Windows Server 2008pdf
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Windows Server 2008pdf

on

  • 4,871 views

 

Statistics

Views

Total Views
4,871
Views on SlideShare
4,775
Embed Views
96

Actions

Likes
1
Downloads
80
Comments
0

1 Embed 96

http://www.f2suporte.com 96

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Windows Server 2008pdf Document Transcript

  • 1. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 2. Sobre o documento ESTE DOCUMENTO NÃO É UMA ESPECIFICAÇÃO DE PRODUTO. Este documento suporta a versão Beta 3 do Windows Server® “Longhorn.” As informações contidas no mesmo representam a visão atual da Microsoft Corporation sobre os assuntos discutidos até a data da publicação. A Microsoft deve reagir às constantes alterações nas condições do mercado, e sendo assim este documento não deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação aqui. Este documento tem propósito exclusivamente informativo. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU REGULAMENTARES ACERCA DAS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. As informações contidas neste documento, incluindo URL e outras referências a sites da Internet, estão sujeitas a alterações a qualquer momento. Salvo disposição em contrário, os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de e-mail, logotipos, pessoas, lugares e eventos aqui descritos são fictícios e não têm relação alguma com qualquer empresa, organização, produto, nome de domínio, endereço de e-mail, logotipo, pessoa, lugar ou evento real. É de responsabilidade do usuário o respeito a toda a legislação de copyright aplicável. A Microsoft concede o direito de reprodução deste guia, no todo ou em parte. A Microsoft pode deter as patentes, as solicitações de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licença escrito da Microsoft, o fornecimento deste documento não confere a você qualquer licença em relação a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais. © 2007 Microsoft Corp. Todos os direitos reservados. Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN são marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietários. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 3. O guia dos revisores do Windows Server® “Longhorn”Beta 3 fornece uma visão geral técnica abrangente dosrecursos e funções inovadores que tornam oWindows Server “Longhorn” um sistema operacional deúltima geração e o sucessor do MicrosoftWindows Server 2003. Este guia também forneceinformações sobre os benefícios que o Windows Server“Longhorn” oferece a diversos usuários, bem comoinformações sobre cenários variados.
  • 4. Conteúdo Sobre o documento ...............................................1 Conteúdo ......................................................1 Seção 1: Introdução ao Windows Server “Longhorn” 3 1.01 Introdução ao Windows Server “Longhorn”...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteção..............................................14 Seção 2: Virtualização do Servidor 18 2.01 Introdução à Virtualização de Servidor .............................19 2.02 Virtualização do Windows Server.................................20 2.03 Núcleo do Servidor ...........................................33 Seção 3: Acesso Centralizado a Aplicações 34 3.01 Introdução ao Acesso Centralizado a Aplicações .....................35 3.02 Funcionalidade Básica de Serviços de Terminal ......................36 3.03 Gateway de Serviços de Terminal ................................53 3.04 RemoteApp de Serviços de Terminal ..............................62 3.05 Acesso a Web de Serviços de Terminal ............................65 3.06 Impressão de Serviços de Terminal ...............................69 3.07 Session Broker de Serviços de Terminal ...........................73 3.08 Licenciamento de Serviços de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79 Seção 4: Escritórios Remotos 83 4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84 4.02 Controlador de Domínio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Núcleo do Servidor ...........................................99 Seção 5: Aplicação de Diretivas e Segurança 100 5.01 Introdução à Aplicação de Diretivas e Segurança ....................101 5.02 Serviços de Acesso e Diretiva de Rede ...........................103 5.03 Proteção contra Acesso à Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120 5.05 Firewall do Windows com Segurança Avançada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Serviços de Certificado do Active Directory ........................139 5.08 Serviços de Domínio do Active Directory ..........................160 5.09 Serviços Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192 Seção 6: Plataforma de Aplicações e da Web 199 6.01 Introdução à Plataforma de Aplicações e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicação ........................................212 6.05 NTFS Transacional..........................................217 Seção 7: Gerenciamento de Servidores 219 7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222
  • 5. 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Serviços de Implantação do Windows ............................254Seção 8: Alta Disponibilidade 266 8.01 Introdução à Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273Seção 9: Windows Server e Windows Vista - Melhores juntos 275 9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276Seção 10: Diversos 283 10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Conteúdo ................................286
  • 6. 3Seção 1: Introdução aoWindows Server “Longhorn” 1.01 Introdução ao Windows Server “Longhorn”...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteção..............................................14 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 7. 41.01 Introdução ao Windows Server “Longhorn” O Microsoft Windows Server “Longhorn” Fornece Maior Controle, Mais Flexibilidade e Proteção Aperfeiçoada para Sua Infra-Estrutura de Servidor Ajudando Você a Otimizar Tempo e Custos As pessoas buscam resultados comerciais. Amplie seu impacto e você criará um sucesso maior. Na Microsoft acreditamos que as pessoas, quando equipadas adequadamente com as ferramentas corretas, podem superar até mesmo os desafios comerciais mais complexos. Das muitas opções disponíveis para empresas, o software demonstrou uma capacidade única de amplificar o impacto positivo das pessoas, ajudando-as a superar desafios de gerenciamento de empresas e a contribuir de maneira mais eficiente para o resultado final. Como parte do auxílio às pessoas alcançarem o sucesso comercial, a Microsoft está buscando ajudá-las a gerenciar a complexidade e alcançar agilidade, proteger informações e controlar o acesso, desenvolver a empresa com soluções de TI, e aumentar seu impacto. Oferecendo uma plataforma produtiva para impulsionar redes de aplicações, serviços de Web e Virtualização como o Windows Server® “Longhorn,” a Microsoft ajuda você a melhorar os níveis de serviço a um custo mais baixo, permite que construa e opere uma plataforma flexível para atender as exigências comerciais sempre em mudança, e lhe dá recursos para proteger melhor a plataforma de TI em que sua organização se apóia. Quanto melhor capacitarmos seu pessoal a ser produtivo e capaz, mais podemos ajudar você e as pessoas em sua organização a alcançar o sucesso comercial hoje e na direção do futuro. A infra-estrutura de TI é um ativo estratégico e a fundação crítica sobre a qual o software pode fornecer serviços e aplicações de usuários de que uma empresa precisa para operar de maneira eficiente e ter sucesso. O Windows Server “Longhorn” possibilita um maior sucesso comercial oferecendo uma plataforma que suporta soluções e aplicações críticas, tornando-as disponíveis para a sua organização quando precisa delas. O Microsoft® Windows Server “Longhorn,” com tecnologia de virtualização de última geração disponível, permite que você Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 8. 5aumente a flexibilidade sua infra-estrutura de servidores aomesmo tempo em que o ajuda a poupar tempo, reduzir custos, eoferecer uma plataforma para um centro de dados dinâmico eotimizado. Poderosas novas ferramentas como o Gerenciador deWindows® Server (Windows® Server Manager) e Windows PowerShellpermitem mais controle sobre seus servidores e dinamização deconfiguração e tarefas de gerenciamento para que você possapassar menos tempo em tarefas cotidianas e mais tempoproporcionando mais valor para sua organização. Melhoriasavançadas de segurança e confiabilidade como a Proteção contraAcesso à Rede (NAP - Network Access Protection) e o Controladorde Domínio de Somente Leitura (RODC - Read Only DomainController) fortalecem o sistema operacional e ajudam a protegerseu ambiente de servidor para lhe proporcionar uma fundaçãosólida sobre a qual construir seus negócios.A figura a seguir descreve os três pilares do Windows Server“Longhorn”:Introdução aos CenáriosO Windows Server “Longhorn” é o lançamento de servidor Microsoftmais focado no cliente de todos os tempos; isso fica evidente emcomo o servidor é configurado e gerenciado por função através doutilitário Gerenciador de Windows Server. Quando os clientesconsideram um servidor, tentem a pensar nele como se ocupasse umafunção específica em sua infra-estrutura, embora possa ser umservidor de múltiplos propósitos hospedando mais de uma função. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 9. 6Além disso, no caso da função de Virtualização de Servidor, podeser uma plataforma sobre a qual executar múltiplos servidores emque cada qual possui funções diferentes. De qualquer maneira, osprofissionais de TI irão se referir tipicamente a um “servidor deimpressão”, “servidor de arquivos”, “servidor de Web” ou“controlador de domínio”, descrevendo aquele servidor por suafunção primária.Da mesma forma que um servidor é implantado em uma funçãoespecífica, ele também realizará parte ou toda uma “carga detrabalho”, ou contribuirá para o “cenário” de uma empresa. Cargasde trabalho tipicamente empregam múltiplos servidores executandodiferentes funções para fornecer uma solução geral para um dadocenário. Por exemplo, servidores executando os Serviços deDomínio do Active Directory® (Active Directory® Domain Services),Serviços de Certificado do Active Directory (Active DirectoryCertificate Services) e Serviços de Federação do Active Directory(Active Directory Federation Services) podem executar funçõesdistintas, mas todos eles contribuem pra uma carga de trabalho oucenário de nível mais alto de “Gerenciamento de Identidade eAcesso”.Quando os clientes implantarem o Windows Server “Longhorn”,provavelmente escolherão certos cenários e cargas de trabalho emque sintam que o produto proporciona maior valor ou facilidade deimplementação com mínima interrupção de sua infra-estruturaexistente. Por essa razão, consideramos o Windows Server“Longhorn” como será implantado pelos clientes em cenáriosespecíficos.Vamos nos concentrar em sete principais cenários de produto quesuportam os pilares de proposta de valor para o Windows Server“Longhorn.” Para cada pilar temos dois cenários que mapeiamaproximadamente as cargas de trabalho de servidor reconhecidas.Também fizemos uma série de melhorias no Windows Server“Longhorn” que podem dar valor a implantações em escritóriosremotos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 10. 7A figura a seguir descreve os sete cenários do Windows Server“Longhorn”: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 11. 81.02 Maior Controle Passe Menos Tempo em Tarefas Cotidianas O Windows Server “Longhorn” permite que você tenha mais controle sobre sua infra-estrutura de servidor e de rede, permitindo que se concentrem em suas necessidades comerciais mais críticas. Os clientes precisam de melhor controle e gerenciamento em sua infra- estrutura de servidor. As questões dos clientes incluem as seguintes: • Quero saber de problemas e corrigi-los antes que meus usuários sejam afetados. • Quero automatizar o máximo possível de meu gerenciamento. • O sistema operacional do servidor deve ter ferramentas de gerenciamento melhores. Eu não deveria ter de comprar aplicações de terceiros para fazer o gerenciamento básico de sistemas. • Posso ser alertado para um problema com um servidor, mas o alerta não dá informações suficientes para eu entender e solucionar a falha. • Muitas tarefas cotidianas tomam muito tempo. • A infra-estrutura cresceu pela necessidade. Conforme quisemos fazer mais, precisamos adicionar mais – e gerenciar mais. • Quero utilizar o TI para me tornar mais eficiente e ver a TI como um ativo estratégico para a empresa. • Preciso reduzir custos e complexidade. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 12. 9Simplifique o gerenciamento de sua infra-estrutura de TI usandonovas ferramentas que proporcionam uma interface concentrada paraconfiguração e monitoramento de servidor, assim como a capacidadede automatizar tarefas de rotina. • O Gerenciador de Windows Server acelera a instalação e configuração de servidor, e simplifica o gerenciamento em andamento de funções de servidor através de um console unificado de gerenciamento. • O Windows PowerShell, um novo shell de linha de comando com mais de 130 ferramentas e uma linguagem de script integrada, permite que os administradores controle mais facilmente e automatizem mais seguramente tarefas rotineiras de administração de sistemas, especialmente ao longo de múltiplos servidores.Dinamize a instalação e gerenciamento do Windows Server“Longhorn” instalando apenas as funções e recursos de queprecisa. A personalização da configuração do servidor simplificaa manutenção permanente minimizando a área da superfície deataque e reduzindo a necessidade de atualizações de software. • A Instalação Baseada em Função instala somente os componentes de que você precisa para uma determinada função, simplificando a configuração e manutenção do sistema operacional, reduzindo os custos de implantação e gerenciamento do Windows Server. • O Núcleo do Servidor Windows (Windows Server Core) é uma nova opção de instalação para funções selecionadas (Virtualização do Windows Server, Active Directory, Modo de Aplicação do Active Directory (Active Directory Application Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impressão) que inclui uma interface gráfica de usuário ou recursos e serviços não-relacionados, proporcionando um servidor altamente disponível que requer menos atualizações e menos manutenção.Identifique com precisão e resolva pontos de problemas compoderosas ferramentas de diagnóstico que lhe dão visibilidadecontínua do ambiente de seu servidor, tanto físico como virtual. • Console integrado de desempenho e confiabilidade oferece diagnósticos incorporados para ajudar a evitar e reduzir o impacto de falhas, inclusive o Framework de Diagnóstico de Rede (Network Diagnostic Framework). • Visualizar Eventos (Event Viewer) mais rico proporciona uma percepção mais profunda para o administrador que ajuda a resolver problemas antes que afetem os usuários. • Pacotes de Gerenciamento para cada função de servidor fornecem integração aprimorada com o Gerenciador de Operações do Microsoft System Center (Microsoft System Center Operations Manager). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 13. 10Aumente o controle sobre servidores situados em locais distantes,como o escritório remoto. Com administração de servidor ereplicação de dados otimizados, você pode fornecer aos usuáriosum melhor serviço ao mesmo tempo em que reduz as dores de cabeçado gerenciamento. • Priorização de tráfego de WAN entre clientes do Windows Vista™ e servidores do Windows Server “Longhorn” • Otimização de tráfego de WAN e auto-ajuste de rede para replicação de SysVol, Replicação de Sistema de Arquivos Distribuído, e outros protocolos como SMB • O Controlador de Domínio de Somente Leitura permite que você forneça autenticação local para usuários de escritório remoto sem implantar uma cópia completa e gravável do banco de dados do Active Directory database, que poderia estar sujeita a corrupção ou exposta a riscos. • O Microsoft BitLocker™ permite que você exerça controle adicional sobre os dados em um disco rígido de servidor em locais remotos menos seguros. • O Gerenciamento Centralizado de Impressora permite que você controle todas as impressoras a partir de um único local e passe menos tempo gerenciando impressoras remotas.Simplifique o gerenciamento de servidores de Web com o InternetInformation Services 7.0, que é uma poderosa plataforma de Webpara aplicações e serviços. Essa plataforma modular oferece umainterface de gerenciamento simplificada, baseada em tarefa, maiorcontrole entre sites, aprimoramentos de segurança, egerenciamento integrado de integridade para Web Services. • A interface baseada em tarefa simplifica tarefas comuns de gerenciamento de servidor de Web. • Cópias entre sites permitem que você copie facilmente configurações de Websites ao longo de múltiplos servidores de Web sem configuração adicional. • A administração delegada de aplicações e sites permite que você dê controle de diferentes partes do servidor de Web àqueles que precisam dele.Aumente o controle sobre suas configurações de usuário comDiretiva de Grupo Expandida: Administradores podem poupar tempo edinheiro configurando configurações de rede por ou sem fio, dedispositivos de armazenamento removíveis, impressoras, MicrosoftInternet Explorer®, e até mesmo configurações de gerenciamento deenergia usando a Diretiva de Grupo. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 14. 111.03 Mais Flexibilidade Reaja Rapidamente às Necessidades de Sua Empresa As companhias precisam que sua infra-estrutura se adapte às necessidades de seus negócios para permanecerem ágeis. As questões dos clientes incluem as seguintes: • Preciso usar meus servidores atuais de maneira mais eficiente, então não preciso comprar hardware adicional sempre que adiciono uma aplicação ou serviço. • Atualizar o sistema operacional de meu servidor é demorado e perturbador; deveria ser mais fácil implantar e gerenciar atualizações de servidor. • Não tenho flexibilidade suficiente com as ferramentas em meu sistema operacional para solucionar novos problemas. • É difícil demais implantar novas tecnologias com meus sistemas existentes. • Plataformas de legado que exigem muita mão-de-obra levam a aumentos nos custos de administração e suporte. • A implantação e manutenção de sistemas são caras, e consomem muito tempo e esforço. • Preciso consolidar e virtualizar meus servidores e aplicações. • Preciso adicionar recursos dinamicamente a máquinas virtuais para satisfazer cargas aumentadas. • Preciso mover dinamicamente máquinas virtuais para outra máquina com mais capacidade. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 15. 12 • Novas implantações precisam se integrar com meu ambiente existente do Windows Server e outros sistemas.Virtualize múltiplos sistemas operacionais — Windows, Linux eoutros – em um único servidor. Com a virtualização incorporada nosistema operacional e com diretivas de licenciamento mais simplese flexíveis, agora é mais fácil que nunca tirar proveito de todosos benefícios e economias de custos da virtualização. • A Virtualização do Windows Server é uma plataforma de virtualização de última geração baseada em monitor integrada com o sistema operacional que permite que você adicione dinamicamente recursos físicos e virtuais. • Plataforma dinâmica. A Virtualização do Windows Server proporciona grande confiabilidade, avançada escalabilidade, e recursos dinâmicos que permitem que você virtualize a maioria das cargas de trabalho em sua infra-estrutura. • Gerenciamento integrado. A integração com o Gerenciador de Máquina Virtual do System Center permite um rápido aprovisionamento de máquinas virtuais e um único conjunto de ferramentas integradas para gerenciar seus recursos físicos e virtuais. • Suporte abrangente. A Microsoft fornece suporte 24x7 para Windows Server, Linux e convidados Linux ativados para Xen na plataforma de Virtualização do Windows Server. • Amplo suporte da indústria. A Microsoft e seu ecossistema de parceiros fornecem amplo suporte que permite a você implantar aplicações na plataforma de virtualização da Microsoft com confiança e paz de espírito, além de utilizar o conhecimento individual e coletivo existentes sobre o Windows Server e conjuntos de habilidades da comunidade profissional da TI.Centralize o acesso a aplicações e proporcione integração seminterrupções de aplicações publicadas remotamente. As melhoriastambém somam a capacidade de conectar-se a aplicações remotasatravés de firewalls e sem o uso de uma rede virtual privada (VPN- virtual private network) — assim você pode reagir rapidamenteàs necessidades de seus usuários, independentemente dalocalização. • Programas Remotos de Serviços de Terminal permitem um acesso remoto sem interrupções e publicação de aplicações para implantação simples e rápida de aplicações e gerenciamento centralizado. • O Gateway de Serviços de Terminal permite o acesso remoto a aplicações sem o uso de uma VPN para que os usuários possam acessar facilmente as aplicações quando precisam delas, independentemente de onde se localizem.Escolha a partir de novas opções de implantação para proporcionaro método mais adequado para seu ambiente. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 16. 13 • Os Serviços de Implantação do Windows (Windows Deployment Services) oferece instalação e implantação baseados em imagem que simplifica a implantação de cliente e servidor e gerenciamento contínuo de imagem. • Um único modelo mundial de manutenção simplifica a manutenção contínua de clientes e servidores.Construa aplicações flexíveis e abrangentes que conectam usuáriose seus dados, permitindo que eles visualizem, compartilhem e ajamcom as informações. • O componente Windows Communication Foundation (WCF) oferece um framework unificado para a construção rápida de aplicações orientadas ao serviço, facilitando construir e consumir serviços de Web de segurança aperfeiçoada, confiáveis e transacionados. • O componente Windows Workflow Foundation (WF) permite a desenvolvedores oferecer transparência ao modelo e suportar o fluxo de trabalho do sistema e humano. • O componente Windows Presentation Foundation (WPF) fornece um framework unificado para construir aplicações e experiências de alta fidelidade no Windows que combina interface de usuário, dados e conteúdo de mídia das aplicações, ao mesmo tempo em que explora toda a capacidade do computador. • A profunda integração do Internet Information Services 7 e do ASP.NET resulta em um único sistema unificado de configuração, um tempo de execução de processamento de solicitação e modo de extensibilidade integrados, e uma experiência de diagnósticos e solução de problemas vastamente aperfeiçoada.Assegure a interoperabilidade com o ambiente existente.Potencialize a robusta e vibrante comunidade técnica através dociclo de vida do produto. • O programa Microsoft TechNet oferece informações técnicas oportunas, precisas e relevantes através de seu site, boletins informativos, v-labs, eventos, Webcasts, assinaturas e outras ofertas. • As comunidades técnicas enriquecem a experiência do Windows Server proporcionando experiência no tema e opiniões através de blogs, grupos de usuários, fóruns e eventos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 17. 141.04 Maior Proteção Fortalece o Sistema Operacional e Protege Seu Ambiente As empresas precisam de uma plataforma de servidor com que possam contar ao mesmo tempo em que ofereça máxima segurança e proteção para seus usuários. Os clientes precisam reduzir quaisquer interrupções que tenham impacto direto sobre a produtividade do TI e do usuário final. As questões levantadas pelos clientes incluem: • Quando os funcionários, fornecedores e fabricantes trazem dispositivos móveis ao meu escritório, não posso garantir que minha rede permanecerá segura. • Aplicar atualizações de segurança constantemente é demorado e incômodo. • O Windows Server não é tão seguro quanto os outros sistemas operacionais. • É desafiador gerenciar a segurança do sistema e informações de identidade dos usuários em sistemas corporativos. • Proteger sistemas é complexo e difícil de gerenciar. • Não tento manutenção de sistemas durante o expediente porque fazer isso pode provocar uma interrupção do serviço e não quero perturbar a produtividade de meus usuários. • Quero integrar redundância e recuperação de desastres em meus serviços de TI. • Preciso assegurar conformidade com normas de controle (HIPAA, Sarbanes-Oxley). Proteja seu servidor: O Windows Server “Longhorn” oferece inovações de segurança que reduzem a área da superfície de ataque Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 18. 15do kernel, resultando em um ambiente de servidor mais seguro erobusto. • O Windows Service Hardening ajuda a manter os sistemas mais seguros evitando que serviços Windows críticos sejam usados por atividade anormal no sistema de arquivos, registro ou rede. • Seguro na instalação significa que o sistema operacional é completamente bloqueado e pronto para usar.Proteja o acesso a sua rede: A Proteção contra Acesso à Rede(Network Access Protection) lhe dá o poder de isolar computadoresque não obedeçam às diretivas de segurança que você estabelece. Acapacidade de impor requisitos de segurança é um meio poderoso deproteger sua rede. • A Proteção contra Acesso à Rede permite validação de diretiva, restrição de rede, correções e conformidade contínua para o acesso de usuários a recursos de rede. • Ajude a evitar que dispositivos não saudáveis acessem recursos corporativos e solicite acesso a recursos de domínio a partir de PCs gerenciados.Crie regras e diretivas inteligentes para melhorar o controle deacesso e proteção sobre funções de rede, permitindo que vocêtenha uma rede orientada por diretiva. • O gerenciamento centralizado de firewall e IPsec reduz conflitos e overhead de coordenação entre tecnologias através da combinação de criação e manutenção de diretiva para filtragem de tráfego e segurança de conexão. • O Isolamento de servidor e domínio, baseado no Windows IPsec e Active Directory, permite uma implementação eficaz em termos de custo de autenticação de extremidade para segmentar dinamicamente um ambiente Windows em redes lógicas isoladas mais seguras com base em diretiva em vez de topologia de rede. • Regras inteligentes de firewall podem especificar requisitos como autenticação e criptografia, com base em computador ou grupos de usuários do Active Directory. • O Servidor de Diretiva de Rede (Network Policy Server) atua como um servidor de diretiva de integridade de rede para Proteção contra Acesso à Rede (NAP - network access protection), desempenho, autenticação de conexão centralizada, autenticação, e controle de vários tipos de acessos de rede, incluindo conexões sem fio e de VPN.Proteja seus dados: O Windows Server inclui proteções adicionaispara seus dados para ajudar a garantir que só possam seracessados por usuários com o contexto de segurança correto, epara torná-los disponíveis quando falhas de hardware acontecerem. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 19. 16 • Os Serviços de Gerenciamento de Direitos (Rights Management Services) oferecem proteção persistente para dados sigilosos, ajudam a reduzir riscos e permite conformidade, e fornecem uma plataforma para proteção abrangente de informações. • O Microsoft BitLocker fornece segurança adicional para seus dados através de criptografia completa de volume em múltiplas unidades de disco, mesmo quando o sistema estiver em mãos não autorizadas ou executando um sistema operacional diferente. • O Controle de Diretiva de Grupo sobre Instalação de Dispositivos (Group Policy Control over Device Installation) permite a administradores de TI usarem Diretiva de Grupo no Windows Server “Longhorn” para bloquear a instalação de dispositivos removíveis, como pen- drives e discos rígidos externos, para ajudar a evitar que propriedade intelectual corporativa ou dados sigilosos sejam expostos ou roubados. • O Controlador de Domínio de Somente Leitura (Read-Only Domain Controller) permite que você implante o Active Directory ao mesmo tempo em que restringe a replicação do banco de dados completo do Active Directory; para proteger melhor contra roubo ou exposição.Proteja contra softwares mal-intencionados com o Controle deConta de Usuário, uma nova arquitetura de autenticação. • O Controle de Conta de Usuário aumenta a segurança exigindo confirmação manual de muitas funções administrativas para proteger contra softwares mal-intencionados que possam tentar obter ou usar privilégios administrativos.Cumpra seus contratos de nível de serviço: O Windows Server“Longhorn” é ágil e oferece mais disponibilidade reduzindo temposde interrupção potenciais. • Reinicializações reduzidas devido à configuração e atualizações, e subsistemas que podem ser ligados a quente permitem alterações no sistema sem ter de desligar o servidor. • Reinicializações reduzidas da Virtualização do Windows Server devido ao suporte a inclusões a quente de recursos de processo, memória, rede e armazenamento. • Active Directory reiniciável permite que você realize manutenção nos Serviços de Domínio do Active Directory (Active Directory Domain Services) sem a necessidade de deixar o servidor offline. • Aumente o desempenho da rede com a Rede Escalonável e Auto- Tuning de Rede. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 20. 17Aumente a confiabilidade: O Windows Server “Longhorn” ofereceaprimoramentos avançados de confiabilidade para reduzir a perdade acesso, trabalho, tempo, dados e controle. • O Clustering Failover facilita configurar clusters de servidor ao mesmo tempo em que proporciona proteção e disponibilidade de seus dados e aplicações. • O geo-clustering ajuda a assegurar alta disponibilidade de sistema e aplicações no caso de um desastre no site. • O clustering de host virtualizado permite que máquinas virtuais efetuem o failover automaticamente de uma máquina física para outra no caso de falha física, e a Migração em Tempo Real permitirá mudar máquinas virtuais de uma máquina para outra sem nenhum tempo de inatividade. • Melhorias de disponibilidade significam menos quedas ou travamentos e reinicializações, permitindo que você minimize a freqüência e impacto de interrupções para melhorar a produtividade e reduzir os custos de suporte. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 21. 18Seção 2: Virtualização doServidor 2.01 Introdução à Virtualização de Servidor .............................19 2.02 Virtualização do Windows Server.................................20 2.03 Núcleo do Servidor ...........................................33 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 22. 192.01 Introdução à Virtualização de Servidor Este cenário enfoca a função de virtualização do Windows Server® “Longhorn” que permite a organizações de TI reduzir custos e criar um centro de dados ágil e dinâmico. A função de virtualização oferece um paradigma inteiramente novo de implantação e licenciamento para que permitir múltiplas instâncias de sistema operacional – tanto da Microsoft como potencialmente de outros fabricantes – sejam executados em uma infra-estrutura virtual separada do hardware por uma tecnologia de virtualização baseada em um monitor fino. Conforme examinarmos este cenário, será importante manter o foco não apenas no que o cenário oferece, mas também naquilo que possibilita – que é possivelmente todas as outras funções de servidor do Windows Server “Longhorn” e potencialmente Linux e outros sistemas operacionais. Proposta de Valor do Cenário A função de virtualização possibilita que organizações criem um centro de dados ágil e dinâmico e reduzam custos. As principais propostas de valor que a virtualização de servidor permitem são essas: • Consolidação de servidor: Possibilitar que os clientes reduzam a quantidade total e o custo de propriedade de servidor minimizando a utilização do hardware, consolidando cargas de trabalho e reduzindo os custos de gerenciamento. • Ambientes de desenvolvimento e teste. Criar um ambiente mais flexível e fácil de gerenciar que maximize o hardware de teste, reduza custos, melhore o gerenciamento do ciclo de vida e melhore a cobertura dos testes. • Gerenciamento de continuidade de negócios. Eliminar o impacto de tempos de inatividade programados e não programados e permitir capacidades de recuperação de desastres com recursos como a Migração ao Vivo e clustering de host. • Centro de dados dinâmico. Utilizar os benefícios da virtualização para criar uma infra-estrutura mais ágil combinada com novos recursos de gerenciamento para permitir a você mover máquinas virtuais sem causar impacto sobre os usuários. Requisitos Especiais de Hardware A função de virtualização requer o seguinte: • Processadores Intel VT ou AMD-V ativados Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 23. 202.02 Virtualização do Windows Server A virtualização é uma tecnologia chave de capacitação que pode ser utilizada para alcançar benefícios comerciais. A tecnologia de virtualização permite que os clientes executem vários sistemas operacionais de maneira concorrente em um único servidor físico, em que cada um dos sistemas operacionais é executado como um computador independente. Hoje há mais pressão que nunca sobre o TI com orçamentos reduzidos, tecnologias que mudam rapidamente e questões crescentes de segurança. Conforme as empresas crescem, suas infra-estruturas de TI crescem com elas. Mas, freqüentemente, o ritmo desse crescimento é irregular, impulsionado tanto pelas condições sob as quais a empresa opera quanto pelo modelo a que aspira. O TI está sendo cada vez mais visto como um gerador-chave de valor para a maioria das organizações, e o foco do TI é mudar de meramente manter a empresa em funcionamento para ser um mecanismo para produzir reatividade e agilidade por toda a organização. Produzir agilidade pelo TI, reduzir custos e gerenciar complexidade precisam todos acontecer de uma forma integrada. A Iniciativa de Sistemas Dinâmicos da Microsoft (DSI - Dynamic Systems Initiative) utiliza a virtualização como um pilar principal para tratar dessas preocupações comerciais, e se une estreitamente com a adição de informações às aplicações e na camada de gerenciamento para permitir a visão de sistemas dinâmicos gerenciados automaticamente em todo o ciclo de vida e por todas as funções dentro da organização. A virtualização como tecnologia tem a capacidade de tratar de algumas dessas preocupações e necessidades comerciais como partes da estratégia geral de TI. Hoje, O Microsoft® Virtual Server 2005 R2 hospedado no sistema operacional Windows Server 2003 proporciona os recursos necessários para cumprir tarefas que poupam tempo e custo através da tecnologia de virtualização em um ambiente de computação "enterpise-ready" com níveis avançados de escalabilidade, gerenciamento e disponibilidade. A abordagem da Microsoft para integrar os recursos de gerenciamento com a família de produtos System Center existente permite aos clientes gerenciar suas infra-estruturas física e virtual d uma forma integrada e facilita a adoção da tecnologia. “A estratégia de virtualização da Microsoft contrasta com as alternativas atuais para gerenciamento de máquina virtual, que tendem a ser complexas, caras e exigir habilidades especializadas. Vemos a virtualização como uma tecnologia-chave para ajudar os clientes a alcançarem sistemas dinâmicos auto-gerenciados. Ao longo das camadas da plataforma, sistema operacional, aplicações e Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 24. 21 gerenciamento, estamos proporcionando funcionalidade e recursos que permitem a nossos clientes reduzir significativamente custos operacionais, aumentar a utilização do servidor e alcançar um ROI melhor através de soluções de virtualização de recursos plenos.” Bob Muglia, Vice-Presidente Sênior, Negócios de Servidor e Ferramentas, MicrosoftA Virtualização do Windows Server, como parte do Windows Server“Longhorn,” dá um grande passo à frente na aplicação de algumasdas avançadas capacidades da virtualização e em proporcionar aosclientes uma plataforma de virtualização escalonável, segura ealtamente disponível. Conforme as tecnologias de plataformaavançam, é importante assegurar que o gerenciamento geralcontinue simplificado. O Gerenciador de Máquina Virtual do SystemCenter Microsoft — a aplicação de gerenciamento para centro dedados virtualizado oferece uma solução de gerenciamento unificadae integrada como parte da família System Center e ajuda a baixaros custos na à medida que o ambiente de TI se torna mais ágil.Benefícios da VirtualizaçãoOrganizações de TI hoje estão sob uma pressão incrível parafornecer mais valor a seus clientes comerciais – e tipicamentecom pouco ou nenhum aumento no orçamento. Otimizar o uso deativos físicos de TI se torna imperativo à medida que os centrosde dados atingem sua capacidade de potência e espaço. A Microsoftreconhece que o problema se intensifica para empresas cujosservidores trabalham com utilização muito baixa. Taxas deutilização de servidor de menos de 5 por cento não são incomuns,e as taxas de utilização de muitos clientes caem dentro da faixade 10- a 15 por cento. Muitos desses desafios, compartilhadosentre administradores de servidor e desenvolvedores, podem sertratados com a ajuda das soluções de virtualização da Microsoft.A tecnologia de virtualização de máquina é usada para consolidarvárias máquinas físicas em uma única máquina física. Avirtualização também pode ser usada para re-hospedar ambientes delegado, especialmente conforme o hardware de geração mais antigase torna mais difícil e dispendioso para manter. E como osoftware é separado do hardware, a virtualização é uma boasolução para ambientes de recuperação de desastres, também.Como uma parte essencial de qualquer estratégia de consolidaçãode servidor, as soluções de virtualização da Microsoft aumentam autilização do hardware e permitem que as organizações configureme implantem rapidamente novos servidores com os seguintesimportantes benefícios: • Uso eficiente de recursos de hardware. O isolamento e gerenciamento de recursos de máquina virtual possibilitam a coexistência de várias cargas de trabalho em menos servidores, permitindo que as organizações façam um uso mais eficiente de seus recursos de hardware. A Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 25. 22 Virtualização do Windows Server, parte do Windows Server “Longhorn” e do Virtual Server 2005 R2 com Windows Server 2003, proporciona a maior interoperabilidade com infra- estruturas existentes de armazenamento, rede e segurança. Com avanços em hardware de servidor com tecnologia de 64 bits, sistemas multiprocessados e de múltiplos núcleos, a virtualização oferece uma maneira fácil de otimizar a utilização de hardware.• Produtividade e reatividade administrativas melhoradas. A Virtualização do Windows Server possibilita a organizações de TI melhorar sua produtividade administrativa e implantar rapidamente novos servidores para tratar das necessidades corporativas sempre em transformação. A integração fácil com ferramentas de gerenciamento de servidor existentes, como o System Center Operations Manager e ferramentas sofisticadas como o Gerenciador de Máquina Virtual do System Center (SCVMM), facilita o gerenciamento de máquinas virtuais Windows. A capacidade de consolidar cargas de trabalho em um ambiente de hardware não virtual e um framework físico e virtual integrado de gerenciamento de TI permite que administradores reduzam os custos operacionais e criem centros de dados mais ágeis.• Solução de virtualização de servidor bem suportada. O Virtual Server 2005 R2 é extensivamente testado e suportado pela Microsoft em conjunto com seus sistemas operacionais e aplicações de servidor. Por isso o Virtual Server 2005 R2 é uma solução de virtualização bem suportada tanto dentro da Microsoft como na comunidade de ISVs mais ampla. Com a Virtualização do Windows Server como um componente integrante do Windows Server “Longhorn” e o Gerenciador de Máquina Virtual como parte da família System Center, você pode ter certeza de que as futuras soluções de virtualização da Microsoft também serão extensivamente testadas e bem suportadas. O uso de um formato de disco rígido virtual comum (VHD) assegura a proteção do investimento para todas as máquinas virtuais criadas para o Servidor Virtual com um caminho transparente de migração para a Virtualização do Windows Server.• Um produto-chave para a Iniciativa de Sistemas Dinâmicos da Microsoft. Como parte da DSI, o esforço da Microsoft abrangendo toda a indústria para simplificar e automatizar dramaticamente como as empresas projetam, implantam e operam sistemas de TI para permitir sistemas dinâmicos auto-gerenciados, a Microsoft está oferecendo às empresas ferramentas para ajudá-las a utilizar de maneira mais flexível seus recursos de hardware. O Virtual Server 2005 R2, a Virtualização do Windows Server e o Gerenciador de Máquina Virtual são exemplos importantes de como a Microsoft está continuando a fornecer tecnologia que resulta em melhor utilização de hardware de servidor e Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 26. 23 proporciona um aprovisionamento mais flexível de recursos e centros de dados.Roadmap da Virtualização da MicrosoftO roadmap da Virtualização da Microsoft combina o seguinte: • Uma visão de longo prazo que mostra como os clientes podem reduzir drasticamente a complexidade da infra-estrutura de TI como parte da DSI global. • Um cronograma de produto sólido que oferece soluções atuais e de curto prazo, permitindo que os clientes tomem uma série de passos práticos de acordo com a visão de longo prazo.A Microsoft está fornecendo soluções de ferramentas dedesenvolvimento de aplicações, aplicações de servidor, sistemasoperacionais e gerenciamento que proporcionam melhorias imediataspara tratar da complexidade no ambiente de TI dos clientes. Comoparte das soluções de virtualização, os clientes verão melhoriasna oferta atual de produtos para o Virtual Server 2005 R2; novosprodutos avançados como o Gerenciador de Máquina Virtual doSystem Center que tratarão de importantes desafios degerenciamento; e a Virtualização do Windows Server como parte doWindows Server “Longhorn” que fornecerá uma plataforma melhoradade virtualização com escalabilidade, desempenho e confiabilidadeaumentados.Com a capacidade de hardware crescendo e recursos mais robustosde plataforma de virtualização e gerenciamento, mais clientespodem se beneficiar dos recursos de consolidação, gerenciamentomais fácil e automação. A virtualização é a principal tecnologiapara reduzir o custo e complexidade do gerenciamento de TI, e aMicrosoft comprometeu recursos significativos para tornar avirtualização mais amplamente acessível para os clientes.As próximas seções enfocarão os principais produtos devirtualização, tanto no nível da plataforma como no degerenciamento.Virtual Server 2005 R2O Microsoft Virtual Server 2005 R2 é á tecnologia devirtualização de servidor mais eficaz em termos de custoprojetada para a plataforma Windows Server System™. Como parteessencial de qualquer estratégia de consolidação de servidor, oVirtual Server aumenta a utilização de hardware e permite que asorganizações configurem e implantem novos servidores rapidamente.Cenários de UsoO Virtual Server 2005 R2 oferece eficiência de hardware melhoradaoferecendo uma ótima solução para isolamento e gerenciamento derecursos, o que possibilita a coexistência de múltiplas cargas detrabalho em menos servidores. O Virtual Server pode ser usado Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 27. 24para melhorar a eficiência operacional na consolidação de infra-estrutura, cargas de trabalho de servidor de aplicações e emescritórios remotos, consolidando e re-hospedando aplicações delegado, automatizando e consolidando ambientes de testes e dedesenvolvimento de software, e reduzindo o impacto de desastres. • Consolide infra-estrutura, cargas de trabalho de servidor de aplicações e em escritórios remotos. O Virtual Server permite a consolidação de cargas de trabalho para ambientes de serviço de infra-estrutura, de escritórios remotos, e recuperação de desastres, resultando em menos sistemas físicos para memória de hardware reduzida. O Virtual Server 2005 R2 é ideal para consolidação de servidor tanto no centro de dados como no escritório remoto, permitindo às organizações fazerem um uso mais eficiente de seus recursos de hardware. Ele permite que as organizações de TI aumentem sua produtividade administrativa e implantem rapidamente novos servidores para tratar de necessidades comerciais e aumenta as taxas de utilização de hardware para uma infra- estrutura de TI otimizada. • Consolide e automatize seu ambiente de teste e desenvolvimento de software. Clientes em todos os segmentos procuram maneiras de diminuir os custos e acelerar instalações e atualizações de aplicações e infra-estrutura, ao mesmo tempo em que fornecem um nível abrangente de garantia de qualidade. O Virtual Server permite que você consolide sua farm de servidores de testes e desenvolvimento e automatize o aprovisionamento de máquinas virtuais, melhorando a utilização de hardware e a flexibilidade operacional. Para desenvolvedores, o Virtual Server permite uma fácil implantação e testes de uma aplicação de servidor distribuída usando múltiplas máquinas virtuais em um servidor físico. • Re-hospede aplicações de legado. O Virtual Server permite a migração de sistemas operacionais de legado (Windows NT® 4.0 Server e Windows® 2000 Server) e suas aplicações personalizadas associadas de hardwares mais antigos para servidores novos executando o Windows Server 2003. O Virtual Server 2005 R2 oferece o melhor dos dois mundos: compatibilidade de aplicação com ambientes de legado, ao mesmo tempo em que tira proveito da confiabilidade, gerenciamento e recursos de segurança do Windows Server 2003 sendo executado no hardware mais recente. O Virtual Server 2005 R2 oferece essa capacidade permitindo que os clientes executem aplicações de legado em seu ambiente nativo de software em máquinas virtuais, sem reescrever a lógica da aplicação, reconfigurar redes ou treinar novamente os usuários finais. Isso dá aos clientes tempo para primeiro atualizar sistemas mais antigos da infra- estrutura, depois para atualizar ou reescrever aplicações fora de serviço em um cronograma que atenda melhor suas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 28. 25 necessidades comerciais. O Virtual Server 2005 R2 possibilita uma melhor escolha do cliente para migração de aplicações de legado com excepcional compatibilidade. • Soluções de recuperação de desastre. O Virtual Server 2005 R2 pode ser usado como parte de um plano de recuperação de desastres que requeira portabilidade e flexibilidade de aplicação ao longo de plataformas de hardware. Consolidar servidores físicos em poucas máquinas físicas executando máquinas virtuais diminui o número de ativos físicos que deve estar disponíveis em um local de recuperação de desastre. No caso de recuperação, máquinas virtuais podem ser hospedadas em qualquer local, em máquinas host diferentes daquelas afetadas pelo desastre, acelerando os tempos d recuperação e maximizando a flexibilidade da organização.Principais RecursosA virtualização facilita ampla compatibilidade de dispositivos esuporte completo para ambientes de servidor Windows. • Isolamento de máquina virtual. O isolamento de máquina virtual garante que se uma máquina virtual cair ou travar, não tenha impacto sobre nenhuma outra máquina virtual ou sobre o sistema host. A compatibilidade máxima da aplicação é alcançada através do isolamento. Isso permite que os clientes potencializem ainda mais suas infra-estruturas existentes de armazenamento, rede e segurança. • Ampla compatibilidade de dispositivos. O Virtual Server é executado no Windows Server 2003, que suporta a maioria dos dispositivos do Catálogo do Windows Server, oferecendo compatibilidade com uma ampla gama de hardwares de sistemas de host. • VMM multithread. O Monitor de Máquina Virtual do Virtual Server fornece a infra-estrutura de software para criar, gerenciar e interagir com máquinas virtuais em hardware multiprocessado. • Ampla compatibilidade com sistema operacional x86 guest. O Virtual Server pode executar todos Virtual Server 2005 R2: Administration Website os principais Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 29. 26 sistemas operacionais x86 no ambiente guest da máquina virtual. A Microsoft também suportará distribuições específicas de Linux sendo executadas no ambiente da máquina virtual. • Clustering iSCSI. Cenários flexíveis de clustering proporcionam alta disponibilidade para ambientes críticos ao mesmo tempo em que melhoram os processos de atualização e manutenção de hardware. O clustering de iSCSI entre hosts físicos do Virtual Server 2005 R2 oferece um meio eficaz em termos de custo de aumentar a disponibilidade do servidor. • Suporte a x64. O Virtual Server 2005 R2 é executado nos seguintes sistemas operacionais host de 64 bits: Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition Windows XP Professional x64 Edition, proporcionando desempenho e maior espaço de memória. • API de COM abrangente. Isso permite completo controle em script de ambientes de máquina virtual. O Virtual Server suporta uma Interface de Programação de Aplicações (API) de Modelo de Objeto Componente (COM) que contém 42 interfaces e centenas de chamadas, permitindo que scripts controlem quase todos os aspectos do produto. • Discos Rígidos Virtuais (VHDs - Virtual Hard Disks). O Virtual Server encapsula máquinas virtuais e, VHDs portáteis, permitindo uma configuração, versão e implantação flexíveis. • Boot PXE. Esta placa de rede emulada no Virtual Server 2005 R2 agora suporta boot de Ambiente de Execução Pré- Inicialização (PXE - Pre-Boot Execution Environment). Esse boot de rede permite que os clientes aprovisionem suas máquinas virtuais de todas as maneiras que fazem com os servidores físicos. • Integração com o Active Directory. As máquinas virtuais no Virtual Server funcionam como se esperaria de uma máquina física, oferecendo integração completa com o Active Directory®. Esse nível de integração permite administração delegada e acesso de convidado seguro e autenticado. • Microsoft Operations Manager 2005 Management Pack for Virtual Server. Um pacote de gerenciamento desenvolvido especificamente para o Virtual Server possibilita recursos avançados de gerenciamento dentro de máquinas virtuais.Virtualização do Windows ServerA Virtualização do Windows Server é uma tecnologia baseada emmonitor que é parte do Windows Server “Longhorn.” O hypervisorWindows é uma camada fina de software sendo executada diretamenteno hardware, que trabalha em conjunto com uma instância otimizadado Windows Server “Longhorn” que permite que múltiplas instânciasdo sistema operacional sejam executadas simultaneamente em um Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 30. 27servidor físico. Ela utiliza as poderosas melhorias deprocessadores e oferece aos clientes uma plataforma devirtualização escalonável, confiável, de segurança aprimorada, ealtamente disponível.Cenários de UsoA Virtualização do Windows Server é integrada como a função devirtualização no Windows Server “Longhorn” e oferece um ambientevirtual mais dinâmico para consolidar cargas de trabalho. Elafornece uma plataforma de virtualização que permite eficiênciaoperacional aprimorada para consolidação de cargas de trabalho,gerenciamento de continuidade de negócios, automatizar econsolidar ambientes de testes de software, e criar um centro dedados dinâmico. • Consolidação de servidor de produção. Organizações procuram servidores de produção em seus centros de dados e encontram níveis de utilização geral de hardware entre 5 e 15 por cento da capacidade do servidor. Além disso, limitações físicas como espaço e potência as estão impedindo de expandir seus centros de dados. Consolidar vários servidores de produção com a Virtualização do Windows Server pode ajudar as empresas a se beneficiarem da utilização aumentada do hardware e do custo total de propriedade geral reduzido. • Gerenciamento de continuidade de negócios. Os administradores de TI estão sempre tentando encontrar maneiras de reduzir ou eliminar o tempo de inatividade de seu ambiente. A Virtualização do Windows Server oferecerá recursos para recuperação eficiente de desastres para minimizar o tempo de inatividade. O ambiente de virtualização robusto e flexível criado pela Virtualização do Windows Server minimiza o impacto de tempos de inatividade programados e não programados. • Teste e desenvolvimento de software. Uma das maiores áreas onde a tecnologia de virtualização continuará sendo relevante é a de teste e desenvolvimento de software para criar ambientes automatizados e consolidados que sejam ágeis o suficiente para acomodar as exigências em constante mudança. A Virtualização do Windows Server ajuda a minimizar o hardware de teste, melhora o gerenciamento de ciclo de vida e melhora a cobertura dos testes. • Centro de dados dinâmico. O rico conjunto de recursos da Virtualização do Windows Server combinado com os novos recursos de gerenciamento estendidos pelo Gerenciador de Máquina Virtual permite que as organizações criem uma infra-estrutura mais ágil. Os administradores serão capazes de adicionar recursos dinamicamente a máquinas virtuais e movê-las através de máquinas físicas de maneira transparente sem causar impacto nos usuários. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 31. 28Principais RecursosHá vários novos recursos na Virtualização do Windows Server queajudam a criar uma plataforma de virtualização escalonável,segura e altamente disponível como parte do Windows Server“Longhorn.” Os seguintes são alguns dos principais componentes erecursos da Virtualização do Windows Server. • Monitor Windows. É uma camada finíssima de software que utiliza o suporte a driver e a tecnologia de virtualização assistida por hardware do Windows Server. A base de código mínimo sem nenhum código ou driver de terceiros ajuda a criar uma base mais segura e robusta para soluções de virtualização. • Gerenciamento dinâmico de recursos. A Virtualização do Windows Server oferece a capacidade de incluir a quente recursos como CPU, memória, redes e armazenamento às máquinas virtuais sem tempo de inatividade. Combinado com os recursos de conexão a quente do Windows Server “Longhorn”, isso permite que os administradores gerenciem seus recursos de hardware sem impacto sobre seus compromissos de SLA. • Suporte a guest (convidado) de 64 bits. Um novo recurso importante da plataforma de Virtuali- zação do Windows Server é guests de 64 bits. Isso permite que organiza- ções virtualizem Windows Server Virtualization: User Interface and multi-proc support mais aplicações que são exigentes em termos de memória e se beneficiem do pool de memória aumentado acessível em um ambiente de 64 bits. • Suporte a multiprocessador guest (convidado). A Virtualização do Windows Server agora oferece a capacidade de alocar múltiplos recursos de CPU a uma única máquina virtual e permite a virtualização de aplicações multithread. Este recurso, combinado com o suporte a guests de 64 bits, torna a Virtualização do Windows Server uma plataforma escalonável para virtualização. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 32. 29 • Migração em tempo real de máquinas virtuais. A Virtualização do Windows Server proporcionará a capacidade de mover uma máquina virtual de uma máquina física para outra com um mínimo de tempo de inatividade. Esta capacidade, somada ao clustering de host de máquinas físicas, proporciona alta disponibilidade e flexibilidade para se alcançar um centro de dados ágil e dinâmico. • Nova arquitetura de virtualização de dispositivos. A Virtualização do Windows Server oferece uma nova arquitetura virtualizada de E/S. Isso dá aos clientes um alto desempenho e baixo overhead. • Manipulação offline de VHD. A Virtualização do Windows Server oferece aos administradores a capacidade de acessar em segurança arquivos dento de um VHD sem ter de criar uma instância de máquina virtual. Isso dá aos administradores acesso granular a VHDs e a capacidade de realizar algumas tarefas de gerenciamento offline.System Center Virtual Machine ManagerComo parte da família System Center de produtos de gerenciamento,o System Center Virtual Machine Manager facilita o gerenciamentode máquinas virtuais Windows. O System Center Virtual MachineManager permite uma utilização aumentada de servidor físicopermitindo consolidação simples e rápida de infra-estruturavirtual com identificação integrada de candidato de consolidação,P2V rápida, e disposição inteligente da carga de trabalho combase no conhecimento de desempenho e diretivas comerciaisdefinidas pelo usuário. O System Center Virtual Machine Managerpossibilita o rápido aprovisionamento de novas máquinas virtuaispelo administrador e usuários finais usando uma ferramenta deaprovisionamento de auto-atendimento. O System Center VirtualMachine Manager é um membro estreitamente integrado da família deprodutos de gerenciamento System Center.Cenários de UsoO System Center Virtual Machine Manager oferece suporte simples ecompleto para consolidar hardware em infra-estrutura virtual eotimizar a utilização. Ele também proporciona rápidoaprovisionamento de máquinas virtuais a partir de máquinasfísicas ou modelos na biblioteca de imagens ou por usuáriosfinais. • Consolidação de servidor de produção. À medida que as organizações buscam consolidar seus servidores de produção, o System Center Virtual Machine Manager oferece uma maneira de transferir o conhecimento sobre o sistema e o ambiente através do processo de virtualização e ajuda a manter a continuidade do conhecimento. Pela consolidação de vários servidores de produção com o Virtual Server 2005 R2 ou Virtualização do Windows Server, as empresas reduzem o Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 33. 30 custo total de propriedade geral e ainda mantêm um framework unificado de gerenciamento em seus ambientes físico e virtual. • Aumento da agilidade operacional. Empresas em todos os segmentos procuram maneiras de aumentar a eficiência através de seus ambientes de TI e aumentar a agilidade operacional. O System Center Virtual Machine Manager oferece um mecanismo para permitir funcionalidade como rápido aprovisionamento de servidor, rápida recuperação, e capacidade de migração escalonável para tornar toda a infra-estrutura virtual robusta e fácil de gerenciar. • Gerenciamento integrado. O System Center Virtual Machine Manager ajuda a criar uma infra-estrutura de gerenciamento centralizado de máquina virtual em múltiplos sistemas host do Virtual Server 2005 R2 e de hosts da Virtualização do Windows Server. Organizações estão adotando a virtualização nas áreas de produção, teste e desenvolvimento, e conforme os recursos de gerenciamento se sofisticam, ela ajuda os administradores a implantar e gerenciar ambientes virtuais e físicos em uma abordagem integrada.Principais RecursosO System Center Virtual Machine Manager se concentra emrequisitos únicos de máquinas virtuais e é projetado parapermitir utilização aumentada de servidor físico, gerenciamentocentralizado de infra-estrutura de máquina virtual e rápidoaprovisionamento de novas máquinas virtuais. Os seguintes sãoalguns dos recursos principais do System Center Virtual MachineManager. • Identificação de candidato a consolidação. O primeiro passo na migração de um centro de dados físico com um modelo de uma carga de trabalho por servidor é identificar as cargas de trabalho físicas apropriadas para consolidação no hardware virtual. Os fatores de decisão para determinar os candidatos adequados se baseiam em vários fatores, como desempenho histórico, características de pico de carga e padrões de acesso. O System Center Virtual Machine Manager utiliza os dados históricos de desempenho existentes no banco de dados do System Center Operations Manager para listar os candidatos a consolidação em ordem de classificação. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 34. 31• Disposição inteligente. O ato de designar e ativar uma determinada carga de trabalho virtual em um servidor de host virtual físico é citado como disposição. A disposição está no âmago de maximizar a utilização de ativos físicos. O System Center Virtual Machine Virtual Machine Manager: Centralized management view Manager traz uma abordagem profunda e holística à disposição e combina o conhecimento de dados históricos de desempenho da carga de trabalho e as informações sobre o sistema de host virtual. Regras comerciais e modelos associados também são utilizadas pelo System Center Virtual Machine Manager para determinar as opções de disposição.• Aprovisionamento de host. O System Center Virtual Machine Manager identifica os hosts virtuais físicos na empresa através de descoberta integrada com o Active Directory. Isso ajuda as organizações a escalar facilmente o gerenciamento de máquinas e hosts virtuais no centro de dados e escritórios remotos.• Biblioteca central. O System Center Virtual Machine Manager oferece um repositório central para todos os blocos de construção para uma máquina virtual como VHDs, máquinas virtuais offline, modelos e até mesmo imagens ISO. Cada item da biblioteca possui modelos ou ricos metadados que permitem um gerenciamento mais controlado dos objetos. O modelo é um novo objeto que permite ao administrador criar configurações de máquina virtual aprovadas que servem como um padrão ouro para subseqüentes implantações de máquinas virtuais.• Aprovisionamento de auto-atendimento. A infra-estrutura virtual é comumente usada em ambientes de teste e desenvolvimento em que há aprovisionamento coerente e desmontagem de máquinas virtuais para fins de teste. Com o System Center Virtual Machine Manager, os administradores podem estender seletivamente os recursos de auto- aprovisionamento a grupos de usuários e ser capazes de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 35. 32 definir cotas. A ferramenta de aprovisionamento automático gerencia as máquinas virtuais através de seus ciclos de vida, incluindo desmontagens.Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 36. 33 2.03 Núcleo do Servidor No Windows Server “Longhorn,” os administradores agora podem escolher instalar um ambiente mínimo que evita carga extra.Para saber Embora esta opção limite as funções que podem ser executadas pelomais, servidor, pode aumentar a segurança e reduzir o gerenciamento.consulte Esse tipo de instalação é chamado de instalação do Núcleo do7.05Núcleo do Servidor.Servidor(Server Para mais informações sobre o Núcleo do Servidor, consulte aCore) na seção 7.05 Núcleo do Servidor na página 242.página242. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 37. 34Seção 3: Acesso Centralizado aAplicações 3.01 Introdução ao Acesso Centralizado a Aplicações .....................35 3.02 Funcionalidade Básica de Serviços de Terminal ......................36 3.03 Gateway de Serviços de Terminal ................................53 3.04 RemoteApp de Serviços de Terminal ..............................62 3.05 Acesso a Web de Serviços de Terminal ............................65 3.06 Impressão de Serviços de Terminal ...............................69 3.07 Session Broker de Serviços de Terminal ...........................73 3.08 Licenciamento de Serviços de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 38. 353.01 Introdução ao Acesso Centralizado a Aplicações Este cenário enfoca a centralização de acesso a aplicações a aplicações comerciais com os Serviços de Terminal (Terminal Services). Os Serviços de Terminal possibilitam aos usuários estabelecer um sistema centralizado que lhes permite fornecer acesso rápida e seguramente a aplicações baseadas em Windows a partir de qualquer local conectado por rede. Clientes podem fornecer essa funcionalidade usando uma variedade de clientes, inclusive PCs baseados em Windows®, clientes finos baseados em Windows ou dispositivos baseados em Windows Mobile®. Quando os usuários executam uma aplicação com os Serviços de Terminal, a execução da aplicação se dá no servidor, e somente informações de teclado, mouse e monitor são transmitidas pela rede Os usuários podem apenas ver suas sessões individuais, gerenciadas de maneira transparente pelo sistema operacional do servidor, e permanecem independentes de qualquer outra sessão de cliente. Proposta de Valor do Cenário As principais propostas de valor que o acesso centralizado a aplicações possibilita são: • Fornecer acesso centralizado a aplicações comerciais na LAN ou pela Internet. • Eliminar o risco de perda de dados de laptops usando acesso remoto seguro a aplicações e dados localizados centralmente. • Reduzir os custos de gerenciamento através da eliminação da necessidade de servidores de aplicações em locais distribuídos. • Oferecer acesso seguro a aplicações sem a necessidade de permitir acesso total à rede através de VPN ou outros mecanismos. • Consolidar os Serviços de Terminal existentes usando tecnologia x64. • Melhorar a produtividade do usuário final com integração contínua de aplicações baseadas no local e nos Serviços de Terminal no cliente local. Requisitos Especiais de Hardware A seguir está um requisito adicional de: • Firewall baseado em hardware ou software (ou outro dispositivo de segurança de borda) para ser colocado entre o Gateway de Serviços de Terminal e a Internet. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 39. 363.02 Funcionalidade Básica de Serviços de Terminal Para o Windows Server® “Longhorn,” os Serviços de Terminal incluem nova funcionalidade básica que melhora a experiência do usuário final quando se conecta remotamente a um servidor de terminal do Windows Server “Longhorn”. A nova funcionalidade básica nos Serviços de Terminal será interessante para organizações que atualmente usam ou têm a intenção de usar os Serviços de Terminal. Os Serviços de Terminal fornecem tecnologias que permitem o acesso, a partir de qualquer dispositivo de computação, a um servidor executando programas baseados em Windows ou à área de trabalho Windows plena. Os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede nele. Para o Windows Server “Longhorn,” você pode se interessar na nova funcionalidade básica nos Serviços de Terminal se usar um dos seguintes hardwares: • Dispositivos portáteis baseados em Windows • Microsoft® Point of Service para dispositivos Microsoft .NET • Monitores que suportem resoluções mais altas, como 1680x1050 ou 1920x1200 • Vários monitores Você também pode se interessar na nova funcionalidade básica nos Serviços de Terminal se quiser dar suporte a qualquer dos seguintes cenários: • Fazer usuários se conectarem a um servidor de terminal e fazer o computador remoto se parecer mais com a experiência da área de trabalho Windows Vista™ local do usuário. • Garantir que os dados de monitor, teclado e mouse passados através de uma conexão remota não sejam afetados de maneira adversa por ações que exijam muita largura de banda, como grandes tarefas de impressão. • Permitir que usuários com uma conta de domínio efetuem o logon uma vez, usando uma senha ou smart card, e então obtenham acesso a um servidor de terminal sem a necessidade de apresentar as credenciais novamente. Para tirar proveito da nova funcionalidade básica de Serviços de Terminal, você vai precisar usar o seguinte: • Conexão de Área de trabalho Remota 6.0 • Windows Server “Longhorn” configurado como servidor de terminal Em alguns casos, será necessário também usar o Windows Vista. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 40. 37Conexão de Área de Trabalho Remota 6.0A Conexão de Área de trabalho Remota 6.0 está disponível com oWindows Vista e com o Windows Server “Longhorn.”O software da Conexão de Área de trabalho Remota 6.0 também estádisponível para uso no Microsoft Windows Server 2003 com ServicePack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usarquaisquer novos recursos de Serviços de Terminal em qualquerdessas plataformas, faça o download do pacote de instalação naCentral de Downloads Microsoft http://go.microsoft.com/fwlink/?LinkId=79373.Redirecionamento de Dispositivos Plug and Playpara Media Players e Câmeras DigitaisNo Windows Server “Longhorn,” o redirecionamento foi aperfeiçoadoe expandido. Agora você pode redirecionar dispositivos portáteisbaseados em Windows, especificamente media players baseados noProtocolo MTP (Media Transfer Protocol) e câmeras digitaisbaseadas no Protocolo de Transferência de Imagem (PTP - PictureTransfer Protocol). Para redirecionar dispositivos Plug and Play 1. Abra a Conexão de Área de trabalho Remota. Para abrir a Conexão de Área de trabalho Remota no Microsoft Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de diálogo Remote Desktop Connection, clique em Options. 3. Na guia Resources, clique em More. 4. Em Local devices and resources, expanda Supported Plug and Play devices. Os dispositivos Plug and Play atualmente ligados e suportados para redirecionamento serão exibidos nesta lista. Se o dispositivo que você ligou não aparecer na lista, ele não é suportado atualmente para redirecionamento. Verifique o manual do dispositivo para ver se ele suporta o MTP ou PTP. 5. Escolha o dispositivo que deseja redirecionar assinalando a caixa de seleção próxima ao nome do dispositivo. 6. Você também pode redirecionar dispositivos que ainda não foram ligados, mas que serão posteriormente quando uma sessão a um computador estiver ativa. Para tornar os dispositivos Plug and Play que você ligará mais tarde disponíveis para redirecionamento, assinale a caixa de seleção Devices that I plug in later. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 41. 38 Nota Você também pode redirecionar unidades de disco que serão conectadas depois de uma sessão para um computador remoto que esteja ativo. Para tornar uma unidade de disco a que você se conectará mais tarde disponível para redirecionamento, expanda Drives, e em seguida assinale a caixa de seleção Drives that I connect to later. 7. Clique em OK, e conecte-se ao computador remoto.O arquivo (.rdp) do Protocolo de Área de trabalho Remota (RemoteDesktop Protocol) criado pelo Assistente RemoteApp ativaautomaticamente o redirecionamento de dispositivo Plug and Play.Para mais informações sobre o RemoteApps, consulte o Guia Passo aPasso do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Paraacessar esse guia, visite o Windows Server “Longhorn” TSRemoteApp e o TS Web Access TechCenter(http://go.microsoft.com/fwlink/?LinkId=79609).Quando a sessão para o computador remoto é lançada, você deve vero dispositivo Plug and Play que é redirecionado ser instaladoautomaticamente no computador remoto. Notificações do Plug andPlay aparecerão na barra de tarefas no computador remoto.Se você tiver assinalado a caixa de seleção Drives that I connectto later na Conexão de Área de trabalho Remota (Remote DesktopConnection), deve ver o dispositivo Plug and Play ser instaladono computador remoto quando ligá-lo em seu computador localenquanto a sessão para o computador remoto estiver ativa.Depois que o dispositivo Plug and Play é instalado no computadorremoto, ele fica disponível para uso em sua sessão com ocomputador remoto. Por exemplo, se você redirecionar umdispositivo portátil baseado em Windows como uma câmera digital,o dispositivo pode ser acessado diretamente a partir de umaaplicação como o Assistente de Câmera e Scanner no computadorremoto.O redirecionamento de dispositivo Plug and Play não é suportadoem conexões em cascata de servidor de terminal. Por exemplo, sevocê tiver um dispositivo Plug and Play ligado a seu computadorcliente local, pode redirecionar e usar esse dispositivo quandose conectar a um servidor de terminal (Server1, por exemplo). Se,de dentro de sua sessão remota no Server1, você então se conectara outro servidor de terminal (Server2, por exemplo), não serácapaz de redirecionar e usar o dispositivo Plug and Play em suasessão remota com o Server2.Você pode controlar o redirecionamento de dispositivos Plug andPlay usando qualquer das seguintes configurações de Diretiva deGrupo: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 42. 39 • Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerDevice and Resource Redirectiondefinição de diretiva de Do not allow supported Plug and Play device redirection • Computer ConfigurationAdministrative TemplatesSystemDevice Installation definição de diretiva de Device Installation RestrictionsVocê também pode controlar o redirecionamento de dispositivosPlug and Play na guia Client Settings na ferramenta deConfiguração de Serviços de Terminal (tsconfig.msc).Redirecionamento de Dispositivo Microsoft Pointof Services for .NETNo Windows Server “Longhorn” você também pode redirecionardispositivos que usam o Microsoft Point of Service (POS) for .NET1.1. Importante O redirecionamento de dispositivo Microsoft POS for .NET somente é suportado se o servidor de terminal estiver executando uma versão baseada em x86 do Windows Server “Longhorn.”Você pode fazer o download do Microsoft POS for .NET 1.1 naCentral de Downloads Microsoft (http://go.microsoft.com/fwlink/?linkid=66169).Configurando um Servidor de Terminal Para implementar o Microsoft POS for .NET 1.1 em seu servidorde terminal, faça o seguinte: 1. Instale o Microsoft POS for .NET 1.1. 2. Instale os objetos ou arquivos XML de configuração do serviço. NET para o dispositivo do Microsoft POS for .NET. Os objetos de serviço do dispositivo ou arquivos XML de configuração geralmente são fornecidos pelo fabricante do dispositivo e são escritos para trabalhar com o POS for .NET usando o SDK (Software Development Kit) do Microsoft POS for .NET 1.1. Você pode instalar os objetos de serviço do dispositivo ou arquivos XML de configuração através do software padrão de instalação que acompanha o dispositivo. Para instruções de instalação do dispositivo Microsoft POS for .NET específico que você estiver usando, consulte o manual do dispositivo. 3. Depois de instalar os objetos de serviço do dispositivo ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal, você precisa parar e iniciar o serviço Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 43. 40 Redirecionador de Porta UserMode de Serviços de Terminal. Para reiniciar o serviço, siga esses passos: a. Abra o snap-in Serviços. Para abri-lo, clique em Start, aponte para Administrative Tools, e então clique em Services. b. Na caixa de diálogo Services,na coluna Name, clique com o botão direito em Terminal Services UserMode Port Redirector, e em seguida clique em Restart. Nota Reinicie o Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector) somente depois de ter instalado os objetos de serviço do servidor ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal. Se você instalar posteriormente um novo objeto de serviço do servidor ou arquivo XML de configuração em seu servidor de terminal para um dispositivo Microsoft POS for .NET, precisará reiniciar o serviço Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector).Configurando um Arquivo de Protocolo de Área de trabalho RemotaOs dispositivos do Microsoft POS for .NET, por padrão, não estãolistados em Local devices and resources na guia Local Resourcesna Conexão de Área de trabalho Remota. Portanto, para permitir oredirecionamento de dispositivos do Microsoft POS for .NET, vocêprecisa editar o arquivo (.rdp) do Protocolo de Área de trabalhoRemota (Remote Desktop Protocol) que você usa para conectar-se aoservidor de terminal. Para ativar o redirecionamento de dispositivos do MicrosoftPOS for .NET em um arquivo .rdp, faça o seguinte • Abra o arquivo .rdp no editor de texto. Adicione ou altere a seguinte configuração: redirectposdevices:i:<value> o Se <value> = 0, o redirecionamento de dispositivos do Microsoft POS for .NET está desabilitado. o Se <value> = 1, o redirecionamento de dispositivos do Microsoft POS for .NET está ativado.Para mais informações sobre as configurações de arquivo .rdp,consulte o artigo 885187 na Base de Conhecimento Microsoft(http://go.microsoft.com/fwlink/?linkid=66168). Nota Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 44. 41 O arquivo .rdp criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivos do Microsoft POS for .NET. Para mais informações sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o TechCenter do Windows Server “Longhorn” TS RemoteApp e o TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).Usando Dispositivos Microsoft POS for .NETDepois de ter implementado o Microsoft POS for .NET 1.1 em seuservidor de terminal e de ter ativado o redirecionamento dedispositivos do Microsoft POS for .NET em seu arquivo .rdp,conecte seu dispositivo do Microsoft POS for .NET e em seguidaconecte-se ao computador remoto usando o arquivo .rdp modificado.Depois de se conectar ao computador remoto, você deve ver odispositivo do Microsoft POS for .NET redirecionado ser instaladoautomaticamente no computador remoto. Notificações do Plug andPlay aparecerão na barra de tarefas do computador remoto.Depois que o dispositivo do Microsoft POS for .NET é instalado nocomputador remoto, qualquer aplicação do Microsoft POS for .NETresidindo no servidor de terminal pode acessar o dispositivo doMicrosoft POS for .NET como se este estivesse disponívellocalmente. Há uma aplicação de amostra no SDK do POS for .NET1.1 que você pode usar para testar o acesso e a funcionalidade dodispositivo do Microsoft POS for .NET redirecionado. A aplicaçãode amostra é chamada ccltestapp.exe e pode ser encontrada napasta SDKExemplosExemplo de Aplicação (SDKSamplesSampleApplication) na pasta onde você instalou o POS for .NET.Você pode controlar o redirecionamento de dispositivos doMicrosoft POS for .NET usando as seguintes configurações deDiretiva de Grupo: • Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerDevice and Resource Redirectiondefinição de diretiva de Do not allow supported Plug and Play device redirection • Computer ConfigurationAdministrative TemplatesSystemDevice Installation definição de diretiva de Device Installation RestrictionsVocê também pode controlar o redirecionamento de dispositivosPlug and Play na guia Client Settings na ferramenta deConfiguração de Serviços de Terminal (tsconfig.msc).Exibição de Conexão de Área de trabalho RemotaO software Conexão de Área de trabalho Remota 6.0 (Remote DesktopConnection 6.0) acrescenta suporte para estações de trabalho deresolução mais alta e abrangendo múltiplos monitoreshorizontalmente para formar uma única grande área de trabalho. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 45. 42Além disso, o recurso Experiência Desktop e as configurações depriorização de dados de exibição são projetados para aumentar aexperiência do usuário final quando se conecta remotamente a umservidor de terminal do Windows Server “Longhorn”.Resoluções de Exibição PersonalizadasA resolução de exibição personalizada oferece suporte paraproporções adicionais de exibição, como 16:9 ou 16:10. Porexemplo, monitores mais novos com resoluções de 1680x1050 ou1920x1200 agora são suportados. A resolução máxima suportada é4096x2048. Nota Anteriormente, somente proporções de resolução de 4:3 eram suportadas, e a resolução máxima suportada era 1600x1200.Você pode definir uma resolução de exibição personalizada em umarquivo .rdp ou a partir de um prompt de comando. Para definir uma resolução de exibição personalizada em umarquivo .rdp, faça o seguinte: • Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configurações: desktopwidth:i:<value> desktopheight:i:<value> Onde <value> é a resolução, como 1680 ou 1050. Nota Para mais informações sobre as configurações de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Para definir uma resolução de exibição personalizada a partirde um prompt de comando, faça o seguinte: • No prompt de comando, use o comando mstsc.exe com a seguinte sintaxe, e em seguida pressione ENTER. mstsc.exe /w:<width> /h:<height>Abrangência do MonitorA abrangência de monitores permite que você exiba sua sessão deárea de trabalho remota através de vários monitores.Os monitores usados para a abrangência de monitores devemsatisfazer os seguintes requisitos: • Todos os monitores devem usar a mesma resolução. Por exemplo, dois monitores usando resolução 1024x768 podem ser Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 46. 43 abrangidos. Mas um monitor em 1024x768 e outro em 800x600 não podem ser abrangidos. • Todos os monitores devem estar alinhados horizontalmente (isto é, lado a lado). Atualmente não há suporte para abranger múltiplos monitores verticalmente no sistema cliente. • A resolução total ao longo de todos os monitores não pode exceder 4096x2048.Você pode ativar a abrangência de monitores em um arquivo .rdp oua partir de um prompt de comando. Para ativar a abrangência de monitores em um arquivo .rdp,faça o seguinte: • Abra o arquivo • Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configurações: Span:i:<value> o Se <value> = 0, a abrangência de monitores está desabilitada. o Se <value> = 1, a abrangência de monitores está ativada. Nota Para mais informações sobre as configurações de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Para ativar a abrangência de monitores a partir de um promptde comando, faça o seguinte: • No prompt de comando, digite o seguinte comando, e em seguida pressione ENTER. mstsc.exe /spanExperiência DesktopO software de Conexão de Área de trabalho Remota 6.0 (RemoteDesktop Connection 6.0) reproduz a área de trabalho que existe nocomputador remoto no computador cliente do usuário. Para fazer ocomputador remoto se parecer com a Experiência Desktop do WindowsVista local do usuário, você pode instalar o recurso deExperiência Desktop em seu servidor de terminal do Windows Server“Longhorn”. A Experiência Desktop instala recursos do WindowsVista, como o Windows Media® Player 11, temas de área de trabalho,e gerenciamento de fotos. Para implementar o Microsoft POS for .NET 1.1 em seu servidorde terminal, faça o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 47. 44 1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na página Select Features, assinale a caixa de seleção Desktop Experience, e em seguida clique em Next. 4. Na página Confirm Installation Options, certifique-se de que o recurso Experiência Desktop será instalado, e em seguida clique em Install. 5. Na página Installation Results, você é instruído a reiniciar o servidor para concluir o processo de instalação. Clique em Close, e em seguida clique em Yes para reiniciar o servidor. 6. Depois que o servidor reiniciar, confirme que a Experiência Desktop está instalada. a. Inicie o Gerenciador de Servidor. b. Em Features Summary, confirme que a Experiência Desktop está listada como instalada.Composição de Área de trabalhoO Windows Vista oferece uma experiência visualmente dinâmicachamada Windows Aero™. O Windows Aero oferece recursos comoestes: • Janelas transparentes • Botões de barra de tarefas com visualizações de janela em tamanho miniatura • Uma vista de suas janelas abertas em um stack tridimensional em sua área de trabalho Nota Para mais informações sobre os recursos do Windows Aero, consulte o Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741).Um servidor de terminal Windows Server “Longhorn” pode serconfigurado para fornecer recursos do Windows Aero quando umcomputador cliente do Windows Vista se conecta ao servidor determinal Windows Server “Longhorn” usando Conexão de Área detrabalho Remota. Esta funcionalidade é mencionada como composiçãode área de trabalho. Nota Para que o computador cliente do Windows Vista use a composição de área de trabalho em uma conexão de área de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 48. 45 trabalho remota com um servidor de terminal do Windows Server “Longhorn”, o computador cliente do Windows Vista deve ter hardware instalado capaz de suportar o Windows Aero. Contudo, o servidor de terminal Windows Server “Longhorn” não precisa ter hardware instalado capaz de suportar o Windows Aero. Para configurar a composição de área de trabalho para conexõesde estações de trabalho remotas em seu servidor de terminal, façao seguinte: 1. Instale o recurso Experiência Desktop. 2. Configure o tema: a. Iniciando o serviço de Temas b. Definindo o tema em “Windows Vista” 3. Ajuste as configurações de: a. Cor e Aparência das janelas b. Configurações de Exibição c. Facilidade de Acesso d. Máxima Profundidade de Cor Para iniciar o serviço de Temas em seu servidor de terminal,faça o seguinte: 1. Cliquem em Start, aponte para Administrative Tools, e em seguida clique em Services. 2. No painel de Services, clique com o botão direito em Themes, e em seguida clique em Properties. 3. Na guia General, mude o Startup type para Automatic, e em seguida clique em Apply. 4. Em Service status, clique em Start para iniciar o serviço de Temas, e em seguida clique em OK. Para definir o tema em “Windows Vista” em seu servidor determinal, faça o seguinte: 1. Clique em Start, clique em Control Panel, e em seguida clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida cliquem em Theme. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 49. 46 3. Na guia Themes, altere o Theme for Windows Vista, e em seguida clique em OK.O sistema operacional determinará se o computador possui ohardware necessário para suportar e exibir os recursos do tema do“Windows Vista”. Mesmo que o hardware no servidor de terminalWindows Server “Longhorn” não suporte o tema do “Windows Vista”,ele será exibido na conexão de área de trabalho remota se ohardware do computador cliente o suportar.Ajustando Configurações AdicionaisPara assegurar que a composição de área de trabalho ofereça afuncionalidade desejada durante conexões de estações de trabalhoremotas, existem configurações adicionais que precisam serconfiguradas no servidor de terminal do Windows Server“Longhorn”. Para fazer esses ajustes, siga este procedimento. Para configurar configurações adicionais em seu servidor determinal, faça o seguinte: 1. Clique em Start, clique em Control Panel, e então clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida clique em Window Color and Appearance. 3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleção Show window contents while dragging. 4. Para salvar a configuração, clique em OK, e em seguida clique em OK novamente para fechar a caixa de diálogo Appearance. 5. Clique em Display Settings. Na guia Monitor, na lista de Colors, clique em Highest (32 bits), e em seguida clique em OK. 6. No painel à esquerda, em See also, clique em Ease of Access. 7. Em Explore all settings, clique em Make it easier to focus on tasks. 8. Em Adjust time limits and flashing visuals, apague a marca na caixa de seleção Turn off all unnecessary animations (when possible). 9. Clique em Save.Além disso, o servidor de terminal deve ser configurado parasuportar uma profundidade máxima de cor de 323 bits por pixel Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 50. 47(bpp) para conexões remotas. A profundidade máxima de cor podeser configurada usando-se um dos métodos a seguir: • Definindo a Limit Maximum Color Depth na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig.msc) • Ativando Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerRemote Session EnvironmentLimit maximum color depth como a definição de diretivaNote que a definição de Diretiva de Grupo terá prioridade sobre adefinição na ferramenta de Configuração de Serviços de Terminal.Configuração de ClientePara tornar a composição de área de trabalho disponível para umaconexão de área de trabalho remota, siga este procedimento. Para tornar uma composição de área de trabalho disponível,faça o seguinte: 1. Abra a Conexão de Área de trabalho Remota (Remote Desktop Connection). Para abrir a Conexão de Área de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de diálogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleção Desktop composition, e assegure-se de que a caixa de seleção Themes esteja assinalada. 4. Configure quaisquer configurações restantes, e em seguida clique em Connect.Quando você permite a composição de área de trabalho, estáespecificando que as configurações locais no computador clientedo Windows Vista ajudarão a determinar a experiência do usuáriona conexão de área de trabalho remota. Note que ao permitir acomposição de área de trabalho, você não muda as configurações doservidor de terminal do Windows Server “Longhorn”.Como o Windows Aero requer e usa mais recursos de hardware, vocêprecisará determinar que impacto sobre a escalabilidade isso teráem quantas conexões simultâneas de estações de trabalho remotasque o seu servidor de terminal Windows Server “Longhorn” podesuportar.Suavização de FonteO Windows Server “Longhorn” suporta ClearType®, que é umatecnologia para exibir fintes de computador de modo que elas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 51. 48apareçam claras e suaves, especialmente quando se usa um monitorde LCD.Um servidor de terminal Windows Server “Longhorn” pode serconfigurado para oferecer funcionalidade ClearType quando umcomputador cliente se conecta a um servidor de terminal WindowsServer “Longhorn” usando Conexão de Área de trabalho Remota. Estafuncionalidade é chamada de suavização de fonte. A suavização defonte está disponível se o computador cliente estiver executandoalgum dos seguintes: • Windows Vista • Windows Server 2003 com SP1 e software de Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0) • Windows XP com SP2 e software de Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0)Por padrão, o ClearType está ativado no Windows Server“Longhorn.” Para garantir que o ClearType esteja ativado noservidor de terminal Windows Server “Longhorn”, siga esteprocedimento. Para garantir que o ClearType esteja ativado, faça o seguinte: 1. Clique em Start, clique em Control Panel, e então clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida clique em Cor e Window Color and Appearance. 3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleção Use the following method to smooth edges of screen fonts, selecione ClearType, e em seguida clique em OK.Para tornar a suavização de fontes disponível para uma conexão deárea de trabalho remota, siga este procedimento no computadorcliente. Para tornar a suavização de fontes disponível, faça oseguinte: 1. Abra a Remote Desktop Connection. Para abrir a Conexão de Área de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de diálogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleção Font smoothing. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 52. 49 4. Configure quaisquer configurações de conexão restantes, e em seguida clique em Connect.Quando você permite a suavização de fonte, está especificando queas configurações locais no computador cliente ajudarão adeterminar a experiência do usuário na conexão de área de trabalhoremota. Note que ao permitir a suavização de fonte, você não mudaas configurações do servidor de terminal do Windows Server“Longhorn”.Usar a suavização de fonte em uma conexão de área de trabalhoremota aumenta a quantidade de largura de banda usada entre ocomputador cliente e o servidor de terminal Windows Server“Longhorn”.Priorização de Dados de ExibiçãoA priorização de dados de exibição controla automaticamente otráfego do canal virtual para que os dados do monitor, teclado emouse recebam maior prioridade que os outros, como impressões outransferências de arquivos. Essa priorização é projetada paragarantir que o desempenho de sua janela não seja afetado demaneira adversa por ações de consumo intensivo de largura debanda, como grandes tarefas de impressão.A proporção padrão de largura de banda é 70:30. Dados de exibiçãoe entrada terão alocados 70 por cento da largura de banda, e todoo tráfego restante, como área de transferência, transferência dearquivos ou tarefas de impressão, receberão 30 por cento dalargura de banda.Você pode ajudar as configurações de priorização dos dados deexibição fazendo alterações no registro do servidor de terminal.Você pode alterar o valor das seguintes informações na sub-chaveHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD: • FlowControlDisable • FlowControlDisableBandwidth • FlowControlChannelBandwidth • FlowControlChargePostCompressionSe esses registros não aparecerem, você pode adicioná-los. Parafazer isso, clique com o botão direito do mouse em TermDD, apontepara Novo (New), e em seguida clique em DWORD (32-bit) Value.Você pode desabilitar a priorização dos dados de exibiçãodefinindo o valor de FlowControlDisable em 1. Se a priorizaçãodos dados de exibição estiver desabilitada, todas as solicitaçõessão tratadas em uma base “primeiro a entrar, primeiro a sair”. Ovalor padrão para FlowControlDisable é 0.Você pode estabelecer a prioridade relativa de largura de bandapara exibição (e dados de entrada) definindo o valor deFlowControlDisplayBandwidth. O valor padrão é 70; o valor máximopermitido é 255. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 53. 50Você pode estabelecer a prioridade relativa de largura de bandapara outros canais virtuais (como área de transferência,transferências de arquivos ou tarefas de impressão) definindo ovalor de FlowControlChannelBandwidth. O valor padrão é 30; ovalor máximo permitido é 255.A proporção de largura de banda para priorização de dados deexibição se baseia nos valores de FlowControlDisplayBandwidth eFlowControlChannelBandwidth. Por exemplo, seFlowControlDisplayBandwidth estiver definido em 150 eFlowControlChannelBandwidth em 50, a proporção é 150:50, assim aexibição e dados de entrada terão alocados 75 por cento dalargura de banda.O valor FlowControlChargePostCompression determina se o controlede fluxo controlará a alocação de largura de banda com base embytes de pré-compressão ou de pós-compressão. O valor padrão é 0,o que significa que o cálculo será feito em bytes pré-compressão.Se você fizer alguma alteração nos valores do registro, precisaráreiniciar o servidor de terminal para que as alterações tenhamefeito.Logon ÚnicoO logon único é um método de autenticação que permite a umusuário com uma conta de domínio efetuar o logon uma única vez,usando uma senha ou smart card, e então obter acesso a servidoresremotos sem precisar apresentar suas credenciais novamente.Os principais cenários para o logon único são esses: • Implantação de aplicações de gestão de negócios (LOB) • Implantação centralizada de aplicaçãoDevido a custos mais baixos de manutenção, muitas companhiaspreferem instalar suas aplicações de gestão de negócios em umservidor de terminal e tornar essas aplicações disponíveisatravés do RemoteApps ou da Área de trabalho Remota. O logonúnico possibilita dar aos usuários uma melhor experiênciaeliminando a necessidade de eles digitarem suas credenciaissempre que iniciarem uma sessão remota.Pré-requisitos para Implantar o Logon ÚnicoPara implementar a funcionalidade de logon único em Serviços deTerminal, assegure-se de que satisfaz os seguintes requisitos: • Você pode usar o logon único somente para conexões remotas de um computador baseado em Windows Vista para um servidor de terminal baseado no Windows Server “Longhorn”. Também pode usar o logon único para conexões remotas entre dois servidores baseados no Windows Server “Longhorn”. • Certifique-se de que as contas de usuário usadas para efetuar o logon possuem os direitos apropriados para se Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 54. 51 registrar tanto no servidor de terminal como no cliente Windows Vista. • Seu computador cliente e servidor de terminal devem ser ligados a um domínio.Configuração Recomendada de um Servidor de Terminal ao Usar oLogon ÚnicoPara definir as configurações recomendadas para seu servidor determinal, complete os passos a seguir: • Configure a autenticação no servidor de terminal. • Configure o computador baseado em Windows Vista para permitir que credenciais padrão sejam usadas para efetuar o logon nos servidores de terminal especificados. Para configurar a autenticação no servidor de terminal, faça oseguinte: 1. Abra a Configuração de Serviços de Terminal (Terminal Services Configuration). Para abrir a Configuração de Serviços de Terminal, clique em Start, clique em Run, digite tsconfig.msc e em seguida clique em OK. 2. Em Connections, clique com o botão direito do mouse em RDP- Tcp, e em seguida clique em Properties. 3. Na caixa de diálogo Properties, na guia General, certifique-se de que o valor da Security Layer seja Negotiate ou SSL (TLS 1.0), e em seguida clique em OK. Para permitir o uso de credencial padrão para logon único,faça o seguinte: 1. No computador baseado em Windows Vista, abra o Editor Objeto de Diretiva de Grupo (Group Policy Object Editor). Para abrir o Editor Objeto de Diretiva de Grupo, clique em Start, e na caixa Start Search digite gpedit.msc e em seguida pressione ENTER. 2. No painel à esquerda, expanda o seguinte: Computer Configuration, Administrative Templates, System, e em seguida clique em Credentials Delegation. 3. Dê um clique duplo em Allow Delegating Default Credentials. 4. Na caixa de diálogo Properties, na guia Setting, clique em Enabled, e então clique em Show. 5. Na caixa de diálogo Start Contents, clique em Add para adicionar servidores à lista. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 55. 526. Na caixa de diálogo Add Item, na caixa Enter the item to be added, digite o prefixo termsrv/ seguido pelo nome do servidor de terminal, por exemplo, termsrv/Server1, e então clique em OK. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 56. 533.03 Gateway de Serviços de Terminal O Gateway de Serviços de Terminal (TS Gateway) é um serviço de função na função de servidor de Serviços de Terminal que permite que usuários remotos autorizados se conectem a servidores de terminal e estações de trabalho remotas (computadores remotos) em uma rede corporativa, a partir de qualquer dispositivo conectado à Internet. O TS Gateway usa o Protocolo de Área de trabalho Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar uma conexão segura e criptografada entre usuários remotos na Internet e os computadores remotos nos quais suas aplicações de produtividade são executadas. O TS Gateway foi introduzido na versão Beta 1 do Windows Server “Longhorn.” O TS Gateway oferece os seguintes benefícios: • O TS Gateway possibilita a usuários remotos se conectarem à rede corporativa a partir da Internet, através de uma conexão criptografada, sem precisar configurar conexões de VPN. • O TS Gateway oferece um modelo abrangente de configuração de segurança que permite que você controle o acesso a recursos específicos de rede (computadores). • O TS Gateway permite aos usuários se conectarem remotamente a servidores de terminal e estações de trabalho remotas hospedados atrás de firewalls em redes privadas e através de tradutores de endereço de rede (NATs). Antes dessa versão do Windows Server, medidas de segurança impediam que os usuários se conectassem a computadores remotos passando por firewalls e NATs. Isso porque a porta 3389, aquela usada para conexões de RDP, é tipicamente bloqueada para fins de segurança de rede. O TS Gateway transmite o tráfego de RDP para a porta 443, usando um túnel de Camada de Soquete Seguro/Segurança de Camada de Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer Security) de HTTP. Como a maioria das empresas abre a porta 443 para permitir a conectividade de Internet, o TS Gateway tira proveito desse projeto de rede para fornecer conectividade de acesso remoto através de vários firewalls. • O snap-in console do Gerenciador de TS Gateway permite que você configure diretivas de autorização para definir condições que devem ser satisfeitas para que os usuários se conectem a recursos de rede. Por exemplo, você pode especificar o seguinte: o Quem pode se conectar a recursos da rede (em outras palavras, os grupos de usuários que podem se conectar). Esses grupos podem ser grupos existentes Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 57. 54 em Usuários e Grupos Locais no servidor do TS Gateway, grupos existentes nos Serviços de Domínio do Active Directory®, ou grupos gerenciados novos ou existentes do TS Gateway. Grupos gerenciados pelo TS Gateway são aqueles que você configura usando o Gerenciador do TS Gateway. o Um ou mais recursos da rede aos quais os usuários podem se conectar o Se computadores clientes têm de ser membros de domínios do Active Directory o Se o redirecionamento de dispositivo ou disco é permitido o Se clientes precisam usar autenticação de smart card ou de senha, ou se podem usar qualquer dos métodos• Você pode configurar servidores de TS Gateway e clientes de Serviços de Terminal para usar a NAP para melhorar ainda mais a segurança. A NAP é uma tecnologia de criação, imposição e correção de diretiva de integridade que está incluída no Windows Vista e Windows Server “Longhorn.” Com a NAP, administradores de sistema podem impor requisitos de integridade, que podem incluir requisitos de software, de atualizações de segurança, configurações de computador exigidas, e outras configurações. Para informações sobre como configurar o TS Gateway para usar a NAP para imposição de diretiva de integridade para clientes de Serviços de Terminal que se conectam a servidores do TS Gateway, consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).• Você pode usar o servidor de TS Gateway com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurança. Neste cenário, você pode hospedar servidores de TS Gateway em uma rede privada em vez de em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede de borda), e hospedar o ISA Server na rede de perímetro. A conexão SSL entre o cliente de Serviços de Terminal e o ISA Server pode ser encerrada no ISA Server, que encara a Internet. Para informações sobre como configurar o ISA Server como um dispositivo de encerramento para cenários de servidor do TS Gateway, consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).• O console do snap-in Gerenciador de TS Gateway oferece ferramentas para ajudar você a monitorar o status, de conexão, integridade e eventos do TS Gateway. Usando o Gerenciador do TS Gateway, você pode especificar eventos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 58. 55 (como tentativas fracassadas de conexão com o servidor do TS Gateway) que quer monitorar para fins de auditoria.Se sua organização torna aplicações baseadas em Serviços deTerminal e computadores que executam Área de trabalho Remotadisponíveis a usuários de fora do perímetro de sua rede, o TSGateway pode simplificar a administração da rede e reduzir aexposição a riscos de segurança.O TS Gateway também pode facilitar as coisas para os usuáriospois eles não precisam configurar conexões de VPN e podem acessarservidores de nextref_ts_gateway a partir de sites que podem, deoutra forma, bloquear conexões de saída de RDP ou VPN.Você deve analisar esta seção e a documentação adicional desuporte sobre o TS Gateway se estiver em qualquer dos seguintesgrupos: • Administradores de TI, planejadores e analistas que estejam avaliando acesso remoto e produtos de solução de e móvel • Arquitetos de TI corporativa e designers para organizações • “early adopters” • Arquitetos de segurança responsáveis pela implementação de computação confiável • Profissionais de TI responsáveis por servidores de terminal ou acesso remoto a estações de trabalhoPara que o TS Gateway funcione corretamente, você deve satisfazeresses pré-requisitos: • Você deve ter um servidor com o Windows Server “Longhorn” instalado. • Deve ser membro do grupo de Administradores no computador que quer configurar como um servidor de TS Gateway. • Os seguintes serviços e recursos de função devem estar instalados e em execução para que o TS Gateway funcione: o Chamada de procedimento remoto (RPC - remote procedure call) sobre serviço de Proxy HTTP o Web Server (IIS) (Internet Information Services 7.0). (O IIS 7.0 deve estar instalado e em execução para que o serviço de RPC sobre Proxy HTTP funcione.) o Serviço de Servidor de Diretiva de Rede (NPS - Network Policy Server). Se um servidor de NPS – anteriormente conhecido como servidor de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS - Remote Authentication Dial-In User Service) — já estiver implantado para cenários de acesso remoto como VPN e rede discada, você também pode usar o servidor de NPS existente para cenário de TS Gateway. Usando o NPS para TS Gateway, você pode centralizar o armazenamento, gerenciamento e validação das Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 59. 56 diretivas de autorização de conexão de Serviços de Terminal (TS CAPs). Quando você usa o Gerenciador de Servidor para instalar o serviço de função de TS Gateway, esses serviços e recursos de função adicionais são instalados automaticamente. • Você deve obter um certificado de SSL para o servidor de TS Gateway se já não tiver um. Por padrão, no servidor de TS Gateway, o serviço de Balanceamento de Carga RPC/HTTP e o serviço de IIS usam TLS 1.0 para criptografar as comunicações entre clientes e servidores do TS Gateway através da Internet. Para que o TLS funcione corretamente, você deve instalar um certificado de SSL no servidor de TS Gateway. O certificado deve satisfazer esses requisitos: o O nome na linha Assunto (Subject) do certificado do servidor (nome do certificado, ou CN) deve corresponder ao nome configurado no servidor de TS Gateway. o O certificado é um certificado de computador. o O fim pretendido do certificado é autenticação de servidor. O Uso Estendido de Chave (EKU - Extended Key Usage) é Autenticação de Servidor (1.3.6.1.5.5.7.3.1). o O certificado tem uma chave privada correspondente. o O certificado não expirou. Recomendamos que o certificado seja válido por um ano a partir da data de instalação. o Um identificador de objeto de certificado (também conhecido como OID) de 2.5.29.15 não é exigido. Contudo, se o certificado que você planeja usar contiver um identificador de objeto de 2.5.29.15, você poderá usar o certificado somente se pelo menos um dos seguintes valores de uso de chave também estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, e CERT_DATA_ENCIPHERMENT_KEY_USAGE. Para mais informações sobre esses valores, consulte Registro e Gerenciamento Avançados de Certificados (http://go.microsoft.com/fwlink/?LinkID=74577).Para mais informações sobre requisitos de certificados para o TSGateway e como obter e instalar um certificado se você ainda nãotiver um, consulte o Guia Passo a Passo de Instalação do TSGateway (http://go.microsoft.com/fwlink/?linkid=79605).Além disso, tenha em mente as seguintes considerações: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 60. 57 • O TS Gateway transmite todo o tráfego de RDP (que tipicamente teria sido enviado pela porta 3389) para a porta 443 usando um túnel de HTTPS. Isso também significa que todo o tráfego entre o cliente e o TS Gateway é criptografado enquanto em trânsito pela Internet. • Você deve analisar esse tópico e a documentação adicional de suporte do TS Gateway, inclusive o Guia Passo a Passo de Instalação do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605). • Você deve se preparar para comprar um certificado SSL, ou para emitir um a partir de sua própria autoridade de certificação (CA). • Deve se familiarizar com os protocolos TLS e SSL se ainda não os conhecer.O TS Gateway oferece os seguintes novos recursos para simplificara administração e melhorar a segurança.TS CAPsAs diretivas de autorização de conexão dos Serviços e Terminal(TS CAPs) permitem que você especifique grupos de usuários, eopcionalmente, grupos de computadores, que podem acessar umservidor de TS Gateway. Você pode criar um TS CAP usando oGerenciador de TS Gateway.As TS CAPs simplificam a administração e aumentam a segurançaoferecendo um maior nível de controle sobre o acesso acomputadores remotos em sua rede corporativa.As TS CAPs permitem que você especifique quem pode ser conectar aum servidor de TS Gateway. Você pode especificar um grupo deusuários que existe no servidor de TS Gateway local ou nosServiços de Domínio do Active Directory. Você também podeespecificar outras condições que os usuários devem satisfazerpara acessar um servidor de TS Gateway. Pode listar condiçõesespecíficas em cada TS CAP. Por exemplo, você pode exigir que umusuário use um smart card para se conectar através do TS Gateway.Os usuários recebem acesso a um servidor de TS Gateway seatenderem as condições especificadas na TS CAP. Importante Você também deve criar uma diretiva de autorização de recurso de Serviços de Terminal (TS RAP). Uma TS RAP permite que você especifique os recursos de rede aos quais os usuários podem se conectar através do TS Gateway. Até você criar uma TS CAP e uma TS RAP, os usuários não podem se conectar a recursos de rede através desse servidor de TS Gateway.Grupos de Computadores Associados com TS RAPs Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 61. 58Os usuários podem se conectar através do TS Gateway a recursos derede em um grupo de computadores. O grupo de computadores podeser qualquer um dos seguintes: • Membros de um grupo do Windows existente: O grupo do Windows pode existir em Usuários e Grupos Locais no servidor de TS Gateway, ou pode existir nos Serviços de Domínio do Active Directory. • Membros de um grupo de computadores gerenciado pelo TS Gateway ou um novo grupo gerenciado pelo TS Gateway que você criar: Você pode adicionar os computadores aos quais queira fornecer acesso de usuário no grupo de computadores gerenciado pelo TS Gateway usando o Gerenciador de TS Gateway. • Qualquer recurso de rede: Neste caso, os usuários podem se conectar a qualquer computador na rede a que podem se conectar quando usam a Área de trabalho Remota.Para garantir que os usuários apropriados tenham acesso arecursos de rede adequados, planeje e crie grupos de computadorescuidadosamente. Avalie os usuários que devem ter acesso a cadaagrupo de computadores, e então associe os grupos de computadorescom as TS RAPs para conceder acesso aos usuários conformenecessário.TS RAPsAs TS RAPs permitem que você especifique os recursos de rede aosquais os usuários podem se conectar através de um servidor de TSGateway. Quando você cria uma TS RAP, pode criar um grupo decomputadores e associá-lo com a TS RAP.Usuários conectando-se à rede através do TS Gateway recebemacesso a computadores remotos na rede corporativa se satisfizeremas condições especificadas em pelo menos uma TS CAP e uma TS RAP. Nota Usuários de clientes podem especificar um nome de NetBIOS ou um nome de domínio completamente qualificado (FQDN - fully qualified domain name) para o computador remoto que querem acessar através do servidor de TS Gateway. Para suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP para cada nome de computador possível.Juntas, as TS CAPs e TS RAPs oferecem dois níveis diferentes deautorização para dar a você a capacidade de configurar um nívelmais específico de controle de acesso a recursos de redescorporativas.Capacidades de MonitoramentoVocê pode usar o Gerenciador de TS Gateway para visualizarinformações sobre conexões ativas de clientes de Serviços de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 62. 59Terminal com recursos de rede através do TS Gateway. Essasinformações incluem o seguinte: • O domínio e ID de usuário do usuário que efetuou logon no cliente • O endereço IP do cliente Nota Se sua configuração de rede inclui servidores Proxy, o endereço IP que aparece na coluna Client IP Address (no painel de detalhes Monitoring) pode refletir o endereço IP do servidor Proxy, e não o endereço IP do cliente de Serviços de Terminal. • O nome do computador de destino ao qual o cliente está conectado • A porta de destino através da qual o cliente está conectado • A data e hora em que a conexão foi iniciada • O tempo que a conexão está inativa, se aplicávelVocê também pode especificar os tipos de eventos que quermonitorar, como tentativas bem sucedidas e fracassadas de conexãoa recursos internos de rede através de um servidor de TS Gateway.Quando esses eventos ocorrem, você pode monitorar os eventoscorrespondentes usando Windows Event Viewer. Os eventos do TSGateway são armazenados em Application and ServicesLogsMicrosoftWindowsTerminal Services-Gateway.Configurações de Diretiva de Grupo para TS GatewayVocê pode usar Diretiva de Grupo e Serviços de Domínio do ActiveDirectory para centralizar e simplificar a administração deconfigurações de diretiva do TS Gateway. Você usa o Editor deObjeto de Diretiva de Grupo para configurar essas configurações,que ficam contidas dentro de objetos de Diretiva de Grupo. Vocêusa o Console de Gerenciamento de Diretiva de Grupo (GPMC) paraligar GPOs a sites, domínios ou unidades organizacionais (OUs)nos Serviços de Domínio do Active Directory.As configurações de Diretiva de Grupo para conexões de cliente deServiços de Terminal através do TS Gateway podem ser aplicadas deduas maneiras. Essas configurações de diretiva podem sersugeridas (ou seja, podem ser ativadas, mas não impostas) oupodem ser ativadas e impostas. Sugerir uma definição de diretivapermite aos usuários no cliente inserir configuraçõesalternativas de conexão do TS Gateway. Impor uma definição dediretiva evita que um usuário altere a definição de conexão do TSGateway, mesmo se ele selecionar a opção Use these TS Gatewayserver settings (Usar essas configurações de servidor do TSGateway) no cliente. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 63. 60As três configurações de Diretiva de Grupo a seguir estãodisponíveis para o servidor de TS Gateway: • Definir o método de Autenticação do Servidor de TS Gateway. Isso permite que você especifique o método de autenticação que os clientes de Serviços de Terminal devem usar quando se conectarem a recursos de rede através de um servidor de TS Gateway. • Permitir conexões através do TS Gateway. Isso permite que você especifique que, quando clientes de Serviços de Terminal não puderem se conectar diretamente a um recurso de rede, eles tentarão se conectar ao recurso de rede através do servidor de TS Gateway especificado na definição de diretiva Set the TS Gateway server address (Definir o endereço do servidor de TS Gateway). • Definir o endereço do servidor de TS Gateway. Isso permite que você especifique o servidor de TS Gateway que os clientes de Serviços de Terminal usam quando não conseguem se conectar diretamente a um recurso da rede. Importante Se você desativar ou não configurar essa definição de diretiva, mas ativar a definição Enable connections through TS Gateway (Ativar conexões através do TS Gateway), as tentativas de conexão do cliente a qualquer recurso da rede falharão se o cliente não puder se conectar diretamente ao recurso da rede.Você não precisa alterar nenhum código existente para trabalharcom o TS Gateway. O TS Gateway apenas gerencia a maneira como aconexão ao computador remoto é criada. Nota O TS Gateway pode rotear conexões para qualquer sessão baseada em Serviços de Terminal, inclusive aquelas em computadores baseados no Windows Server “Longhorn,” Windows Server 2003, Windows Vista e Windows XP.Se o computador remoto estiver usando recursos novos de Serviçosde Terminal, você precisará usar o software de Conexão de Área detrabalho Remota versão 6.0 (Remote Desktop Connection version6.0), que está incluído com o Windows Server “Longhorn” e WindowsVista. Nota O software de Conexão de Área de trabalho Remota versão 6.0 (Remote Desktop Connection version 6.0) está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer novo recurso de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação para o RDC 6.0. Para fazer o download do pacote de instalação do RDC 6.0, Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 64. 61 acesse a Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkID=79373).Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 65. 623.04 RemoteApp de Serviços de Terminal O RemoteApp™ de Serviços de Terminal(TS RemoteApp) permite a organizações oferecer acesso a programas padrão baseados em Windows a partir de virtualmente qualquer local a usuários de qualquer computador baseado no Windows Vista ou Windows Server “Longhorn”, ou a usuários de computadores baseados no Windows XP com Service Pack 2 (SP2), ou no Windows Server 2003 com Service Pack 1 (SP1) que tenham o novo cliente Conexão de Área de trabalho Remota (RDC – Remote Desktop Connection) instalado. O TS RemoteApp é integrado nos Serviços de Terminal no Windows Server “Longhorn.” Os RemoteApps são programas acessados remotamente através de Serviços de Terminal e aparecem como se estivessem sendo executados no computador local do usuário final. Os usuários podem executar RemoteApps lado a lado com seus programas locais. Um usuário pode minimizar, maximizar e redimensionar a janela do programa, e pode facilmente iniciar vários programas ao mesmo tempo. Se um usuário estiver executando mais de um RemoteApp no mesmo servidor de terminal, os RemoteApps compartilharão a sessão de Serviços de Terminal. Para o Windows Server “Longhorn” Beta 3, os usuários podem executar RemoteApps de várias maneias. Podem fazer o seguinte: • Dar um clique duplo em um arquivo .rdp que tenha sido criado e distribuído por seu administrador. • Dar um clique duplo no ícone de um programa em sua área de trabalho ou no menu Iniciar que tenha sido criado e distribuído por seu administrador com um pacote do Windows Installer (.msi). • Dar um clique duplo em um arquivo cuja extensão seja associada com um RemoteApp. (Isso pode ser configurado pelo administrador com um pacote .msi.) • Acessar um link para o RemoteApp em um Website usando o Acesso a Web de Serviços de Terminal(TS Web Access). Os arquivos .rdp e pacotes .msi contêm as configurações necessárias para executar os RemoteApps. Depois de abrir o RemoteApp em um computador local, o usuário pode interagir com o programa em execução no servidor de terminal como se estivesse sendo executado localmente. O TS RemoteApp pode reduzir a complexidade e o overhead administrativo em muitas situações, incluindo essas: • Escritórios remotos, onde pode haver suporte local de TI limitado e largura de banda de rede limitada. • Situações em que usuários precisam acessar aplicações remotamente Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 66. 63 • Implantação de aplicações de gestão de negócios (LOB), especialmente aplicações de gestão de negócios personalizadas. • Ambientes, como espaços de trabalho “hot desk” ou “hoteling”, em que os usuários não têm computadores designados. • Implantação de múltiplas versões de uma aplicação, particularmente se instalar várias versões localmente causar conflitos.Você deve analisar esse tópico, e a documentação adicional desuporte do TS RemoteApp, se estiver em qualquer dos seguintesgrupos: • Planejadores e analistas de TI avaliando tecnicamente o produto • Arquitetos corporativos • Profissionais de TI que implantam ou administram servidores de terminal, aplicações de gestão de negócios (LOB), ou aplicações que podem ser implantadas mais eficientemente com o TS RemoteAppPara o Windows Server “Longhorn” Beta 3 você deve usar o clienteConexão de Área de trabalho Remota (RDC - Remote DesktopConnection) versão 6.0 ou posterior para executar RemoteApps nocomputador local de um usuário final. O cliente RDC 6.0 estáincluído no Windows Vista e Windows Server “Longhorn” Beta 3. Nota O software de Conexão de Área de trabalho Remota versão 6.0 está disponível para uso no Windows XP com SP2 e Windows Server 2003 com SP1. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).Os usuários podem executar programas a partir de um servidor determinal e ter a mesma experiência de se os programas fossemexecutados no computador local do usuário final, incluindojanelas redimensionáveis e ícones de notificação na área denotificação.O TS RemoteApp melhora a experiência do usuário, abre novasavenidas para implantação de programas, e reduz a quantidade deesforço administrativo necessário para suportar esses programas.Em vez de ser apresentado ao usuário na área de trabalho doservidor de terminal remoto, o RemoteApp é integrado com a áreade trabalho do cliente, sendo executado em sua própria janelaredimensionável com seu próprio registro na barra de tarefas. Seo programa usa um ícone de área de notificação, este aparece naárea de notificação do cliente. Janelas pop-up são redirecionadaspara a área de trabalho local. Unidades de disco locais e Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 67. 64impressoras podem ser redirecionadas para aparecer no RemoteApp.Muitos usuários podem não ter ciência de que o RemoteApp é umprograma diferente do local.Como o TS RemoteApp é uma melhoria nas tecnologias existentes deServiços de Terminal e usa a mesma tecnologia e protocolos, nãoapresenta nenhum novo problema.Você deve avaliar seus programas para ver quais podem seradequados para execução como um RemoteApp, e então testar osprogramas. Para testá-los siga os procedimentos descritos no GuiaPasso a Passo do TS RemoteApp para configurar seu servidor determinal para suportar RemoteApps e usar o snap-in Gerenciador deTS RemoteApp para tornar RemoteApps disponíveis para usuários.Para um programa ser executado como um RemoteApp, o servidor determinal que hospeda o programa deve estar executando o WindowsServer “Longhorn.” Qualquer programa que possa ser executado emuma sessão de Serviços de Terminal ou em uma sessão de Área detrabalho Remota deve ser capaz de ser executado como umRemoteApp.Algumas das mudanças fundamentais no sistema operacional doWindows Server “Longhorn” podem ter impacto sobre versõesanteriores de programas que são executados corretamente sobversões anteriores do sistema operacional Windows. Se você tiverdificuldades em executar um programa como um RemoteApp, verifiquese ele é executado corretamente no console local de um servidorque esteja executando o Windows Server “Longhorn.”Analise outras seções deste guia para informações adicionaissobre questões de compatibilidade.Referências AdicionaisPara mais informações sobre o TS RemoteApp, consulte o Guia Passoa Passo do TS RemoteApp. Para acessar esse guia, visite oTechCenter do Windows Server “Longhorn” TS RemoteApp e TS WebAccess (http://go.microsoft.com/fwlink/?LinkId=79609). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 68. 653.05 Acesso a Web de Serviços de Terminal O Acesso a Web de Serviços de Terminal(TS Web Access) é um serviço de função na função de Serviços de Terminal que permite que você torne RemoteApps disponíveis a usuários a partir de um navegador da Web. Como o TS Web Access, os usuários podem visitar um Website (a partir da Internet ou de uma intranet) para acessar uma lista de RemoteApps disponíveis. Quando iniciam um RemoteApp, uma sessão de Serviços de Terminal é iniciada no servidor de terminal baseado no Windows Server “Longhorn” que hospeda o RemoteApp. Depois de instalar o TS Web Access em um servidor de Web baseado no Windows Server “Longhorn”, os usuários podem se conectar ao servidor de TS Web Access para acessar RemoteApps disponíveis em um ou mais servidores de terminal baseados no Windows Server “Longhorn”. O TS Web Access tem vários benefícios. Eles incluem: • Os usuários podem acessar RemoteApps a partir de um Website via Internet ou a partir de uma intranet. Para iniciar um RemoteApp, eles simplesmente clicam no ícone do programa. • Se um usuário inicia mais de um RemoteApp através do TS Web Access, e os programas são executados no mesmo servidor de terminal, o RemoteApps é executado dentro da mesma sessão de Serviços de Terminal. • Usar o TS Web Access significa que há menos overhead administrativo. Você pode implantar programas facilmente a partir de um local central. Além disso, os programas são executados em um servidor de terminal e não em um computador cliente, assim são mais fáceis de manter. • O TS Web Access oferece uma solução que trabalha com configuração mínima. A página de Web do TS Web Access inclui uma Web Part personalizável, que pode ser incorporada em uma página de Web personalizada ou em um site de Serviços do Microsoft Windows SharePoint®. • A lista de RemoteApps disponíveis que aparece na Parte de Web do TS Web Access pode ser personalizada para o usuário individual se você implantar RemoteApps usando distribuição de software de Diretiva de Grupo. As informações neste tópico se aplicam aos seguintes tipos de profissionais de TI: • Profissionais de TI que já executam ou se interessam em implantar programas para usuários usando Serviços de Terminal • Profissionais de TI que queiram mais controle sobre a experiência do usuário • Administradores e desenvolvedores de Web Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 69. 66 • Administradores de Serviços do Windows SharePointAntes de instalar o TS Web Access, analise as seguintes diretrizesde instalação: • Você deve instalar o TS Web Access em um computador que esteja executando o Windows Server “Longhorn.” • Deve instalar o TS Web Access junto com o Microsoft IIS 7.0. • O servidor do TS Web Access não precisa ser um servidor de terminal. • Para usar o TS Web Access, computadores clientes deve estar executando um dos seguintes sistemas operacionais: o Microsoft Windows XP com Service Pack 2 ou posterior o Microsoft Windows Server 2003 com Service Pack 1 ou posterior o Windows Vista o Windows Server “Longhorn” Nota O software de Conexão de Área de trabalho Remota versão 6.0 está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).Além disso, tenha em mente que o Windows Server “Longhorn” Beta 3pode não incluir toda a funcionalidade planejada para o TS WebAccess.Permite Implantar Facilmente RemoteApps Através da WebCom o TS Web Access, um usuário pode visitar um Website, visualizaruma lista de RemoteApps, a em seguida clicar em um ícone parainiciar um programa. Os RemoteApps são contínuos, o que significaque parecem um programa local. Os usuários podem minimizar,maximizar e redimensionar a janela do programa, e podem facilmenteiniciar vários programas ao mesmo tempo. Para um administrador, oTS Web Access é fácil de configurar e implantar. Estafuncionalidade se traduz em facilidade e flexibilidade de uso eimplantação. Com o TS Web Access, você pode oferecer aos usuáriosacesso a RemoteApps a partir de qualquer local e computador quetenha acesso a intranet ou Internet.O TS Web Access oferece uma experiência de Web muito aprimorada emcomparação com versões anteriores de Serviços de Terminal. • Com o TS Web Access, os usuários não têm de iniciar o cliente de RDC para iniciar um RemoteApp. Em vez disso, acessam a página da Web e em seguida clicam em um ícone de programa. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 70. 67 • O RemoteApps parece estar sendo executado na área de trabalho local. • Se o usuário iniciar vários RemoteApps e os RemoteApps estiverem todos sendo executados no mesmo servidor de terminal, os programas são executados na mesma sessão. • Os usuários não têm de fazer o download de um controle ActiveX® separado para acessar o TS Web Access. Em vez disso, o cliente RDC versão 6.0 inclui o Controle ActiveX necessário.ImplantaçãoSe você quer implantar o TS Web Access, pode se preparar analisandoo tópico Terminal Services RemoteApp (TS RemoteApp) neste documentopara informações sobre o novo recurso TS RemoteApp. Informaçõesmais detalhadas de implantação estão disponíveis no Guia Passo aPasso do TS RemoteApp. Para acessar esse guia, visite o TechCenterWindows Server “Longhorn” TS RemoteApp e TS Web Access TechCenter(http://go.microsoft.com/fwlink/?LinkId=79609). Você também pode querer analisaras informações sobre o IIS 7.0.Se quiser usar o TS Web Access para tornar RemoteApps disponíveis acomputadores através da Internet, deve analisar o tópico Gateway deServiços de Terminal (TS Gateway) neste documento. O TS Gatewayajuda você a proteger conexões remotas a servidores de terminal emsua rede corporativa.A Lista de RemoteApps É Atualizada DinamicamenteQuando você implanta o TS Web Access, a lista de RemoteApps queaparece na Parte de Web do TS Web Access (TS Web Access Web Part) éatualizada dinamicamente. A lista é ocupada a partir da lista deRemoteApps de um único servidor de terminal ou a partir deRemoteApps que são implantados através de distribuição de softwarede Diretiva de Grupo.Um administrador pode especificar a origem dos dados que serãousados para ocupar a lista de RemoteApps. Por padrão, a origem dosdados é um único servidor de terminal. • Quando a origem dos dados é um único servidor de terminal, a Parte de Web é ocupada com todos os RemoteApps configurados para acesso à Web na lista de RemoteApps daquele servidor. A lista de programas exibida na Parte de Web não é específica do usuário atual. • Quando a origem dos dados são os Serviços de Domínio do Active Directory, a Parte de Web é ocupada por pacotes .rap.msi que são publicados para um usuário através da distribuição de software de Diretiva de Grupo. Como as informações são obtidas através de Diretiva de Grupo, o TS Web Access exibe apenas os RemoteApps específicos do usuário individual. Note que, por padrão, um RemoteApp é colocado em pacote com a extensão .rap.msi quando você cria um pacote Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 71. 68 .msi configurado para permitir o TS Web Access. Você cria pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador de TS RemoteApp.A lista de programas atualizada dinamicamente e a capacidade deespecificar a origem dos dados dos RemoteApps simplifica aimplantação de RemoteApps através da Web. Se você tiver um únicoservidor de terminal, é fácil implantar programas usando a fonte dedados do servidor de terminal. Se você já estiver usando aimplantação de programas baseada em Diretiva de Grupo, pode usarpacotes .msi para distribuir RemoteApps a clientes.Versões mais antigas de Serviços de Terminal não ofereciam ummecanismo para atualizar dinamicamente um Website com uma lista deRemoteApps.Se você quiser ocupar a lista de RemoteApps usando Diretiva deGrupo, deve ter um ambiente de Serviços de Domínio do ActiveDirectory. Deve também se familiarizar com a distribuição desoftware de Diretiva de Grupo.Inclui a Parte de Web do TS Web AccessO TS Web Access oferece uma Parte de Web do TS Web Accesspersonalizável, onde a lista de RemoteApps é exibida. Você podeimplantar a Parte de Web usando qualquer dos seguintes métodos: • Implante a Parte de Web como parte da página de Web do TS Web Access. (Esta é a solução pronta padrão.) • Implante a Parte de Web como parte de uma página da Web personalizada. • Adicione a Parte de Web a um site de Serviços do Windows SharePoint.O TS Web Access oferece uma solução pronta flexível. A página deWeb do TS Web Access fornecida e a Parte de Web (Web Part) permitemque você implemente o site do TS Web Access rápida e facilmente, epermite que você implante o TS Web Access usando uma página de Webou Serviços do Windows SharePoint.Com o TS Web Access, você não precisa adicionar manualmente umalista de programas disponíveis em uma página da Web paraproporcionar acesso centralizado à Web a RemoteApps. A Parte de Webpersonalizável dá a você flexibilidade no tocante a aparência dosite e método de implantação.Se você quiser personalizar a página de Web ou a Parte de Webpadrão, deve planejar as alterações no design que deseja fazer.Deve também decidir se quer fornecer acesso ao TS Web Access usandoa página de Web do TS Web Access fornecida, uma página de Webpersonalizada ou usando os Serviços do Windows SharePoint. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 72. 693.06 Impressão de Serviços de Terminal A impressão de Serviços de Terminal foi aprimorada no Windows Server “Longhorn” Beta 3 pelo acréscimo do driver de impressora Terminal Services Easy Print (Impressão Fácil de Serviços de Terminal) e uma definição de Diretiva de Grupo que permite a você redirecionar somente a impressora cliente padrão. O driver Terminal Services Easy Print é um novo recurso no Windows Server “Longhorn” Beta 3 que permite aos usuários imprimir de maneira confiável a partir de um RemoteApp ou de uma sessão de área de trabalho de servidor de terminal para a impressora correta em seu computador cliente. Ele também permite uma experiência de impressão muito mais coerente entre sessões local e remota. A definição Redirect only the default client printer policy (Redirecionar apenas a diretiva padrão de impressora cliente) permite que você especifique se a impressora padrão do cliente é a única impressora redirecionada em sessões de Serviços de Terminal. Isso ajuda a limitar o número de impressoras que o spooler deve enumerar, melhorando a escalabilidade do servidor de terminal. Para usar o driver Terminal Services Easy Print no Windows Server “Longhorn” Beta 3, os clientes devem estar executando o Windows Vista com SP1. Além disso, o .NET Framework 3.0 SP1 deve estar instalado. (O .NET Framework 3.0 SP1 está incluído e é instalado por padrão com o Windows Vista SP1.) Os clientes baseados no Microsoft Windows Server 2003 com SP1 e no Microsoft Windows XP com SP2 serão suportados quando a versão Windows Vista SP1 do cliente de Conexão de Área de trabalho Remota e o .NET Framework 3.0 SP1 estiverem disponíveis para esses sistemas operacionais. O driver Terminal Services Easy Print oferece a seguinte funcionalidade: • Confiabilidade melhorada da impressão de Serviços de Terminal para sessões de RemoteApp e área de trabalho remota. • Suporte para drivers de legado e novos sem a necessidade de instalar esses drivers no servidor de terminal. • Melhorias de escalabilidade sobre o Windows Server 2003 em termos de desempenho de enumeração de impressora, Durante o processo de Winlogon, o spooler enumera apenas impressoras disponíveis para um usuário em uma determinada sessão em vez de enumerar todas as impressoras redirecionadas. Portanto, as impressoras são enumeradas em uma base por sessão, em vez de por usuário. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 73. 70 • Recursos de impressora disponível melhorados. O driver Terminal Services Easy Print proporciona recursos de impressora ricos e completos em sessões remotas. Todos os recursos do driver de impressora física estão disponíveis para uso quando um usuário visualiza as preferências de impressão.A definição de Diretiva de Grupo Redirect only the default clientprinter (Redirecionar apenas a impressora cliente padrão) permiteque você controle se a impressora cliente padrão é a únicaimpressora redirecionada em uma sessão de Serviços de Terminal,ou se todas as impressoras são redirecionadas em uma sessão.O driver de impressora de emergência do servidor de terminal nãoestá mais incluído no Windows Server “Longhorn” Beta 3. Embora adefinição de Diretiva de Grupo Specify terminal server fallbackprinter driver behavior (Especificar comportamento do driver deimpressora de emergência do servidor de terminal) ainda exista,só pode ser usada para computadores baseados no Windows Server2003 com SP1.Por padrão, o driver Terminal Services Easy Print é ativado noWindows Server “Longhorn” Beta 3. Para usar o driver TerminalServices Easy Print, os computadores clientes devem satisfazer osrequisitos descritos na Seção Há Alguma Consideração EspecialSobre Esses Recursos?.Se houver computadores clientes que não suportem o driverTerminal Services Easy Print driver, e o driver da impressoraainda não estiver disponível no servidor de terminal, você devefazer qualquer dos seguintes para dar suporte à impressão docliente: • Garantir que os drivers de impressora do cliente para impressoras local e de rede estejam instalados no servidor de terminal. Se você estiver instalando um driver de terceiros, certifique-se de que ele tenha a assinatura dos Laboratórios de Qualidade de Hardware Windows (WHQL - Windows Hardware Quality Labs). • Adicionar os drivers de impressora do cliente para impressoras local e de rede em um arquivo de mapeamento de impressoras personalizado no servidor de terminal. Para mais informações sobre como criar um arquivo de mapeamento de impressoras personalizado, consulte a seção Resolução do artigo 239088 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82784).Configurações de Diretiva de GrupoAs seguintes configurações de Diretiva de Grupo foram adicionadaspara a impressão de Serviços de Terminal: • Use Terminal Services Easy Print driver first (Usar primeiro o driver Terminal Services Easy Print). Esta Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 74. 71 definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo: Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerPrinter RedirectionOs valores possíveis são os seguintes: o Enabled or not configured (Ativada ou não configurada). Se esta definição de diretiva estiver ativada ou não configurada, o servidor de terminal tentará primeiro usar o driver Terminal Services Easy Print para instalar todas as impressoras de clientes. Se, por alguma razão, o driver Terminal Services Easy Print não puder ser usado, um driver de impressora que corresponda à impressora do cliente será usado. Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente, a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal. Por padrão, essa definição de diretiva não é configurada. o Disabled (Desativada). Se você desativar essa definição de diretiva, o servidor de terminal tentará encontrar um driver de impressora adequado para instalar a impressora do cliente. Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente, o servidor de terminal tentará usar o driver Terminal Services Easy Print para instalar a impressora do cliente. Se, por alguma razão, o driver Terminal Services Easy Print não puder ser usado, a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal. • Redirect only the default client printer (Redirecionar apenas a impressora padrão do cliente). Essa definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo: Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerPrinter RedirectionOs valores possíveis são: o Enabled (Ativada). Se você ativar essa definição de diretiva, somente a impressora padrão do cliente é redirecionada em sessões de Serviços de Terminal. o Disabled or not configured (Desativada ou não configurada). Se você desativar ou não configurar essa definição de diretiva, todas as impressoras de clientes são redirecionadas em sessões de Serviços de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 75. 72 Terminal. Por padrão, essa definição de diretiva não é configurada.Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 76. 733.07 Session Broker de Serviços de Terminal O Session Broker de Serviços de Terminal (TS Session Broker) é um serviço de função no Windows Server “Longhorn” Beta 3 que permite que um usuário se reconecte a uma sessão existente em uma farm de servidor de terminal de carga balanceada. O TS Session Broker armazena informações de estado da sessão que incluem IDs de sessão e seus nomes de usuários associados, e o nome do servidor onde cada sessão reside. O Windows Server “Longhorn” Beta 3 introduz um novo recurso do TS Session Broker — o balanceamento de carga do TS Session Broker. Esse recurso permite que você distribua a carga da sessão entre servidores em um farm de servidores de terminal de carga balanceada. Essa solução é mais fácil de implantar que o Balanceamento de Carga de Rede Windows (NLB - Windows Network Load Balancing), e é recomendada para farms de servidores de terminal que consistam em dois a cinco servidores. Nota No Windows Server “Longhorn” Beta 3, o nome do recurso Diretório de Sessão de Serviços de Terminal (TS Session Directory) foi alterado para Session Broker de Serviços de Terminal (TS Session Broker). Para participar do balanceamento de carga do TS Session Broker, o servidor do TS Session Broker e os servidores de terminal na farm devem estar executando o Windows Server “Longhorn” Beta 3. Servidores de terminal baseados no Microsoft Windows Server 2003 usam o recurso de balanceamento de carga do TS Session Broker. Em vez de ter de usar o NLB para balancear a carga das sessões de usuários, com o recurso de balanceamento de carga do TS Session Broker você tem apenas de configurar entradas no Sistema de Nome de Domínio (DNS - Domain Name System). Para configurar o DNS, você deve registrar o endereço IP de cada servidor de terminal na farm em uma única entrada de DNS para a farm. Todos os clientes de entrada nos Serviços de Terminal tentarão se conectar ao primeiro endereço IP para o registro de DNS. Se isso falhar, o cliente tentará automaticamente se conectar ao endereço IP seguinte. Isso proporciona certo grau de tolerância a falhas, no caso de um dos servidores de terminal estar indisponível. Embora todos os clientes inicialmente se conectem ao endereço IP do primeiro servidor de terminal, são rapidamente redirecionados para o servidor na farm com a menor carga. Se um servidor de terminal na farm estiver indisponível ou sobrecarregado, a sessão é redirecionada para um terminal que possa aceitar a conexão. O recurso de balanceamento de carga do TS Session Broker também permite que você atribua um valor de peso para cada servidor. Atribuindo um valor de peso a um servidor, você pode ajudar a distribuir a carga entre servidores mais e menos poderosos em uma farm. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 77. 74 Nota Para configurar um servidor para participar do balanceamento de carga do TS Session Broker, e para atribuir um valor de peso a um servidor, você pode usar a ferramenta Configuração de Serviços de Terminal.Além disso, é fornecido um novo mecanismo que possibilita quevocê permita ou recuse novas conexões de usuário ao servidor determinal. Esse mecanismo fornece a capacidade de se colocar umservidor offline para manutenção sem interromper a experiência dousuário. Se novas conexões forem recusadas em um servidor determinal na farm, o TS Session Broker redirecionará as sessões deusuários para servidores de terminal configurados para permitirnovas conexões. Nota A configuração que você pode usar para permitir ou recusar novas conexões de usuários está localizada na guia Geral da conexão RDP-Tcp na ferramenta Configuração de Serviços de Terminal.Se você quiser usar o recurso de balanceamento de carga do TSSession Broker, tanto o servidor do TS Session Broker como osservidores de terminal na mesma farm devem estar executando oWindows Server “Longhorn” Beta 3.você deve registrar o endereço IP de todos os servidores de terminalem uma única entrada do DNS para a farm. Se preferir, pode usarrodízio de DNS ou um balanceador de carga de hardware para espalhara carga de conexão e autenticação inicial entre múltiplos servidoresde terminal na farm.Configurações de Diretiva de GrupoA seguinte definição de Diretiva de Grupo foi acrescentada para o TSSession Broker:Computer ConfigurationAdministrative TemplatesWindowsComponentsTerminal ServicesTerminal ServerTS Session BrokerLoad BalancingOs valores possíveis são: • Enabled (Ativada). Se você ativar essa definição de diretiva, o TS Session Broker redirecionará os usuários que não tenham uma sessão existente para o servidor de terminal na farm com o menor número de sessões. O comportamento de redirecionamento para usuários com sessões existentes não será afetado. Se o servidor estiver configurado para usar o TS Session Broker, os usuários com uma sessão existente serão redirecionados para o servidor de terminal em que sua sessão existir. • Disabled (Desativada). Se você desativar essa definição de diretiva, os usuários que não tiverem uma sessão existente efetuarão o logon no servidor de terminal a que se conectarem primeiro. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 78. 75• Not configured (Não configurada). Se você não configurar essa definição de diretiva, o balanceamento de carga do TS Session Broker não é especificado no nível de Diretiva de Grupo. Neste caso, você pode configurar o servidor de terminal para participar do balanceamento de carga do TS Session Broker usando a ferramenta Configuração de Serviços de Terminal ou o provedor de WMI de Serviços de Terminal. Por padrão essa definição de diretiva não é configurada. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 79. 763.08 Licenciamento de Serviços de Terminal O Windows Server “Longhorn” oferece um sistema de gerenciamento de licenças conhecido como Licenciamento de Serviços de Terminal (TS Licensing). Este sistema permite a servidores de terminal obter e gerenciar licenças de acesso de clientes de Serviços de Terminal (TS CALs) para dispositivos e usuários que se conectem a um servidor de terminal. O TS Licensing gerencia clientes não- licenciados, temporariamente licenciados, e licenciados para acesso de cliente, e suporta servidores de terminal que executem o Windows Server “Longhorn” assim como o sistema operacional Microsoft Windows Server 2003. O TS Licensing simplifica enormemente a tarefa de gerenciamento de licenças para o administrador de sistemas, ao mesmo tempo em que minimiza a deficiência ou excesso de licenças compradas por uma organização. Nota O TS Licensing é usado apenas com Serviços de Terminal e não com Área de trabalho Remota. Um servidor de terminal é um computador no qual o serviço de função de Servidor de Terminal é instalado. Ele fornece aos clientes acesso a aplicações baseadas em Windows sendo executadas inteiramente no servidor e suporta múltiplas sessões de clientes no servidor. Conforme os clientes se conectam ao servidor de terminal, este determina se o cliente precisa de um token de licença, solicita um ao servidor de licenças, e em seguida o entrega ao cliente. Um servidor de licenças de Serviços de Terminal é um computador em que o serviço de função de TS Licencing está instalado. Um servidor de licenças armazena todos os tokens de TS CAL que tenham sido instaladas para um grupo de servidores de terminal e acompanha os tokens de licença que foram emitidos. Um servidor de licenças pode atender vários servidores de terminal simultaneamente. Para emitir tokens de licença permanentes a dispositivos clientes, um servidor de terminal deve ser capaz de se conectar a um servidor de licenças ativado. Um servidor de licenças que tenha sido instalado, mas não ativado, emitirá apenas tokens de licença temporários. O TS Licensing é uma entidade separada do servidor de terminal. Na maioria das grandes implantações, o servidor de licenças é implantado em um servidor separado, embora possa ser um co- residente no servidor de terminal em algumas implantações menores. O TS Licensing é um serviço de baixo impacto. Requer muito pouca CPU ou memória para operações regulares, e seus requisitos de disco rígido são pequenos, mesmo para um número significativo de clientes. Atividades ociosas são insignificantes. O uso de memória é de menos de 10 MB. O banco de dados de licenças cresce em incrementos de 5 MB para cada 6.000 tokens de licença emitidos. O servidor de licenças é ativo apenas quando um Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 80. 77servidor de terminal solicita um token de licença, e seu impactosobre o desempenho do servidor é muito baixo, mesmo em cenáriosde cargas altas.O TS Licensing inclui os seguintes recursos e benefícios: • Administração centralizada para TS CALs e os tokens correspondentes • Acompanhamento e relatórios de licenças para o modo de licenciamento Por Usuário • Suporte simples para vários canais de comunicação e programas de compra • Impacto mínimo sobre rede e servidoresO gerenciamento efetivo de TS CALS usando o TS Licensing será dointeresse de organizações que atualmente usam ou estãointeressadas em usar os Serviços de Terminal. Os Serviços deTerminal oferecem tecnologias que permitem acesso, a partir dequase qualquer dispositivo de computação, a um servidor queexecute programas baseados em Windows ou à área de trabalhoWindows plena. Os usuários podem se conectar a um servidor determinal para executar programas e usar recursos de rede naqueleservidor.O TS Licensing para Windows Server “Longhorn” agora inclui acapacidade de acompanhar a emissão de TS CALs Por Usuário usandoo Gerenciador de TS Licensing.Se o servidor de terminal estiver no modo de licenciamento PorUsuário, o usuário conectando-se a ele deve ter uma TS CAL PorUsuário. Se o usuário não tiver a TS CAL Por Usuário necessária,o servidor de terminal entrará em contato com o servidor delicenças para obter a CAL para o usuário.Depois que o servidor de licenças emitir uma TS CAL Por Usuáriopara o usuário, o administrador pode rastrear a emissão da CALusando o Gerenciador de TS Licensing.Para usar o TS Licensing para gerenciar TS CALs, você precisarádo seguinte em um servidor executando o Windows Server“Longhorn”: Para configurar o TS Licensing para gerenciar TS CALs, faça oseguinte: 1. Instale o serviço de função de TS Licensing. 2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal. 3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal. 4. Instale as licenças de acesso de cliente necessárias no servidor de licenças. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 81. 78Para mais informações sobre a instalação e configuração do TSLicensing no Windows Server “Longhorn,” consulte o Licenciamentode Servidor de Terminal do Windows Server 2003(http://go.microsoft.com/fwlink/?LinkID=79607).Para tirar vantagem do TS Licensing, você deve atender osseguintes pré-requisitos: • Instalar o serviço de função de TS Licensing em um servidor executando o Windows Server “Longhorn.” • O rastreio e apresentação de relatórios de TS CALs Por Usuário é suportado apenas em cenários unidos por domínio (o servidor de terminal e o servidor de licenças são membros de um domínio) e não é suportado no modo de grupo de trabalho. Os Serviços de Domínio do Active Directory são usados para o acompanhamento de licenças no modo Por Usuário. Os Serviços de Domínio do Active Directory podem ser baseados no Windows Server “Longhorn” ou no Windows Server 2003. Nota Não são necessárias atualizações para o esquema dos Serviços de Domínio do Active Directory para implementar o rastreio e apresentação de relatórios de TS CALs Por Usuário. • Um servidor de terminal executando o Windows Server “Longhorn” não se comunica com um servidor de licenças executando o Windows Server 2003. Contudo. É possível um servidor de terminal executando o Windows Server 2003 se comunicar com um servidor de licenças executando o Windows Server “Longhorn.” Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 82. 793.09 Gerenciador de Recursos de Sistema do Windows O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows Server “Longhorn” permite que você controle como os recursos de CPU e memória são alocados para aplicações, serviços e processos no computador. Gerenciar recursos dessa maneira melhora o desempenho do sistema e reduz a chance de que aplicações, serviços ou processos tirem recursos de CPU ou memória uns dos outros e reduzam o desempenho do computador. Gerenciar recursos também cria uma experiência mais coerente e previsível para usuários de aplicações e serviços sendo executados no computador. Você pode usar o WSRM para gerenciar múltiplas aplicações em um único computador ou usuários em um computador no qual os Serviços de Terminal estejam instalados. Para mais informações sobre o WSRM, consulte a seguinte documentação: • Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) • Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774) A capacidade de usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn” será interessante para organizações que atualmente usem ou estejam interessadas em usar Serviços de Terminal. Os Serviços de Terminal fornecem tecnologias que possibilitam o acesso, a partir de qualquer dispositivo de computação, a um servidor executando programas baseados em Windows ou a uma área de trabalho Windows plena. Usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. O WSRM para Windows Server “Longhorn” agora inclui uma diretiva de alocação de recursos Igual_Por_Sessão (Equal_Per_Session). Para usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn”, você vai precisar fazer o seguinte: Para configurar o WSRM para gerenciar aplicações ou usuários, faça o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal. 2. Instale o WSRM. 3. Configure o WSRM para Serviços de Terminal Instalando o Servidor de Terminal Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 83. 80Instale o serviço de função de Servidor de Terminal em seucomputador antes de instalar e configurar o WSRM.O serviço de função de Servidor de Terminal, conhecido comocomponente de Servidor de Terminal no Microsoft Windows Server2003, permite a um servidor baseado no Windows Server “Longhorn”hospedar programas baseados no Windows ou a área de trabalhoWindows plena. A partir de seus dispositivos de computação, osusuários podem se conectar a um servidor de terminal paraexecutar programas e usar recursos de rede naquele servidor.No Windows Server “Longhorn,” você deve fazer o seguinte parainstalar o serviço de função de Servidor de Terminal, e paraconfigurar o servidor de terminal para hospedar programas: Para instalar o serviço de função de Servidor de Terminal econfigurá-lo para hospedar programas, faça o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal. 2. Instale programas no servidor. 3. Configure configurações de conexão remota. Isso inclui adicionar usuários e grupos que precisam conectar-se ao servidor de terminal.Para mais informações sobre instalar o serviço de função deServidor de Terminal, consulte o TechCenter de Servidor deTerminal do Windows Server “Longhorn”(http://go.microsoft.com/fwlink/?LinkId=79608).Instalando o WSRM Para instalar o serviço de função de Servidor de Terminal econfigurá-lo para hospedar programas, faça o seguinte: 1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na página Select Features, assinale a caixa de seleção Windows System Resource Manager (WSRM). 4. Uma caixa de diálogo aparecerá informando que o serviço de função SQL Server™ 2005 Embedded Edition (Windows) também precisa ser instalada para que o WSRM funcione corretamente. Clique em Add Required Role Services, e em seguida clique em Next. 5. Na página Confirm Installation Options, certifique-se de que o SQL Server 2005 Embedded Edition (Windows) e o Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 84. 81 Gerenciador de Recursos do Windows Server (WSRM) serão instalados e em seguida clique em Install. 6. Na página Installation Results, confirme que a instalação do SQL Server 2005 Embedded Edition (Windows) e do e o Gerenciador de Recursos do Windows Server (WSRM) foi bem sucedida, e clique em Close.Depois de instalar o WSRM, você precisa iniciar o serviço doGerenciador de Recursos de Sistema do Windows. Para iniciar o serviço do Gerenciador de Recursos de Sistemado Windows, faça o seguinte: 1. Abra o snap-in Serviços. Para abrir o snap-in Serviços, clique em Start, aponte para Administrative Tools, e clique em Services. 2. Na caixa de diálogo Services, na coluna Name, clique com o botão direito do mouse em Windows System Resource Manager, e em seguida clique em Start.Configurando o WSRM para Serviços de TerminalPara configurar o WSRM, você usa o snap-in Gerenciador deRecursos de Sistema do Windows. Para abrir o snap-in Gerenciador de Recursos de Sistema doWindows, faça o seguinte: 1. clique em Start, aponte para Administrative Tools, e clique em Windows System Resource Manager. 2. Na caixa de diálogo Connect to computer, clique em This computer, e em seguida clique em Connect para fazer o Gerenciador de Recursos de Sistema do Windows administrar o computador que você está usando.Diretivas de Alocação de RecursosO WSRM usa diretivas de alocação de recursos para determinar comorecursos de computador, como CPU e memória, são alocados aprocessos sendo executados no computador. Há duas diretivas dealocação de recursos especificamente projetadas para computadoresexecutando Serviços de Terminal: • Igual_Por_Usuário (Equal_Per_User) • Igual_Por_Sessão (Equal_Per_Session) Nota A diretiva de alocação Igual_Por_Sessão é nova no Windows Server “Longhorn.” Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 85. 82Se você implementar a diretiva de alocação Igual_Por_Sessão, cadasessão de usuário (e seus processos associados) recebe umaparcela igual de recursos da CPU do computador. Para implementar a diretiva de alocação Igual_Por_Sessão, façao seguinte: 1. Abra o snap-in Windows System Resource Manager. 2. Na árvore do console, expanda o nó Resource Allocation Policies. 3. Clique com o botão direito do mouse em Clique com o botão direito do mouse em Equal_Per_Session, e em seguida clique em Set as Managing Policy. 4. Se uma caixa de diálogo aparecer informando que o calendário será desativado, clique em OK.Para informações sobre a diretiva de alocação de recursosIgual_Por_Usuário e configurações e configurações adicionais doWSRM (como criar um critério correspondente ao processo atravésda utilização de correspondência de usuário ou grupo), consulte aseguinte documentação: • Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) • Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)Desempenho de MonitoramentoVocê deve coletar dados sobre o desempenho de seu servidor determinal antes e depois de implementar a diretiva de alocação derecursos Igual_Por_Sessão (ou de fazer qualquer outra alteraçãode configuração relacionada ao WSRM). Você pode usar o Monitor deRecursos do snap-in Gerenciador de Recursos de Sistema do Windowspara coletar e visualizar dados sobre o uso de recursos dehardware e a atividade de serviços de sistema no computador. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 86. 83Seção 4: Escritórios Remotos 4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84 4.02 Controlador de Domínio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Núcleo do Servidor ...........................................99 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 87. 844.01 Introdução ao Suporte a Escritórios Remotos/Filiais Este cenário se concentra no aperfeiçoamento da comunicação, segurança e gerenciamento, os quais estarão disponíveis para as filiais onde o Windows Server® “Longhorn” for instalado. Proposta de Valor do Cenário As principais proposições de valor disponíveis para as filiais são as seguintes: • Melhorar a eficiência da instalação e administração do servidor da filial. • Diminuir os riscos de segurança física nas filiais. • Melhorar a eficiência das comunicações WAN da filial. Requisitos Especiais de Hardware Os requisitos adicionais de hardware são os seguintes: • Trusted Platform Module 1.2 (somente para Criptografia de Disco BitLocker™) Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 88. 854.02 Controlador de Domínio Somente Leitura Um controlador de domínio somente leitura (RODC) é um novo tipo de controlador de domínio no sistema operacional do Windows Server “Longhorn”. Com o RODC, as empresas podem facilmente implantar um controlador de domínio nos locais onde não é possível garantir a segurança física. Um RODC hospeda partições somente leitura da base de dados dos Serviços de Domínio do Active Directory®. Antes do lançamento do Windows Server “Longhorn”, os usuários não possuíam alternativas caso quisessem realizar a autenticação com um controlador de domínio em uma Rede Remota (WAN). Em muitos casos, esta não era uma solução eficaz. As filiais raramente oferecem a segurança física necessária a um controlador de domínio gravável. Além disso, as filiais geralmente contam com pouca largura de banda de rede quando são conectadas a um site hub, o que pode vir a aumentar o tempo necessário para o logon e inclusive atrasar o acesso aos recursos de rede. Através da utilização do Windows Server “Longhorn”, uma empresa pode implantar um RODC para resolver estes problemas. Como resultado, os usuários podem receber os seguintes benefícios: • Maior segurança • Logon mais rápido • Acesso mais eficiente aos recursos de rede A falta de segurança física é a razão mais comum para se considerar a implantação de um RODC. Com o RODC, é possível implantar um controlador de domínio de forma mais segura, em locais que exigem serviços de autenticação rápidos e confiáveis, mas que no entanto não podem assegurar segurança física para um controlador de domínio gravável. Entretanto, sua empresa também pode optar pela implantação de um RODC para requisitos administrativos especiais. Por exemplo: uma aplicação LOB pode ser executada com sucesso somente se for instalada em um controlador de domínio; ou ainda, o controlador de domínio poderá ser o único servidor da filial, e então poderá ter que hospedar as aplicações do servidor. Nestes casos, o proprietário da aplicação LOB precisa se registrar seguidamente no controlador de domínio de forma interativa ou utilizar os Serviços de Terminal para configurar e gerenciar a aplicação. Esta situação cria um risco de segurança que pode se tornar inaceitável em um controlador de domínio gravável. Neste cenário, o RODC fornece um mecanismo mais seguro para a implantação de um controlador de domínio. Você pode oferecer ao usuário não administrativo do domínio o direito de acessar o Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 89. 86RODC, ao mesmo tempo em que reduz o risco de segurança para afloresta do Active Directory.Você também pode implantar um RODC em outros cenários onde oarmazenamento local de todas as senhas de usuário do domínio nãogaranta segurança, como em uma extranet ou uma função deaplicação.O RODC foi desenvolvido especialmente para ser implantado emambientes remotos e em filiais. As filiais geralmente apresentamas seguintes características: • Número reduzido de usuários • Pouca Segurança física • Pouca largura de banda para um site hub • Baixo conhecimento de TIVocê deveria revisar este capítulo, bem como a documentação desuporte complementar sobre o RODC, caso você pertença a algum dosseguintes grupos: • Planejadores de TI e analistas que estejam avaliando tecnicamente o produto • Planejadores de TI corporativos e designers corporativos • Profissionais responsáveis pela segurança de TI • Administradores dos Serviços de Domínio do Active Directory® que lidam com escritórios pequenos de filiaisPara oferecer suporte à Diretiva de Replicação de Senhas do RODC,os Serviços de Domínio do Active Directory® do Windows Server“Longhorn” incorporam novos atributos. A Diretiva de Replicaçãode Senhas é o mecanismo que determina se as credenciais de umusuário ou de um computador possuem a permissão para operar areplicação de um controlador de domínio somente leitura para umRODC. A Diretiva de Replicação de Senhas é sempre configurada emum controlador de domínio gravável que execute o Windows Server“Longhorn.”Os atributos dos Serviços de Domínio do Active Directory®adicionados ao plano do Windows Server “Longhorn” ActiveDirectory para oferecer suporte aos RODCs incluem o seguinte: • msDS-Reveal-OnDemandGroup • msDS-NeverRevealGroup • msDS-RevealedUsers • msDS-AuthenticatedToAccountListPara mais informações sobre estes atributos, veja o Guia Passo aPasso para Planejamento, Implantação e Utilização do Controladorde Domínio Somente Leitura do Windows Server “Longhorn”:(http://go.microsoft.com/fwlink/?LinkId=49779). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 90. 87Para implantar um RODC, o controlador de domínio que possui opapel mestre de emulador do controlador de domínio principal(PDC), também conhecido como FSMO (Flexible Single MasterOperations) para o domínio, precisa executar o Windows Server“Longhorn”. Além disso, o nível funcional para o domínio e afloresta deve ser o Microsoft® Windows Server 2003 ou superior.O RODC aborda alguns dos problemas normalmente encontrados nasfiliais. Estes locais nem sempre possuem um controlador dedomínio. Ou talvez eles possuam um controlador de domíniogravável, porém sem a segurança física, a largura de banda outécnicos locais especializados para lhes oferecer suporte. Afuncionalidade do RODC a seguir mitiga estes problemas: • Banco de dados somente leitura dos Serviços de Domínio do Active Directory®. • Replicação unidirecional • Caching de credenciais • Separação do papel de administrador • DNS Somente LeituraBase de Dados Somente Leitura dos Serviços de Domínio do ActiveDirectory .Com exceção das senhas de contas, um RODC contém todos os objetose atributos do Active Directory encontrados em um controlador dedomínio gravável. Entretanto, não é possível efetuar mudanças nabase de dados armazenada no RODC. As mudanças devem ser feitas emum controlador de domínio gravável e então replicadas para oRODC. Esta medida previne contra alguma mudança que possa serrealizada nas filiais, levando a poluir ou corromper a florestainteira.Aplicações locais que exigem acesso de Leitura para o diretório,podem obter este acesso. As aplicações do protocolo LDAP(Lightweight Directory Application Protocol)que exigem o acessode Gravação recebem uma resposta de indicação LDAP. Esta respostairá direcioná-las para um controlador de domínio gravável,normalmente em um site hub.Replicação UnidirecionalNenhuma mudança é gravada diretamente no RODC, pois nenhumamudança se origina no RODC. Como resultado, os controladores dedomínio gravável, que são parceiros na replicação, não precisamextrair mudanças do RODC. Isto reduz a carga de trabalho dosservidores bridgehead no hub e o esforço necessário paramonitorar a replicação.A replicação unidirecional do RODC se aplica tanto aos Serviçosde Domínio do Active Directory® como à Replicação do Sistema deArquivos Distribuído (DFS). O RODC desempenha a replicação normal Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 91. 88de chegada para os Serviços de Domínio do Active Directory® emudanças na Replicação DFS.Caching de CredenciaisCaching de credenciais é o armazenamento de credenciais dousuário ou do computador. As credenciais consistem em um pequenoconjunto de aproximadamente 10 senhas que estão associadas aosdiretores de segurança. Por padrão, um RODC não armazena ascredenciais do usuário ou do computador. As exceções são a contade computador do RODC e uma conta krbtgt especial existente emcada RODC. É necessário conceder permissão explícita a qualqueroutro caching de credencial explicitamente em um RODC.O RODC é anunciado como o Principal Centro de Distribuição (KDC –Key Distribution Center) para a filial. O RODC utiliza uma contakrbtgt e senha diferente do KDC em um controlador de domíniogravável, quando este assina ou criptografa pedidos TGT (ticket-granting ticket).Após uma conta ser devidamente autenticada, o RODC tenta contatarum controlador de domínio gravável no site hub e pede uma cópiadas credenciais apropriadas. O controlador de domínio gravávelreconhece que o pedido se origina de um RODC e consulta aDiretiva de Replicação de Senhas em vigor para aquele RODC.A Diretiva de Replicação de Senhas determina se podem serreplicadas as credenciais de um usuário ou de um computador docontrolador de domínio gravável para o RODC. Se a Diretiva deReplicação de Senhas permitir, o controlador de domínio gravávelreplica as credenciais para o RODC, que faz o caching.Depois de fazer o caching das credenciais, o RODC pode atenderdiretamente os pedidos de registro do usuário até o momento detroca de credenciais. (Quando um TGT é assinado com a contakrbtgt do RODC, este reconhece que existe uma cópia cache dascredenciais. Caso outro controlador de domínio assine o TGT, oRODC envia os pedidos ao controlador de domínio gravável.)Ao limitar o caching de credenciais somente aos usuárioscertificados com o RODC, a exposição potencial de credenciais doRODC também é limitada. De maneira geral, apenas um pequeno grupode usuários do domínio possui o caching das credenciais emqualquer RODC. Portanto, no caso de o RODC ser roubado, somenteas credenciais cacheadas podem potencialmente ser quebradas.O ato de deixar o caching de credenciais desabilitado pode maisadiante limitar a exposição, mas faz com que todos os pedidos deautenticação sejam encaminhados para um controlador de domíniogravável. Um administrador pode modificar a Diretiva deReplicação de Senhas para permitir o caching de credenciais dosusuários no RODC.Separação do Papel de Administrador Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 92. 89Você pode delegar o papel de administrador local de RODC aqualquer usuário do domínio, sem a necessidade de lhe oferecerquaisquer direitos relativos ao domínio ou outros controladoresde domínio. Assim, é possível um usuário da filial efetuar ologon em um RODC e realizar o trabalho de manutenção no servidor,como, por exemplo, a atualização de uma unidade. Entretanto, ousuário da filial não pode efetuar o logon em nenhum outrocontrolador de domínio ou realizar qualquer outra tarefaadministrativa no domínio. Desta forma, pode-se delegar aousuário da filial a capacidade de gerenciar o RODC no escritórioda filial, sem comprometer a segurança do restante do domínio.DNS Somente LeituraVocê pode instalar o serviço de Servidor DNS em um RODC. O RODCpossui a capacidade de replicar todas as partições do diretóriode aplicações utilizados pelo DNS, inclusive ForestDNSZones eDomainDNSZones. Se o Servidor DNS estiver instalado em um RODC,os clientes podem examiná-lo para a resolução de nomes da mesmaforma que fazem com outros servidores DNS. Porém, o Servidor DNS em um RODC não suporta atualizações declientes diretamente. Por conseqüência, o RODC não registra asgravações de recursos de name server (NS) para nenhuma zonaintegrada ao Active Directory que ele hospeda. Quando um clientefaz a tentativa de atualizar suas gravações frente a um RODC, oservidor retorna uma orientação. O cliente então pode tentarfazer a atualização frente a um servidor DNS, o qual é fornecidona mensagem de orientação. No fundo, o servidor DNS no RODC tentareplicar o relatório atualizado pelo servidor DNS. Este pedido dereplicação se refere a um único objeto (a gravação DNS). A listacompleta da zona modificada ou dos dados de domínio não éreplicada durante este pedido especial para a replicação deobjeto único.ImplantaçãoOs pré-requisitos para a implantação de um RODC são os seguintes: • O controlador de domínio que contém a função de mestre de operações do emulador PDC (controlador de domínio primário) precisa executar o Windows Server “Longhorn”. Isto é necessário para a criação da nova conta krbtgt para o RODC e suas operações. • O RODC precisa encaminhar pedidos de autenticação para um controlador de domínio gravável que tenha instalado o Windows Server “Longhorn.” A Diretiva de Replicação de Senhas é instalada neste controlador de domínio para determinar que as credenciais sejam replicadas para a filial, em um pedido encaminhado pelo RODC. • O nível funcional do domínio deve ser Windows Server 2003 ou superior, em que esteja disponível uma delegação limitada por kerberos. Uma delegação limitada é utilizada Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 93. 90 para chamadas de segurança, que devem personificar o contexto do visitante.• O nível funcional da floresta deve ser Windows Server 2003 ou superior, para que esteja disponível a replicação de valor relacionado. Isto permite um nível mais alto de consistência de replicação.• É preciso executar adprep /rodcprep uma vez na floresta, a fim de atualizar as permissões em todas as partições do diretório de aplicações DNS da floresta. Desta forma, todos os RODCs que também são servidores DNS podem replicar com sucesso as permissões. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 94. 914.03 Criptografia de Unidade de Disco BitLocker O Criptografia de Unidade de Disco BitLocker do Windows® é um recurso de segurança nos sistemas operacionais Windows Vista™ Enterprise e Ultimate, e Windows Server “Longhorn”. Este recurso fornece proteção ao sistema operacional de seu computador e aos dados armazenados no volume do sistema operacional. No Windows Server “Longhorn”, a proteção do BitLocker também pode ser estendida aos volumes utilizados para o armazenamento de dados. O BitLocker exerce duas funções: • O BitLocker criptografa todos os dados armazenados no volume do sistema (e volumes de dados configurados). Isto inclui o sistema operacional Windows, arquivos de página e hibernação, aplicações e dados utilizados pelas aplicações. • O BitLocker é configurado por padrão para utilizar um TPM (Trusted Platform Module), a fim de garantir a integridade dos primeiros componentes de inicialização(componentes empregados nos primeiros estágios do processo de inicialização). Como ele “trava” quaisquer volumes protegidos pelo BitLocker, estes permanecem criptografados mesmo quando o sistema operacional não estiver sendo executado e o computador for mexido. O BitLocker é um componente opcional que precisa ser instalado antes de ser usado em um sistema baseado no Windows Server “Longhorn”. Para instalar o BitLocker, é preciso selecioná-lo no Gerenciador de Servidor ou digitar no prompt de comando o seguinte: start /w pkgmgr /iu:BitLocker /norestart O BitLocker pode interessar aos seguintes grupos: • Administradores, profissionais de segurança de TI e oficiais responsáveis por garantir que dados confidenciais não sejam revelados sem autorização • Administradores responsáveis pela segurança dos computadores em escritórios remotos ou filiais • Administradores responsáveis por servidores ou computadores clientes Windows Vista que sejam móveis Para fazer uso de sua total funcionalidade, O BitLocker requer um sistema com microchip TPM compatível e BIOS. Um TPM compatível se define como versão 1.2 TPM. Um BIOS compatível deve suportar o TPM e o Static Root of Trust Measurement, conforme definido pelo Trusted Computing Group. Para mais informações sobre as especificações do TPM, visite a seção TPM Specifications no site do Trusted Computing Group: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 95. 92(http://go.microsoft.com/fwlink/?LinkId=72757).O BitLocker exige que a partição ativa (também chamada departição de sistema) não seja criptografada. O sistemaoperacional Windows é instalado em uma segunda partição, a qual écriptografada pelo BitLocker.Ao trabalhar com a criptografia de dados, especialmente em umambiente corporativo, é necessário ter em mente como estes dadospoderão ser recuperados no caso de uma falha de hardware, demudanças no quadro de funcionários, ou outras situações em que háperda das chaves de criptografia. O BitLocker suporta um cenáriorobusto de recuperação, o qual será descrito neste artigo maisadiante.Os principais recursos do BitLocker incluem criptografia deunidade de disco, verificação da integridade dos primeiroscomponentes de inicialização e o mecanismo de recuperação.Criptografia de Unidade de DiscoTudo que é gravado em um disco protegido pelo BitLocker écriptografado, inclusive o próprio sistema operacional, todos osdados e aplicações.Isso ajuda na proteção dos dados contra acessos não autorizados.Embora a segurança física dos servidores seja importante, oBitLocker pode ajudar a proteger os dados em situações em que umcomputador é roubado, enviado de um lugar a outro, ou esteja dealguma forma fora de seu controle físico.A criptografia de disco auxilia na prevenção de ataques offline,como a remoção de uma unidade de disco de um computador e suainstalação em outro, numa tentativa de burlar medidas desegurança do Windows, tais como permissões estabelecidas pelaslistas de controle de acesso (ACLs)do NTF.O BitLocker é implementado em código nos primeiros componentes dainicialização (registro mestre de inicialização (MBR), setor departida, gerenciador de inicialização, Windows Loader), e comouma unidade de filtro, que é parte integral do sistemaoperacional.Na primeira ativação do BitLocker, deve ser efetuada acriptografia dos dados existentes no volume. Você pode continuarutilizando o computador durante este processo, mas poderá notaruma redução no desempenho durante a criptografia inicial.Após completar a criptografia inicial, o uso do volumecriptografado provoca uma leve perda de desempenho no acesso aodisco. Embora dependa muito do tipo de hardware e dos padrões deoperação, esta perda é estimada entre 3 e 5 por cento. Emsistemas clientes, a perda geralmente não é notada pelosusuários. Nos casos de servidores muito carregados, é precisoavaliar o desempenho do subsistema de disco. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 96. 93O uso de um disco capacitado para BitLocker é transparente para osistema operacional e todas as aplicações. Para informações mais específicas do algoritmo de criptografiado BitLocker, consulte “AES-CBC + Elephant diffuser”:(http://go.microsoft.com/fwlink/?LinkId=82824)Verificação de IntegridadeEm conjunto com o TPM, o BitLocker verifica a integridade dosprimeiros componentes da inicialização, para ajudar na prevençãocontra ataques offline adicionais, como por exemplo, tentativasde inserir códigos maliciosos nesses componentes.Na primeira etapa do processo de inicialização, os componentesnão podem estar criptografados, para que o computador possainiciar. Por esta razão, um agressor pode efetuar mudança decódigo nos primeiros componentes da inicialização, tendo acessoao computador, mesmo que os dados do disco estejamcriptografados. Assim, se o agressor conseguir acesso àsinformações confidenciais, como as chaves do BitLocker ou senhasdo usuário, o BitLocker, bem como outras proteções de segurançado Windows, podem ser burladas.Cada vez que um computador equipado com TPM inicia, cada um dosprimeiros componentes de inicialização (como BIOS, MBR, setor departida e código de gerenciamento de inicialização) examina ocódigo a ser executado, calcula um valor de seqüência e armazenaeste valor no TPM. Uma vez instalado no TPM, esse valor não podeser mudado até que o sistema reinicialize. Uma combinação destesvalores é gravada e usada para proteger as chaves decriptografia.Os computadores que incorporam um TPM podem criar uma chavevinculada a estes valores. Quando este tipo de chave é criada,ela é criptografada pelo TPM, e somente o TPM podedescriptografá-la. Cada vez que o computador inicia, o TPMcompara os valores produzidos durante a inicialização atual comos valores que existiam no momento da criação da chave. Elesomente criptografa a chave se os valores combinarem. Esteprocesso é chamado “lacrar” e “deslacrar” a chave.O BitLocker examina e lacra as chaves nas dimensões do CRTM (CoreRoot of Trust), do BIOS e de qualquer extensão de plataforma,opção de código memória somente leitura (ROM), código MBR, setorde partida e gerenciador de partida. Isto significa que, no casode ocorrer alguma mudança inesperada em qualquer desses ítens, oBitLocker travará a unidade e impedirá que ela seja acessada oudescriptografada. O Bitlocker é configurado para buscar e utilizar um TPM. Vocêpode empregar a Diretiva de Grupo para permitir que o BitLockeropere sem um TPM e armazene as chaves em uma unidade externa USB;entretanto, o BitLocker não pode então verificar os primeiroscomponentes da inicialização. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 97. 94É preciso levar em consideração a disponibilidade de um TPM nomomento da compra de hardware. Na ausência de um TPM, a segurançafísica do servidor torna-se ainda mais importante.O BitLocker deve ser desativado durante a manutenção programadaque envolva mudança em algum dos primeiros componentes deinicialização dimensionados. Após o término da manutenção, oBitLocker pode ser reativado, e novas dimensões de plataforma sãousadas para as chaves. A desativação e reativação não exigem acriptografia e re-criptografia do disco.Opções de RecuperaçãoO BitLocker suporta uma grande série de opções de recuperação, demodo a garantir a disponibilidade dos dados aos seus usuárioslegítimos.É fundamental que os dados de uma empresa possam serdescriptografados, mesmo que estejam disponíveis as chaves dedescriptorafia mais amplamente utilizadas. A capacidade derecuperação está inserida no BitLocker, sem “back doors”. Porém,as empresas podem facilmente assegurar-se de que seus dados estãoprotegidos e disponíveis.Quando o BitLocker é ativado, o usuário recebe uma solicitaçãopara armazenar uma “senha de recuperação”, a qual será utilizadapara destravar um volume BitLocker que estiver travado. Oassistente de instalação do BitLocker exige que pelo menos umacópia da senha de recuperação seja salva.Porém, em muitos ambientes, não é possível confiar a usuários aguarda e proteção das senhas de recuperação. Assim sendo, vocêpode configurar o BitLocker para salvar as informações derecuperação no Active Directory ou nos Serviços de Domínio doActive Directory.Nós recomendamos que as senhas de recuperação sejam salvas noActive Directory em ambientes corporativos.As configurações da Diretiva de Grupo podem ser usadas paraconfigurar o BitLocker, de forma a exigir ou proibir diferentestipos de armazenamento de senhas de recuperação, ou torná-lasopcionais.As configurações da Diretiva de Grupo também podem ser usadaspara evitar a desativação do BitLocker, caso não seja possível obackup das chaves no Active Directory.Para mais informações sobre como configurar o Active Directorypara suportar as opções de recuperação, veja: Configuring ActiveDirectory to Back up Windows Criptografia de Unidade de DiscoBitLocker e Trusted Platform Module Recovery Information(http://go.microsoft.com/fwlink/?LinkId=82827). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 98. 95Gerenciamento RemotoO BitLocker pode ter gerenciamento remoto através do WindowsManagement Instrumentation (WMI) ou de uma interface de comandopor linha.Em um ambiente com muitos computadores ou computadores emescritórios remotos e filiais, fica difícil ou impossívelgerenciar recursos e configurações de forma individual.Os recursos do BitLocker estão dispostos no subsistema WMI, que éuma implementação das estruturas e funções do WBEM (Web-BasedEnterprise Management). Por essa razão, os administradores podemusar qualquer software WBEM compatível com WMI para gerenciar oBitLocker em computadores locais ou remotos.Para mais informações sobre BitLocker e WMI, veja: Criptografiade Unidade de Disco BitLocker Provider(http://go.microsoft.com/fwlink/?LinkId=82828)O Windows também adiciona ao BitLocker uma interface de comandopor linha, implementada como um script chamado manage-bde.wsf.Você pode usar o manage-bde.wsf para controlar todos osaspectos do BitLocker em um computador local ou remoto. Paraobter uma lista completa da sintaxe e dos comandos do of manage-bde, digite o seguinte em um prompt de comando:manage-bde.wsf /?O gerenciamento remoto do BitLocker é um componente opcional quepode ser instalado no Windows Server “Longhorn”, para permitirque você gerencie outros computadores sem ativar o BitLocker noservidor que você esteja usando.O componente opcional para o gerenciamento remoto do BitLocker échamado BitLocker-RemoteAdminTool. Este pacote de componenteopcional contém o manage-bde.wsf e o arquivo associado .ini. Parainstalar somente o componente de gerenciamento remoto, você devedigitar no prompt de comando:start /w pkgmgr /iu:BitLocker-RemoteAdminToolConfigurações de Diretiva de GrupoDois conjuntos novos de configurações de Diretiva de Grupo foramintroduzidos para oferecer suporte ao BitLocker e aogerenciamento do TPM. Todas as configurações da diretiva estãoexplicadas no Editor de Objetos de Diretiva de Grupo. Para obtermais detalhes, abra o Group Policy Object Editor (gpedit.msc) eexamine cada configuração.As configurações de Diretiva de Grupo que afetam o BitLockerencontram-se em: Computer Configuration/AdministrativeTemplates/Windows Components/Criptografia de Unidade de DiscoBitLocker. A tabela a seguir resume estas configurações. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 99. 96Criptografia do BitLocker — Configurações de Diretiva de Grupo Nome da Padrão Descrição ConfiguraçãoAtivar backup Desativado Esta configuração verifica se a informaçãodo BitLocker de recuperação do BitLocker foi copiadapara Serviços para o Serviços de Domínio do Activede Domínio do Directory. Se ativada, ela também podeActive verificar se o backup é obrigatório ouDirectory opcional e se somente uma senha de recuperação ou um pacote inteiro está salvo.Configuração do Nenhum(Seleção do Esta configuração especifica a posiçãoPainel de usuário) padrão mostrada ao usuário para salvarControle: chaves de recuperação. Pode ser uma posiçãoConfigurar local ou em rede. O usuário é livre parapasta de escolher outras posições.recuperaçãoConfiguração do Nenhum (Seleção do Esta configuração permite escolher se oPainel de usuário) assistente de configuração do CriptografiaControle: de Unidade de Disco BitLocker pedirá aoConfigurar usuário para salvar as opções deopções de recuperação do BitLocker.recuperação Duas opções de recuperação podem destravar o acesso aos dados criptografados do BitLocker. O usuário pode digitar uma senha de recuperação numérica de 48 dígitos, à sua escolha . O usuário também pode inserir uma unidade USB que contenha uma chave de recuperação aleatória de 256 bits. Cada uma delas pode ser exigida ou proibida. Caso você proíba as duas opções o backup para os Serviços de Domínio do Active Directory precisa ser ativado.Configuração do Desativado Esta configuração permite escolher se oPainel de BitLocker pode ser ativado em computadoresControle: sem TPM, e se a autenticação multifactorAtivar opções pode ser usada em computadores sem TPM.de configuraçãoavançadasConfigurar AES 128-bit com Esta configuração estabelece a extensão damétodo de Difusor chave de criptografia AES e a utilização oucriptografia não do Difusor.Prevenir Desativado (a As chaves do BitLocker podem continuar naregravação de memória será memória entre uma inicialização e outra sememória na regravada) o computador não for desligado. Portanto, oreinicialização BitLocker instrui os BIOS a limpar toda a memória em reinicializações “mornas”, o que pode resultar em demora em sistemas com grande quantidade de memória. Ativar esta configuração pode melhorar o desempenho da reinicialização, mas não aumenta o risco de segurança.Configurar PCRs 0, 2, 4, 8, Determina quais dimensões de plataforma doperfil de 9, 11 TPM, armazenadas nos registros de controlevalidação de de plataforma (PCRs), serão utilizadas paraplataforma do lacrar as chaves do BitLocker.TPMAs configurações de Diretiva de Grupo que controlam ocomportamento do TPM podem ser encontradas em: ComputerConfiguration/Administrative Templates/System/Trusted PlatformModule services. A tabela a seguir resume estas configurações. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 100. 97Comportamento do TPM — Configurações de Diretiva de Grupo Nome da Padrão Descrição ConfiguraçãoAtivar backup Desativado Esta configuração controla o backup dado TPM para informação de senha do proprietário do TPMServiços de nos Serviços de Domínio do ActiveDomínio do Directory.Caso esteja ativada, ela tambémActive pode controlar se o backup é obrigatório ouDirectory opcional.Configurar Nenhum Esta diretiva permite que funçõeslista de específicas do TPM sejam ativadas oucomandos desativadas. Porém, as duas próximasbloqueados do configurações podem restringir os comandosTPM disponíveis. As listas baseadas em Diretiva de Grupo prevalecem sobre as listas locais. As listas locais podem ser configuradas no console de Gerenciamento do TPM.Ignorar a lista Desativado Por padrão, alguns comandos do TPM sãopadrão dos bloqueados. Para ativar estes comandos,comandos do TPM esta configuração de diretiva precisa serbloqueados ativada.Ignorar a lista Desativado Por padrão, um administrador local podelocal dos bloquear os comandos no console decomandos do TPM Gerenciamento do TPM. Esta configuraçãobloqueados pode ser usada para evitar tal comportamento.Para mais informações sobre a operação do TPM e a utilização doconsole de Gerenciamento do TPM, veja o Guia Passo a PassoWindows Trusted Platform Module Management: (http://go.microsoft.com/fwlink/?LinkId=82830).ImplantaçãoO BitLocker é um componente opcional em todas as edições doWindows Server “Longhorn.”O BitLocker está disponível no Windows Vista Enterprise e noWindows Vista Ultimate, e pode ser muito útil na proteção dedados armazenados em computadores clientes, especialmente nosmóveis.Antes de ativar o BitLocker, você deve levar em consideração: • Requisitos de Hardware. Se o hardware existente não tiver potência suficiente para realizar a criptografia, considere fazer uma atualização. Para utilizar a totalidade de recursos do sistema, como será descrito adiante, a plataforma de hardware deve estar equipada com um TPM versão 1.2. • Diretivas corporativas. Avalie suas diretivas relacionadas à retenção de dados, criptografia e compatibilidade. Certifique-se de ter um plano para recuperação de dados, como será discutido na próxima seção. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 101. 98 • Como serão armazenadas as informações de recuperação. Nós recomendamos a utilização do Active Directory para backups de informações de recuperação em ambientes corporativos.Informações Adicionais • Para informações adicionais sobre o BitLocker, visite: Criptografia de Unidade de Disco BitLocker: Visão Geral Técnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a- Passo Windows Criptografia de Unidade de Disco BitLocker (http://go.microsoft.com/fwlink/?LinkID=53779). • Artigos e recursos adicionais sobre o BitLocker estão disponíveis no TechCenter do Microsoft Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82914). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 102. 994.04 Núcleo do Servidor No Windows Server “Longhorn”, os administradores agora podem optar por instalar um ambiente mínimo, que evita sobrecargas.Para saber Embora esta opção limite o papel a ser desempenhado pelomais, veja servidor, ela pode melhorar a segurança e reduzir oa seção7.05 gerenciamento. Este tipo de instalação é chamado de instalação doNúcleo do Núcleo do Servidor.Servidorna página Para mais informações sobre o Núcleo do Servidor, veja a seção 7.05242. Núcleo do Servidor na página 242. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 103. 100Seção 5: Aplicação de Diretivase Segurança 5.01 Introdução à Aplicação de Diretivas e Segurança ....................101 5.02 Serviços de Acesso e Diretiva de Rede ...........................103 5.03 Proteção contra Acesso à Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120 5.05 Firewall do Windows com Segurança Avançada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Serviços de Certificado do Active Directory ........................139 5.08 Serviços de Domínio do Active Directory ..........................160 5.09 Serviços Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 104. 1015.01 Introdução à Aplicação de Diretivas e Segurança O foco deste cenário é a conformidade aprimorada de segurança e gerenciamento que se torna possível por meio dos recursos de acesso voltados às diretivas para as organizações que implantaram o Windows Server® “Longhorn” com Windows Vista™, Windows® XP SP2 e o Windows Server 2003 R2. Esse cenário também inclui o conjunto completo de serviços de identidade e acesso de que os clientes precisam para fornecer o gerenciamento d de usuários, a consolidação de diretórios, o logon único, a autenticação forte e a proteção e federação de informações. Proposta de Valor para os Cenários O reforço de diretivas e de segurança permite: • Determinar a integridade e o status de laptops e computadores domésticos não-gerenciados (desktop e laptop), verificar a conformidade e reforçar a remediação de dispositivos não-conformes. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos. • Determinar a integridade de laptops visitantes e reforçar a inspeção de dados de camada de aplicativos, verificando a existência de malware. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos. • Utilizar a qualidade de serviço baseada em diretivas para priorizar e gerenciar a taxa de envio do tráfego de rede contínuo e a filtragem do tráfego de entrada e saída. • Aprimorar o acesso sem fio à rede, dando suporte a redes que utilizam switches de autenticação, mecanismos aprimorados de criptografia e a integração com o NAP (Network Access Protection) para diretivas específicas sem fio que dão suporte à autenticação 802.1x. • Ajudar a estender, de forma segura, as informações e os aplicativos aos parceiros de negócios, como também dar proteção a eles. • Reduzir o risco de acesso não-autorizado por meio da autenticação forte. • Reduzir o número de contas de usuário e repositórios que precisam de gerenciamento. • Ajudar no gerenciamento seguro das contas e informações de usuário fora do datacenter. • Ativar a troca flexível de informações dentro e fora da organização, enquanto o controle de acesso granular é mantido. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 105. 102Requisitos Especiais de HardwareOs requisitos de hardware adicionais são estes: • Os smart cards são exigidos para clientes que desejam implantar uma solução de autenticação forte e, dessa forma, reduzir o risco de acesso sem autorização. • Placas de acesso sem fio e pontos de acesso são exigidos para o acesso seguro sem fio. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 106. 1035.02 Serviços de Acesso e Diretiva de Rede Os Serviços de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem uma variedade de métodos para oferecer conectividade de rede remota e local aos usuários, para conectar segmentos de rede e permitir que os administradores de rede gerenciem, de forma centralizada, o acesso à rede e as diretivas de integridade do cliente. Com os Serviços de Acesso à Rede (Network Access Services), é possível implantar servidores VPN e de discagem, roteadores e o acesso sem fio protegido pela autenticação 802.11. Você também pode implantar servidores e proxies RADIUS e utilizar o Connection Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os computadores cliente conectem-se a sua rede. Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes soluções de conectividade de rede: • Proteção Contra Acesso à Rede. A Proteção Contra Acesso à Rede, ou NAP (Network Access Protection), é uma criação de diretiva de integridade de cliente, uma tecnologia de reforço e remediação incluída nos sistemas operacionais Windows Vista Business, Enterprise e Ultimate, como também no Windows Server “Longhorn”. Com o NAP, os administradores de sistema podem estabelecer e, automaticamente, forçar diretivas de integridade, as quais podem incluir requisitos de software, de atualização de rede, configurações exigidas de computador, além de outras configurações. Computadores cliente que não estiverem de acordo com a diretiva de integridade podem ter o acesso de rede restringido até que suas configurações sejam atualizadas, fazendo com que estejam de acordo com a diretiva. Dependendo da forma com que implantar o NAP, os clientes não-conformes serão automaticamente atualizados, de forma que os usuários possam rapidamente obter novamente o acesso completo à rede, sem a necessidade de atualizar ou reconfigurar manualmente seus computadores. • Proteção contra Acesso com e sem fio. Ao implantar pontos de acesso sem fio 802.1X, o acesso seguro sem fio fornece aos usuários um método de autenticação baseado em senhas e com segurança aprimorada fácil de ser implantado. Ao implantar switches de autenticação 802.1X, o acesso com fio permite que você assegure sua rede, garantindo que os usuários da intranet sejam autenticados antes que possam conectar-se à rede ou obter um endereço IP utilizando o DHCP. • Soluções de acesso remoto. Com as soluções de acesso remoto, você pode fornecer aos usuários o acesso discado e VPN à rede da organização. Além disso, é possível conectar Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 107. 104 os escritórios de filiais a sua rede por meio de soluções VPN, implantar roteadores de software com diversos recursos em sua rede, como também compartilhar conexões da Internet pela intranet. • Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS. Em vez de configurar diretivas de acesso à rede em cada servidor de acesso à rede, como pontos de acesso sem fio, switches de autenticação, servidores VPN e servidores de discagem, você poderá criar diretivas em um único local que especifique todos os aspectos das solicitações de conexão à rede, incluindo quem tem permissão para conectar-se, quando a conexão poderá ser feita e o nível de segurança que deve ser utilizado para conectar-se a sua rede.Serviços de Função para Serviços de Acesso eDiretiva de RedeAo instalar os Serviços de Acesso e Diretiva de Rede, osseguintes serviços de função estarão disponíveis: • Network Policy Server. O NPS é a implementação da Microsoft® de um servidor e proxy RADIUS. Ele pode ser utilizado para gerenciar, de forma centralizada, o acesso à rede por meio de uma variedade de servidores de acesso à rede, incluindo pontos de acesso sem fio, servidores VPN (virtual private networking) servidores de discagem e switches de autenticação 802.1X. Além disso, você pode utilizar o NPS para implantar a autenticação segura de senhas com o protocolo PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 para conexões sem fio. O NPS também contém componentes principais para a implantação do NAP na rede. As seguintes tecnologias podem ser implantadas após a instalação do serviço de função NPS: o Servidor de diretiva NAP. Quando você configura o NPS como um servidor de diretiva NAP, o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se à rede. Você pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configurações de forma que estejam de acordo com a diretiva de rede de sua organização. o IEEE 802.11 Sem fio. Com a utilização do snap-in do MMC (Microsoft Management Console) NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802.1X para o acesso à rede cliente sem fio IEEE 802.11. Além disso, você pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service) Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 108. 105 no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar a autenticação, autorização e registro de conexões sem fio 802.11. É possível integrar totalmente o acesso sem fio IEEE 802.11 com o NAP durante a implantação de uma infra-estrutura de autenticação sem fio 802.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permissão para conectar-se à rede. o IEEE 802.3 Com fio. Com a utilização do snap-in do MMC NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802,1X para o acesso à rede Ethernet com fio IEEE 802.3. Você pode configurar switches em conformidade com o 802.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar autenticação, autorização e registro de conexões Ethernet 802.3. É possível integrar totalmente o acesso cliente com fio IEEE 802.3 com o NAP durante a implantação de uma infra-estrutura de autenticação com fio 802.1X. o Servidor RADIUS. O NPS realiza a autenticação de conexão centralizada, a autorização e o registro de conexões VPN, discadas de acesso remoto e de switch de autenticação. - Dúvida Ao utilizar o NPS como um servidor RADIUS, você configura servidores de acesso à rede, tais como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Você também pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitações de conexão, além de poder configurar o registro RADIUS para que os logs do NPS registrem informações nos arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server™. o Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS, você poderá configurar diretivas de solicitação de conexão que informem o servidor NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS você deseja encaminhar solicitações de conexão. O NPS também pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos.• Roteamento e Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar serviços de acesso remoto, serviços de roteamento NAT de rede e multiprotocolos LAN- to-LAN e LAN-to-WAN. (Dúvida) Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 109. 106As seguintes tecnologias podem ser implantadas durante ainstalação do serviço de função de Roteamento e Acesso Remoto: o Serviço de Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexões VPN IPsec (Internet Protocol security) a fim de fornecer aos usuários finais o acesso remoto à rede de sua organização. Você também pode criar uma conexão VPN de site para site entre dois servidores em diferentes locais. Cada servidor é configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. A conexão entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda). O Acesso Remoto também fornece acesso remoto tradicional para dar suporte a usuários móveis ou domésticos que se conectam a intranets de uma organização. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitações de conexões de entrada a partir de clientes de rede dial-up. O servidor de acesso remoto responde à chamada, autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organização. o Roteamento. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet. Além disso, ele oferece serviços de roteamento aos negócios em ambientes LAN (local area network) e WAN (wide area network). Ao implantar o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para compartilhar uma conexão da Internet com os computadores de uma rede privada e traduzir o tráfego entre seu endereço público e a rede privada. Utilizando o NAT, os computadores na rede privada obtêm alguma medida de proteção, pois o roteador com o NAT configurado não encaminha o tráfego a partir da Internet para a rede privada, a menos que um cliente de rede privada tenha solicitado ou que o tráfego esteja explicitamente permitido. Ao implantar a VPN e o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para fornecer o NAT para a rede privada e para aceitar conexões VPN. Os computadores na Internet não poderão determinar os endereços IP dos computadores na rede privada. Entretanto, os clientes VPN poderão conectar-se aos computadores na rede privada, como se estivessem fisicamente ligados à mesma rede. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 110. 107 • Health Registration Authority (HRA). O HRA é um componente NAP que emite certificados de integridade a clientes que passam pela verificação de diretiva de integridade realizada pelo NPS utilizando o SoH cliente. O HRA é utilizado somente quando o método de reforço NAP é um reforço do IPsec. • Host Credential Authorization Protocol (HCAP). O HCAP permite que você integre sua solução Microsoft NAP ao Cisco Network Access Control Server. Ao implantar o HCAP com o NPS e o NAP, o NPS pode realizar a avaliação de integridade do cliente e a autorização dos clientes de aceso Cisco 802.1X.Gerenciando a Função de Network Policy Serverand Access ServicesAs seguintes ferramentas são fornecidas para gerenciar a funçãode Network Policy Server and Access Services: • Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP. • Comandos Netsh para o NPS. Os comandos Netsh para o NPS fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NPS. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. • Snap-in MMC HRA Utilize o MMC HRA para designar a CA (certification authority - autoridade de certificação) utilizada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS ao qual o HRA enviará SoHs cliente para verificação mediante a diretiva de integridade. • Comandos Netsh para o HRA. Os comandos Netsh para o HRA fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC HRA. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. • Snap-in MMC NAP Client Management. Você pode utilizar o snap-in NAP Client Management para definir configurações de segurança e de interface de usuário em computadores cliente com suporte para a arquitetura NAP. • Comandos Netsh para definir configurações de cliente NAP. Os comandos Netsh para as configurações de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. • Snap-in MMC Routing and Remote Access. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de rede Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 111. 108 dial-up, um roteador, um conexão site-site VPN, VPN e NAT ou NAT.• Comandos Netsh para acesso remoto (RAS). Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.• Comandos Netsh para roteamento. Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in de Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.• Wireless Network (IEEE 802.11) Policies – snap-in (MMC) Group Policy Object Editor. A extensão Wireless Network (IEEE 802.11) Policies automatiza a definição das configurações de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service - serviço de configuração automática de LAN sem fio). Você pode utilizar a extensão Wireless Network (IEEE 802.11) Policies no Group Policy Object Editor para especificar as configurações para clientes sem fio Windows XP e Windows Vista. As extensões Wireless Network (IEEE 802.11) Policies Group Policy incluem configurações globais sem fio, a lista de redes preferidas, as configurações WPA (Wi-Fi Protected Access), além das configurações IEEE 802.1X. Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configuração de Computador. Por padrão, a extensão Wireless Network (IEEE 802,11) Policies não é configurada ou ativada.• Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN é uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configurações de segurança do Windows Vista. Você pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar múltiplos computadores que utilizem um script de logon. Além disso, é possível utilizar os comandos Netsh wlan para visualizar as configurações de Diretiva de Grupo e administrar as configurações do WISP (Wireless Internet Service Provider) e as configurações sem fio de usuário. A interface Netsh sem fio fornece os seguintes benefícios: o Suporte para o modo misto. Isso permite que os administradores configurem clientes para dar suporte Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 112. 109 às múltiplas opções de segurança. Por exemplo, um cliente pode ser configurado para os padrões de autenticação WPA2 e WPA. Isso permite que o cliente utilize o WPA2 para conectar-se às redes com suporte ao WPA2 e utilize o WPA para conectar-se às redes com suporte apenas ao WPA. o Bloqueio de redes não desejadas. Os administradores podem bloquear e ocultar o acesso às redes sem fio não-corporativas, adicionando redes ou tipos de redes à lista de redes negadas. De forma semelhante, é possível permitir o acesso às redes sem fio corporativas. • Wireless Network (IEEE 802.3) Policies – snap-in (MMC) Group Policy Object Editor. Você pode utilizar o Wired Network (IEEE 802.3) Policies para especificar e modificar as configurações para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extensões Wireless Network (IEEE 802.11) Policies Group Policy incluem configurações globais com fio e IEEE 802.1X. Essas configurações incluem o conjunto completo de itens de configuração com fio associados às guias Geral e Segurança. Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. Por padrão, a extensão Wired Network (IEEE 802.3) Policies não é configurada ou ativada. • Comandos Netsh para a LAN. A interface Netsh LAN é uma alternativa para utilizar a Diretiva de Grupo no Windows Server “Longhorn” a fim de configurar as configurações de segurança e a conectividade com fio do Windows Vista. Você pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar múltiplos computadores. Além disso, é possível utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802.3) Policies e administrar as configurações 1x com fio do cliente.Recursos AdicionaisPara saber mais sobre os Serviços de Acesso e Diretiva de Rede,abra um dos seguintes snap-ins MMC e depois pressione F1 a fim deexibir a Ajuda: • Snap-in MMC NPS • Snap-in MMC Routing and Remote Access. • Snap-in MMC HRA • Snap-in MMC Group Policy Object Editor Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 113. 1105.03 Proteção contra Acesso à Rede Um dos maiores desafios encontrados nos negócios dos dias de hoje é a exposição crescente dos dispositivos de clientes a softwares maliciosos, como vírus e worms. Esses programas podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem em outros dispositivos na rede corporativa. Os administradores de rede podem utilizar a plataforma NAP para melhor proteger suas redes, ajudando a garantir que os sistemas cliente mantenham as atualizações de software e as configurações de sistema apropriadas para protegê-los contra softwares maliciosos. O NAP (Network Access Protection) é um novo conjunto de componentes de sistema operacional incluído no Windows Server “Longhorn” e no Windows Vista que fornece uma plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa atendam aos requisitos quanto à integridade do sistema definidos pelo administrador. As diretivas NAP definem a configuração e o status de atualização exigidos para o sistema operacional e o software principal do computador de um cliente. Por exemplo, pode ser exigido que os computadores possuam um software antivírus com as mais recentes assinaturas instaladas, com as atualizações instaladas no sistema operacional atual e com um firewall baseado em host ativado. Reforçando o cumprimento desses requisitos de integridade, o NAP pode ajudar os administradores de rede na diminuição de alguns riscos causados por computadores cliente configurados de forma imprópria que podem ser expostos a vírus e a outros softwares maliciosos. O NAP reforça os requisitos de integridade, monitorando e avaliando o funcionamento dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Caso seja determinado que os computadores cliente não estejam em conformidade com os requisitos de integridade, eles poderão ser colocados em uma rede restrita que contenha os recursos para dar assistência na remediação de sistemas de clientes de forma que eles possam estar em conformidade com as diretivas de integridade. Os administradores de sistemas e de rede que desejam reforçar os requisitos de integridade do sistema para computadores cliente que se conectam às redes suportadas por eles terão interesse em utilizar o NAP. Com o NAP, os administradores de rede poderão: • Garantir a integridade dos computadores desktop na LAN, ou que estão configurados para o DHCP, ou que se conectam por meio de dispositivos de autenticação 802.1X, ou ainda que possuam diretivas IPsec NAP aplicadas em suas comunicações. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 114. 111 • Reforçar os requisitos de integridade para laptops móveis quando estes forem conectados novamente na rede da empresa. • Verificar a integridade e a conformidade de diretivas dos computadores domésticos não-gerenciados que se conectam à rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto. • Determinar a integridade e restringir o acesso dos laptops trazidos para uma organização pelos visitantes e parceiros.Dependendo de suas necessidades, os administradores podemconfigurar uma solução para lidar com qualquer um desses cenários.O NAP também inclui um conjunto API para desenvolvedores efornecedores para que estes possam criar seus próprios componentespara validação de diretivas de rede, para a conformidade contínua eo isolamento de rede.As implantações do NAP exigem servidores que executem o WindowsServer “Longhorn”. Além disso, são exigidos computadores clienteque executem o Windows Vista, o Windows Server “Longhorn” ou oWindows XP com SP2 e o Network Access Protection Client paraWindows XP. O servidor central que realiza a análise dedeterminação da integridade para o NAP é um computador que executao Windows Server “Longhorn” e o NPS. O NPS é a implementação doWindows de um servidor e proxy RADIUS. O NPS é o substituto do IAS(Internet Authentication Service) no Windows Server 2003. Osdispositivos de acesso e os servidores NAP atuam como clientesRADIUS para um servidor RADIUS baseado no NPS. O NPS efetua aautenticação e a autorização de uma tentativa de conexão à rede e,com base nas diretivas de integridade do sistema, determina aconformidade da integridade do computador e também como limitar oacesso à rede de um computador que não está em conformidade com asdiretivas.A plataforma NAP é uma nova tecnologia de reforço e validação deintegridade do cliente incluída nos sistemas operacionais WindowsServer “Longhorn” e Windows Vista. NotaO framework do NAP não é o mesmo do Network Access QuarantineControl, o qual é um recurso fornecido com o Windows Server 2003 eo ISA Server 2004. O Network Access Quarantine Control podefornecer proteção adicional para conexões de acesso remoto (dial-upe VPN). Para mais informações sobre o Network Access QuarantineControl no Windows Server 2003, veja Network Access QuarantineControl no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447).Para mais informações sobre esse recurso no ISA Server 2004, vejaClientes Móveis VPN e Quarantine Control no ISA Server 2004Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 115. 112Principais Processos do NAPDiversos processos importantes são exigidos para que o NAP funcionede forma apropriada: a validação de diretivas, o reforço NAP e arestrição de rede, a remediação e o monitoramento contínuo paragarantir a conformidade.Validação de DiretivasOs SHVs (System health validators – validadores de integridade dosistema) são utilizados pelo NPS para analisar o status deintegridade dos computadores cliente. OS SHVs são incorporados àsdiretivas de rede que determinam as ações a serem realizadas combase no status da integridade do cliente, como conceder acessototal à rede ou restringir o acesso à rede. O status daintegridade é monitorado pelos componentes NAP do lado docliente, chamados de SHAs (system health agents – agentes deintegridade do sistema). O NAP utiliza os SHAs e os SHVs paramonitorar, reforçar e remediar configurações de computadorescliente.O Windows Security Health Agent e o Windows Security HealthValidator estão incluídos nos sistemas operacionais Windows Server“Longhorn” e Windows Vista e reforçam as seguintes configuraçõespara computadores ativados para o NAP: • O computador cliente deve possuir software de firewall instalado e ativado. • O computador cliente deve possuir software antivírus instalado e em execução. • O computador cliente deve possuir atualizações de antivírus atuais instaladas. • O computador cliente deve possuir software anti-spyware instalado e em execução. • O computador cliente deve possuir atualizações de anti- spywares atuais instaladas. • O Microsoft Update Services deve estar ativado no computador cliente.Além disso, se computadores clientes ativados para o NAP estiveremexecutando o Windows Update Agent e estiverem registrados com umservidor WSUS (Windows Server Update Service), o NAP poderáverificar se a maioria das atualizações de segurança de softwareestá instalada, com base em um dos quatro valores possíveis quecorrespondem à classificação de severidade de segurança doMSRC(Microsoft Security Response Center).Reforço do NAP e Restrição de RedeO NAP pode ser configurado para negar o acesso à rede paracomputadores cliente em não-conformidade e permitir que essescomputadores acessem somente uma rede restrita. Uma rede restrita Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 116. 113deve conter os serviços NAP principais, como os servidores HRA e osservidores de remediação, para que clientes NAP em não-conformidadepossam atualizar suas configurações e estar em conformidade com osrequisitos de integridade.As configurações de reforço NAP permitem que você limite o acesso àrede de clientes em não-conformidade ou apenas observe e registre ostatus de integridade de computadores cliente ativados para o NAP.Você pode optar por restringir o acesso, adiar a restrição deacesso ou ainda permitir o acesso por meio da utilização dasseguintes configurações: • Do not enforce (Não aplicar). Esta é a configuração padrão. Os clientes que atendem às condições de diretiva são considerados como estando em conformidade com os requisitos de integridade de rede e a eles é concedido acesso irrestrito à rede caso a solicitação de conexão seja autenticada e autorizada. O status de conformidade de integridade dos computadores cliente ativados para o NAP é registrado. • Enforce (Aplicar). Os computadores cliente que atendem às condições de diretivas são considerados como não estando em conformidade com os requisitos de integridade de rede. Esses computadores são colocados na rede restrita. • Defer enforcement (Adiar aplicação). Os clientes que atendem às condições de diretivas recebem, temporariamente, acesso irrestrito. O NAP é adiado até a data e o horário especificados.RemediaçãoOs computadores cliente não-conformes que são colocados em uma rederestrita podem ser submetidos à remediação. Remediação é oprocesso de atualizar um computador cliente de forma que ele passea atender aos requisitos atuais de integridade. Por exemplo, umarede restrita pode conter um servidor FTP (File Transfer Protocol)que fornece assinaturas atuais de vírus de forma que oscomputadores cliente em não-conformidade possam atualizar suasassinaturas.É possível utilizar as configurações do NAP nas diretivas deintegridade NPS para configurar a remediação automática, de formaque os componentes do cliente NAP tentem, automaticamente,atualizar o computador cliente quando este estiver em não-conformidade com os requisitos de integridade de rede. Você podeutilizar a seguinte configuração de diretiva para configurar aremediação automática: • Atualizações de computador. Se a opção Update noncompliant computers automatically estiver selecionada, a remediação automática estará ativada, e os computadores ativados para o que não estiverem em conformidade com os requisitos de integridade tentarão, automaticamente, fazer a atualização. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 117. 114Monitoramento Contínuo para Garantir a ConformidadeO NAP pode reforçar a conformidade da integridade em computadorescliente em conformidade que já estejam conectados à rede. Estafuncionalidade é muito útil para garantir que uma rede estejaprotegida em uma base continua conforme vão ocorrendo mudanças nasdiretivas de integridade e nos computadores cliente. Por exemplo,se a diretiva de integridade exigir que o Windows Firewall estejaativado, e um usuário, inadvertidamente, desabilitá-lo, o NAPpoderá determinar se o computador cliente está em um estado de não-conformidade. O NAP irá então colocar o computador cliente na rederestrita até que o Windows Firewall seja ativado novamente.Se a remediação automática estiver ativada, os componentes docliente NAP poderão ativar automaticamente o Firewall do Windowssem a intervenção do usuário.Métodos de Reforço NAPBaseado no estado de funcionamento de um computador cliente, o NAPpode permitir o acesso total à rede, limitar o acesso a uma rederestrita ou negar o acesso à rede. Os computadores cliente que sãodeterminados como estando em não-conformidade com as diretivas deintegridade também podem ser automaticamente atualizados a fim deatender a esses requisitos. A forma com que o NAP é reforçadodepende no método de reforço escolhido. O NAP reforça as diretivasde integridade para: • O tráfego protegido pelo IPsec • O controle de acesso à rede com e sem fio baseado na porta 802.1X • A VPN com o Routing and Remote Access • O lease e a renovação de endereços IPv4 DHCPAs seções a seguir descrevem esses métodos de reforço.Reforço NAP para Comunicações IPsecO reforço NAP para o tráfego protegido pelo IPsec é implantado comum servidor de certificado de integridade, um servidor HRA, umservidor NPS e um cliente de reforço IPsec. O servidor decertificado de integridade emite certificados X.509 aos clientesNAP quando é determinado que esses clientes estão em conformidadecom os requisitos de integridade de rede. Então, essescertificados são utilizados para autenticar clientes NAP quandoestes iniciam comunicações protegidas pelo IPsec com outrosclientes NAP em uma intranet.O reforço IPsec limita a comunicação em sua rede aos clientes emconformidade e fornece a forma mais forte do reforço NAP. Comoesse método de reforço utiliza o IPsec, é possível definirrequisitos para comunicações protegidas em uma base por endereço IPou por número de porta TCP/UDP. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 118. 115Reforço NAP para 802.1XO reforço NAP para o controle de acesso à rede baseado na porta802.1X é implantado com um servidor NPS e um componente cliente dereforço EAPHost. Com o reforço baseado na porta 802.1X, umservidor NPS ordena que um switch de autenticação 802.1X ou umponto de acesso sem fio em conformidade com o 802.1X coloqueclientes 802.1X em não-conformidade em uma rede restrita. Oservidor NPS limita o acesso à rede do cliente à rede restrita,ordenando que o ponto de acesso aplique filtros IP ou umidentificador de LAN à conexão. O reforço 802.1X fornece forterestrição de rede para todos os computadores que acessam a rede pormeio de dispositivos de acesso à rede ativados para 802.1X.Reforço NAP para VPNO reforço NAP para VPN é implantado com um componente de servidorde reforço VPN e um componente cliente de reforço VPN. Com oreforço NAP para VPN, os servidores VPN poderão reforçar a diretivade integridade quando computadores clientes tentarem conectar-se àrede utilizando uma conexão VPN de acesso remoto. O reforço VPNfornece forte acesso limitado à rede para todos os computadores queacessam a rede por meio de uma conexão VPN de acesso remoto.Reforço NAP para DHCPO reforço DHCP é implantado com um componente de servidor dereforço NAP DHCP, um componente cliente de reforço DHCP e o NPS.Utilizando o reforço DHCP, os servidores DHCP e o NPS poderãoreforçar a diretiva de integridade quando um computador tentarobter ou renovar um endereço IPv4. O servidor NPS limita o acessoà rede do cliente à rede restrita, ordenando que o servidor DHCPatribua uma configuração limitada de endereço IP. Entretanto, seos computadores cliente estiverem configurados para tirar vantagem(circumvent) da configuração de endereço IP, o DHCP não seráeficiente.Abordagens CombinadasCada um desses métodos de reforço NAP possui diferentes vantagens.Combinando os métodos de reforço, será possível combinar asvantagens desses métodos. Entretanto, ao implantar múltiplosmétodos de reforço NAP, você poderá fazer com que sua implementaçãoNAP seja mais complexa de ser gerenciada.O framework do NAP também fornece um conjunto de APIs que permiteque outras empresas que não sejam a Microsoft integrem seussoftwares com a NAP. Utilizando as APIs do NAP, fornecedores edesenvolvedores de software poderão fornecer soluções de fim a fimque validem o funcionamento e façam a remediação de clientes emnão-conformidade.Implantação Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 119. 116Os preparativos necessários para a implantação do NAP dependem dométodo (ou métodos) de reforço escolhido e dos requisitos deintegridade que se pretende reforçar quando os computadores clientetentam conectar-se à rede ou comunicar-se com ela.Se você for um administrador de sistemas ou de rede, será possívelimplantar o NAP com o Windows Security Health Agent e o WindowsSecurity Health Validator. Você também poderá verificar com outrosfornecedores de software se eles possuem SHAs e SHVs para seusprodutos. Por exemplo, se um fornecedor de software antivírusdesejar criar uma solução NAP que inclua um SHA e um SHVpersonalizado, ele poderá utilizar um conjunto de APIs para criaresses componentes, os quais poderão ser integrados com as soluçõesNAP implantadas pelos clientes desse fornecedor.Além dos SHAs e SHVs, a plataforma NAP utilize múltiploscomponentes de servidor e cliente para detectar e monitorar ostatus da integridade do sistema dos computadores cliente quandoestes tentam conectar-se à rede ou comunicar-se com ela. Na figuraabaixo, são ilustrados alguns componentes comuns utilizados naimplantação do NAP: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 120. 117Componentes do Cliente NAPUm cliente ativado para o NAP é um computador que possui oscomponentes NAP instalados e que pode verificar seu estado defuncionamento, enviando uma lista de SoH (statements of health) aoNPS. A seguir, estão os componentes do cliente NAP comuns:Agente de integridade do sistema. Um SHA monitora e relata o estadode funcionamento do computador cliente de forma que o NPS possadeterminar se as configurações monitoradas pelo SHA estãoatualizadas e configuradas corretamente. Por exemplo, o MicrosoftSHA pode monitorar o Firewall do Windows; se um software antivírusestiver instalado, ativado e atualizado; se há softwares anti-spyware instalado, ativado e atualizado e se o Microsoft UpdateServices está ativado e o computador possui suas mais recentesatualizações. Também pode haver SHAs disponíveis em outras empresasque fornecem funcionalidades adicionais.NAP Agent (Agente NAP). O agente NAP coleta e gerencia informaçõesde funcionamento. O agente NAP também processa o SoH a partir dosSHAs e relata o funcionamento do cliente aos clientes de reforçoinstalados. Para indicar o estado completo de um cliente NAP, oagente NAP utiliza uma lista de SoH.NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos umNAP EC (NAP enforcement client) deve estar instalado e ativado noscomputadores cliente. NAP EC individuais são específicos ao método,conforme descrito anteriormente. Os clientes de reforço NAPintegram-se com tecnologias de acesso à rede, como IPsec, ocontrole de acesso à rede com e sem fio baseado em porta 802.1X,VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforçoNAP solicita acesso à rede, informa o status do funcionamento de umcomputador cliente ao servidor NPS e informa o status restrito docomputador cliente aos outros componentes da arquitetura NAP.SoH (Statement of health). Um SoH é uma declaração de um SHA queafirma seu status de funcionamento. Os SHAs criam SoHs, os quaissão enviados ao agente NAP.Componentes de Servidor NAPA seguir, estão os componentes de servidor NAP comuns:Diretivas de funcionamento. As diretivas NPS definem os requisitosde integridade e as configurações de reforço para os computadorescliente que solicitam acesso à rede. O NPS processa as mensagens deSolicitação de Acesso RADIUS (RADIUS Access-Request) que contêm alista de SoH enviada pelo NAP EC e passa essas mensagens para oservidor de administração NAP.Servidor de administração NAP. O componente de servidor deadministração NAP fornece uma função de processamento parecida como agente NAP no lado do cliente. Ele recebe a lista de SoH doservidor de reforço NAP por meio do NPS e distribui cada SoH para oSHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 121. 118SHVs e envia essas respostas ao NPS para que este faça umaavaliação.SHVs (System health validators - validadores de integridade dosistema). Os SHVs são cópias de software de servidor para os SHAs.Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVsverificam o SoH feito por seu SHA correspondente no computadorcliente.Os SHAs e os SHVs são associados um ao outro, juntamente com umservidor de diretivas correspondente (se exigido) e, talvez, a umservidor de remediação.Um SHV também pode detectar que nenhum SoH foi recebido (porexemplo, se o SHA nunca tiver sido instalado, se tiver sidodanificado ou removido). Se o SoH atender ou não à diretivadefinida, o SHV enviará uma mensagem SoHR (statement of healthresponse - declaração de resposta de integridade) para o servidorde administração NAP.Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, oservidor NPS deverá coordenar a saída de todos os SHVs e determinarse deve ser limitado o acesso de um computador em não-conformidade.Isso exige um planejamento cuidadoso ao definir diretivas deintegridade para o seu ambiente e avaliar na diferente forma comque os SHVs interagem.NAP enforcement server (servidor de reforço NAP). O NAP ES éassociado a um NAP EC correspondente para o método de reforço NAPque estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,passando-os para que o NPS faça uma avaliação. Com base naresposta, é fornecido acesso limitado ou ilimitado à rede para ocliente ativado para o NAP. Dependendo do tipo de reforço NAP, oNAP ES pode ser uma autoridade de certificação (reforço IPsec), umswitch de autenticação ou um ponto de acesso sem fio (reforço802.1x), um servidor Roteamento e Acesso Remoto(reforço VPN) ou umservidor DHCP (reforço DHCP).Servidor de diretivas. Um servidor de diretivas é um componente desoftware que se comunica com um SHV a fim de fornecer asinformações utilizadas na avaliação dos requisitos para aintegridade do sistema. Por exemplo, um servidor de diretivas, comoum servidor de assinaturas antivírus, pode fornecer a versão doarquivo atual de assinaturas para a validação de um SoH antivíruscliente. Os servidores de diretivas são associados aos SHVs, masnem todos os SHVs exigem um servidor de diretivas. Por exemplo, umSHV pode simplesmente ordenar que clientes ativados para o NAPverifiquem as configurações locais de sistema a fim de assegurarque um firewall baseado em host esteja ativado.Servidor de remediação. Um servidor de remediação hospeda asatualizações que podem ser utilizadas pelos SHAs para fazer com quecomputadores cliente em não-conformidade passem a estar emconformidade. Por exemplo, um servidor de remediação pode hospedaratualizações de software. Se a diretiva de integridade exigir que Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 122. 119os computadores cliente NAP possuam as mais recentes atualizaçõesde software instaladas, o NAP EC irá restringir o acesso à rede dosclientes que não possuírem essas atualizações. Os servidores deremediação devem estar acessíveis aos clientes com acesso restritoà rede para que os clientes obtenham as atualizações exigidas paraque estejam em conformidade com as diretivas de integridade.SoHR (Statement of health response). Depois que o SoH cliente foravaliado mediante a diretiva de integridade pelo SHV apropriado, umSoHR será gerado, contendo os resultados da avaliação. O SoHRinverte o caminho do SoH e é enviado de volta ao SHA do computadorcliente. Se o computador cliente for considerado como estando emnão-conformidade, o SoHR irá conter as instruções de remediaçãoutilizadas pelo SHA para fazer com que a configuração do computadorcliente esteja em conformidade com os requisitos de integridade.Assim como cada tipo de SoH contém diferentes tipos de informaçõessobre o status do funcionamento do sistema, cada mensagem SoHRcontém as informações sobre como estar em conformidade com osrequisitos de integridade.Informações AdicionaisPara mais informações sobre o NAP, acesse o site sobre NetworkAccess Protection em (http://go.microsoft.com/fwlink/?LinkId=56443). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 123. 1205.04 Protocolos TCP/IP e Componentes de Rede deÚltima Geração A rede e as comunicações são muito importantes para que as organizações consigam superar o desafio da grande competição no mercado global. Os funcionários precisam conectar-se à rede onde quer que eles estejam e a partir de qualquer dispositivo. Parceiros, fornecedores e outras pessoas fora da rede precisam interagir, de forma eficiente, com os recursos principais. Além disso, segurança é um fator mais importante do que nunca. A seguir, teremos uma visão geral técnica sobre as melhorias de comunicação e rede TCP/IP encontradas no Microsoft Windows Server “Longhorn” e Windows Vista para lidar com questões de conectividade, facilidade de uso, gerenciamento, confiabilidade e segurança. Com o Windows Server “Longhorn” e o Windows Vista, os administradores de TI possuem mais opções flexíveis para gerenciar a infra-estrutura de rede, rotear o tráfego de rede de forma eficiente e implantar cenários de tráfego protegido. O Windows Server “Longhorn” e o Windows Vista incluem muitas alterações e melhorias para os seguintes protocolos e componentes centrais de rede: • Pilha TCP/IP de última geração • Melhorias no IPv6 • QoS (Quality of Service) baseada em diretivas para redes corporativas. Pilha TCP/IP de Última Geração O Windows Server “Longhorn” e o Windows Vista incluem uma nova implementação da pilha do protocolo TCP/IP, conhecida como a Pilha TCP/IP de última geração. A Pilha TCP/IP de última geração é um design completamente reformulado da funcionalidade do TCP/IP tanto para o IPv4 (Internet Protocol version 4) quanto para o IPv6 (Internet Protocol version 6) que atende às necessidades de desempenho e conectividade dos diversos ambientes e tecnologias de rede dos dias de hoje. Os seguintes recursos são novos ou aprimorados: • Receive Window Auto-Tuning • Compound TCP • Melhorias para ambientes de alto índice de perda • Neighbor Un-reach-ability Detection for IPv4 • Alterações na detecção de gateways inativos • Alterações na detecção de roteadores de buraco negro PMTU • Compartimentos de Roteamento Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 124. 121 • Suporte ao Network Diagnostics Framework • Windows Filtering Platform • Explicit Congestion NotificationReceive Window Auto-TuningO tamanho da janela de recebimento TCP (TCP receive window size)é a quantidade de bytes em um buffer de memória em um host derecebimento utilizada para armazenar dados de entrada em umaconexão TCP. Para determinar corretamente o valor do tamanhomáximo da janela de recebimento para uma conexão com base nascondições atuais da rede, a Pilha TCP/IP de última geração dásuporte ao Receive Window Auto-Tuning. O Receive Window Auto-Tuning determina o tamanho da janela de recebimento ideal porconexão, calculando o produto do atraso da largura de banda (alargura de banda multiplicada pela latência da conexão) e oíndice de recuperação do aplicativo. Depois, o tamanho máximo dajanela de recebimento é ajustado em uma base regular.Com maior velocidade do processamento entre os pontos TCP, autilização da largura de banda de rede aumenta durante atransferência de dados. Se todos os aplicativos forem otimizadospara receber dados TCP, a utilização total da rede poderáaumentar de forma significativa.Compound TCPConsiderando que o Receive Window Auto-Tuning otimiza avelocidade do processamento do receptor, o CTCP (Compound TCP) naPilha TCP/IP de última geração otimiza a velocidade doprocessamento do emissor. Trabalhando juntos, eles podem aumentara utilização de links e produzir ganhos substanciais dedesempenho para grandes conexões de produto de atraso de largurade banda.O CTCP é utilizado para conexões TCP com um grande tamanho dejanela de recebimento e um grande produto de atraso de largura debanda (a largura de banda de uma conexão multiplicada pelo seuatraso). Ele aumenta, de forma significativa, a quantidade dedados enviados por vez e ajuda a garantir que seu comportamentonão cause impactos negativos em outras conexões TCP.Por exemplo, em testes realizados internamente na Microsoft, oshorários de backup para arquivos extensos foram reduzidos emquase metade para uma conexão de 1 gigabit por segundo com um RTT(round-trip time) de 50 milésimos de segundo. Conexões com umproduto de atraso de largura de banda maior podem ter um melhordesempenho.Melhorias para Ambientes de Alto Índice de PerdaA Pilha TCP/IP de última geração tem suporte para as seguintesRFCs (Request for Comments) a fim de otimizar a velocidade doprocessamento em ambientes alto índice de perda: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 125. 122 • RFC 2582: Modificação NewReno para o Algoritmo de Recuperação Rápida do TCP Quando múltiplos segmentos em uma janela de dados forem perdidos, e o emissor receber uma confirmação parcial informando que os dados foram recebidos, o algoritmo NewReno fornecerá uma maior velocidade do processamento, alterando a forma com que um emissor pode aumentar sua taxa de envio. • RFC 2883: Uma Extensão à Opção SACK (Selective Acknowledgement) para TCP O SACK, definido na RFC 2018, permite que um receptor indique até quatro blocos não-contíguos de dados recebidos. A RFC 2883 define uma utilização adicional da opção SACK TCP para reconhecer pacotes duplicados. Isso permite que o receptor do segmento TCP que contém a opção SACK determine quando um segmento foi retransmitido desnecessariamente e ajuste o comportamento para evitar futuras retransmissões. Reduzir o número de retransmissões enviadas melhora a velocidade do processamento. • RFC 3517: Um Algoritmo de Recuperação de Perdas Baseado no SACK (Selective Acknowledgment) Conservador para TCP Considerando que o Windows Server 2003 e o Windows XP utilizam as informações do SACK somente para determinar quais segmentos TCP não chegaram no destino, a RFC 3517 define um método de utilizar as informações do SACK para realizar a recuperação de perda quando confirmações duplicadas tiverem sido recebidas e substitui o algoritmo de recuperação rápida quando o SACK estiver ativado em uma conexão. A Pilha TCP/IP de última geração controla as informações do SACK em uma base por conexão e monitora as confirmações de entrada a fim fazer a recuperação mais rapidamente quando segmentos não forem recebidos no destino. • RFC 4138: Recuperação F-RTO (Forward RTO): Um Algoritmo para a Detecção de Falsos Timeouts de Retransmissão com o TCP e o SCTP (Stream Control Transmission Protocol) O algoritmo F-RTO (Forward-Retransmission Timeout) evita a retransmissão desnecessária de segmentos TCP. Retransmissões desnecessárias de segmentos TCP podem ocorrer quando houver um aumento repentino ou temporário no RTT (round-trip time). O resultado do algoritmo F-RTO é indicado para ambientes com aumentos repentinos ou temporários no RTT, como quando um cliente sem fio passa de um ponto de acesso sem fio (AP - access point) para outro. O F-RTO evita a retransmissão desnecessária de segmentos e retorna mais rapidamente a sua taxa de envio normal.Neighbor Un-reach-ability Detection for IPv4O Neighbor Un-reach-ability Detection é um recurso do IPv6 noqual um nó mantém o status informando se um nó vizinho pode ser Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 126. 123alcançado, fornecendo melhor detecção e recuperação de errosquando os nós, repentinamente, ficarem indisponíveis. A PilhaTCP/IP de última geração também dá suporte ao tráfego do NeighborUn-reach-ability Detection for IPv4, por meio do controle doestado alcançável dos nós IPv4 no cache de rota do IPv4. ONeighbor Un-reach-ability Detection for IPv4 determina acapacidade de alcance por meio de uma troca de mensagens ARPReply e ARP (Address Resolution Protocol) Request ou por meio darelação de confiança em protocolos de camada superior, como oTCP.Alterações na detecção de gateways inativosA detecção de gateways inativos no TCP/IP para o Windows Server2003 e o Windows XP fornece uma função de failover, mas não umafunção de failback, na qual um gateway inativo é testadonovamente a fim de determinar se ele se tornou disponível. APilha TCP/IP de última geração fornece failback para gatewaysinativos, tentando periodicamente enviar o tráfego TCP,utilizando o gateway inativo detectado anteriormente. Se otráfego IP enviado por meio do gateway inativo obtiver sucesso, aPilha TCP/IP de última geração irá alternar do gateway padrãopara o gateway inativo detectado anteriormente. O suporte aofailback para os gateways padrão primários pode fornecer maiorvelocidade de processamento, enviando o tráfego com a utilizaçãodo gateway padrão primário na sub-rede.Alterações na Detecção de Roteadores de Buraco Negro PMTUA descoberta PMTU (Path maximum transmission unit), definida naRFC 1191, confia no recebimento de mensagens ICMP (InternetControl Message Protocol) Destination Unreachable-FragmentationNeeded e DF (Don’t Fragment) Set dos roteadores que contêm o MTUdo próximo link. Entretanto, em alguns casos, roteadoresintermediários descartam pacotes que não podem ser fragmentados.Esses tipos de roteadores são conhecidos como roteadores PMTU deburaco negro. Além disso, os roteadores intermediários podembloquear mensagens ICMP devido às regras de firewall. Devido aosroteadores PMTU de buraco negro, as conexões TCP podem falhar eserem encerradas.A detecção de roteadores de buraco negro PMTU faz sentido quandoextensos segmentos TCP estão sendo retransmitidos; o PMTU éautomaticamente ajustado para a conexão, em vez de confiar norecibo das mensagens de erro ICMP. No Windows Server 2003 e noWindows XP, a detecção de roteadores de buraco negro PMTU édesabilitada por padrão, pois estando ativada, o número máximo detransmissões executadas para um segmento de rede específicoaumenta.Por padrão, a Pilha TCP/IP de última geração ativa a detecção deroteadores de buraco negro PMTU a fim de evitar o encerramentodas conexões TCP. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 127. 124Compartimentos de RoteamentoPara evitar que o encaminhamento indesejado do tráfego entreinterfaces para configurações VPN, a Pilha TCP/IP de últimageração dá suporte aos compartimentos de roteamento. Umcompartimento de roteamento é a combinação de um conjunto deinterfaces com uma sessão de login que possui suas própriastabelas de roteamento IP. Um computador pode possuir múltiploscompartimentos de roteamento isolados uns dos outros. Cadainterface pode pertencer somente a um único compartimento.Por exemplo, quando um usuário inicia uma conexão VPN pelaInternet com a implementação TCP/IP no Windows XP, o computadordo usuário terá conectividade parcial tanto para a Internetquanto para a intranet particular, manipulando entradas na tabelade roteamento IPv4. Em algumas situações, é possível que otráfego da Internet seja encaminhado pela conexão VPN para aintranet particular. Para clientes VPN com suporte paracompartimentos de roteamento, a Pilha TCP/IP de última geraçãoisola a conectividade da Internet da conectividade da intranetparticular por meio de tabelas de roteamento IP separadas.Suporte ao Network Diagnostics FrameworkO Network Diagnostics Framework é uma arquitetura extensível queajuda os usuários na recuperação e resolução de problemas comconexões de rede. Para a comunicação baseada em TCP/IP, o NetworkDiagnostics Framework exibe ao usuário diversas opções paraeliminar as possíveis causas até que a causa do problema sejaidentificada ou que todas as possibilidades sejam eliminadas.Estes são os problemas específicos relacionados ao TCP/IP quepodem ser diagnosticados pelo Network Diagnostics Framework: • Endereço IP incorreto • O gateway padrão (roteador) não está disponível • Gateway padrão incorreto • Falha de resolução de nomes NetBT (NetBIOS over TCP/IP) • Configurações de DNS incorretas • A porta local já está sendo utilizada • O serviço DHCP Client não está sendo executado • Não há escuta remota • A mídia está desconectada • A porta local está bloqueada • Pouca memória • Suporte ESTATS (extended statistics)A Pilha TCP/IP de última geração dá suporte ao esboço do IETF(Internet Engineering Task Force) “TCP Extended Statistics MIB”,o qual define as estatísticas de desempenho estendidas para o Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 128. 125TCP. Analisando o ESTATS em uma conexão, é possível determinar seo gargalo de desempenho para uma conexão é o aplicativo de envio,de recepção ou se é a rede. Por padrão, o ESTATS é desabilitado epode ser ativado por conexão. Com o ESTATS, os ISVs (independentsoftware vendors) que não são da Microsoft podem criardiagnósticos eficientes e aplicativos de análise de velocidade deprocessamento de rede.Windows Filtering PlatformO WFP (Windows Filtering Platform - Plataforma de FiltragemWindows) é uma nova arquitetura na Nova Geração da pilha TCP/IPque fornece APIs para que os ISVs não-Microsoft possam fazer afiltragem em diversas camadas na pilha do protocolo TCP/IP e portodo o sistema operacional.O WFP também integra e fornece suporte para a nova geração derecursos de firewall, como a comunicação autenticada e aconfiguração de firewall dinâmica baseadas na utilização de umaplicativo do Windows Sockets API. Os ISVs podem criar firewalls,softwares antivírus, além de outros tipos de aplicativos eserviços. O Windows Firewall e o IPsec no Windows Server“Longhorn” e no Windows Vista utilizam o WFP API.Explicit Congestion NotificationQuando um segmento TCP é perdido, o TCP supõe que o segmento foiperdido devido ao congestionamento em um roteador e executa ocontrole de congestionamento, o que diminui, de forma drástica, ataxa de transmissão do emissor TCP. Com o suporte ECN (ExplicitCongestion Notification - Notificação Explícita deCongestionamento) nos pontos TCP e na infra-estrutura deroteamento, os roteadores que estão vivenciando ocongestionamento marcam os pacotes como se estivessemencaminhando-os. Os pontos TCP que recebem os pacotes marcadosdiminuem sua taxa de transmissão a fim facilitar ocongestionamento e evitar a perda de segmentos. Detectar ocongestionamento antes das perdas de pacotes aumenta a velocidadede processamento entre os pontos TCP. O ECN não é ativado porpadrão.Melhorias no IPv6A Pilha TCP/IP de última geração dá suporte às seguintesmelhorias no IPv6: • IPv6 ativado por padrão • Pilha IP dupla • Configuração baseada em GUI • Melhorias no Teredo • Suporte IPsec integrado • Multicast Listener Discovery versão 2 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 129. 126 • Link-Local Multicast Name Resolution • IPv6 pelo PPP • IDs aleatórios de interface para endereços IPv6 • Suporte DHCPv6IPv6 Ativado por PadrãoNo Windows Server “Longhorn” e no Windows Vista, o IPv6 éinstalado e ativado por padrão. É possível definir asconfigurações do IPv6 por meio das propriedades do componenteTCP/IPv6 (Internet Protocol version 6) e também pelos comandos nocontexto IPv6 da interface.O IPv6 no Windows Server “Longhorn” e no Windows Vista não podeser desinstalado, mas pode ser desabilitado.Pilha IP DuplaA Pilha TCP/IP de última geração dá suporte à arquitetura decamadas IP dupla, na qual as implementações do IPv4 e IPv6compartilham camadas comuns de frame e transporte (TCP e UDP). APilha TCP/IP de última geração possui o IPv4 e o IPv6 ativadospor padrão. Não é necessário instalar um componente separado paraobter o suporte ao IPv6.Configuração Baseada em GUINo Windows Server “Longhorn” e no Windows Vista, você podedefinir manualmente as configurações do IPv6, utilizando umconjunto de caixas de diálogo na pasta Conexões de Rede,semelhante ao processo de definir manualmente as configurações doIPv4.Melhorias no TeredoO Teredo fornece conectividade aprimorada para aplicativosativados para o IPv6, fornecendo globalmente o endereçamento IPv6exclusivo e permitindo o tráfego IPv6 para atravessar os NATs.Com o Teredo, os aplicativos ativados para o IPv6 que exigem otráfego de entrada não solicitado e o endereçamento global, comoaplicativos entre iguais, funcionarão pelo NAT. Esses mesmostipos de aplicativos, se utilizassem o tráfego IPv4, ou exigiriama configuração manual do NAT, ou não funcionariam sem amodificação do protocolo do aplicativo de rede.O Teredo pode agora funcionar se houver um cliente Teredo atrásde um ou mais NATs simétricos. Um NAT simétrico mapeia o mesmoendereço (privado) e o mesmo número de porta internos paradiferentes endereços e portas (públicos) externos, dependendo doendereço externo de destino (para o tráfego de saída). Este novocomportamento permite que o Teredo funcione entre um conjuntomaior de hosts conectados à Internet. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 130. 127No Windows Vista, o componente Teredo estará ativado, mas inativopor padrão. Para ativá-lo, um usuário deve instalar um aplicativoque precise utilizar o Teredo ou optar por alterar asconfigurações de firewall a fim de permitir que um aplicativoutilize o Teredo.Suporte IPsec IntegradoNo Windows Server “Longhorn” e no Windows Vista, o suporte IPsecpara o tráfego IPv6 é o mesmo existente para o IPv4, incluindo osuporte para o IKE (Internet Key Exchange) e a criptografia dedados. Os snap-ins Windows Firewall with Advanced Security e IPSecurity Policies agora possuem suporte para a configuração dediretivas IPsec para o tráfego IPv6, igual ao que ocorre com otráfego IPv4. Por exemplo, quando você configurar um filtro IPcomo parte de uma lista de filtros IP no snap-in IP SecurityPolicies, será possível especificar endereços IPv6 e prefixos deendereços nos campos IP Address ou Subnet ao determinar umendereço IP específico de origem ou destino.Multicast Listener Discovery Versão 2O MLDv2 (Multicast Listener Discovery versão 2), especificado naRFC 3810, fornece suporte para o tráfego multicast específico àorigem. O MLDv2 equivale ao IGMPv3 (Internet Group ManagementProtocol version 3) para IPv4.Link-Local Multicast Name ResolutionO LLMNR (Link-Local Multicast Name Resolution) permite que hostsIPv6 em uma única sub-rede sem um servidor de DNS resolvam osnomes uns dos outros. Essa capacidade é muito útil para redesdomésticas de única sub-rede e redes sem fio ad hoc.IPv6 Pelo PPPO acesso remoto agora suporta o IPv6 pelo PPP (Point-to-PointProtocol), conforme definido na RFC 2472. O tráfego IPv6 podeagora ser enviado por conexões baseadas em PPP. Por exemplo, osuporte IPv6 pelo PPP permite que você se conecte a um ISP(Internet service provider) baseado no IPv6 por meio de conexõesdial-up ou baseadas no PPPoE (PPP over Ethernet) que podem serutilizadas para o acesso de banda larga à Internet.IDs Aleatórios de Interface para Endereços IPv6Por padrão, com o intuito de evitar a varredura de endereços IPv6baseados nos IDs conhecidos da empresa dos fabricantes deadaptadores de rede, o Windows Server “Longhorn” e o WindowsVista geram IDs aleatórios de interface para endereços IPv6estáticos autoconfigurados, incluindo endereços públicos e locaisde link.Suporte DHCPv6 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 131. 128O Windows Server “Longhorn” e o Windows Vista incluem um clienteDHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocolversion 6) que efetua a configuração automática de endereços commonitoramento de estado com um servidor DHCP. O Windows Server“Longhorn” inclui um serviço DHCP Server ativado para o DHCPv6.Quality of Service (Qualidade de Serviço)No Windows Server 2003 e no Windows XP, a funcionalidade QoS(Quality of Service) está disponível para os aplicativos por meiodas APIs GQoS (Generic QoS). Os aplicativos que utilizavam asAPIs GQoS acessavam funções priorizadas de entrega. No WindowsServer “Longhorn” e no Windows Vista, existem novos recursos paragerenciar o tráfego de rede corporativa e doméstica.QoS Baseado em Diretivas para Redes CorporativasAs diretivas de QoS no Windows Server “Longhorn” e no WindowsVista permitem que os profissionais de TI dêem prioridade à taxade envio para o tráfego de rede de saída ou gerenciem essa taxa.O profissional de TI pode restringir as configurações a nomesespecíficos de aplicativos, a endereços IP de origem e destinoespecíficos e a portas UDP ou TCP de origem e destino.As configurações de diretivas de QoS fazem parte da Diretiva deGrupo user configuration (configuração de usuário) ou computerconfiguration (configuração de computador) e são configuradas coma utilização do Group Policy Object Editor. Elas são vinculadasaos containeres dos Serviços de Domínio do Active Directory(domínios, sites e OUs - unidades organizacionais), por meio dautilização do Group Policy Management Console (Console deGerenciamento de Diretivas de Grupo).Para gerenciar a utilização de largura de banda, você podeconfigurar uma diretiva de QoS com uma taxa de aceleração para otráfego de saída. Utilizando a otimização, uma diretiva de QoSpode limitar o tráfego de rede de saída agregado para uma taxaespecífica. Para especificar a entrega priorizada, o tráfego émarcado com um valor DSCP (Differentiated Services Code Point).Os roteadores ou os pontos de acesso sem fio na infra-estruturade rede podem colocar pacotes marcados com o DSCP em filasdiferentes para uma entrega diferenciada. A marcação com o DSCP ea otimização podem ser utilizados em conjunto para gerenciar otráfego de forma eficiente. Como os processos de otimização e demarcação de prioridade são aplicados na camada de rede, não épreciso modificar os aplicativos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 132. 1295.05 Firewall do Windows com Segurança Avançada Começando com o Windows Vista e o Windows Server “Longhorn”, a configuração do Firewall do Windows e do IPsec é combinada em uma única ferramenta, o snap-in MMC Windows Firewall with Advanced Security. O snap-in MMC Windows Firewall with Advanced Security substitui ambas as versões anteriores dos snap-ins do IPsec, o IP Security Policies e o IP Security Monitor, para a configuração de computadores que executam o Windows Server 2003, o Windows XP ou o Windows 2000. Embora os computadores que executam o Windows Vista e o Windows Server “Longhorn” também possam ser configurados e monitorados por meio da utilização dos snap-ins anteriores do IPsec, não é possível utilizar as ferramentas mais antigas para configurar os diversos novos recursos e opções de segurança apresentados no Windows Vista e no Windows Server “Longhorn”. Para obter as vantagens desses novos recursos, você deve definir as configurações, utilizando o snap-in Windows Firewall with Advanced Security ou os comandos no contexto advfirewall da ferramenta Netsh. O Windows Firewall with Advanced Security fornece diversas funções em um computador que executa o Windows Vista ou o Windows Server “Longhorn”: • Filtragem de todo o tráfego do IPv6 e do IPv4 que entra no computador ou sai dele. Por padrão, todo o tráfego de entrada é bloqueado, a menos que ele seja uma resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou que ele seja especificamente permitido por uma regra criada para permitir esse tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de fortalecimento de serviço que evita a comunicação de serviços padrão de formas inesperadas. É possível optar por permitir o tráfego baseado em números de portas, em endereços do IPv4 ou IPv6, no caminho e nome de um aplicativo ou no nome de um serviço executado no computador ou, ainda, em outros critérios. • Proteção do tráfego de rede que entra no computador ou sai dele, utilizando o protocolo IPsec a fim de verificar a integridade do tráfego de rede, autenticar a identidade dos computadores ou usuários de envio e recepção e, opcionalmente, criptografar o tráfego a fim de fornecer confidencialidade. Começando com o Windows XP Service Pack 2, o Firewall do Windows foi ativado por padrão nos sistemas operacionais da Microsoft. O Windows Server “Longhorn” é o primeiro sistema operacional de servidor da Microsoft a ter o Firewall do Windows ativado por Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 133. 130padrão. Pelo fato de o Firewall do Windows estar ativado porpadrão, todo administrador de um servidor que executa o WindowsServer “Longhorn” deve estar atento a esse recurso e entendercomo o firewall deve ser configurado a fim de permitir o tráfegode rede exigido.O console Windows Firewall with Advanced Security pode sercompletamente configurado, utilizando o snap-in MMC WindowsFirewall with Advanced Security ou os comandos disponíveis nocontexto advfirewall da ferramenta de linha de comando Netsh.Tanto as ferramentas gráficas quanto as de linha de comando dãosuporte ao gerenciamento do Windows Firewall with AdvancedSecurity no computador local ou em um computador remoto queexecuta o Windows Server “Longhorn” ou Windows Vista que estejana rede. As configurações criadas com a utilização dessasferramentas podem ser implantadas nos computadores vinculados àrede, utilizando a Diretiva de Grupo.Será preciso rever esta seção sobre o Windows Firewall withAdvanced Security se você fizer parte de um dos seguintes grupos: • Planejadores e analistas de TI que estão avaliando tecnicamente o produto. • Planejadores e designers corporativos de TI. • Profissionais de TI que implantam ou administram soluções de segurança de rede em uma organização.O Windows Firewall with Advanced Security consolida duas funçõesque eram gerenciadas separadamente em versões anteriores doWindows. Além disso, a principal funcionalidade dos componentesdo IPsec e de firewall do Windows Firewall with Advanced Securityfoi aprimorada de forma significativa no Windows Vista e WindowsServer “Longhorn”.Se você criar um software projetado para ser instalado no WindowsVista ou no Windows Server “Longhorn”, será preciso ter a certezade que o firewall é configurado corretamente pela sua ferramentade instalação, criando ou ativando regras que permitam que otráfego de rede do programa passe pelo firewall. O seu programadeverá reconhecer os diferentes tipos de locais de redereconhecidos pelo Windows, domínio, privado e público, eresponder corretamente a uma alteração no tipo de local de rede.É importante lembrar que uma alteração no tipo de local de redepoderá resultar em diferentes regras de firewall sendo aplicadasno computador. Por exemplo, se você quiser que seu aplicativoseja executado somente em um ambiente seguro, como um domínio ouuma rede privada, as regras de firewall deverão evitar que o seuaplicativo envie o tráfego de rede quando o computador estiver emuma rede pública. Se o tipo de local de rede for alterado deforma inesperada durante a execução de seu aplicativo, ele deverálidar muito bem com essa situação. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 134. 131O Firewall do Windows é Ativado Por PadrãoO Firewall do Windows vem ativado por padrão nos sistemasoperacionais cliente Windows desde o Windows XP Service Pack 2,mas, o Windows Server “Longhorn” é a primeira versão de servidordo sistema operacional Windows que possui o Firewall do Windowsativado por padrão. Isso causa conseqüências sempre que umaplicativo ou serviço é instalado e deve ter permissão parareceber o tráfego de entrada não-solicitado pela rede. Muitosaplicativos antigos não são projetados para funcionar com umfirewall baseado em host e podem não operar de forma correta, amenos que sejam definidas regras que permitam que o aplicativoaceite o tráfego de entrada de rede não-solicitado. Ao instalaruma função ou recurso de servidor incluído no Windows Server“Longhorn”, o instalador irá ativar ou criar regras para garantirque a função ou recurso de servidor funcione corretamente. Paradeterminar quais configurações de firewall devem ser definidaspara um aplicativo, entre em contato com o fornecedor doaplicativo. As configurações de firewall são sempre publicadas nosite de suporte do fornecedor. Nota Um computador que executa o Windows Server 2003 e é atualizado para o Windows Server “Longhorn” mantém o mesmo estado operacional do firewall que tinha antes da atualização. Se o firewall for desabilitado antes da atualização, ele permanecerá nesse estado após a atualização. Recomendamos que você ative o firewall assim que houver a confirmação de que os aplicativos na rede funcionam com o firewall conforme configurado ou assim que as regras de firewall apropriadas forem configuradas para os aplicativos executados em seu computador.O Gerenciamento da Diretiva IPsec é SimplificadoEm versões anteriores do Windows, as implementações de isolamentode domínio ou servidor exigiam a criação de um grande número deregras IPsec para garantir que o tráfego de rede exigido estavaprotegido de forma apropriada, fazendo com que o tráfego de redeexigido não pudesse ser assegurado com o IPsec.A necessidade de um conjunto grande e complexo de regras IPsec éreduzida devido a um novo comportamento padrão para a negociaçãoIPsec que solicita , mas não exige a proteção IPsec. Ao utilizaressa configuração, o IPsec envia uma tentativa de negociaçãoIPsec e, ao mesmo tempo, envia pacotes de texto plano para ocomputador de destino. Se o computador de destino responder ànegociação e concluí-la com sucesso, a comunicação de texto planoserá interrompida, e a comunicação subseqüente será protegidapelo IPsec. Entretanto, se o computador de destino não responder Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 135. 132à negociação IPsec, a tentativa de texto plano terá permissãopara prosseguir. Em versões anteriores do Windows, era precisoaguardar três segundos após a tentativa de negociação IPsec antesde tentar a comunicação utilizando o texto plano. Isso resultavaem grandes atrasos no desempenho do tráfego, que não podia serprotegido e tinha de ser testado novamente em texto plano. Paraevitar esse atraso de desempenho, um administrador precisavacriar múltiplas regras IPsec para lidar com os diferentesrequisitos de cada tipo de tráfego de rede.Esse novo comportamento permite solicitar, mas não exigir, que aproteção IPsec realize o tráfego desprotegido, uma vez que oatraso de três segundos não é mais exigido. isso permite que vocêproteja o tráfego onde quer que ele seja exigido, sem anecessidade de criar regras que permitam explicitamente asexceções necessárias. Isso resulta em um ambiente mais seguro,menos complexo e que facilita a solução de problemas.Suporte para IP AutenticadoEm versões anteriores do Windows, o IPsec dava suporte somente aoprotocolo IKE (Internet Key Exchange) para negociar SAs (securityassociation) do IPsec. O Windows Vista e o Windows Server“Longhorn” dão suporte a uma extensão ao IKE conhecida comoAuthIP (Authenticated IP). O AuthIP fornece capacidadesadicionais de autenticação. São elas: • Suporte para os novos tipos de credenciais que não estão disponíveis no IKE isoladamente. Isso inclui: certificados de integridade fornecidos por um Health Certificate Server, o qual faz parte de uma implantação NAP (Network Access Protection; certificados baseados em usuários; credenciais de usuário Kerberos e credenciais de computador ou de usuário NTLM versão 2. Essas credenciais são adicionais para os tipos de credenciais suportados pelo IKE, como certificados baseados em computador, credenciais Kerberos para a conta de computador ou simplesmente chaves pré- compartilhadas. • Suporte para autenticação, utilizando múltiplas credenciais. Por exemplo, o IPsec pode ser configurado para exigir que tanto as credenciais do usuário quanto as do computador sejam processadas com sucesso antes que o tráfego seja permitido. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser utilizado por um usuário não-confiável.Suporte para Proteger um Membro de Domínio para o Tráfego deControlador de Domínio Utilizando o IPsecVersões anteriores do Windows não suportam a utilização do IPsecpara proteger o tráfego entre controladores de domínio e Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 136. 133computadores membro de domínio. O Windows Vista e o WindowsServer “Longhorn” são suporte à proteção do tráfego de rede entrecomputadores membro de domínio e controladores de domínio,utilizando o IPsec, enquanto permitem que um computador que não émembro de domínio passem a fazer parte de um domínio por meio dautilização do controlador de domínio protegido pelo IPsec.Suporte Aprimorado para CriptografiaA implementação do IPsec no Windows Vista e no Windows Server“Longhorn” dá suporte a algoritmos adicionais para a negociaçãode modo principal de SAs: • Curva Elíptica Diffie-Hellman P-256 (Elliptic Curve Diffie- Hellman P-256), um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 256 bits • Curva Elíptica Diffie-Hellman P-384 (Elliptic Curve Diffie- Hellman P-384), um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 384 bitsAlém disso, os seguintes métodos de criptografia que utilizam oAES (Advanced Encryption Standard) são suportados: • AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128) • AES com CBC e um tamanho de chave de 192 bits (AES 192) • AES com CBC e um tamanho de chave de 256 bits (AES 256)As Configurações Podem Ser Alteradas Dinamicamente Com Base noTipo de Local de RedeO Windows Vista e o Windows Server “Longhorn” podem notificaraplicativos, ativados para a rede, como o Windows Firewall,quanto às alterações nos tipos de local de rede disponíveis pormeio de adaptadores de rede anexados, conexões VPN e assim pordiante. O Windows dá suporte a três tipos de local de rede, e osprogramas podem utilizar esses tipos para aplicar automaticamenteo conjunto apropriado de opções de configuração. Os aplicativosdevem ser criados de forma que possam obter a vantagem desserecurso e receber notificações de alterações feitas nos tipos delocal de rede. O Windows Firewall with Advanced Security noWindows Vista e no Windows Server “Longhorn” pode fornecerdiferentes níveis de proteção com base no tipo de local de redeao qual o computador está ligado.Estes são os tipos de locais de rede: • Domínio. Este tipo de local de rede será selecionado quando computador for membro de um domínio, e o Windows irá determinar que o computador está atualmente ligado à rede que hospeda o domínio. Essa seleção é baseada na Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 137. 134 autenticação bem-sucedida com um controlador de domínio na rede. • Privado. Este tipo de local de rede pode ser selecionado para redes confiáveis pelo usuário, como uma rede doméstica ou uma rede de um pequeno escritório, por exemplo. As configurações atribuídas a este tipo de local são mais restritivas do que uma rede de domínio, pois não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. Uma rede recém detectada nunca será automaticamente atribuída ao tipo de local Privado. Um usuário deve optar explicitamente por atribuir a rede ao tipo de local Privado. • Público. Este tipo de local de rede é atribuído por padrão a todas as redes recém detectadas. As configurações atribuídas a este tipo de local são muito mais restritivas, devido aos riscos de segurança existentes em uma rede pública. NotaO recurso que permite definir o tipo de local de rede é muitoútil em computadores cliente, principalmente em computadoresportáteis, os quais são movidos de uma rede para outra. Não seespera que um servidor seja móvel. Por esse motivo, umaestratégia sugerida para um computador típico que executa oWindows Server “Longhorn” é configurar esses três perfis da mesmaforma.Integração do Firewall do Windows e do IPsec Management em umaÚnica Interface de UsuárioNo Windows Vista e no Windows Server “Longhorn”, a interface deusuário para os componentes de firewall e do IPsec é agoracombinada no snap-in MMC Windows Firewall with Advanced Securitye em comandos no contexto advfirewall da ferramenta de linha decomando Netsh. As ferramentas utilizadas no Windows XP, WindowsServer 2003 e na família Windows 2000 — o modelo administrativoWindows Firewall, as configurações de Diretiva de Grupo, o IPSecurity Policy, os snap-ins MMC do IP Security Monitor e oscontextos ipsec e firewall do comando Netsh — ainda estãodisponíveis, mas não dão suporte aos mais novos recursosincluídos no Windows Vista e no Windows Server “Longhorn”. Oícone do Windows Firewall no Painel de Controle também ainda estápresente, mas é uma interface de usuário final para gerenciar asfuncionalidades básicas do firewall e não apresenta as opçõesavançadas exigidas por um administrador.Utilizando as diversas ferramentas para o firewall e o IPsec emversões anteriores do Windows, aos administradores podem criar,acidentalmente, configurações conflitantes, como uma regra IPsecque faz com que um tipo específico de pacote de rede seja Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 138. 135interrompido, mesmo que exista uma regra de firewall parapermitir que o mesmo tipo de pacote de rede esteja presente.Isso pode resultar em cenários com problemas difíceis de seremsolucionados. Combinar as duas funções reduz a possibilidade decriar regras conflitantes e ajuda a garantir que o tráfego quevocê deseja proteger seja manipulado corretamente.Suporte Total para a Proteção de Tráfego de Rede IPv4 e IPv6Todos os recursos de firewall e do IPsec disponíveis no WindowsVista e no Windows Server “Longhorn” são utilizados para protegero tráfego de rede IPv4 e IPv6.Referências AdicionaisOs recursos a seguir fornecem informações adicionais sobre oWindows Firewall with Advanced Security e o IPsec:• Para mais informações sobre o Windows Firewall with Advanced Security, veja “Windows Firewall” (http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft TechNet.• Para mais informações sobre o IPsec, veja IPsec (http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet.• Para mais informações sobre os cenários de isolamento de servidor e domínio, veja Isolamento de Domínio e Servidor (http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft TechNet.• Para mais informações sobre o Network Access Protection, veja Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no site da Web Microsoft TechNet.• Para mais informações sobre como criar aplicativos que estejam cientes dos tipos de local de rede, consulte o Network Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft MSDN®. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 139. 1365.06 Cryptography Next Generation O CNG (Cryptography Next Generation – Criptografia de Última Geração) fornece uma plataforma de desenvolvimento criptográfico flexível que permite que profissionais de TI criem, atualizem e utilizem algoritmos de criptografia personalizados em aplicativos relacionados à criptografia, como o Active Directory® Certificate Services, o SSL e o IPsec. O CNG implementa os algoritmos de criptografia Suite B do governo dos E.U.A , os quais incluem algoritmos para criptografia, assinaturas digitais, troca de chaves e hashing. Além disso, o CNG fornece um conjunto de APIs utilizadas para: • Realizar operações básicas de criptografia, como a criação de hashes e a criptografia e descriptografia de dados. • Criar, armazenar e recuperar chaves de criptografia. • Instalar e utilizar provedores adicionais de criptografia. O CNG possui as seguintes capacidades: • O CNG permite que os clientes utilizem seus próprios algoritmos de criptografia ou implementações de algoritmos padrão de criptografia. É possível adicionar novos algoritmos. • O CNG dá suporte à criptografia no modo kernel. A mesma API é utilizada no modo kernel e no modo usuário para dar suporte total aos recursos de criptografia. O SSL/TLS e o IPsec, além dos processos de inicialização que utilizam o CNG, operam no modo kernel. • O plano para o CNG inclui a aquisição da certificação FIPS (Federal Information Processing Standards) 140-2 nível 2 juntamente com as avaliações de Critérios Comuns (Common Criteria). • O CNG atende aos requisitos do Common Criteria, utilizando e armazenando chaves de longa duração em um processo seguro. • O CNG dá suporte ao conjunto atual de algoritmos CryptoAPI 1.0. • O CNG fornece suporte aos algoritmos ECC (elliptic curve cryptography - criptografia de curva elíptica). Um grande número de algoritmos ECC é exigido pelo Suite B do governo dos Estados Unidos. • Qualquer computador com um TPM (Trusted Platform Module - módulo de plataforma confiável) poderá fornecer isolamento e armazenamento de chave no TPM. O CNG aplica à PKI (public key infrastructure) implantações que exigem a utilização dos algoritmos Suite B e que não precisam Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 140. 137estar integrados às CAs (certification authorities) que não dãosuporte aos algoritmos Suite B, como as CAs instaladas emservidores que executam o Windows Server 2003 e o Windows 2000Server.Para utilizar os novos algoritmos de criptografia, a CA e osaplicativos deverão dar suporte ao ECC (ou a qualquer outro novoalgoritmo implementado no CNG). Embora a CA precise emitir egerenciar estes novos tipos de certificado, os aplicativos devemser capazes de lidar com a validação da cadeia de certificados eutilizar as chaves geradas com os algoritmos Suite B.Os algoritmos Suite B, como o ECC, são suportados somente noWindows Vista e no Windows Server “Longhorn”. Isso significa quenão é possível utilizar esses certificados em versões anterioresdo Windows, como Windows XP ou Windows Server 2003. Entretanto, épossível utilizar os algoritmos clássicos, como o RSA (Rivest-Shamir-Adleman) mesmo se as chaves tiverem sido gerada com umprovedor de chaves CNG.Os clientes que executam o Windows Vista ou o Windows Server“Longhorn” podem utilizar tanto o CryptoAPI 1.0 quanto a novaAPI CNG, pois ambas as APIs podem ser executadas lado a lado. Noentanto, aplicativos, como o SSL, IPsec, S/MIME(Secure/Multipurpose Internet Mail Extensions) e o Kerberos,devem ser atualizados a fim de utilizar os algoritmos Suite B.ImplantaçãoNão implante certificados com algoritmos Suite B antes deverificar os seguintes requisitos: • Antes de emitir certificados que utilizem algoritmos, tais como o ECC, verifique se suas CAs e seu sistema operacional dão suporte a esses algoritmos. • Verifique se os aplicativos ativados para a PKI de sua organização podem utilizar certificados que confiam em provedores de criptografia CNG. • Caso sua organização utilize certificados para suportar o logon de smart card, entre em contato com o fornecedor de seu smart card e veja se os smart cards que ele fornece podem lidar com algoritmos CNG.No Windows Vista e no Windows Server “Longhorn”, os seguintesaplicativos ativados para certificados podem lidar comcertificados que utilizam algoritmos de criptografia registradosno provedor CNG. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 141. 138 Aplicativos Ativados para CertificadosNome do Aplicativo Verifica uma cadeia de Utiliza algoritmos que não são suportados pelo certificados que CryptoAPI contém certificados com algoritmos registrados em um provedor CNGEFS (Sistema de Sim NãoArquivosCriptografado)IPsec Sim SimKerberos Não NãoS/MIME Outlook® 2003: não Outlook 2003: não Outlook 2007: sim Outlook 2007: simlogon via cartão Não NãointeligenteSSL Sim SimSem fio Sim Sim Para utilizar os algoritmos para as operações de criptografia, primeiro, você precisa de uma CA baseada no Windows Server “Longhorn” para emitir certificados ativados para o Suite B. Caso você ainda não possua uma PKI, será possível configurar uma CA baseada no Windows Server “Longhorn” em que os certificados da CA e os certificados da entidade final utilizem algoritmos Suite B. Entretanto, ainda será preciso verificar se todos os seus aplicativos estão preparados para os algoritmos Suite B e se podem dar suporte a esses certificados. Caso você já possua uma PKI com CAs sendo executadas no Windows Server 2003 ou na qual algoritmos clássicos estão sendo utilizados para dar suporte aos aplicativos existentes, será possível adicionar uma CA subordinada em um servidor que executa o Windows Server “Longhorn”. No entanto, você deverá continuar utilizando os algoritmos clássicos. Para inserir os algoritmos Suite B em um ambiente existente, no qual são utilizados os algoritmos clássicos, será preciso considerar a inserção de uma PKI secundária e a realização de uma certificação cruzada entre as duas hierarquias de CA. Para mais informações sobre o CNG, veja API de Criptografia: Última Geração (http://go.microsoft.com/fwlink/?LinkID=74141). Para mais informações sobre o Suite B, veja Criptografia Suite B NSA (NSA Suite B Cryptography Fact Sheet) (http://go.microsoft.com/fwlink/?LinkId=76618). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 142. 1395.07 Serviços de Certificado do Active Directory Os Serviços de Certificado do Active Directory fornece serviços personalizáveis para criar e gerenciar certificados de chave pública utilizados em sistemas de segurança de software que utilizam tecnologias de chave pública. As organizações podem utilizar os Serviços de Certificado do Active Directory para aprimorar a segurança, unindo a identidade de uma pessoa, dispositivo ou serviço a uma chave privada correspondente. Os Serviços de Certificado do Active Directory também inclui recursos que permitem gerenciar o registro e a revogação de certificados em diversos ambientes escalonáveis. Os seguintes tópicos descrevem as alterações na funcionalidade dos Serviços de Certificado do Active Directory disponível neste lançamento: • Serviços de Certificado do Active Directory: Registro Web • Serviços de Certificado do Active Directory: Configurações de Diretivas • Serviços de Certificado do Active Directory: Serviço de Registro de Dispositivo de Rede • Serviços de Certificado do Active Directory: PKI Corporativo(PKIView) • Serviços de Certificado do Active Directory: Suporte ao Protocolo de Status de Certificado Online Serviços de Certificado do Active Directory: Registro Web Um grande número de alterações foi feito ao suporte de registro Web de certificados no Windows Server “Longhorn”. Essas alterações resultam da exclusão do controle anterior de registro ActiveX® do Windows Vista e do Windows Server “Longhorn”e sua substituição pelo controle de registros COM. As seções a seguir descrevem essas alterações e suas respectivas implicações. O registro Web de certificados está disponível desde sua inclusão nos sistemas operacionais Windows 2000. Ele é projetado para fornecer um mecanismo de ambiente para as organizações que precisam emitir e renovar certificados para usuários e computadores que não fazem parte de um domínio ou que não está conectados diretamente à rede e para usuários de sistemas operacionais não-Microsoft. Em vez de confiar no mecanismo de registro automático de uma CA ou utilizar o Certificate Request Wizard, o suporte de registro Web fornecido por uma CA baseada no em Windows permite que esses usuários solicitem e obtenham certificados novos e renovados por uma conexão da Internet ou da intranet. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 143. 140Esse recurso é indicado para organizações que possuem PKIs comuma ou mais CAs que executam o Windows Server “Longhorn” eclientes que executam o Windows Vista e que desejam fornecer aosusuários a capacidade de obter novos certificados ou renovar osexistentes, utilizando páginas da Web.Adicionar suporte para páginas de registro Web pode aprimorar, deforma significativa, a flexibilidade e a escalabilidade da PKI deuma organização; portanto, esse recursos será de interesse de: • Arquitetos de PKI • Planejadores de PKI • Administradores de PKIO controle de registro anterior, o XEnroll.dll, foi removido doWindows Vista e do Windows Server “Longhorn”, e um novo controlede registro, o CertEnroll.dll, foi inserido. Embora o processo deregistro Web ocorra essencialmente como para o Windows 2000,Windows XP e Windows Server 2003, essa alteração nos controles deregistro poderá impactar na compatibilidade quando usuários ecomputadores que executam o Windows Vista ou o Windows Server“Longhorn” tentarem solicitar um certificado, utilizando páginasde registro Web instaladas nessas versões anteriores do Windows.O XEnroll.dll está sendo retirado pelas seguintes razões: • O XEnroll.dll é um controle de legado criado há alguns anos e não é considerado tão seguro quanto os controles criados recentemente. • O XEnroll.dll possui uma interface monolítica que expõe diversos conjuntos de funcionalidades. Ele possui mais de 100 métodos e propriedades. Esses métodos e propriedades foram inseridos com o passar dos anos, e chamar uma função pode alterar o comportamento de outra função, o que dificulta os processos de teste e manutenção. Nota O XEnroll.dll pode continuar a ser utilizado para o registro Web em computadores que executam o Windows 2000, Windows XP e Windows Server 2003. Por outro lado, o CertEnroll.dll foi criado para ser mais seguro, mais fácil de ser preparado e atualizado do que o XEnroll.dll.As CAs do Windows Server “Longhorn” continuarão a dar suporte àssolicitações de registro Web de certificados a provenientes deusuários em clientes Windows XP e Windows Server 2003. Se vocêregistra certificados por meio das páginas de registro Web doWindows Server “Longhorn” a partir de um computador baseado noWindows XP, Windows Server 2003 ou Windows 2000, as páginas deregistro Web irão detectar esse fato e utilizarão o controleXenroll.dll instalado localmente no cliente. Entretanto, algunscomportamentos do cliente serão diferentes daqueles das versõesanteriores do Windows. São eles: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 144. 141 • A capacidade de agente de registro (também conhecida como a estação de registro de smart card) foi removida do registro Web no Windows Server “Longhorn”, pois o Windows Vista fornece sua própria capacidade de agente de registro. Se houver a necessidade de efetuar o registro em nome de outro cliente com um registro Web do Windows Server “Longhorn”, você deverá utilizar computadores que executem o Windows Vista como estações de registro. De forma alternativa, você poderá utilizar um servidor baseado no Windows Server 2003 com o registro Web instalado e utilizar o servidor como um agente de registro a fim de registrar certificados por meio de uma CA do Windows Server “Longhorn”. • Somente os usuários do Internet Explorer® versão 6.x ou Netscape 8.1 Browser poderão enviar solicitações de certificado diretamente por meio das páginas de registro Web. Usuários de outros navegadores da Web ainda poderão enviar solicitações de registro, utilizando as páginas de registro Web, mas, primeiramente, deverão gerar previamente uma solicitação PKCS#10 para ser enviada por meio das páginas de registro Web. • O registro de Web de certificados não pode ser utilizado com os templates de certificado versão 3,0 (os quais estão sendo apresentados no Windows Server “Longhorn” para o suporte à emissão de certificados em conformidade com o Suite B). • O Internet Explorer não pode ser utilizado no contexto de segurança de computadores locais; portanto, os usuários não podem mais solicitar certificados de computador com a utilização do registro Web. • No Windows Server “Longhorn” Beta 2, o suporte de registro Web está disponível somente nas edições dos idiomas alemão e inglês dos EUA O suporte de registro Web estará disponível em todas as versões de idiomas do produto final do Windows Server “Longhorn”.A configuração que deve ser feita para o suporte de registro Webde certificados é, simplesmente, adicionar o serviço de função àfunção de servidor.Se o suporte de registro Web estiver instalado no mesmocomputador que a CA, não será exigida nenhuma configuraçãoadicional.Se o serviço de função de registro Web e a CA estivereminstalados em computadores diferentes,será preciso identificar aCA como parte da instalação do registro Web.Após a instalação do serviço de função de registro Web, um novosite chamado “CertSrv” estará disponível por meio do IIS. Nota Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 145. 142 No Windows Server “Longhorn” Beta 2, o arquivo utilizado pelo suporte de registro Web para encontrar a CA está localizado no diretório de linguagem específica, como %SYSTEMROOT%system32certsrv[language]certdat.inc. Esse arquivo passará a ser um arquivo de configuração global que define a configuração para todos os pacotes de idioma instalados para o registro Web. Se você possuir diversos pacotes de idioma instalados em um servidor IIS, todos os arquivos certdat.inc nos subdiretórios de linguagem específica deverão ser idênticos.As páginas de registro Web não-Microsoft sofrerão um grandeimpacto, pois o controle XEnroll.dll não está disponível noWindows Server “Longhorn” e no Windows Vista. Os administradoresdessas CAs terão de criar soluções alternativas para o suporte àemissão de certificados e a renovação para clientes que utilizamo Windows Server “Longhorn” e o Windows Vista, enquanto continuamutilizando o Xenroll.dll para versões anteriores do Windows.Os administradores também precisam planejar a configuraçãoapropriada de seus servidores que executam o IIS. O IIS pode serexecutado somente nos modos de 64 ou 32 bits. Se você instalar oIIS em um servidor que executa a versão de 64 bits do WindowsServer “Longhorn”, você não deverá instalar nenhum aplicativo Webde 32 bits, como o WSUS, nesse computador. Caso contrário,instalação do serviço de função de registro irá falhar.Serviços de Certificado do Active Directory:Configurações de DiretivasAs configurações de certificado na Diretiva de Grupo do WindowsServer “Longhorn” permitem que os administradores gerenciemconfigurações de validação de certificado de acordo com asnecessidades de segurança da organização.As configurações de certificado na Diretiva de Grupo permite queos administradores gerenciem as configurações de certificado emtodos os computadores do domínio a partir de um local central.Definir as configurações utilizando a Diretiva de Grupo poderácausar alterações em todo o domínio.Por exemplo, em situações em que determinados certificados de CAexpiram e os clientes não conseguem recuperar automaticamente umnovo certificado, os administradores poderão implantar essescertificados para os computadores cliente por meio da Diretiva deGrupo.Outro cenário é quando os administradores desejam garantir que osusuários nunca irão instalar aplicativos assinados comcertificados de publicação não aprovada. Eles poderão configurartimeouts de rede para um melhor controle dos timeouts deconstrução em cadeia para grandes CRLs (certification revocationlists - listas de revogação de certificação). Além disso, osadministradores poderão utilizar as configurações de revogação Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 146. 143para estender os tempos de expiração das CRLs caso um atraso napublicação de uma nova CRL afete os aplicativos.Esse recurso aplica-se às organizações que possuem PKIs com umaou mais CAs baseadas no Windows e utilizam Diretiva de Grupo paragerenciar computadores cliente.Utilizar as configurações de validação de certificado na Diretivade Grupo poderá aprimorar, de forma significativa, a capacidadede: • Arquitetos de segurança aprimorarem a utilização da relação de confiança baseada em certificados. • Administradores de segurança gerenciarem aplicativos ativados para a PKI em seus ambientes.Pelo fato de as infra-estruturas de chave pública X.509 terem setornado mais amplamente utilizadas como uma base de confiança,muitas organizações precisam de mais opções para gerenciar adescoberta de caminho de certificados e a validação de caminhos.Versões anteriores dos sistemas operacionais Windows possuíampoucas configurações para implementar esse tipo de controle.As configurações de Diretiva de Grupo relacionadas a certificadospodem ser encontradas no Group Policy Object Editor, emConfiguração do ComputadorConfigurações do WindowsConfiguraçõesde SegurançaDiretivas de Chave Pública. As seguintes opções dediretiva podem ser gerenciadas em guias separadas na página depropriedades Certificate Path Validation Settings: • Stores (Armazenamentos) • Trusted Publishers (Editores Confiáveis) • Network Retrieval (Recuperação de Rede) • Revocation (Revogação)Além disso, quatro novos armazenamentos de diretiva foramadicionados em Diretivas de Chave Pública (Public Key Policies)para serem utilizados na distribuição de diferentes tipos decertificados para os clientes: • Intermediate Certification Authorities (Autoridades Intermediárias de Certificação) • Trusted Publishers (Editores Confiáveis) • Untrusted Certificates (Certificados Não-Confiáveis) • Trusted People (Pessoas Confiáveis)Esses novos armazenamentos são uma adição aos armazenamentosEnterprise Trust (Relação de confiança Corporativa) e TrustedRoot Certification Authorities (Autoridades de Certificação deRaiz Confiável) disponíveis no Windows Server 2003.Essas configurações de validação de caminho e armazenamentos decertificados podem ser utilizadas para realizar as seguintestarefas: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 147. 144 • Gerenciar armazenamentos de certificado peer trust e trusted root. • Gerenciar editores confiáveis. • Bloquear certificados que não sejam confiáveis de acordo com a diretiva. • Gerenciar a recuperação de dados relacionados a certificados. • Gerenciar períodos de expiração para CRLs e respostas OCSP (online certificate status protocol). • Implantar certificados.Gerenciar Armazenamentos de Certificado Peer Trust e Trusted RootUtilizando a guia Stores na caixa de diálogo Certificate PathValidation Settings, os administradores podem regular acapacidade de os usuários gerenciarem seus próprios certificadostrusted root e peer trust. Este controle pode ser implementadopara que os usuários não tenham permissão para tomar quaisquerdecisões quanto à relação de confianças de ponto ou raiz (root orpeer trust). Além disso, ele pode ser utilizado para controlarquantos propósitos de certificado específicos, como assinatura ecriptografia, os usuários podem gerenciar por relação deconfiança entre iguais (peer trust).A guia Stores também permite que os administradores especifiquemse os usuários em um computador ligado a um domínio poderãoconfiar somente em CAs de raiz corporativa ou em CAs de raiz não-Microsoft de raiz corporativa.Se, por um lado, um administrador precisa distribuir certificadosselecionados de raiz confiável, para computadores no domínio,esses certificados serão propagados para o armazenamento decertificado apropriado na próxima vez em que a diretiva dedomínio for restaurada.Devido à crescente variedade de certificados em uso nos dias dehoje e à grande importância das decisões a serem tomadas quantoao fato de reconhecer ou não esses certificados, algumasorganizações podem desejar gerenciar a relação de confiança decertificados e evitar que os usuários no domínio configurem seupróprio conjunto de certificados de raiz confiável.Utilizar as configurações de Diretiva de Grupo relacionadas àrelação de confiança de certificados exige um planejamentocuidadoso a fim de determinar as necessidades de certificado deusuários e computadores em sua organização, além de terminar comoesses certificados deverão ser controlados. Você pode conseguirfornecer as usuários maior tolerância se combinar a utilizaçãodessas configurações com um treinamento claro e eficiente deforma que os usuários entendam a importância dos certificados, osriscos de um mau gerenciamento de certificados e como eles devemgerenciar seus certificados com responsabilidade. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 148. 145Gerenciar Editores ConfiáveisAs opções de diretiva encontradas na guia Trusted Publishers dacaixa de diálogo Configurações de Validação de Caminho permitemque os administradores controlem quais certificados podem seraceitos quando vierem de um editor confiável.A assinatura de software tem sido utilizada por um númerocrescente de editores de software e desenvolvedores deaplicativos a fim de verificar se seus aplicativos sãoprovenientes de uma fonte confiável. No entanto, muitos usuáriosnão compreendem os certificados de assinatura associados aosaplicativos que instalam ou sequer dão atenção a esse fato.Especificar opções de diretiva de publicação confiáveis por todaa organização permite que as organizações decidam de oscertificados Authenticode® podem ser gerenciados pelos usuários eadministradores ou se apenas pelos administradores corporativos.Além disso, esta seção da diretiva de validação de caminho podeexigir que as verificações de revogação adicional e o time stampsejam realizados antes que um certificado de publicação confiávelseja aceito.Utilizar as configurações de Diretiva de Grupo relacionadas àrelação de confiança de certificados exige um planejamentocuidadoso a fim de determinar as necessidades de certificado deusuários e computadores em sua organização, além de determinarcomo esses certificados deverão ser controlados. Você podeconseguir fornecer aos usuários maior tolerância se combinar autilização dessas configurações com um treinamento claro eeficiente de forma que os usuários entendam a importância doscertificados, os riscos de um mau gerenciamento de certificados ecomo eles devem gerenciar seus certificados com responsabilidade.Bloquear Certificados Que Não Sejam Confiáveis de Acordo Com aDiretiva.É possível evitar que determinados certificados sejam utilizadosem sua organização, adicionando-os no armazenamento UntrustedCertificates (Certificados Não-Confiáveis).Pelo fato de os administradores serem responsáveis pela prevençãoda entrada de vírus e outros softwares maliciosos em seusambientes, no futuro, eles poderão desejar bloquear a utilizaçãode determinados certificados. Um certificado emitido por suaprópria CA pode ser revogado, sendo adicionado a uma lista derevogação de certificados. Não é possível revogar certificadosemitidos por CAs externas. Entretanto, é possível proibir essescertificados não-confiáveis, adicionando-os no armazenamentoUntrusted Certificates. Esses certificados serão copiados para oarmazenamento Untrusted Certificates de cada computador clienteno domínio na próxima vez em que a Diretiva de Grupo forrestaurada. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 149. 146Utilizar as configurações de Diretiva de Grupo relacionadas àrelação de confiança de certificados exige um planejamentocuidadoso a fim de determinar as necessidades de certificado deusuários e computadores em sua organização, além de terminar comoesses certificados deverão ser controlados. Você pode conseguirfornecer aos usuários maior tolerância se combinar a utilizaçãodessas configurações com um treinamento claro e eficiente deforma que os usuários entendam a importância dos certificados, osriscos de um mau gerenciamento de certificados e como eles devemgerenciar seus certificados com responsabilidade.Gerenciar a Recuperação de Dados Relacionados a Certificados.As CRLs podem tornar-se muito grandes e, conseqüentemente,falharem no processo de download, pois o processo é mais demoradodo que o timeout padrão de 15 segundos. As opções encontradas naguia Network Retrieval da caixa de diálogo Configurações deValidação de Caminho permitem que os administradores modifiquemos timeouts de recuperação padrão a fim de resolver esseproblema.Além disso, as configurações de validação de caminho e derecuperação de rede permitem que os administradores: • Atualizem certificados automaticamente no Microsoft Root Certificate Program. • Configurem valores de timeout de recuperação para as CRLS e a validação de caminho (valores padrão maiores poderão ser úteis se as condições de rede não forem ótimas). • Ativem a recuperação de certificados do emissor durante a validação de caminho. • Definam a freqüência de realização do download de certificados cruzados.Para melhor eficiência, dados relacionados aos certificados, comocertificados de raiz confiável e listas de revogação decertificados, deverão ser atualizados adequadamente. No entanto,as condições de rede nem sempre são ótimas, como para usuáriosremotos ou escritórios de filiais. Essas configurações deDiretiva de Grupo permitem que você garanta que os dadosrelacionados aos certificados sejam atualizados mesmo quando ascondições de rede forem inferiores ao estado otimizado.Ao preparar-se para esta alteração, determine se as condições derede impactam nos tempos de download das CRLs.Gerenciar Períodos de Expiração para CRLs e Respostas OCSPA revogação de um certificado anula um certificado como umacredencial de segurança confiável antes da expiração natural deseu período de validade. Um PKI depende da verificaçãodistribuída das credenciais, em que não há necessidade de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 150. 147comunicação direta com a entidade confiável principal que atestaas credenciais.Para o suporte eficiente da revogação de certificados, o clientedeve determinar se o certificado é válido ou se ele foi revogado.Para dar suporte a uma variedade de cenários, os Serviços deCertificado do Active Directory tem suporte para os métodos depadrão industrial de revogação de certificados.Isso inclui a publicação de CRLs e CRLs em diversos locais paraserem acessadas pelos clientes, incluindo os Serviços de Domíniodo Active Directory, servidores Web e compartilhamentos dearquivos de rede. No Windows, os dados de revogação podem serdisponibilizados em diversas configurações por meio das respostasOCSP.As condições de rede podem evitar que as CRLs mais recentes sejampublicadas, o que poderá fazer com que todos as validações dacadeia de certificados falhem. Estender o tempo de expiração daCRL existente e da resposta OCSP pode prevenir que isso ocorra.Utilizar configurações de Diretiva de Grupo relacionadas aosdados de revogação de certificados exige um planejamentocuidadoso para determinar o equilíbrio apropriado entre a adesãorigorosa ao cronograma de publicação de CRL padrão e asconseqüências potenciais de estender o período de validade da CRLcaso uma CRL atualizada não esteja disponível.Implantando CertificadosOs certificados de usuário e computador podem ser implantados,usando-se diversos mecanismos, incluindo o registro automático, oAssistente para Requisição de Certificado e o registro na Web.Mas implantar outros tipos de certificados em uma grandequantidade de computadores pode ser algo desafiador. No WindowsServer 2003, era possível distribuir um certificado CA de raizconfiável e certificados corporativos de confiança usando aDiretiva de Grupo. No Windows Server “Longhorn”, todos os tiposde certificados que seguem podem ser distribuídos, quando sãoarmazenados adequadamente na Diretiva de Grupo: • Certificados CA de raiz confiáveis • Certificados corporativos de confiança • Certificados CA Intermediários • Certificados confiáveis do editor • Certificados não-confiáveis • Pessoas confiáveis (para os certificados de confiança)A variedade crescente dos certificados e a sua utilização exigeque os administradores tenham meios eficientes para distribuí-losa usuários e computadores em suas organizações. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 151. 148Usar configurações de Diretiva de Grupo relacionadas à relação deconfiança requer um planejamento cauteloso para determinar asnecessidades de usuários e computadores em sua organização, alémda quantidade de controle que eles devem ter sobre essescertificados. Você deve ter a capacidade de fornecer o livrearbítrio aos usuários, se combinar o uso dessas configurações comum treinamento claro e efetivo, a fim de que os usuários entendama importância dos certificados, os riscos de um gerenciamentofraco de certificados e a maneira de gerenciá-los de formaresponsável.Você deve ser membro do grupo de Administradores de Domínio paraconfigurar a Diretiva de Grupo neste domínio.Serviços de Certificado do Active Directory:Network Device Enrollment ServiceO Network Device Enrollment Service (NDES) é a implementação daMicrosoft para o certificado Enrollment Protocol (SCEP), umprotocolo de comunicação que possibilita que o software sejaexecutado em dispositivos de rede, como roteadores ealternadores, que, por sua vez, não podem ser autenticados narede, para registrar certificados de x509 a partir do CA.O NDES opera como um filtro da Interface de Programação deAplicação para o Servidor da Internet (ISAPI) no IIS quedesempenha as seguintes funções: • Gerar e fornecer senhas únicas de registro aos administradores • Receber e processar requisições de registro SCEP em nome de softwares executados nos dispositivos de rede • Recuperar requisições pendentes do CA.Este recurso aplica-se às organizações que têm PKIs com um oumais CAs do Windows Server “Longhorn” CAs e que desejam aprimorara segurança das comunicações, usando o IPsec com dispositivos derede, como os roteadores e alternadores.Adicionar suporte ao NDES pode aprimorar, de forma significativa,a flexibilidade e escalabilidade do PKI de uma organização;portanto, este recurso pode interessar os arquitetos de PKI,planejadores e administradores.As organizações e os profissionais interessados nos NDES podemquerer saber mais sobre as especificações de SCEP em que ele sebaseia.O SCEP foi desenvolvido pela Cisco Systems Inc. como extensão aosjá existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padrões,para permitir o registro de dispositivo de rede e certificado daaplicação com os CAs.No Windows Server 2003, o Microsoft SCEP (MSCEP) era umsuplemento do Windows Server 2003 Resource Kit que precisava ser Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 152. 149instalado no mesmo computador que o CA. No Windows Server“Longhorn,” o suporte do MSCEP foi renomeado para NDES e fazparte do sistema operacional, podendo ser instalado em umcomputador diferente do CA.A extensão do NDES ao IIS utiliza o registro para armazenarconfigurações de configurações. Todas as configurações sãoarmazenadas sob a chave do Registro:HKEY_LOCAL_ROOTSoftwareMicrosoftCryptographyMSCEPA tabela que segue define as chaves de registro usadas paraconfigurar o MSCEP:Chaves do Registro em MSCEP Nome da Configuração Opcional Valor Valores Possíveis PadrãoAtualização Não 7 Quantidade de dias em que as requisições pendentes são mantidas no banco de dados NDESP.Aplicar Senha Não 1 Define se as senhas são exigidas para requisições de registro. O valor 1 significa que o NDES requer uma senha para requisições de registro. O valor 0 (zero) significa as senhas não requeridas.PasswordMax Não 5 Quantidade máxima de senhas disponíveis que podem ser armazenadas. Nota: Nas versões anteriores, o padrão era 1.000.PasswordValidity Não 60 Quantidade de minutos em que uma senha é válida.PasswordVDir Sim O nome do diretório virtual pode ser usado para as requisições de senha. Se definido, o NDES aceita requisições de senha apenas do diretório virtual estabelecido. Se o valor está vazio ou não configurado, o NDES aceita as requisições de senha de qualquer diretório virtual.CacheRequest Não 20 Quantidade de minutos em que os certificados emitidos são mantidos no banco de dados SCEP.CAType Não Baseado Identifica o tipo de CA ao qual o na NDES está ligado. O valor 1 significa configur que é um CA corporativa; o valor 0 ação significa que é um CA autônomo.SigningTemplate Sim Não Se a chave estiver definida, o NDES definido usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar o certificado.EncryptionTemplate Sim Não Se a chave estiver definida, o NDES definido usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para um certificado de criptografia.SigningAndEncryptionTem Sim Não Se a chave estiver definida, o NDESplate definido usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar e criptografar Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 153. 150 um certificado, ou quando a requisição não inclui uma utilização estendida da chave.Antes de instalar o NDES, decida o seguinte: • Se usar uma conta de usuário dedicada para o serviço ou usar a conta do Network Service • O nome da autoridade de registro (RA) do NDES e qual país/região usar. As informações são incluídas em qualquer certificado MSCEP emitido • O provedor de serviço criptográfico (CSP) para usar na chave de assinatura usada para criptografar a comunicação entre o CA e a RA • O CSP a ser usado para a chave de criptografia usada para criptografar a comunicação entre a RA e o dispositivo de rede • A extensão de cada chaveAlém disso, você precisa criar e configurar modelos decertificado usados juntamente com o NDES.Instalar o NDES em um computador cria uma nova RA e excluiquaisquer certificados RA pré-existentes no computador. Portanto,se você planeja instalar o NDES em um computador em que outra RAtenha sido configurada, quaisquer requisições pendentes decertificado devem ser processadas e todos os certificados nãodeclarados devem ser antes de o NDES ser instalado.Serviços de Certificado do Active Directory:PKI CorporativoMonitorar e ajustar a integridade de múltiplos CAs para ahierarquia de PKI corporativo, nos Serviços de Certificado doActive Directory, são tarefas administrativas essenciaissimplificadas pelo PKI Corporativo (PKIView). Originalmente partedo Microsoft Windows Server 2003 Resource Kit, chamado deferramenta PKI Health, o PKIView é agora um snap-in de MMC doWindows Server “Longhorn.” Como ele faz parte do sistemaoperacional núcleo do Windows Server “Longhorn,” você pode usá-lodepois da instalação do servidor, apenas adicionando-o ao MMC.Ele então se torna disponível para analisar o estado deintegridade dos CAs e para ver detalhes dos certificados de CApublicados nos Serviços de Certificados do Active Directory.O PKIView fornece uma visualização do status do seu ambiente PKIda rede. Ter uma visão de todos os CAs e de seus estados permiteque os administradores gerenciem as hierarquias de CA esolucionem problemas de possíveis erros, de forma fácil eefetiva. Mais especificamente, o PKIView indica a validade ouacessibilidade dos locais de acesso às informações de autoridade(AIA) e dos pontos de distribuição de CRL (CDP). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 154. 151 Para cada CA selecionado, o PKIView indica o estado de integridade do CA em árvore, como segue: Estados de integridade do CA Indicador Estado do CAPonto de Interrogação Avaliação do estado de integridade do CAIndicador verde CA sem nenhum problemaIndicador amarelo CA com problema não-críticoIndicador vermelho CA com problema críticoCruz vermelha sobre o CA está offlineícone do CA Ao adicionar um snap-in do PKIView ao MMC, você vê três painéis: • Árvore. Este painel exibe uma representação em árvore da sua hierarquia de PKI corporativo. Cada nó abaixo de Enterprise PKI representa um CA com outros CAs atuando como nós filhos. • Resultados. Para o CA selecionado na árvore, este painel exibe uma lista de CAs subordinados, certificados de CA, pontos de distribuição CRL (CDPs) e locais AIA. Se a raiz do console for selecionada na árvore, o painel de resultados exibe todos os CAs da raiz. Há três colunas no painel de resultados: o Nome. Se o nó Enterprise PKI é selecionado, os nomes dos CAs raiz, abaixo do primeiro, são exibidos. Se um CA ou um CA filho for selecionado, então os nomes dos certificados de CA, locais AIA e CDPs são exibidos. o Status. Breve descrição do status do CA (também indicado na árvore pelo ícone associado ao CA selecionado) ou o status dos Certificados de CA, locais AIA ou CDPs (indicado pelas descrições em texto do status, exemplos dos quais são OK e Não é possível fazer o Download). o Local. Os locais AIA e os CDPs (protocolo e caminho) para cada certificado. Alguns exemplos são file://, HTTP:// e LDAP://. • Ações. Este painel fornece a mesma funcionalidade encontrada nos menus Ações, Exibir e Ajuda. Dependendo do item selecionado tanto na árvore como no painel de resultados, você pode visualizar mais detalhes sobre os CAs e certificados de CA, incluindo informações de AIA e CRL no painel de ações. Você também pode gerenciar a estrutura do PKI corporativo e fazer correções ou alterações nos certificados de CA ou CRLs. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 155. 152Você pode usar o PKIView em uma rede corporativa que utilize osServiços de Certificado do Active Directory e contenha um ou maisCAs, geralmente com mais de uma hierarquia de PKI.Os usuários mais avançados de PKIView incluem administradores eprofissionais de TI familiarizados com o monitoramento daintegridade do CA e a resolução de problemas no ambiente de rededos Serviços de Certificado do Active Directory.Você pode usar o PKIView apenas no ambiente dos Serviços deCertificado do Active Directory.O PKIView agora suporta a codificação de caracteres Unicode.Suporte a Caracteres UnicodeO PKIView fornece suporte completo para caracteres Unicode,juntamente com a codificação do PrintableString. Usar acodificação de caracteres Unicode permite que você apresentetextos e símbolos de todos os idiomas. A codificação Unicode usaum esquema de Formato de Transformação Unicode (UTF-8) queatribui dois bytes para cada caractere. É possível um total de65.536 combinações. Em contrapartida, a codificaçãoPrintableString permite que você use apenas um simples sub-conjunto de caracteres ASCII. Esses caracteres são de A-Z a-z 0-9(espaço) () + , . / : = ?.Serviços de Certificado do Active Directory:Suporte ao Protocolo de Status do CertificadoOnlineCancelar um certificado é uma parte necessária do processo degerenciar certificados emitidos por CAs. Os meios mais comuns decomunicar um status do certificado é distribuindo CRLs. Nasinfra-estruturas de chave pública do Windows Server “Longhorn”,em que o uso de CRLs convencionais não é a melhor solução, umOnline Responder, baseado no OCSP, pode ser usado para gerenciare distribuir as informações de status da revogação.O uso dos Online Responders que distribuem respostas de OCSP,junto com o uso dos CRLs, é um dos dois métodos mais comuns paratransmitir informações sobre a validade dos certificados.Diferente dos CRLs, distribuídos periodicamente, com informaçõessobre todos os certificados que foram cancelados ou suspensos, umOnline Responder recebe e responde apenas as requisições declientes que pedem informações sobre o status de um únicocertificado. A quantidade de dados recuperados por requisiçãopermanece constante, independente de quantos certificadoscancelados possam haver.Em muitos casos, os Online Responders podem processar requisiçõesde status do certificado de forma mais eficiente do que usandolistas de revogação de certificado. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 156. 153 • Os clientes se conectam remotamente à rede e não precisam, ou não têm, conexões de alta velocidade para o download de grandes CRLs. • Uma rede precisa controlar altos picos de atividade de verificação de revogação, como quando grande número de usuários efetua login ou envia um e-mail assinado ao mesmo tempo. • Uma organização precisa de meios eficientes para distribuir os dados de revogação para certificados emitidos por um CA que não seja Microsoft. • Uma organização deseja fornecer apenas os dados de revogação necessários para verificar as requisições individuais do status do certificado, e não só tornar disponíveis as informações sobre todos os certificados cancelados ou suspensos.Este recurso aplica-se a organizações que têm PKIs com um ou maisCAs do Windows.Adicionar um ou mais Online Responders pode aprimorar, de formasignificativa, a flexibilidade e escalabilidade do PKI de umaorganização; portanto, este recurso pode interessar os arquitetosde PKI, planejadores e administradores.Para instalar um Online Responder, você deve ser administrador docomputador em que ele está instalado.Os Online Responders, no Windows Server “Longhorn”, incluem osseguintes recursos. • Caching do proxy da Web. O armazenamento do proxy da Web do Online Responder é a interface de serviços para o Online Responder. Ele é implementado como uma extensão ISAPI hospedada pelo IIS. • Suporte a requisições únicas ou contínuas. As opções de configuração para requisição única ou contínua podem ser usadas para prevenir ataques freqüentes de respostas do Online Responder. • Integração de configuração do Windows. Um Online Responder pode ser configurado, usando-se a Ferramenta de Gerenciamento de Funções do Windows Server. • Suporte avançado à criptografia. Um Online Responder pode ser configurado para usar uma criptografia de curva elíptica (ECC) e SHA-256 para operações criptográficas. • Modelos pré-configurados de certificados de assinatura OCSP. A implantação de um Online Responder é simplificado pelo uso de um modelo de certificado de assinatura OCSP, disponível no Windows Server “Longhorn.” • Integração do protocolo Kerberos. As requisições e respostas do Online Responder podem ser processadas junto Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 157. 154 com a autenticação de senha do para uma validação imediata dos certificados de servidor ao efetuar login.Os Microsoft Online Responders são baseados no RFC 2560 para OCSPe estão em conformidade com eles. Por essa razão, as respostasquanto ao status do certificado dos Online Responders sãogeralmente referidas como respostas OCSP. Para mais informaçõessobre o RFC 2560, visite o site do Internet Engineering TaskForce em (http://go.microsoft.com/fwlink/?LinkId=67082).Dois novos conjuntos de funcionalidades podem ser originados doserviço Online Responder: • Online Responders. A funcionalidade básica do Online Responder fornecida por um único computador em que seu Serviço está instalado. • Matrizes do Responder. Diversos computadores ligados que hospedam o Online Responders e processam as requisições de status do certificado.Online ResponderUm Online Responder é um computador em que o serviço do OnlineResponder é executado. Um computador que hospeda um CA tambémpode ser configurado como um Online Responder, mas recomenda-semanter os CAs e os Online Responders em computadores separados.Um único Online Responder pode fornecer informações de status derevogação para certificados emitidos por um único CA ou diversos.As informações de revogação de CA podem ser distribuídas usandomais de um Online Responder.As aplicações que dependem de certificados X.509, como S/MIME,SSL, EFS e smart cards precisam validar o status dos certificadossempre que são usados para realizar autenticação, assinatura oucriptografia. A verificação de revogação e status do certificadoanalisa a validade dos certificados com base em: • Tempo. Os certificados são emitidos em um período de tempo fixo e considerado válido, contanto que não se atinja a data de vencimento do certificado e que ele não seja cancelado antes da data. • Status da revogação. Os certificados podem ser cancelados antes da sua data de vencimento, por uma série de motivos, como a suspensão ou comprometimento da chave.As listas de revogação do certificado contêm os números de sériede todos os certificados emitidos por um CA que tenha sidocancelado. Para um cliente verificar o status de revogação de umcertificado, ele deve fazer o download de um CRL que contenhainformações sobre todos os certificados que tenham sidocancelados pelo CA.Há duas principais desvantagens nisso: Com o tempo, os CRLs podemse tornar extremamente grandes, o que pode exigir recursossignificativos de rede e armazenamento para o CA, além da parte Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 158. 155componente. Isso pode resultar em compensações entre umadistribuição mais freqüente de CRLs atualizados e o tempo elargura de banda da rede para distribuí-los. Se os CRLs forempublicados com menor freqüência, os clientes deverão contar cominformações sobre a revogação menos precisas.Já houve inúmeras tentativas de resolver o tamanho do CRL pormeio da introdução de CRLs particionados, CRLs delta e CRLsindiretos. Todas essas abordagens acrescentaram complexidade ecusto ao sistema, sem fornecer uma solução.Quando você utiliza o Online Responders, em vez de contar com osclientes, eles recebem todos os dados de revogação docertificado. Uma parte confiável envia uma requisição de statussobre um certificado individual para um Online Responder, queretorna uma resposta definitiva e digitalmente assinada,indicando o status apenas do certificado solicitado. Aquantidade de dados recuperados por requisição é constante,independente de quantos certificados cancelados existam no bancode dados, dentro do CA. Os Online Responders podem ser instaladosem computadores que executam o Windows Server “Longhorn”. Elesdevem ser instalados depois dos CAs, mas antes que oscertificados clientes sejam emitidos. Os dados de revogação docertificado são derivados de um CRL publicado que pode vir de umCA em um computador que execute o Windows Server “Longhorn,” umque execute o Windows Server 2003, ou de um CA não-Microsoft.Antes de configurar um CA para suportar o serviço OnlineResponder, deve-se apresentar o seguinte: • O IIS deve estar instalado no computador, antes que o Online Responder possa ser instalado. A configuração correta do IIS para o Online Responder é instalada automaticamente quando você instala um Online Responder. • Um modelo de certificado de assinatura OCSP deve ser configurado no CA, além do registro automático usado para emitir um certificado de assinatura OCSP para o computador em que o Online Responder será instalado. • A URL do Online Responder deve ser incluída na extensão AIA dos certificados emitidos pelo CA. Essa URL é usada pelo cliente Online Responder para validar o status do certificado.Depois que um Online Responder foi instalado, você também precisacriar uma configuração de revogação para cada CA e certificado CAatendido por um Online Responder.Uma configuração de revogação inclui todas as configuraçõesnecessárias para responder às requisições de status quanto aoscertificados que foram emitidos usando uma chave específica deCA. Essas configurações de configuração incluem o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 159. 156 • certificado CA. Este certificado pode ser encontrado em um controlador de domínio, em seu armazenamento local ou importado de um arquivo. • Assinando um certificado para o Online Responder. Este certificado pode ser selecionado automaticamente para você, manualmente (que envolve uma instrução separada de importação depois que você concluir o procedimento regular de configuração da revogação), ou você pode usar o certificado CA selecionado. • Provedor de revogação que irá fornecer os dados de revogação usados por essa configuração. Essas informações são inseridas na forma de um ou mais URLs, em que uma base válida e CRLs delta podem ser obtidos. Importante Antes de começar a adicionar uma nova configuração de revogação, verifique se possui essas informações disponíveis.Matrizes do ResponderMúltiplos Online Responders podem ser ligados a uma Matriz doOnline Responder. Os Online Responders, em uma Matriz, sãoreferidos como membros da Matriz. Um membro da Matriz pode serdesignado o Controlador da Matriz. Embora cada Online Responderem uma Matriz possa ser configurado de forma independente, nocaso de conflitos, as informações de configuração do Controladorda Matriz irão superar as opções definidas em outros membros daMatriz.Uma Matriz de Online Responder pode ser criada e outros OnlineResponders podem ser adicionados por uma série de razões,incluindo tolerância a falhas no caso de um Online Responderindividual se tornar indisponível, por considerações geográficas,escalabilidade ou estrutura da rede.Por exemplo, as filiais remotas podem não ter conexõesconsistentes com suas matrizes, onde o CA está localizado.Portanto, nem sempre é possível contatar o CA ou um OnlineResponder remoto para processar uma requisição do status derevogação.Como os membros de uma Matriz do Online Responder podem serremotos e estar sujeitos a condições de rede insatisfatórias,cada membro da matriz pode ser monitorado e gerenciado de formaindependente.Configurar uma Matriz do Online Responder requer bonsconhecimentos de planejamento baseado em: • Número e local dos CAs que estão sendo atendidos pela matriz Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 160. 157 • Número de clientes que irão solicitar certificados a partir dos CAs e seus locais • Conectividade de rede entre clientes, CAs e Online Responders potenciais • Volume de registros de certificado, revogações e requisições de status que a infra-estrutura da chave pública da organização controla • Necessidade de redundância no caso de os Online Responders se tornarem disponíveisDepois que a Matriz do Online Responder foi planejada, configuraruma Matriz envolve uma quantidade de procedimentos que devem sercoordenados.Diretiva de GrupoDiversas configurações da Diretiva de Grupo foram adicionadaspara aprimorar o gerenciamento do OCSP e uso dos dados do CRL.Por exemplo, os CRLs possuem datas de vencimento, como oscertificados, e, se essa data passar antes de uma atualização serpublicada ou disponibilizada, a validação da cadeia decertificados pode falhar, mesmo com a presença de um OnlineResponder. Isso acontece, pois o Online Responder conta com osdados de uma CRL expirada. Em situações em que as condições derede podem atrasar a publicação adequada e o recebimento das CRLsatualizadas, os administradores podem usar essas configurações daDiretiva de Grupo para estender o tempo de validade de um CRLexistente ou resposta do OCSP.Você pode estender o período dos CRLs e respostas do OCSP, indo àguia revogação nas configurações de Validação (Configuração doComputador, Configurações do Windows, Configurações de Segurançae Diretivas da Chave Pública). Para configurar essas opções, façao seguinte: • Clique em Definir essas configurações de segurança. • Clique em Permitir que todos os CRLs e respostas do OCSP sejam válidas por mais tempo. • Selecione Tempo padrão em que o período de validade pode ser estendido, e informe o valor desejado de tempo (em horas).Uma opção separada da guia revogação permite que você sobrescrevaas respostas do OCSP com informações contidas nos CRLs. Assim, umcertificado que tenha sido cancelado, adicionando-o a um CRLlocal, pode ser verificado como válido, se um cliente tiver umCRL que não inclua seu status de revogação. Embora esta opção nãoseja recomendada, pode ser útil em casos em que as alterações derevogação feitas por um administrador local não sejam finais atéque um administrador de CA verifique a mudança. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 161. 158Essas configurações estão localizadas em Configuração doComputador, Configurações do Windows, Configurações de Segurançae Diretivas da Chave Pública. Importante As credenciais administrativas são necessárias para modificar as configurações da Diretiva de Grupo.ImplantaçãoComo os Online Responders são feitos para atender requisiçõesindividuais de status do certificado, uma Matriz de OnlineResponder geralmente requer múltiplos Online Responders,geograficamente dispersos, para equilibrar a carga. Como cadaresposta do status é assinada, cada Online Responder deve serinstalado em um servidor confiável.Os Online Responders do Windows Server “Longhorn” podem serinstalados nas seguintes configurações matrizes: • Online Responder Único para múltiplos CAs. O Online Responder requer uma chave e um certificado assinado para cada CA suportado. Um Online Responder deve ser emitido com um certificado assinado a partir do CA emitido. Um Online Responder não pode fornecer o status de um certificado maior na cadeia do que um CA que tenha emitido o certificado assinado. • Online Responders Múltiplos para um Único CA. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Esse suporte vem por meio de clustering. A lógica do clustering se responsabiliza por conduzir o cliente a requisições de um Online Responder específico. • Múltiplos Online Responders para múltiplos CAs. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado.Você pode se preparar para implantar o Online Responders fazendoo seguinte: • Avaliar os benefícios potenciais de suplementar CRLs usando Online Responders para gerenciar a verificação de revogação na sua organização • Identificar os locais possíveis onde o Online Responders possa ser útil • Dependendo do número de CAs e locais que você está suportando, o volume de requisições de validação do certificado que você antecipar e as condições de rede entre os CAs e os locais, identificar a configuração da instalação a partir de uma lista precedente que melhor se adapte à sua organização Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 162. 159• Identificar os locais para cada Online Responder e a forma como eles devem ser gerenciados• Testar o Online Responder e a configuração do PKI em um ambiente de laboratório para validar o modelo de PKI e identificar as opções de configuração para cada Online Responder e configuração de revogação• Instalar e configurar cada Online Responder Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 163. 1605.08 Serviços de Domínio do Active Directory Os Serviços de Domínio do Active Directory armazena informações sobre usuários, computadores e outros dispositivos na rede. Os Serviços de Domínio do Active Directory ajuda os administradores a gerenciar, de forma segura, essas informações e facilita o compartilhamento de recursos e colaboração entre os usuários. Exige-se também que ele seja instalado na rede para instalar as aplicações ativadas pelo diretório, como o Microsoft Exchange Server, e para aplicar outras tecnologias do Windows Server, como a Diretiva de Grupo. Os tópicos que seguem descrevem alterações na funcionalidade dos Serviços de Domínio do Active Directory disponível nesta versão: • Serviços de Domínio do Active Directory: Auditoria • Serviços de Domínio do Active Directory: Diretivas de Senha Granuladas • Serviços de Domínio do Active Directory: Controladores de Domínio de Somente Leitura • Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis • Serviços de Domínio do Active Directory: Exibição em Telas • Serviços de Domínio do Active Directory: Melhorias na Interface de Usuário Serviços de Domínio do Active Directory: Auditoria No Windows Server “Longhorn,” você agora pode configurar a auditoria dos Serviços de Domínio do Active Directory por uma nova sub-categoria da diretiva de auditoria (Alterações no Serviço de Diretório) para registrar valores novos e antigos quando houver alterações nos objetos dos Serviços de Domínio do Active Directory e seus atributos. Nota Este novo recurso de auditoria também se aplica ao Active Directory Lightweight Directory Services. No entanto, a discussão refere-se apenas aos Serviços de Domínio do Active Directory. A diretiva global de auditoria, Auditoria do acesso ao serviço de diretório, controla se a auditoria para os eventos do serviço de diretório esta ativada ou não. Essa configuração de segurança determina se os eventos estão registrados no log de Segurança, quando certas operações são realizadas em objetos do diretório. Você pode controlar quais operações auditar, modificando a lista de controle de acesso ao sistema (SACL) em um objeto. No Windows Server “Longhorn,” esta diretiva está ativada por padrão. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 164. 161Se você definir a configuração da diretiva (modificando aDiretiva padrão dos Controladores de Domínio), pode especificarauditar os sucessos, falhas ou então não auditar nada. Asauditorias de sucesso geram uma entrada sempre que um usuárioacessa, com sucesso, um objeto dos Serviços de Domínio do ActiveDirectory que tenha um SACL especificado. As auditorias de falhageram uma entrada sempre que um usuário acessa, sem sucesso, umobjeto dos Serviços de Domínio do Active Directory que tenha umSACL especificado.Você pode definir um SACL em um objeto dos Serviços de Domínio doActive Directory na guia Segurança, na caixa de diálogo depropriedades do objeto. A Auditoria de acesso ao serviço dediretório é aplicada da mesma forma como na Auditoria de acessoao objeto; no entanto, ela se aplica apenas aos objetos dosServiços de Domínio do Active Directory e não aos objetos dosistema de arquivo e do registro.Esse recurso aplica-se aos administradores de Serviços de Domíniodo Active Directory, responsáveis por configurar a auditoria nodiretório. Os administradores definem SACLs apropriados parafazer a auditoria.Em geral, as permissões para modificar SACLs e visualizar o logde Segurança são atribuídos apenas a membros dos grupos deAdministradores, incluindo de Domínio Domain,BuiltinAdministradores e de Empresa.O Windows Server “Longhorn” está incluindo a capacidade de aauditoria dos Serviços de Domínio do Active Directory registrarvalores novos e antigos de um atributo quando uma alteração bemsucedida é feita nele. Antes, a auditoria dos Serviços de Domíniodo Active Directory registrava apenas o nome do atributo que eraalterado; e não seus valores antigos e atuais.Auditoria de Acesso aos Serviços de Domínio do Active DirectoryNo Windows 2000 Server e Windows Server 2003, havia uma diretivade auditoria, o Audit Directory Service Access, que controlava sea auditoria dos eventos de serviço de diretório era ativada ounão. No Windows Server “Longhorn,” essa diretiva é dividida emquatro sub-categorias: • Directory Service Access • Directory Service Changes • Directory Service Replication • Detailed Directory Service ReplicationA capacidade de auditar alterações nos objetos dos Serviços deDomínio do Active Directory é ativada com a nova sub-categoria deauditoria, o Directory Service Changes. Os tipos de alteraçõesque você pode auditar são criar, modificar, mover e não excluiroperações feitas em um objeto. Os eventos que são gerados poressas operações aparecem no log de Segurança. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 165. 162Essa nova sub-categoria da diretiva adiciona as seguintescapacidades aos Serviços de Domínio do Active Directory: • Quando uma operação bem sucedida de modificação é realizada em um atributo de um objeto, os Serviços de Domínio do Active Directory registra seus valores novos e atuais. Se o atributo possuir mais de um valor, apenas os valores que mudam, como resultado da operação de modificação, são registrados. • Caso um novo objeto seja criado, os valores dos atributos populados no momento da criação são registrados. Se os atributos são adicionados durante a operação de criação, esses novos valores são registrados. Na maioria dos casos, os Serviços de Domínio do Active Directory atribui valores padrões aos atributos (como o sAMAccountName). Os valores desses atributos do sistema não são registrados. • Se um objeto é movido dentro de um domínio, o local novo e o anterior (na forma de nome diferente) é registrado. Quando um objeto é movido para um domínio diferente, um evento de criação é gerado no controlador de domínio do domínio alvo. • Se um objeto não é excluído, o local para o qual ele foi movido é registrado. Além disso, se os atributos forem adicionados, modificados ou excluídos durante uma operação de não-exclusão, seus valores não serão registrados. Nota Caso um objeto seja excluído, não são gerados eventos de auditoria de alteração. No entanto, um evento de auditoria é gerado caso a sub-categoria do Directory Service Access seja ativado.Depois que o Directory Service Changes é ativado, os Serviços deDomínio do Active Directory registra eventos no log de Segurança,quando são feitas alterações aos objetos que um administradorconfigurou para auditoria. A tabela que segue descreve esseseventos.Alterações no Directory Service — Eventos dos Serviços de Domínio do ActiveDirectory ID do Evento Tipo de Evento Descrição do Evento5136 Modificar O evento é registrado quando uma modificação bem sucedida é feita a um atributo no diretório.5137 Criar Este evento é registrado quando um novo objeto é criado no diretório.5138 Não excluir Este evento é registrado quando um objeto não é excluído do diretório.5139 Mover Este evento é registrado quando um objeto é movido dentro do domínio. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 166. 163A capacidade de identificar como os atributos do objeto mudamtorna os logs de eventos mais úteis como um mecanismo deacompanhamento a alterações que ocorrem por toda a duração de umprojeto.No Windows Server “Longhorn,” você implementa um novo recurso deauditoria, usando os seguintes controles: • Diretiva de auditoria global • SACL • EsquemaDiretiva de auditoria globalAtivar a diretiva de auditoria global, Auditoria do acesso aoserviço de diretório, ativa todas as sub-categorias da diretivado serviço de diretório. Você pode definir essa diretiva globalna Diretiva de Grupo dos Controladores de Domínio Padrão (abaixode Configurações de SegurançaDiretivas LocaisDiretiva deAuditoria). No Windows Server “Longhorn,” esta diretiva estáativada por padrão. Portanto, a sub-categoria Directory ServiceChanges também está ativada por padrão. Esta sub-categoria estádefinida apenas para os eventos de sucesso.No Windows 2000 Server e Windows Server 2003, a diretivaAuditoria do acesso ao serviço de diretório era o único controledisponível para o Active Directory. Os eventos que eram geradospor esse controle não mostravam os valores novos e antigos denenhuma modificação. Essa configuração gerava eventos deauditoria no log de Segurança, com o número de ID 566. No WindowsServer “Longhorn,” a sub-categoria Directory Service Access aindagera os mesmos eventos, mas seu número de ID é alterado para4662.Com a nova sub-categoria Directory Service Changes, alteraçõesbem sucedidas são registradas junto com os valores novos eantigos do atributo. As configurações para Directory ServiceAccess e Directory Service Changes estão armazenadas no banco dedados da Autoridade de Segurança Local (LSA). Elas podem serconsultadas com novos LSA APIs.As duas sub-categorias de auditoria são independentes uma daoutra. Você pode desabilitar Directory Service Access e ainda sercapaz de ver eventos de alteração gerados caso a sub-categoriaDirectory Service Changes esteja ativada. Da mesma forma, se vocêdesabilitar Directory Service Changes e ativar Directory ServiceAccess, pode ver os eventos do log de Segurança com o número deID 4662.Você pode usar a ferramenta Auditpol.exe da linha de comando oudefinir sub-categorias da diretiva de auditoria. Não existe umaferramenta de interface do Windows disponível no Windows Server Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 167. 164“Longhorn” Beta 2 para visualizar ou definir sub-categorias dadiretiva de auditoria.SACLO SACL é a parte de um descritor de segurança do objeto queespecifica as operações a serem auditadas para princípio desegurança. O SACL do objeto ainda é a autoridade principal paradeterminar se uma verificação de acesso deve ou não ser auditada.O conteúdo do SACL é controlado pelos administradores desegurança do sistema local. Os administradores de segurança sãousuários atribuídos aos privilégio de Gerenciar Log de Auditoriae Segurança (SeSecurityPrivilege). Por padrão, esse privilégio éatribuído ao grupo de Administradores integrado.Se não houver entrada de controle de acesso (ACE) no SACL querequer o registro das modificações do atributo, mesmo que a sub-categoria de Directory Service Changes esteja ativada, nenhumevento de auditoria de alteração é registrado. Por exemplo, senão houver ACE no SACL que requer acesso à Propriedade de Escritano atributo do número de telefone de um objeto de usuário a serauditado, nenhum evento de auditoria é gerado quando esseatributo é modificado, mesmo que a sub-categoria DirectoryService Changes esteja ativada.EsquemaPara evitar a possibilidade de um número excessivo de eventos queestão sendo gerados, existe um controle adicional no esquema, quepode ser usado para criar exceções ao que é auditado.Por exemplo, se você deseja ver alterações a todas asmodificações de atributo em um objeto de usuário — exceto a um oudois atributos — você pode definir uma indicação no esquema paraatributos que não deseja auditar. A propriedade searchFlags decada atributo define se ele é indexado, replicado ao catálogoglobal ou algum outro tipo de comportamento. Existem sete bitsatualmente definidos para a propriedade searchFlags.Se o bit 9 (valor 256) for definido para um atributo, os Serviçosde Domínio do Active Directory não registrará eventos dealteração quando as modificações forem feitas. Isso se aplica atodos os objetos que contêm aquele atributo.Configurações do RegistroOs seguintes valores de chave do registro são usados paraconfigurar a auditoria dos Serviços de Domínio do ActiveDirectory.Valores de Chave do Registro — Auditoria dos Serviços de Domínio do ActiveDirectory Nome da Configuração Local Valores PossíveisMaximumStringBytesToAudit HKEY_LOCAL_MACHINE • Valor mínimo do SystemCurrentControlSet registro: 0 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 168. 165 ServicesNTDSParameters • Valor máximo do registro: 64000 • Valor padrão: 10005137 Criar Este evento é registrado quando um novo objeto é criado no diretório.5138 Não excluir Este evento é registrado quando um objeto não é excluído do diretório.5139 Mover Este evento é registrado quando um objeto é movido dentro do domínio.Configurações da Diretiva de GrupoVocê não pode visualizar as sub-categorias da diretiva deauditoria com o Editor de Objeto da Diretiva de Grupo(GPedit.msc). Você pode apenas visualizá-las com a ferramentaAuditpol.exe de linha de comando. O comando auditpol do exemploque segue ativa a sub-categoria Directory Service Changes:auditpol /set /subcategory:"directory service changes"/success:enableServiços de Domínio do Active Directory:Diretivas de Senhas DetalhadasO Windows Server “Longhorn” fornece às organizações uma forma dedefinir diretivas diferentes de senha e bloqueio de conta paradiferentes grupos de usuários em um domínio. Nos domínios doWindows 2000 e Windows Server 2003 Active Directory, apenas umadiretiva de senha e bloqueio de conta pode ser aplicada a todosos usuários no domínio. Essas diretivas foram especificadas naDiretiva de Domínio Padrão do domínio. Como resultado, asorganizações que desejavam configurações diferentes de senha ebloqueio de conta, para grupos diferentes de usuários, precisavamtanto criar um filtro para senha como implantar múltiplosdomínios. As duas opções têm alto custo, por diversas razões.Você pode usar diretivas de senhas granuladas para especificarmúltiplas diretivas dentro de um único domínio. Pode usá-lastambém para aplicar diferentes restrições a senhas e diretivas debloqueio de conta para diferentes grupos de usuários em umdomínio.Por exemplo, você pode aplicar configurações mais rigorosas àscontas privilegiadas e outras menos rigorosas às contas de outrosusuários. Em outros casos, você pode aplicar uma diretiva desenha especial a contas cujas senhas são sincronizadas com outrasfontes de dados.Os seguintes indivíduos devem verificar essas informações sobrediretivas de senhas granuladas: • Planejadores e analistas de TI que avaliam tecnicamente o produto Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 169. 166 • Planejadores corporativos de TI e designers de organizações • Administradores ou gerentes responsáveis pela segurança da TIEssas diretivas aplicam-se apenas a objetos do usuário (ouobjetos inetOrgPerson caso sejam usados no lugar de objetos dousuário) e grupos de segurança global. Por padrão, apenas membrosdo grupo de Administradores do Domínio podem definir diretivas desenhas granuladas. No entanto, você também pode delegar ahabilidade de definir essas diretivas a outros usuários. O nívelfuncional do domínio deve ser Windows Server “Longhorn.”Essas diretivas de senhas granuladas não interferem nos filtrosregulares que você deve usar no mesmo domínio. As organizaçõesque têm filtros de senha implantados em controladores de domínioque executam o Windows 2000 ou Windows Server 2003 podemcontinuar usando esses filtros para reforçar restriçõesadicionais de senhas.Armazenando Diretivas de Senhas DetalhadasPara armazenar essas diretivas de senhas detalhadas, o WindowsServer “Longhorn” inclui duas novas classes de objetos no esquemados Serviços de Domínio do Active Directory: • Container de Configuração de Senha • Configurações de SenhaO Container de Configuração de Senha é criado por padrão, abaixodo container Sistema, no domínio. Ele armazena os objetos deConfiguração de Senha (PSOs) para esse domínio. Você não poderenomear, mover ou excluir esse container.Um PSO possui atributos para todas as configurações que podem serdefinidas na Diretiva de Domínio Padrão (exceto as configuraçõesKerberos). Essas configurações incluem atributos para asseguintes configurações de senha: • Reforçar o histórico de senha • Tempo máximo da senha • Tempo mínimo da senha • Extensão mínima da senha • As senhas devem suprir os requisitos de complexidade • Armazenar senhas usando criptografia reversívelEssas configurações também incluem atributos para as seguintesconfigurações de bloqueio de conta: • Duração do bloqueio da conta • Limite de bloqueio da conta • Redefinição de bloqueio da conta apósAlém disso, um PSO possui os dois seguintes novos atributos: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 170. 167 • PSO link. Este é um atributo multivalorizado, ligado a usuários e/ou objetos de grupo. • Precedência. Este é um valor inteiro usado para resolver conflitos, se muitos PSOs são aplicados a um usuário ou objeto de grupo.Estes nove atributos são do tipo mustHave. Isso significa quevocê deve definir um valor a cada um. As configurações demúltiplos PSOs não podem ser mescladas.Definindo o Escopo das Diretivas de Senhas DetalhadasUm PSO pode ser vinculado a um usuário (ou inetOrgPerson) ouobjeto de grupo que esteja no mesmo domínio que o PSO. • Um PSO possui um atributo chamado PSOAppliesTo que contém um link de encaminhamento a somente usuário ou objetos do grupo. O atributo PSOAppliesTo é multivalorizado, o que quer dizer que você pode aplicar um PSO a múltiplos usuários ou grupos. Você pode criar uma diretiva de senha e aplicá-la a diferentes conjuntos de usuários ou grupos. • Um novo atributo chamado PSOApplied foi adicionado ao usuário e objetos de grupo no Windows Server “Longhorn.” O atributo PSOApplied contém um link de retorno ao PSO. Como o atributo PSOApplied possui um link de retorno, um usuário ou grupo pode ter diversos PSOs aplicados a ele. Nesse caso, as configurações aplicadas são calculadas pelo Conjunto Resultante da Diretiva (RSOP). Para mais informações, confira o “RSOP”, mais adiante, neste tópico.Você pode vincular um PSO a outros tipos de grupos, além dosgrupos globais de segurança. Mas quando um conjunto resultante dediretivas é determinado a um usuário ou grupo, apenas os PSOsvinculados a grupos globais de segurança ou objetos de usuáriossão considerados. Os PSOs vinculados a grupos de distribuição ououtros tipos de grupos de segurança são ignorados.RSOPUm usuário ou objeto de grupo pode ter múltiplos PSOs vinculadosa ele, tanto porque os membros, em múltiplos grupos, têm, cadaum, PSOs diferentes vinculados a eles, como porque múltiplos PSOssão aplicados diretamente ao objeto. No entanto, apenas um PSOpode ser aplicado como diretiva efetiva de senha. Apenas asconfigurações daquele PSO podem afetar o usuário ou grupo. Asconfigurações de outros PSOs, que estão ligados ao usuário ougrupo, não podem ser mescladas de maneira alguma.O RSOP pode apenas ser calculado para um objeto do usuário. O PSOpode ser aplicado ao objeto de usuário nas duas maneiras queseguem: • Diretamente. O PSO é vinculado ao usuário Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 171. 168 • Indiretamente. O PSO é vinculado ao grupo(s) do qual o usuário é membroCada PSO possui um atributo adicional chamado precedência, queajuda no cálculo do RSOP. O atributo precedência possui um valorinteiro de 1 ou mais. Um valor mais baixo para o atributoprecedência indica que o PSO tem uma classificação maior, oumaior prioridade, do que outros PSOs. Por exemplo, suponha que umobjeto tenha dois PSOs vinculados a ele. Um PSO possui valor deprecedência 2 e o outro tenha um valor 4. Neste caso, o PSO quepossui o valor de precedência 2 tem maior classificação e,portanto, é aplicado ao objeto.Se múltiplos PSOs são vinculados a um usuário ou grupo, o PSOresultante aplicado é determinado conforme o seguinte: • Um PSO que seja vinculado diretamente ao objeto de usuário é o PSO resultante. Se mais de um PSO for diretamente vinculado ao objeto de usuário, uma mensagem de aviso será registrada no log de evento, e o PSO com o menor valor de precedência será o PSO resultante. • Se não houver um PSO vinculado ao objeto de usuário, os membros do grupo global de segurança do usuário, e todos os PSOs que são aplicáveis ao usuário com base nos membros do grupo global, são comparados. O PSO com o valor de precedência mais baixo é o PSO resultante. • Se nenhum PSO for obtido a partir das condições (1) e (2), A Diretiva de Domínio Padrão será aplicada.Recomendamos que você atribua um valor de precedência único paracada PSO que você criar. No entanto, você pode criar múltiplosPSOs com o mesmo valor. Se múltiplos PSOs com o mesmo valor deprecedência são obtidos para um usuário, o primeiro PSO obtidoserá aplicado.Outro novo atributo chamado ResultantPSO foi adicionado ao objetode usuário. Um administrador pode consultar este atributo pararecuperar o nome distinto do PSO, que é aplicado àquele usuário(baseado nas regras listadas anteriormente). Se não houver umobjeto de PSO que se aplique ao usuário, tanto direta quantovirtualmente dos membros do grupo, a consulta retorna o nomedistinto do domínio.Ao aplicar um PSO que seja diretamente ligado a um usuário ougrupo, antes de outros PSOs, você pode criar exceções para certosusuários de um grupo. Você pode atribuir um PSO a um grupo deusuários, mas atribuir uma diretiva diferente a alguns dosmembros. Em vez de ter de criar uma nova diretiva e reorganizar aprecedência de todas as diretivas anteriores para um usuário emparticular, você pode criar uma diretiva com qualquerprecedência. Quando você aplica a diretiva diretamente aousuário, ela é aplicada primeiro. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 172. 169O objeto de usuário possui três bits, que podem ser definidos noatributo userAccountControl do objeto de usuário que podesobrescrever as configurações presentes no PSO resultante (muitosdesses bits sobrescrevem as configurações da Diretiva de DomínioPadrão, no Windows 2000 e Windows Server 2003). Esses bitsincluem o seguinte: • Criptografia de senha reversível exigida • Senha não exigida • Senha não expiraEsses bits continuam a superar as configurações no PSO resultanteque é aplicado ao objeto de usuário.Segurança e DelegaçãoPor padrão, apenas membros do grupo de Administradores de Domíniopodem criar PSOs. Apenas membros deste grupo possuem aspermissões Criar Filho e Excluir Filho, no objeto PasswordSettings Container. Além disso, apenas membros do grupo deAdministradores de Domínio têm permissões de Propriedade deEscrita no PSO, por padrão. Portanto, apenas membros deste grupopodem aplicar um PSO a um grupo ou usuário. Você pode delegaressa permissão a outros grupos ou usuários.Você não precisa de permissões sobre o objeto do grupo ou usuáriopara poder aplicar um PSO a ele. Ter permissões de Escrita nousuário ou objeto de grupo não fornece a você a capacidade devincular um PSO a um usuário ou grupo. O proprietário de um gruponão possui permissões de vincular um PSO ao grupo, pois o link deencaminhamento está no PSO. O poder de vincular um PSO ao grupoou usuário é dado ao proprietário do PSO.As configurações no PSO podem ser consideradas confidenciais;portanto, por padrão, os Usuários Autenticados não têm permissõesde Propriedade de Leitura para um PSO. Por padrão, apenas membrosdo grupo de Administradores de Domínio possuem permissões daPropriedade de Leitura no descritor de segurança padrão do objetoPSO no esquema.Você pode delegar essas permissões a qualquer grupo (como o helpdesk ou aplicação de gerenciamento) no domínio ou floresta. Issotambém pode prevenir um usuário de ver suas configurações desenha no diretório. O usuário pode ler os atributos ResultantPSOou PSOApplied, mas eles exibem apenas o nome distinto do PSO quese aplica ao usuário. O usuário não pode ver as configuraçõesdentro do PSO.Antes de adicionar um controlador de domínio que execute noWindows Server “Longhorn” a um domínio existente do ActiveDirectory, você deve executar o adprep /domainprep. Ao executar oadprep /domainprep, o esquema do Active Directory é estendidopara incluir novas classes de objetos que as diretivas de senhasgranuladas requerem. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 173. 170 Caso você não crie essas diretivas para diferentes grupos de usuários, as configurações da Diretiva de Domínio Padrão aplicam- se a todos os usuários no domínio, assim como no Windows 2000 e Windows Server 2003. Serviços de Domínio do Active Directory:Para saber Controladores de Domínio de Somente Leituramais, Um controlador de domínio de somente leitura (RODC) é um novorecorra à tipo de controlador no sistema operacional do Windows Serverseção 4.02Controlador “Longhorn”. Com o RODC, as organizações são capazes de implantar,de Domínio facilmente, um controlador de domínio em locais onde a segurançade Somente física não é garantida. Um RODC hospeda partições de somente-Leitura na leitura dos Serviços de Domínio do Active Directory.página 85. Para mais informações sobre os Controladores de Domínio de Somente Leitura, recorra à seção 4.02 Controlador de Domínio de Somente Leitura, na página 85. Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis Os administradores podem parar e reiniciar os Serviços de Domínio do Active Directory no Windows Server “Longhorn”, usando os snap- ins do MMC ou a linha de comando. Os Serviços de Domínio do Active Directory Reinicializável reduz o tempo requerido para realizar certas operações. Os Serviços de Domínio do Active Directory pode ser parado para que as atualizações possam ser aplicadas a um controlador de domínio; e também, eles podem parar os Serviços de Domínio do Active Directory para realizar tarefas, como a desfragmentação offline do banco de dados do Active Directory, sem reiniciar o controlador de domínio. Outros serviços que estão sendo executados no servidor e que não dependem dos Serviços de Domínio do Active Directory para funcionar, como o Dynamic Host Configuration Protocol (DHCP), permanecem disponíveis para satisfazer as requisições de clientes, enquanto os Serviços de Domínio do Active Directory é parado. Os Serviços de Domínio do Active Directory Reinicializável fornece benefícios para o seguinte: • Planejadores e administradores da atualização da segurança • Equipes de gerenciamento dos Serviços de Domínio do Active Directory • Administradores dos Serviços de Domínio do Active Directory Os Serviços de Domínio do Active Directory Reinicializável é disponível por padrão em todos os controladores de domínio que executam o Windows Server “Longhorn.” Não existem requisitos funcionais, ou outros pré-requisitos, para usar esse recurso. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 174. 171No Active Directory do sistema operacional Microsoft Windows 2000Server e Windows Server 2003, a desfragmentação offline do bancode dados exigia uma reinicialização do controlador de domínio noModo de Recuperação do Directory Services. Aplicar asatualizações de segurança geralmente requer uma reinicializaçãodo controlador de domínio.No Windows Server “Longhorn,“ no entanto, os administradorespodem parar e reiniciar os Serviços de Domínio do ActiveDirectory. Isso torna possível desempenhar as operações offlinedos Serviços de Domínio do Active Directory de forma mais rápida.Os Serviços de Domínio do Active Directory Reinicializáveladiciona as menores alterações aos snap-ins do MMC. Umcontrolador de domínio que executa o Windows Server “Longhorn”Active Directory Domain Services exibe o Controlador de Domíniono nó Serviços (Local) do snap-in Serviços de Componente e doGerenciamento do Computador. Usando qualquer um deles, umadministrador pode facilmente parar e reiniciar os Serviços deDomínio do Active Directory da mesma forma como com qualqueroutro serviço que esteja sendo executado localmente no servidor.Embora parar os Serviços de Domínio do Active Directory seja comoefetuar logon no Modo de Recuperação do Directory Services, oActive Directory Domain Services reinicializável fornece umestado único para um controlador de domínio que execute oWindows Server “Longhorn.” Esse estado é conhecido como ActiveDirectory Domain Services Stopped.Os três estados possíveis para um controlador de domínio queexecute o Windows Server “Longhorn” são os seguintes: • Active Directory Domain Services Started. Neste estado, os Serviços de Domínio do Active Directory é iniciado. Para os clientes e outros serviços executados no servidor, um controlador de domínio do Windows Server “Longhorn” executado neste estado é o mesmo que o controlador executado no Windows 2000 Server ou Windows Server 2003. • Active Directory Domain Services Stopped. Neste estado, os Serviços de Domínio do Active Directory é parado. Embora este modo seja exclusivo, o servidor possui algumas características tanto de controlador de domínio no Modo de Recuperação do Directory Services quanto como um servidor membro ligado ao domínio. Assim como no Modo de Recuperação do Directory Services, o banco de dados do Active Directory (Ntds.dit) está offline. Além disso, a senha do Modo de Recuperação do Directory Services pode ser usada para um login local, caso outro controlador de domínio não possa ser contatado. Assim como com um servidor membro, o servidor é ligado ao domínio. Além disso, os usuários podem efetuar logon de forma interativa, ou pela rede, usando outro controlador de domínio para o logon. No entanto, um controlador de domínio Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 175. 172 não deve permanecer neste estado por um longo período de tempo, pois ele não consegue atender as requisições de logon ou replicar com outros controladores de domínio. • Modo de Recuperação do Directory Services. Este modo (ou estado) é inalterável a partir do Windows Server 2003.O seguinte fluxograma apresenta como um controlador de domínioque executa o Windows Server “Longhorn” pode fazer a transiçãoentre esses três estados possíveis. Serviços de Domínio do Active Directory: Exibição em Instantâneo A Exibição em Telas dos Serviços de Domínio do Active Directory é um novo recurso do Windows Server “Longhorn.” Ele o ajuda a identificar objetos que foram acidentalmente excluídos ao expor informações sobre os objetos, em imagens (instantâneos) dos Serviços de Domínio do Active Directory obtidas com o tempo. Esses instantâneos podem ser visualizados em um controlador de domínio, sem iniciar o controlador de domínio no Modo de Restauração do Directory Services. Comparando osdiversos estados dos objetos assim que eles aparecem nosinstantâneos, será possível decidir mais facilmente qual backupdos Serviços de Domínio do Active Directory utilizar pararestaurar os objetos excluídos.Ao usar a Exposição de Telas dos Serviços de Domínio do ActiveDirectory, você pode examinar todas as alterações feitas aosdados armazenados nos Serviços de Domínio do Active Directory.Por exemplo, se um objeto da Diretiva de Grupo é acidentalmentemodificado, você pode usar a Exposição de Telas dos Serviços de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 176. 173Domínio do Active Directory para examinar as alterações e ajudara decidir como corrigi-las, se necessário.Embora a Exposição de Telas dos Serviços de Domínio do ActiveDirectory não recupere objetos excluídos, ele ajuda a dinamizar oprocesso de recuperação de objetos que tenham sido acidentalmenteexcluídos. Antes do Windows Server “Longhorn,” quando os objetosou unidades organizacionais (OUs) foram acidentalmente excluídas,a única forma de determinar exatamente quais objetos haviam sidoexcluídos era restaurando os dados a partir de backups. Mas issotrazia duas desvantagens: • O Active Directory precisava ser reiniciado no Modo de Recuperação do Directory Services para desempenhar uma restauração autorizada. • Um administrador não podia comparar os dados nos backups que eram obtidos em momentos diferentes (a menos que os backups fossem restaurados a vários controladores de domínio; um processo que não é viável).A finalidade do recurso de Exposição de Telas dos Serviços deDomínio do Active Directory é expor os dados dos Serviços deDomínio do Active Directory armazenados nas imagens de formaonline. Os administradores podem então comparar os dados dasimagens obtidas em diferentes momentos, que, por sua vez, ajudama decidir sobre os dados a serem restaurados, sem acabar em umaparada de serviço.Os seguintes indivíduos devem ver essas informações sobre aExposição de Telas do Active Directory Domain Services: • Planejadores e analistas de TI que avaliam tecnicamente o produto • Planejadores corporativos de TI e designers de organizações • Administradores, operadores e gerentes responsáveis pelas operações de TI, incluindo a recuperação de dados excluídos dos Serviços de Domínio do Active DirectoryHá dois aspectos para o problema de se recuperar dados excluídos: • Preservar os dados excluídos para que eles possam ser recuperados • Recuperar os dados excluídos recentemente quando solicitadoA Exposição de Telas dos Serviços de Domínio do Active Directorytorna possível para os dados excluídos dos Serviços de Domínio doActive Directory serem preservados em forma de imagens dosServiços de Domínio do Active Directory, obtidas pelo Serviço deCópia de Sombra do Volume. A Exposição de Telas dos Serviços deDomínio do Active Directory Snapshot, na verdade, não recuperaobjetos e containeres excluídos. O administrador deve desempenhara recuperação como um passo subseqüente. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 177. 174Você pode usar a ferramenta LDAP, como o Ldp.exe, que é umaferramenta integrada no Windows Server “Longhorn,” para ver osdados expostos nas imagens. Esses dados são de somente leitura.Por padrão, apenas os membros dos grupos de Administradores deDomínio e Corporativos podem visualizar as imagens, pois elascontêm dados sensíveis dos Serviços de Domínio do ActiveDirectory.Proteja as imagens dos Serviços de Domínio do Active Directorycontra acesso não-autorizado, assim como você o faz com backupsdos Serviços de Domínio do Active Directory. Um usuário maliciosoque tenha acesso às imagens pode usá-las para revelar dadossensíveis que possam estar armazenados nos Serviços de Domínio doActive Directory. Por exemplo, um usuário malicioso pode copiaras imagens dos Serviços de Domínio do Active Directory de umafloresta A para B e depois usar as credenciais de Administradordo Domínio ou Corporativo da floresta B para examinar os dados.Use a criptografia ou outras precauções de segurança dos dadoscom as imagens do Active Directory Domain Services a fim deajudar a reduzir a chance de acesso não-autorizado às imagens dosServiços de Domínio do Active Directory.O processo de uso da Exposição de Telas dos Serviços de Domíniodo Active Directory inclui os seguintes passos: 1. Programe uma tarefa que regularmente execute o Ntdsutil.exe para obter imagens do volume que contém o banco de dados dos Serviços de Domínio do Active Directory. 2. Execute o Ntdsutil.exe para listar as imagens disponíveis e monte a imagem que deseja visualizar. 3. Execute o Dsamain.exe para expor o volume de imagens como um servidor LDAP. O Dsamain.exe tem os seguintes argumentos: • Caminho do banco de dados dos Serviços de Domínio do Active Directory (NTDS.dit). Por padrão, esse caminho é aberto somente como leitura, mas ele deve estar em ASCII. • Caminho do Log. Esse pode ser um caminho temporário, mas você deve ter acesso de escrita. • Quatro números de portas para LDAP, LDAP-SSL, Global Catalog e Global Catalog–SSL. Você pode parar o Dsamain, pressionando CTRL+C ou definindo o atributo stopservice no objeto rootDSE. 4. Execute e anexe o Ldp.exe à porta LDAP da imagem que você especificou quando expôs a imagem como um servidor LDAP, no passo anterior. 5. Navegue pela imagem como faria com qualquer controlador de domínio dinâmico. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 178. 175Caso você tenha idéia de qual OU ou objetos foram excluídos, podeprocurar nos objetos excluídos, nas imagens, e gravar osatributos e links de retorno que pertenciam aos objetosexcluídos. Reanime esses objetos, usando o recurso de reanimaçãoem ícones. Depois, alimente manualmente esses objetos com osatributos e links de retorno, assim que identificados nasimagens.No entanto, você não pode realimentar os atributos apenas dosistema, que foram divididos quando os objetos foram excluídos.Embora você deva recriar manualmente os atributos e links deretorno, o navegador de imagens torna possível recriar os objetosexcluídos e seus links sem precisar reiniciar o controlador dedomínio no Modo de Recuperação do Directory Services. Além disso,você pode usar o navegador de imagens para analisar configuraçõesanteriores dos Serviços de Domínio do Active Directory, incluindoas permissões e a Diretiva de Grupo.Serviços de Domínio do Active Directory:Melhorias na Interface de UsuárioPara aprimorar a instalação e o gerenciamento dos Serviços deDomínio do Active Directory, o Windows Server “Longhorn” incluium Assistente de Instalação atualizado para o Active DirectoryDomain Services. O Windows Server “Longhorn” também incluialterações nas funções de snap-in do MMC que gerenciam osServiços de Domínio do Active Directory.As melhorias na UI dos Serviços de Domínio do Active Directoryfornecem novas opções de instalação para os controladores dedomínio. Além disso, o Assistente de Instalação atualizadodinamiza e simplifica a instalação dos Serviços de Domínio doActive Directory.As melhorias na UI dos Serviços de Domínio do Active Directorytambém fornecem novas opções de gerenciamento para os recursosdos Serviços de Domínio do Active Directory, como oscontroladores de domínio de somente leitura (RODCs). Alteraçõesadicionais às ferramentas de gerenciamento fornecem a capacidadede encontrar os controladores de domínio por toda a empresa. Elestambém fornecem controles importantes para novos recursos, como aDiretiva de Replicação de Senha para RODCs.As melhorias da UI dos Serviços de Domínio do Active Directorysão importantes para os seguintes usuários: • Administradores dos Serviços de Domínio do Active Directory responsáveis por gerenciar controladores de domínio em locais centrais e data centers • Administradores de filiais • Desenvolvedores de sistema que realizam instalações e desautorizam servidores Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 179. 176As melhorias na UI dos Serviços de Domínio do Active Directorynão requerem considerações especiais. As melhorias ao Assistentede Instalação também estão todas disponíveis por padrão. Noentanto, algumas páginas do assistente aparecem apenas se a caixade verificação de Usar instalação no modo avançado estiverselecionada na página de Boas Vindas do assistente.O modo de instalação avançado fornece aos usuários maisexperientes um controle maior sobre o processo de instalação, semconfundir os usuários mais novos quanto às opções de configuraçãoque podem não ser familiares. Para os usuários que não selecionama caixa Usar instalação no modo avançado, o assistente utilizaopções padrões que se aplicam à maior parte das configurações.As melhorias na UI dos Serviços de Domínio do Active Directoryfornecem novas funcionalidades para o Assistente de Instalaçãodos Serviços de Domínio do Active Directory e funções de snap-indo MMC.Novo Assistente de Instalação dos Serviços de Domínio do ActiveDirectoryPara adicionar a função de servidor dos Serviços de Domínio doActive Directory de forma interativa, você pode acessar oAssistente de Instalação nas seguintes maneiras: • Você pode clicar em Adicionar Funções, nas Tarefas Iniciais de Configuração, que aparece quando você instala o sistema pela primeira vez. • Você pode clicar em Adicionar Funções no Gerenciador do Servidor. O Gerenciador do Servidor está disponível no menu Ferramentas Administrativas, ou por meio de um ícone na área de notificação. • Você pode clicar em Iniciar, clicar em Executar e depois digitar dcpromo. Uma alternativa é digitar dcpromo no prompt de comando, como nas versões anteriores do sistema operacional do Microsoft Windows Server. Nota Embora não seja uma melhoria de UI, novas opções para executar instalações falhas dos Serviços de Domínio do Active Directory estão disponíveis no Windows Server “Longhorn.” Diferente de uma instalação falha no Windows Server 2003, uma instalação falha no Windows Server “Longhorn” nunca requer uma resposta a um prompt da UI, como aquele que reinicia o controlador de domínio. Isso é necessário para instalar os Serviços de Domínio do Active Directory no Núcleo do Servidor do Windows Server “Longhorn,” uma nova opção de instalação do Windows Server “Longhorn” que não fornece opções de UI, como um Assistente de Instalação interativo dos Serviços de Domínio do Active Directory. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 180. 177 • Você pode iniciar uma instalação RODC, usando o snap-in do MMC Active Directory Users and Computers. Você pode tanto clicar com o botão direito em Controladores de Domínio como clicar em Controladores de Domínio e depois em Pré-criar uma conta Somente-leitura de Controlador de Domínio. Este método instala o RODC em dois estágios. Durante o estágio seguinte da instalação, você executa o Assistente dos Serviços de Domínio do Active Directory no servidor que deseja anexar à conta do RODC. O Assistente de Instalação dos Serviços de Domínio do Active Directory contém uma nova opção na página de Boas Vindas para ativar o modo avançado como uma alternativa para executar o Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo avançado exibe opções adicionais que permitem configurações mais avançadas e fornecem aos usuários mais experientes um controle maior sobre a operação. As opções adicionais do modo avançado incluem o seguinte: • Criar uma nova árvore de domínio • Usar uma mídia de backup a partir de um controlador de domínio existente no mesmo domínio, a fim de reduzir o tráfego de rede que está associado com a replicação inicial • Selecionar o controlador de domínio de origem para a instalação • Modificar o nome do NetBIOS que o assistente gera por padrão • Definir a diretiva de replicação de senha para um RODC Além dessas alterações, o Assistente de Instalação dos Serviços de Domínio do Active Directory possui novas páginas, que são descritas na tabela que segue. Assistente de Instalação dos Serviços de Domínio do Active Directory Nova Página do Assistente DescriçãoOpções Adicionais Especifica que, durante a instalação do controlador de domínio, ele também será configurado para ser um DNS server, servidor do catálogo global ou RODC.Seleção de local Especifica o local onde o controlador de domínio deve ser instalado.Definição de níveis de função Define o domínio e o nível funcional da floresta durante a instalação do novo domínio ou floresta.Diretiva de Replicação de Senha Especifica quais senhas de contas são permitidas ou negadas de serem armazenadas no RODC. Essa página aparece apenas quando a caixa Usar instalação no modo avançado está selecionada.Criação de delegação do DNS Fornece uma opção padrão para criar uma delegação DNS no tipo de instalação do controlador de domínio (conforme especificado na página Escolha uma Configuração de Implantação) e o ambiente DNS. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 181. 178Outras melhorias reduzem as chances de erro durante a instalaçãodos Serviços de Domínio do Active Directory. Por exemplo, se vocêestá instalando um controlador de domínio adicional, podeselecionar o nome do domínio a partir de uma árvore de domínio,em vez de digitá-la.Para assegurar que um DNS server recém-instalado esteja operandocorretamente, o DNS é automaticamente configurado para asconfigurações do cliente DNS, encaminhadores e dicas de raiz, senecessário, com base nas opções de instalação que sãoselecionadas.Instalação em Fases para o RODCsVocê pode realizar uma instalação em fases de um RODC, em que ainstalação é concluída em duas fases, por diferentes pessoas.Você pode usar o Assistente de Instalação dos Serviços de Domíniodo Active Directory para concluir cada fase da instalação.A primeira fase cria uma conta para o RODC nos Serviços deDomínio do Active Directory. A segunda fase anexa o servidoratual, que será o RODC, à conta que foi anteriormente criada paraisso.Durante a primeira fase, o assistente grava todos os dados sobreo RODC que serão armazenados no banco de dados distribuído doActive Directory, assim como seu nome da conta do controlador dedomínio e o local em que serão colocados. Essa fase deve serrealizada por um membro do grupo de Administradores de Domínio.O usuário que cria a conta RODC também pode especificar, naquelemomento, quais usuários ou grupos podem concluir o próximo passoda instalação. A próxima fase pode ser realizada na filial, porqualquer usuário ou grupo a quem tenha sido delegado o direitode concluir a instalação quando a conta foi criada. A fase nãorequer membros nos grupos integrados, como o grupo deAdministradores do Domínio. Se o usuário que cria a conta RODCnão especificar qualquer delegação para concluir a instalação (eadministrar o RODC), apenas um membro dos Administradores deDomínio ou Corporativo pode concluir a instalação.A segunda fase instala os Serviços de Domínio do Active Directoryno servidor que se tornará o RODC. Essa fase ocorre, basicamente,na filial onde o RODC é implantado. Durante essa fase, todos osdados dos Serviços de Domínio do Active Directory que residemlocalmente, arquivos de log e etc, são criados no próprio RODC.Os arquivos de origem da instalação podem ser replicados para oRODC a partir de um controlador de domínio sobre a rede, ou entãovocê pode usar a instalação do recurso de mídia (IFM). Para usaro IFM, use o Ntdsutil.exe para criar a mídia de instalação.O servidor que se tornará o RODC não deve ser ligado ao domínioantes de você tentar anexá-lo à conta do RODC. Como parte dainstalação, o assistente detecta, automaticamente, se o nome do Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 182. 179servidor associa-se aos nomes de qualquer conta do RODC que tenhasido criada antes para o domínio. Quando o assistente encontra umnome associado da conta, ele alerta o usuário para usar aquelaconta para concluir a instalação do RODC.Melhorias Adicionais no AssistenteO novo Assistente de Instalação dos Serviços de Domínio do ActiveDirectory também inclui as seguintes melhorias: • Por padrão, o assistente agora utiliza as credenciais do usuário que está conectado no momento. Você é alertado sobre as credenciais adicionais, caso elas sejam necessárias. • Ao criar um controlador de domínio adicional em um domínio filho, o assistente detecta se o papel principal da infra- estrutura está hospedado em um servidor de catálogo global naquele domínio, alertando-o para transferir essa infra- estrutura para o controlador de domínio que você está criando. Isso ajuda a prevenir uma má colocação do papel principal da infra-estrutura. • Na página Sumário do assistente, você pode exportar as configurações que selecionou para um arquivo de respostas correspondente que pode usar para operações subseqüentes (instalações ou desinstalações). • Você agora pode omitir a senha do seu administrador a partir do arquivo de respostas. Em vez disso, digite senha=* no arquivo de respostas, para garantir que o usuário está avisado sobre as credenciais da conta. • Você pode pré-alimentar o assistente, especificando alguns parâmetros na linha de comando, reduzindo a quantidade de interação de usuário que é exigida com o assistente. • Você agora pode forçar o rebaixamento de um controlador de domínio iniciado no Modo de Recuperação do Directory Services).Novas Funções de Snap-In do MMCO snap-in do Active Directory Sites and Services no WindowsServer “Longhorn” inclui um comando Localizar, na barra deferramentas e no menu Ação. Esse comando facilita encontrar olocal onde o controlador de domínio está, o que pode ajudar nasolução de problemas de replicações. Antes, o Active DirectorySites and Services não indicavam facilmente onde certocontrolador de domínio estava localizado. Isso aumentava o temporequerido para solucionar problemas, como os de replicação.Para ajudar a gerenciar os RODCs, agora existe uma guia deDiretiva de Replicação de Senha na página de Propriedades docontrolador de domínio. Clicando no botão Avançado, nesta guia,umadministrador pode ver o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 183. 180• Quais senhas foram enviadas ao RODC• Quais senhas estão atualmente armazenadas no RODC• Quais contas foram autenticadas para o RODC, incluindo contas não definidas nos grupos de segurança, que têm a replicação permitida ou negada. Como resultado, o administrador pode ver quem está usando o RODC e determinar se permite ou nega a replicação da senha. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 184. 1815.09 Serviços Federados do Active Directory Os Serviços Federados do Active Directory é uma função de servidor no Windows Server "Longhorn" que pode ser utilizado para criar uma solução de acesso de identidade segura e escalonável com a Internet, altamente extensível que opere por diversas plataformas, incluindo ambientes Windows e não-Windows. As seções que seguem fornecem informações sobre os Serviços Federados do Active Directory no Windows Server “Longhorn,” incluindo informações sobre as funcionalidades adicionais dos Serviços Federados do Active Directory no Windows Server “Longhorn” comparadas com a versão dos Serviços Federados do Active Directory no Windows Server 2003 R2. Os Serviços Federados do Active Directory é uma solução de acesso à identidade que fornece aos clientes baseados em navegadores (internos ou externos à rede) um acesso dinâmico e único a aplicações mais protegidas quanto à Internet, mesmo quando as contas e aplicações estão localizadas em redes completamente diferentes ou organizações. Quando uma aplicação está em uma rede e as contas de usuário em outra rede, é importante que os usuários estejam avisados sobre as credenciais secundárias quando tentarem acessar a aplicação. Essas credenciais secundárias representam a identidade dos usuários no local em que a aplicação reside. O Web server que hospeda a aplicação geralmente requer essas credenciais para que possa tomar a decisão mais apropriada. Os Serviços Federados do Active Directory torna as contas secundárias desnecessárias, fornecendo relações de confiança que você pode usar para projetar uma identidade digital do usuário e acessar direitos dos parceiros confiáveis. Em um ambiente federado, cada organização continua a gerenciar suas próprias identidades, mas cada uma pode projetar de forma mais segura e aceitar identidades de outras organizações. Além disso, você pode implantar os servidores de federação em múltiplas organizações, para facilitar as transações de business- to-business (B2B) entre as organizações de parceiros confiáveis. As parcerias federadas de B2B identificam os parceiros de negócios como um dos seguintes tipos de organização: • Organização de Recursos As organizações que possuem e gerenciam recursos acessíveis a partir da Internet podem implantar os servidores de federação dos Serviços Federados do Active Directory e os servidores da Web baseados nos Serviços Federados do Active Directory que gerenciam o acesso aos recursos protegidos de parceiros confiáveis. Esses parceiros podem incluir partes internas e externas ou outros departamentos ou subsidiárias na mesma organização. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 185. 182 • Organização da Conta As organizações que possuem e gerenciam as contas de usuário podem implantar os Serviços Federados do Active Directory que autenticam usuários locais e criam tokens que, mais adiante, são usados na organização de recurso para tomar decisões quanto à autorização.O processo de autenticação de uma rede enquanto se acessamrecursos em outra rede — sem o incômodo de ações repetidas delogin pelos usuários — é conhecido como longo único (SSO). OsServiços Federados do Active Directory fornece uma soluçãobaseada na Web, de SSO, que autentica os usuários em múltiplasaplicações da Web pela duração de uma simples sessão denavegação.Os Serviços Federados do Active Directory é designado para serimplantado em organizações de médio a grande porte, que possuem oseguinte: • No mínimo, um serviço de diretório: tanto o Active Directory Domain Services ou Active Directory Lightweight Directory Services (antes conhecido como Active Directory Application Mode) • Computadores executados em diversas plataformas de sistemas operacionais • Computadores ligados a um domínio • Computadores conectados à Internet • Uma ou mais aplicações baseadas na WebVeja essas informações, juntamente com a documentação adicionalsobre os Serviços Federados do Active Directory, se você fazparte de um dos seguintes grupos: • Profissional de TI responsável pelo suporte de uma infra- estrutura existente dos Serviços Federados do Active Directory • Planejador de TI, analista ou arquiteto em fase de avaliação dos produtos de federação da identidadeSe você tem uma infra-estrutura existente dos Serviços Federadosdo Active Directory, existem algumas considerações especiais asaber antes de você começar a atualizar os servidores defederação, proxies e servidores da Web ativados pelos ServiçosFederados do Active Directory que executam o Windows Server 2003R2 para o Windows Server “Longhorn.” Essas considerações aplicam-se apenas quando você tem servidores dos Serviços Federados doActive Directory que tenham sido manualmente configurados parausar contas exclusivas do serviço.Os Serviços Federados do Active Directory usa a conta do NetworkService como padrão para os Serviços Federados do Active Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 186. 183Directory Web Agent Authentication Service e a identidade do poolde aplicação do ADFSAppPool. Se você configurou manualmente um oumais servidores dos Serviços Federados do Active Directory em suaimplantação existente dos Serviços Federados do Active Directorypara usar uma conta de serviço que não seja a conta padrão doNetwork Service, verifique qual dos servidores dos ServiçosFederados do Active Directory utiliza essas contas de serviço egrave o nome de usuário e a senha de cada conta.Quando você atualiza um servidor para o Windows Server“Longhorn,” o processo recupera, automaticamente, todas as contasde serviço para seus valores padrões originais. Portanto, vocêdeve fornecer as informações da conta do serviço novamente,manualmente, para cada servidor aplicável depois que o WindowsServer “Longhorn” está completamente instalado.Para o Windows Server “Longhorn,” os Serviços Federados do ActiveDirectory inclui novas funcionalidades que não estão disponíveisno Windows Server 2003 R2. Essas novas funcionalidades são feitaspara facilitar a sobrecarga administrativa e para estender aindamais o suporte às principais aplicações: • Instalação Aprimorada. Os Serviços Federados do Active Directory está incluído no Windows Server “Longhorn” como uma função de servidor, havendo ainda novas verificações de validação do servidor no assistente de instalação. • Suporte aprimorado da aplicação. Os Serviços Federados do Active Directory é mais integrado com o Microsoft Office SharePoint Services 2007 e os Serviços de Gerenciamento de Direitos do Active Directory. • Melhor experiência administrativa ao estabelecer relação de confiança federada. A funcionalidade aprimorada de importar e exportar uma diretiva de relação de confiança ajuda a minimizar os problemas de configuração baseados nos parceiros, geralmente associados com o estabelecimento de uma relação de confiança federada.Instalação Aprimorada.Os Serviços Federados do Active Directory no Windows Server“Longhorn” traz diversas melhorias à experiência de instalação.Para instalar os Serviços Federados do Active Directory noWindows Server 2003 R2, você deve ir até Adicionar/RemoverProgramas para encontrar e instalar o componente dos ServiçosFederados do Active Directory. No entanto, no Windows Server“Longhorn,” você pode instalar os Serviços Federados do ActiveDirectory como uma função de servidor que utiliza o ServerManager.Você pode usar o assistente de configuração aprimorado dosServiços Federados do Active Directory para realizar as Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 187. 184verificações de validação do servidor antes de continuar com ainstalação dos Serviços Federados do Active Directory. Alémdisso, o Server Manager automaticamente lista e instala todos osserviços dos quais os Serviços Federados do Active Directorydepende durante a instalação dos Serviços Federados do ActiveDirectory. Esses serviços incluem o Microsoft ASP.NET 2.0 eoutros serviços que fazem parte da função de servidor do WebServer (IIS).Suporte Aprimorado da Aplicação.Os Serviços Federados do Active Directory no Windows Server“Longhorn” inclui melhorias que aumentam a capacidade deintegração com outras aplicações, como o Office SharePointServices 2007 e os Serviços de Gerenciamento de Direitos doActive Directory.Integração com o Office SharePoint Services 2007O Office SharePoint® Services 2007 tira o máximo proveito dascapacidades do SSO que são integradas nesta versão dos ServiçosFederados do Active Directory. Os Serviços Federados do ActiveDirectory no Windows Server “Longhorn” inclui funcionalidadespara suportar os membros do Office SharePoint Services 2007 e osprovedores de funções. Isso significa que você pode, de formaefetiva, configurar o Office SharePoint Services 2007 como umaaplicação consciente dos Serviços Federados do Active Directory,podendo ainda administrar quaisquer sites do Office SharePointServices 2007, usando os membros e controle de acesso baseado emfunção. Os membros e os provedores de funções incluídos nestaversão dos Serviços Federados do Active Directory servem paraconsumo apenas pelo Office SharePoint Services 2007.Integração com o Active Directory Rights Management ServerOs Serviços de Gerenciamento de Direitos do Active Directory e osServiços Federados do Active Directory podem ser integrados deforma que as organizações possam obter vantagens das relaçõesconfiáveis federadas existentes, a fim de colaborar com parceirosexternos e compartilhar conteúdos protegidos pelos direitos. Porexemplo, uma organização que tenha implantado os Serviços deGerenciamento de Direitos do Active Directory pode configurar umafederação com uma organização externa, usando os ServiçosFederados do Active Directory. A organização pode então usar essarelação para compartilhar conteúdo protegido por meio de duasorganizações, sem exigir uma implantação dos Serviços deGerenciamento de Direitos do Active Directory nas duasorganizações.Melhor Experiência Administrativa ao Estabelecer Relações de ConfiançaFederadas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 188. 185Tanto no Windows Server 2003 R2 como no Windows Server“Longhorn,“ os administradores dos Serviços Federados do ActiveDirectory podem criar uma relação de confiança federada entreduas organizações, usando tanto um processo de importar eexportar arquivos de diretivas como um processo manual queenvolva uma troca mútua entre os valores dos parceiros, como oUniform Resource Indicators (URIs), tipos de declaração,mapeamento de declaração, exibição de nomes etc. O processomanual requer que o administrador, que recebe esses dados, digitetodos os dados recebidos nas páginas apropriadas do Assistentepara Adicionar Parceiro, o que pode resultar em errostipográficos. Além disso, o processo manual exige que oadministrador parceiro da conta envie uma cópia do certificado deverificação para o servidor de federação, a fim de que ocertificado possa ser adicionado pelo assistente.Embora a capacidade de importar e exportar arquivos da diretivafosse disponível no Windows Server 2003 R2, criar relações deconfiança federadas entre as organizações dos parceiros é maisfácil no Windows Server “Longhorn”, como um resultado dafuncionalidade de importar e exportar baseada na diretiva. Essasmelhorias foram feitas para aprimorar a experiênciaadministrativa, permitindo mais flexibilidade para afuncionalidade de importação no Assistente para AdicionarParceiro. Por exemplo, quando uma diretiva de parceiro éimportada, o administrador pode usar esse Assistente paramodificar todos os valores que foram importados antes de oprocesso do assistente ser concluído. Isso inclui a capacidade deespecificar um certificado diferente de verificação da conta doparceiro e a de mapear as declarações de entrada e saída entre osparceiros.Usando os recursos de importar e exportar, incluídos nos ServiçosFederados do Active Directory no Windows Server “Longhorn,” osadministradores podem apenas exportar suas configurações dadiretiva de relação de confiança para um arquivo .xml e entãoenviar o arquivo ao administrador parceiro. Essa troca dearquivos de diretiva de parceiros fornece todas as URIs, tipos dedeclaração, mapeamentos de declaração e outros valores ecertificados de verificação necessários para criar uma relação deconfiança federada entre duas organizações parceiras.A ilustração que segue e as instruções que acompanham mostramcomo uma troca bem sucedida de diretivas entre os parceiros —neste caso, iniciada pelo administrador da organização parceirada conta — pode ajudar a dinamizar o processo de estabelecer umarelação de confiança federada entre duas organizações fictícias:A. Datum Corp. e Trey Research.O seguinte fluxograma apresenta como um controlador de domínioque executa o Windows Server “Longhorn” pode fazer a transiçãoentre esses três estados possíveis. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 189. 1861. O administrador parceiro da conta especifica a opção Exportar Diretiva Parceira Básica, clicando com o botão direito na pasta Diretiva Confiável, e exporta um arquivo de diretiva parceira que contém a URL, o nome de exibição, a URL do proxy do servidor da federação e o certificado de verificação da A. Datum Corp. O administrador parceiro da Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 190. 187 conta então envia o arquivo da diretiva parceira (por e- mail ou outros meios) ao administrador parceiro do recurso. 2. Esse administrador cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira da conta. O administrador parceiro do recurso continua a especificar o local e o arquivo de diretiva parceira e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. O administrador então conclui o assistente. 3. O administrador parceiro do recurso agora pode configurar declarações adicionais ou configurações da diretiva de relação de confiança para aquele parceiro da conta. Após concluir essa configuração,o administrador especifica a opção Exportar Diretiva, clicando com o botão direito no parceiro de conta de A. Datum Corp. O administrador parceiro do recurso exporta um arquivo da diretiva do parceiro que contém valores, como a URL, a URL do proxy do servidor de federação, o nome de exibição, tipos de declaração e mapeamentos de declaração para a organização Trey Research. O administrador parceiro do recurso então envia o arquivo da diretiva parceira ao administrador parceiro da conta. 4. Esse administrador cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira do recurso. O administrador parceiro da conta continua a especificar o local e o arquivo de diretiva parceira do recurso e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. O administrador então conclui o assistente.Quando este processo está concluído, uma relação de confiança bemsucedida da federação entre os parceiros é estabelecida. Osadministradores parceiros de recursos também podem iniciar umprocesso de diretiva para importar e exportar, embora o processonão seja descrito aqui.Novas ConfiguraçõesVocê configura as configurações do Web Agent baseado no token doWindows NT com o snap-in do IIS Manager. Para suportar as novasfuncionalidades fornecidas com o IIS 7.0, os Serviços Federadosdo Active Directory do Windows Server “Longhorn” incluiatualizações na UI para o serviço de função do Web Agent dosServiços Federados do Active Directory. A tabela que segue listaos diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 191. 188 para cada uma das páginas de propriedades do Web Agent do Active Directory Federation, dependendo da versão do IIS que está sendo usada. Páginas de Propriedades do Web Agent dos Serviços Federados do Active Directory Página de Local Antigo IIS 7.0 Novo LocalPropriedades do IIS Propriedade 6.0 PáginaGuia de Serviços <COMPUTERNAME>Web URL do Federation <COMPUTERNAME> (na seçãoFederados do Sites Service Outros do painelActive Directory central)Web AgentGuia de Serviços <COMPUTERNAME>Web Web Agent dos <COMPUTERNAME>WebFederados do Sites<Site ou Serviços Federados Sites<Site ou VirtualActive Directory Virtual Directory> do Active Directory> (na seçãoWeb Agent Directory IISAuthentication do painel centra) Nota Não existem diferenças significativas de UI entre o snap-in dos Serviços Federados do Active Directory no Windows Server “Longhorn” e o dos Serviços Federados do Active Directory no Windows Server 2003 R2. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 192. 1895.10 Active Directory Lightweight Directory Services A função do servidor do Active Directory Lightweight Directory Services é um serviço de diretório do LDAP. Ele fornece armazenamento e recuperação de dados para as aplicações ativadas pelo diretório, sem as dependências requeridas para os Serviços de Domínio do Active Directory. O Active Directory Lightweight Directory Services no Windows Server “Longhorn” abrange as funcionalidades fornecidas pelo Modo de Aplicação do Active Directory, que estão disponíveis no Microsoft Windows XP Professional e Windows Server 2003. O Active Directory Lightweight Directory Services fornece às organizações um suporte flexível às aplicações ativadas pelo diretório. Uma aplicação ativada pelo diretório usa um diretório — em vez de um banco de dados, arquivo ou outra estrutura para armazenar dados — para manter seus dados. Os serviços de diretório (como o Active Directory Lightweight Directory Services) e os bancos de dados relacionais fornecem o armazenamento e recuperação dos dados, mas eles diferem na otimização. Os serviços de diretório são otimizados para o processamento da leitura, enquanto os bancos de dados relacionais são para o processamento de transação. Muitas aplicações personalizadas e outras regulares utilizam um design ativado para diretório. Enter esses exemplos estão: • Aplicações de gerenciamento da relação com clientes (CRM) • Aplicações de recursos humanos (HR) • Aplicações de catálogo de endereços global O Active Directory Lightweight Directory Services fornece muitas das mesmas funcionalidades dos Serviços de Domínio do Active Directory (e, na verdade, ambos são construídos sob a mesma base de código), mas ele não requer a implantação de domínios ou controladores de domínio. Você pode executar múltiplas instâncias do Active Directory Lightweight Directory Services ao mesmo tempo em um único computador, com um esquema independentemente gerenciado para cada instância ou configuração do Active Directory Lightweight Directory Services (caso a instância faça parte do conjunto de configurações). Os servidores membros, controladores de domínio e servidores autônomos podem ser configurados para executar o Active Directory Lightweight Directory Services. O Active Directory Lightweight Directory Services é semelhante aos Serviços de Domínio do Active Directory ao fornecer o seguinte: • Replicação Multimaster • Suporte à API de Interfaces do Active Directory Service • Partições do diretório da aplicação • LDAP sobre o SSL Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 193. 190O Active Directory Lightweight Directory Services se difere dosServiços de Domínio do Active Directory principalmente no que serefere a não armazenar os princípios de segurança do Windows.Embora o Active Directory Lightweight Directory Services possausar os princípios de segurança do Windows (como os usuários dodomínio) nos ACLs que controlam o acesso aos objetos no ActiveDirectory Lightweight Directory Services, o Windows não podeautenticar os usuários armazenados no Active DirectoryLightweight Directory Services ou utilizar os usuários do ActiveDirectory Lightweight Directory Services em seus ACLs. Alémdisso, o Active Directory Lightweight Directory Services nãosuporta domínios e florestas, Diretiva de Grupo ou catálogosglobais.As organizações que têm os seguintes requisitos irão considerar oActive Directory Lightweight Directory Services particularmenteútil: • Diretórios específicos da aplicação que usam esquemas personalizados ou que dependem de um gerenciamento descentralizado de diretório Diretórios do Active Directory Lightweight Directory Services que sejam separados da infra-estrutura de domínio dos Serviços de Domínio do Active Directory. Como resultado, eles podem suportar aplicações que dependam das extensões de esquemas não desejáveis no diretório do Active Directory Domain Services — como as que são úteis a uma única aplicação. Além disso, o administrador do servidor local pode gerenciar os diretórios do Active Directory Lightweight Directory Services; os administradores de domínio não precisam fornecer suporte administrativo. • Desenvolvimento da aplicação ativada pelo diretório e os ambientes de protótipo separados da estrutura de domínio da empresa Os desenvolvedores de aplicação que estão criando aplicações ativadas pelo diretório podem instalar a função do Active Directory Lightweight Directory Services em qualquer servidor, mesmo nos autônomos. Como resultado, os desenvolvedores podem controlar e modificar o diretório em seu ambiente de desenvolvimento, sem interferir na infra- estrutura de Active Directory Domain Services da organização. Essas aplicações podem ser implantadas de forma subseqüente, tanto com o Active Directory Lightweight Directory Services como com os Serviços de Domínio do Active Directory como serviço de diretório da aplicação, conforme apropriado. Os administradores de rede podem usar o Active Directory Lightweight Directory Services como ambiente protótipo ou piloto para aplicações que, eventualmente, serão implantadas com os Serviços de Domínio do Active Directory como seu armazenamento de diretório, contanto que a aplicação não dependa de recursos específicos dos Serviços de Domínio do Active Directory. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 194. 191 • Gerenciamento de acesso de computadores de clientes externos aos recursos da rede Empresas que precisam autenticar computadores, como os de Web client ou visitantes, podem usar o Active Directory Lightweight Directory Services como local de diretório para autenticação. Isso ajuda as empresas a evitarem precisar manter informações de clientes externos no diretório de domínio da empresa. • Ativando computadores clientes LDAP em um ambiente heterogêneo para autenticar os Serviços de Domínio do Active Directory Quando as organizações se fundem, geralmente há uma necessidade de integrar os computadores clientes LDAP que executam diferentes sistemas operacionais de servidores em uma única infra-estrutura de rede. Nesses casos, em vez de atualizar imediatamente os computadores clientes que executam aplicações em LDAP ou modificar o esquema dos Serviços de Domínio do Active Directory para funcionar com os clientes existentes, os administradores de rede podem instalar o Active Directory Lightweight Directory Services em um ou mais servidores. A função de servidor do Active Directory Lightweight Directory Services age como um diretório intermediário que usa um esquema existente até que os computadores clientes possam ser atualizados para usar os Serviços de Domínio do Active Directory, de forma nativa, para acesso LDAP e autenticação.Como o Active Directory Lightweight Directory Services é feitopara ser um serviço de diretório para aplicações, espera-se queelas criem, gerenciem e removam objetos de diretório. Comoserviço de diretório de propósito geral, o Active DirectoryLightweight Directory Services não é suportado por ferramentasorientadas a domínio, como estas: • Domínios e Relações de Confiança do Active Directory • Usuários e Computadores do Active Directory • Locais e Serviços do Active DirectoryNo entanto, os administradores podem gerenciar os diretórios doActive Directory Lightweight Directory Services, usando asferramentas de diretório, como as seguintes: • ADSI Edit (para visualizar, modificar, criar e excluir qualquer objeto do Active Directory Lightweight Directory Services) • Ldp.exe (para administração geral em LDAP) • Outros utilitários do gerenciamento de esquemaAs aplicações que foram designadas para trabalhar no Modo deAplicação do Active Directory não exigem alterações parafuncionar com o Active Directory Lightweight Directory Services. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 195. 1925.11 Serviços de Gerenciamento de Direitos do ActiveDirectory Para o Windows Server “Longhorn,” os Serviços de Gerenciamento de Direitos do Active Directory inclui diversos recursos novos que não estavam disponíveis no Microsoft Windows Rights Management Services (RMS). Esses novos recursos foram feitos para facilitar a sobrecarga administrativa dos Serviços de Gerenciamento de Direitos do Active Directory e para estender seu uso para foram da sua organização. Entre os novos recursos, estão: • Inclusão dos Serviços de Gerenciamento de Direitos do Active Directory no Windows Server “Longhorn” como função de servidor • Administração por meio de um MMC • Integração com os Serviços Federados do Active Directory • Registro automático dos servidores dos Serviços de Gerenciamento de Direitos do Active Directory • Habilidade de delegar responsabilidades por meio de novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory Nota Este tópico concentra-se nos recursos específicos dos Serviços de Gerenciamento de Direitos do Active Directory que estão sendo lançados com o Windows Server “Longhorn.” As versões anteriores do RMS estão disponíveis em um download separado. Para mais informações sobre os recursos que eram disponíveis no RMS, confira o Windows Server 2003 Rights Management Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637). Os Serviços de Gerenciamento de Direitos do Active Directory, uma tecnologia agnóstica de formato e aplicação, fornece serviços que ativam a criação de soluções de proteção às informações. Ele funcionará com qualquer aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory a fim de fornecer diretivas persistentes de utilização de informações sensíveis. O conteúdo pode ser protegido, usando os Serviços de Gerenciamento de Direitos do Active Directory, que inclui sites da intranet, mensagens de e-mail e documentos. Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de funções centrais que permitem aos desenvolvedores adicionar proteção às informações nas funcionalidades de aplicações existentes. Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory, que inclui componentes de cliente e servidor, realiza os seguintes processos: • Licenciamento de informações protegidas por direitos. Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory emite certificados de contas de direitos, que Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 196. 193 identificam as entidades confiáveis (como usuários, grupos e serviços) que possam publicar o conteúdo protegido por direito. Uma vez que a relação de confiança é estabelecida, os usuários podem atribuir direitos e condições de utilização ao conteúdo que desejam proteger. Esses direitos especificam quem pode acessar o conteúdo protegido e o que a pessoa deseja fazer com ele. Quando o conteúdo é protegido, uma licença de publicação é criada para ele. Essa licença vincula os direitos específicos de utilização a certa parte do conteúdo, para que o conteúdo possa ser distribuído. Por exemplo, os usuários podem enviar documentos protegidos a outros usuários, dentro ou fora da organização, sem que o conteúdo perca sua proteção. • Adquirindo licenças para descriptografar o conteúdo protegido por direito e aplicar diretivas de utilização. Os usuários que receberam um certificado de conta dos direitos podem acessar o conteúdo protegido, usando uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory que permite que eles vejam o conteúdo e trabalhem com ele. Quando os usuários tentam acessar um conteúdo protegido, são enviadas requisições aos Serviços de Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o conteúdo. Quando um usuário tenta usar o conteúdo protegido, o serviço de licenciamento dos Serviços de Gerenciamento de Direitos do Active Directory, no cluster dos Serviços de Gerenciamento de Direitos do Active Directory, emite uma licença única de utilização que lê, interpreta e aplica os direitos e condições especificados nas licenças de publicação. Os direitos e condições de utilização são aplicados de forma persistente e automática a qualquer lugar a que o conteúdo possa ir. • Criando arquivos e modelos protegidos por direitos. Os usuários que são entidades confiáveis no sistema dos Serviços de Gerenciamento de Direitos do Active Directory podem criar e gerenciar arquivos aprimorados pela proteção, usando ferramentas conhecidas de autoria de uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory, que incorpora os recursos de tecnologia dos Serviços de Gerenciamento de Direitos do Active Directory. Além disso, as aplicações ativadas pelos Serviços de Gerenciamento de Direitos do Active Directory podem usar modelos de utilização centralmente definidos e oficialmente autorizados para ajudar os usuários a aplicar, efetivamente, uma série pré-definida de diretivas de utilização.Os Serviços de Gerenciamento de Direitos do Active Directory éfeito para ajudar a tornar o conteúdo mais seguro, independentede para onde ele tenha sido movido.Os seguintes grupos de profissionais devem analisar esta seçãodos Serviços de Gerenciamento de Direitos do Active Directory: • Planejadores e analistas de TI que avaliam os produtos de gerenciamento de direitos na empresa • Profissionais de TI responsáveis por suportar uma infra- estrutura existente de RMS Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 197. 194 • Arquitetos de segurança em TI interessados em implantar uma tecnologia de proteção às informações que forneça proteção a todos os tipos de dadosOs Serviços de Gerenciamento de Direitos do Active Directoryconta como Active Directory Domain Services para verificar se ousuário que tenta usar o conteúdo protegido está autorizado parafazer isso. Ao registrar um ponto de conexão do serviço (SCP) dosServiços de Gerenciamento de Direitos do Active Directory durantea instalação, o usuário deve ter acesso de Escrita ao containerServices nos Serviços de Domínio do Active Directory.Por fim, todas as informações de configuração e registro sãoarmazenadas no Banco de Dados de Registro dos Serviços deGerenciamento de Direitos do Active Directory. Em um ambiente deteste, você pode usar o Banco de Dados Interno do Windows, mas,em um ambiente de produção, recomenda-se usar um servidor debanco de dados separado.Os Serviços de Gerenciamento de Direitos do Active Directoryinclui uma série de melhorias quanto às versões anteriores doRMS. Essas melhorias incluem o seguinte: • Instalação aprimorada e experiência em administração. Os Serviços de Gerenciamento de Direitos do Active Directory está incluído no Windows Server “Longhorn”, sendo instalado como uma função de servidor. Além disso, a administração dos Serviços de Gerenciamento de Direitos do Active Directory é feita por um MMC, ao contrário da administração do Web site apresentada nas versões anteriores. • Registro automático do cluster dos Serviços de Gerenciamento de Direitos do Active Directory O cluster dos Serviços de Gerenciamento de Direitos do Active Directory pode ser registrado sem uma conexão com o Microsoft Enrollment Service. Pelo uso de um certificado de registro automático do servidor, o processo de registro é feito totalmente em um computador local. • Integração com os Serviços Federados do Active Directory Os Serviços de Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active Directory foram integrados para que as empresas possam alavancar relações federadas existentes para colaborar com os parceiros externos. • Novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory. A capacidade de delegar tarefas dos Serviços de Gerenciamento de Direitos do Active Directory a diferentes administradores para diferentes administradores é necessária em qualquer ambiente corporativo com esta versão dos Serviços de Gerenciamento de Direitos do Active Directory. Três funções administrativas foram criadas: Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory e Auditores de Serviços de Gerenciamento de Direitos do Active Directory.Instalação Aprimorada e Experiência em Administração. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 198. 195Os Serviços de Gerenciamento de Direitos do Active Directory noWindows Server “Longhorn” traz diversas melhorias para aexperiência de instalação e de administração. Nas versõesanteriores do RMS, um pacote separado de instalação precisava dedownload para depois ser instalado, mas, nesta versão, osServiços de Gerenciamento de Direitos do Active Directory foiintegrado no sistema operacional e instalado como função deservidor pelo Server Manager. A configuração e fornecimento sãoencontrados pela instalação da função do servidor. Além disso, oServer Manager lista e instala, automaticamente, todos osserviços dos quais os Serviços de Gerenciamento de Direitos doActive Directory é dependente, como o Message Queuing e o WebServer (IIS), durante a instalação da função de servidor dosServiços de Gerenciamento de Direitos do Active Directory.Durante a instalação, se você não especificar um banco de dadosremoto como os Serviços de Gerenciamento de Direitos do ActiveDirectory Configuration e Logging, os Serviços de Gerenciamentode Direitos do Active Directory instala e configura,automaticamente, o Banco de Dados Interno do Windows para usarcom os Serviços de Gerenciamento de Direitos do Active Directory.Nas versões anteriores do RMS, a administração era feita por umainterface da Web. Nos Serviços de Gerenciamento de Direitos doActive Directory, a interface administrativa foi migrada para umconsole snap-in do MMC. O console dos Serviços de Gerenciamentode Direitos do Active Directory fornece a você todas asfuncionalidades disponíveis, com a versão anterior do RMS, mascom uma interface muito mais fácil de usar.Oferecer os Serviços de Gerenciamento de Direitos do ActiveDirectory como função de servidor incluída com o Windows Server“Longhorn” torna o processo de instalação menos incômodo, por nãoexigir que você faça o download dos Serviços de Gerenciamento deDireitos do Active Directory separadamente, antes de instalá-lo.Usar o console dos Serviços de Gerenciamento de Direitos doActive Directory para a administração, em vez de uma interface denavegador, torna as opções mais disponíveis para aprimorar ainterface de usuário. O console dos Serviços de Gerenciamento deDireitos do Active Directory emprega os elementos da interface deusuário que são consistentes pelo Windows Server “Longhorn,”sendo mais fácil de seguir e de navegar. Além disso, com oinclusão das funções administrativas dos Serviços deGerenciamento de Direitos do Active Directory, o console dosServiços de Gerenciamento de Direitos do Active Directory exibeapenas as partes que o usuário pode acessar. Por exemplo, umusuário que está usando a função de administração dos Serviços deGerenciamento de Direitos do Active Directory TemplateAdministrators está restrito a tarefas que são específicas aosmodelos dos Serviços de Gerenciamento de Direitos do ActiveDirectory. Todas as outras tarefas administrativas não estãodisponíveis no console dos Serviços de Gerenciamento de Direitosdo Active Directory.Registro automático dos Serviços de Gerenciamento de Direitos do ActiveDirectory Server Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 199. 196O registro do servidor nos Serviços de Gerenciamento de Direitosdo Active Directory é o processo de criação e assinatura de umcertificado de licenciamento de servidor (SLC) que garante aoservidor dos Serviços de Gerenciamento de Direitos do ActiveDirectory o direito de emitir certificados e licenças. Nasversões anteriores do RMS, o SLC tinha de ser assinado por umServiço de Registro da Microsoft por meio de uma conexão àInternet. Isso exigia que o servidor do RMS tivesse conectividadecom a Internet para fazer o registro online no Serviço deRegistro da Microsoft ou fosse capaz de se conectar a outrocomputador com acesso à Internet que pudesse fazer o registrooffline no servidor.Nos Serviços de Gerenciamento de Direitos do Active Directory como Windows Server “Longhorn,” o requisito de o servidor dosServiços de Gerenciamento de Direitos do Active Directorycontatar-se diretamente com o Serviço de Registro da Microsoftfoi removido. Em vez disso, um certificadode registro automático do servidor é incluído com o WindowsServer “Longhorn”, que assina o SLC do servidor dos Serviços deGerenciamento de Direitos do Active Directory.Exigir que o SLC seja assinado pelo Serviço de Registro daMicrosoft mostrou uma dependência operacional, que muitosclientes não queriam em seu ambiente. O Serviço de Registro daMicrosoft não é mais requerido para assinar o SLC.Em vez disso, para assinar o SLC do servidor dos Serviços deGerenciamento de Direitos do Active Directory server, ocertificado de registro automático, incluído com o Windows Server“Longhorn,” pode assinar o SLC localmente. Esse certificadopermite que os Serviços de Gerenciamento de Direitos do ActiveDirectory opere em uma rede que seja inteiramente isolada daInternet.Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve seratualizado antes do cluster de licenciamento apenas. Isso éexigido para que o cluster de licenciamento apenas receba o SLCrecém-registrado do cluster raiz.Integração com os Serviços Federados do Active DirectoryAs empresas vêm continuamente sentindo a necessidade de colaborarfora dos seus limites corporativos, procurando a federação comouma solução possível. O suporte da federação com os Serviços deGerenciamento de Direitos do Active Directory irá permitir que asempresas alavanquem suas relações federadas já estabelecidas parapermitir a colaboração com entidades externas. Por exemplo, umaorganização que tenha implantado os Serviços de Gerenciamento deDireitos do Active Directory pode definir uma federação com umaentidade externa, usando os Serviços Federados do ActiveDirectory, alavancando sua relação para compartilhar conteúdosprotegidos entre duas organizações, sem exigir uma implantaçãodos Serviços de Gerenciamento de Direitos do Active Directory nosdois locais.Nas versões anteriores do RMS, as opções para colaboração externade conteúdo protegido eram limitadas ao Microsoft Passport.Integrar os Serviços Federados do Active Directory com osServiços de Gerenciamento de Direitos do Active Directory fornece Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 200. 197a capacidade de estabelecer identidades federadas entre asorganizações e compartilhar conteúdos protegidos por direitos.Se você está interessado em usar os Serviços Federados do ActiveDirectory com os Serviços de Gerenciamento de Direitos do ActiveDirectory, deve ter uma relação de confiança federada entre a suaorganização e os parceiros externos com quem gostaria decolaborar antes de os Serviços de Gerenciamento de Direitos doActive Directory ser instalado. Além disso, você deve usar ocliente dos Serviços de Gerenciamento de Direitos do ActiveDirectory, incluído com o Windows Vista ou o RMS Client com SP2para tirar proveito da integração dos Serviços Federados doActive Directory com os Serviços de Gerenciamento de Direitos doActive Directory. Os clientes do RMS anteriores ao RMS Client comSP2 não irão suportar a colaboração dos Serviços Federados doActive Directory.Novas funções administrativas dos Serviços de Gerenciamento deDireitos do Active Directory.Para delegar um maior controle sobre o seu ambiente dos Serviçosde Gerenciamento de Direitos do Active Directory, foram criadasnovas funções administrativas. Essas funções são grupos desegurança locais criadas quando os Serviços de Gerenciamento deDireitos do Active Directory está instalado. Cada uma dessasfunções possui níveis diferentes de acesso aos Serviços deGerenciamento de Direitos do Active Directory associado a elas.As novas funções são: Grupo de Serviços de Gerenciamento deDireitos do Active Directory, Administradores Corporativos deServiços de Gerenciamento de Direitos do Active Directory,Administradores de Modelos de Serviços de Gerenciamento deDireitos do Active Directory e Auditores Serviços deGerenciamento de Direitos do Active Directory.O Grupo Serviços de Gerenciamento de Direitos do Active Directorymantém a conta do serviço dos Serviços de Gerenciamento deDireitos do Active Directory. Quando a função dos Serviços deGerenciamento de Direitos do Active Directory é adicionada, aconta de serviço configurada durante a instalação é adicionadaautomaticamente à função administrativa.A função dos Administradores Corporativos de Serviços deGerenciamento de Direitos do Active Directory permite que osmembros deste grupo gerenciem todas as diretivas e configuraçõesdos Serviços de Gerenciamento de Direitos do Active Directory.Durante o fornecimento dos Serviços de Gerenciamento de Direitosdo Active Directory, a conta de usuário que instala a função dosServiços de Gerenciamento de Direitos do Active Directory e ogrupo de administradores locais são adicionados à função dosAdministradores Corporativos de Serviços de Gerenciamento deDireitos do Active Directory. Como uma melhor prática, os membrosdeste grupo devem ser restringidos a apenas contas de usuáriosque precisam de controle administrativo total sobre os Serviçosde Gerenciamento de Direitos do Active Directory. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 201. 198Os Administradores de Modelos de Serviços de Gerenciamento deDireitos do Active Directory permitem que os membros deste grupogerenciem os modelos de diretiva de direitos. Especificamente, osAdministradores de Modelos de Serviços de Gerenciamento deDireitos do Active Directory podem ler as informações do cluster,listar modelos de diretivas, criar novos modelos de diretivas,modificar um modelo existente e exportar esses modelos.A função dos Auditores de Serviços de Gerenciamento de Direitosdo Active Directory permite que os membros deste grupo gerenciemlogs e relatórios. Essa é uma função de somente leitura que élimitada a ler informações do cluster, ler as configurações delogging e executar relatórios disponíveis no cluster dos Serviçosde Gerenciamento de Direitos do Active Directory.As funções administrativas do novos Serviços de Gerenciamento deDireitos do Active Directory fornecem a oportunidade de delegartarefas dos Serviços de Gerenciamento de Direitos do ActiveDirectory sem fornecer controle total sobre todo o cluster dessesserviços.Os clientes que querem implantar os Serviços de Gerenciamento deDireitos do Active Directory em sua organização não precisamfazer nada para se preparar para essa mudança. De forma opcional,recomenda-se criar grupos de segurança do Active Directory paracada uma dessas funções administrativas e adicioná-los aos gruposde segurança locais. Isso dará a você a capacidade de escalar asua implantação dos Serviços de Gerenciamento de Direitos doActive Directory por meio de diversos servidores, sem precisaradicionar contas de usuário a cada servidor dos Serviços deGerenciamento de Direitos do Active Directory. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 202. 199Seção 6: Plataforma deAplicações e da Web 6.01 Introdução à Plataforma de Aplicações e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicação ........................................212 6.05 NTFS Transacional..........................................217 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 203. 2006.01 Introdução à Plataforma de Aplicações e da Web Este cenário enfoca as melhorias em gerenciamento, segurança, desempenho e capacidade de extensão que estarão disponíveis quando o Windows Server® “Longhorn” for implantando no host e gerenciar aplicações e serviços em execução no servidor e/ou através da Web. Proposta de Valor do Cenário O Windows Server “Longhorn” fornece uma plataforma mais segura e fácil de ser gerenciada para o desenvolvimento e hospedagem de aplicações e serviços executados no servidor e/ou através da Web. Estas são as principais propostas de valor que a plataforma de aplicações e da Web oferece: • Gerenciamento mais eficiente de serviços e aplicações da Web e do servidor • Configuração e implantação mais rápidas de serviços e aplicações da Web em farms de servidores • Plataforma Web personalizada, dinamizada e mais segura • Maior desempenho e/ou escalabilidade para serviços e aplicações da Web • Controle e visibilidade sobre como e quando os serviços e aplicações utilizam recursos importantes do sistema operacional Requisitos Especiais de Hardware Nenhum Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 204. 2016.02 Internet Information Services 7.0 O Windows Server “Longhorn” fornece uma plataforma unificada para publicação da Web que integra o IIS, o ASP.NET, o Windows® Communication Foundation e o Microsoft® Windows SharePoint® Services. O IIS versão 7.0 é uma importante melhoria para o servidor Web IIS existente e exerce função central na integração de tecnologias de plataforma Web. O IIS 7.0 é construído para ser compatível com os lançamentos existentes. Espera-se que todas as aplicações ASP, ASP.NET 1.1 e ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma mudança de código (usando o suporte de ISAPI compatível). Todas as extensões ISAPI existentes e a maioria dos filtros ISAPI também continuarão funcionando, sem mudanças. Entretanto, os filtros ISAPI que dependem da notificação LER DADOS NÃO PROCESSADOS não são suportados no IIS 7.0. Para todas as Interfaces de Serviço do Active Directory® e scripts WMI existentes, o IIS 7.0 fornecerá paridade de recursos com os lançamentos anteriores, possibilitando que estes sejam executados diretamente do novo armazenamento de configuração. Os principais pilares do lançamento do IIS 7.0 são: • Modelo de extensibilidade flexível para poderosa personalização • Poderosas ferramentas de diagnóstico e resolução de problemas • Administração delegada • Segurança aprimorada e superfície de ataque reduzida por meio de personalização • Implantação real de xcopy de aplicações • Gerenciamento integrado de aplicações e integridade para serviços WCF • Ferramentas de administração aprimoradas Modelo de Extensibilidade Flexível para Personalização Poderosa O IIS 7.0 permite aos desenvolvedores estender o IIS para fornecer funcionalidade personalizada de novas e mais poderosas maneiras. A extensibilidade do IIS 7.0 inclui um conjunto totalmente novo de interfaces de programação de aplicação (API) de servidor principal, que permite que os módulos de recursos sejam desenvolvidos tanto em código nativo (C/C++) como em código gerenciado (linguagens como C#, e o Visual Basic® 2005, que usa o .NET Framework). O IIS 7.0 também permite extensibilidade de configuração, scripts, registro de eventos e conjuntos de recursos de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 205. 202ferramentas de administração, proporcionando aos desenvolvedoresde software uma plataforma de servidor completa sobre a qual épossível construir extensões de servidor Web.Ferramentas Poderosas de Diagnóstico e Resolução de ProblemasO IIS 7.0 possibilita aos desenvolvedores e profissionais de TIresolver mais facilmente problemas de erros em aplicações e sitesda Web. O IIS 7.0 fornece uma visualização clara das informaçõesde diagnóstico interno sobre o IIS, além de coletar e apresentareventos de diagnóstico detalhados para ajudar a solucionarproblemas com servidores.Administração DelegadaO IIS 7.0 permite àqueles que hospedam ou administram sites daWeb ou serviços WCF delegar controle administrativo aosdesenvolvedores ou donos do conteúdo, reduzindo assim o custo depropriedade e os encargos administrativos para o administrador.Novas ferramentas de administração são fornecidas para suportaresses recursos de delegação.Segurança Aprimorada e Superfície de Ataque Reduzida por meio dePersonalizaçãoVocê pode controlar quais recursos podem ser instalados eexecutados em seu servidor Web. O IIS 7.0 é composto por mais de40 módulos de recursos diferentes. Cada módulo pode ser instaladode forma independente no servidor, para reduzir a superfície deataque do servidor e diminuir o overhead administrativo onde nãofor necessário. Para mais informações sobre os diversos módulosde recursos, consulte: Módulos do IIS 7.0(http://go.microsoft.com/fwlink/?LinkId=68740).Implantação de Xcopy em Aplicações VerdadeirasO IIS 7.0 permite armazenar as configurações do IIS em arquivosWeb.config, o que torna muito mais fácil usar o comando xcopypara copiar aplicações em múltiplos servidores Web front-end,evitando assim a replicação dispendiosa e sujeita a erros, alémde problemas de sincronização manual.Gerenciamento de Aplicações e Integridade para Serviços WCFPara aprimorar o desenvolvimento e a hospedagem dos serviços WCFem diversos protocolos, o Windows Server “Longhorn” inclui oWindows Activation Service (WAS), que suporta a ativaçãoconectável de escuta arbitrária de protocolo. O WAS fornecegerenciamento inteligente de recursos para todos os tipos deaplicações ativadas por mensagem, ativação de processo pordemanda, monitoramento de integridade, além de detecção ereciclagem automáticas de falhas. O WAS é baseado no modelo deprocesso de solicitação do IIS 6.0.Ferramentas de Administração Aprimoradas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 206. 203O IIS 7.0 apresenta uma nova interface gráfica e uma novaferramenta de linha de comando para o gerenciamento eadministração de servidores Web, sites e aplicações da Web.Suporte de Gerenciamento Integrado para Serviços da WebPara aprimorar o desenvolvimento e a hospedagem dos serviços WCFem diversos protocolos, o Windows Server “Longhorn” inclui oWindows Activation Service (WAS), que suporta a ativaçãoconectável de escuta arbitrária de protocolo. O WAS fornecegerenciamento inteligente de recursos para todos os tipos deaplicações ativadas por mensagem, ativação de processo pordemanda, monitoramento de integridade, além de detecção ereciclagem automáticas de falhas. O WAS é baseado no modelo deprocesso de solicitação do IIS.Firewall do Windows Ativado por PadrãoO Firewall do Windows é ativado por padrão no Windows Server“Longhorn”. Durante a instalação da função do servidor Web (IIS),o processo de instalação adiciona as seguintes regras de entradado Firewall do Windows, para permitir o tráfego de todos osserviços funcionais selecionados: • Caso sejam instalados serviços funcionais relacionados a HTTP e HTTPS, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para HTTP na porta 80 e para HTTPS na porta 443. Tais regras aparecem na lista do Firewall do Windows como Tráfego HTTP de Entrada dos Serviços da World Wide Web e Tráfego HTTPS de Entrada dos Serviços da World Wide Web. Essas regras são ativadas automaticamente. • Caso sejam instalados serviços funcionais relacionados a FTP, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para FTP na porta 21. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Servidor FTP. Essa regra é ativada automaticamente. • Caso seja instalado o Serviço de Gerenciamento, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para o serviço na porta 8172. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Serviço de Gerenciamento da Web. Essa regra deve ser ativada pelo administrador do servidor.EdiçõesO IIS 7.0 está disponível em todas as edições do Windows Server.Não há diferença de funcionalidade entre as edições. O IIS 7.0está disponível em plataformas de 32 bits e 64 bits.ConfiguraçãoO IIS 7.0 apresenta algumas importantes melhorias na maneira comoos dados de configuração são armazenados e acessados. Um dosprincipais objetivos do lançamento do IIS 7.0 é possibilitar a Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 207. 204configuração distribuída das configurações do IIS, que permiteaos administradores especificar as configurações do IIS nosarquivos armazenados com o código e o conteúdo.A configuração distribuída permite aos administradoresespecificar as configurações para um site ou aplicação da Web nomesmo diretório do código ou conteúdo. Ao especificar asconfigurações em um único arquivo, a configuração distribuídapermite aos administradores delegar a administração dos recursosselecionados de sites ou aplicações da Web de forma quedesenvolvedores de aplicações possam modificar tais recursos. Osadministradores também podem bloquear configurações específicas,de modo que elas não possam ser alteradas por mais ninguém.Usando a configuração distribuída, as configurações para um siteou aplicação específica podem ser copiadas de um computador paraoutro, à medida que a aplicação passa do desenvolvimento parateste e, finalmente, para produção. A configuração distribuídatambém permite que a configuração de um site ou aplicação sejacompartilhada através de um farm de servidor, em que todos osservidores recuperam as configurações e o conteúdo de um servidorde arquivos.A configuração do IIS 7.0 é baseada no armazenamento deconfiguração existente do .NET Framework, o que possibilita queas configurações do IIS sejam armazenadas em conjunto com aconfiguração do ASP.NET em arquivos Web.config. Essa mudançafornece um armazenamento de configuração para todas asconfigurações da plataforma Web, que podem ser acessadas atravésde um conjunto comum de APIs e armazenadas em um formatohomogêneo. O sistema de configuração do IIS 7.0 é tambémtotalmente extensível, de forma que os desenvolvedores podemestender o armazenamento de configuração para incluir umaconfiguração personalizada com a mesma fidelidade e prioridade daconfiguração do IIS.O IIS 7.0 armazena a configuração global, ou de todo ocomputador, no diretório %windir%system32inetsrv, em um arquivochamado ApplicationHost.config. Nesse arquivo há dois principaisgrupos de seção de configuração: • system.applicationHost • system.WebServerO grupo de seção system.applicationHost contém a configuraçãopara site, aplicação, diretório virtual e pools de aplicações. Ogrupo de seção system.WebServer contém a configuração para todasas demais configurações, incluindo os padrões globais da Web.A configuração específica de URL também pode ser armazenada emApplicationHost.config usando as tags <location>. O IIS 7.0também pode fazer leitura e escrita de configuração específica deURL dentro dos diretórios de código ou conteúdo de sites eaplicações da Web do servidor nos arquivos Web.config, junto coma configuração do ASP.NET. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 208. 205Como o Windows Server “Longhorn” é uma nova versão, é possívelque você leve algum tempo para familiarizar-se como as novasopções de configuração.Os sites de produção e os serviços WCF que atualmente sãoexecutados através do IIS 6.0 devem ser cuidadosamente testadosantes de passarem para produção no IIS 7.0, embora o IIS 7.0 sejaprojetado para ser compatível.Se você usa scripts de linha de comando personalizados do IIS6.0, pode precisar convertê-los para o IIS 7.0.Ferramentas de AdministraçãoO IIS 7.0 apresenta as seguintes ferramentas de administração,novas e completamente reescritas, para o gerenciamento do IIS: • GUI (Interface Gráfica do Usuário), IIS Manager • Ferramenta de linha de comando, appcmd.exe • Armazenamento de configuração, baseado no armazenamento de configuração do .NET Framework 2.0, que suporta a edição direta de configurações • Provedor WMI que pode ler ou alterar configurações no armazenamento de configuração • Interface gerenciada, Microsoft.Web.Administration, que expõe as mesmas informações exibidas pelo provedor WMIAlém disso, o snap-in MMC do IIS 6.0 também é fornecido com oWindows Server “Longhorn” para suportar administração remota eadministrar sites FTP.É possível instalar as ferramentas de administração e oscomponentes de servidor Web separadamente.O IIS 7.0 também inclui um novo provedor WMI que amplia o acessoa scripts para todas as configurações do IIS e do ASP.NET.A interface Microsoft.Web.Administration fornece uma interfacegerenciada fortemente tipificada para recuperar os mesmos dadosexibidos pelos scripts WMI.Os scripts de linha de comando do IIS 6.0 também foramsubstituídos por uma nova e poderosa ferramenta de linha decomando, a appcmd.exe.As novas ferramentas de administração suportam integralmente aconfiguração distribuída e a delegação da responsabilidadeadministrativa. A delegação pode ser muito específica, permitindoao administrador decidir exatamente quais funções delegar, caso acaso.As novas ferramentas de administração suportam integralmente anova configuração distribuída do IIS 7.0. Elas suportam o oacesso delegado (não administrativo) para configuração de sites eaplicações individuais. As ferramentas de administração suportam Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 209. 206credenciais que não sejam do Administrador e nem do Windows paraa autenticação de um site ou aplicação específica e ogerenciamento de configuração somente para aquele escopo.A nova interface gráfica do IIS Manager suporta administraçãoremota de HTTP, permitindo administração contínua local, remota emesmo através da Internet, sem requerer DCOM ou que outras portasadministrativas sejam abertas no firewall.As ferramentas de administração são totalmente extensíveis,permitindo aos desenvolvedores construir novos módulos deadministração usando o .NET Framework, para se conectaremfacilmente a novos módulos de interface gráfica de administraçãoque trabalham de forma tão transparente como aqueles que fazemparte do IIS 7.0.Núcleo do Servidor WebO Núcleo do Servidor Web do IIS 7.0 apresenta algumas mudançasfundamentais em relação ao IIS 6.0. Por exemplo, tanto o códigonativo como o código gerenciado são processados por meio de umúnico pipeline de requisições. Além disso, o IIS 7.0 apresenta ummecanismo de servidor Web onde os componentes, chamados módulos,podem ser adicionados ou removidos, dependendo da necessidade.Tais mudanças permitem uma redução significativa na superfície deataque, maior extensibilidade e melhoria do suporte para estendera funcionalidade básica do IIS 7.0, pela criação de módulos decódigo gerenciados. O novo núcleo Web de processo de trabalhotambém fornece acesso para todos os eventos de notificação nopipeline de requisição. O nível de integração é sem precedentes,permitindo que os recursos existentes do ASP.NET (comoautenticação baseada em formulários ou autorização de URL) sejamusados para todos os tipos de conteúdo da Web.Em versões anteriores do IIS, toda a funcionalidade eraconstruída por padrão, e não havia uma maneira fácil de estenderou substituir tal funcionalidade. Entretanto, o núcleo do IIS 7.0é dividido em mais de 40 módulos de recursos distintos. O núcleotambém inclui uma nova API do Win32® para construir os módulosbásicos do servidor. Os módulos básicos do servidor são novos esubstitutos mais poderosos dos filtros e extensões ISAPI deServidor da Internet, embora tais filtros e extensões sejam aindasuportados no IIS 7.0.Como todos os recursos básicos do servidor do IIS foramdesenvolvidos de forma que o IIS 7.0 possa usar a nova API doWin32® e os módulos de recursos em separado, é possível adicionar,remover ou mesmo substituir os módulos de recursos do IIS.O IIS 7.0 também inclui suporte para o desenvolvimento deextensões básicas do servidor Web usando o .NET Framework. O IIS7.0 integrou a API IHttpModule existente ao ASP.NET, permitindoque os módulos de código gerenciados acessem todos os eventos nopipeline de requisição, para todas as solicitações. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 210. 207DiagnósticoO IIS 7.0 inclui duas principais melhorias que ajudam nodiagnóstico e na resolução de problemas de sites e aplicações daWeb.As mudanças no diagnóstico e na resolução de problemas no IIS 7.0permitem que o desenvolvedor ou o administrador visualize, emtempo real, as solicitações que estão sendo executadas noservidor. Agora é possível filtrar condições de erro difíceis dereproduzir e interromper automaticamente o erro com um registrode rastreamento detalhado.O IIS 7.0 inclui uma nova API de Controle e Estado do Tempo deExecução, que proporciona informações, em tempo real, sobre oestado de pools de aplicações, processos de trabalho, sites,domínios de aplicações e ainda sobre solicitações que estão sendoexecutadas.Tais informações são exibidas por meio de uma API COM nativa. Aprópria API é agrupada e exibida através do novo provedor WMI doIIS, o appcmd.exe, e do IIS Manager. Isso permite que os usuáriosverifiquem o status do servidor Web de forma mais rápida e fácil,qualquer que seja o ambiente de gerenciamento utilizado.O IIS 7.0 também inclui eventos de rastreamento detalhadosdurante o caminho de solicitação e resposta, permitindo aosdesenvolvedores rastrear uma solicitação à medida que ela abrecaminho para o IIS, através do pipeline de requisição de processodo IIS, em qualquer código de nível de página existente, eretornar para a resposta. Tais eventos de rastreamento detalhadospermitem que os desenvolvedores tenham conhecimento não apenas docaminho da solicitação e de quaisquer informações de erro quesurjam em decorrência de uma solicitação, como também do tempodecorrido e de outras informações depuradas, para ajudar naresolução de todos os tipos de erros e quando um sistema pára deresponder.Para permitir a coleta desses eventos de rastreamento, o IIS 7.0pode ser configurado para capturar automaticamente todos osregistros de rastreamento para uma determinada solicitação, combase no tempo decorrido ou nos códigos de resposta de erros.Recursos AdicionaisPara mais informações sobre o IIS, consulte o InternetInformation Services no site da Microsoft:(http://go.microsoft.com/fwlink/?LinkId=66138).Para mais informações sobre APIs de extensibilidade do IIS,consulte o SDK do Internet Information Services 7.0 no site daMicrosoft:(http://go.microsoft.com/fwlink/?LinkId=52351). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 211. 2086.03 Windows Media Services O Microsoft Windows Media® Services 9 Series é uma plataforma de nível industrial para transmitir conteúdo de mídia digital através de redes, ao vivo ou por demanda, que inclui o conteúdo do Windows Media Audio (WMA) e do Windows Media Video (WMV). O Windows Media Services pode ser usado para gerenciar um ou mais servidores Windows Media que fornecem conteúdo de mídia digital para os seguintes tipos de clientes: • Computadores ou dispositivos que reproduzem o conteúdo usando um player, como o Windows Media Player • Outros servidores Windows Media que atuem como proxy, armazenem em cache ou redistribuam o conteúdo • Programas personalizados que foram desenvolvidos usando os Kits de Desenvolvimento de Software do Windows Media (http://go.microsoft.com/fwlink/?LinkId=82886) O Windows Media Services pode ser usado por qualquer pessoa que deseja fornecer conteúdo de mídia digital para clientes através de redes (tanto a Internet quanto uma intranet). Os seguintes tipos de organização consideram o Windows Media Services especialmente útil: • Empresas de hospedagem que fornecem uma experiência de fluxo contínuo rápido aos usuários - seja em casa ou no escritório • Empresas nas áreas comercial, educacional ou governo que gerenciam recursos de rede e fornecem comunicações valiosas para transmissões corporativas, além de aprendizado, marketing e vendas on-line • Empresas com tecnologia sem fio que fornecem serviços de entretenimento de banda larga sem fio, usando os escalonáveis e confiáveis servidores Windows Media • Difusoras da Internet que fornecem conteúdo para rádio, televisão, cabo ou satélite • Distribuidoras de filmes e música que fornecem conteúdo de áudio e vídeo de maneira segura, sem excesso de armazenamento em buffer ou congestionamento da rede • Profissionais de IPTV que fornecem uma experiência de IPTV de alta qualidade em LANs Como nos lançamentos anteriores, alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn”. Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo, o fornecimento de conteúdo para clientes como o fluxo contínuo multicast), consulte Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 212. 209a Comparação de Recursos do Windows Media Services(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição doWindows Server “Longhorn” deve ser instalada.Após a instalação da edição correta do Windows Server “Longhorn”,a função Serviços de Mídia de Fluxo Contínuo, que inclui oserviço funcional do Windows Media Services (Administrador doWindows Media Services) e serviços opcionais (Administrador doWindows Media Services para a Web e Agente de Log de DifusãoSeletiva e Anúncio), não está disponível para instalação noServer Manager. Antes de usar o Server Manager para instalar afunção Serviços de Mídia de Fluxo Contínuo, deve-se fazer odownload do Windows Media Services 9 Series. Para maisinformações sobre como instalar a função Serviços de Mídia deFluxo Contínuo no Windows Server “Longhorn”, consulte: Instalaçãoe Configuração da Função Serviços de Mídia de Fluxo Contínuo(http://go.microsoft.com/fwlink/?LinkId=82888).Se você ainda não usou o Windows Media Services, recomendamos quevocê se familiarize com os conceitos de fluxo contínuo. Um bomlugar para começar é: Usando o Windows Media Services 9 Series(http://go.microsoft.com/fwlink/?LinkId=82889). Nota Você pode adicionar a função Serviços de Mídia de Fluxo Contínuo para a instalação do Núcleo do Servidor do Windows Server “Longhorn”. Para mais informações sobre a opção de instalação do Núcleo do Servidor do Windows Server “Longhorn”, consulte o Núcleo do Servidor neste documento. Para mais informações sobre como adicionar a função Serviços de Mídia de Fluxo Contínuo ao Núcleo do Servidor do Windows Server “Longhorn”, consulte: Instalação e Configuração da Função Serviços de Mídia de Fluxo Contínuo (http://go.microsoft.com/fwlink/?LinkId=82888).Gerenciamento de Cache/ProxyO Administrador do Windows Media Services contém um novo plug-inde Gerenciamento de Cache/Proxy que controla a capacidade doservidor Windows Media de executar funções de cache e proxy. Oplug-in Cache Proxy do WMS pode ser usado para configurar umservidor Windows Media como um servidor de cache/proxy que mantéma largura de banda, reduz a latência imposta pela rede e diminuia carga sobre o servidor de origem. Esses três fatores reduzem oscustos operacionais e criam uma melhor experiência devisualização para seus clientes.Atributos das Listas de ReproduçãoOs atributos das listas de reprodução do lado servidor noSkip enoRecede são agora suportados. Clientes suportados (Windows MediaPlayer 9 Series ou versões mais recentes) que se conectam alistas de reprodução do lado servidor enviadas para pontos depublicação por demanda num servidor Windows Media podem obter Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 213. 210avanço, retrocesso, busca ou salto rápidos em toda a mídia. Essesclientes também podem avançar para a mídia anterior ou seguintena lista de reprodução. (Esses controles estão agora ativados nocliente.)Fluxo Contínuo de MMSO protocolo MMS não é suportado para fluxo contínuo e o plug-indo Protocolo de Controle de Servidor MMS foi removido doAdministrador do Windows Media Services. Observe que embora oprotocolo MMS não seja suportado, o prefixo do MMS (mms://) aindaé suportado. Quando os clientes que suportam o protocolo RTSP(Real Time Streaming Protocol) se conectam a um servidor WindowsMedia usando uma URL com prefixo mms:// (por exemplo,mms://server_name/clip_name.wmv), o servidor tentará usar asobreposição de protocolos para transferir o conteúdo para ocliente usando RTSP, para fornecer uma ótima experiência de fluxocontínuo. Os clientes que suportam RTSP são o Windows MediaPlayer 9 Series (ou versões mais recentes do Windows MediaPlayer) ou outros players que usam o Controle ActiveX® do WindowsMedia Player 9 Series.Quando versões anteriores do Windows Media Player, outros playersque não suportam o protocolo RTSP ou players em ambientes que nãosejam de RTSP se conectam ao servidor usando uma URL com prefixomms://, o servidor tentará usar a sobreposição de protocolos paratransferir o conteúdo para o cliente usando HTTP.Para garantir que seu conteúdo esteja sempre disponível paraclientes que se conectam ao seu servidor usando uma URL comprefixo mms://, ative o plug-in do Protocolo de Controle deServidor HTTP do WMS no Administrador do Windows Media Services eabra portas em seu firewall para todos os protocolos de conexãoque possam ser usados durante a sobreposição de protocolos. Paramais informações, consulte: Informações sobre Firewall para oWindows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).Configuração de Sistema HTTP do Windows Media ServicesSe você usa o Windows Media Services e outro serviço da Web, comoo Microsoft IIS nesse servidor, ambos os serviços tentarão seconectar à porta 80 para o fluxo contínuo de HTTP. Esse conflitopode ser evitado ao atribuir uma porta diferente para cadaserviço. Caso um serviço seja atribuído para outra porta que nãoa 80, a porta correspondente também deve ser aberta no firewallda rede. Para mais informações, consulte: Informações sobreFirewall para o Windows Media Services 9 Series(http://go.microsoft.com/fwlink/?LinkId=82890).Como alternativa, pode-se atribuir endereços IP adicionais para oservidor. Isso possibilita que cada serviço tenha seu próprioendereço IP e, ao mesmo tempo, compartilhe a porta 80 para ofluxo contínuo de HTTP. A maneira mais simples para essa execuçãoé instalar múltiplos adaptadores de rede no servidor. Entretanto,caso essa solução não seja possível, pode-se criar múltiplos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 214. 211endereços IP em um único adaptador de rede e atribuir-lhesendereços distintos da porta 80. Em seguida, deve-se configurar oWindows Media Services e o serviço da Web para se conectarem adiferentes combinações de endereço IP/porta 80. A ferramenta deConfiguração de Sistema HTTP do Windows Media Services, usada emversões anteriores do Windows Media Services para atribuirendereços IP adicionais para os serviços, não está disponívelnesta versão. Agora, a lista de inclusão de IP na pilha deprotocolos HTTP (HTTP.sys) deve ser configurada usando osaprimorados comandos netsh. Para mais informações, consulte oscomandos Netsh em: Novos Recursos de Rede no Windows Server“Longhorn” e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).Configuração do FirewallNão é mais necessário adicionar o programa Windows Media Services(Wmserver.exe) como uma exceção no Firewall do Windows para abriras portas de entrada padrão para fluxo contínuo unicast. Quando afunção Serviços de Mídia de Fluxo Contínuo é instalada no WindowsServer “Longhorn”, o programa Windows Media Services éautomaticamente adicionado como uma exceção no Firewall doWindows.Utilitário de Teste de Fluxo ContínuoO Server Manager deve ser usado para instalar o recursoExperiência Desktop antes que o Utilitário de Teste de FluxoContínuo possa ser usado no Administrador do Windows MediaServices.Início Rápido AvançadoO Início Rápido Avançado minimiza a latência de inicialização noWindows Media Player 10 (ou versões mais recentes) ou no WindowsCE versão 5.0 (ou versões mais recentes) e é ativado por padrão.Nas versões anteriores do Windows Media Services, o Início RápidoAvançado era desativado por padrão.Qualidade de ServiçoO Windows Media Services foi atualizado para usar as diretivas deQualidade de Serviço (QoS) no Windows Server “Longhorn” paragerenciar o tráfego de saída de rede, em vez de usar o Tipo deServiço (ToS) para fornecer fluxo contínuo unicast. Para maisinformações, consulte: Qualidade de Serviço(http://go.microsoft.com/fwlink/?LinkId=82892).ImplantaçãoAs aplicações projetadas para trabalhar com o Windows MediaServices nos sistemas operacionais Windows anteriores nãorequerem mudanças para trabalhar com o Windows Media Services noWindows Server “Longhorn”.Em comparação com a versão anterior, o Windows Media Services nãorequer nenhuma melhoria especial na rede ou na infra-estrutura de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 215. 212 segurança de sua empresa. Caso o Windows Media Services esteja sendo instalado no Windows Server “Longhorn” pela primeira vez, os Requisitos de Sistema do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente. Nota Em primeiro lugar, é preciso fazer o download e instalar o Windows Media Services a partir do site da Microsoft (http://www.microsoft.com) para o Windows Server “Longhorn”. O Windows Media Services pode ser implantado em diversos cenários. Depois da instalação do Windows Media Services, recomendamos a leitura do Guia de Implantação do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos e as recomendações para o cenário de fluxo contínuo. Alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn“. Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo, o fornecimento de conteúdo para clientes como o fluxo contínuo multicast), consulte a Comparação de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição do Windows Server “Longhorn” deve ser instalada.6.04 Servidor de Aplicação O Servidor de Aplicação é uma nova função de servidor do Windows Server “Longhorn“. O Servidor de Aplicação fornece um ambiente integrado para implantação e execução de aplicações de negócios personalizadas construídas com o Microsoft .NET Framework versão 3.0 (anteriormente WinFX®). O mesmo ambiente integrado do Servidor de Aplicação pode ser usado para implantar e executar as aplicações de legado de sua organização, como as aplicações construídas para usar COM+, Message Queuing, serviços da Web e transações distribuídas. O Servidor de Aplicação fornece os seguintes benefícios: • Um tempo de execução básico que suporta implantação e gerenciamento eficazes das aplicações de negócios de alto desempenho • O ambiente de desenvolvimento do .NET Framework, que fornece um modelo de programação simplificado e um modelo de execução de alto desempenho para aplicações baseadas em servidor, ativa os serviços da Web e integra as novas aplicações às aplicações e infra-estrutura existentes • O Assistente para Adicionar Funções, fácil de usar, que ajuda a escolher os serviços funcionais e os recursos necessários para executar as aplicações Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 216. 213 • Instalação automática de todos os recursos necessários para um determinado serviço funcionalUm ambiente do Servidor de Aplicação pode incluir, dentre outros,o que segue: • Computadores clientes conectados por domínio e seus usuários • Computadores conectados a uma intranet ou à Internet num ambiente de serviços da Web • Servidores que interoperam em plataformas e sistemas operacionais distintos • Servidores que hospedam aplicações construídas com o .NET Framework 3.0 • Servidores que hospedam aplicações construídas para usar COM+, Message Queuing, serviços da Web e transações distribuídas • Servidores múltiplos que hospedam múltiplos bancos de dados em uma redeO Servidor de Aplicação é uma nova função de servidor instaladaatravés do Assistente para Adicionar Funções no Server Manager.Os administradores que implantam aplicações LOB construídas com o.NET Framework 3.0 descobrirão que a instalação de um ambiente dehospedagem para aplicações se torna mais simples com essa funçãode servidor. O Assistente para Adicionar Funções orienta oadministrador através do processo de seleção dos serviçosfuncionais ou do suporte dos recursos necessários para executaras aplicações.Núcleo do Servidor de AplicaçãoO Núcleo do Servidor de Aplicação é o grupo de tecnologiasinstaladas por padrão quando a função Servidor de Aplicação éinstalada. Basicamente, o Núcleo do Servidor de Aplicação é o.NET Framework 3.0.O Windows Server “Longhorn” inclui o .NET Framework 2.0, sejaqual for a função de servidor instalada. O .NET Framework 2.0contém o CLR, que fornece um ambiente de execução de código quepromove a execução segura do código, implantação de códigosimplificada e suporte para a interoperabilidade de múltiplaslinguagens.O Núcleo do Servidor de Aplicação acrescenta os recursos do .NETFramework 3.0 aos recursos básicos do .NET Framework 2.0. Paramais informações sobre o .NET Framework 3.0, consulte: .NETFramework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263).Os principais componentes do Núcleo do Servidor de Aplicação sãoinstalados como um conjunto de bibliotecas e montagens do .NET.Os principais componentes do Núcleo do Servidor de Aplicação são: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 217. 214 • Windows Communication Foundation (WCF) • Windows Workflow Foundation (WF) • Windows Presentation Foundation (WPF)Os componentes mais importantes para as aplicações baseadas emservidor são o WCF e o WF. O WPF é usado principalmente emaplicações baseadas em cliente.O WCF é o modelo de programação unificado da Microsoft paraconstruir aplicações que usam os serviços da Web para secomunicarem entre si. Essas aplicações também são conhecidas comoaplicações orientadas para serviços. Os desenvolvedores podemusar o WCF para construir aplicações transacionadas mais segurase confiáveis, que se integram às plataformas e interoperam com ossistemas e aplicações existentes. Para mais informações sobre oWCF, consulte: O que é o Windows Communication Foundation?(http://go.microsoft.com/fwlink/?LinkId=81260).O WF é o mecanismo e modelo de programação para construirrapidamente aplicações ativadas por fluxo de trabalho no WindowsServer “Longhorn”. Um fluxo de trabalho é um conjunto deatividades que descrevem um processo no mundo real. O fluxo detrabalho é comumente descrito e visualizado graficamente – comoum fluxograma. A descrição do fluxo de trabalho é com freqüênciachamada de modelo. Os trabalhos passam pelo modelo de fluxo detrabalho do início ao fim.Os trabalhos ou atividades dentro do modelo podem ser executadospor pessoas, sistemas ou computadores. Embora seja possíveldescrever um fluxo de trabalho em linguagens de programaçãotradicionais como uma série de etapas e condições, para fluxos detrabalho mais complexos ou que suportam revisões mais simples, emgeral é muito mais apropriado projetar graficamente o fluxo detrabalho e armazenar o projeto como um modelo.Além de permitir a modelagem gráfica dos fluxos de trabalho, o WFtambém possibilita a execução dos modelos de fluxo de trabalho.Após a compilação do modelo de fluxo de trabalho, ele pode serexecutado em qualquer processo do Windows, inclusive aplicaçõesbaseadas em cliente, como aplicações de console e aplicações deformulários gráficos do Windows, ou aplicações baseadas emservidor, incluindo o Windows Services, sites do ASP.NET eserviços da Web do WCF.O WF fornece suporte para fluxo de trabalho humano e de sistemasem uma variedade de cenários, incluindo os seguintes: • Fluxo de trabalho em aplicações LOB • Fluxo seqüencial de telas, páginas e caixas de diálogo como apresentadas ao usuário em resposta à interação do usuário com a interface gráfica • Fluxo de trabalho centralizado em documentos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 218. 215 • Fluxo de trabalho humano • Fluxo de trabalho composto para aplicações orientadas para serviços • Fluxo de trabalho direcionado às regras de negócios • Fluxo de trabalho para gerenciamento de sistemasO Servidor de Aplicação é essencialmente novo para o WindowsServer “Longhorn”. A nova função Servidor de Aplicação disponívelno Windows Server “Longhorn” não é uma atualização dastecnologias de servidor de aplicações que possam ter sidoinstaladas anteriormente como parte do Windows Server 2003 ou desistemas operacionais anteriores. Como a funcionalidade écompletamente nova, os administradores devem estar cientes de quenão há caminho de migração do Windows Server 2003 ou de sistemasoperacionais anteriores para o Application Server.Caso um servidor do Windows Server 2003 ou de um sistemaoperacional anterior seja atualizado para o Windows Server“Longhorn”, a função Application Server também deverá serreinstalada, usando o Assistente para Adicionar Funções no ServerManager.Como parte da preparação para instalação da nova função Servidorde Aplicação, crie um inventário das aplicações que serãoexecutadas nesse servidor. Se você for um administrador, trabalhecom seus desenvolvedores para identificar as tecnologias econfigurações suportadas que devem estar presentes no servidorpara executar as aplicações. Em seguida, organize essastecnologias para os serviços funcionais descritos nas próximasseções, de forma que você possa selecionar e configuraradequadamente os serviços durante a instalação da função deservidor.Servidor WebEssa opção instala o IIS versão 7.0, o servidor Web construído noWindows Server “Longhorn“. O IIS fornece os seguintes benefícios: • Ativa o Servidor de Aplicação para hospedar sites ou serviços internos e externos com conteúdo fixo ou dinâmico. • Fornece suporte para a execução de aplicações ASP.NET acessadas de um navegador da Web. • Fornece suporte para a execução de serviços da Web construídos com o Microsoft ASP.NET ou o WCF.COM+ Network AccessEssa opção adiciona o COM+ Network Access para chamada remota deaplicações construídas ou hospedadas em COM+ e componentes doEnterprise Services. O COM+ Network Access é um dos recursos dechamada remota do Windows Server “Longhorn”. Aplicações maisrecentes podem usar o WCF para suportar chamadas remotas. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 219. 216Serviço de Ativação de Processos no WindowsEssa opção adiciona o Serviço de Ativação de Processos no Windows(WAS - Windows Process Activation Service). O WAS pode iniciar efinalizar aplicações de forma dinâmica, baseado em mensagensrecebidas da rede através de HTTP, Message Queuing, TCP e oschamados protocolos de canalização.Compartilhamento de Porta TCPEssa opção adiciona o Compartilhamento de Porta TCP (TCP PortSharing). Esse serviço funcional possibilita que múltiplasaplicações HTTP usem uma única porta TCP. Quando esse serviçofuncional é instalado como parte da função Servidor de Aplicação,múltiplas aplicações WCF podem compartilhar uma única porta parareceber mensagens da rede. Isso pode ajudar a limitar a área desuperfície potencialmente aberta para ataques, já que oadministrador abre apenas uma porta nos firewalls.O serviço funcional trabalha aceitando conexões que usam oprotocolo Net.Tcp. O serviço então transfere automaticamente asmensagens de entrada para os diversos serviços WCF com base noconteúdo das mensagens. Isso simplifica o gerenciamento dosservidores de aplicações quando muitas ocorrências de uma mesmaaplicação estão sendo executadas.Transações DistribuídasEssa opção ativa as transações distribuídas, que ajudam aassegurar transações completas e bem-sucedidas em múltiplosbancos de dados hospedados em diversos computadores em uma rede. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 220. 2176.05 NTFS Transacional O sistema de arquivos NTFS Transacional e o Registro Transacional, a tecnologia transacional do kernel no Windows Server “Longhorn”, foram aprimorados para coordenar seu trabalho por meio de transações. Como as transações são necessárias para preservar a integridade dos dados e lidar com condições de erro de forma confiável, o NTFS Transacional pode ser usado para desenvolver soluções poderosas para sistemas executados no Windows. O NTFS Transacional permite que as operações de arquivos em um volume de sistema de arquivos NTFS sejam executadas de forma transacional. Isso fornece suporte para todas as propriedades ACID (atômica, consistente, isolada e durável) das transações. Por exemplo, você pode agrupar conjuntos de arquivos e operações de registro com uma transação, de forma que todos obtenham sucesso ou nenhum obtenha sucesso. Embora a transação seja ativa, as mudanças não são vísiveis para leitura fora da transação. Mesmo que ocorra falha no sistema, o trabalho iniciado é gravado no disco e o trabalho transacional incompleto é restabelecido. As transações usadas com o sistema de arquivos ou registro podem ser coordenadas com qualquer outro recurso transacional, como o SQL Server™ ou MSMQ. A linha de comando foi extendida com o comando Transact para permitir scripts simples de linha de comando usando transações. O NTFS Transacional destina-se aos profissionais de TI que precisam de uma maneira de garantir que determinadas operações de arquivos sejam finalizadas sem interrupção ou possíveis erros. O NTFS Transacional fornece a seguinte funcionalidade: • NTFS Transacional integrado a COM+. O COM+ é estendido para usar as APIs do Windows NT para ligar automaticamente o equivalente da transação COM+ do Windows NT® ao thread em que um objeto é programado. Portanto, as aplicações que usam o modelo de transação COM+ podem simplesmente especificar uma propriedade de objeto adicional que indica a intenção de acesso do arquivo transacional. As aplicações de legado que usam o modelo COM+ que não especificarem essa propriedade adicional acessarão os arquivos sem usar o NTFS Transacional. • Cada volume NTFS é um gerenciador de recursos. Uma transação que transpõe múltiplos volumes é coordenada pelo Kernel Transaction Manager (KTM). Compatível com a arquitetura do Windows NT, esse recurso fornece suporte para recuperação independente de volume do Windows NT. Por exemplo, um sistema pode ser reinicializado com alguns dos volumes “perdidos”, sem afetar a recuperação de outros volumes. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 221. 218• Um identificador de arquivos pode ser fechado antes da confirmação ou interrupção da transação. Em geral, a confirmação ou interrupção é executada por um thread totalmente diferente daquele que executou o trabalho de arquivo. Espera-se que os identificadores transacionais sejam usados apenas enquanto a transação estiver ativa. O sistema marca os identificadores como inativos depois que a transação é finalizada. A tentativa de modificar o arquivo é fracassada e o sistema apresenta uma mensagem de erro.• Um arquivo pode ser visualizado como uma unidade de armazenamento. Atualizações parciais e sobregravações de arquivo completas são suportadas. Não se espera que transações múltiplas modifiquem partes do arquivo ao mesmo tempo – isso não é suportado.• A E/S mapeada na memória trabalha de forma transparente e compatível com a E/S regular de arquivos. O único trabalho adicional necessário é que a aplicação esvazie e feche uma seção aberta antes de confirmar uma transação. Falhas nesse procedimento resultarão em mudanças parciais na transação.• O acesso a um arquivo remoto por meio do serviço SMB e do WebDAV (Web-Based Distributed Authoring and Versioning) é suportado de forma transparente. O contexto da transação é transmitido automaticamente pelo sistema ao nó remoto. A própria transação é distribuída e coordenada para confirmação ou interrupção. Isso permite que as aplicações sejam distribuídas para múltiplos nós com um alto grau de flexibilidade. Esse é um recurso poderoso, já que permite transferências transacionais de arquivos na rede, imitando uma forma de mensageria transacional.• Cada volume possui seu próprio log. O formato comum de log é usado para fornecer recuperação e interrupções. O formato comum de log também constrói um meio comum de registro de transações do Windows para ser usado por outros armazenamentos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 222. 219Seção 7: Gerenciamento deServidores 7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Serviços de Implantação do Windows ............................254 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 223. 2207.01 Introdução ao Gerenciamento de Servidores Este cenário se concentra em ferramentas, tecnologias e opções de instalação disponíveis para uso no Windows Server® “Longhorn”, para melhorar a experiência de gerenciamento de servidores únicos e múltiplos dentro de uma empresa. Para a administração local de um servidor único, o Server Manager é um Console de Gerenciamento integrado da Microsoft® que oferece aos profissionais de TI uma experiência integrada e contínua para adicionar, remover e configurar funções de servidor, serviços e recursos das funções. Ele também atua como um portal para gerenciamento, monitoramento e operações de servidor constantes, expondo tarefas de gerenciamento importantes com base na função do servidor, e fornecendo acesso a ferramentas avançadas de administração. Em empresas maiores, o gerenciamento de servidores múltiplos pode ser automatizado com o Windows PowerShell™, que consiste de um novo shell de linha de comando e linguagem de script projetado especificamente para automatizar as tarefas de administração para funções de servidor, tais como IIS e Active Directory®. Os profissionais de TI também podem usar a ferramenta Windows® Remote Shell (WinRS) para gerenciar os servidores remotamente ou para obter dados de gerenciamento através dos objetos Windows Remote Management (WinRM) e Windows Management Instrumentation (WMI) nos servidores remotos. WinRM é um novo protocolo de acesso remoto baseado nos Serviços da Web de padrão DMTF para Gerenciamento. O Núcleo do Servidor fornece uma opção de instalação mínima para certas funções de servidor, oferecendo uma memória de servidor e uma superfície de ataque menor, para reduzir as necessidades de gerenciamento e serviços. Proposta de Valores do Cenário As principais propostas de valores que o gerenciamento de servidores oferece são: • Realizar configuração inicial de um servidor local através de uma única interface • Adicionar e remover funções e recursos de servidor de modo mais seguro e confiável • Examinar o estado de função de servidor, realizar tarefas de gerenciamento importantes e acessar ferramentas avançadas de gerenciamento a partir de uma única ferramenta de gerenciamento local • Automatizar a administração de servidores múltiplos através de uma linguagem de script orientada a tarefas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 224. 221 • Acelerar a autoria, os testes e a depuração de scripts e escrever as ferramentas do cliente em um novo ambiente de shell de comando • Realizar o gerenciamento de servidores locais e remotos através do acesso a múltiplos armazenamentos de gerenciamento de dados, tais como WMI, ADSI, COM, Certificados, Registro e arquivos de configuração XML • Reduzir as necessidades de gerenciamento e serviços, melhorando, ao mesmo tempo, a confiabilidade e a segurançaRequisitos Especiais de HardwareNenhum Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 225. 2227.02 Tarefas de Configuração Inicial A janela de Tarefas de Configuração Inicial é um novo recurso do Windows Server “Longhorn” que abre automaticamente depois que o processo de instalação do sistema operacional é completado, e ajuda o administrador a terminar a instalação e a configuração inicial de um novo servidor. Ele inclui tarefas como configurar a senha do Administrador, alterar o nome da conta do Administrador para melhorar a segurança de seu servidor, vincular o servidor a um domínio existente, ativar a Área de trabalho Remota para o servidor, e ativar o Windows Update e o Firewall do Windows. Antes do Windows Server “Longhorn”, a instalação do sistema operacional de classe de servidor do Windows pausava para que os administradores fornecessem informações sobre sua conta, domínio e rede. O feedback indica que essa prática tornava lento o processo de implantação do sistema operacional e servidor, pois a conclusão da instalação do sistema operacional seria adiada até que os administradores respondessem aos avisos e fornecessem as informações. As Tarefas de Configuração Inicial permitem aos administradores adiar essas tarefas até que a instalação esteja completa, o que significa menos interrupções durante a instalação. Além disso, como a ativação do produto pode ser feita dentro de um período de tolerância (normalmente 30 dias), e não é essencial para a configuração inicial do servidor, o comando Ativar Seu Servidor, presente na janela Gerenciar Seu Servidor no Windows Server 2003, foi removido das Tarefas de Configuração Inicial. Os comandos Adicionar Funções e Adicionar Recursos na janela Tarefas de Configuração Inicial permite que você comece a adicionar funções e recursos ao seu servidor imediatamente. A janela Tarefas de Configuração Inicial ajuda o administrador a configurar um servidor e reduzir o tempo entre a instalação do sistema operacional e a implantação do servidor em uma empresa. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 226. 223Ela permite que o administrador especifique, de maneira lógica,as configurações do sistema operacional que foram previamenteexpostas na Instalação do Windows Server 2003, tais como a contado Administrador, informações sobre o domínio, e configurações derede.A janela Tarefas de Configuração Inicial também permite que vocêparticipe dos seguintes programas que fornecem um feedbackanônimo à Microsoft sobre o desempenho do software em suaempresa: • Programa de Aperfeiçoamento da Experiência do Cliente com o Windows Server • Relatório de Erros do WindowsConfigurações Padrão nas Tarefas de Configuração Inicial Configuração Configuração PadrãoSenha do O padrão é que a senha da conta do Administrador fiqueAdministrador em branco.Nome do computador O nome do computador é atribuído de modo randômico durante a instalação. Você pode modificar o nome do computador usando comandos na janela Tarefas de Configuração Inicial.Membros do domínio O computador não é vinculado a um domínio por padrão; é vinculado a um grupo de trabalho chamado WORKGROUP.Windows Update O Windows Update é desligado por padrão.Conexões de rede Todas as conexões de rede são programadas para obter endereços de IP automaticamente usando o DHCP.Firewall do Windows O Firewall do Windows é ligado por padrão.Funções instaladas Nenhuma função é instalada por padrão. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 227. 2247.03 Server Manager O Windows Server “Longhorn” facilita a tarefa de gerenciar e proteger múltiplas funções de servidor em uma empresa com o novo console Server Manager (Gerenciador de Servidor). O Server Manager no Windows Server “Longhorn” fornece uma única fonte para gerenciar a identidade e as informações do sistema de um servidor, exibir o estado do servidor, identificar problemas na configuração de funções do servidor, e gerenciar todas as funções instaladas no servidor. O Server Manager substitui vários recursos incluídos no Windows Server 2003, inclusive o Gerenciar Seu Servidor, Configurar Seu Servidor, e Adicionar ou Remover Componentes do Windows. O Server Manager também elimina a necessidade de o administrador executar o Assistente de Configuração de Segurança antes de implantar os servidores; as funções do servidor são configuradas com configurações de segurança recomendadas por padrão, e estão prontas para implantar assim que instaladas e configuradas adequadamente. O Server Manager é um MMC expandido que permite visualizar a gerenciar virtualmente todas as informações e ferramentas que afetam a produtividade de seu servidor. Os comandos do Server Manager permitem que você instale ou remova funções e recursos do servidor, e aumente funções já instaladas no servidor adicionando serviços de função. O Server Manager torna a administração do servidor mais eficiente, por permitir que os administradores façam o seguinte com uma única ferramenta: • Visualizar e fazer alterações nas funções e recursos instalados no servidor • Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional do servidor, tais como iniciar ou parar serviços e gerenciar contas de usuário local • Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional das funções instaladas no servidor Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 228. 225 • Determinar o estado do servidor, identificar eventos críticos e analisar e resolver problemas ou falhas de configuração • Instalar ou remover funções, serviços de função e recursos usando uma linha de comando do WindowsO Server Manager foi projetado para fornecer os melhoresbenefícios a qualquer um dos seguintes profissionais de TI: • Um administrador, planejador ou analista de TI que está avaliando o Windows Server “Longhorn” • Um planejador ou designer de TI corporativo • Um “early adopter” do Windows Server “Longhorn” • Um arquiteto de TI responsável pelo gerenciamento e segurança dos computadores de uma organizaçãoAntes de usar o Server Manager, é recomendável que você sefamiliarize com as funções, terminologia, requisitos e tarefasdiárias de gerenciamento de qualquer função que planeja instalarem seu servidor. Para informações mais detalhadas sobre funçõesde servidor, veja o TechCenter do Windows Server(http://go.microsoft.com/fwlink/?LinkId=48541).O Server Manager é instalado por padrão como parte do processo deinstalação do Windows Server “Longhorn”. Para usar o ServerManager, você deve fazer logon no computador como membro do grupode Administradores no computador local.FunçõesEmbora a adição e remoção de funções e recursos de servidor nãorepresentem algo novo, o Server Manager unifica a funcionalidadede múltiplas ferramentas anteriores em uma única interface deusuário, simples e baseada em MMC.Funções e recursos instalados com o Server Manager são ativadospor padrão, para maior segurança. Os administradores não precisamexecutar o Assistente de Configuração de Segurança após ainstalação ou remoção de funções, a menos que queiram alterarconfigurações padrão.O Server Manager fornece um único ponto de acesso a snap-ins degerenciamento para todas as funções instaladas. Adicionar uma função automaticamente cria uma página inicial de console de gerenciamento no Server Manager para essa função, que exibe eventos e estado de todos os serviços que fazem parte da função. Serviços ou sub-componentesde uma função são listados em uma seção desta página. Osadministradores podem abrir assistentes para adicionar ou removerserviços de função usando comandos desta página inicial. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 229. 226Uma função de servidor descreve a função primária do servidor. Osadministradores podem optar por dedicar um computador inteiro auma função de servidor, ou instalar múltiplas funções de servidorem um único computador. Cada função pode incluir um ou maisserviços de função, melhor descritos como sub-elementos de umafunção. As seguintes funções de servidor estão disponíveis noWindows Server “Longhorn”, e podem ser instaladas e gerenciadascom o Server Manager.Funções de Servidor no Server ManagerNome da Função DescriçãoServiços de Os Serviços de Certificado do Active Directory fornecemCertificado do serviços personalizáveis para criar e gerenciar certificados deActive chave pública usados em sistemas de segurança de software,Directory empregando tecnologias de chave pública. As organizações podem usar os Serviços de Certificado do Active Directory para melhorar a segurança vinculando a identidade de uma pessoa, dispositivo ou serviço a uma chave privada correspondente. Os Serviços de Certificado do Active Directory também incluem recursos que permitem gerenciar o registro e a revogação do certificado em uma variedade de ambientes escalonáveis. As aplicações suportadas pelos Serviços de Certificado do Active Directory incluem Secure/Multipurpose Internet Mail Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema de Arquivos Encriptados (EFS), logon de cartões inteligentes, SSL/TLS e assinaturas digitais.Serviços de Os Serviços de Domínio do Active Directory armazenamDomínio do informações sobre usuários, computadores e outros dispositivosActive na rede. Os Serviços de Domínio do Active Directory ajudam osDirectory administradores a gerenciar com mais segurança essas informações e facilitam o compartilhamento de recursos e a colaboração entre usuários. Os Serviços de Domínio do Active Directory também precisam ser instalados na rede para instalar aplicações ativadas para diretório, tais como o Microsoft Exchange Server e para aplicar outras tecnologias do Windows Server como a Diretiva de Grupo.Serviços de Os Serviços de Federação do Active Directory fornecemFederação do tecnologias de logon único da Web para autenticar um usuárioActive para múltiplas aplicações da Web usando uma única conta deDirectory usuário. Os Serviços de Federação do Active Directory realizam isso federando ou compartilhando, de modo seguro, identidades de usuário e direitos de acesso, nos pedidos digitais ou formulários, entre organizações parceiras.Serviços de As organizações que têm aplicações que requerem um diretórioDomínio do para armazenar dados de aplicações podem usar os Serviços deActive Domínio do Active Directory Lightweight como armazenamento deDirectory dados. Os Serviços de Domínio do Active Directory LightweightLightweight funcionam como um serviço de sistema não operacional e, como tal, não requer implantação em um controlador de domínio. O funcionamento como serviço de sistema não operacional permite que múltiplas instâncias dos Serviços de Domínio do Active Directory Lightweight sejam executadas simultaneamente em um único servidor, e que cada instância possa ser configurada independentemente para prestar serviços a múltiplas aplicações.Serviços de Os Serviços de Gerenciamento de Direitos do Active DirectoryGerenciamento são uma tecnologia de proteção de informações que trabalha comde Direitos do aplicações ativadas para esses serviços, para ajudar a protegerActive informações digitais contra o uso não autorizado. OsDirectory proprietários do conteúdo podem definir exatamente como um recipiente pode usar as informações, como quem pode abrir, modificar, imprimir, encaminhar ou usar outros procedimentos com as informações. As organizações podem criar modelos de direitos de uso personalizados como “Confidencial – Somente Leitura”, que podem ser aplicados diretamente a informações como relatórios financeiros, especificações do produto, dados Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 230. 227 de clientes e mensagens de e-mail.Application O Application Server (Servidor de Aplicações) fornece umaServer solução completa para hospedar e gerenciar aplicações de negócios de alto desempenho distribuídas. Serviços integrados, tais como .NET Framework, Suporte a Servidor da Web, Enfileiramento de Mensagens, COM+, Windows Communication Foundation e suporte a Clustering Failover impulsionam a produtividade durante todo o ciclo de vida da aplicação, desde o projeto e o desenvolvimento até a implantação e as operações.Servidor de O DHCP permite que os servidores atribuam ou aluguem endereçosProtocolo de de IP a computadores e outros dispositivos ativados comoConfiguração clientes de DHCP. A implantação de servidores de DHCP na redeDinâmica de fornece automaticamente, aos computadores e outros dispositivosHost (DHCP) de rede baseados em TCP/IP, endereços de IP válidos e os parâmetros de configuração adicionais de que esses dispositivos precisam, chamados opções de DHCP, que lhes permitem conectar- se a outros recursos de rede, tais como servidores DNS, servidores WINS e roteadores.Servidor DNS O DNS fornece um método padrão para associar nomes a endereços de Internet numéricos. Isso possibilita aos usuários o acesso a computadores da rede através de nomes fáceis de lembrar, em vez de uma longa série de números. Os Serviços de DNS podem ser integrados a serviços de DHCP no Windows, eliminando a necessidade de adicionar registros de DNS quando os computadores são adicionados à rede.Servidor de O Servidor de Fax envia e recebe fax, e permite gerenciarFax recursos de fax como tarefas, configurações, relatórios e dispositivos de fax nesse computador ou na rede.Serviços de Os Serviços de Arquivo fornecem tecnologias para gerenciamentoArquivo de armazenamentos, replicação de arquivos, gerenciamento de espaços de nomes distribuídos, busca rápida de arquivos e acesso dinamizado de cliente aos arquivos.Serviços de Os Serviços de Acesso e Diretiva de Rede oferecem uma variedadeAcesso e de métodos para fornecer aos usuários conectividade à redeDiretiva de remota e local, para conectar-se a segmentos da rede, e paraRede permitir que os administradores da rede gerenciem centralmente o acesso à rede e as diretivas de integridade do cliente. Com os Serviços de Acesso à Rede, você pode implantar servidores de VPN, servidores de conexão discada, roteadores e acesso sem fio protegido 802.11. Você também pode implantar servidores e proxies RADIUS, e usar o Kit de Administração de Gerenciador de Conexão para criar perfis de acesso remoto que permitem aos computadores cliente conectar-se à sua rede.Serviços de Os Serviços de Impressão ativam o gerenciamento de servidoresImpressão de impressão e impressoras. Um servidor de impressão reduz a carga de trabalho administrativa e de gerenciamento através da centralização de tarefas de gerenciamento de impressoras.Serviços de Os Serviços de Terminal fornecem tecnologias que permitem aosTerminal usuários acessar programas baseados em Windows que estão instalados em um servidor de terminal, ou acessar a própria área de trabalho do Windows a partir de quase todos os dispositivos de computação. Os usuários podem conectar-se a um servidor de terminal para executar programas e para usar recursos de rede nesse servidor.Serviço O Serviço UDDI fornece capacidades de UDDI para compartilharUniversal de informações sobre serviços da Web dentro do intranet de umaDescrição, organização, entre parceiros de negócios em um extranet ou naDescoberta e Internet. O Serviço UDDI pode ajudar a melhorar a produtividadeIntegração de desenvolvedores e profissionais de TI com aplicações mais(UDDI) confiáveis e gerenciáveis. Com o Serviço UDDI você pode evitar a duplicação de esforços promovendo a reutilização do trabalho de desenvolvimento existente.Servidor Web O Servidor Web (IIS) ativa o compartilhamento de informações na(IIS) Internet, em um intranet ou um extranet. É uma plataforma da Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation e Windows SharePoint® Services. O IIS 7.0 também oferece maior segurança, diagnósticos simplificados Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 231. 228 e administração delegada.Serviços de Você pode usar os Serviços de Implantação do Windows paraImplantação do instalar e configurar os sistemas operacionais do MicrosoftWindows Windows remotamente em computadores com ROMs de inicialização do Ambiente de Pre-boot Execution (PXE). O overhead de administração é reduzido através da implementação do snap-in WdsMgmt MMC, que gerencia todos os aspectos dos Serviços de Implantação do Windows. Os Serviços de Implantação do Windows também fornecem aos usuários finais uma experiência consistente com a Instalação do Windows.Windows A função Windows SharePoint Services ajuda as organizações aSharePoint aumentar a produtividade criando sites em que os usuários podemServices colaborar com documentos, tarefas e eventos, e compartilhar facilmente contatos e outras informações. O ambiente foi projetado para implantação, desenvolvimento de aplicações e administração flexíveis.O seguinte gráfico mostra a página inicial da função Serviços deArquivo no Server Manager.RecursosRecursos, de modo geral, não descrevem a função primária de umservidor. Eles fornecem funções auxiliares ou de suporte aosservidores. Normalmente, os administradores adicionam recursosnão como a função primária de um servidor, mas para aumentar afuncionalidade das funções instaladas.Por exemplo, o Clustering Failover é um recurso que osadministradores podem instalar após a instalação de certasfunções de servidor, como os Serviços de Arquivo, para adicionar Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 232. 229redundância aos Serviços de Arquivo e diminuir o tempo derecuperação de possíveis desastres.Os seguintes recursos estão disponíveis no Windows Server“Longhorn”, e podem ser instalados usando comandos do ServerManager.Recursos no Server Manager Nome do Descrição RecursoRecursos do O Microsoft .NET Framework 3.0 combina a potência das APIs doMicrosoft .NET .NET Framework 2.0 com novas tecnologias para construirFramework 3.0 aplicações que oferecem interfaces de usuário atraentes, ajudam a proteger as informações de identidade pessoal de seus clientes, ativam a comunicação contínua e mais segura, e fornecem a habilidade de modelar uma série de processos de negócios.Criptografia A Criptografia da Unidade BitLocker™ ajuda a proteger dados emda Unidade computadores perdidos, roubados ou encerrados inadequadamente,BitLocker criptografando todo o volume e verificando a integridade de componentes de inicialização antecipada. Os dados são decriptografados apenas se esses componentes forem verificados com sucesso e a unidade criptografada estiver localizada no computador original. A verificação de integridade requer um módulo de TPM (trusted platform module) compatível.Extensões do As Extensões do Servidor de Serviço de TransferênciaServidor BITS Inteligente de Segundo Plano (BITS) permitem que um servidor receba arquivos carregados por clientes usando o BITS. O BITS permite aos computadores cliente transferir arquivos em primeiro ou segundo plano de modo assíncrono, preservar a capacidade de reação de outras aplicações da rede, e retomar transferências de arquivo após falhas da rede e reinicializações do computador.Kit de O CMAK gera perfis do Gerenciador de Conexão.Administraçãodo Gerenciadorde Conexão(CMAK)Experiência A Experiência Desktop inclui recursos do Windows Vista™, como oDesktop Windows Media® Player, temas de área de trabalho e gerenciamento de fotos. A Experiência Desktop não ativa nenhum dos recursos do Windows Vista por padrão; você precisa ativá- los manualmente.Cliente de O Cliente de Impressão da Internet permite usar HTTP paraImpressão da conectar-se a e usar impressoras que estão em servidores deInternet impressão da Web. A impressão da Internet ativa conexões entre usuários e impressoras que não estão no mesmo domínio ou rede. Um exemplo de uso é de um funcionário que está viajando, e agora está em um escritório em local remoto, ou em uma lanchonete equipada com acesso Wi-Fi.Servidor de O iSNS fornece serviços de descoberta para redes da área deNome de armazenamento da Interface de Sistemas Computacionais PequenosArmazenamento na Internet (iSCSI). O iSNS processa pedidos de registro, dena Internet anulação e consultas a partir de clientes de iSNS.(iSNS)Monitor de O Monitor de Porta LPR permite que os usuários que têm acesso aPorta LPR computadores baseados em UNIX imprimam em dispositivos anexados(LPR) a eles.Enfileiramento O Enfileiramento de Mensagens fornece entrega garantida dede Mensagens mensagens, roteamento eficiente, segurança e troca de mensagens entre as aplicações baseada em prioridades. O Enfileiramento de Mensagens também acomoda a troca de mensagens entre aplicações que executam sistemas operacionais diferentes, que usam infra- estruturas de rede não similares, que estão temporariamente Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 233. 230 off-line, ou que estão executando em tempos diferentes.Multipath I/O O MPIO, junto com o Módulo Específico de Dispositivo da(MPIO) Microsoft (DSM) ou um DSM de terceiros, fornece suporte para usar múltiplos caminhos de dados para um dispositivo de armazenamento no Microsoft Windows.Protocolo de O PNRP permite que as aplicações registrem e resolvam nomes aResolução de partir de seu computador, para que outros computadores possamNome Similar comunicar-se com essas aplicações.(PNRP)Experiência de O qWave é uma plataforma de rede para aplicações de fluxoÁudio e Vídeo contínuo de áudio e vídeo (AV) em redes domésticas de protocolode Qualidade da Internet. O qWave melhora o desempenho e a confiabilidade dodo Windows fluxo contínuo de AV por garantir a qualidade do serviço de(qWave) rede para aplicações de AV. Ele fornece controle de admissão, monitoramento e cumprimento de tempo de execução, feedback de aplicações e priorização de tráfego. Em plataformas do Windows Server, o qWave fornece apenas serviços de taxa de fluxo e priorização.Disco de O Disco de Recuperação é um utilitário para criação de um discoRecuperação de instalação do sistema operacional Windows. Usando o Disco de Recuperação, você pode recuperar dados em seu computador se não tiver um disco do produto Windows, ou não puder acessar ferramentas de recuperação fornecidas pelo fabricante de seu computador.Assistência A Assistência Remota permite que você (ou uma pessoa doRemota suporte) ofereça assistência aos usuários com problemas ou dúvidas nos computadores. A Assistência Remota permite que você visualize e compartilhe o controle da área de trabalho do usuário para resolver os problemas. Os usuários também podem pedir ajuda de amigos e colegas de trabalho.Ferramentas de As Ferramentas de Administração do Servidor Remoto ativam oAdministração gerenciamento remoto do Windows Server 2003 e do Windows Serverdo Servidor “Longhorn” a partir de um computador que está executando oRemoto Windows Server “Longhorn”, permitindo que você execute algumas das ferramentas de gerenciamento para funções, serviços de função e recursos em um computador remoto.Gerenciador de O RSM gerencia e cataloga a mídia removível e operaArmazenamento dispositivos automáticos de mídia removível.Removível(RSM)Proxy RPC O RPC Over HTTP Proxy é um proxy usado por objetos que recebemsobre HTTP chamadas de procedimento remoto por HTTP. Esse Proxy permite que os clientes descubram esses objetos mesmo que estes forem movidos entre servidores ou se existirem em áreas discretas da rede, geralmente por razões de segurança.Network Os Serviços para NFS são um protocolo que atua como um sistemaFilesystem de arquivos distribuídos, permitindo que um computador acesseServices (NFS) arquivos por uma rede facilmente, como se eles estivessem nos discos locais. Esse recurso está disponível para instalação apenas em versões de 64 bits do Windows Server “Longhorn”; em outras versões, os Serviços para NFS estão disponíveis como um serviço de função da função Serviços de Arquivo.Servidor SMTP O Servidor SMTP suporta a transferência de mensagens de e-mail entre sistemas de e-mail.Gerenciador de As SANs ajudam a criar e gerenciar números de unidade lógica emArmazenamento subsistemas de unidade de disco iSCSI e Fibre Channel quepara Redes da suportam o Serviço de Disco Virtual (VDS) em sua SAN.Área deArmazenamento(SANs)Serviços de Os Serviços de TCP/IP Simples suportam os seguintes serviços deTCP/IP Simples TCP/IP: Character Generator (Gerador de Caracteres), Daytime (Dia), Discard (Descartar), Echo (Eco) e Quote of the Day (Citação do Dia). Os Serviços de TCP/IP Simples são fornecidos para retro-compatibilidade e não devem ser instalados a menos que seja solicitado. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 234. 231Simple Network O SNMP é o protocolo padrão da Internet para troca deManagement informações de gerenciamento entre aplicações de console deProtocol gerenciamento – tais como HP Openview, Novell NMS, IBM NetView(SNMP) ou Sun Net Manager – e entidades gerenciadas. Entidades gerenciadas podem incluir hosts (anfitriões), roteadores, bridges (pontes) e hubs.Subsistema O Subsistema para Aplicações baseadas em UNIX (SUA), junto compara um pacote de utilitários de suporte disponíveis para downloadAplicações no site da Microsoft, permite que você execute programasbaseadas em baseados em UNIX, e compile e execute aplicações baseadas emUNIX UNIX personalizadas no ambiente do Windows.Cliente Telnet O Cliente Telnet usa o protocolo Telnet para conectar-se a um servidor telnet remoto e executar aplicações nesse servidor.Servidor O Servidor Telnet permite que usuários remotos, incluindo osTelnet que executam sistemas operacionais baseados em UNIX, realizem tarefas de administração de linha de comando e executem programas usando um cliente telnet.Cliente de O Cliente de TFTP é usado para ler arquivos de, ou escreverProtocolo de arquivos para, um servidor de TFTP remoto. o TFTP é usadoTransferência principalmente por dispositivos ou sistemas embutidos quede Arquivos recuperam firmware, informações de configuração, ou uma imagemSimples (TFTP) de sistema durante o processo de inicialização a partir de um servidor de TFTP.Clustering O Clustering Failover permite que múltiplos servidoresFailover trabalhem juntos para fornecer alta disponibilidade de serviços e aplicações. O Clustering Failover é usado com freqüência para serviços de arquivo e impressão, bancos de dados e aplicações de e-mail.Balanceamento O NLB distribui o tráfego para vários servidores, usando ode Carga de protocolo de rede TCP/IP. O NLB é particularmente útil paraRede (NLB) garantir que aplicações sem estado, como um servidor Web executando IIS, sejam escalonáveis através da adição de outros servidores conforme o aumento da carga.Backup do O Backup do Windows Server permite que você faça backup eWindows Server recupere seu sistema operacional, aplicações e dados. Você pode agendar backups para serem executados uma vez por dia ou com mais freqüência, e pode proteger todo o servidor ou volumes específicos.Gerenciador de O WSRM é uma ferramenta administrativa do sistema operacionalRecursos de Windows Server que pode controlar como os recursos da CPU e daServiços de memória são atribuídos. O gerenciamento da atribuição deTerminal do recursos melhora o desempenho do sistema e reduz o risco de asWindows (WSRM) aplicações, serviços ou processos interferirem uns nos outros, o que reduziria a eficiência do servidor e a reação do sistema.Windows O WINS fornece um banco de dados distribuído para registrar eInternet Name consultar mapeamentos dinâmicos de nomes de NetBIOS paraServices computadores e grupos usados em sua rede. O WINS mapeia os(WINS) nomes de NetBIOS para endereços de IP e resolve os problemas que surgem da resolução de nomes de NetBIOS em ambientes roteados.Serviço de LAN O Serviço de WLAN configura e inicia o serviço de Auto-Sem Fio (WLAN) Configuração de WLAN, não importando se o computador tem ou não adaptadores sem fio. A Auto-Configuração de WLAN enumera adaptadores sem fio, e gerencia tanto as conexões como os perfis sem fio que contêm as configurações necessárias para configurar um cliente sem fio para conectar-se a uma rede sem fio.Banco de Dados O Banco de Dados Interno do Windows é um armazenamento de dadosInterno do relacional que pode ser usado apenas pelas funções e recursosWindows do Windows, como os Serviços de UDDI, os Serviços de Gerenciamento de Direitos do Active Directory, o Windows Sharepoint Services, o Windows Server Update Services e o Gerenciador de Recursos de Serviços de Terminal do Windows.Windows Windows PowerShell é um shell de linha de comando e linguagemPowerShell de script que ajuda os profissionais de TI a alcançar maior produtividade. Ele fornece uma nova linguagem de script voltada Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 235. 232 ao administrador e mais de 130 ferramentas de linha de comando padrão para possibilitar uma administração de sistema mais fácil e uma automatização acelerada.Serviço de O WPAS generaliza o modelo de processo de IIS, removendo aAtivação de dependência ao HTTP. Todos os recursos de IIS previamenteProcesso do disponíveis apenas para aplicações de HTTP estão agoraWindows (WPAS) disponíveis para aplicações que hospedam serviços de WCF, usando protocolos que não são de HTTP. O IIS 7.0 também usa WPAS para ativação baseada em mensagens por HTTP.O seguinte gráfico mostra a página inicial da função Recursos noServer Manager.Console do Server ManagerO Console do Server Manager é um novo snap in de MMC que forneceuma visão consolidada do servidor, incluindo informações sobreconfiguração do servidor, estado das funções instaladas ecomandos para adicionar e remover funções e recursos.O painel hierárquico do console do Server Manager contém nósexpansíveis que os administradores podem usar para ir diretamenteaos consoles para gerenciar funções específicas, ferramentas deresolução de problemas, ou opções de backup e recuperação dedesastres.O console do Server Manager é bastante parecido à primeira páginade um jornal sobre seu servidor. Ele fornece um único local paraque os administradores tenham uma visão geral concisa de umservidor, alterem as propriedades de sistema do servidor, einstalem ou removam funções ou recursos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 236. 233O seguinte gráfico mostra a página inicial do Server Manager commúltiplas funções e recursos instalados.A janela principal do console do Server Manager contém estasquatro seções flexíveis: • Sumário do Servidor A seção Sumário do Servidor inclui duas subseções: Informações do Sistema e Sumário de Segurança. A subseção Informações do Sistema exibe o nome do computador, o domínio, o nome de conta do administrador local, conexões de rede e o ID de produto do sistema operacional. Os comandos dessa subseção permitem que você edite essas informações. A subseção Sumário de Segurança mostra se o Windows Update e o Firewall do Windows estão ativados. Os comandos dessa subseção permitem que você edite essas configurações ou visualize opções avançadas. • Sumário de Funções A seção Sumário de Funções contém uma tabela indicando quais funções estão instaladas no servidor. Os comandos desta seção permitem que você adicione ou remova funções, ou vá a um console mais detalhado no qual poderá gerenciar uma função específica. • Sumário de Recursos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 237. 234 A seção Sumário de Recursos contém uma tabela indicando quais recursos estão instalados no servidor. Os comandos dessa seção permitem que você adicione ou remova recursos. • Recursos e Suporte A seção Recursos e Suporte mostra se esse servidor está participando dos programas de feedback Windows Server CEIP e Relatório de Erros do Windows. A seção Recursos e suporte também foi projetada para ser um ponto de partida para entrar em grupos de notícias tópicos, ou para localizar mais ajuda e pesquisar tópicos disponíveis on-line no TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Os comandos dessa seção permitem que você modifique a participação do servidor em programas de feedback, e encontre mais ajuda e suporte.Assistentes do Server ManagerOs Assistentes do Server Manager dinamizam a tarefa de implantarservidores em sua empresa, pois reduzem o tempo que levava emversões anteriores do Windows Server para instalar, configurar ouremover funções, serviços de função e recursos. Múltiplasfunções, serviços de função ou recursos podem ser instalados ouremovidos em uma única sessão com os assistentes do ServerManager.E o mais importante, o Windows Server “Longhorn” realizaverificações de dependência conforme você avança nos assistentesdo Server Manager, garantindo que estejam instaladas todas asfunções e serviços de função necessários para uma função que vocêseleciona, e que não seja removido nenhum que ainda possa serrequisitado por funções ou serviços de função remanescentes.As versões anteriores do Windows Server solicitavam que vocêusasse as opções Configurar Seu Servidor, Gerenciar Seu Servidorou Adicionar ou Remover Componentes do Windows para adicionar ouremover funções de servidor ou outros softwares. As verificaçõesde dependência eram limitadas, e a opção Adicionar ou RemoverComponentes do Windows limitava os administradores à instalaçãode apenas uma função por vez. Antes de poder adicionar maisfunções, a instalação de cada uma tinha que ser completada.A coleção de assistentes do Server Manager permite adicionar,remover ou aumentar múltiplas funções em uma única sessão. Épossível ter seu servidor completamente pronto para implantaçãoapós a realização de uma única sessão em um dos assistentes doServer Manager. As configurações de funções são feitas comconfigurações de segurança recomendadas por padrão; não hárequisitos para executar o Assistente de Configuração deSegurança após a instalação de funções ou recursos, a menos queseja necessário modificar padrões de segurança. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 238. 235Assistente para Adicionar FunçõesO Assistente para Adicionar Funções, que pode ser usado paraadicionar uma ou mais funções ao servidor, verificaautomaticamente se há dependências entre funções e se todas asfunções e serviços de função necessários estão instalados paracada função selecionada.Para algumas funções, tais como Serviços de Terminal e Serviçosde Certificado do Active Directory, o Assistente para AdicionarFunções também fornece páginas de configuração que permitem aousuário especificar de que modo a função deve ser configuradacomo parte do processo de instalação.Assistente para Adicionar Serviços de FunçãoA maioria das funções, como Serviços de Arquivo, Serviços deTerminal e Serviços de Certificado do Active Directory, écomposta de múltiplos sub-elementos, identificados como serviçosde função na interface do Server Manager.Depois que uma dessas funções complexas é instalada, você podeadicionar serviços de função a ela durante o Assistente para Adicionar Funções inicial, ou usando o Assistente para Adicionar Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 239. 236Serviços de Função. O comando que abre o Assistente paraAdicionar Serviços de Função é encontrado na página inicial decada função no console do Server Manager.Um novo aviso inteligente permite que você adicioneautomaticamente os serviços de função necessários se a função quevocê está instalando requer serviços e recursos para serinstalada.Assistente para Adicionar RecursosO Assistente para Adicionar Recursos permite que você instale um ou mais recursos ao computador em uma única sessão. Recursos são programas de software que suportam ou aumentam a funcionalida de de uma ou mais funções, ou melhoram a funcionalida de do próprio servidor,sejam quais forem as funções instaladas.Os comandos que abrem o Assistente para Adicionar Recursos estãona área Personalizar esse servidor, na janela Tarefas deConfiguração Inicial, e também na seção Sumário de Recursos dajanela do console do Server Manager.Assistente para Remover FunçõesO Assistente para Remover Funções, que pode ser usado pararemover uma ou mais funções do servidor, verifica automaticamentese há dependências entre funções e se as funções e serviços defunção necessários continuam instalados para as funções que vocênão quer remover. O processo do Assistente para Remover Funçõesevita a remoção acidental de funções ou serviços de funçãonecessários para funções remanescentes no servidor.Assistente para Remover Serviços de FunçãoVocê pode remover serviços de função de uma função instaladausando o Assistente para Remover Serviços de Função. O comandoque abre o Assistente para Remover Serviços de Função éencontrado na página inicial de cada função no console do ServerManager.Assistente para Remover Recursos Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 240. 237O Assistente para Remover Recursos permite que você remova um oumais recursos do computador em uma única sessão. Recursos sãoprogramas de software que suportam ou aumentam a funcionalidadede uma ou mais funções, ou melhoram a funcionalidade do próprioservidor, sejam quais forem as funções instaladas.Os comandos que abrem o Assistente para Remover Recursos estão naárea Personalizar esse servidor, na janela Tarefas deConfiguração Inicial, e também na seção Sumário de Recursos dajanela do Console do Server Manager.Linha de Comando do Server ManagerO Server Manager oferece uma ferramenta de linha de comando –ServerManagerCmd.exe – que automatiza a implantação de funções erecursos em computadores com Windows Server “Longhorn”.Você pode usar o ServerManagerCmd.exe para instalar e removerfunções, serviços de função e recursos. Os parâmetros doServerManagerCmd.exe também exibem uma lista de todas as funções,serviços de função e recursos instalados e disponíveis parainstalação no computador.A linha de comando do Server Manager possibilita instalação ouremoção autônoma de funções, serviços de função e recursos. Vocêpode usar a linha de comando do Server Manager para instalar ouremover uma única função, serviço de função ou recurso em umainstância de comando, ou pode usar um arquivo de resposta XML como comando do Server Manager para adicionar ou remover múltiplasfunções, serviços de função e recursos em uma única instância decomando.As opções do ServerManagerCmd.exe permitem que os usuáriosvisualizem registros de suas operações, e executem consultas paraexibir listas de funções, serviços de função e recursosinstalados e disponíveis para instalação no computador.Para informações detalhadas sobre como usar a linha de comando doServer Manager, veja a Ajuda do Server Manager. Importante Devido a restrições de segurança impostas pelo Controle de Contas de Usuário no Windows Server “Longhorn”, você deve executar o ServerManagerCmd.exe em uma janela de Aviso de Comando aberta com privilégios elevados. Para isso, clique com o botão direito no executável do Aviso de Comando, ou no objeto do Aviso de Comando no menu Iniciar, e depois clique em Executar como administrador.Antes da implementação da linha de comando do Server Manager, asúnicas ferramentas de linha de comando disponíveis para instalarpacotes de software do Windows em um computador eram ocsetup epkgmgr. A sintaxe da linha de comando para essas ferramentas écomplexa, e os nomes de funções, serviços de função e recursosdisponíveis para instalação ou remoção com o uso dessas duas Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 241. 238 ferramentas não eram intuitivos. O ServerManagerCmd.exe simplifica a instalação e remoção por linha de comando de funções, serviços de função e recursos. Configurações de Registro As seguintes configurações de registro se aplicam ao Server Manager e às Tarefas de Configuração Inicial em todas as variações disponíveis do Windows Server “Longhorn”. As configurações de registro da seguinte tabela controlam o comportamento padrão de abertura do Server Manager e das janelas de Tarefas de Configuração Inicial. Configurações de Registro Nome da Localização Valor ValoresConfiguração Padrão PossíveisNão abrir o HKEY_LOCAL_MACHINESOFTWAREMicrosoftServer 0 0 paraServer Manager desativar eManager no abrir alogon janela normalmente; 1 para ativar e impedir a abertura da janelaNão abrir HKEY_LOCAL_MACHINESOFTWAREMicrosoftInitial 0 0 paraTarefas de Configuration Tasks desativar eConfiguração abrir aInicial no janelalogon normalmente; 1 para ativar e impedir a abertura da janela. Como Inicio o Server Manager? O Server Manager abre por padrão quando a janela Tarefas de Configuração Inicial é fechada. Após completar as tarefas de configuração inicial, o Server Manager abre por padrão quando um administrador faz logon em um computador que está executando o Windows Server “Longhorn”. Se você fechar o Server Manager e quiser abri-lo novamente, pode fazer isso usando o comando do Server Manager em qualquer um dos seguintes locais: • No menu Start, sob Administrative Tools. • No menu Start(se você fez logon no computador como membro do grupo de Administradores). • No menu Start, clique com o botão direito em Computer, e depois clique em Manage. • Na barra de ferramentas Quick Launch, adjacente ao botão Start. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 242. 239 • Em Control Panel, clique em Programs, em Programs and Features, e depois em Turn Windows features on or off.O Server Manager é instalado por padrão como parte do WindowsServer “Longhorn”. Para usar o Server Manager, você deve fazerlogon no computador como membro do grupo de Administradores. Nota Se você fizer logon no computador usando uma conta de Administrador diferente da padrão, uma caixa de diálogo pode abrir para alertá-lo sobre sua permissão para executar o Server Manager. Clique em Permitir o início do Server Manager.Recursos AdicionaisPara mais informações sobre o Server Manager, veja o TechCenterdo Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Você tambémpode aprender a realizar operações específicas no Server Managercom a Ajuda do Server Manager, disponível ao apertar F1 em umajanela aberta do Console do Server Manager. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 243. 2407.04 Windows PowerShell O Windows PowerShell é um novo Shell de linha de comando do Windows projetado especialmente para administradores de sistemas. O shell inclui um aviso interativo e um ambiente de script que podem ser usados independentemente ou em combinação. Diferente da maioria dos shells, que aceitam e retornam texto, o Windows PowerShell foi construído sobre o .NET common language runtime (CLR) e o .NET Framework, e aceita e retorna objetos .NET. Essa alteração fundamental no ambiente traz ferramentas e métodos inteiramente novos para o gerenciamento e a configuração do Windows. O Windows PowerShell introduz o conceito de um cmdlet (pronuncia- se “command-let”), uma ferramenta de linha de comando simples e de função única construída dentro do shell. Você pode usar cada cmdlet separadamente, mas seu poder é notado quando você usa essas ferramentas simples em combinação para desempenhar tarefas complexas. O Windows PowerShell inclui mais de cem cmdlets básicos, e você pode escrever seus próprios cmdlets e compartilhá-los com outros usuários. Como muitos shells, o Windows PowerShell dá a você acesso ao sistema de arquivos do computador. Além disso, os provedores do Windows PowerShell permitem acessar outros armazenamentos de dados, como o registro e os armazenamentos de certificados de assinatura digital, e é tão fácil como acessar o sistema de arquivos. A maioria dos shells, incluindo Cmd.exe e os shells do Unix – SH, KSH, CSH e BASH, operam executando um comando ou utilitário em um novo processo, e apresentando os resultados ao usuário em forma de texto. Com o passar dos anos, muitos utilitários de processamento de texto, tais como sed, AWK e PERL, evoluíram para suportar essa interação. Esses shells também têm comandos construídos dentro do shell e executados no processo do shell, como o comando typeset no KSH e o comando dir no Cmd.exe. Na maioria dos shells, como há poucos comandos embutidos, muitos utilitários foram criados. O Windows PowerShell é muito diferente. • O Windows PowerShell não processa texto. Em vez disso, processa objetos baseados na plataforma .NET. • O Windows PowerShell vem com um grande conjunto de comandos embutidos com uma interface consistente. • Todos os comandos de Shell usam o mesmo analisador de comandos, em vez de analisadores diferentes para cada ferramenta. Assim é muito mais fácil aprender a usar cada comando. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 244. 241E o melhor, você não precisa abandonar as ferramentas que seacostumou a usar. Ainda pode usar as ferramentas tradicionais doWindows, como Net, SC e Reg.exe no Windows PowerShell.Cmdlets do Windows PowerShellUm cmdlet (pronunciado “command-let”) é um comando de recursoúnico que manipula objetos no Windows PowerShell. Você podereconhecer os cmdlets pelo formato de seus nomes – um verbo e umsubstantivo separados por um traço (-), como Get-Help (Buscar-Ajuda), Get-Process (Buscar-Processo) e Start-Service (Iniciar-Serviço).Em shells tradicionais, os comandos são programas executáveis quevariam do muito simples (como o attrib.exe) ao muito complexo(como o netsh.exe).No Windows PowerShell, a maioria dos cmdlets é muito simples, eeles são projetados para uso em combinação com outros cmdlets.Por exemplo, os cmdlets “get” apenas recuperam dados, os cmdlets“set” apenas estabelecem ou alteram dados, os cmdlets “format”apenas formatam dados, e os cmdlets “out” apenas direcionam osdados de saída para um destino especificado.Cada cmdlet tem um arquivo de ajuda que você pode acessardigitando: • get-help <cmdlet-name> -detailedA visão detalhada do arquivo de ajuda do cmdlet inclui umadescrição do cmdlet, a sintaxe do comando, descrições dosparâmetros, e exemplos que demonstram o uso do cmdlet.Uma Nova Linguagem de Script • O Windows PowerShell necessitava de uma linguagem para gerenciar os objetos .NET. • A linguagem precisava fornecer um ambiente consistente para usar cmdlets. • Precisava suportar tarefas complexas, sem tornar as tarefas simples mais complexas. • Precisava também ser consistente com linguagens de nível mais alto usadas na programação .NET, como C#.Comandos e Utilitários do WindowsVocê pode executar programas de linha de comando do Windows noWindows PowerShell, e pode iniciar os programas do Windows quetêm uma interface gráfica de usuário, como o Bloco de Notas e aCalculadora, dentro do shell. Você também pode capturar o textoque os programas geram e usá-lo no shell, praticamente do mesmomodo que faria no Cmd.exe. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 245. 2427.05 Núcleo do Servidor No Windows Server “Longhorn”, os administradores agora podem optar por instalar um ambiente mínimo que evita carga extra. Embora essa opção limite as funções que podem ser desempenhadas pelo servidor, ela pode melhorar a segurança e reduzir o gerenciamento. Esse tipo de instalação é chamado de instalação do Núcleo do Servidor. Uma instalação do Núcleo do Servidor é uma opção de instalação de servidor mínima, para nextref longhorn. As instalações no Núcleo do Servidor fornecem um ambiente para executar as seguintes funções de servidor: • Servidor DHCP • Serviços de Arquivo • Servidor de Impressão • Servidor DNS • Serviços de Domínio do Active Directory • Serviços de Domínio do Active Directory Lightweight (AD LDS) Escolhendo usar a opção de instalação no Núcleo do Servidor em um servidor, você pode reduzir seu trabalho administrativo e ajudar a limitar os riscos à segurança. Uma instalação no Núcleo do Servidor fornece esses benefícios de três maneiras: • Reduzindo a manutenção de software necessária • Reduzindo o gerenciamento necessário • Reduzindo a superfície de ataque Para isso, a opção de instalação no Núcleo do Servidor instala apenas o subconjunto dos arquivos binários que são necessários para as funções de servidor suportadas. Por exemplo, a interface de usuário (ou “shell”) do Windows Explorer não é instalada como parte de uma instalação no Núcleo do Servidor . Em vez disso, a interface de usuário padrão para um servidor Server Core é o aviso de comando. Uma instalação no Núcleo do Servidor do Windows Server “Longhorn” suporta os seguintes recursos opcionais: • Cluster Failover da Microsoft • Balanceamento de Carga de Rede • Subsistema para aplicações baseadas em UNIX • Backup • Multipath IO Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 246. 243 • Gerenciamento de Armazenamento Removível • Criptografia da Unidade BitLocker • Simple Network Management Protocol (SNMP) • Windows Internet Name Services (WINS) • Cliente TelnetA opção de instalação no Núcleo do Servidor foi projetada parauso em organizações que têm muitos servidores, onde alguns apenasprecisam desempenhar tarefas dedicadas, ou em ambientes em que osrequisitos de alta segurança exigem uma superfície de ataquemínima no servidor.Como nenhuma interface gráfica de usuário está disponível paramuitas operações do Windows, a opção de instalação no Núcleo doServidor requer administradores experientes no uso de avisos decomando ou técnicas de script para administração local doservidor. Alternativamente, você pode gerenciar a instalação noNúcleo do Servidor com os snap-ins do Console de Gerenciamento daMicrosoft (MMC) a partir de outro computador que estejaexecutando o Windows Server “Longhorn”, selecionando o computadorServer Core como computador remoto para gerenciar.Você deve analisar esse tópico e a documentação adicional sobre aopção de instalação no Núcleo do Servidor se estiver em algum dosseguintes grupos: • Planejadores e analistas de TI que estão avaliando tecnicamente o produto • Planejadores e designers de TI corporativos para organizações • Os responsáveis pela segurança do TI • Profissionais de TI que estão gerenciando as seguintes funções de servidor: Servidor DHCP, Serviços de Arquivo, Servidor de Impressão, Servidor DNS, Serviços de Domínio do Active Directory Lightweight (AD LDS), ou Serviços de Domínio do Active DirectoryA opção de instalação no Núcleo do Servidor não adiciona novafuncionalidade às funções de servidor que suporta. Cada função deservidor, no entanto, pode ter alterações no Windows Server“Longhorn”.As instalações no Núcleo do Servidor oferecem os seguintesbenefícios: • Manutenção reduzida. Como uma instalação no Núcleo do Servidor instala apenas o que é necessário para as funções especificadas (Servidor DHCP, Serviços de Arquivo, Servidor de Impressão, Servidor DNS, AD LDS, ou Serviços de Domínio Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 247. 244 do Active Directory), são requisitados menos serviços que em uma instalação completa do Windows Server “Longhorn”. • Superfície de ataque reduzida. Como as instalações no Núcleo do Servidor são mínimas, há menos aplicações sendo executadas no servidor, o que diminui a superfície de ataque. • Gerenciamento reduzido. Como menos aplicações e serviços estão instalados em um servidor com instalação no Núcleo do Servidor, há menos para gerenciar. • Menos espaço em disco necessário. Uma instalação no Núcleo do Servidor requer apenas cerca de 1 gigabyte (GB) de espaço em disco para instalar, e aproximadamente 2 GB para operações após a instalação.Os servidores Server Core não têm uma interface de usuário, nemoferecem a habilidade de executar aplicações. Uma instalação noNúcleo do Servidor é mínima, para executar as seguintes funções:Servidor DHCP, Serviços de Arquivo, Servidor de Impressão,Servidor DNS, AD LDS, ou Serviços de Domínio do Active Directory.A experiência de gerenciamento também será diferente ao usar umainstalação no Núcleo do Servidor. Ela requer que você configureinicialmente o sistema a partir da linha de comando, ou usandométodos de script como uma instalação autônoma, pois não inclui atradicional interface de usuário completa.Uma vez que o servidor está configurado, você pode gerenciá-lo apartir da linha de comando, local ou remotamente, com uma conexãode área de trabalho remota de Serviços de Terminal. Você tambémpode usar snap-ins do MMC ou ferramentas de linha de comando quesuportam conexões remotas para gerenciar o servidor remotamente.Os administradores que gerenciam uma instalação no Núcleo doServidor precisam estar cientes de que não há uma interfacegráfica de usuário (GUI) disponível.Embora nenhuma alteração seja necessária para a configuração desua rede, você talvez precise se familiarizar com as ferramentasde linha de comando.A opção de instalação no Núcleo do Servidor não adiciona oualtera nenhuma configuração. Entretanto, você deve analisar adocumentação para cada uma das funções de servidor suportadas queestão disponíveis na opção de instalação no Núcleo do Servidor,para verificar se há alterações no Windows Server “Longhorn”.As alterações em cada uma dessas funções são as mesmas, estejavocê usando a instalação no Núcleo do Servidor ou a instalaçãocompleta.A opção de instalação no Núcleo do Servidor não é uma plataformade aplicação, e você não pode executar ou desenvolver aplicações Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 248. 245de servidor em uma instalação no Núcleo do Servidor. Umainstalação no Núcleo do Servidor só pode ser usada para executaras funções de servidor e ferramentas de gerenciamento suportadas.Os servidores Server Core suportam o desenvolvimento deferramentas e agentes de gerenciamento, que podem ser divididosem duas categorias: • Ferramentas de gerenciamento remoto. Essas ferramentas não requerem nenhuma alteração, contanto que usem um dos protocolos suportados nas instalações no Núcleo do Servidor para comunicar-se com a área de trabalho de gerenciamento remoto, como a chamada de procedimento remoto (RPC). • Ferramentas e agentes de gerenciamento local. Essas ferramentas podem necessitar de alterações para trabalhar com instalações no Núcleo do Servidor, pois não podem ter nenhuma dependência a shell ou interface de usuário, e não podem usar código gerenciado.O Kit de Desenvolvimento de Software (SDK) do Windows Server“Longhorn” inclui uma lista de APIs que são suportados eminstalações no Núcleo do Servidor. Você precisa verificar setodos os APIs chamados por seu código estão listados, e tambémprecisa testar seu código em uma instalação no Núcleo do Servidorpara garantir que ele se comportará como o esperado.Nenhuma alteração em seu ambiente ou infra-estrutura énecessária.A opção de instalação no Núcleo do Servidor suporta apenas umainstalação do zero em um servidor. Você não pode atualizar parauma instalação no Núcleo do Servidor a partir de uma versãoprévia do Windows.Para fazer uma instalação no Núcleo do Servidor do Windows Server“Longhorn”, inicie o computador do servidor com um DVDinicializável do Windows Server “Longhorn” na unidade de DVD docomputador. Quando aparecer a caixa de diálogo Autorun, clique emInstall Now, e siga as instruções na tela para completar ainstalação.Em muitos casos, uma instalação no Núcleo do Servidor será feitausando um script de instalação autônoma.Os seguintes recursos opcionais requerem hardware apropriado paraque possam ser usados: • Cluster Failover • Balanceamento de Carga de Rede • Armazenamento Removível • Criptografia da Unidade BitLocker Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 249. 246Alguma funcionalidade de BitLocker está disponível sem hardwareespecífico.Não há pré-requisitos para os seguintes recursos opcionais: • Subsistema para aplicações baseadas em UNIX • Backup • Simple Network Management Protocol (SNMP) • Windows Internet Name Services (WINS) • Cliente TelnetOs seguintes recursos oferecem informações adicionais sobreinstalações no Núcleo do Servidor: • Se você precisa de suporte ao produto, visite o Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). • Para acessar grupos de notícias para esse recurso, siga as instruções fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067). • Se você é um beta tester e parte do programa beta especial chamado Programa de Adoção de Tecnologia (TAP), também pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência.Os seguintes recursos no site da Microsoft fornecem informaçõesadicionais sobre alguns dos comandos que você pode usar paraconfigurar instalações no Núcleo do Servidor e ativar as funçõesde servidor: • Referências sobre linha de comando de A-Z (http://go.microsoft.com/fwlink/?LinkId=20331) • Arquivos de instalação autônoma dcpromo o Realizando uma Instalação Autônoma do Active Directory (http://go.microsoft.com/fwlink/?LinkId=49661) • Netsh o Visão geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654) • Dnscmd o Visão geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656) o Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659) o Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660) • Dfscmd o Referências do Dfscmd (http://go.microsoft.com/fwlink/?LinkId=49658) Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 250. 247O seguinte recurso fornece informações adicionais para implantar,configurar e gerenciar uma instalação no Núcleo do Servidor, etambém para ativar uma função de servidor nessa instalação: • Guia Passo a Passo Beta 2 sobre o Núcleo do Servidor em Windows Server "Longhorn" no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 251. 2487.07 Backup do Windows Server O recurso Backup do Windows Server “Longhorn” oferece uma solução básica de backup e recuperação para o servidor em que está instalado. Você também pode usar esse recurso para gerenciar backups em servidores remotos. Essa versão do Backup introduz uma nova tecnologia de backup e recuperação e substitui o recurso que estava disponível em versões anteriores do sistema operacional Windows. Você pode usar o recurso Backup para proteger todo o seu servidor de modo eficiente e confiável sem se preocupar com detalhes da tecnologia de backup e recuperação. Assistentes simples o guiarão através da instalação de um agendamento automático de backups, criando backups manuais se necessário, e recuperando itens ou volumes inteiros. Você pode usar esse recurso para fazer um backup de um servidor inteiro ou de volumes selecionados. E, em caso de desastres como falhas do disco rígido, você pode realizar uma recuperação de sistema, que vai restaurar completamente seu sistema para o novo disco rígido usando um backup de servidor completo e o Ambiente de Recuperação do Windows. O Backup foi projetado para ser usado por todos, de proprietários de pequenas empresas a administradores de TI em grandes empresas, que precisam de uma solução de backup fácil de implantar e usar, e que esteja disponível sem nenhum custo extra. No entanto, seu design simples o torna especialmente adequado para organizações menores ou indivíduos que não são profissionais de TI. Você deve ser um membro do grupo de Administradores ou do grupo de Operadores de Backup para usar o Backup. O recurso Backup inclui as seguintes melhorias: • T e c n o l o g i a de backup nova e mais rápida. O Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 252. 249 Backup usa o Serviço de Cópias por Volume de Sombra (VSS) e a tecnologia de backup em nível de blocos para realizar o backup de modo eficiente e recuperar seu sistema operacional, arquivos, pastas e volumes. Após o primeiro backup completo ser criado, o Backup pode ser configurado para executar, automaticamente, backups incrementais, salvando apenas os dados que foram alterados desde o último backup. Entretanto, mesmo que você opte por sempre fazer backups completos, ele levará menos tempo que o recurso Backup das versões anteriores do Windows.• Restauração simplificada. Você agora pode restaurar itens escolhendo o backup a partir do qual a recuperação será feita, e selecionando então os itens a serem restaurados. Pode recuperar arquivos específicos ou todos os conteúdos de uma pasta. Anteriormente, você precisava restaurar manualmente a partir de múltiplos backups se o item estivesse armazenado em um backup incremental. Agora, simplesmente escolhe a data em que fez o backup da versão do item que quer restaurar.• Recuperação simplificada de seu sistema operacional. O Backup trabalha com novas ferramentas de recuperação do Windows para facilitar a tarefa de recuperar seu sistema operacional. Você pode recuperar para o mesmo servidor, ou, se o hardware falhar, pode recuperar para um novo servidor que não tem sistema operacional.• Habilidade de recuperar aplicações. O Backup usa a funcionalidade VSS que é construída dentro de aplicações como o Microsoft SQL Server™ e o Windows SharePoint Services para proteger os dados da aplicação.• Agendamento aperfeiçoado. O Backup agora inclui um assistente que guia através do processo de criação de backups diários. Os volumes do sistema são automaticamente incluídos em todos os backups agendados, para que você esteja sempre protegido contra desastres.• Fácil remoção de backups externos para proteção contra desastres. Você pode executar backups para múltiplos discos em rotação para que seja fácil mover discos externos. Basta adicionar cada disco como um local de backup agendado e, se o primeiro disco é retirado, o Backup vai automaticamente executar backups para o disco seguinte na rotação.• Administração remota. O Backup agora usa um snap-in do MMC para dar a você uma experiência familiar e consistente no gerenciamento seus backups. Após instalar o snap-in do Backup, você pode acessar essa ferramenta através do Server Manager ou adicionando o snap-in a um console do MMC novo ou já existente. Então, pode usar o Backup para gerenciar backups em outros servidores clicando em Ação, e depois em Conectar-se a Outro Computador.• Gerenciamento automático de uso de disco. Uma vez que você configura um disco para um backup agendado, o Backup vai automaticamente gerenciar o uso do disco – você não precisa se preocupar com o espaço em disco após vários backups. O Backup vai automaticamente reutilizar o espaço de backups anteriores quando criar os novos. A ferramenta de Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 253. 250 gerenciamento exibe os backups que estão disponíveis e as informações sobre uso do disco, que podem ajudar a preparar um armazenamento adicional para atender seus objetivos relacionados ao tempo de recuperação. • Suporte extensivo de linha de comando. O Backup agora vem com suporte e documentação extensivos de linha de comando para permitir que você desempenhe quase todas as mesmas tarefas que podem ser feitas com a ferramenta de gerenciamento. Você também pode automatizar as atividades de backup através dos scripts. • Suporte para mídia de DVD. Você pode fazer backups manuais de volumes diretamente para DVD. Isso pode ser uma solução fácil se você quiser criar backups externos para fins específicos. O Backup também tem suporte a backup manual para pastas e discos rígidos compartilhados. Backups agendados são armazenados em discos rígidos. Nota A nova ferramenta Backup não usa dispositivos de armazenamento em fita – o uso de discos externos e internos, DVDs e pastas compartilhadas são suportados. No entanto, o suporte de drivers para fita ainda está incluído no Windows Server “Longhorn”.Se você é atualmente usuário do Backup do Windows (Ntbackup.exe)e planeja mudar para o novo Backup do Windows Server, pode sersurpreendido pelas seguintes questões e alterações: • As configurações do Backup não serão atualizadas quando você mudar para o Windows Server “Longhorn”. Você terá que reconfigurar as configurações. • Você precisará de um disco separado e dedicado para executar backups agendados. • Não pode mais fazer backups em fita. • Não pode recuperar backups que criou com o Backup do Windows usando o Backup do Windows Server. O Backup do Windows está disponível como um download para os usuários do Windows Server “Longhorn” que querem recuperar dados de backups feitos com o NTBackup. No entanto a versão para download do Backup do Windows não pode ser usada para criar backups no Windows Server “Longhorn”. Para fazer o download do Backup do Windows (Ntbackup.exe), veja http://go.microsoft.com/fwlink/?LinkId=82917. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 254. 2517.08 Monitor de Confiabilidade e Desempenho doWindows O Windows Server “Longhorn” inclui o Monitor de Confiabilidade e Desempenho do Windows, que fornece aos profissionais de TI as ferramentas para monitorar e avaliar o desempenho e a confiabilidade do sistema. Nota Em algumas versões pré- lançamento do Windows, esse recurso foi chamado de Console de Diagnóstico de Desempenho do Windows. O Monitor de Confiabilidade e Desempenho do Windows é um snap-in do MMC que combina a funcionalidade de ferramentas independentes anteriores, incluindo os Registros e Alertas de Desempenho, o Consultor de Desempenho do Servidor, e o Monitor de Sistema. Ele oferece uma interface gráfica para personalizar a coleção de dados do desempenho e as Sessões de Acompanhamento de Eventos. Ele também inclui o Monitor de Confiabilidade, um snap-in do MMC que acompanha as alterações no sistema e as compara a alterações na estabilidade do sistema, fornecendo uma visualização gráfica de seu relacionamento. O Monitor de Confiabilidade e Desempenho do Windows é uma ferramenta destinada ao uso por profissionais de TI ou administradores de computador. Para visualizar o estado em tempo real na Visualização de Recursos, o console deve ser executado como membro do grupo de Administradores. Para criar Conjuntos de Coletores de Dados, configurar registros ou visualizar relatórios, o console deve ser executado como membro do grupo de Administradores ou do Grupo de Usuários de Registro do Desempenho. Os contadores de desempenho, provedores de acompanhamento de eventos e outros elementos de código anteriores, relacionados a desempenho, não precisam mudar para trabalhar com o novo Monitor de Confiabilidade e Desempenho do Windows ou seus recursos. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 255. 252Os recursos do Monitor de Confiabilidade e Desempenho do Windowsque são novos para o Windows Server “Longhorn” incluem oseguinte.Conjuntos de Coletores de DadosUm novo recurso importante do Monitor de Confiabilidade eDesempenho do Windows é o Conjunto de Coletores de Dados, queagrupa coletores de dados em elementos reutilizáveis para uso emdiferentes cenários de monitoramento de desempenho. Uma vez queum grupo de coletores de dados é armazenado como um Conjunto deColetores de Dados, operações como o agendamento podem seraplicadas a todo o conjunto através de uma única alteração depropriedade. O Monitor de Confiabilidade e Desempenho do Windows também inclui modelos padrão de Conjunto de Coletores de Dados para ajudar os administradores de sistema a começar a coletar dados de desempenho específicos de uma Função de Servidor ou cenário de monitoramento imediatamente.Assistentes e Modelos para Criação de RegistrosA adição de contadores a arquivos de registro e o agendamento deseu início, interrupção e duração agora podem ser feitos atravésda interface de um Assistente. Além disso, salvando essaconfiguração como um modelo, os administradores de sistema podemcoletar o mesmo registro em computadores subseqüentes sem repetira seleção de coletores de dados e processos de agendamento. Osrecursos de Registros e Alertas de Desempenho foram incorporadosao Monitor de Confiabilidade e Desempenho do Windows para uso comqualquer Conjunto de Coletores de Dados.Visualização de RecursosA página inicial do Monitor de Confiabilidade e Desempenho doWindows é a nova tela de Visualização de Recursos, que forneceuma visão geral gráfica em tempo real da CPU, disco, rede e usoda memória. Expandido cada um desses elementos monitorados, osadministradores de sistema podem identificar quais processosestão usando quais recursos. Em versões anteriores do Windows, Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 256. 253esses dados específicos de processos em tempo real só eramdisponíveis de forma limitada no Gerenciador de Tarefas.Monitor de Confiabilidade O Monitor de Confiabilidade calcula o Índice de Estabilidade do Sistema, que reflete se problemas inesperados reduziram a confiabilidade do sistema. Um gráfico do Índice de Estabilidade em um período de tempo identifica rapidamente as datas em que os problemas começaram a ocorrer. O Relatório de Estabilidade do Sistema que acompanha oÍndice fornece detalhes para ajudar a resolver a causa raiz daredução de confiabilidade. Visualizando as alterações do sistema(instalação ou remoção de aplicações, atualizações no sistemaoperacional, adição ou modificação de drivers) lado a lado com asfalhas (de aplicação, de sistema operacional ou de hardware), umaestratégia para lidar com os problemas pode ser desenvolvidarapidamente.Configuração Unificada de Propriedades para Toda a Coleção de Dados,Inclusive o AgendamentoSeja na criação de um Conjunto de Coletores de Dados para uso emuma única vez ou para atividade contínua de registro, a interfacepara criação, agendamento e modificação é a mesma. Se um Conjuntode Coletores de Dados prova que é útil para o futuromonitoramento de desempenho, não precisa ser recriado. Pode serreconfigurado ou copiado como um modelo.Relatórios de Diagnóstico Fáceis de UsarOs usuários do Consultor de Desempenho do Servidor no WindowsServer 2003 podem agora encontrar os mesmos tipos de relatóriosde diagnóstico no Monitor de Confiabilidade e Desempenho doWindows no Windows Server “Longhorn”. O tempo de geração dosrelatórios foi melhorado e os relatórios podem ser criados comdados coletados através do Conjunto de Coletores de Dados. Assimos administradores de sistema podem repetir relatórios e avaliarcomo as alterações afetaram o desempenho ou as recomendações dorelatório. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 257. 2547.09 Serviços de Implantação do Windows Os Serviços de Implantação do Windows, versão atualizada e reprojetada dos Serviços de Instalação Remota (RIS), são um pacote de componentes que trabalham juntos no Windows Server “Longhorn” para ativar a implantação de sistemas operacionais Windows, particularmente o Windows Vista. Esses componentes são organizados nestas três categorias: • Componentes de servidor. Esses componentes incluem um servidor de Ambiente de Pré-Boot Execution (PXE) e um servidor de Protocolo de Transferência de Arquivos Simples (TFTP) para inicializar por rede um cliente para carregar e instalar um sistema operacional. Também estão incluídos um repositório de imagem e uma pasta compartilhada, que contêm imagens de inicialização, de instalação, e arquivos que você precisa especificamente para inicialização por rede. • Componentes de cliente. Esses componentes incluem uma GUI que é executada dentro do Ambiente de Pré-Instalação do Windows (Windows PE) e se comunica com os componentes de servidor para selecionar e instalar uma imagem de sistema operacional. • Componentes de gerenciamento. Esses componentes são um conjunto de ferramentas que você usa para gerenciar o servidor, as imagens do sistema operacional e as contas do computador cliente. Os Serviços de Implantação do Windows ajudam na rápida adoção e implantação de sistemas operacionais Microsoft Windows. Você pode usá-los para instalar novos computadores usando uma instalação baseada em rede. Isso significa que você não tem que estar fisicamente presente diante de cada computador e não tem que instalar diretamente a partir de um CD ou DVD. Você também pode usar os Serviços de Implantação do Windows para redefinir os propósitos dos computadores existentes. Você pode usar os Serviços de Implantação do Windows em qualquer organização que esteja interessada em simplificar as implantações e aumentar a consistência de seus computadores baseados em Windows. O público-alvo inclui: • Planejadores ou designers de TI corporativos • Especialistas em implantação interessados em implantar imagens em computadores sem sistemas operacionais Os seguintes requisitos devem ser atendidos antes de instalar a função Serviços de Implantação do Windows: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 258. 255 • Serviços de Domínio do Active Directory. Um servidor com Serviços de Implantação do Windows deve ser membro de um domínio do Active Directory ou ser um controlador de domínio para um domínio do Active Directory. As versões do domínio e da floresta do Active Directory são irrelevantes; todas as configurações de domínio e floresta suportam os Serviços de Implantação do Windows. • DHCP. Você deve ter um servidor de Protocolo de Configuração Dinâmica de Host (DHCP) em funcionamento com um escopo ativo na rede, pois os Serviços de Implantação do Windows usam o Ambiente de Pre-Boot Execution (PXE), que por sua vez usa o DHCP. • DNS. Um servidor de Sistema de Nomes de Domínio em funcionamento na rede é necessário para executar os Serviços de Implantação do Windows. • Um volume de NTFS no servidor de Serviços de Implantação do Windows. O servidor que está executando os Serviços de Implantação do Windows requer um volume de sistema de arquivos NTFS para o armazenamento de imagem. • Credenciais administrativas. A instalação dos Serviços de Implantação do Windows requer que o administrador seja um membro do grupo de Administradores Locais no servidor de Serviços de Implantação do Windows. Para iniciar o cliente de Serviços de Implantação do Windows, você deve ser um membro do grupo de Usuários do Domínio.Esses Serviços incluem o snap-in do MMC de Serviços deImplantação do Windows, que fornece gerenciamento rico de todosos recursos dos Serviços de Implantação do Windows. Os Serviçosde Implantação do Windows também oferecem vários aperfeiçoamentosfeitos no conjunto de recursos dos Serviços de Instalação Remota(RIS). Esses aperfeiçoamentos suportam a implantação dos sistemasoperacionais Windows Vista e Windows Server “Longhorn”. Com osServiços de Implantação do Windows você pode: • Criar uma imagem de captura. Imagens de captura são usadas para capturar imagens do Windows preparadas com Sysprep.exe para implantação como imagens de instalação. • Criar uma imagem de instalação. Imagens de instalação são as imagens que você implanta no computador cliente. • Associar arquivos de instalação autônoma a uma imagem. • Criar uma imagem de descoberta. Imagens de descoberta são usadas para implantar o sistema operacional Windows em computadores que não suportam a inicialização PXE. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 259. 256 • Ativar transmissão multicast de uma imagem. Quando você ativa uma transmissão multicast para uma imagem, os dados são enviados pela rede apenas uma vez.Criar uma Imagem de CapturaVocê pode capturar imagens dos sistemas operacionais Windows queforam preparadas com o Sysprep, e depois implantá-las comoimagens de instalação. Imagens de captura são imagens deinicialização que iniciam o Assistente de Captura de Imagens.Imagens de captura são salvas primeiro em um arquivo e depoisadicionadas ao armazenamento de imagens. Para criar uma imagem de captura, faça o seguinte: 1. Abra o Server Manager. 2. Abra o snap-in do MMC de Windows Deployment Services. 3. Expanda a pasta Boot Image folder. 4. Clique com o botão direito na imagem a ser usada como imagem de captura. 5. Clique em Create Capture Boot Image. 6. Siga as instruções no assistente, e quando ele terminar, clique em Finish. 7. Clique com o botão direito na pasta da imagem de inicialização. 8. Clique em Add Boot Image. 9. Procure e selecione a nova imagem de captura, e então clique em Next. 10. Siga as instruções no assistente.Antes a imagem de captura era um procedimento complexo de linhade comando. O Assistente de Captura de Imagens abre a captura deimagens para administradores de nível mais baixo que talvez nãoestejam familiarizados com o trabalho em um aviso de comando.Criar uma Imagem de InstalaçãoVocê pode construir imagens de instalação a partir de instalaçõesde referência do sistema operacional Windows e implantá-las noscomputadores cliente. Uma instalação de referência pode ser umainstalação padrão do Windows ou uma instalação do Windows que foiconfigurada para um ambiente ou usuário específico antes dacriação da imagem. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 260. 257 Para capturar uma imagem de instalação usando o Assistente deCaptura de Imagens, faça o seguinte: 1. Realize uma instalação de referência em um computador que será usado como referência. 2. Em uma janela de Aviso de Comando no computador de referência, mova as pastas para WindowsSystem32Sysprep ou a pasta que contém Sysprep.exe e Setupcl.exe. Nota Essa estrutura de pastas é válida somente para o Windows Server “Longhorn” e o Windows Vista. Para o Windows Server 2003 e o Windows XP, use a versão apropriada do Sysprep a partir do Deploy.cab. 3. Digite sysprep /OOBE /generalize /reboot Nota Essa sintaxe é válida somente para o Windows Server “Longhorn” e o Windows Vista. Para verificar a sintaxe para outra versão do Windows, digite sysprep /? 4. Quando o computador de referência reiniciar, aperte F12. 5. No Gerenciador de Inicialização do Windows, role para a imagem de captura que você criou anteriormente. 6. Na página do Image Capture Wizard (Assistente de Captura de Imagens), clique em Next. 7. Na página de Image Capture Source, use o controle de seleção Volume to Capture para escolher o volume apropriado, e então forneça um nome e uma descrição para a imagem. Clique em Next para continuar. 8. Na página Image Capture Destination, clique em Browse e navegue para o local em que quer armazenar a imagem capturada. 9. Na caixa de texto File name, digite um nome para a imagem usando a extensão de nome de arquivo .wim, e então clique em Save. 10. Clique em Upload image to WDS server. 11. Digite o nome do servidor de Serviços de Implantação do Windows, e então clique em Connect. 12. Se for alertado sobre credenciais, forneça um nome e uma senha de usuário para uma conta com privilégio Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 261. 258 suficiente para conectar-se ao servidor de Serviços de Implantação do Windows. 13. Na lista de Grupo de Imagens, escolha o grupo de imagens no qual quer armazenar a imagem. 14. Clique em Finish.Você pode usar o Assistente de Captura de Imagens em vez deferramentas de linha de comando, eliminando a necessidade desuportar e gerenciar utilitários de linha de comando sensíveis àversão. Usando o Assistente de Captura de Imagens você podeinicializar um computador para capturar uma imagem de sistemaoperacional do mesmo modo que faria para instalar um sistemaoperacional.Associar um Arquivo de Instalação Autônoma a uma ImagemOs Serviços de Implantação do Windows permitem que vocêautomatize o cliente de Serviços de Implantação do Windows e osúltimos estágios da Instalação do Windows. Essa abordagem de doisestágios é realizada através de dois arquivos diferentes deinstalação autônoma. • Arquivo autônomo do cliente de Serviços de Implantação do Windows. Esse arquivo usa o formato Unattend.xml e é armazenado no servidor de Serviços de Implantação do Windows na pasta WDSClientUnattend. Ele é usado para automatizar as telas da interface de usuário do cliente de Serviços de Implantação do Windows (tais como a inserção de credenciais, a escolha de uma imagem de instalação e a configuração do disco). • Arquivo autônomo de imagem. Esse arquivo usa o Unattend.xml ou o Sysprep.inf, dependendo da versão do sistema operacional na imagem. Ele é usado para configurar opções de instalação autônoma durante a Instalação do Windows e é armazenado em uma subpasta (estrutura $OEM$ ou Unattend) na pasta por imagem. É usado para automatizar as fases remanescentes de instalação (por exemplo, serviços off- line, especialização do Sysprep e mini-instalação).Para automatizar qualquer um dos estágios, crie um arquivoUnattend.xml, copie-o para o local apropriado e atribua-o parauso. Você pode atribuí-lo no nível do servidor ou do cliente. Aatribuição no nível do servidor pode depois ser quebrada pelaarquitetura, permitindo que você tenha configurações diferentespara clientes baseados em x86 e x64. A atribuição no nível docliente ignora as configurações do nível do servidor.Você pode configurar a instalação autônoma usando os seguintespassos: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 262. 259 1. Crie um arquivo autônomo apropriado, de acordo com o que você está configurando – o cliente de Serviços de Implantação do Windows ou a Instalação do Windows. Recomendamos que você use o Gerenciador de Imagens de Sistema do Windows (incluído como parte do Kit de Instalação Automatizada do Windows (AIK)) para a autoria dos arquivos de instalação autônoma. 2. Associe o arquivo de instalação autônoma a um tipo de imagem ou computador.Configurando Arquivo Autônomo para Cliente de Serviços de Implantação doWindows Para associar um arquivo autônomo de cliente pela arquitetura,faça o seguinte: 1. Crie um arquivo Unattend.xml com configurações aplicáveis ao cliente de Serviços de Implantação do Windows. 2. Copie o arquivo Unattend.xml para RemoteInstallWDSClientUnattend. 3. Abra o snap-in do MMC de Serviços de Implantação do Windows. 4. Expanda a lista no painel esquerdo para expor a lista de Servers. 5. Clique com o botão direito no servidor de Serviços de Implantação do Windows que contém a imagem do Windows Vista ou Windows Server “Longhorn” à qual você quer associar o arquivo autônomo, e clique em Properties. 6. Na guia Cliente, selecione Enable unattended installation, navegue para o arquivo autônomo apropriado, e então clique em Open. 7. Clique em OK duas vezes para fechar a página de propriedades. Para associar um arquivo autônomo de cliente por computador 1. Em uma janela de Aviso de Comando, digite o seguinte, em que <relative path> é o caminho da pasta compartilhada REMINST à pasta que contém WdsClientUnattend.xml: WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC address> /WdsClientUnattend:<relative path>Configurando a Instalação Autônoma na Instalação do Windows Para associar um arquivo autônomo de imagem a uma imagem, façao seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 263. 260 1. A partir do snap-in do MMC de Serviços de Implantação do Windows, clique para expandir o grupo de imagens que contém imagens do Windows Vista ou Windows Server “Longhorn”. 2. Clique com o botão direito na imagem à qual quer associar o arquivo autônomo, e então clique em Properties. 3. Clique em Allow image to install in unattend mode. 4. Clique em Select File. 5. Insira o nome e o caminho, ou navegue para escolher o arquivo autônomo, e então clique em OK. 6. Para fechar Image Properties, clique em OK. Para associar o Sysprep.inf a uma imagem do Windows XP ouWindows Server 2003, faça o seguinte: 1. Em uma janela de Aviso de Comando, mova as pastas para o grupo de imagens que contém uma imagem do Windows XP ou Windows Server 2003. 2. No grupo de imagens que contém a imagem do Windows XP, crie uma pasta com o mesmo nome da imagem à qual você quer associar o arquivo Sysprep.inf. Por exemplo: md C:RemoteInstallImagesimagegroupnameimagename 3. Copie um arquivo Sysprep.inf que seja apropriado para a imagem para a pasta $OEM$. Por exemplo: copy C:Sysprep.inf C:RemoteInstallImagesimagegroupnameimagename$OEM$ 4. Adicione arquivos (por exemplo um diretório de ferramentas) e faça outras alterações conforme o necessário (por exemplo, modifique o registro usando um script), seguindo as convenções de $OEM$. 5. Após aplicar a imagem a um novo computador usando os Serviços de Implantação do Windows, toda a pasta $OEM$ é copiada a uma unidade no novo computador, e os conteúdos são aplicados à imagem. Nota Para mais informações sobre o Sysprep.inf e a pasta $OEM$, veja Projetando Tarefas de Instalação Automatizada em (http://go.microsoft.com/fwlink/?LinkId=66136).Os arquivos autônomos permitem que você automatize tarefas deinstalação comuns e padronize configurações para sua organização. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 264. 261Os Serviços de Implantação do Windows fornecem várias opções paraassociar arquivos autônomos a imagens de inicialização einstalação.Associar um Pacote de Idiomas a uma Imagem de InstalaçãoVocê pode associar múltiplos pacotes de idiomas a uma únicaimagem, reduzindo o número de imagens que precisa manter. Parausar um pacote de idiomas, crie a estrutura de pastas apropriadae copie o pacote de idiomas. O seguinte procedimento descrevecomo associar um pacote de idiomas a uma imagem do Windows. NotaPacotes de idiomas são suportados apenas nos sistemasoperacionais Windows Vista e Windows Server “Longhorn”. Para associar um pacote de idiomas a uma imagem, faça oseguinte: 1. Na pasta do grupo de imagens que contém a imagem, crie uma pasta com o mesmo nome do arquivo de imagem. 2. Nessa pasta, crie uma pasta chamada langpacks. Por exemplo, se o grupo de imagens se chama Vista e a imagem se chama Install, digite: md c:remoteinstallimagesvistainstalllangpacks 3. Na pasta langpacks, crie uma pasta para cada pacote de idiomas que você quer instalar. Para criar uma pasta langpacks para a língua japonesa, digite: md c:remoteinstallimagesvistainstalllangpacksja-jp 4. Copie o pacote de idioma Japonês para: C:Remoteinstallimagesvistainstalllangpacksja-jp.Você pode associar um pacote de idiomas a uma imagem em vez decriar imagens únicas para cada língua. Se sua organização suportavárias línguas, os pacotes de idiomas vão poupar tempo na criaçãoe atualização de imagens. Por exemplo, se você suporta atualmente13 línguas por imagem, pode agora construir uma imagem e associar13 pacotes de idiomas à imagem.Criar uma Imagem de DescobertaImagens de descoberta são usadas para implantar o sistemaoperacional Windows em computadores que não suportam ainicialização PXE. Imagens de descoberta são imagens deinicialização que iniciam o Assistente de Descoberta dos Serviçosde Implantação do Windows. As imagens de descoberta são salvas emum arquivo, convertidas para um formato ISO, e então copiadaspara um CD ou DVD. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 265. 262 Para associar um pacote de idiomas a uma imagem, faça oseguinte: 1. Abra o snap-in do MMC de Serviços de Implantação do Windows. 2. Expanda a pasta Imagem de Inicialização. 3. Clique com o botão direito na imagem a ser usada como imagem de descoberta. 4. Clique em Create Discover Boot Image. 5. Escolha um nome e uma descrição para a imagem de descoberta. 6. Escolha um local e um nome para o novo arquivo, usando a extensão de nome de arquivo .wim. 7. Clique em Next para criar a imagem de captura. 8. Clique em Finish. Para criar mídia inicializável, faça o seguinte: 1. Em uma janela de Aviso de Comando, digite os seguintes comandos: Md c:WinpeBoot Md c:WinpeSources 2. Para copiar a imagem de descoberta criada no procedimento anterior, digite: Copy c:boot.wim c:WinpeSources 3. Para copiar arquivos de inicialização do Windows AIK, digite: Xcopy c:Program FilesWindows AIKtools<architecture>boot c:WinPEboot 4. Mova a pasta para C:Program filesWindows AIKtools<architecture>. 5. Para criar a imagem ISO inicializável, digite: Oscdimg -n -bc:winpeISObootetfsboot.com c:winpeISO c:winpe.iso 6. Use uma ferramenta de cópia em CD que pode criar um CD ou DVD para transferir a imagem ISO à mídia apropriada. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 266. 263Você pode usar uma imagem de descoberta de um computador que nãosuporta a inicialização PXE para iniciar a instalação a partir deum servidor de Serviços de Implantação do Windows. Sem um discode descoberta, os computadores que não suportam a inicializaçãoPXE não podem acessar os recursos dos Serviços de Implantação doWindows.Ativar Transmissão Multicast de uma ImagemO multicasting permite que você implante uma imagem em um grandenúmero de computadores cliente sem sobrecarregar a rede. Omulticasting fica desativado por padrão. Você tem duas opçõespara criar uma transmissão multicast: • Clique com o botão direito no nó Multicast Transmission, e então clique em Create Multicast Transmission. • Clique com o botão direito em uma imagem, e então clique em Create Multicast Transmission.Quando você cria uma transmissão, tem duas opções para o tipo demulticast: • Auto-Cast. Essa opção indica que o multicasting está sempre ligado. Quando você seleciona essa opção, assim que um cliente aplicável solicita uma imagem de instalação, uma transmissão multicast da imagem selecionada inicia. Então, conforme outros clientes solicitam a mesma imagem, eles também são vinculados à transmissão que já iniciou. Nota Os conteúdos apenas são transferidos pela rede se os clientes estiverem solicitando dados. Se nenhum cliente estiver conectado (isto é, a transmissão está inativa), os dados não serão enviados pela rede. • Cast Agendado. Essa opção estabelece os critérios de início para a transmissão, com base no número de clientes que estão solicitando uma imagem e/ou um dia e horário específicos. Se você não selecionar um desses quadros de seleção, tem que iniciar manualmente a transmissão. Note que além desses critérios, você pode iniciar uma transmissão manualmente a qualquer momento, clicando com o botão direito na transmissão e depois em Iniciar.Quando você cria uma transmissão multicast para uma imagem, osdados são enviados pela rede apenas uma vez, o que pode reduzirdrasticamente a largura de banda da rede que é usada. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 267. 264ImplantaçãoO modo como você implanta os Serviços de Implantação do Windowsdepende de um fator - se você já tem servidores de RIS instaladosem seu ambiente: • Se você tem servidores de RIS já existentes ou servidores do Windows Server 2003 com a atualização dos Serviços de Implantação do Windows, pode atualizar esses servidores diretamente para o Windows Server “Longhorn”. • Se você está implantando novos servidores de Serviços de Implantação do Windows com o Windows Server “Longhorn”, precisa instalar a função de servidor Serviços de Implantação do Windows. Nota Os servidores de Serviços de Implantação do Windows com Windows Server “Longhorn” não são capazes de implantar imagens de RIS mais antigas (RISETUP ou RIPREP). Você precisará converter suas imagens atuais para o formato WIM.Se você tem uma infra-estrutura de RIS existente, precisaconverter suas imagens atuais para o formato WIM. Os Serviços deImplantação do Windows no Windows Server “Longhorn” não suportamimagens RIPREP ou RISETUP criadas por ferramentas de RIS. Alémdisso, as telas de RIS OSChooser não são suportadas. Em vezdisso, você usará uma combinação de imagens, opções de instalaçãoautônoma, e pacotes de idiomas para personalizar instalaçõesindividuais.Para preservar sua infra-estrutura de RIS existente enquantoutiliza os Serviços de Implantação do Windows para implantar oWindows Vista e o Windows Server “Longhorn”, você pode seguir umdestes passos em seus servidores de RIS existentes: • Instalar a atualização dos Serviços de Implantação do Windows a partir do Windows AIKt (http://go.microsoft.com/fwlink/?LinkId=81030). • Aplicar o Windows Server 2003 SP2, e depois instalar o componente opcional em Adicionar/Remover Componentes do Windows.Recursos AdicionaisOs seguintes recursos oferecem informações adicionais sobre osServiços de Implantação do Windows: • Para informações mais detalhadas sobre os Serviços de Implantação do Windows, vá à Visão Geral dos Serviços de Implantação do Windows(http://go.microsoft.com/fwlink/?LinkId=81031). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 268. 265• Para o Guia Passo a Passo dos Serviços de Implantação do Windows, veja o site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=66145).• Se você precisa de suporte ao produto, visite o site do Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).• Para acessar grupos de notícias para os Serviços de Implantação do Windows, siga as instruções fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).• Se você é um beta tester e membro do programa beta chamado Programa de Adoção de Tecnologia (TAP), pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência.• Para mais informações sobre o Windows AIK, veja o Guia do Usuário sobre o Kit de Instalação Automatizada do Windows para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 269. 266Seção 8: Alta Disponibilidade 8.01 Introdução à Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 270. 2678.01 Introdução à Alta Disponibilidade Fornecer serviços altamente disponíveis para aplicações e serviços críticos é fundamental para qualquer departamento de TI. Este cenário enfoca alta disponibilidade: Melhorias em Clustering Failover que estarão disponíveis para aplicações implantadas no Windows Server® “Longhorn”. Como parte do Windows Server “Longhorn”, o Clustering Failover fornece um recurso fácil de ser usado em serviços e aplicações de missão crítica. Proposta de Valor do Cenário O Clustering Failover no Windows Server “Longhorn” fornece novos recursos que podem ser usados por uma organização para implementar uma estratégia de alta disponibilidade ao tornar os servidores de cluster uma opção inteligente de negócios para a corporação. As principais propostas de valor que a alta disponibilidade oferece são: • Com a nova interface de gerenciamento, a complexidade é reduzida, proporcionando ao usuário uma interface mais simples para criação, gerenciamento e utilização dos servidores clusterizados. • Ao minimizar os problemas iniciais de configuração através das novas ferramentas, os custos de suporte e o tempo para implementação também foram reduzidos. • A nova funcionalidade possibilita a implementação em ambientes geograficamente dispersos, permitindo que a tecnologia se adapte ao ambiente do cliente. Requisitos Especiais de Hardware O hardware deve estar na Lista de Compatibilidade de Hardware. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 271. 2688.02 Clustering Failover No Microsoft® Windows Server “Longhorn,” as melhorias dos clusters failover (antes chamados de clusters de servidores) têm como objetivos simplificar os clusters, tornando-os mais seguros e aprimorando a estabilidade. A configuração e o gerenciamento de clusters tornaram-se mais fáceis. A segurança e a rede de clusters foram aprimoradas, assim como a forma como um Cluster Failover se comunica com um armazenamento. Um Cluster Failover é um grupo independente de computadores que trabalha em conjunto para aumentar a disponibilidade de aplicações e serviços. Os servidores clusterizados (chamados de nós) são conectados por cabos físicos e por software. Se um nó de cluster falhar, outro nó passa a oferecer o serviço (um processo chamado de failover). Os usuários vivenciam interrupções mínimas no serviço. Os Clusters Failover são usados por profissonais de TI que precisam oferecer alta disponibilidade para serviços ou aplicações. A Microsoft apenas suporta uma solução de cluster se todos os componentes de hardware da solução estiverem com o logotipo de compatibilidade “Designed for Windows Server ‘Longhorn’”. Além disso, a configuração completa (servidores, rede, e armazenamento) deve passar por todos os testes do assistente Validate a Configuration (Validar uma Configuração), que está incluído no software de gerenciamento de Cluster Failover. Novo Assistente de Validação Ao usar o novo assistente de validação nos Clusters Failover, você pode executar testes para determinar se sua configuração do sistema, do armazenamento e da rede é adequada para um cluster. O assistente inclui os seguintes tipos de testes: • Testes de nós. Estes testes analisam se os servidores selecionados atendem a requisitos específicos que estabelecem, por exemplo, que os servidores devem executar a mesma versão do sistema operacional e as atualizações de software. • Testes de rede. Estes testes analisam se as redes de clusters planejadas atendem a requisitos específicos que estabelecem, por exemplo, que deve haver pelo menos duas sub-redes separadas para a redundância de rede. • Testes de armazenamento. Estes testes analisam se o armazenamento atende a requisitos específicos que estabelecem, por exemplo, se o armazenamento suporta Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 272. 269 corretamente os comandos SCSI necessários e se ele lida corretamente com as ações de clusters simuladas.Suporte para Discos GPT no Armazenamento de ClustersOs discos da tabela de partição GUID (GPT) são suportados noarmazenamento de Clusters Failover. Os discos de GPT fornecemmaior robustez e tamanho de disco. Especificamente, os discos GPTpodem ter partições maiores do que 2 terabytes e possuemredundância nativa na forma como a informação é armazenada naspartições, diferentemente dos discos de registro mestre deinicialização (MBR). Com os Clusters Failover, você pode usar osdois tipos de discos.Melhorias na Configuração e MigraçãoOs Clusters Failover no Windows Server “Longhorn” permitem quevocê execute tarefas de configuração e migração mais facilmentedo que nos clusters de servidor das versões anteriores. • Configure um cluster. O assistente de Configuração de Cluster foi simplificado para que você possa fazer a configuração em um só passo. A configuração do cluster também pode ser feita totalmente através de scripts para que você possa automatizar sua implantação. • Migre as informações de configuração de um cluster para outro. As configurações do grupo de recursos podem ser capturadas de um cluster que esteja executando o Windows Server 2003, e depois elas são aplicadas a um cluster executando o Windows Server “Longhorn”.Melhorias nas Interfaces de GerenciamentoOs Clusters Failover no Windows Server “Longhorn” permitem quevocê execute tarefas de gerenciamento e operações mais facilmentedo que nos clusters de servidor das versões anteriores. • Adicione rapidamente recursos clusterizados à sua configuração. A interface para administrar um cluster é mais simples e intuitiva, facilitando o desempenho de tarefas como a criação de uma pasta compartilhada altamente disponível. Você pode enfocar o gerenciamento de suas aplicações, e não de seu cluster. • Use a linha de comando ou o WMI para trabalhar com um cluster. Você pode usar a linha de comando ou o Windows® Management Instrumentation (WMI) para executar mais tarefas do que nas versões anteriores. • Solucione problemas em um cluster. Em vez de trabalhar com o log do cluster, você pode usar o Rastreamento de Eventos do Windows para agregar, gerenciar e relatar informações sobre a seqüência de eventos que ocorreram no cluster. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 273. 270 • Use o Serviço de Cópia de Volume de Sombra para capturar backups. A integração completa com o Serviço de Cópia de Volume de Sombra facilita o backup e a restauração da configuração de seu cluster. • Controle a forma como você visualiza as pastas compartilhadas que foram clusterizadas. Você pode controlar ou “definir o escopo” de sua vizualização das pastas compartilhadas para que fique mais fácil saber quais pastas foram clusterizadas e em qual cluster uma pasta compartilhada está disponível.Melhorias na Estabilidade e na Segurança para MaiorDisponibilidadeCom os Clusters Failover no Windows Server “Longhorn,” asmelhorias na infra-estrutura de clusters o ajudam maximizar adisponibilidade dos serviços que você disponibiliza para osusuários. Podem fazer o seguinte: • Configure seu cluster para que o recurso de quorum não seja um ponto de falha único. Com as melhorias nos Clusters Failover, você pode usar dois modelos de clusters que já existiam antes – o modelo de recursos de quorum e o modelo de conjunto de nós principais – ou ainda, um híbrido dos dois modelos. Por exemplo, em um cluster de dois nós, você pode especificar que caso o quorum se torne indisponível, o cluster continuará em execução enquanto as cópias do banco de dados de configuração do cluster nos dois nós permanecerem disponíveis. • Alcance maior confiabilidade e disponibilidade graças às melhorias na infra-estrutura do cluster. A infra-estrutura do cluster foi aprimorada para ajudá-lo a alcançar maior confiabilidade e disponibilidade com os Clusters Failover. Por exemplo, a infra-estrutura de software que lida com os recursos clusterizados vai isolar as bibliotecas de vínculos dinâmicos (DLLs) que executam ações incorretamente, minimizando o impacto sobre o cluster. Outro exemplo: o cluster irá usar métodos aprimorados para garantir a consistência entre as cópias do banco de dados de configuração do cluster.Melhorias na Forma como um Cluster Trabalha com oArmazenamentoOs Clusters Failover no Windows Server “Longhorn” permitem quevocê alcance melhor desempenho com seu armazenamento do que nosclusters de servidor das versões anteriores. Podem fazer oseguinte: • Disponibilize discos adicionais para o cluster enquanto as aplicações estiverem online. Você pode modificar as dependências dos recursos enquanto eles estiverem online, o Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 274. 271 que significa que você pode disponibilizar um disco adicional sem interromper o acesso à aplicação que irá utilizá-lo. • Obtenha melhor desempenho e estabilidade com o seu armazenamento. Quando um Cluster Failover se comunica com o seu SAN ou DAS, ele utiliza os comandos que menos atrapalham (evitando reconfigurações no barramento SCSI). Os discos nunca são deixados em um estado desprotegido, o que significa que o risco de corrupção em volume é reduzido. Os Clusters Failover também suportam métodos aprimorados de descoberta e recuperação de disco. Os Clusters Failover suportam três tipos de conexões de armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre Channel. • Execute tarefas de manutenção de disco mais facilmente. O “modo de manutenção” foi aprimorado para que você possa executar ferramentas para verificar, corrigir, fazer o backup ou a restauração de discos mais facilmente, com menos interrupções para o cluster.Melhorias na Rede e na SegurançaCom os Clusters Failover no Windows Server “Longhorn”, odesempenho da rede e da segurança foi aprimorado em relação aoslançamentos anteriores. Podem fazer o seguinte: • Use o IPv6, que é totalmente integrado com os Clusters Failover. Os Clusters Failover suportam totalmente o IPv6 tanto na comunicação de nó para nó, quanto na comunicação de nó para cliente. • Use o DNS sem as dependências do NetBIOS do legado. Isto simplifica o transporte do tráfego SMB (Server Message Block) e significa que você não tem as transmissões de resolução de nome do Windows Internet Name Service (WINS) e NetBIOS. • Alcance maior confiabilidade através de outras melhorias na rede. Por exemplo, você pode ajudar as dependências entre um nome da rede e os endereços de IP associados para que o nome da rede esteja disponível se um dos endereços de IP (e não ambos) estiver disponível. Além disso, quando os nós transmitem e recebem “pulsações” para confirmar que cada nó ainda está disponível, eles utilizam o protocolo TCP (Transmission Control Protocol) em vez do protocolo UDP (User Datagram Protocol), que é menos confiável. • Alcance maior segurança através das melhorias na segurança e da auditoria do acesso ao cluster. As melhorias na segurança nos Clusters Failover aprimoram os processos de autenticação e criptografia. Além disso, você pode usar a auditoria para capturar informações sobre quem acessou seu cluster e quando ele foi acessado. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 275. 272CompatibilidadeSe você possui uma aplicação que era executada em um cluster deservidor com o Windows Server 2003, e a aplicação depende daconta do serviço de Cluster obrigatória para clusters deservidores, talvez seja necessário trocar a aplicação para queela não dependa mais da conta. Os Clusters Failover que executamo Windows Server “Longhorn” não utilizam uma conta de serviço deCluster separada.ImplantaçãoAnalise cuidadosamente o hardware no qual você planeja implantarum Cluster Failover para garantir que ele seja compatível com oWindows Server “Longhorn”. Isto será necessário principalmente sevocê estiver usando este hardware atualmente para um cluster deservidor executando o Windows Server 2003. O hardware que suportaum cluster de servidor executando o Windows Server 2003 nãonecessariamente suportará um Cluster Failover executando oWindows Server “Longhorn”. Observe que Você não pode executar a atualização de um cluster de servidor que esteja executando o Windows Server 2003 para um Cluster Failover executando o Windows Server “Longhorn”. No entanto, após ter criado um Cluster Failover executando o Windows Server “Longhorn”, você poderá usar um assistente para migrar algumas configurações de recursos para um cluster de servidor executando o Windows Server 2003. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 276. 2738.03 Balanceamento de Carga de Rede No Microsoft Windows Server “Longhorn”, as melhorias no Balanceamento de Carga de Rede (NLB - Network Load Balancing) incluem suporte para Protocolo IP Versão 6 (IPv6) e NDIS 6.0 (especificação da interface do driver de rede , melhorias no Windows Management Instrumentation (WMI) e funcionalidade aprimorada com o Microsoft Internet Security and Acceleration (ISA) Server. O NLB é um recurso que distribui a carga para as aplicações cliente/servidor em rede por diversos servidores de cluster. Faz parte da funcionalidade de escalabilidade horizontal do Windows e é uma das três tecnologias do Windows Clustering. O NLB é usado por profissionais de TI que precisam distribuir solicitações em um conjunto de servidores. O NLB é particularmente útil para garantir que aplicações sem monitoramento de estado, como um servidor Web executando IIS, possam ser escalonadas horizontalmente através da adição de outros servidores conforme ocorre um aumento da carga. O NLB oferece escalabilidade ao permitir que você substitua facilmente um servidor defeituoso ou adicione um novo servidor. Você deve ser membro do grupo de Administradores no host que você está configurando para usar o NLB, ou deve ter a autoridade apropriada para isso. O NLB inclui as seguintes melhorias: • Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas as comunicações. • Suporte para NDIS 6.0. O driver NLB foi completamente reescrito para usar o novo modelo de filtro leve do NDIS 6.0. O NDIS 6.0 retém compatibilidade reversa com versões anteriores do NDIS. As melhorias no design do NDIS 6.0 incluem maior escalabilidade, desempenho aprimorado e modelo de driver NDIS simplificado. • Melhorias no WMI. As melhorias no WMI para o namespace MicrosoftNLB são para o Ipv6 e para suporte a múltiplos endereços de IP dedicados. o As classes no namespace MicrosoftNLB suportam endereço IPv6 (além dos endereços IPv4). o A classe MicrosoftNLB_NodeSetting suporta múltiplos endereços de IP dedicados ao especificá-los em DedicatedIPAddresses e DedicatedNetMasks. • Funcionalidade aprimorada com o ISA Server. O ISA Server pode configurar múltiplos endereços de IP dedicados para cada nó NLB em cenários onde os clientes consistem em tráfego IPv4 e IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar determinado ISA Server para gerenciar o tráfego. O ISA também Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 277. 274 pode fornecer NLB com notificações de timer e ataque SYN (estes cenários geralmente ocorrem quando um computador é sobrecarregado ou infectado por um vírus da Internet).• Suporte para múltiplos endereços dedicados de IP por nó. O NLB suporta totalmente a definição de mais de um endereço dedicado de IP por nó. (Anteriormente, apenas um endereço dedicado de IP por nó era suportado). Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 278. 275Seção 9: Windows Server eWindows Vista - Melhores juntos 9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 279. 2769.01 Melhores Juntos — Windows Server “Longhorn” eWindows Vista Os sistemas operacinais Windows Server® “Longhorn” e Windows Vista™ oferecem vários recursos novos e aprimorados ao serem instalados separadamente, além de benefícios para os negócios. Contudo, quando os dois sistemas são instalados no mesmo ambiente, as empresas podem notar benefícios extras, como o gerenciamento mais eficiente, a maior disponibilidade e comunicações mais rápidas. Originalmente, o desenvolvimento do Windows Server “Longhorn” e o Windows Vista era um único projeto, chamado “Longhorn”. Os dois possuem um número significativos de tecnologias em comum na plataforma. Seus sistemas operacionais apresentam diversos avanços na rede, armazenamento, segurança e gerenciamento. Embora muitos destes aprimoramentos se apliquem tanto ao Windows Server “Longhorn” quanto ao Windows Vista, quando as empresas implantam os dois sistemas operacionais, percebem que a estrutura cliente- servidor combinada apresenta ainda mais mais benefícios. As empresas que implantarem o Windows Vista hoje, perceberão benefícios imediatos, os quais se combinarão aos benefícios extras com a implantação do Windows Server “Longhorn” assim que este estiver disponível. Gerenciamento Mais Eficiente Os profissionais de TI que administram a infraestrutura do Windows Vista e do Windows Server “Longhorn” notarão diversos aprimoramentos na forma de gerenciar e controlar seu ambiente. • A manutenção será simplificada de maneira significativa através do uso de um modelo único para autalizações e pacotes de serviço de clientes e servidores. No futuro, os administradores de TI poderão utilizar um única atualização para o cliente e para o servidor de linguagens e múltiplas plataformas. • Os computadores do cliente podem monitorar eventos específicos e os remeter ao Windows Server “Longhorn” para obtenção de um relatório e monitoramento centralizados e vice-versa. A subscrição de eventos permite que os administradores de TI sejam alertados sobre a ocorrência de determinados eventos para dessa forma tomarem medidas corretivas imediatas. O recurso da subscrição de eventos também permite a transmissão de eventos entre as estações de trabalho do Windows Vista sem a presença do Windows Server “Longhorn”. • Os Serviços de Implantação do Windows® fornecem uma rápida e confiável instalação do sistema operacional com o uso do novo Windows Image Format (WIM)e da ferramenta disk- Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 280. 277 imaging, o ImageX. Os adminsitradores de TI poderão utilizar-se de práticas e técnicas similares e de excelência para a implatação tanto do sistema operacional do servidor, quando do cliente, utilizando a nova técnica de criação de imagens. A instalação com base na imagem permitirá que uma única imagem seja utilizada em quase todos os hardware, sem qualquer restrição de localidade. O fato reduzirá a quantidade imagens a serem mantidas na memória. É possível até mesmo adicionar drivers, componentes e atualizações à imagens, sem ter que iniciar o sistema operacional imaged. O componente Serviços de Implantação do Windows® é parte do Windows Server “Longhorn” e uma atualização dos Serviços de Implantação do Windows® também está disponível para Microsoft® Windows Server 2003 SP2. • Os recursos do Proteção Contra Acesso à Rede (NAP) do Windows Server “Longhorn” ajudam a assegurar que os clientes Windows Vista conectados à rede, estão obedecendo às politicas de segurança, e que aqueles que não as estão seguindo tenham seu acesso limitado. A NAP fornece uma validação das diretivas de integridade, as limitações de acesso a rede, reparo automático, e aquiescência permanente, com os componentes do cliente já construídos dentro do Windows Vista e os componentes do servidor integrados dentro do Windows Server “Longhorn”. • O Internet Information Services 7.0 (IIS7) fornece aos programadores a habilidade de criar aplicações da Web novas e potentes em um desktop com base Windows Vista e ao concluir, os enviar para o servidor do Windows Server “Longhorn”, desde que a mesma versão do IIS7 esteja operando no cliente e no servidor.Maior DisponibilidadeA confiabilidade, a escalabilidade e a receptividade global dainfra-estrutura do cliente e do servidor estão bastantesampliadas por aprimoramentos feitos tanto no Windows Vista quantono Windows Server “Longhorn.” • O Windows Vista pode tornar trabalhos de impressão acessíveis localmente antes de os enviar aos serrvidores de impressão, para dessa forma reduzir a carga de trabalho do servidor de impressão, tornando-o mais acessível. Os dados são enviados aos servidores de impressão pelo formato de impressão não processada: EMF. O nível de disponibilidade será maior porque mais processamentos é realizado no cliente. A carga de trabalho da rede de filiais sem um servidor de impressão local também será reduzida. No entanto, esta capacidade requer que as impressoras possuam drivers compatíveis. Porém, quando unido a entrega de tabalhos de impressão do lado do cliente do Windows Server Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 281. 278 “Longhorn”, os problemas relacionados a incompatibilidade dos drivers são reduzidos. • As capacidade de caching do lado do cliente do Windows Vista estão muito mais acentuadas e trabalham tanto com o Windows Server “Longhorn” quanto com versões anteriores do Windows Server. Os recursos do servidor estão armazenados (cached) localmente, por isso estão acessíveis mesmo no caso de o servidor não estar acessível. Além disso, as cópias são atualizadas automaticamente quando o servidor e o clientes são reconectados. Entre os aprimoramentos do caching do lado-clientes esta a transição de estado facilitada, o que faz com que não seja necessária intervenção por parte do usuário, pois mudanças realizadas off-line são sincronizadas no plano de fundo de maneira silenciosa. Além disso, um modo de link low (lento) permite que os pedidos do usuário sejam satisfeitos do cache local, assim as conexões com o servidor acontecem somente quando requeridas. Igualmente, Windows Vista utiliza uma sincronização rápida e transferência diferenciadas, assim somente modificações modified nos arquivos são transmitidas entre cliente e servidor, em vez do arquivo inteiro, não importando o tipo de aplicativo. As capacidades de caching do lado-cliente do Windows Vista acumulam benefícios extras quando trabalham com o Windows Server “Longhorn” devido aos aprimoramentos de rede subjacente discutidos na seção“comunicação mais rápida” . • Os aplicativos ou scripts que precisam operar tanto no cliente quanto no servidor podem se beneficiar com o Transactional File System, na redução do risco de erro durante as operações de arquivo e de registro. Além disso, poderá retornar a um estado conhecido como bom, no caso de falha ou cancelamento. • É possível criar diretivas que assegurem uma maior qualidade de serviço para certos aplicativos ou serviços, que requeiram atribuição de prioridades da largura de banda de rede entre clientes e servidor. Através do uso da Diretiva de Grupo os administradores também podem restringir a quantidade de largura de banda que um aplicativo pode utilizar e determinar valores de code point de serviços diferenciados (DSCP) através da implementação dos padrões de indústria de RFCs.Comunicações Mais RápidasOs clientes Windows Vista que estiverem conectados à redes nasquais o Windows Server “Longhorn” tenha sido implantado podemperceber uma enorme melhora na rapidez e na confiabilidade dacomunicação. • A procura por servidores do Windows Server “Longhorn” a partir do cliente Windows Vista, torna acessíveis aos dois Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 282. 279 as tecnologias aprimoradas de indexação e de caching, fornecendo enormes ganhos de desempenho a toda a empresa. • O suporte ao Native IPv6 por todos os clientes e serviços do servidor cria uma rede mais escalonável e confiável; ao mesmo tempo, a plataforma de rede de última geração, somente disponível na pilha do Windows Vista e do Windows Server “Longhorn”, torna a comunicação de rede muito mais rápida e eficiente. Novas tecnologias como o Receive Side Scaling e o Receive Window Auto-Tuning permitem uma comunicação mais rápida quando os clintes Windows Vista estão realizando o download de arquivos dos arquivos compartilhados do Windows Server “Longhorn” . • O novo protocolo do Server Message Block (SMB) 2.0 fornece vários aprimoramentos de comunicação, entre eles um melhor desempenho ao conectar-se com os arquivos compartilhados através de links de latência alta e maior segurança com o uso de autenticação conjunta e assinatura de mensagens. • Os Serviços de Terminal do Windows Server “Longhorn” apresentam muitos aprimoramentos; entre eles, fornecer aos clientes Windows Vista, o acesso remoto a recursos internos, através de um portal http e aplicativos que operam como sendo de um desktop local.Serviços de Implantação do WindowsDepois que seus os engenheiros de sistema criarem a plataforma docliente, é preciso buscar uma forma de implantar o aplicativo emtodos os computadores. Nas versões anteriores do Windows, amaioria das empresas utilizou a técnica chamada imaging(tratamento de imagens), através da qual um sistema operacional eaplicativos são implantados nos computadores como um únicoarquivo. Com o Windows Server “Longhorn”, todos usarão o imaging,mesmo se você decidir instalá-los um de cada vez, indo até cadacomputador com CD-ROM na mão. No entanto, você não vai precisarfazer isto porque o Windows Server “Longhorn” torna fáceis asimplantações automáticas e as migrations.Primeiro, o Windows Imaging Format facilita a tarefa de criaçãode imagens se comparada a ferramentas de outras empresas de TIque você tenha utilizado no passado. Será possível utilizar umaúnica imagem em praticamente todos os hardwares sem qualquerrestrição local. Com isso, não será necessário manter tantasimagens, o que implicará em um enorme ganho de tempo. Você poderáinclusive adicionar drivers, componentes e atualizações àsimagens sem iniciar o sistema operacional imaged, isto fará comque você poupe horas a cada atualização.Proteção contra Acesso à RedeO Windows Vista inclui o agente NAP (Network Access Protection),o qual oferece informações sobre o estado de integridade de umcliente e configurações de acesso à rede de servidores ou ponto a Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 283. 280ponto. Os clientes que não possuam atualizações de segurança ouassinaturas de vírus atuais; ou ainda, aqueles que falham com ocumprimento dos requisitos de integridade do mandato corporativo,terão o acesso à rede restrito, até que possam ser reconfiguradose atualizados de acordo com os requisitos. A infra-estruturaNAP, presente Windows Server “Longhorn”, estabelece a concessãodo acesso à rede privada ou à rede restrita ao cliente, com basena aquiescência deste às diretivas de integridade estabelecidas.Uma vez na rede restrita, o cliente pode ter concedido o acesso aserviços de reparação para conseguir patches (correções),assinaturas de anti-vírus entre outras ações necessárias para aobservância aos requisitos das diretivas de integridade. A NAPtambém pode ser usada para proteger a sua rede contra o acessoremoto de clientes insalubres, bem como clientes de LANinsalubres, através do uso de conexões com ou sem fio 802.1Xautenticadas.Qualidade do Serviço baseada em DiretivasA QoS baseada em diretivas, dos sistemas operacionais do WindowsVista e do Windows Server “Longhorn”, diminui o congestionamentoda rede permitindo o gerenciamento central da largura de bandahost. Por exemplo, caso seja concedida alta prioridade ao tráfegode um aplicativo ERP para filial sobre o link WAN; então, umgerente de vendas da filial, ao acessar ou introduzir dados doERP, pode obter benefícios de um tempo de respostainvariavelmente rápido, mesmo quando o link WAN estiver carregadocom outros tráfegos.Historicamente, o tráfego de rede não tem sido fácil de priorizare gerenciar. O tráfego sensível a latência e o tráfego de tarefacrítica, tiveram que competir por uma largura de banda comtráfego de prioridade baixa e tolerante a latência, como porexemplo, a transferência de dados em massa. Ao mesmo tempo,usuários e computadores com necessidades de desempenho de redeespecíficos, exigiram níveis de serviço diferenciados. Assim,odesafio de fornecer níveis de desempenho de rede previsíveis,apareceram primerio, com frequência, nas conexões WAN ou nosaplicativos sensíveis a latência, como Voz sobre IP (VoIP) e ovídeo. Contudo, o objetivo de fornecer níveis de serviço de redeprevisíveis se aplica a qualquer ambiente de rede e vai além dosaplicativos VOIP: inclui qualquer aplicativo tradicional de linhade negócios. Com o QoS baseada em diretivas, o departamento de TIpode definir diretivas de QoS flexíveis para priorizar oucontrolar o tráfego de saída de rede sem que seja necessárioefetuar modificações nos aplicativos. Estas diretivas de QoS seaplicam ao tráfego de saída com base em algum ou todos osseguintes triggers (sinais): o envio de aplicativos, aimplantação através de Diretivas de Grupo (como por exemplo, umgrupo de usuários ou computadores), endereços de IP da fonte oudestino, porta da fonte ou destino e protocolo. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 284. 281SMB 2.0O SMB (Server Message Block), também conhecido como Sistema deArquivo de Internet (CIFS), trata-se de um protocolo decompartilhamento de arquivos, utilizado por padrão emcomputadores com base Windows. No Windows Vista, o SMB suporta anova versão SMB 2.0, a qual foi recriada para os ambientes derede atuais e as necessidades dos servidores de arquivo de últimageração. O SMB 2.0 apresenta aprimoramentos que reduzem o númerode pacotes necessários para os comandos SMB e permitem maioresbuffers e mais arquivos abertos a escalabilidade. Os computadoresque operam o Windows Vista suportam tanto o SMB 1.0 (para versõesanteriores do Windows) como os SMB 2.0 (para Windows Vista eWindows Server “Longhorn”).Acesso Remoto SimplificadoO Recurso de Conexão Remota com o Windows Vista facilita o acessoremoto a qualquer recurso ou aplicativo que tenha sidodisponibilizado à você por sua emprsa. Por exemplo, se você forum vendedor necessitando realizar um acesso remoto a umaplicativo financeiro ou a um aplicativo CRM, o Windows Vistapossibilita ao gerente de TI corporativo colocar um ícone paraeste aplicativo no seu desktop. Dessa forma, basta clicar noícone para que uma conexão automática ao Programa Remoto deServiços do Terminal seja feita à empresa pela internet e aoServidor Terminal do Windows Server “Longhorn,” , sem anecessidade de uma rede privada virtual (VPN).O Gateway de Serviços do Terminal do Windows Server “Longhorn”fornece recursos extras para os computadores domésticosutilizados no acesso à redes corporativas. Se você acessar docomputador da sua casa, basta entrar no Website da empresaatravés da internet e em seguida clicar nos links que o levarãoaos recursos corporativos que você necessita.Recuperação e Solução de ProblemasTodo o operador de centro de suporte já foi, em algum momento,obrigado a terminar seu trabalho bem mais tarde do que decostume, devida a problemas com o computador de um executivo, osquais precisavam ser solucionados naquele mesmo dia. O WindowsServer “Longhorn” não tornará os executivos menos exigentes, maso auxiliará a resolver os problemas de maneira mais rápida ou atémesmo os resolver antes que o assistente do executivo peça suaassistência.Os arquivos de ajuda do Windows Server “Longhorn” são muito maisaproveitáveis e quase todos os usuários poderão entendê-los,inclusive os executivos. É possível adicionar seu próprioconteúdo ao Centro de Suporte e Ajuda, assim os usuários podemser assistidos por recursos da rede interna, bem como aplicativostradicionais. As ferramentas de resolução de problemas podem serpersonalizadas e você poderá escalar os problemas não Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 285. 282solucionados direto do seu centro de suporte interno. Asmensagens de erro do Windows Server “Longhorn” são muito maissignificativas do que as de versões anteriores do Windows eauxiliarão os usuários a resolver problemas por conta própria, emvez de pedir a eles que o chamem.O Windows Server “Longhorn” foi criado para solucionar de maneiraautomática alguns dos problemas mais sérios. Por exemplo, caso osarquivos do sistema se corrompam, o Windows XP pode simplesmentese recusar a proceder a inicialização. No entanto, o WindowsServer “Longhorn,” poderá ir automaticamente para umcompartimento de recuperação. Em seguida, o Windows Server“Longhorn” oferece ao usuários o Startup Repair StR), umarecuperação no modo passo a passo, para a solução de problemascom base em diagnósticos. O StR analisa as conexões startup paradeterminar a causa da falha, resolvendo muitas delasautomaticamente. Caso o StR não consiga resolver o problema, umaadministrador pode optar por fazer com que o sistema retorne aseu último estado operante. Se o StR não for capaz de recuperar osistema, ele fornecerá ao usuário informações para o diagnóstico,bem como opções de suporte para facilitar a resolução deproblemas. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 286. 283Seção 10: Diversos 10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Conteúdo ................................286 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 287. 28410.01 Requisitos do Sistema Requisitos do Sistema para o Windows Server® “Longhorn” Beta 3 • Processador – Mínimo: 1 GHz – Recomendado: 2 GHz – Ideal: 3 GHz ou mais rápido • Memoria – Mínimo: 512 MB RAM – Recomendado: 1 GB RAM – Ideal: 2 GB RAM (Instalação Completa) ou 1 GB RAM (Instalação no Núcleo do Servidor) ou mais – Máximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM (sistemas 64 bits) • Espaço Disponível no Disco – Mínimo: 8 GB – Recomendado: 40 GB (Instalação Completa) ou 10 GB (Instalação no Núcleo do Servidor) ou mais Observe que Os computadores com mais de 16 GB de RAM necessitarão de mais espaço no disco para paginação, hibernação e despejo de memória. • Unidade de DVD-ROM • Super VGA – monitor com 800x600 pixels ou superior • Teclado – Teclado Microsoft ou compatível • Mouse – Mouse Microsoft uu dispositivo apontador compatível * Os requisitos atuais variarão de acordo com a configuração do seu sistema, bem como os aplicativos que você optou por instalar. Talvez mais espaço disponível no disco rígido seja necessário caso você esteja instalando em uma rede. Obtenha mais informações no site http://www.microsoft.com/brasil/windowsserver/longhorn. Observe que Este produto requer uma chave do produto válida para sua ativação. É possível instalar o produto sem ativação; porém, se Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 288. 285você não ativar o protudo com uma chave do produto válida 30 diasapós a instalação, o software deixará de funcionar. Durante ainstalação, você deverá selecionar qual a edição do WindowsServer “Longhorn” Beta 3 deseja instalar. Tenha certeza deescolher a mesma edição do Windows Server “Longhorn” Beta 3 dachave do produto que você possui, caso contrário, você nãoconseguirá ativá-lo.Instalação Completa Versus Instalação no Núcleo do ServidorAlgumas edições do Windows Server “Longhorn” Beta 3 podem serconfiguradas como instalação complete ou utilizando a nova opçãode instalação no Núcleo do Servidor. As instalações feitas noNúcleo do Servidor podem ser administradas localmente, apenas comas ferramentas da linha de comando. A administração dasinstalações da Base do Servidor, utilizando as ferramentas degerenciamento gráfico, devem ser efetuadas à distância, com o usode um software que suporte a administração remota do WindowsServer “Longhorn” Beta 3. Repare que uma vez que a instalaçãocomplete tenha sido feita, não será possível modificar a opção deinstalação de Base do Servidor para Completa, ou vice-versa, semreinstalar o software.. Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 289. 28610.02 Tabela Detalhada de Conteúdo Sobre o documento ...............................................1 Conteúdo ......................................................1 Seção 1: Introdução ao Windows Server “Longhorn” 3 1.01 Introdução ao Windows Server “Longhorn”...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteção..............................................14 Seção 2: Virtualização do Servidor 18 2.01 Introdução à Virtualização de Servidor .............................19 2.02 Virtualização do Windows Server.................................20 2.03 Núcleo do Servidor ...........................................33 Seção 3: Acesso Centralizado a Aplicações 34 3.01 Introdução ao Acesso Centralizado a Aplicações .....................35 3.02 Funcionalidade Básica de Serviços de Terminal ......................36 3.03 Gateway de Serviços de Terminal ................................53 3.04 RemoteApp de Serviços de Terminal ..............................62 3.05 Acesso a Web de Serviços de Terminal ............................65 3.06 Impressão de Serviços de Terminal ...............................69 3.07 Session Broker de Serviços de Terminal ...........................73 3.08 Licenciamento de Serviços de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79 Seção 4: Escritórios Remotos 83 4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84 4.02 Controlador de Domínio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Núcleo do Servidor ...........................................99 Seção 5: Aplicação de Diretivas e Segurança 100 5.01 Introdução à Aplicação de Diretivas e Segurança ....................101 5.02 Serviços de Acesso e Diretiva de Rede ...........................103 5.03 Proteção contra Acesso à Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120 5.05 Firewall do Windows com Segurança Avançada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Serviços de Certificado do Active Directory ........................139 5.08 Serviços de Domínio do Active Directory ..........................160 5.09 Serviços Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192 Seção 6: Plataforma de Aplicações e da Web 199 6.01 Introdução à Plataforma de Aplicações e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicação ........................................212 6.05 NTFS Transacional..........................................217 Seção 7: Gerenciamento de Servidores 219 Guia do Revisor do Windows Server “Longhorn” Beta 3
  • 290. 287 7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Serviços de Implantação do Windows ............................254Seção 8: Alta Disponibilidade 266 8.01 Introdução à Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273Seção 9: Windows Server e Windows Vista - Melhores juntos 275 9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276Seção 10: Diversos 283 10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Conteúdo ................................286 Guia do Revisor do Windows Server “Longhorn” Beta 3