que atualiza os arquivos através de uma rede com largura de banda limitada. Um outro recurso relacionado ao DFS é o Gerenciador de recursos de servidor de arquivos (FSRM). Ele é um console integrado que contém diversas ferramentas e funções de relatório para controlar e administrar a quantidade e tipo de dados armazenados nos servidores de arquivos. O FSRM fornece um console único para configurar cotas em pastas e volumes, tipos inaceitáveis de arquivos, relatórios sobre utilização de espaço em disco. O acesso ao FSRM é feito pelo Server Manager. O FSRM permite encontrar certos tipos de arquivos e impedir que eles sejam armazenados nos servidores de arquivos, por exemplo vídeos, MP3 e WMA. Network Load Balance Celson Carlos Martins Junior, Evandro Dalla Vecchia Pereira Aula 01 Sistemas Operacionais e Servidores de Aplicação p/ BRB (Analista TI) - Pós-Edital 69360 www.estrategiaconcursos.com.br 45 de 181 O Network Load Balance (Balanceamento de Carga de Rede) é um recurso do Windows Server 2008 que permite aprimorar a disponibilidade e a escalabilidade de servidores. Se um único servidor com Windows Server 2008 executar uma aplicação cliente, haverá um nível limitado de confiabilidade e de desempenho. Para contornar isso, o NLB melhora a confiabilidade e o desempenho, combinando os recursos de dois ou mais servidores que executem o Windows Server 2008, em um único cluster virtual. A figura acima ilustra dois clusters do balanceamento de carga de rede conectados. O primeiro consiste em dois hosts e o segundo, em quatro. Esse é um exemplo de uso do NLB. Cada host executa uma cópia separada dos aplicativos desejados e o NLB distribui as solicitações de entrada dos clientes pelos hosts do cluster. É possível adicionar hosts dinamicamente ao cluster para atender aumentos de carga. Além disso, o NLB pode direcionar todo o tráfego para um único host designado, chamado de host padrão. O NLB permite que todos os computadores do cluster sejam identificados pelo mesmo conjunto de endereços IP de cluster e mantém um conjunto de endereços IP dedicados para cada host. Quando um host falha, a carga
Compartilhar