guia windows server longhorn beta 3 - api.ning.comapi.ning.com/.../guiawindowsserver2008pdf.pdf ·...

Guia do Revisor do Windows Server “Longhorn” Beta 3


Sobre o documento

ESTE DOCUMENTO NÃO É UMA ESPECIFICAÇÃO DE PRODUTO.

Este documento suporta a versão Beta 3 do Windows Server® “Longhorn.” As informações contidas no mesmo representam a visão atual da Microsoft Corporation sobre os assuntos discutidos até a data da publicação. A Microsoft deve reagir às constantes alterações nas condições do mercado, e sendo assim este documento não deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação aqui. Este documento tem propósito exclusivamente informativo. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU REGULAMENTARES ACERCA DAS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO.

As informações contidas neste documento, incluindo URL e outras referências a sites da Internet, estão sujeitas a alterações a qualquer momento. Salvo disposição em contrário, os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de e-mail, logotipos, pessoas, lugares e eventos aqui descritos são fictícios e não têm relação alguma com qualquer empresa, organização, produto, nome de domínio, endereço de e-mail, logotipo, pessoa, lugar ou evento real. É de responsabilidade do usuário o respeito a toda a legislação de copyright aplicável. A Microsoft concede o direito de reprodução deste guia, no todo ou em parte.

A Microsoft pode deter as patentes, as solicitações de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licença escrito da Microsoft, o fornecimento deste documento não confere a você qualquer licença em relação a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais.

© 2007 Microsoft Corp. Todos os direitos reservados.

Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN são marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietários.

O guia dos revisores do Windows Server® “Longhorn”

Beta 3 fornece uma visão geral técnica abrangente dos

recursos e funções inovadores que tornam o

Windows Server “Longhorn” um sistema operacional de

última geração e o sucessor do Microsoft

Windows Server 2003. Este guia também fornece

informações sobre os benefícios que o Windows Server

“Longhorn” oferece a diversos usuários, bem como

informações sobre cenários variados.

Conteúdo

Sobre o documento ...............................................1 Conteúdo ......................................................1

Seção 1: Introdução ao Windows Server “Longhorn” 3

1.01 Introdução ao Windows Server “Longhorn”...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade............................................11 1.04 Maior Proteção..............................................14

Seção 2: Virtualização do Servidor 18

2.01 Introdução à Virtualização de Servidor.............................19 2.02 Virtualização do Windows Server.................................20 2.03 Núcleo do Servidor...........................................33

Seção 3: Acesso Centralizado a Aplicações 34

3.01 Introdução ao Acesso Centralizado a Aplicações .....................35 3.02 Funcionalidade Básica de Serviços de Terminal......................36 3.03 Gateway de Serviços de Terminal ................................53 3.04 RemoteApp de Serviços de Terminal..............................62 3.05 Acesso a Web de Serviços de Terminal............................65 3.06 Impressão de Serviços de Terminal...............................69 3.07 Session Broker de Serviços de Terminal ...........................73 3.08 Licenciamento de Serviços de Terminal............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79

Seção 4: Escritórios Remotos 83

4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84 4.02 Controlador de Domínio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Núcleo do Servidor...........................................99

Seção 5: Aplicação de Diretivas e Segurança 100

5.01 Introdução à Aplicação de Diretivas e Segurança ....................101 5.02 Serviços de Acesso e Diretiva de Rede ...........................103 5.03 Proteção contra Acesso à Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120 5.05 Firewall do Windows com Segurança Avançada.....................129 5.06 Cryptography Next Generation .................................136 5.07 Serviços de Certificado do Active Directory ........................139 5.08 Serviços de Domínio do Active Directory ..........................160 5.09 Serviços Federados do Active Directory...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192

Seção 6: Plataforma de Aplicações e da Web 199

6.01 Introdução à Plataforma de Aplicações e da Web....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicação........................................212 6.05 NTFS Transacional..........................................217

Seção 7: Gerenciamento de Servidores 219

7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222

7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows................251 7.09 Serviços de Implantação do Windows ............................254

Seção 8: Alta Disponibilidade 266

8.01 Introdução à Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273

Seção 9: Windows Server e Windows Vista - Melhores juntos 275

9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276

Seção 10: Diversos 283

10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Conteúdo ................................286

3


Seção 1: Introdução ao Windows Server “Longhorn”


4


1.01 Introdução ao Windows Server “Longhorn”

O Microsoft Windows Server “Longhorn” Fornece Maior Controle, Mais Flexibilidade e Proteção Aperfeiçoada para Sua Infra-Estrutura de Servidor Ajudando Você a Otimizar Tempo e Custos

As pessoas buscam resultados comerciais. Amplie seu impacto e você criará um sucesso maior. Na Microsoft acreditamos que as pessoas, quando equipadas adequadamente com as ferramentas corretas, podem superar até mesmo os desafios comerciais mais complexos. Das muitas opções disponíveis para empresas, o software demonstrou uma capacidade única de amplificar o impacto positivo das pessoas, ajudando-as a superar desafios de gerenciamento de empresas e a contribuir de maneira mais

eficiente para o resultado final.

Como parte do auxílio às pessoas alcançarem o sucesso comercial, a Microsoft está buscando ajudá-las a gerenciar a complexidade e alcançar agilidade, proteger informações e controlar o acesso, desenvolver a empresa com soluções de TI, e aumentar seu impacto. Oferecendo uma plataforma produtiva para impulsionar redes de aplicações, serviços de Web e Virtualização

como o Windows Server® “Longhorn,” a Microsoft ajuda você a melhorar os níveis de serviço a um custo mais baixo, permite que construa e opere uma plataforma flexível para atender as exigências comerciais sempre em mudança, e lhe dá recursos para proteger melhor a plataforma de TI em que sua organização se apóia. Quanto melhor capacitarmos seu pessoal a ser produtivo e capaz, mais podemos ajudar você e as pessoas em sua organização a alcançar o sucesso comercial hoje e na direção do futuro.

A infra-estrutura de TI é um ativo estratégico e a fundação crítica sobre a qual o software pode fornecer serviços e aplicações de usuários de que uma empresa precisa para operar de maneira eficiente e ter sucesso. O Windows Server “Longhorn” possibilita um maior sucesso comercial oferecendo uma plataforma que suporta soluções e aplicações críticas, tornando-as disponíveis para a sua organização quando precisa delas.

O Microsoft® Windows Server “Longhorn,” com tecnologia de virtualização de última geração disponível, permite que você

5


aumente a flexibilidade sua infra-estrutura de servidores ao mesmo tempo em que o ajuda a poupar tempo, reduzir custos, e oferecer uma plataforma para um centro de dados dinâmico e otimizado. Poderosas novas ferramentas como o Gerenciador de Windows® Server (Windows® Server Manager) e Windows PowerShell permitem mais controle sobre seus servidores e dinamização de configuração e tarefas de gerenciamento para que você possa passar menos tempo em tarefas cotidianas e mais tempo proporcionando mais valor para sua organização. Melhorias avançadas de segurança e confiabilidade como a Proteção contra Acesso à Rede (NAP - Network Access Protection) e o Controlador de Domínio de Somente Leitura (RODC - Read Only Domain Controller) fortalecem o sistema operacional e ajudam a proteger seu ambiente de servidor para lhe proporcionar uma fundação sólida sobre a qual construir seus negócios.

A figura a seguir descreve os três pilares do Windows Server “Longhorn”:

Introdução aos Cenários

O Windows Server “Longhorn” é o lançamento de servidor Microsoft mais focado no cliente de todos os tempos; isso fica evidente em como o servidor é configurado e gerenciado por função através do utilitário Gerenciador de Windows Server. Quando os clientes consideram um servidor, tentem a pensar nele como se ocupasse uma função específica em sua infra-estrutura, embora possa ser um servidor de múltiplos propósitos hospedando mais de uma função.

6


Além disso, no caso da função de Virtualização de Servidor, pode ser uma plataforma sobre a qual executar múltiplos servidores em que cada qual possui funções diferentes. De qualquer maneira, os profissionais de TI irão se referir tipicamente a um “servidor de impressão”, “servidor de arquivos”, “servidor de Web” ou “controlador de domínio”, descrevendo aquele servidor por sua função primária.

Da mesma forma que um servidor é implantado em uma função específica, ele também realizará parte ou toda uma “carga de trabalho”, ou contribuirá para o “cenário” de uma empresa. Cargas de trabalho tipicamente empregam múltiplos servidores executando diferentes funções para fornecer uma solução geral para um dado cenário. Por exemplo, servidores executando os Serviços de Domínio do Active Directory® (Active Directory® Domain Services), Serviços de Certificado do Active Directory (Active Directory Certificate Services) e Serviços de Federação do Active Directory (Active Directory Federation Services) podem executar funções distintas, mas todos eles contribuem pra uma carga de trabalho ou cenário de nível mais alto de “Gerenciamento de Identidade e Acesso”.

Quando os clientes implantarem o Windows Server “Longhorn”, provavelmente escolherão certos cenários e cargas de trabalho em que sintam que o produto proporciona maior valor ou facilidade de implementação com mínima interrupção de sua infra-estrutura existente. Por essa razão, consideramos o Windows Server “Longhorn” como será implantado pelos clientes em cenários específicos.

Vamos nos concentrar em sete principais cenários de produto que suportam os pilares de proposta de valor para o Windows Server “Longhorn.” Para cada pilar temos dois cenários que mapeiam aproximadamente as cargas de trabalho de servidor reconhecidas. Também fizemos uma série de melhorias no Windows Server “Longhorn” que podem dar valor a implantações em escritórios remotos.

7


A figura a seguir descreve os sete cenários do Windows Server “Longhorn”:

8


1.02 Maior Controle

Passe Menos Tempo em Tarefas Cotidianas

O Windows Server “Longhorn” permite que você tenha mais controle sobre sua infra-estrutura de servidor e de rede, permitindo que se

concentrem em suas necessidades comerciais mais críticas.

Os clientes precisam de melhor controle e gerenciamento em sua infra-estrutura de servidor.

As questões dos clientes incluem as seguintes:

• Quero saber de problemas e corrigi-los antes que meus usuários sejam afetados.

• Quero automatizar o máximo possível de meu gerenciamento.

• O sistema operacional do servidor deve ter ferramentas de gerenciamento melhores. Eu não deveria ter de comprar aplicações de terceiros para fazer o gerenciamento básico de sistemas.

• Posso ser alertado para um problema com um servidor, mas o alerta não dá informações suficientes para eu entender e solucionar a falha.

• Muitas tarefas cotidianas tomam muito tempo.

• A infra-estrutura cresceu pela necessidade. Conforme quisemos fazer mais, precisamos adicionar mais – e gerenciar mais.

• Quero utilizar o TI para me tornar mais eficiente e ver a TI como um ativo estratégico para a empresa.

• Preciso reduzir custos e complexidade.

9


Simplifique o gerenciamento de sua infra-estrutura de TI usando novas ferramentas que proporcionam uma interface concentrada para configuração e monitoramento de servidor, assim como a capacidade de automatizar tarefas de rotina.

• O Gerenciador de Windows Server acelera a instalação e configuração de servidor, e simplifica o gerenciamento em andamento de funções de servidor através de um console unificado de gerenciamento.

• O Windows PowerShell, um novo shell de linha de comando com mais de 130 ferramentas e uma linguagem de script integrada, permite que os administradores controle mais facilmente e automatizem mais seguramente tarefas rotineiras de administração de sistemas, especialmente ao longo de múltiplos servidores.

Dinamize a instalação e gerenciamento do Windows Server “Longhorn” instalando apenas as funções e recursos de que precisa. A personalização da configuração do servidor simplifica a manutenção permanente minimizando a área da superfície de ataque e reduzindo a necessidade de atualizações de software.

• A Instalação Baseada em Função instala somente os componentes de que você precisa para uma determinada função, simplificando a configuração e manutenção do sistema operacional, reduzindo os custos de implantação e gerenciamento do Windows Server.

• O Núcleo do Servidor Windows (Windows Server Core) é uma nova opção de instalação para funções selecionadas (Virtualização do Windows Server, Active Directory, Modo de Aplicação do Active Directory (Active Directory Application Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impressão) que inclui uma interface gráfica de usuário ou recursos e serviços não-relacionados, proporcionando um servidor altamente disponível que requer menos atualizações e menos manutenção.

Identifique com precisão e resolva pontos de problemas com poderosas ferramentas de diagnóstico que lhe dão visibilidade contínua do ambiente de seu servidor, tanto físico como virtual.

• Console integrado de desempenho e confiabilidade oferece diagnósticos incorporados para ajudar a evitar e reduzir o impacto de falhas, inclusive o Framework de Diagnóstico de Rede (Network Diagnostic Framework).

• Visualizar Eventos (Event Viewer) mais rico proporciona uma percepção mais profunda para o administrador que ajuda a resolver problemas antes que afetem os usuários.

• Pacotes de Gerenciamento para cada função de servidor fornecem integração aprimorada com o Gerenciador de Operações do Microsoft System Center (Microsoft System Center Operations Manager).

10


Aumente o controle sobre servidores situados em locais distantes, como o escritório remoto. Com administração de servidor e replicação de dados otimizados, você pode fornecer aos usuários um melhor serviço ao mesmo tempo em que reduz as dores de cabeça do gerenciamento.

• Priorização de tráfego de WAN entre clientes do Windows Vista™ e servidores do Windows Server “Longhorn”

• Otimização de tráfego de WAN e auto-ajuste de rede para replicação de SysVol, Replicação de Sistema de Arquivos Distribuído, e outros protocolos como SMB

• O Controlador de Domínio de Somente Leitura permite que você forneça autenticação local para usuários de escritório remoto sem implantar uma cópia completa e gravável do banco de dados do Active Directory database, que poderia estar sujeita a corrupção ou exposta a riscos.

• O Microsoft BitLocker™ permite que você exerça controle adicional sobre os dados em um disco rígido de servidor em locais remotos menos seguros.

• O Gerenciamento Centralizado de Impressora permite que você controle todas as impressoras a partir de um único local e passe menos tempo gerenciando impressoras remotas.

Simplifique o gerenciamento de servidores de Web com o Internet Information Services 7.0, que é uma poderosa plataforma de Web para aplicações e serviços. Essa plataforma modular oferece uma interface de gerenciamento simplificada, baseada em tarefa, maior controle entre sites, aprimoramentos de segurança, e gerenciamento integrado de integridade para Web Services.

• A interface baseada em tarefa simplifica tarefas comuns de gerenciamento de servidor de Web.

• Cópias entre sites permitem que você copie facilmente configurações de Websites ao longo de múltiplos servidores de Web sem configuração adicional.

• A administração delegada de aplicações e sites permite que você dê controle de diferentes partes do servidor de Web àqueles que precisam dele.

Aumente o controle sobre suas configurações de usuário com Diretiva de Grupo Expandida: Administradores podem poupar tempo e dinheiro configurando configurações de rede por ou sem fio, de dispositivos de armazenamento removíveis, impressoras, Microsoft Internet Explorer®, e até mesmo configurações de gerenciamento de energia usando a Diretiva de Grupo.

11


1.03 Mais Flexibilidade

Reaja Rapidamente às Necessidades de Sua Empresa

As companhias precisam que sua infra-estrutura se adapte às necessidades de seus negócios para permanecerem ágeis.

As questões dos clientes incluem as seguintes:

• Preciso usar meus servidores atuais de maneira mais eficiente, então não preciso comprar hardware adicional sempre que adiciono uma aplicação ou serviço.

• Atualizar o sistema operacional de meu servidor é demorado e perturbador; deveria ser mais fácil implantar e gerenciar atualizações de servidor.

• Não tenho flexibilidade suficiente com as ferramentas em meu sistema operacional para solucionar novos problemas.

• É difícil demais implantar novas tecnologias com meus sistemas existentes.

• Plataformas de legado que exigem muita mão-de-obra levam a aumentos nos custos de administração e suporte.

• A implantação e manutenção de sistemas são caras, e consomem muito tempo e esforço.

• Preciso consolidar e virtualizar meus servidores e aplicações.

• Preciso adicionar recursos dinamicamente a máquinas virtuais para satisfazer cargas aumentadas.

• Preciso mover dinamicamente máquinas virtuais para outra máquina com mais capacidade.

12


• Novas implantações precisam se integrar com meu ambiente existente do Windows Server e outros sistemas.

Virtualize múltiplos sistemas operacionais — Windows, Linux e outros – em um único servidor. Com a virtualização incorporada no sistema operacional e com diretivas de licenciamento mais simples e flexíveis, agora é mais fácil que nunca tirar proveito de todos os benefícios e economias de custos da virtualização.

• A Virtualização do Windows Server é uma plataforma de virtualização de última geração baseada em monitor integrada com o sistema operacional que permite que você adicione dinamicamente recursos físicos e virtuais.

• Plataforma dinâmica. A Virtualização do Windows Server proporciona grande confiabilidade, avançada escalabilidade, e recursos dinâmicos que permitem que você virtualize a maioria das cargas de trabalho em sua infra-estrutura.

• Gerenciamento integrado. A integração com o Gerenciador de Máquina Virtual do System Center permite um rápido aprovisionamento de máquinas virtuais e um único conjunto de ferramentas integradas para gerenciar seus recursos físicos e virtuais.

• Suporte abrangente. A Microsoft fornece suporte 24x7 para Windows Server, Linux e convidados Linux ativados para Xen na plataforma de Virtualização do Windows Server.

• Amplo suporte da indústria. A Microsoft e seu ecossistema de parceiros fornecem amplo suporte que permite a você implantar aplicações na plataforma de virtualização da Microsoft com confiança e paz de espírito, além de utilizar o conhecimento individual e coletivo existentes sobre o Windows Server e conjuntos de habilidades da comunidade profissional da TI.

Centralize o acesso a aplicações e proporcione integração sem interrupções de aplicações publicadas remotamente. As melhorias também somam a capacidade de conectar-se a aplicações remotas através de firewalls e sem o uso de uma rede virtual privada (VPN - virtual private network) — assim você pode reagir rapidamente às necessidades de seus usuários, independentemente da localização.

• Programas Remotos de Serviços de Terminal permitem um acesso remoto sem interrupções e publicação de aplicações para implantação simples e rápida de aplicações e gerenciamento centralizado.

• O Gateway de Serviços de Terminal permite o acesso remoto a aplicações sem o uso de uma VPN para que os usuários possam acessar facilmente as aplicações quando precisam delas, independentemente de onde se localizem.

Escolha a partir de novas opções de implantação para proporcionar o método mais adequado para seu ambiente.

13


• Os Serviços de Implantação do Windows (Windows Deployment Services) oferece instalação e implantação baseados em imagem que simplifica a implantação de cliente e servidor e gerenciamento contínuo de imagem.

• Um único modelo mundial de manutenção simplifica a manutenção contínua de clientes e servidores.

Construa aplicações flexíveis e abrangentes que conectam usuários e seus dados, permitindo que eles visualizem, compartilhem e ajam com as informações.

• O componente Windows Communication Foundation (WCF) oferece um framework unificado para a construção rápida de aplicações orientadas ao serviço, facilitando construir e consumir serviços de Web de segurança aperfeiçoada, confiáveis e transacionados.

• O componente Windows Workflow Foundation (WF) permite a desenvolvedores oferecer transparência ao modelo e suportar o fluxo de trabalho do sistema e humano.

• O componente Windows Presentation Foundation (WPF) fornece um framework unificado para construir aplicações e experiências de alta fidelidade no Windows que combina interface de usuário, dados e conteúdo de mídia das aplicações, ao mesmo tempo em que explora toda a capacidade do computador.

• A profunda integração do Internet Information Services 7 e do ASP.NET resulta em um único sistema unificado de configuração, um tempo de execução de processamento de solicitação e modo de extensibilidade integrados, e uma experiência de diagnósticos e solução de problemas vastamente aperfeiçoada.

Assegure a interoperabilidade com o ambiente existente.

Potencialize a robusta e vibrante comunidade técnica através do ciclo de vida do produto.

• O programa Microsoft TechNet oferece informações técnicas oportunas, precisas e relevantes através de seu site, boletins informativos, v-labs, eventos, Webcasts, assinaturas e outras ofertas.

• As comunidades técnicas enriquecem a experiência do Windows Server proporcionando experiência no tema e opiniões através de blogs, grupos de usuários, fóruns e eventos.

14


1.04 Maior Proteção

Fortalece o Sistema Operacional e Protege Seu Ambiente

As empresas precisam de uma plataforma de servidor com que possam contar ao mesmo tempo em que ofereça máxima segurança e proteção para seus usuários. Os clientes precisam reduzir quaisquer interrupções que tenham impacto direto sobre a produtividade do

TI e do usuário final.

As questões levantadas pelos clientes incluem:

• Quando os funcionários, fornecedores e fabricantes trazem dispositivos móveis ao meu escritório, não posso garantir que minha rede permanecerá segura.

• Aplicar atualizações de segurança constantemente é demorado e incômodo.

• O Windows Server não é tão seguro quanto os outros sistemas operacionais.

• É desafiador gerenciar a segurança do sistema e informações de identidade dos usuários em sistemas corporativos.

• Proteger sistemas é complexo e difícil de gerenciar.

• Não tento manutenção de sistemas durante o expediente porque fazer isso pode provocar uma interrupção do serviço e não quero perturbar a produtividade de meus usuários.

• Quero integrar redundância e recuperação de desastres em meus serviços de TI.

• Preciso assegurar conformidade com normas de controle (HIPAA, Sarbanes-Oxley).

Proteja seu servidor: O Windows Server “Longhorn” oferece inovações de segurança que reduzem a área da superfície de ataque

15


do kernel, resultando em um ambiente de servidor mais seguro e robusto.

• O Windows Service Hardening ajuda a manter os sistemas mais seguros evitando que serviços Windows críticos sejam usados por atividade anormal no sistema de arquivos, registro ou rede.

• Seguro na instalação significa que o sistema operacional é completamente bloqueado e pronto para usar.

Proteja o acesso a sua rede: A Proteção contra Acesso à Rede (Network Access Protection) lhe dá o poder de isolar computadores que não obedeçam às diretivas de segurança que você estabelece. A capacidade de impor requisitos de segurança é um meio poderoso de proteger sua rede.

• A Proteção contra Acesso à Rede permite validação de diretiva, restrição de rede, correções e conformidade contínua para o acesso de usuários a recursos de rede.

• Ajude a evitar que dispositivos não saudáveis acessem recursos corporativos e solicite acesso a recursos de domínio a partir de PCs gerenciados.

Crie regras e diretivas inteligentes para melhorar o controle de acesso e proteção sobre funções de rede, permitindo que você tenha uma rede orientada por diretiva.

• O gerenciamento centralizado de firewall e IPsec reduz conflitos e overhead de coordenação entre tecnologias através da combinação de criação e manutenção de diretiva para filtragem de tráfego e segurança de conexão.

• O Isolamento de servidor e domínio, baseado no Windows IPsec e Active Directory, permite uma implementação eficaz em termos de custo de autenticação de extremidade para segmentar dinamicamente um ambiente Windows em redes lógicas isoladas mais seguras com base em diretiva em vez de topologia de rede.

• Regras inteligentes de firewall podem especificar requisitos como autenticação e criptografia, com base em computador ou grupos de usuários do Active Directory.

• O Servidor de Diretiva de Rede (Network Policy Server) atua como um servidor de diretiva de integridade de rede para Proteção contra Acesso à Rede (NAP - network access protection), desempenho, autenticação de conexão centralizada, autenticação, e controle de vários tipos de acessos de rede, incluindo conexões sem fio e de VPN.

Proteja seus dados: O Windows Server inclui proteções adicionais para seus dados para ajudar a garantir que só possam ser acessados por usuários com o contexto de segurança correto, e para torná-los disponíveis quando falhas de hardware acontecerem.

16


• Os Serviços de Gerenciamento de Direitos (Rights Management Services) oferecem proteção persistente para dados sigilosos, ajudam a reduzir riscos e permite conformidade, e fornecem uma plataforma para proteção abrangente de informações.

• O Microsoft BitLocker fornece segurança adicional para seus dados através de criptografia completa de volume em múltiplas unidades de disco, mesmo quando o sistema estiver em mãos não autorizadas ou executando um sistema operacional diferente.

• O Controle de Diretiva de Grupo sobre Instalação de Dispositivos (Group Policy Control over Device Installation) permite a administradores de TI usarem Diretiva de Grupo no Windows Server “Longhorn” para bloquear a instalação de dispositivos removíveis, como pen-drives e discos rígidos externos, para ajudar a evitar que propriedade intelectual corporativa ou dados sigilosos sejam expostos ou roubados.

• O Controlador de Domínio de Somente Leitura (Read-Only Domain Controller) permite que você implante o Active Directory ao mesmo tempo em que restringe a replicação do banco de dados completo do Active Directory; para proteger melhor contra roubo ou exposição.

Proteja contra softwares mal-intencionados com o Controle de Conta de Usuário, uma nova arquitetura de autenticação.

• O Controle de Conta de Usuário aumenta a segurança exigindo confirmação manual de muitas funções administrativas para proteger contra softwares mal-intencionados que possam tentar obter ou usar privilégios administrativos.

Cumpra seus contratos de nível de serviço: O Windows Server “Longhorn” é ágil e oferece mais disponibilidade reduzindo tempos de interrupção potenciais.

• Reinicializações reduzidas devido à configuração e atualizações, e subsistemas que podem ser ligados a quente permitem alterações no sistema sem ter de desligar o servidor.

• Reinicializações reduzidas da Virtualização do Windows Server devido ao suporte a inclusões a quente de recursos de processo, memória, rede e armazenamento.

• Active Directory reiniciável permite que você realize manutenção nos Serviços de Domínio do Active Directory (Active Directory Domain Services) sem a necessidade de deixar o servidor offline.

• Aumente o desempenho da rede com a Rede Escalonável e Auto-Tuning de Rede.

17


Aumente a confiabilidade: O Windows Server “Longhorn” oferece aprimoramentos avançados de confiabilidade para reduzir a perda de acesso, trabalho, tempo, dados e controle.

• O Clustering Failover facilita configurar clusters de servidor ao mesmo tempo em que proporciona proteção e disponibilidade de seus dados e aplicações.

• O geo-clustering ajuda a assegurar alta disponibilidade de sistema e aplicações no caso de um desastre no site.

• O clustering de host virtualizado permite que máquinas virtuais efetuem o failover automaticamente de uma máquina física para outra no caso de falha física, e a Migração em Tempo Real permitirá mudar máquinas virtuais de uma máquina para outra sem nenhum tempo de inatividade.

• Melhorias de disponibilidade significam menos quedas ou travamentos e reinicializações, permitindo que você minimize a freqüência e impacto de interrupções para melhorar a produtividade e reduzir os custos de suporte.

18


Seção 2: Virtualização do Servidor


19


2.01 Introdução à Virtualização de Servidor

Este cenário enfoca a função de virtualização do Windows Server® “Longhorn” que permite a organizações de TI reduzir custos e criar um centro de dados ágil e dinâmico.

A função de virtualização oferece um paradigma inteiramente novo de implantação e licenciamento para que permitir múltiplas instâncias de sistema operacional – tanto da Microsoft como potencialmente de outros fabricantes – sejam executados em uma infra-estrutura virtual separada do hardware por uma tecnologia de virtualização baseada em um monitor fino.

Conforme examinarmos este cenário, será importante manter o foco não apenas no que o cenário oferece, mas também naquilo que possibilita – que é possivelmente todas as outras funções de servidor do Windows Server “Longhorn” e potencialmente Linux e outros sistemas operacionais.

Proposta de Valor do Cenário

A função de virtualização possibilita que organizações criem um centro de dados ágil e dinâmico e reduzam custos. As principais propostas de valor que a virtualização de servidor permitem são essas:

• Consolidação de servidor: Possibilitar que os clientes reduzam a quantidade total e o custo de propriedade de servidor minimizando a utilização do hardware, consolidando cargas de trabalho e reduzindo os custos de gerenciamento.

• Ambientes de desenvolvimento e teste. Criar um ambiente mais flexível e fácil de gerenciar que maximize o hardware de teste, reduza custos, melhore o gerenciamento do ciclo de vida e melhore a cobertura dos testes.

• Gerenciamento de continuidade de negócios. Eliminar o impacto de tempos de inatividade programados e não programados e permitir capacidades de recuperação de desastres com recursos como a Migração ao Vivo e clustering de host.

• Centro de dados dinâmico. Utilizar os benefícios da virtualização para criar uma infra-estrutura mais ágil combinada com novos recursos de gerenciamento para permitir a você mover máquinas virtuais sem causar impacto sobre os usuários.

Requisitos Especiais de Hardware

A função de virtualização requer o seguinte:

• Processadores Intel VT ou AMD-V ativados

20


2.02 Virtualização do Windows Server

A virtualização é uma tecnologia chave de capacitação que pode ser utilizada para alcançar benefícios comerciais. A tecnologia de virtualização permite que os clientes executem vários sistemas operacionais de maneira concorrente em um único servidor físico, em que cada um dos sistemas operacionais é executado como um computador independente.

Hoje há mais pressão que nunca sobre o TI com orçamentos reduzidos, tecnologias que mudam rapidamente e questões crescentes de segurança. Conforme as empresas crescem, suas infra-estruturas de TI crescem com elas. Mas, freqüentemente, o ritmo desse crescimento é irregular, impulsionado tanto pelas condições sob as quais a empresa opera quanto pelo modelo a que aspira. O TI está sendo cada vez mais visto como um gerador-chave de valor para a maioria das organizações, e o foco do TI é mudar de meramente manter a empresa em funcionamento para ser um mecanismo para produzir reatividade e agilidade por toda a organização.

Produzir agilidade pelo TI, reduzir custos e gerenciar complexidade precisam todos acontecer de uma forma integrada. A Iniciativa de Sistemas Dinâmicos da Microsoft (DSI - Dynamic Systems Initiative) utiliza a virtualização como um pilar principal para tratar dessas preocupações comerciais, e se une estreitamente com a adição de informações às aplicações e na camada de gerenciamento para permitir a visão de sistemas dinâmicos gerenciados automaticamente em todo o ciclo de vida e por todas as funções dentro da organização. A virtualização como tecnologia tem a capacidade de tratar de algumas dessas preocupações e necessidades comerciais como partes da estratégia geral de TI.

Hoje, O Microsoft® Virtual Server 2005 R2 hospedado no sistema operacional Windows Server 2003 proporciona os recursos necessários para cumprir tarefas que poupam tempo e custo através da tecnologia de virtualização em um ambiente de computação "enterpise-ready" com níveis avançados de escalabilidade, gerenciamento e disponibilidade. A abordagem da Microsoft para integrar os recursos de gerenciamento com a família de produtos System Center existente permite aos clientes gerenciar suas infra-estruturas física e virtual d uma forma integrada e facilita a adoção da tecnologia.

“A estratégia de virtualização da Microsoft contrasta com

as alternativas atuais para gerenciamento de máquina

virtual, que tendem a ser complexas, caras e exigir

habilidades especializadas. Vemos a virtualização como uma

tecnologia-chave para ajudar os clientes a alcançarem

sistemas dinâmicos auto-gerenciados. Ao longo das camadas

da plataforma, sistema operacional, aplicações e

21


gerenciamento, estamos proporcionando funcionalidade e

recursos que permitem a nossos clientes reduzir

significativamente custos operacionais, aumentar a

utilização do servidor e alcançar um ROI melhor através de

soluções de virtualização de recursos plenos.”

Bob Muglia, Vice-Presidente Sênior, Negócios de Servidor e Ferramentas, Microsoft

A Virtualização do Windows Server, como parte do Windows Server “Longhorn,” dá um grande passo à frente na aplicação de algumas das avançadas capacidades da virtualização e em proporcionar aos clientes uma plataforma de virtualização escalonável, segura e altamente disponível. Conforme as tecnologias de plataforma avançam, é importante assegurar que o gerenciamento geral continue simplificado. O Gerenciador de Máquina Virtual do System Center Microsoft — a aplicação de gerenciamento para centro de dados virtualizado oferece uma solução de gerenciamento unificada e integrada como parte da família System Center e ajuda a baixar os custos na à medida que o ambiente de TI se torna mais ágil.

Benefícios da Virtualização

Organizações de TI hoje estão sob uma pressão incrível para fornecer mais valor a seus clientes comerciais – e tipicamente com pouco ou nenhum aumento no orçamento. Otimizar o uso de ativos físicos de TI se torna imperativo à medida que os centros de dados atingem sua capacidade de potência e espaço. A Microsoft reconhece que o problema se intensifica para empresas cujos servidores trabalham com utilização muito baixa. Taxas de utilização de servidor de menos de 5 por cento não são incomuns, e as taxas de utilização de muitos clientes caem dentro da faixa de 10- a 15 por cento. Muitos desses desafios, compartilhados entre administradores de servidor e desenvolvedores, podem ser tratados com a ajuda das soluções de virtualização da Microsoft.

A tecnologia de virtualização de máquina é usada para consolidar várias máquinas físicas em uma única máquina física. A virtualização também pode ser usada para re-hospedar ambientes de legado, especialmente conforme o hardware de geração mais antiga se torna mais difícil e dispendioso para manter. E como o software é separado do hardware, a virtualização é uma boa solução para ambientes de recuperação de desastres, também.

Como uma parte essencial de qualquer estratégia de consolidação de servidor, as soluções de virtualização da Microsoft aumentam a utilização do hardware e permitem que as organizações configurem e implantem rapidamente novos servidores com os seguintes importantes benefícios:

• Uso eficiente de recursos de hardware. O isolamento e gerenciamento de recursos de máquina virtual possibilitam a coexistência de várias cargas de trabalho em menos servidores, permitindo que as organizações façam um uso mais eficiente de seus recursos de hardware. A

22


Virtualização do Windows Server, parte do Windows Server “Longhorn” e do Virtual Server 2005 R2 com Windows Server 2003, proporciona a maior interoperabilidade com infra-estruturas existentes de armazenamento, rede e segurança. Com avanços em hardware de servidor com tecnologia de 64 bits, sistemas multiprocessados e de múltiplos núcleos, a virtualização oferece uma maneira fácil de otimizar a utilização de hardware.

• Produtividade e reatividade administrativas melhoradas. A Virtualização do Windows Server possibilita a organizações de TI melhorar sua produtividade administrativa e implantar rapidamente novos servidores para tratar das necessidades corporativas sempre em transformação. A integração fácil com ferramentas de gerenciamento de servidor existentes, como o System Center Operations Manager e ferramentas sofisticadas como o Gerenciador de Máquina Virtual do System Center (SCVMM), facilita o gerenciamento de máquinas virtuais Windows. A capacidade de consolidar cargas de trabalho em um ambiente de hardware não virtual e um framework físico e virtual integrado de gerenciamento de TI permite que administradores reduzam os custos operacionais e criem centros de dados mais ágeis.

• Solução de virtualização de servidor bem suportada. O Virtual Server 2005 R2 é extensivamente testado e suportado pela Microsoft em conjunto com seus sistemas operacionais e aplicações de servidor. Por isso o Virtual Server 2005 R2 é uma solução de virtualização bem suportada tanto dentro da Microsoft como na comunidade de ISVs mais ampla. Com a Virtualização do Windows Server como um componente integrante do Windows Server “Longhorn” e o Gerenciador de Máquina Virtual como parte da família System Center, você pode ter certeza de que as futuras soluções de virtualização da Microsoft também serão extensivamente testadas e bem suportadas. O uso de um formato de disco rígido virtual comum (VHD) assegura a proteção do investimento para todas as máquinas virtuais criadas para o Servidor Virtual com um caminho transparente de migração para a Virtualização do Windows Server.

• Um produto-chave para a Iniciativa de Sistemas Dinâmicos da Microsoft. Como parte da DSI, o esforço da Microsoft abrangendo toda a indústria para simplificar e automatizar dramaticamente como as empresas projetam, implantam e operam sistemas de TI para permitir sistemas dinâmicos auto-gerenciados, a Microsoft está oferecendo às empresas ferramentas para ajudá-las a utilizar de maneira mais flexível seus recursos de hardware. O Virtual Server 2005 R2, a Virtualização do Windows Server e o Gerenciador de Máquina Virtual são exemplos importantes de como a Microsoft está continuando a fornecer tecnologia que resulta em melhor utilização de hardware de servidor e

23


proporciona um aprovisionamento mais flexível de recursos e centros de dados.

Roadmap da Virtualização da Microsoft

O roadmap da Virtualização da Microsoft combina o seguinte:

• Uma visão de longo prazo que mostra como os clientes podem reduzir drasticamente a complexidade da infra-estrutura de TI como parte da DSI global.

• Um cronograma de produto sólido que oferece soluções atuais e de curto prazo, permitindo que os clientes tomem uma série de passos práticos de acordo com a visão de longo prazo.

A Microsoft está fornecendo soluções de ferramentas de desenvolvimento de aplicações, aplicações de servidor, sistemas operacionais e gerenciamento que proporcionam melhorias imediatas para tratar da complexidade no ambiente de TI dos clientes. Como parte das soluções de virtualização, os clientes verão melhorias na oferta atual de produtos para o Virtual Server 2005 R2; novos produtos avançados como o Gerenciador de Máquina Virtual do System Center que tratarão de importantes desafios de gerenciamento; e a Virtualização do Windows Server como parte do Windows Server “Longhorn” que fornecerá uma plataforma melhorada de virtualização com escalabilidade, desempenho e confiabilidade aumentados.

Com a capacidade de hardware crescendo e recursos mais robustos de plataforma de virtualização e gerenciamento, mais clientes podem se beneficiar dos recursos de consolidação, gerenciamento mais fácil e automação. A virtualização é a principal tecnologia para reduzir o custo e complexidade do gerenciamento de TI, e a Microsoft comprometeu recursos significativos para tornar a virtualização mais amplamente acessível para os clientes.

As próximas seções enfocarão os principais produtos de virtualização, tanto no nível da plataforma como no de gerenciamento.

Virtual Server 2005 R2

O Microsoft Virtual Server 2005 R2 é á tecnologia de virtualização de servidor mais eficaz em termos de custo projetada para a plataforma Windows Server System™. Como parte essencial de qualquer estratégia de consolidação de servidor, o Virtual Server aumenta a utilização de hardware e permite que as organizações configurem e implantem novos servidores rapidamente.

Cenários de Uso O Virtual Server 2005 R2 oferece eficiência de hardware melhorada oferecendo uma ótima solução para isolamento e gerenciamento de recursos, o que possibilita a coexistência de múltiplas cargas de trabalho em menos servidores. O Virtual Server pode ser usado

24


para melhorar a eficiência operacional na consolidação de infra-estrutura, cargas de trabalho de servidor de aplicações e em escritórios remotos, consolidando e re-hospedando aplicações de legado, automatizando e consolidando ambientes de testes e de desenvolvimento de software, e reduzindo o impacto de desastres.

• Consolide infra-estrutura, cargas de trabalho de servidor de aplicações e em escritórios remotos. O Virtual Server permite a consolidação de cargas de trabalho para ambientes de serviço de infra-estrutura, de escritórios remotos, e recuperação de desastres, resultando em menos sistemas físicos para memória de hardware reduzida. O Virtual Server 2005 R2 é ideal para consolidação de servidor tanto no centro de dados como no escritório remoto, permitindo às organizações fazerem um uso mais eficiente de seus recursos de hardware. Ele permite que as organizações de TI aumentem sua produtividade administrativa e implantem rapidamente novos servidores para tratar de necessidades comerciais e aumenta as taxas de utilização de hardware para uma infra-estrutura de TI otimizada.

• Consolide e automatize seu ambiente de teste e desenvolvimento de software. Clientes em todos os segmentos procuram maneiras de diminuir os custos e acelerar instalações e atualizações de aplicações e infra-estrutura, ao mesmo tempo em que fornecem um nível abrangente de garantia de qualidade. O Virtual Server permite que você consolide sua farm de servidores de testes e desenvolvimento e automatize o aprovisionamento de máquinas virtuais, melhorando a utilização de hardware e a flexibilidade operacional. Para desenvolvedores, o Virtual Server permite uma fácil implantação e testes de uma aplicação de servidor distribuída usando múltiplas máquinas virtuais em um servidor físico.

• Re-hospede aplicações de legado. O Virtual Server permite a migração de sistemas operacionais de legado (Windows NT® 4.0 Server e Windows® 2000 Server) e suas aplicações personalizadas associadas de hardwares mais antigos para servidores novos executando o Windows Server 2003. O Virtual Server 2005 R2 oferece o melhor dos dois mundos: compatibilidade de aplicação com ambientes de legado, ao mesmo tempo em que tira proveito da confiabilidade, gerenciamento e recursos de segurança do Windows Server 2003 sendo executado no hardware mais recente. O Virtual Server 2005 R2 oferece essa capacidade permitindo que os clientes executem aplicações de legado em seu ambiente nativo de software em máquinas virtuais, sem reescrever a lógica da aplicação, reconfigurar redes ou treinar novamente os usuários finais. Isso dá aos clientes tempo para primeiro atualizar sistemas mais antigos da infra-estrutura, depois para atualizar ou reescrever aplicações fora de serviço em um cronograma que atenda melhor suas

25


Virtual Server 2005 R2: Administration Website

necessidades comerciais. O Virtual Server 2005 R2 possibilita uma melhor escolha do cliente para migração de aplicações de legado com excepcional compatibilidade.

• Soluções de recuperação de desastre. O Virtual Server 2005 R2 pode ser usado como parte de um plano de recuperação de desastres que requeira portabilidade e flexibilidade de aplicação ao longo de plataformas de hardware. Consolidar servidores físicos em poucas máquinas físicas executando máquinas virtuais diminui o número de ativos físicos que deve estar disponíveis em um local de recuperação de desastre. No caso de recuperação, máquinas virtuais podem ser hospedadas em qualquer local, em máquinas host diferentes daquelas afetadas pelo desastre, acelerando os tempos d recuperação e maximizando a flexibilidade da organização.

Principais Recursos A virtualização facilita ampla compatibilidade de dispositivos e suporte completo para ambientes de servidor Windows.

• Isolamento de máquina virtual. O isolamento de máquina virtual garante que se uma máquina virtual cair ou travar, não tenha impacto sobre nenhuma outra máquina virtual ou sobre o sistema host. A compatibilidade máxima da aplicação é alcançada através do isolamento. Isso permite que os clientes potencializem ainda mais suas infra-estruturas existentes de armazenamento, rede e segurança.

• Ampla compatibilidade de dispositivos. O Virtual Server é executado no Windows Server 2003, que suporta a maioria dos dispositivos do Catálogo do Windows Server, oferecendo compatibilidade com uma ampla gama de hardwares de sistemas de host.

• VMM multithread. O Monitor de Máquina Virtual do Virtual Server fornece a infra-estrutura de software para criar, gerenciar e interagir com máquinas virtuais em hardware multiprocessado.

• Ampla compatibilidade com sistema operacional x86 guest. O Virtual Server pode executar todos os principais

26


sistemas operacionais x86 no ambiente guest da máquina virtual. A Microsoft também suportará distribuições específicas de Linux sendo executadas no ambiente da máquina virtual.

• Clustering iSCSI. Cenários flexíveis de clustering proporcionam alta disponibilidade para ambientes críticos ao mesmo tempo em que melhoram os processos de atualização e manutenção de hardware. O clustering de iSCSI entre hosts físicos do Virtual Server 2005 R2 oferece um meio eficaz em termos de custo de aumentar a disponibilidade do servidor.

• Suporte a x64. O Virtual Server 2005 R2 é executado nos seguintes sistemas operacionais host de 64 bits: Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition Windows XP Professional x64 Edition, proporcionando desempenho e maior espaço de memória.

• API de COM abrangente. Isso permite completo controle em script de ambientes de máquina virtual. O Virtual Server suporta uma Interface de Programação de Aplicações (API) de Modelo de Objeto Componente (COM) que contém 42 interfaces e centenas de chamadas, permitindo que scripts controlem quase todos os aspectos do produto.

• Discos Rígidos Virtuais (VHDs - Virtual Hard Disks). O Virtual Server encapsula máquinas virtuais e, VHDs portáteis, permitindo uma configuração, versão e implantação flexíveis.

• Boot PXE. Esta placa de rede emulada no Virtual Server 2005 R2 agora suporta boot de Ambiente de Execução Pré-Inicialização (PXE - Pre-Boot Execution Environment). Esse boot de rede permite que os clientes aprovisionem suas máquinas virtuais de todas as maneiras que fazem com os servidores físicos.

• Integração com o Active Directory. As máquinas virtuais no Virtual Server funcionam como se esperaria de uma máquina física, oferecendo integração completa com o Active Directory®. Esse nível de integração permite administração delegada e acesso de convidado seguro e autenticado.

• Microsoft Operations Manager 2005 Management Pack for Virtual Server. Um pacote de gerenciamento desenvolvido especificamente para o Virtual Server possibilita recursos avançados de gerenciamento dentro de máquinas virtuais.

Virtualização do Windows Server

A Virtualização do Windows Server é uma tecnologia baseada em monitor que é parte do Windows Server “Longhorn.” O hypervisor Windows é uma camada fina de software sendo executada diretamente no hardware, que trabalha em conjunto com uma instância otimizada do Windows Server “Longhorn” que permite que múltiplas instâncias do sistema operacional sejam executadas simultaneamente em um

27


servidor físico. Ela utiliza as poderosas melhorias de processadores e oferece aos clientes uma plataforma de virtualização escalonável, confiável, de segurança aprimorada, e altamente disponível.

Cenários de Uso A Virtualização do Windows Server é integrada como a função de virtualização no Windows Server “Longhorn” e oferece um ambiente virtual mais dinâmico para consolidar cargas de trabalho. Ela fornece uma plataforma de virtualização que permite eficiência operacional aprimorada para consolidação de cargas de trabalho, gerenciamento de continuidade de negócios, automatizar e consolidar ambientes de testes de software, e criar um centro de dados dinâmico.

• Consolidação de servidor de produção. Organizações procuram servidores de produção em seus centros de dados e encontram níveis de utilização geral de hardware entre 5 e 15 por cento da capacidade do servidor. Além disso, limitações físicas como espaço e potência as estão impedindo de expandir seus centros de dados. Consolidar vários servidores de produção com a Virtualização do Windows Server pode ajudar as empresas a se beneficiarem da utilização aumentada do hardware e do custo total de propriedade geral reduzido.

• Gerenciamento de continuidade de negócios. Os administradores de TI estão sempre tentando encontrar maneiras de reduzir ou eliminar o tempo de inatividade de seu ambiente. A Virtualização do Windows Server oferecerá recursos para recuperação eficiente de desastres para minimizar o tempo de inatividade. O ambiente de virtualização robusto e flexível criado pela Virtualização do Windows Server minimiza o impacto de tempos de inatividade programados e não programados.

• Teste e desenvolvimento de software. Uma das maiores áreas onde a tecnologia de virtualização continuará sendo relevante é a de teste e desenvolvimento de software para criar ambientes automatizados e consolidados que sejam ágeis o suficiente para acomodar as exigências em constante mudança. A Virtualização do Windows Server ajuda a minimizar o hardware de teste, melhora o gerenciamento de ciclo de vida e melhora a cobertura dos testes.

• Centro de dados dinâmico. O rico conjunto de recursos da Virtualização do Windows Server combinado com os novos recursos de gerenciamento estendidos pelo Gerenciador de Máquina Virtual permite que as organizações criem uma infra-estrutura mais ágil. Os administradores serão capazes de adicionar recursos dinamicamente a máquinas virtuais e movê-las através de máquinas físicas de maneira transparente sem causar impacto nos usuários.

28


Windows Server Virtualization: User Interface and multi-proc support

Principais Recursos Há vários novos recursos na Virtualização do Windows Server que ajudam a criar uma plataforma de virtualização escalonável, segura e altamente disponível como parte do Windows Server “Longhorn.” Os seguintes são alguns dos principais componentes e recursos da Virtualização do Windows Server.

• Monitor Windows. É uma camada finíssima de software que utiliza o suporte a driver e a tecnologia de virtualização assistida por hardware do Windows Server. A base de código mínimo sem nenhum código ou driver de terceiros ajuda a criar uma base mais segura e robusta para soluções de virtualização.

• Gerenciamento dinâmico de recursos. A Virtualização do Windows Server oferece a capacidade de incluir a quente recursos como CPU, memória, redes e armazenamento às máquinas virtuais sem tempo de inatividade. Combinado com os recursos de conexão a quente do Windows Server “Longhorn”, isso permite que os administradores gerenciem seus recursos de hardware sem impacto sobre seus compromissos de SLA.

• Suporte a guest (convidado) de 64 bits. Um novo recurso importante da plataforma de Virtuali-zação do Windows Server é guests de 64 bits. Isso permite que organiza-ções virtualizem mais aplicações que são exigentes em termos de memória e se beneficiem do pool de memória aumentado acessível em um ambiente de 64 bits.

• Suporte a multiprocessador guest (convidado). A Virtualização do Windows Server agora oferece a capacidade de alocar múltiplos recursos de CPU a uma única máquina virtual e permite a virtualização de aplicações multithread. Este recurso, combinado com o suporte a guests de 64 bits, torna a Virtualização do Windows Server uma plataforma escalonável para virtualização.

29


• Migração em tempo real de máquinas virtuais. A Virtualização do Windows Server proporcionará a capacidade de mover uma máquina virtual de uma máquina física para outra com um mínimo de tempo de inatividade. Esta capacidade, somada ao clustering de host de máquinas físicas, proporciona alta disponibilidade e flexibilidade para se alcançar um centro de dados ágil e dinâmico.

• Nova arquitetura de virtualização de dispositivos. A Virtualização do Windows Server oferece uma nova arquitetura virtualizada de E/S. Isso dá aos clientes um alto desempenho e baixo overhead.

• Manipulação offline de VHD. A Virtualização do Windows Server oferece aos administradores a capacidade de acessar em segurança arquivos dento de um VHD sem ter de criar uma instância de máquina virtual. Isso dá aos administradores acesso granular a VHDs e a capacidade de realizar algumas tarefas de gerenciamento offline.

System Center Virtual Machine Manager

Como parte da família System Center de produtos de gerenciamento, o System Center Virtual Machine Manager facilita o gerenciamento de máquinas virtuais Windows. O System Center Virtual Machine Manager permite uma utilização aumentada de servidor físico permitindo consolidação simples e rápida de infra-estrutura virtual com identificação integrada de candidato de consolidação, P2V rápida, e disposição inteligente da carga de trabalho com base no conhecimento de desempenho e diretivas comerciais definidas pelo usuário. O System Center Virtual Machine Manager possibilita o rápido aprovisionamento de novas máquinas virtuais pelo administrador e usuários finais usando uma ferramenta de aprovisionamento de auto-atendimento. O System Center Virtual Machine Manager é um membro estreitamente integrado da família de produtos de gerenciamento System Center.

Cenários de Uso O System Center Virtual Machine Manager oferece suporte simples e completo para consolidar hardware em infra-estrutura virtual e otimizar a utilização. Ele também proporciona rápido aprovisionamento de máquinas virtuais a partir de máquinas físicas ou modelos na biblioteca de imagens ou por usuários finais.

• Consolidação de servidor de produção. À medida que as organizações buscam consolidar seus servidores de produção, o System Center Virtual Machine Manager oferece uma maneira de transferir o conhecimento sobre o sistema e o ambiente através do processo de virtualização e ajuda a manter a continuidade do conhecimento. Pela consolidação de vários servidores de produção com o Virtual Server 2005 R2 ou Virtualização do Windows Server, as empresas reduzem o

30


custo total de propriedade geral e ainda mantêm um framework unificado de gerenciamento em seus ambientes físico e virtual.

• Aumento da agilidade operacional. Empresas em todos os segmentos procuram maneiras de aumentar a eficiência através de seus ambientes de TI e aumentar a agilidade operacional. O System Center Virtual Machine Manager oferece um mecanismo para permitir funcionalidade como rápido aprovisionamento de servidor, rápida recuperação, e capacidade de migração escalonável para tornar toda a infra-estrutura virtual robusta e fácil de gerenciar.

• Gerenciamento integrado. O System Center Virtual Machine Manager ajuda a criar uma infra-estrutura de gerenciamento centralizado de máquina virtual em múltiplos sistemas host do Virtual Server 2005 R2 e de hosts da Virtualização do Windows Server. Organizações estão adotando a virtualização nas áreas de produção, teste e desenvolvimento, e conforme os recursos de gerenciamento se sofisticam, ela ajuda os administradores a implantar e gerenciar ambientes virtuais e físicos em uma abordagem integrada.

Principais Recursos O System Center Virtual Machine Manager se concentra em requisitos únicos de máquinas virtuais e é projetado para permitir utilização aumentada de servidor físico, gerenciamento centralizado de infra-estrutura de máquina virtual e rápido aprovisionamento de novas máquinas virtuais. Os seguintes são alguns dos recursos principais do System Center Virtual Machine Manager.

• Identificação de candidato a consolidação. O primeiro passo na migração de um centro de dados físico com um modelo de uma carga de trabalho por servidor é identificar as cargas de trabalho físicas apropriadas para consolidação no hardware virtual. Os fatores de decisão para determinar os candidatos adequados se baseiam em vários fatores, como desempenho histórico, características de pico de carga e padrões de acesso. O System Center Virtual Machine Manager utiliza os dados históricos de desempenho existentes no banco de dados do System Center Operations Manager para listar os candidatos a consolidação em ordem de classificação.

31


Virtual Machine Manager: Centralized management view

• Disposição inteligente. O ato de designar e ativar uma determinada carga de trabalho virtual em um servidor de host virtual físico é citado como disposição. A disposição está no âmago de maximizar a utilização de ativos físicos. O System Center Virtual Machine Manager traz uma abordagem profunda e holística à disposição e combina o conhecimento de dados históricos de desempenho da carga de trabalho e as informações sobre o sistema de host virtual. Regras comerciais e modelos associados também são utilizadas pelo System Center Virtual Machine Manager para determinar as opções de disposição.

• Aprovisionamento de host. O System Center Virtual Machine Manager identifica os hosts virtuais físicos na empresa através de descoberta integrada com o Active Directory. Isso ajuda as organizações a escalar facilmente o gerenciamento de máquinas e hosts virtuais no centro de dados e escritórios remotos.

• Biblioteca central. O System Center Virtual Machine Manager oferece um repositório central para todos os blocos de construção para uma máquina virtual como VHDs, máquinas virtuais offline, modelos e até mesmo imagens ISO. Cada item da biblioteca possui modelos ou ricos metadados que permitem um gerenciamento mais controlado dos objetos. O modelo é um novo objeto que permite ao administrador criar configurações de máquina virtual aprovadas que servem como um padrão ouro para subseqüentes implantações de máquinas virtuais.

• Aprovisionamento de auto-atendimento. A infra-estrutura virtual é comumente usada em ambientes de teste e desenvolvimento em que há aprovisionamento coerente e desmontagem de máquinas virtuais para fins de teste. Com o System Center Virtual Machine Manager, os administradores podem estender seletivamente os recursos de auto-aprovisionamento a grupos de usuários e ser capazes de

32


definir cotas. A ferramenta de aprovisionamento automático gerencia as máquinas virtuais através de seus ciclos de vida, incluindo desmontagens.

33


2.03 Núcleo do Servidor

No Windows Server “Longhorn,” os administradores agora podem escolher instalar um ambiente mínimo que evita carga extra. Embora esta opção limite as funções que podem ser executadas pelo servidor, pode aumentar a segurança e reduzir o gerenciamento. Esse tipo de instalação é chamado de instalação do Núcleo do Servidor.

Para mais informações sobre o Núcleo do Servidor, consulte a seção 7.05 Núcleo do Servidor na página 242.

Para saber mais, consulte 7.05 Núcleo do Servidor (Server Core) na página 242.

34


Seção 3: Acesso Centralizado a Aplicações


35


3.01 Introdução ao Acesso Centralizado a Aplicações

Este cenário enfoca a centralização de acesso a aplicações a aplicações comerciais com os Serviços de Terminal (Terminal Services). Os Serviços de Terminal possibilitam aos usuários estabelecer um sistema centralizado que lhes permite fornecer acesso rápida e seguramente a aplicações baseadas em Windows a partir de qualquer local conectado por rede. Clientes podem fornecer essa funcionalidade usando uma variedade de clientes, inclusive PCs baseados em Windows®, clientes finos baseados em Windows ou dispositivos baseados em Windows Mobile®.

Quando os usuários executam uma aplicação com os Serviços de Terminal, a execução da aplicação se dá no servidor, e somente informações de teclado, mouse e monitor são transmitidas pela rede Os usuários podem apenas ver suas sessões individuais, gerenciadas de maneira transparente pelo sistema operacional do servidor, e permanecem independentes de qualquer outra sessão de cliente.


As principais propostas de valor que o acesso centralizado a aplicações possibilita são:

• Fornecer acesso centralizado a aplicações comerciais na LAN ou pela Internet.

• Eliminar o risco de perda de dados de laptops usando acesso remoto seguro a aplicações e dados localizados centralmente.

• Reduzir os custos de gerenciamento através da eliminação da necessidade de servidores de aplicações em locais distribuídos.

• Oferecer acesso seguro a aplicações sem a necessidade de permitir acesso total à rede através de VPN ou outros mecanismos.

• Consolidar os Serviços de Terminal existentes usando tecnologia x64.

• Melhorar a produtividade do usuário final com integração contínua de aplicações baseadas no local e nos Serviços de Terminal no cliente local.


A seguir está um requisito adicional de:

• Firewall baseado em hardware ou software (ou outro dispositivo de segurança de borda) para ser colocado entre o Gateway de Serviços de Terminal e a Internet.

36


3.02 Funcionalidade Básica de Serviços de Terminal

Para o Windows Server® “Longhorn,” os Serviços de Terminal incluem nova funcionalidade básica que melhora a experiência do usuário final quando se conecta remotamente a um servidor de terminal do Windows Server “Longhorn”.

A nova funcionalidade básica nos Serviços de Terminal será interessante para organizações que atualmente usam ou têm a intenção de usar os Serviços de Terminal. Os Serviços de Terminal fornecem tecnologias que permitem o acesso, a partir de qualquer dispositivo de computação, a um servidor executando programas baseados em Windows ou à área de trabalho Windows plena. Os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede nele.

Para o Windows Server “Longhorn,” você pode se interessar na nova funcionalidade básica nos Serviços de Terminal se usar um dos seguintes hardwares:

• Dispositivos portáteis baseados em Windows

• Microsoft® Point of Service para dispositivos Microsoft .NET

• Monitores que suportem resoluções mais altas, como 1680x1050 ou 1920x1200

• Vários monitores

Você também pode se interessar na nova funcionalidade básica nos Serviços de Terminal se quiser dar suporte a qualquer dos seguintes cenários:

• Fazer usuários se conectarem a um servidor de terminal e fazer o computador remoto se parecer mais com a experiência da área de trabalho Windows Vista™ local do usuário.

• Garantir que os dados de monitor, teclado e mouse passados através de uma conexão remota não sejam afetados de maneira adversa por ações que exijam muita largura de banda, como grandes tarefas de impressão.

• Permitir que usuários com uma conta de domínio efetuem o logon uma vez, usando uma senha ou smart card, e então obtenham acesso a um servidor de terminal sem a necessidade de apresentar as credenciais novamente.

Para tirar proveito da nova funcionalidade básica de Serviços de Terminal, você vai precisar usar o seguinte:

• Conexão de Área de trabalho Remota 6.0

• Windows Server “Longhorn” configurado como servidor de terminal

Em alguns casos, será necessário também usar o Windows Vista.

37


Conexão de Área de Trabalho Remota 6.0

A Conexão de Área de trabalho Remota 6.0 está disponível com o Windows Vista e com o Windows Server “Longhorn.”

O software da Conexão de Área de trabalho Remota 6.0 também está disponível para uso no Microsoft Windows Server 2003 com Service Pack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usar quaisquer novos recursos de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação na Central de Downloads Microsoft http://go.microsoft.com/fwlink/?LinkId=79373.

Redirecionamento de Dispositivos Plug and Play para Media Players e Câmeras Digitais

No Windows Server “Longhorn,” o redirecionamento foi aperfeiçoado e expandido. Agora você pode redirecionar dispositivos portáteis baseados em Windows, especificamente media players baseados no Protocolo MTP (Media Transfer Protocol) e câmeras digitais baseadas no Protocolo de Transferência de Imagem (PTP - Picture Transfer Protocol).

Para redirecionar dispositivos Plug and Play

1. Abra a Conexão de Área de trabalho Remota. Para abrir a Conexão de Área de trabalho Remota no Microsoft Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection.

2. Na caixa de diálogo Remote Desktop Connection, clique em Options.

3. Na guia Resources, clique em More.

4. Em Local devices and resources, expanda Supported Plug and Play devices.

Os dispositivos Plug and Play atualmente ligados e suportados para redirecionamento serão exibidos nesta lista. Se o dispositivo que você ligou não aparecer na lista, ele não é suportado atualmente para redirecionamento. Verifique o manual do dispositivo para ver se ele suporta o MTP ou PTP.

5. Escolha o dispositivo que deseja redirecionar assinalando a caixa de seleção próxima ao nome do dispositivo.

6. Você também pode redirecionar dispositivos que ainda não foram ligados, mas que serão posteriormente quando uma sessão a um computador estiver ativa. Para tornar os dispositivos Plug and Play que você ligará mais tarde disponíveis para redirecionamento, assinale a caixa de seleção Devices that I plug in later.

38


Nota

Você também pode redirecionar unidades de disco que serão conectadas depois de uma sessão para um computador remoto que esteja ativo. Para tornar uma unidade de disco a que você se conectará mais tarde disponível para redirecionamento, expanda Drives, e em seguida assinale a caixa de seleção Drives that I connect to later.

7. Clique em OK, e conecte-se ao computador remoto.

O arquivo (.rdp) do Protocolo de Área de trabalho Remota (Remote Desktop Protocol) criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivo Plug and Play. Para mais informações sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o Windows Server “Longhorn” TS RemoteApp e o TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609).

Quando a sessão para o computador remoto é lançada, você deve ver o dispositivo Plug and Play que é redirecionado ser instalado automaticamente no computador remoto. Notificações do Plug and Play aparecerão na barra de tarefas no computador remoto.

Se você tiver assinalado a caixa de seleção Drives that I connect to later na Conexão de Área de trabalho Remota (Remote Desktop Connection), deve ver o dispositivo Plug and Play ser instalado no computador remoto quando ligá-lo em seu computador local enquanto a sessão para o computador remoto estiver ativa.

Depois que o dispositivo Plug and Play é instalado no computador remoto, ele fica disponível para uso em sua sessão com o computador remoto. Por exemplo, se você redirecionar um dispositivo portátil baseado em Windows como uma câmera digital, o dispositivo pode ser acessado diretamente a partir de uma aplicação como o Assistente de Câmera e Scanner no computador remoto.

O redirecionamento de dispositivo Plug and Play não é suportado em conexões em cascata de servidor de terminal. Por exemplo, se você tiver um dispositivo Plug and Play ligado a seu computador cliente local, pode redirecionar e usar esse dispositivo quando se conectar a um servidor de terminal (Server1, por exemplo). Se, de dentro de sua sessão remota no Server1, você então se conectar a outro servidor de terminal (Server2, por exemplo), não será capaz de redirecionar e usar o dispositivo Plug and Play em sua sessão remota com o Server2.

Você pode controlar o redirecionamento de dispositivos Plug and Play usando qualquer das seguintes configurações de Diretiva de Grupo:

39


• Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definição de diretiva de Do not allow supported Plug and Play device redirection

• Computer Configuration\Administrative Templates\System\Device Installation\ definição de diretiva de Device Installation Restrictions

Você também pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig.msc).

Redirecionamento de Dispositivo Microsoft Point of Services for .NET

No Windows Server “Longhorn” você também pode redirecionar dispositivos que usam o Microsoft Point of Service (POS) for .NET 1.1.

Importante

O redirecionamento de dispositivo Microsoft POS for .NET somente é suportado se o servidor de terminal estiver executando uma versão baseada em x86 do Windows Server “Longhorn.”

Você pode fazer o download do Microsoft POS for .NET 1.1 na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?linkid=66169).

Configurando um Servidor de Terminal

Para implementar o Microsoft POS for .NET 1.1 em seu servidor de terminal, faça o seguinte:

1. Instale o Microsoft POS for .NET 1.1.

2. Instale os objetos ou arquivos XML de configuração do serviço. NET para o dispositivo do Microsoft POS for .NET. Os objetos de serviço do dispositivo ou arquivos XML de configuração geralmente são fornecidos pelo fabricante do dispositivo e são escritos para trabalhar com o POS for .NET usando o SDK (Software Development Kit) do Microsoft POS for .NET 1.1. Você pode instalar os objetos de serviço do dispositivo ou arquivos XML de configuração através do software padrão de instalação que acompanha o dispositivo. Para instruções de instalação do dispositivo Microsoft POS for .NET específico que você estiver usando, consulte o manual do dispositivo.

3. Depois de instalar os objetos de serviço do dispositivo ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal, você precisa parar e iniciar o serviço

40


Redirecionador de Porta UserMode de Serviços de Terminal. Para reiniciar o serviço, siga esses passos:

a. Abra o snap-in Serviços. Para abri-lo, clique em Start, aponte para Administrative Tools, e então clique em Services.

b. Na caixa de diálogo Services,na coluna Name, clique com o botão direito em Terminal Services UserMode Port Redirector, e em seguida clique em Restart.

Nota

Reinicie o Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector) somente depois de ter instalado os objetos de serviço do servidor ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal. Se você instalar posteriormente um novo objeto de serviço do servidor ou arquivo XML de configuração em seu servidor de terminal para um dispositivo Microsoft POS for .NET, precisará reiniciar o serviço Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector).

Configurando um Arquivo de Protocolo de Área de trabalho Remota Os dispositivos do Microsoft POS for .NET, por padrão, não estão listados em Local devices and resources na guia Local Resources na Conexão de Área de trabalho Remota. Portanto, para permitir o redirecionamento de dispositivos do Microsoft POS for .NET, você precisa editar o arquivo (.rdp) do Protocolo de Área de trabalho Remota (Remote Desktop Protocol) que você usa para conectar-se ao servidor de terminal.

Para ativar o redirecionamento de dispositivos do Microsoft POS for .NET em um arquivo .rdp, faça o seguinte

• Abra o arquivo .rdp no editor de texto. Adicione ou altere a seguinte configuração:

redirectposdevices:i:<value>

o Se <value> = 0, o redirecionamento de dispositivos do Microsoft POS for .NET está desabilitado.

o Se <value> = 1, o redirecionamento de dispositivos do Microsoft POS for .NET está ativado.

Para mais informações sobre as configurações de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).

Nota

41


O arquivo .rdp criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivos do Microsoft POS for .NET. Para mais informações sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o TechCenter do Windows Server “Longhorn” TS RemoteApp e o TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).

Usando Dispositivos Microsoft POS for .NET Depois de ter implementado o Microsoft POS for .NET 1.1 em seu servidor de terminal e de ter ativado o redirecionamento de dispositivos do Microsoft POS for .NET em seu arquivo .rdp, conecte seu dispositivo do Microsoft POS for .NET e em seguida conecte-se ao computador remoto usando o arquivo .rdp modificado. Depois de se conectar ao computador remoto, você deve ver o dispositivo do Microsoft POS for .NET redirecionado ser instalado automaticamente no computador remoto. Notificações do Plug and Play aparecerão na barra de tarefas do computador remoto.

Depois que o dispositivo do Microsoft POS for .NET é instalado no computador remoto, qualquer aplicação do Microsoft POS for .NET residindo no servidor de terminal pode acessar o dispositivo do Microsoft POS for .NET como se este estivesse disponível localmente. Há uma aplicação de amostra no SDK do POS for .NET 1.1 que você pode usar para testar o acesso e a funcionalidade do dispositivo do Microsoft POS for .NET redirecionado. A aplicação de amostra é chamada ccltestapp.exe e pode ser encontrada na pasta \SDK\Exemplos\Exemplo de Aplicação (\SDK\Samples\Sample Application) na pasta onde você instalou o POS for .NET.

Você pode controlar o redirecionamento de dispositivos do Microsoft POS for .NET usando as seguintes configurações de Diretiva de Grupo:

• Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definição de diretiva de Do not allow supported Plug and Play device redirection

• Computer Configuration\Administrative Templates\System\Device Installation\ definição de diretiva de Device Installation Restrictions

Você também pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig.msc).

Exibição de Conexão de Área de trabalho Remota

O software Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0) acrescenta suporte para estações de trabalho de resolução mais alta e abrangendo múltiplos monitores horizontalmente para formar uma única grande área de trabalho.

42


Além disso, o recurso Experiência Desktop e as configurações de priorização de dados de exibição são projetados para aumentar a experiência do usuário final quando se conecta remotamente a um servidor de terminal do Windows Server “Longhorn”.

Resoluções de Exibição Personalizadas A resolução de exibição personalizada oferece suporte para proporções adicionais de exibição, como 16:9 ou 16:10. Por exemplo, monitores mais novos com resoluções de 1680x1050 ou 1920x1200 agora são suportados. A resolução máxima suportada é 4096x2048.

Nota

Anteriormente, somente proporções de resolução de 4:3 eram suportadas, e a resolução máxima suportada era 1600x1200.

Você pode definir uma resolução de exibição personalizada em um arquivo .rdp ou a partir de um prompt de comando.

Para definir uma resolução de exibição personalizada em um arquivo .rdp, faça o seguinte:

• Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configurações:

desktopwidth:i:<value>

desktopheight:i:<value>

Onde <value> é a resolução, como 1680 ou 1050.

Nota


Para definir uma resolução de exibição personalizada a partir de um prompt de comando, faça o seguinte:

• No prompt de comando, use o comando mstsc.exe com a seguinte sintaxe, e em seguida pressione ENTER.

mstsc.exe /w:<width> /h:<height>

Abrangência do Monitor A abrangência de monitores permite que você exiba sua sessão de área de trabalho remota através de vários monitores.

Os monitores usados para a abrangência de monitores devem satisfazer os seguintes requisitos:

• Todos os monitores devem usar a mesma resolução. Por exemplo, dois monitores usando resolução 1024x768 podem ser

43


abrangidos. Mas um monitor em 1024x768 e outro em 800x600 não podem ser abrangidos.

• Todos os monitores devem estar alinhados horizontalmente (isto é, lado a lado). Atualmente não há suporte para abranger múltiplos monitores verticalmente no sistema cliente.

• A resolução total ao longo de todos os monitores não pode exceder 4096x2048.

Você pode ativar a abrangência de monitores em um arquivo .rdp ou a partir de um prompt de comando.

Para ativar a abrangência de monitores em um arquivo .rdp, faça o seguinte:

• Abra o arquivo • Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configurações:

Span:i:<value>

o Se <value> = 0, a abrangência de monitores está desabilitada.

o Se <value> = 1, a abrangência de monitores está ativada.

Nota


Para ativar a abrangência de monitores a partir de um prompt de comando, faça o seguinte:

• No prompt de comando, digite o seguinte comando, e em seguida pressione ENTER.

mstsc.exe /span

Experiência Desktop O software de Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0) reproduz a área de trabalho que existe no computador remoto no computador cliente do usuário. Para fazer o computador remoto se parecer com a Experiência Desktop do Windows Vista local do usuário, você pode instalar o recurso de Experiência Desktop em seu servidor de terminal do Windows Server “Longhorn”. A Experiência Desktop instala recursos do Windows Vista, como o Windows Media® Player 11, temas de área de trabalho, e gerenciamento de fotos.

Para implementar o Microsoft POS for .NET 1.1 em seu servidor de terminal, faça o seguinte:

44


1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager.

2. Em Features Summary, clique em Add features.

3. Na página Select Features, assinale a caixa de seleção Desktop Experience, e em seguida clique em Next.

4. Na página Confirm Installation Options, certifique-se de que o recurso Experiência Desktop será instalado, e em seguida clique em Install.

5. Na página Installation Results, você é instruído a reiniciar o servidor para concluir o processo de instalação. Clique em Close, e em seguida clique em Yes para reiniciar o servidor.

6. Depois que o servidor reiniciar, confirme que a Experiência Desktop está instalada.

a. Inicie o Gerenciador de Servidor.

b. Em Features Summary, confirme que a Experiência Desktop está listada como instalada.

Composição de Área de trabalho O Windows Vista oferece uma experiência visualmente dinâmica chamada Windows Aero™. O Windows Aero oferece recursos como estes:

• Janelas transparentes

• Botões de barra de tarefas com visualizações de janela em tamanho miniatura

• Uma vista de suas janelas abertas em um stack tridimensional em sua área de trabalho

Nota

Para mais informações sobre os recursos do Windows Aero, consulte o Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741).

Um servidor de terminal Windows Server “Longhorn” pode ser configurado para fornecer recursos do Windows Aero quando um computador cliente do Windows Vista se conecta ao servidor de terminal Windows Server “Longhorn” usando Conexão de Área de trabalho Remota. Esta funcionalidade é mencionada como composição de área de trabalho.

Nota

Para que o computador cliente do Windows Vista use a composição de área de trabalho em uma conexão de área de

45


trabalho remota com um servidor de terminal do Windows Server “Longhorn”, o computador cliente do Windows Vista deve ter hardware instalado capaz de suportar o Windows Aero. Contudo, o servidor de terminal Windows Server “Longhorn” não precisa ter hardware instalado capaz de suportar o Windows Aero.

Para configurar a composição de área de trabalho para conexões de estações de trabalho remotas em seu servidor de terminal, faça o seguinte:

1. Instale o recurso Experiência Desktop.

2. Configure o tema:

a. Iniciando o serviço de Temas

b. Definindo o tema em “Windows Vista”

3. Ajuste as configurações de:

a. Cor e Aparência das janelas

b. Configurações de Exibição

c. Facilidade de Acesso

d. Máxima Profundidade de Cor

Para iniciar o serviço de Temas em seu servidor de terminal, faça o seguinte:

1. Cliquem em Start, aponte para Administrative Tools, e em seguida clique em Services.

2. No painel de Services, clique com o botão direito em Themes, e em seguida clique em Properties.

3. Na guia General, mude o Startup type para Automatic, e em seguida clique em Apply.

4. Em Service status, clique em Start para iniciar o serviço de Temas, e em seguida clique em OK.

Para definir o tema em “Windows Vista” em seu servidor de terminal, faça o seguinte:

1. Clique em Start, clique em Control Panel, e em seguida clique em Appearance and Personalization.

2. Clique em Personalization, e em seguida cliquem em Theme.

46


3. Na guia Themes, altere o Theme for Windows Vista, e em seguida clique em OK.

O sistema operacional determinará se o computador possui o hardware necessário para suportar e exibir os recursos do tema do “Windows Vista”. Mesmo que o hardware no servidor de terminal Windows Server “Longhorn” não suporte o tema do “Windows Vista”, ele será exibido na conexão de área de trabalho remota se o hardware do computador cliente o suportar.

Ajustando Configurações Adicionais Para assegurar que a composição de área de trabalho ofereça a funcionalidade desejada durante conexões de estações de trabalho remotas, existem configurações adicionais que precisam ser configuradas no servidor de terminal do Windows Server “Longhorn”. Para fazer esses ajustes, siga este procedimento.

Para configurar configurações adicionais em seu servidor de terminal, faça o seguinte:

1. Clique em Start, clique em Control Panel, e então clique em Appearance and Personalization.

2. Clique em Personalization, e em seguida clique em Window Color and Appearance.

3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleção Show window contents while dragging.

4. Para salvar a configuração, clique em OK, e em seguida clique em OK novamente para fechar a caixa de diálogo Appearance.

5. Clique em Display Settings. Na guia Monitor, na lista de Colors, clique em Highest (32 bits), e em seguida clique em OK.

6. No painel à esquerda, em See also, clique em Ease of Access.

7. Em Explore all settings, clique em Make it easier to focus on tasks.

8. Em Adjust time limits and flashing visuals, apague a marca na caixa de seleção Turn off all unnecessary animations (when possible).

9. Clique em Save.

Além disso, o servidor de terminal deve ser configurado para suportar uma profundidade máxima de cor de 323 bits por pixel

47


(bpp) para conexões remotas. A profundidade máxima de cor pode ser configurada usando-se um dos métodos a seguir:

• Definindo a Limit Maximum Color Depth na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig.msc)

• Ativando Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Remote Session Environment\Limit maximum color depth como a definição de diretiva

Note que a definição de Diretiva de Grupo terá prioridade sobre a definição na ferramenta de Configuração de Serviços de Terminal.

Configuração de Cliente Para tornar a composição de área de trabalho disponível para uma conexão de área de trabalho remota, siga este procedimento.

Para tornar uma composição de área de trabalho disponível, faça o seguinte:

1. Abra a Conexão de Área de trabalho Remota (Remote Desktop Connection). Para abrir a Conexão de Área de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection.


3. Na guia Experience, assinale a caixa de seleção Desktop composition, e assegure-se de que a caixa de seleção Themes esteja assinalada.

4. Configure quaisquer configurações restantes, e em seguida clique em Connect.

Quando você permite a composição de área de trabalho, está especificando que as configurações locais no computador cliente do Windows Vista ajudarão a determinar a experiência do usuário na conexão de área de trabalho remota. Note que ao permitir a composição de área de trabalho, você não muda as configurações do servidor de terminal do Windows Server “Longhorn”.

Como o Windows Aero requer e usa mais recursos de hardware, você precisará determinar que impacto sobre a escalabilidade isso terá em quantas conexões simultâneas de estações de trabalho remotas que o seu servidor de terminal Windows Server “Longhorn” pode suportar.

Suavização de Fonte O Windows Server “Longhorn” suporta ClearType®, que é uma tecnologia para exibir fintes de computador de modo que elas

48


apareçam claras e suaves, especialmente quando se usa um monitor de LCD.

Um servidor de terminal Windows Server “Longhorn” pode ser configurado para oferecer funcionalidade ClearType quando um computador cliente se conecta a um servidor de terminal Windows Server “Longhorn” usando Conexão de Área de trabalho Remota. Esta funcionalidade é chamada de suavização de fonte. A suavização de fonte está disponível se o computador cliente estiver executando algum dos seguintes:

• Windows Vista

• Windows Server 2003 com SP1 e software de Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0)

• Windows XP com SP2 e software de Conexão de Área de trabalho Remota 6.0 (Remote Desktop Connection 6.0)

Por padrão, o ClearType está ativado no Windows Server “Longhorn.” Para garantir que o ClearType esteja ativado no servidor de terminal Windows Server “Longhorn”, siga este procedimento.

Para garantir que o ClearType esteja ativado, faça o seguinte:

1. Clique em Start, clique em Control Panel, e então clique em Appearance and Personalization.

2. Clique em Personalization, e em seguida clique em Cor e Window Color and Appearance.

3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleção Use the following method to smooth edges of screen fonts, selecione ClearType, e em seguida clique em OK.

Para tornar a suavização de fontes disponível para uma conexão de área de trabalho remota, siga este procedimento no computador cliente.

Para tornar a suavização de fontes disponível, faça o seguinte:

1. Abra a Remote Desktop Connection. Para abrir a Conexão de Área de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection.


3. Na guia Experience, assinale a caixa de seleção Font smoothing.

49


4. Configure quaisquer configurações de conexão restantes, e em seguida clique em Connect.

Quando você permite a suavização de fonte, está especificando que as configurações locais no computador cliente ajudarão a determinar a experiência do usuário na conexão de área de trabalho remota. Note que ao permitir a suavização de fonte, você não muda as configurações do servidor de terminal do Windows Server “Longhorn”.

Usar a suavização de fonte em uma conexão de área de trabalho remota aumenta a quantidade de largura de banda usada entre o computador cliente e o servidor de terminal Windows Server “Longhorn”.

Priorização de Dados de Exibição A priorização de dados de exibição controla automaticamente o tráfego do canal virtual para que os dados do monitor, teclado e mouse recebam maior prioridade que os outros, como impressões ou transferências de arquivos. Essa priorização é projetada para garantir que o desempenho de sua janela não seja afetado de maneira adversa por ações de consumo intensivo de largura de banda, como grandes tarefas de impressão.

A proporção padrão de largura de banda é 70:30. Dados de exibição e entrada terão alocados 70 por cento da largura de banda, e todo o tráfego restante, como área de transferência, transferência de arquivos ou tarefas de impressão, receberão 30 por cento da largura de banda.

Você pode ajudar as configurações de priorização dos dados de exibição fazendo alterações no registro do servidor de terminal. Você pode alterar o valor das seguintes informações na sub-chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD:

• FlowControlDisable

• FlowControlDisableBandwidth

• FlowControlChannelBandwidth

• FlowControlChargePostCompression

Se esses registros não aparecerem, você pode adicioná-los. Para fazer isso, clique com o botão direito do mouse em TermDD, aponte para Novo (New), e em seguida clique em DWORD (32-bit) Value.

Você pode desabilitar a priorização dos dados de exibição definindo o valor de FlowControlDisable em 1. Se a priorização dos dados de exibição estiver desabilitada, todas as solicitações são tratadas em uma base “primeiro a entrar, primeiro a sair”. O valor padrão para FlowControlDisable é 0.

Você pode estabelecer a prioridade relativa de largura de banda para exibição (e dados de entrada) definindo o valor de FlowControlDisplayBandwidth. O valor padrão é 70; o valor máximo permitido é 255.

50


Você pode estabelecer a prioridade relativa de largura de banda para outros canais virtuais (como área de transferência, transferências de arquivos ou tarefas de impressão) definindo o valor de FlowControlChannelBandwidth. O valor padrão é 30; o valor máximo permitido é 255.

A proporção de largura de banda para priorização de dados de exibição se baseia nos valores de FlowControlDisplayBandwidth e FlowControlChannelBandwidth. Por exemplo, se FlowControlDisplayBandwidth estiver definido em 150 e FlowControlChannelBandwidth em 50, a proporção é 150:50, assim a exibição e dados de entrada terão alocados 75 por cento da largura de banda.

O valor FlowControlChargePostCompression determina se o controle de fluxo controlará a alocação de largura de banda com base em bytes de pré-compressão ou de pós-compressão. O valor padrão é 0, o que significa que o cálculo será feito em bytes pré-compressão.

Se você fizer alguma alteração nos valores do registro, precisará reiniciar o servidor de terminal para que as alterações tenham efeito.

Logon Único

O logon único é um método de autenticação que permite a um usuário com uma conta de domínio efetuar o logon uma única vez, usando uma senha ou smart card, e então obter acesso a servidores remotos sem precisar apresentar suas credenciais novamente.

Os principais cenários para o logon único são esses:

• Implantação de aplicações de gestão de negócios (LOB)

• Implantação centralizada de aplicação

Devido a custos mais baixos de manutenção, muitas companhias preferem instalar suas aplicações de gestão de negócios em um servidor de terminal e tornar essas aplicações disponíveis através do RemoteApps ou da Área de trabalho Remota. O logon único possibilita dar aos usuários uma melhor experiência eliminando a necessidade de eles digitarem suas credenciais sempre que iniciarem uma sessão remota.

Pré-requisitos para Implantar o Logon Único Para implementar a funcionalidade de logon único em Serviços de Terminal, assegure-se de que satisfaz os seguintes requisitos:

• Você pode usar o logon único somente para conexões remotas de um computador baseado em Windows Vista para um servidor de terminal baseado no Windows Server “Longhorn”. Também pode usar o logon único para conexões remotas entre dois servidores baseados no Windows Server “Longhorn”.

• Certifique-se de que as contas de usuário usadas para efetuar o logon possuem os direitos apropriados para se

51


registrar tanto no servidor de terminal como no cliente Windows Vista.

• Seu computador cliente e servidor de terminal devem ser ligados a um domínio.

Configuração Recomendada de um Servidor de Terminal ao Usar o Logon Único Para definir as configurações recomendadas para seu servidor de terminal, complete os passos a seguir:

• Configure a autenticação no servidor de terminal.

• Configure o computador baseado em Windows Vista para permitir que credenciais padrão sejam usadas para efetuar o logon nos servidores de terminal especificados.

Para configurar a autenticação no servidor de terminal, faça o seguinte:

1. Abra a Configuração de Serviços de Terminal (Terminal Services Configuration). Para abrir a Configuração de Serviços de Terminal, clique em Start, clique em Run, digite tsconfig.msc e em seguida clique em OK.

2. Em Connections, clique com o botão direito do mouse em RDP-Tcp, e em seguida clique em Properties.

3. Na caixa de diálogo Properties, na guia General, certifique-se de que o valor da Security Layer seja Negotiate ou SSL (TLS 1.0), e em seguida clique em OK.

Para permitir o uso de credencial padrão para logon único, faça o seguinte:

1. No computador baseado em Windows Vista, abra o Editor Objeto de Diretiva de Grupo (Group Policy Object Editor). Para abrir o Editor Objeto de Diretiva de Grupo, clique em Start, e na caixa Start Search digite gpedit.msc e em seguida pressione ENTER.

2. No painel à esquerda, expanda o seguinte: Computer Configuration, Administrative Templates, System, e em seguida clique em Credentials Delegation.

3. Dê um clique duplo em Allow Delegating Default Credentials.

4. Na caixa de diálogo Properties, na guia Setting, clique em Enabled, e então clique em Show.

5. Na caixa de diálogo Start Contents, clique em Add para adicionar servidores à lista.

52


6. Na caixa de diálogo Add Item, na caixa Enter the item to be added, digite o prefixo termsrv/ seguido pelo nome do servidor de terminal, por exemplo, termsrv/Server1, e então clique em OK.

53


3.03 Gateway de Serviços de Terminal

O Gateway de Serviços de Terminal (TS Gateway) é um serviço de função na função de servidor de Serviços de Terminal que permite que usuários remotos autorizados se conectem a servidores de terminal e estações de trabalho remotas (computadores remotos) em uma rede corporativa, a partir de qualquer dispositivo conectado à Internet. O TS Gateway usa o Protocolo de Área de trabalho Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar uma conexão segura e criptografada entre usuários remotos na Internet e os computadores remotos nos quais suas aplicações de produtividade são executadas.

O TS Gateway foi introduzido na versão Beta 1 do Windows Server “Longhorn.”

O TS Gateway oferece os seguintes benefícios:

• O TS Gateway possibilita a usuários remotos se conectarem à rede corporativa a partir da Internet, através de uma conexão criptografada, sem precisar configurar conexões de VPN.

• O TS Gateway oferece um modelo abrangente de configuração de segurança que permite que você controle o acesso a recursos específicos de rede (computadores).

• O TS Gateway permite aos usuários se conectarem remotamente a servidores de terminal e estações de trabalho remotas hospedados atrás de firewalls em redes privadas e através de tradutores de endereço de rede (NATs).

Antes dessa versão do Windows Server, medidas de segurança impediam que os usuários se conectassem a computadores remotos passando por firewalls e NATs. Isso porque a porta 3389, aquela usada para conexões de RDP, é tipicamente bloqueada para fins de segurança de rede. O TS Gateway transmite o tráfego de RDP para a porta 443, usando um túnel de Camada de Soquete Seguro/Segurança de Camada de Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer Security) de HTTP. Como a maioria das empresas abre a porta 443 para permitir a conectividade de Internet, o TS Gateway tira proveito desse projeto de rede para fornecer conectividade de acesso remoto através de vários firewalls.

• O snap-in console do Gerenciador de TS Gateway permite que você configure diretivas de autorização para definir condições que devem ser satisfeitas para que os usuários se conectem a recursos de rede. Por exemplo, você pode especificar o seguinte:

o Quem pode se conectar a recursos da rede (em outras palavras, os grupos de usuários que podem se conectar). Esses grupos podem ser grupos existentes

54


em Usuários e Grupos Locais no servidor do TS Gateway, grupos existentes nos Serviços de Domínio do Active Directory®, ou grupos gerenciados novos ou existentes do TS Gateway. Grupos gerenciados pelo TS Gateway são aqueles que você configura usando o Gerenciador do TS Gateway.

o Um ou mais recursos da rede aos quais os usuários podem se conectar

o Se computadores clientes têm de ser membros de domínios do Active Directory

o Se o redirecionamento de dispositivo ou disco é permitido

o Se clientes precisam usar autenticação de smart card ou de senha, ou se podem usar qualquer dos métodos

• Você pode configurar servidores de TS Gateway e clientes de Serviços de Terminal para usar a NAP para melhorar ainda mais a segurança. A NAP é uma tecnologia de criação, imposição e correção de diretiva de integridade que está incluída no Windows Vista e Windows Server “Longhorn.” Com a NAP, administradores de sistema podem impor requisitos de integridade, que podem incluir requisitos de software, de atualizações de segurança, configurações de computador exigidas, e outras configurações.

Para informações sobre como configurar o TS Gateway para usar a NAP para imposição de diretiva de integridade para clientes de Serviços de Terminal que se conectam a servidores do TS Gateway, consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).

• Você pode usar o servidor de TS Gateway com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurança. Neste cenário, você pode hospedar servidores de TS Gateway em uma rede privada em vez de em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede de borda), e hospedar o ISA Server na rede de perímetro. A conexão SSL entre o cliente de Serviços de Terminal e o ISA Server pode ser encerrada no ISA Server, que encara a Internet.

Para informações sobre como configurar o ISA Server como um dispositivo de encerramento para cenários de servidor do TS Gateway, consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).

• O console do snap-in Gerenciador de TS Gateway oferece ferramentas para ajudar você a monitorar o status, de conexão, integridade e eventos do TS Gateway. Usando o Gerenciador do TS Gateway, você pode especificar eventos

55


(como tentativas fracassadas de conexão com o servidor do TS Gateway) que quer monitorar para fins de auditoria.

Se sua organização torna aplicações baseadas em Serviços de Terminal e computadores que executam Área de trabalho Remota disponíveis a usuários de fora do perímetro de sua rede, o TS Gateway pode simplificar a administração da rede e reduzir a exposição a riscos de segurança.

O TS Gateway também pode facilitar as coisas para os usuários pois eles não precisam configurar conexões de VPN e podem acessar servidores de nextref_ts_gateway a partir de sites que podem, de outra forma, bloquear conexões de saída de RDP ou VPN.

Você deve analisar esta seção e a documentação adicional de suporte sobre o TS Gateway se estiver em qualquer dos seguintes grupos:

• Administradores de TI, planejadores e analistas que estejam avaliando acesso remoto e produtos de solução de e móvel

• Arquitetos de TI corporativa e designers para organizações

• “early adopters”

• Arquitetos de segurança responsáveis pela implementação de computação confiável

• Profissionais de TI responsáveis por servidores de terminal ou acesso remoto a estações de trabalho

Para que o TS Gateway funcione corretamente, você deve satisfazer esses pré-requisitos:

• Você deve ter um servidor com o Windows Server “Longhorn” instalado.

• Deve ser membro do grupo de Administradores no computador que quer configurar como um servidor de TS Gateway.

• Os seguintes serviços e recursos de função devem estar instalados e em execução para que o TS Gateway funcione:

o Chamada de procedimento remoto (RPC - remote procedure call) sobre serviço de Proxy HTTP

o Web Server (IIS) (Internet Information Services 7.0). (O IIS 7.0 deve estar instalado e em execução para que o serviço de RPC sobre Proxy HTTP funcione.)

o Serviço de Servidor de Diretiva de Rede (NPS - Network Policy Server). Se um servidor de NPS – anteriormente conhecido como servidor de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS - Remote Authentication Dial-In User Service) — já estiver implantado para cenários de acesso remoto como VPN e rede discada, você também pode usar o servidor de NPS existente para cenário de TS Gateway. Usando o NPS para TS Gateway, você pode centralizar o armazenamento, gerenciamento e validação das

56


diretivas de autorização de conexão de Serviços de Terminal (TS CAPs).

Quando você usa o Gerenciador de Servidor para instalar o serviço de função de TS Gateway, esses serviços e recursos de função adicionais são instalados automaticamente.

• Você deve obter um certificado de SSL para o servidor de TS Gateway se já não tiver um. Por padrão, no servidor de TS Gateway, o serviço de Balanceamento de Carga RPC/HTTP e o serviço de IIS usam TLS 1.0 para criptografar as comunicações entre clientes e servidores do TS Gateway através da Internet. Para que o TLS funcione corretamente, você deve instalar um certificado de SSL no servidor de TS Gateway.

O certificado deve satisfazer esses requisitos:

o O nome na linha Assunto (Subject) do certificado do servidor (nome do certificado, ou CN) deve corresponder ao nome configurado no servidor de TS Gateway.

o O certificado é um certificado de computador.

o O fim pretendido do certificado é autenticação de servidor. O Uso Estendido de Chave (EKU - Extended Key Usage) é Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

o O certificado tem uma chave privada correspondente.

o O certificado não expirou. Recomendamos que o certificado seja válido por um ano a partir da data de instalação.

o Um identificador de objeto de certificado (também conhecido como OID) de 2.5.29.15 não é exigido. Contudo, se o certificado que você planeja usar contiver um identificador de objeto de 2.5.29.15, você poderá usar o certificado somente se pelo menos um dos seguintes valores de uso de chave também estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, e CERT_DATA_ENCIPHERMENT_KEY_USAGE.

Para mais informações sobre esses valores, consulte Registro e Gerenciamento Avançados de Certificados (http://go.microsoft.com/fwlink/?LinkID=74577).

Para mais informações sobre requisitos de certificados para o TS Gateway e como obter e instalar um certificado se você ainda não tiver um, consulte o Guia Passo a Passo de Instalação do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).

Além disso, tenha em mente as seguintes considerações:

57


• O TS Gateway transmite todo o tráfego de RDP (que tipicamente teria sido enviado pela porta 3389) para a porta 443 usando um túnel de HTTPS. Isso também significa que todo o tráfego entre o cliente e o TS Gateway é criptografado enquanto em trânsito pela Internet.

• Você deve analisar esse tópico e a documentação adicional de suporte do TS Gateway, inclusive o Guia Passo a Passo de Instalação do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).

• Você deve se preparar para comprar um certificado SSL, ou para emitir um a partir de sua própria autoridade de certificação (CA).

• Deve se familiarizar com os protocolos TLS e SSL se ainda não os conhecer.

O TS Gateway oferece os seguintes novos recursos para simplificar a administração e melhorar a segurança.

TS CAPs

As diretivas de autorização de conexão dos Serviços e Terminal (TS CAPs) permitem que você especifique grupos de usuários, e opcionalmente, grupos de computadores, que podem acessar um servidor de TS Gateway. Você pode criar um TS CAP usando o Gerenciador de TS Gateway.

As TS CAPs simplificam a administração e aumentam a segurança oferecendo um maior nível de controle sobre o acesso a computadores remotos em sua rede corporativa.

As TS CAPs permitem que você especifique quem pode ser conectar a um servidor de TS Gateway. Você pode especificar um grupo de usuários que existe no servidor de TS Gateway local ou nos Serviços de Domínio do Active Directory. Você também pode especificar outras condições que os usuários devem satisfazer para acessar um servidor de TS Gateway. Pode listar condições específicas em cada TS CAP. Por exemplo, você pode exigir que um usuário use um smart card para se conectar através do TS Gateway.

Os usuários recebem acesso a um servidor de TS Gateway se atenderem as condições especificadas na TS CAP.

Importante

Você também deve criar uma diretiva de autorização de recurso de Serviços de Terminal (TS RAP). Uma TS RAP permite que você especifique os recursos de rede aos quais os usuários podem se conectar através do TS Gateway. Até você criar uma TS CAP e uma TS RAP, os usuários não podem se conectar a recursos de rede através desse servidor de TS Gateway.

Grupos de Computadores Associados com TS RAPs

58


Os usuários podem se conectar através do TS Gateway a recursos de rede em um grupo de computadores. O grupo de computadores pode ser qualquer um dos seguintes:

• Membros de um grupo do Windows existente: O grupo do Windows pode existir em Usuários e Grupos Locais no servidor de TS Gateway, ou pode existir nos Serviços de Domínio do Active Directory.

• Membros de um grupo de computadores gerenciado pelo TS Gateway ou um novo grupo gerenciado pelo TS Gateway que você criar: Você pode adicionar os computadores aos quais queira fornecer acesso de usuário no grupo de computadores gerenciado pelo TS Gateway usando o Gerenciador de TS Gateway.

• Qualquer recurso de rede: Neste caso, os usuários podem se conectar a qualquer computador na rede a que podem se conectar quando usam a Área de trabalho Remota.

Para garantir que os usuários apropriados tenham acesso a recursos de rede adequados, planeje e crie grupos de computadores cuidadosamente. Avalie os usuários que devem ter acesso a cada agrupo de computadores, e então associe os grupos de computadores com as TS RAPs para conceder acesso aos usuários conforme necessário.

TS RAPs

As TS RAPs permitem que você especifique os recursos de rede aos quais os usuários podem se conectar através de um servidor de TS Gateway. Quando você cria uma TS RAP, pode criar um grupo de computadores e associá-lo com a TS RAP.

Usuários conectando-se à rede através do TS Gateway recebem acesso a computadores remotos na rede corporativa se satisfizerem as condições especificadas em pelo menos uma TS CAP e uma TS RAP.

Nota

Usuários de clientes podem especificar um nome de NetBIOS ou um nome de domínio completamente qualificado (FQDN - fully qualified domain name) para o computador remoto que querem acessar através do servidor de TS Gateway. Para suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP para cada nome de computador possível.

Juntas, as TS CAPs e TS RAPs oferecem dois níveis diferentes de autorização para dar a você a capacidade de configurar um nível mais específico de controle de acesso a recursos de redes corporativas.

Capacidades de Monitoramento

Você pode usar o Gerenciador de TS Gateway para visualizar informações sobre conexões ativas de clientes de Serviços de

59


Terminal com recursos de rede através do TS Gateway. Essas informações incluem o seguinte:

• O domínio e ID de usuário do usuário que efetuou logon no cliente

• O endereço IP do cliente

Nota

Se sua configuração de rede inclui servidores Proxy, o endereço IP que aparece na coluna Client IP Address (no painel de detalhes Monitoring) pode refletir o endereço IP do servidor Proxy, e não o endereço IP do cliente de Serviços de Terminal.

• O nome do computador de destino ao qual o cliente está conectado

• A porta de destino através da qual o cliente está conectado

• A data e hora em que a conexão foi iniciada

• O tempo que a conexão está inativa, se aplicável

Você também pode especificar os tipos de eventos que quer monitorar, como tentativas bem sucedidas e fracassadas de conexão a recursos internos de rede através de um servidor de TS Gateway.

Quando esses eventos ocorrem, você pode monitorar os eventos correspondentes usando Windows Event Viewer. Os eventos do TS Gateway são armazenados em Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\.

Configurações de Diretiva de Grupo para TS Gateway

Você pode usar Diretiva de Grupo e Serviços de Domínio do Active Directory para centralizar e simplificar a administração de configurações de diretiva do TS Gateway. Você usa o Editor de Objeto de Diretiva de Grupo para configurar essas configurações, que ficam contidas dentro de objetos de Diretiva de Grupo. Você usa o Console de Gerenciamento de Diretiva de Grupo (GPMC) para ligar GPOs a sites, domínios ou unidades organizacionais (OUs) nos Serviços de Domínio do Active Directory.

As configurações de Diretiva de Grupo para conexões de cliente de Serviços de Terminal através do TS Gateway podem ser aplicadas de duas maneiras. Essas configurações de diretiva podem ser sugeridas (ou seja, podem ser ativadas, mas não impostas) ou podem ser ativadas e impostas. Sugerir uma definição de diretiva permite aos usuários no cliente inserir configurações alternativas de conexão do TS Gateway. Impor uma definição de diretiva evita que um usuário altere a definição de conexão do TS Gateway, mesmo se ele selecionar a opção Use these TS Gateway server settings (Usar essas configurações de servidor do TS Gateway) no cliente.

60


As três configurações de Diretiva de Grupo a seguir estão disponíveis para o servidor de TS Gateway:

• Definir o método de Autenticação do Servidor de TS Gateway. Isso permite que você especifique o método de autenticação que os clientes de Serviços de Terminal devem usar quando se conectarem a recursos de rede através de um servidor de TS Gateway.

• Permitir conexões através do TS Gateway. Isso permite que você especifique que, quando clientes de Serviços de Terminal não puderem se conectar diretamente a um recurso de rede, eles tentarão se conectar ao recurso de rede através do servidor de TS Gateway especificado na definição de diretiva Set the TS Gateway server address (Definir o endereço do servidor de TS Gateway).

• Definir o endereço do servidor de TS Gateway. Isso permite que você especifique o servidor de TS Gateway que os clientes de Serviços de Terminal usam quando não conseguem se conectar diretamente a um recurso da rede.

Importante

Se você desativar ou não configurar essa definição de diretiva, mas ativar a definição Enable connections through TS Gateway (Ativar conexões através do TS Gateway), as tentativas de conexão do cliente a qualquer recurso da rede falharão se o cliente não puder se conectar diretamente ao recurso da rede.

Você não precisa alterar nenhum código existente para trabalhar com o TS Gateway. O TS Gateway apenas gerencia a maneira como a conexão ao computador remoto é criada.

Nota

O TS Gateway pode rotear conexões para qualquer sessão baseada em Serviços de Terminal, inclusive aquelas em computadores baseados no Windows Server “Longhorn,” Windows Server 2003, Windows Vista e Windows XP.

Se o computador remoto estiver usando recursos novos de Serviços de Terminal, você precisará usar o software de Conexão de Área de trabalho Remota versão 6.0 (Remote Desktop Connection version 6.0), que está incluído com o Windows Server “Longhorn” e Windows Vista.

Nota

O software de Conexão de Área de trabalho Remota versão 6.0 (Remote Desktop Connection version 6.0) está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer novo recurso de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação para o RDC 6.0. Para fazer o download do pacote de instalação do RDC 6.0,

61


acesse a Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkID=79373).

62


3.04 RemoteApp de Serviços de Terminal

O RemoteApp™ de Serviços de Terminal(TS RemoteApp) permite a organizações oferecer acesso a programas padrão baseados em Windows a partir de virtualmente qualquer local a usuários de qualquer computador baseado no Windows Vista ou Windows Server “Longhorn”, ou a usuários de computadores baseados no Windows XP com Service Pack 2 (SP2), ou no Windows Server 2003 com Service Pack 1 (SP1) que tenham o novo cliente Conexão de Área de trabalho Remota (RDC – Remote Desktop Connection) instalado.

O TS RemoteApp é integrado nos Serviços de Terminal no Windows Server “Longhorn.”

Os RemoteApps são programas acessados remotamente através de Serviços de Terminal e aparecem como se estivessem sendo executados no computador local do usuário final. Os usuários podem executar RemoteApps lado a lado com seus programas locais. Um usuário pode minimizar, maximizar e redimensionar a janela do programa, e pode facilmente iniciar vários programas ao mesmo tempo. Se um usuário estiver executando mais de um RemoteApp no mesmo servidor de terminal, os RemoteApps compartilharão a sessão de Serviços de Terminal.

Para o Windows Server “Longhorn” Beta 3, os usuários podem executar RemoteApps de várias maneias. Podem fazer o seguinte:

• Dar um clique duplo em um arquivo .rdp que tenha sido criado e distribuído por seu administrador.

• Dar um clique duplo no ícone de um programa em sua área de trabalho ou no menu Iniciar que tenha sido criado e distribuído por seu administrador com um pacote do Windows Installer (.msi).

• Dar um clique duplo em um arquivo cuja extensão seja associada com um RemoteApp. (Isso pode ser configurado pelo administrador com um pacote .msi.)

• Acessar um link para o RemoteApp em um Website usando o Acesso a Web de Serviços de Terminal(TS Web Access).

Os arquivos .rdp e pacotes .msi contêm as configurações necessárias para executar os RemoteApps. Depois de abrir o RemoteApp em um computador local, o usuário pode interagir com o programa em execução no servidor de terminal como se estivesse sendo executado localmente.

O TS RemoteApp pode reduzir a complexidade e o overhead administrativo em muitas situações, incluindo essas:

• Escritórios remotos, onde pode haver suporte local de TI limitado e largura de banda de rede limitada.

• Situações em que usuários precisam acessar aplicações remotamente

63


• Implantação de aplicações de gestão de negócios (LOB), especialmente aplicações de gestão de negócios personalizadas.

• Ambientes, como espaços de trabalho “hot desk” ou “hoteling”, em que os usuários não têm computadores designados.

• Implantação de múltiplas versões de uma aplicação, particularmente se instalar várias versões localmente causar conflitos.

Você deve analisar esse tópico, e a documentação adicional de suporte do TS RemoteApp, se estiver em qualquer dos seguintes grupos:

• Planejadores e analistas de TI avaliando tecnicamente o produto

• Arquitetos corporativos

• Profissionais de TI que implantam ou administram servidores de terminal, aplicações de gestão de negócios (LOB), ou aplicações que podem ser implantadas mais eficientemente com o TS RemoteApp

Para o Windows Server “Longhorn” Beta 3 você deve usar o cliente Conexão de Área de trabalho Remota (RDC - Remote Desktop Connection) versão 6.0 ou posterior para executar RemoteApps no computador local de um usuário final. O cliente RDC 6.0 está incluído no Windows Vista e Windows Server “Longhorn” Beta 3.

Nota

O software de Conexão de Área de trabalho Remota versão 6.0 está disponível para uso no Windows XP com SP2 e Windows Server 2003 com SP1. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).

Os usuários podem executar programas a partir de um servidor de terminal e ter a mesma experiência de se os programas fossem executados no computador local do usuário final, incluindo janelas redimensionáveis e ícones de notificação na área de notificação.

O TS RemoteApp melhora a experiência do usuário, abre novas avenidas para implantação de programas, e reduz a quantidade de esforço administrativo necessário para suportar esses programas.

Em vez de ser apresentado ao usuário na área de trabalho do servidor de terminal remoto, o RemoteApp é integrado com a área de trabalho do cliente, sendo executado em sua própria janela redimensionável com seu próprio registro na barra de tarefas. Se o programa usa um ícone de área de notificação, este aparece na área de notificação do cliente. Janelas pop-up são redirecionadas para a área de trabalho local. Unidades de disco locais e

64


impressoras podem ser redirecionadas para aparecer no RemoteApp. Muitos usuários podem não ter ciência de que o RemoteApp é um programa diferente do local.

Como o TS RemoteApp é uma melhoria nas tecnologias existentes de Serviços de Terminal e usa a mesma tecnologia e protocolos, não apresenta nenhum novo problema.

Você deve avaliar seus programas para ver quais podem ser adequados para execução como um RemoteApp, e então testar os programas. Para testá-los siga os procedimentos descritos no Guia Passo a Passo do TS RemoteApp para configurar seu servidor de terminal para suportar RemoteApps e usar o snap-in Gerenciador de TS RemoteApp para tornar RemoteApps disponíveis para usuários.

Para um programa ser executado como um RemoteApp, o servidor de terminal que hospeda o programa deve estar executando o Windows Server “Longhorn.” Qualquer programa que possa ser executado em uma sessão de Serviços de Terminal ou em uma sessão de Área de trabalho Remota deve ser capaz de ser executado como um RemoteApp.

Algumas das mudanças fundamentais no sistema operacional do Windows Server “Longhorn” podem ter impacto sobre versões anteriores de programas que são executados corretamente sob versões anteriores do sistema operacional Windows. Se você tiver dificuldades em executar um programa como um RemoteApp, verifique se ele é executado corretamente no console local de um servidor que esteja executando o Windows Server “Longhorn.”

Analise outras seções deste guia para informações adicionais sobre questões de compatibilidade.

Referências Adicionais Para mais informações sobre o TS RemoteApp, consulte o Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter do Windows Server “Longhorn” TS RemoteApp e TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).

65


3.05 Acesso a Web de Serviços de Terminal

O Acesso a Web de Serviços de Terminal(TS Web Access) é um serviço de função na função de Serviços de Terminal que permite que você torne RemoteApps disponíveis a usuários a partir de um navegador da Web.

Como o TS Web Access, os usuários podem visitar um Website (a partir da Internet ou de uma intranet) para acessar uma lista de RemoteApps disponíveis. Quando iniciam um RemoteApp, uma sessão de Serviços de Terminal é iniciada no servidor de terminal baseado no Windows Server “Longhorn” que hospeda o RemoteApp.

Depois de instalar o TS Web Access em um servidor de Web baseado no Windows Server “Longhorn”, os usuários podem se conectar ao servidor de TS Web Access para acessar RemoteApps disponíveis em um ou mais servidores de terminal baseados no Windows Server “Longhorn”. O TS Web Access tem vários benefícios. Eles incluem:

• Os usuários podem acessar RemoteApps a partir de um Website via Internet ou a partir de uma intranet. Para iniciar um RemoteApp, eles simplesmente clicam no ícone do programa.

• Se um usuário inicia mais de um RemoteApp através do TS Web Access, e os programas são executados no mesmo servidor de terminal, o RemoteApps é executado dentro da mesma sessão de Serviços de Terminal.

• Usar o TS Web Access significa que há menos overhead administrativo. Você pode implantar programas facilmente a partir de um local central. Além disso, os programas são executados em um servidor de terminal e não em um computador cliente, assim são mais fáceis de manter.

• O TS Web Access oferece uma solução que trabalha com configuração mínima. A página de Web do TS Web Access inclui uma Web Part personalizável, que pode ser incorporada em uma página de Web personalizada ou em um site de Serviços do Microsoft Windows SharePoint®.

• A lista de RemoteApps disponíveis que aparece na Parte de Web do TS Web Access pode ser personalizada para o usuário individual se você implantar RemoteApps usando distribuição de software de Diretiva de Grupo.

As informações neste tópico se aplicam aos seguintes tipos de profissionais de TI:

• Profissionais de TI que já executam ou se interessam em implantar programas para usuários usando Serviços de Terminal

• Profissionais de TI que queiram mais controle sobre a experiência do usuário

• Administradores e desenvolvedores de Web

66


• Administradores de Serviços do Windows SharePoint

Antes de instalar o TS Web Access, analise as seguintes diretrizes de instalação:

• Você deve instalar o TS Web Access em um computador que esteja executando o Windows Server “Longhorn.”

• Deve instalar o TS Web Access junto com o Microsoft IIS 7.0.

• O servidor do TS Web Access não precisa ser um servidor de terminal.

• Para usar o TS Web Access, computadores clientes deve estar executando um dos seguintes sistemas operacionais:

o Microsoft Windows XP com Service Pack 2 ou posterior

o Microsoft Windows Server 2003 com Service Pack 1 ou posterior

o Windows Vista

o Windows Server “Longhorn”

Nota

O software de Conexão de Área de trabalho Remota versão 6.0 está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas, faça o download do pacote de instalação na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).

Além disso, tenha em mente que o Windows Server “Longhorn” Beta 3 pode não incluir toda a funcionalidade planejada para o TS Web Access.

Permite Implantar Facilmente RemoteApps Através da Web Com o TS Web Access, um usuário pode visitar um Website, visualizar uma lista de RemoteApps, a em seguida clicar em um ícone para iniciar um programa. Os RemoteApps são contínuos, o que significa que parecem um programa local. Os usuários podem minimizar, maximizar e redimensionar a janela do programa, e podem facilmente iniciar vários programas ao mesmo tempo. Para um administrador, o TS Web Access é fácil de configurar e implantar. Esta funcionalidade se traduz em facilidade e flexibilidade de uso e implantação. Com o TS Web Access, você pode oferecer aos usuários acesso a RemoteApps a partir de qualquer local e computador que tenha acesso a intranet ou Internet.

O TS Web Access oferece uma experiência de Web muito aprimorada em comparação com versões anteriores de Serviços de Terminal.

• Com o TS Web Access, os usuários não têm de iniciar o cliente de RDC para iniciar um RemoteApp. Em vez disso, acessam a página da Web e em seguida clicam em um ícone de programa.

67


• O RemoteApps parece estar sendo executado na área de trabalho local.

• Se o usuário iniciar vários RemoteApps e os RemoteApps estiverem todos sendo executados no mesmo servidor de terminal, os programas são executados na mesma sessão.

• Os usuários não têm de fazer o download de um controle ActiveX® separado para acessar o TS Web Access. Em vez disso, o cliente RDC versão 6.0 inclui o Controle ActiveX necessário.

Implantação Se você quer implantar o TS Web Access, pode se preparar analisando o tópico Terminal Services RemoteApp (TS RemoteApp) neste documento para informações sobre o novo recurso TS RemoteApp. Informações mais detalhadas de implantação estão disponíveis no Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter Windows Server “Longhorn” TS RemoteApp e TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609). Você também pode querer analisar as informações sobre o IIS 7.0.

Se quiser usar o TS Web Access para tornar RemoteApps disponíveis a computadores através da Internet, deve analisar o tópico Gateway de Serviços de Terminal (TS Gateway) neste documento. O TS Gateway ajuda você a proteger conexões remotas a servidores de terminal em sua rede corporativa.

A Lista de RemoteApps É Atualizada Dinamicamente Quando você implanta o TS Web Access, a lista de RemoteApps que aparece na Parte de Web do TS Web Access (TS Web Access Web Part) é atualizada dinamicamente. A lista é ocupada a partir da lista de RemoteApps de um único servidor de terminal ou a partir de RemoteApps que são implantados através de distribuição de software de Diretiva de Grupo.

Um administrador pode especificar a origem dos dados que serão usados para ocupar a lista de RemoteApps. Por padrão, a origem dos dados é um único servidor de terminal.

• Quando a origem dos dados é um único servidor de terminal, a Parte de Web é ocupada com todos os RemoteApps configurados para acesso à Web na lista de RemoteApps daquele servidor. A lista de programas exibida na Parte de Web não é específica do usuário atual.

• Quando a origem dos dados são os Serviços de Domínio do Active Directory, a Parte de Web é ocupada por pacotes .rap.msi que são publicados para um usuário através da distribuição de software de Diretiva de Grupo. Como as informações são obtidas através de Diretiva de Grupo, o TS Web Access exibe apenas os RemoteApps específicos do usuário individual. Note que, por padrão, um RemoteApp é colocado em pacote com a extensão .rap.msi quando você cria um pacote

68


.msi configurado para permitir o TS Web Access. Você cria pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador de TS RemoteApp.

A lista de programas atualizada dinamicamente e a capacidade de especificar a origem dos dados dos RemoteApps simplifica a implantação de RemoteApps através da Web. Se você tiver um único servidor de terminal, é fácil implantar programas usando a fonte de dados do servidor de terminal. Se você já estiver usando a implantação de programas baseada em Diretiva de Grupo, pode usar pacotes .msi para distribuir RemoteApps a clientes.

Versões mais antigas de Serviços de Terminal não ofereciam um mecanismo para atualizar dinamicamente um Website com uma lista de RemoteApps.

Se você quiser ocupar a lista de RemoteApps usando Diretiva de Grupo, deve ter um ambiente de Serviços de Domínio do Active Directory. Deve também se familiarizar com a distribuição de software de Diretiva de Grupo.

Inclui a Parte de Web do TS Web Access O TS Web Access oferece uma Parte de Web do TS Web Access personalizável, onde a lista de RemoteApps é exibida. Você pode implantar a Parte de Web usando qualquer dos seguintes métodos:

• Implante a Parte de Web como parte da página de Web do TS Web Access. (Esta é a solução pronta padrão.)

• Implante a Parte de Web como parte de uma página da Web personalizada.

• Adicione a Parte de Web a um site de Serviços do Windows SharePoint.

O TS Web Access oferece uma solução pronta flexível. A página de Web do TS Web Access fornecida e a Parte de Web (Web Part) permitem que você implemente o site do TS Web Access rápida e facilmente, e permite que você implante o TS Web Access usando uma página de Web ou Serviços do Windows SharePoint.

Com o TS Web Access, você não precisa adicionar manualmente uma lista de programas disponíveis em uma página da Web para proporcionar acesso centralizado à Web a RemoteApps. A Parte de Web personalizável dá a você flexibilidade no tocante a aparência do site e método de implantação.

Se você quiser personalizar a página de Web ou a Parte de Web padrão, deve planejar as alterações no design que deseja fazer. Deve também decidir se quer fornecer acesso ao TS Web Access usando a página de Web do TS Web Access fornecida, uma página de Web personalizada ou usando os Serviços do Windows SharePoint.

69


3.06 Impressão de Serviços de Terminal

A impressão de Serviços de Terminal foi aprimorada no Windows Server “Longhorn” Beta 3 pelo acréscimo do driver de impressora Terminal Services Easy Print (Impressão Fácil de Serviços de Terminal) e uma definição de Diretiva de Grupo que permite a você redirecionar somente a impressora cliente padrão.

O driver Terminal Services Easy Print é um novo recurso no Windows Server “Longhorn” Beta 3 que permite aos usuários imprimir de maneira confiável a partir de um RemoteApp ou de uma sessão de área de trabalho de servidor de terminal para a impressora correta em seu computador cliente. Ele também permite uma experiência de impressão muito mais coerente entre sessões local e remota.

A definição Redirect only the default client printer policy (Redirecionar apenas a diretiva padrão de impressora cliente) permite que você especifique se a impressora padrão do cliente é a única impressora redirecionada em sessões de Serviços de Terminal. Isso ajuda a limitar o número de impressoras que o spooler deve enumerar, melhorando a escalabilidade do servidor de terminal.

Para usar o driver Terminal Services Easy Print no Windows Server “Longhorn” Beta 3, os clientes devem estar executando o Windows Vista com SP1. Além disso, o .NET Framework 3.0 SP1 deve estar instalado. (O .NET Framework 3.0 SP1 está incluído e é instalado por padrão com o Windows Vista SP1.)

Os clientes baseados no Microsoft Windows Server 2003 com SP1 e no Microsoft Windows XP com SP2 serão suportados quando a versão Windows Vista SP1 do cliente de Conexão de Área de trabalho Remota e o .NET Framework 3.0 SP1 estiverem disponíveis para esses sistemas operacionais.

O driver Terminal Services Easy Print oferece a seguinte funcionalidade:

• Confiabilidade melhorada da impressão de Serviços de Terminal para sessões de RemoteApp e área de trabalho remota.

• Suporte para drivers de legado e novos sem a necessidade de instalar esses drivers no servidor de terminal.

• Melhorias de escalabilidade sobre o Windows Server 2003 em termos de desempenho de enumeração de impressora, Durante o processo de Winlogon, o spooler enumera apenas impressoras disponíveis para um usuário em uma determinada sessão em vez de enumerar todas as impressoras redirecionadas. Portanto, as impressoras são enumeradas em uma base por sessão, em vez de por usuário.

70


• Recursos de impressora disponível melhorados. O driver Terminal Services Easy Print proporciona recursos de impressora ricos e completos em sessões remotas. Todos os recursos do driver de impressora física estão disponíveis para uso quando um usuário visualiza as preferências de impressão.

A definição de Diretiva de Grupo Redirect only the default client printer (Redirecionar apenas a impressora cliente padrão) permite que você controle se a impressora cliente padrão é a única impressora redirecionada em uma sessão de Serviços de Terminal, ou se todas as impressoras são redirecionadas em uma sessão.

O driver de impressora de emergência do servidor de terminal não está mais incluído no Windows Server “Longhorn” Beta 3. Embora a definição de Diretiva de Grupo Specify terminal server fallback printer driver behavior (Especificar comportamento do driver de impressora de emergência do servidor de terminal) ainda exista, só pode ser usada para computadores baseados no Windows Server 2003 com SP1.

Por padrão, o driver Terminal Services Easy Print é ativado no Windows Server “Longhorn” Beta 3. Para usar o driver Terminal Services Easy Print, os computadores clientes devem satisfazer os requisitos descritos na Seção Há Alguma Consideração Especial Sobre Esses Recursos?.

Se houver computadores clientes que não suportem o driver Terminal Services Easy Print driver, e o driver da impressora ainda não estiver disponível no servidor de terminal, você deve fazer qualquer dos seguintes para dar suporte à impressão do cliente:

• Garantir que os drivers de impressora do cliente para impressoras local e de rede estejam instalados no servidor de terminal. Se você estiver instalando um driver de terceiros, certifique-se de que ele tenha a assinatura dos Laboratórios de Qualidade de Hardware Windows (WHQL - Windows Hardware Quality Labs).

• Adicionar os drivers de impressora do cliente para impressoras local e de rede em um arquivo de mapeamento de impressoras personalizado no servidor de terminal. Para mais informações sobre como criar um arquivo de mapeamento de impressoras personalizado, consulte a seção Resolução do artigo 239088 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82784).

Configurações de Diretiva de Grupo As seguintes configurações de Diretiva de Grupo foram adicionadas para a impressão de Serviços de Terminal:

• Use Terminal Services Easy Print driver first (Usar primeiro o driver Terminal Services Easy Print). Esta

71


definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo:

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection

Os valores possíveis são os seguintes:

o Enabled or not configured (Ativada ou não configurada). Se esta definição de diretiva estiver ativada ou não configurada, o servidor de terminal tentará primeiro usar o driver Terminal Services Easy Print para instalar todas as impressoras de clientes. Se, por alguma razão, o driver Terminal Services Easy Print não puder ser usado, um driver de impressora que corresponda à impressora do cliente será usado. Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente, a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal. Por padrão, essa definição de diretiva não é configurada.

o Disabled (Desativada). Se você desativar essa definição de diretiva, o servidor de terminal tentará encontrar um driver de impressora adequado para instalar a impressora do cliente. Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente, o servidor de terminal tentará usar o driver Terminal Services Easy Print para instalar a impressora do cliente. Se, por alguma razão, o driver Terminal Services Easy Print não puder ser usado, a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal.

• Redirect only the default client printer (Redirecionar apenas a impressora padrão do cliente). Essa definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo:

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection

Os valores possíveis são:

o Enabled (Ativada). Se você ativar essa definição de diretiva, somente a impressora padrão do cliente é redirecionada em sessões de Serviços de Terminal.

o Disabled or not configured (Desativada ou não configurada). Se você desativar ou não configurar essa definição de diretiva, todas as impressoras de clientes são redirecionadas em sessões de Serviços de

72


Terminal. Por padrão, essa definição de diretiva não é configurada.

73


3.07 Session Broker de Serviços de Terminal

O Session Broker de Serviços de Terminal (TS Session Broker) é um serviço de função no Windows Server “Longhorn” Beta 3 que permite que um usuário se reconecte a uma sessão existente em uma farm de servidor de terminal de carga balanceada. O TS Session Broker armazena informações de estado da sessão que incluem IDs de sessão e seus nomes de usuários associados, e o nome do servidor onde cada sessão reside.

O Windows Server “Longhorn” Beta 3 introduz um novo recurso do TS Session Broker — o balanceamento de carga do TS Session Broker. Esse recurso permite que você distribua a carga da sessão entre servidores em um farm de servidores de terminal de carga balanceada. Essa solução é mais fácil de implantar que o Balanceamento de Carga de Rede Windows (NLB - Windows Network Load Balancing), e é recomendada para farms de servidores de terminal que consistam em dois a cinco servidores.

Nota

No Windows Server “Longhorn” Beta 3, o nome do recurso Diretório de Sessão de Serviços de Terminal (TS Session Directory) foi alterado para Session Broker de Serviços de Terminal (TS Session Broker).

Para participar do balanceamento de carga do TS Session Broker, o servidor do TS Session Broker e os servidores de terminal na farm devem estar executando o Windows Server “Longhorn” Beta 3. Servidores de terminal baseados no Microsoft Windows Server 2003 usam o recurso de balanceamento de carga do TS Session Broker.

Em vez de ter de usar o NLB para balancear a carga das sessões de usuários, com o recurso de balanceamento de carga do TS Session Broker você tem apenas de configurar entradas no Sistema de Nome de Domínio (DNS - Domain Name System). Para configurar o DNS, você deve registrar o endereço IP de cada servidor de terminal na farm em uma única entrada de DNS para a farm. Todos os clientes de entrada nos Serviços de Terminal tentarão se conectar ao primeiro endereço IP para o registro de DNS. Se isso falhar, o cliente tentará automaticamente se conectar ao endereço IP seguinte. Isso proporciona certo grau de tolerância a falhas, no caso de um dos servidores de terminal estar indisponível. Embora todos os clientes inicialmente se conectem ao endereço IP do primeiro servidor de terminal, são rapidamente redirecionados para o servidor na farm com a menor carga. Se um servidor de terminal na farm estiver indisponível ou sobrecarregado, a sessão é redirecionada para um terminal que possa aceitar a conexão.

O recurso de balanceamento de carga do TS Session Broker também permite que você atribua um valor de peso para cada servidor. Atribuindo um valor de peso a um servidor, você pode ajudar a distribuir a carga entre servidores mais e menos poderosos em uma farm.

74


Nota

Para configurar um servidor para participar do balanceamento de carga do TS Session Broker, e para atribuir um valor de peso a um servidor, você pode usar a ferramenta Configuração de Serviços de Terminal.

Além disso, é fornecido um novo mecanismo que possibilita que você permita ou recuse novas conexões de usuário ao servidor de terminal. Esse mecanismo fornece a capacidade de se colocar um servidor offline para manutenção sem interromper a experiência do usuário. Se novas conexões forem recusadas em um servidor de terminal na farm, o TS Session Broker redirecionará as sessões de usuários para servidores de terminal configurados para permitir novas conexões.

Nota

A configuração que você pode usar para permitir ou recusar novas conexões de usuários está localizada na guia Geral da conexão RDP-Tcp na ferramenta Configuração de Serviços de Terminal.

Se você quiser usar o recurso de balanceamento de carga do TS Session Broker, tanto o servidor do TS Session Broker como os servidores de terminal na mesma farm devem estar executando o Windows Server “Longhorn” Beta 3.

você deve registrar o endereço IP de todos os servidores de terminal em uma única entrada do DNS para a farm. Se preferir, pode usar rodízio de DNS ou um balanceador de carga de hardware para espalhar a carga de conexão e autenticação inicial entre múltiplos servidores de terminal na farm.

Configurações de Diretiva de Grupo A seguinte definição de Diretiva de Grupo foi acrescentada para o TS Session Broker:

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\TS Session Broker Load Balancing

Os valores possíveis são:

• Enabled (Ativada). Se você ativar essa definição de diretiva, o TS Session Broker redirecionará os usuários que não tenham uma sessão existente para o servidor de terminal na farm com o menor número de sessões. O comportamento de redirecionamento para usuários com sessões existentes não será afetado. Se o servidor estiver configurado para usar o TS Session Broker, os usuários com uma sessão existente serão redirecionados para o servidor de terminal em que sua sessão existir.

• Disabled (Desativada). Se você desativar essa definição de diretiva, os usuários que não tiverem uma sessão existente efetuarão o logon no servidor de terminal a que se conectarem primeiro.

75


• Not configured (Não configurada). Se você não configurar essa definição de diretiva, o balanceamento de carga do TS Session Broker não é especificado no nível de Diretiva de Grupo. Neste caso, você pode configurar o servidor de terminal para participar do balanceamento de carga do TS Session Broker usando a ferramenta Configuração de Serviços de Terminal ou o provedor de WMI de Serviços de Terminal. Por padrão essa definição de diretiva não é configurada.

76


3.08 Licenciamento de Serviços de Terminal

O Windows Server “Longhorn” oferece um sistema de gerenciamento de licenças conhecido como Licenciamento de Serviços de Terminal (TS Licensing). Este sistema permite a servidores de terminal obter e gerenciar licenças de acesso de clientes de Serviços de Terminal (TS CALs) para dispositivos e usuários que se conectem a um servidor de terminal. O TS Licensing gerencia clientes não-licenciados, temporariamente licenciados, e licenciados para acesso de cliente, e suporta servidores de terminal que executem o Windows Server “Longhorn” assim como o sistema operacional Microsoft Windows Server 2003. O TS Licensing simplifica enormemente a tarefa de gerenciamento de licenças para o administrador de sistemas, ao mesmo tempo em que minimiza a deficiência ou excesso de licenças compradas por uma organização.

Nota

O TS Licensing é usado apenas com Serviços de Terminal e não com Área de trabalho Remota.

Um servidor de terminal é um computador no qual o serviço de função de Servidor de Terminal é instalado. Ele fornece aos clientes acesso a aplicações baseadas em Windows sendo executadas inteiramente no servidor e suporta múltiplas sessões de clientes no servidor. Conforme os clientes se conectam ao servidor de terminal, este determina se o cliente precisa de um token de licença, solicita um ao servidor de licenças, e em seguida o entrega ao cliente.

Um servidor de licenças de Serviços de Terminal é um computador em que o serviço de função de TS Licencing está instalado. Um servidor de licenças armazena todos os tokens de TS CAL que tenham sido instaladas para um grupo de servidores de terminal e acompanha os tokens de licença que foram emitidos. Um servidor de licenças pode atender vários servidores de terminal simultaneamente. Para emitir tokens de licença permanentes a dispositivos clientes, um servidor de terminal deve ser capaz de se conectar a um servidor de licenças ativado. Um servidor de licenças que tenha sido instalado, mas não ativado, emitirá apenas tokens de licença temporários.

O TS Licensing é uma entidade separada do servidor de terminal. Na maioria das grandes implantações, o servidor de licenças é implantado em um servidor separado, embora possa ser um co-residente no servidor de terminal em algumas implantações menores.

O TS Licensing é um serviço de baixo impacto. Requer muito pouca CPU ou memória para operações regulares, e seus requisitos de disco rígido são pequenos, mesmo para um número significativo de clientes. Atividades ociosas são insignificantes. O uso de memória é de menos de 10 MB. O banco de dados de licenças cresce em incrementos de 5 MB para cada 6.000 tokens de licença emitidos. O servidor de licenças é ativo apenas quando um

77


servidor de terminal solicita um token de licença, e seu impacto sobre o desempenho do servidor é muito baixo, mesmo em cenários de cargas altas.

O TS Licensing inclui os seguintes recursos e benefícios:

• Administração centralizada para TS CALs e os tokens correspondentes

• Acompanhamento e relatórios de licenças para o modo de licenciamento Por Usuário

• Suporte simples para vários canais de comunicação e programas de compra

• Impacto mínimo sobre rede e servidores

O gerenciamento efetivo de TS CALS usando o TS Licensing será do interesse de organizações que atualmente usam ou estão interessadas em usar os Serviços de Terminal. Os Serviços de Terminal oferecem tecnologias que permitem acesso, a partir de quase qualquer dispositivo de computação, a um servidor que execute programas baseados em Windows ou à área de trabalho Windows plena. Os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor.

O TS Licensing para Windows Server “Longhorn” agora inclui a capacidade de acompanhar a emissão de TS CALs Por Usuário usando o Gerenciador de TS Licensing.

Se o servidor de terminal estiver no modo de licenciamento Por Usuário, o usuário conectando-se a ele deve ter uma TS CAL Por Usuário. Se o usuário não tiver a TS CAL Por Usuário necessária, o servidor de terminal entrará em contato com o servidor de licenças para obter a CAL para o usuário.

Depois que o servidor de licenças emitir uma TS CAL Por Usuário para o usuário, o administrador pode rastrear a emissão da CAL usando o Gerenciador de TS Licensing.

Para usar o TS Licensing para gerenciar TS CALs, você precisará do seguinte em um servidor executando o Windows Server “Longhorn”:

Para configurar o TS Licensing para gerenciar TS CALs, faça o seguinte:

1. Instale o serviço de função de TS Licensing.

2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal.

3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal.

4. Instale as licenças de acesso de cliente necessárias no servidor de licenças.

78


Para mais informações sobre a instalação e configuração do TS Licensing no Windows Server “Longhorn,” consulte o Licenciamento de Servidor de Terminal do Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=79607).

Para tirar vantagem do TS Licensing, você deve atender os seguintes pré-requisitos:

• Instalar o serviço de função de TS Licensing em um servidor executando o Windows Server “Longhorn.”

• O rastreio e apresentação de relatórios de TS CALs Por Usuário é suportado apenas em cenários unidos por domínio (o servidor de terminal e o servidor de licenças são membros de um domínio) e não é suportado no modo de grupo de trabalho. Os Serviços de Domínio do Active Directory são usados para o acompanhamento de licenças no modo Por Usuário. Os Serviços de Domínio do Active Directory podem ser baseados no Windows Server “Longhorn” ou no Windows Server 2003.

Nota

Não são necessárias atualizações para o esquema dos Serviços de Domínio do Active Directory para implementar o rastreio e apresentação de relatórios de TS CALs Por Usuário.

• Um servidor de terminal executando o Windows Server “Longhorn” não se comunica com um servidor de licenças executando o Windows Server 2003. Contudo. É possível um servidor de terminal executando o Windows Server 2003 se comunicar com um servidor de licenças executando o Windows Server “Longhorn.”

79


3.09 Gerenciador de Recursos de Sistema do Windows

O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows Server “Longhorn” permite que você controle como os recursos de CPU e memória são alocados para aplicações, serviços e processos no computador. Gerenciar recursos dessa maneira melhora o desempenho do sistema e reduz a chance de que aplicações, serviços ou processos tirem recursos de CPU ou memória uns dos outros e reduzam o desempenho do computador. Gerenciar recursos também cria uma experiência mais coerente e previsível para usuários de aplicações e serviços sendo executados no computador.

Você pode usar o WSRM para gerenciar múltiplas aplicações em um único computador ou usuários em um computador no qual os Serviços de Terminal estejam instalados.

Para mais informações sobre o WSRM, consulte a seguinte documentação:

• Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)

• Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)

A capacidade de usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn” será interessante para organizações que atualmente usem ou estejam interessadas em usar Serviços de Terminal. Os Serviços de Terminal fornecem tecnologias que possibilitam o acesso, a partir de qualquer dispositivo de computação, a um servidor executando programas baseados em Windows ou a uma área de trabalho Windows plena. Usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor.

O WSRM para Windows Server “Longhorn” agora inclui uma diretiva de alocação de recursos Igual_Por_Sessão (Equal_Per_Session).

Para usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn”, você vai precisar fazer o seguinte:

Para configurar o WSRM para gerenciar aplicações ou usuários, faça o seguinte:

1. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal.

2. Instale o WSRM.

3. Configure o WSRM para Serviços de Terminal

Instalando o Servidor de Terminal

80


Instale o serviço de função de Servidor de Terminal em seu computador antes de instalar e configurar o WSRM.

O serviço de função de Servidor de Terminal, conhecido como componente de Servidor de Terminal no Microsoft Windows Server 2003, permite a um servidor baseado no Windows Server “Longhorn” hospedar programas baseados no Windows ou a área de trabalho Windows plena. A partir de seus dispositivos de computação, os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor.

No Windows Server “Longhorn,” você deve fazer o seguinte para instalar o serviço de função de Servidor de Terminal, e para configurar o servidor de terminal para hospedar programas:

Para instalar o serviço de função de Servidor de Terminal e configurá-lo para hospedar programas, faça o seguinte:

1. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal.

2. Instale programas no servidor.

3. Configure configurações de conexão remota. Isso inclui adicionar usuários e grupos que precisam conectar-se ao servidor de terminal.

Para mais informações sobre instalar o serviço de função de Servidor de Terminal, consulte o TechCenter de Servidor de Terminal do Windows Server “Longhorn” (http://go.microsoft.com/fwlink/?LinkId=79608).

Instalando o WSRM

Para instalar o serviço de função de Servidor de Terminal e configurá-lo para hospedar programas, faça o seguinte:

1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager.

2. Em Features Summary, clique em Add features.

3. Na página Select Features, assinale a caixa de seleção Windows System Resource Manager (WSRM).

4. Uma caixa de diálogo aparecerá informando que o serviço de função SQL Server™ 2005 Embedded Edition (Windows) também precisa ser instalada para que o WSRM funcione corretamente. Clique em Add Required Role Services, e em seguida clique em Next.

5. Na página Confirm Installation Options, certifique-se de que o SQL Server 2005 Embedded Edition (Windows) e o

81


Gerenciador de Recursos do Windows Server (WSRM) serão instalados e em seguida clique em Install.

6. Na página Installation Results, confirme que a instalação do SQL Server 2005 Embedded Edition (Windows) e do e o Gerenciador de Recursos do Windows Server (WSRM) foi bem sucedida, e clique em Close.

Depois de instalar o WSRM, você precisa iniciar o serviço do Gerenciador de Recursos de Sistema do Windows.

Para iniciar o serviço do Gerenciador de Recursos de Sistema do Windows, faça o seguinte:

1. Abra o snap-in Serviços. Para abrir o snap-in Serviços, clique em Start, aponte para Administrative Tools, e clique em Services.

2. Na caixa de diálogo Services, na coluna Name, clique com o botão direito do mouse em Windows System Resource Manager, e em seguida clique em Start.

Configurando o WSRM para Serviços de Terminal Para configurar o WSRM, você usa o snap-in Gerenciador de Recursos de Sistema do Windows.

Para abrir o snap-in Gerenciador de Recursos de Sistema do Windows, faça o seguinte:

1. clique em Start, aponte para Administrative Tools, e clique em Windows System Resource Manager.

2. Na caixa de diálogo Connect to computer, clique em This computer, e em seguida clique em Connect para fazer o Gerenciador de Recursos de Sistema do Windows administrar o computador que você está usando.

Diretivas de Alocação de Recursos O WSRM usa diretivas de alocação de recursos para determinar como recursos de computador, como CPU e memória, são alocados a processos sendo executados no computador. Há duas diretivas de alocação de recursos especificamente projetadas para computadores executando Serviços de Terminal:

• Igual_Por_Usuário (Equal_Per_User)

• Igual_Por_Sessão (Equal_Per_Session)

Nota

A diretiva de alocação Igual_Por_Sessão é nova no Windows Server “Longhorn.”

82


Se você implementar a diretiva de alocação Igual_Por_Sessão, cada sessão de usuário (e seus processos associados) recebe uma parcela igual de recursos da CPU do computador.

Para implementar a diretiva de alocação Igual_Por_Sessão, faça o seguinte:

1. Abra o snap-in Windows System Resource Manager.

2. Na árvore do console, expanda o nó Resource Allocation Policies.

3. Clique com o botão direito do mouse em Clique com o botão direito do mouse em Equal_Per_Session, e em seguida clique em Set as Managing Policy.

4. Se uma caixa de diálogo aparecer informando que o calendário será desativado, clique em OK.

Para informações sobre a diretiva de alocação de recursos Igual_Por_Usuário e configurações e configurações adicionais do WSRM (como criar um critério correspondente ao processo através da utilização de correspondência de usuário ou grupo), consulte a seguinte documentação:

• Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)

• Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)

Desempenho de Monitoramento Você deve coletar dados sobre o desempenho de seu servidor de terminal antes e depois de implementar a diretiva de alocação de recursos Igual_Por_Sessão (ou de fazer qualquer outra alteração de configuração relacionada ao WSRM). Você pode usar o Monitor de Recursos do snap-in Gerenciador de Recursos de Sistema do Windows para coletar e visualizar dados sobre o uso de recursos de hardware e a atividade de serviços de sistema no computador.

83


Seção 4: Escritórios Remotos


84


4.01 Introdução ao Suporte a Escritórios Remotos/Filiais

Este cenário se concentra no aperfeiçoamento da comunicação, segurança e gerenciamento, os quais estarão disponíveis para as filiais onde o Windows Server® “Longhorn” for instalado.


As principais proposições de valor disponíveis para as filiais são as seguintes:

• Melhorar a eficiência da instalação e administração do servidor da filial.

• Diminuir os riscos de segurança física nas filiais.

• Melhorar a eficiência das comunicações WAN da filial.


Os requisitos adicionais de hardware são os seguintes:

• Trusted Platform Module 1.2 (somente para Criptografia de Disco BitLocker™)

85


4.02 Controlador de Domínio Somente Leitura

Um controlador de domínio somente leitura (RODC) é um novo tipo de controlador de domínio no sistema operacional do Windows Server “Longhorn”. Com o RODC, as empresas podem facilmente implantar um controlador de domínio nos locais onde não é possível garantir a segurança física. Um RODC hospeda partições somente leitura da base de dados dos Serviços de Domínio do Active Directory®.

Antes do lançamento do Windows Server “Longhorn”, os usuários não possuíam alternativas caso quisessem realizar a autenticação com um controlador de domínio em uma Rede Remota (WAN). Em muitos casos, esta não era uma solução eficaz. As filiais raramente oferecem a segurança física necessária a um controlador de domínio gravável. Além disso, as filiais geralmente contam com pouca largura de banda de rede quando são conectadas a um site hub, o que pode vir a aumentar o tempo necessário para o logon e inclusive atrasar o acesso aos recursos de rede.

Através da utilização do Windows Server “Longhorn”, uma empresa pode implantar um RODC para resolver estes problemas. Como resultado, os usuários podem receber os seguintes benefícios:

• Maior segurança

• Logon mais rápido

• Acesso mais eficiente aos recursos de rede

A falta de segurança física é a razão mais comum para se considerar a implantação de um RODC. Com o RODC, é possível implantar um controlador de domínio de forma mais segura, em locais que exigem serviços de autenticação rápidos e confiáveis, mas que no entanto não podem assegurar segurança física para um controlador de domínio gravável.

Entretanto, sua empresa também pode optar pela implantação de um RODC para requisitos administrativos especiais. Por exemplo: uma aplicação LOB pode ser executada com sucesso somente se for instalada em um controlador de domínio; ou ainda, o controlador de domínio poderá ser o único servidor da filial, e então poderá ter que hospedar as aplicações do servidor.

Nestes casos, o proprietário da aplicação LOB precisa se registrar seguidamente no controlador de domínio de forma interativa ou utilizar os Serviços de Terminal para configurar e gerenciar a aplicação. Esta situação cria um risco de segurança que pode se tornar inaceitável em um controlador de domínio gravável.

Neste cenário, o RODC fornece um mecanismo mais seguro para a implantação de um controlador de domínio. Você pode oferecer ao usuário não administrativo do domínio o direito de acessar o

86


RODC, ao mesmo tempo em que reduz o risco de segurança para a floresta do Active Directory.

Você também pode implantar um RODC em outros cenários onde o armazenamento local de todas as senhas de usuário do domínio não garanta segurança, como em uma extranet ou uma função de aplicação.

O RODC foi desenvolvido especialmente para ser implantado em ambientes remotos e em filiais. As filiais geralmente apresentam as seguintes características:

• Número reduzido de usuários

• Pouca Segurança física

• Pouca largura de banda para um site hub

• Baixo conhecimento de TI

Você deveria revisar este capítulo, bem como a documentação de suporte complementar sobre o RODC, caso você pertença a algum dos seguintes grupos:

• Planejadores de TI e analistas que estejam avaliando tecnicamente o produto

• Planejadores de TI corporativos e designers corporativos

• Profissionais responsáveis pela segurança de TI

• Administradores dos Serviços de Domínio do Active Directory®

que lidam com escritórios pequenos de filiais

Para oferecer suporte à Diretiva de Replicação de Senhas do RODC, os Serviços de Domínio do Active Directory® do Windows Server “Longhorn” incorporam novos atributos. A Diretiva de Replicação de Senhas é o mecanismo que determina se as credenciais de um usuário ou de um computador possuem a permissão para operar a replicação de um controlador de domínio somente leitura para um RODC. A Diretiva de Replicação de Senhas é sempre configurada em um controlador de domínio gravável que execute o Windows Server “Longhorn.”

Os atributos dos Serviços de Domínio do Active Directory®

adicionados ao plano do Windows Server “Longhorn” Active Directory para oferecer suporte aos RODCs incluem o seguinte:

• msDS-Reveal-OnDemandGroup

• msDS-NeverRevealGroup

• msDS-RevealedUsers

• msDS-AuthenticatedToAccountList

Para mais informações sobre estes atributos, veja o Guia Passo a Passo para Planejamento, Implantação e Utilização do Controlador de Domínio Somente Leitura do Windows Server “Longhorn”: (http://go.microsoft.com/fwlink/?LinkId=49779).

87


Para implantar um RODC, o controlador de domínio que possui o papel mestre de emulador do controlador de domínio principal (PDC), também conhecido como FSMO (Flexible Single Master Operations) para o domínio, precisa executar o Windows Server “Longhorn”. Além disso, o nível funcional para o domínio e a floresta deve ser o Microsoft® Windows Server 2003 ou superior.

O RODC aborda alguns dos problemas normalmente encontrados nas filiais. Estes locais nem sempre possuem um controlador de domínio. Ou talvez eles possuam um controlador de domínio gravável, porém sem a segurança física, a largura de banda ou técnicos locais especializados para lhes oferecer suporte. A funcionalidade do RODC a seguir mitiga estes problemas:

• Banco de dados somente leitura dos Serviços de Domínio do Active Directory®.

• Replicação unidirecional

• Caching de credenciais

• Separação do papel de administrador

• DNS Somente Leitura

Base de Dados Somente Leitura dos Serviços de Domínio do Active Directory . Com exceção das senhas de contas, um RODC contém todos os objetos e atributos do Active Directory encontrados em um controlador de domínio gravável. Entretanto, não é possível efetuar mudanças na base de dados armazenada no RODC. As mudanças devem ser feitas em um controlador de domínio gravável e então replicadas para o RODC. Esta medida previne contra alguma mudança que possa ser realizada nas filiais, levando a poluir ou corromper a floresta inteira.

Aplicações locais que exigem acesso de Leitura para o diretório, podem obter este acesso. As aplicações do protocolo LDAP (Lightweight Directory Application Protocol)que exigem o acesso de Gravação recebem uma resposta de indicação LDAP. Esta resposta irá direcioná-las para um controlador de domínio gravável, normalmente em um site hub.

Replicação Unidirecional Nenhuma mudança é gravada diretamente no RODC, pois nenhuma mudança se origina no RODC. Como resultado, os controladores de domínio gravável, que são parceiros na replicação, não precisam extrair mudanças do RODC. Isto reduz a carga de trabalho dos servidores bridgehead no hub e o esforço necessário para monitorar a replicação.

A replicação unidirecional do RODC se aplica tanto aos Serviços de Domínio do Active Directory® como à Replicação do Sistema de Arquivos Distribuído (DFS). O RODC desempenha a replicação normal

88


de chegada para os Serviços de Domínio do Active Directory® e mudanças na Replicação DFS.

Caching de Credenciais Caching de credenciais é o armazenamento de credenciais do usuário ou do computador. As credenciais consistem em um pequeno conjunto de aproximadamente 10 senhas que estão associadas aos diretores de segurança. Por padrão, um RODC não armazena as credenciais do usuário ou do computador. As exceções são a conta de computador do RODC e uma conta krbtgt especial existente em cada RODC. É necessário conceder permissão explícita a qualquer outro caching de credencial explicitamente em um RODC.

O RODC é anunciado como o Principal Centro de Distribuição (KDC – Key Distribution Center) para a filial. O RODC utiliza uma conta krbtgt e senha diferente do KDC em um controlador de domínio gravável, quando este assina ou criptografa pedidos TGT (ticket-granting ticket).

Após uma conta ser devidamente autenticada, o RODC tenta contatar um controlador de domínio gravável no site hub e pede uma cópia das credenciais apropriadas. O controlador de domínio gravável reconhece que o pedido se origina de um RODC e consulta a Diretiva de Replicação de Senhas em vigor para aquele RODC.

A Diretiva de Replicação de Senhas determina se podem ser replicadas as credenciais de um usuário ou de um computador do controlador de domínio gravável para o RODC. Se a Diretiva de Replicação de Senhas permitir, o controlador de domínio gravável replica as credenciais para o RODC, que faz o caching.

Depois de fazer o caching das credenciais, o RODC pode atender diretamente os pedidos de registro do usuário até o momento de troca de credenciais. (Quando um TGT é assinado com a conta krbtgt do RODC, este reconhece que existe uma cópia cache das credenciais. Caso outro controlador de domínio assine o TGT, o RODC envia os pedidos ao controlador de domínio gravável.)

Ao limitar o caching de credenciais somente aos usuários certificados com o RODC, a exposição potencial de credenciais do RODC também é limitada. De maneira geral, apenas um pequeno grupo de usuários do domínio possui o caching das credenciais em qualquer RODC. Portanto, no caso de o RODC ser roubado, somente as credenciais cacheadas podem potencialmente ser quebradas.

O ato de deixar o caching de credenciais desabilitado pode mais adiante limitar a exposição, mas faz com que todos os pedidos de autenticação sejam encaminhados para um controlador de domínio gravável. Um administrador pode modificar a Diretiva de Replicação de Senhas para permitir o caching de credenciais dos usuários no RODC.

Separação do Papel de Administrador

89


Você pode delegar o papel de administrador local de RODC a qualquer usuário do domínio, sem a necessidade de lhe oferecer quaisquer direitos relativos ao domínio ou outros controladores de domínio. Assim, é possível um usuário da filial efetuar o logon em um RODC e realizar o trabalho de manutenção no servidor, como, por exemplo, a atualização de uma unidade. Entretanto, o usuário da filial não pode efetuar o logon em nenhum outro controlador de domínio ou realizar qualquer outra tarefa administrativa no domínio. Desta forma, pode-se delegar ao usuário da filial a capacidade de gerenciar o RODC no escritório da filial, sem comprometer a segurança do restante do domínio.

DNS Somente Leitura Você pode instalar o serviço de Servidor DNS em um RODC. O RODC possui a capacidade de replicar todas as partições do diretório de aplicações utilizados pelo DNS, inclusive ForestDNSZones e DomainDNSZones. Se o Servidor DNS estiver instalado em um RODC, os clientes podem examiná-lo para a resolução de nomes da mesma forma que fazem com outros servidores DNS.

Porém, o Servidor DNS em um RODC não suporta atualizações de clientes diretamente. Por conseqüência, o RODC não registra as gravações de recursos de name server (NS) para nenhuma zona integrada ao Active Directory que ele hospeda. Quando um cliente faz a tentativa de atualizar suas gravações frente a um RODC, o servidor retorna uma orientação. O cliente então pode tentar fazer a atualização frente a um servidor DNS, o qual é fornecido na mensagem de orientação. No fundo, o servidor DNS no RODC tenta replicar o relatório atualizado pelo servidor DNS. Este pedido de replicação se refere a um único objeto (a gravação DNS). A lista completa da zona modificada ou dos dados de domínio não é replicada durante este pedido especial para a replicação de objeto único.

Implantação Os pré-requisitos para a implantação de um RODC são os seguintes:

• O controlador de domínio que contém a função de mestre de operações do emulador PDC (controlador de domínio primário) precisa executar o Windows Server “Longhorn”. Isto é necessário para a criação da nova conta krbtgt para o RODC e suas operações.

• O RODC precisa encaminhar pedidos de autenticação para um controlador de domínio gravável que tenha instalado o Windows Server “Longhorn.” A Diretiva de Replicação de Senhas é instalada neste controlador de domínio para determinar que as credenciais sejam replicadas para a filial, em um pedido encaminhado pelo RODC.

• O nível funcional do domínio deve ser Windows Server 2003 ou superior, em que esteja disponível uma delegação limitada por kerberos. Uma delegação limitada é utilizada

90


para chamadas de segurança, que devem personificar o contexto do visitante.

• O nível funcional da floresta deve ser Windows Server 2003 ou superior, para que esteja disponível a replicação de valor relacionado. Isto permite um nível mais alto de consistência de replicação.

• É preciso executar adprep /rodcprep uma vez na floresta, a fim de atualizar as permissões em todas as partições do diretório de aplicações DNS da floresta. Desta forma, todos os RODCs que também são servidores DNS podem replicar com sucesso as permissões.

91


4.03 Criptografia de Unidade de Disco BitLocker

O Criptografia de Unidade de Disco BitLocker do Windows® é um recurso de segurança nos sistemas operacionais Windows Vista™ Enterprise e Ultimate, e Windows Server “Longhorn”. Este recurso fornece proteção ao sistema operacional de seu computador e aos dados armazenados no volume do sistema operacional. No Windows Server “Longhorn”, a proteção do BitLocker também pode ser estendida aos volumes utilizados para o armazenamento de dados.

O BitLocker exerce duas funções:

• O BitLocker criptografa todos os dados armazenados no volume do sistema (e volumes de dados configurados). Isto inclui o sistema operacional Windows, arquivos de página e hibernação, aplicações e dados utilizados pelas aplicações.

• O BitLocker é configurado por padrão para utilizar um TPM (Trusted Platform Module), a fim de garantir a integridade dos primeiros componentes de inicialização(componentes empregados nos primeiros estágios do processo de inicialização). Como ele “trava” quaisquer volumes protegidos pelo BitLocker, estes permanecem criptografados mesmo quando o sistema operacional não estiver sendo executado e o computador for mexido.

O BitLocker é um componente opcional que precisa ser instalado antes de ser usado em um sistema baseado no Windows Server “Longhorn”. Para instalar o BitLocker, é preciso selecioná-lo no Gerenciador de Servidor ou digitar no prompt de comando o seguinte:

start /w pkgmgr /iu:BitLocker /norestart

O BitLocker pode interessar aos seguintes grupos:

• Administradores, profissionais de segurança de TI e oficiais responsáveis por garantir que dados confidenciais não sejam revelados sem autorização

• Administradores responsáveis pela segurança dos computadores em escritórios remotos ou filiais

• Administradores responsáveis por servidores ou computadores clientes Windows Vista que sejam móveis

Para fazer uso de sua total funcionalidade, O BitLocker requer um sistema com microchip TPM compatível e BIOS. Um TPM compatível se define como versão 1.2 TPM. Um BIOS compatível deve suportar o TPM e o Static Root of Trust Measurement, conforme definido pelo Trusted Computing Group. Para mais informações sobre as especificações do TPM, visite a seção TPM Specifications no site do Trusted Computing Group:

92


(http://go.microsoft.com/fwlink/?LinkId=72757).

O BitLocker exige que a partição ativa (também chamada de partição de sistema) não seja criptografada. O sistema operacional Windows é instalado em uma segunda partição, a qual é criptografada pelo BitLocker.

Ao trabalhar com a criptografia de dados, especialmente em um ambiente corporativo, é necessário ter em mente como estes dados poderão ser recuperados no caso de uma falha de hardware, de mudanças no quadro de funcionários, ou outras situações em que há perda das chaves de criptografia. O BitLocker suporta um cenário robusto de recuperação, o qual será descrito neste artigo mais adiante.

Os principais recursos do BitLocker incluem criptografia de unidade de disco, verificação da integridade dos primeiros componentes de inicialização e o mecanismo de recuperação.

Criptografia de Unidade de Disco

Tudo que é gravado em um disco protegido pelo BitLocker é criptografado, inclusive o próprio sistema operacional, todos os dados e aplicações.

Isso ajuda na proteção dos dados contra acessos não autorizados. Embora a segurança física dos servidores seja importante, o BitLocker pode ajudar a proteger os dados em situações em que um computador é roubado, enviado de um lugar a outro, ou esteja de alguma forma fora de seu controle físico.

A criptografia de disco auxilia na prevenção de ataques offline, como a remoção de uma unidade de disco de um computador e sua instalação em outro, numa tentativa de burlar medidas de segurança do Windows, tais como permissões estabelecidas pelas listas de controle de acesso (ACLs)do NTF.

O BitLocker é implementado em código nos primeiros componentes da inicialização (registro mestre de inicialização (MBR), setor de partida, gerenciador de inicialização, Windows Loader), e como uma unidade de filtro, que é parte integral do sistema operacional.

Na primeira ativação do BitLocker, deve ser efetuada a criptografia dos dados existentes no volume. Você pode continuar utilizando o computador durante este processo, mas poderá notar uma redução no desempenho durante a criptografia inicial.

Após completar a criptografia inicial, o uso do volume criptografado provoca uma leve perda de desempenho no acesso ao disco. Embora dependa muito do tipo de hardware e dos padrões de operação, esta perda é estimada entre 3 e 5 por cento. Em sistemas clientes, a perda geralmente não é notada pelos usuários. Nos casos de servidores muito carregados, é preciso avaliar o desempenho do subsistema de disco.

93


O uso de um disco capacitado para BitLocker é transparente para o sistema operacional e todas as aplicações.

Para informações mais específicas do algoritmo de criptografia do BitLocker, consulte “AES-CBC + Elephant diffuser”:

(http://go.microsoft.com/fwlink/?LinkId=82824)

Verificação de Integridade

Em conjunto com o TPM, o BitLocker verifica a integridade dos primeiros componentes da inicialização, para ajudar na prevenção contra ataques offline adicionais, como por exemplo, tentativas de inserir códigos maliciosos nesses componentes.

Na primeira etapa do processo de inicialização, os componentes não podem estar criptografados, para que o computador possa iniciar. Por esta razão, um agressor pode efetuar mudança de código nos primeiros componentes da inicialização, tendo acesso ao computador, mesmo que os dados do disco estejam criptografados. Assim, se o agressor conseguir acesso às informações confidenciais, como as chaves do BitLocker ou senhas do usuário, o BitLocker, bem como outras proteções de segurança do Windows, podem ser burladas.

Cada vez que um computador equipado com TPM inicia, cada um dos primeiros componentes de inicialização (como BIOS, MBR, setor de partida e código de gerenciamento de inicialização) examina o código a ser executado, calcula um valor de seqüência e armazena este valor no TPM. Uma vez instalado no TPM, esse valor não pode ser mudado até que o sistema reinicialize. Uma combinação destes valores é gravada e usada para proteger as chaves de criptografia.

Os computadores que incorporam um TPM podem criar uma chave vinculada a estes valores. Quando este tipo de chave é criada, ela é criptografada pelo TPM, e somente o TPM pode descriptografá-la. Cada vez que o computador inicia, o TPM compara os valores produzidos durante a inicialização atual com os valores que existiam no momento da criação da chave. Ele somente criptografa a chave se os valores combinarem. Este processo é chamado “lacrar” e “deslacrar” a chave.

O BitLocker examina e lacra as chaves nas dimensões do CRTM (Core Root of Trust), do BIOS e de qualquer extensão de plataforma, opção de código memória somente leitura (ROM), código MBR, setor de partida e gerenciador de partida. Isto significa que, no caso de ocorrer alguma mudança inesperada em qualquer desses ítens, o BitLocker travará a unidade e impedirá que ela seja acessada ou descriptografada.

O Bitlocker é configurado para buscar e utilizar um TPM. Você pode empregar a Diretiva de Grupo para permitir que o BitLocker opere sem um TPM e armazene as chaves em uma unidade externa USB; entretanto, o BitLocker não pode então verificar os primeiros componentes da inicialização.

94


É preciso levar em consideração a disponibilidade de um TPM no momento da compra de hardware. Na ausência de um TPM, a segurança física do servidor torna-se ainda mais importante.

O BitLocker deve ser desativado durante a manutenção programada que envolva mudança em algum dos primeiros componentes de inicialização dimensionados. Após o término da manutenção, o BitLocker pode ser reativado, e novas dimensões de plataforma são usadas para as chaves. A desativação e reativação não exigem a criptografia e re-criptografia do disco.

Opções de Recuperação

O BitLocker suporta uma grande série de opções de recuperação, de modo a garantir a disponibilidade dos dados aos seus usuários legítimos.

É fundamental que os dados de uma empresa possam ser descriptografados, mesmo que estejam disponíveis as chaves de descriptorafia mais amplamente utilizadas. A capacidade de recuperação está inserida no BitLocker, sem “back doors”. Porém, as empresas podem facilmente assegurar-se de que seus dados estão protegidos e disponíveis.

Quando o BitLocker é ativado, o usuário recebe uma solicitação para armazenar uma “senha de recuperação”, a qual será utilizada para destravar um volume BitLocker que estiver travado. O assistente de instalação do BitLocker exige que pelo menos uma cópia da senha de recuperação seja salva.

Porém, em muitos ambientes, não é possível confiar a usuários a guarda e proteção das senhas de recuperação. Assim sendo, você pode configurar o BitLocker para salvar as informações de recuperação no Active Directory ou nos Serviços de Domínio do Active Directory.

Nós recomendamos que as senhas de recuperação sejam salvas no Active Directory em ambientes corporativos.

As configurações da Diretiva de Grupo podem ser usadas para configurar o BitLocker, de forma a exigir ou proibir diferentes tipos de armazenamento de senhas de recuperação, ou torná-las opcionais.

As configurações da Diretiva de Grupo também podem ser usadas para evitar a desativação do BitLocker, caso não seja possível o backup das chaves no Active Directory.

Para mais informações sobre como configurar o Active Directory para suportar as opções de recuperação, veja: Configuring Active Directory to Back up Windows Criptografia de Unidade de Disco BitLocker e Trusted Platform Module Recovery Information (http://go.microsoft.com/fwlink/?LinkId=82827).

95


Gerenciamento Remoto

O BitLocker pode ter gerenciamento remoto através do Windows Management Instrumentation (WMI) ou de uma interface de comando por linha.

Em um ambiente com muitos computadores ou computadores em escritórios remotos e filiais, fica difícil ou impossível gerenciar recursos e configurações de forma individual.

Os recursos do BitLocker estão dispostos no subsistema WMI, que é uma implementação das estruturas e funções do WBEM (Web-Based Enterprise Management). Por essa razão, os administradores podem usar qualquer software WBEM compatível com WMI para gerenciar o BitLocker em computadores locais ou remotos.

Para mais informações sobre BitLocker e WMI, veja: Criptografia de Unidade de Disco BitLocker Provider (http://go.microsoft.com/fwlink/?LinkId=82828)

O Windows também adiciona ao BitLocker uma interface de comando por linha, implementada como um script chamado manage-bde.wsf.Você pode usar o manage-bde.wsf para controlar todos os aspectos do BitLocker em um computador local ou remoto. Para obter uma lista completa da sintaxe e dos comandos do of manage-bde, digite o seguinte em um prompt de comando:

manage-bde.wsf /?

O gerenciamento remoto do BitLocker é um componente opcional que pode ser instalado no Windows Server “Longhorn”, para permitir que você gerencie outros computadores sem ativar o BitLocker no servidor que você esteja usando.

O componente opcional para o gerenciamento remoto do BitLocker é chamado BitLocker-RemoteAdminTool. Este pacote de componente opcional contém o manage-bde.wsf e o arquivo associado .ini. Para instalar somente o componente de gerenciamento remoto, você deve digitar no prompt de comando:

start /w pkgmgr /iu:BitLocker-RemoteAdminTool

Configurações de Diretiva de Grupo

Dois conjuntos novos de configurações de Diretiva de Grupo foram introduzidos para oferecer suporte ao BitLocker e ao gerenciamento do TPM. Todas as configurações da diretiva estão explicadas no Editor de Objetos de Diretiva de Grupo. Para obter mais detalhes, abra o Group Policy Object Editor (gpedit.msc) e examine cada configuração.

As configurações de Diretiva de Grupo que afetam o BitLocker encontram-se em: Computer Configuration/Administrative Templates/Windows Components/Criptografia de Unidade de Disco BitLocker. A tabela a seguir resume estas configurações.

96


Criptografia do BitLocker — Configurações de Diretiva de Grupo

Nome da Configuração

Padrão Descrição

Ativar backup do BitLocker para Serviços de Domínio do Active Directory

Desativado Esta configuração verifica se a informação de recuperação do BitLocker foi copiada para o Serviços de Domínio do Active Directory. Se ativada, ela também pode verificar se o backup é obrigatório ou opcional e se somente uma senha de recuperação ou um pacote inteiro está salvo.

Configuração do Painel de Controle: Configurar pasta de recuperação

Nenhum(Seleção do usuário)

Esta configuração especifica a posição padrão mostrada ao usuário para salvar chaves de recuperação. Pode ser uma posição local ou em rede. O usuário é livre para escolher outras posições.

Configuração do Painel de Controle: Configurar opções de recuperação

Nenhum (Seleção do usuário)

Esta configuração permite escolher se o assistente de configuração do Criptografia de Unidade de Disco BitLocker pedirá ao usuário para salvar as opções de recuperação do BitLocker.

Duas opções de recuperação podem destravar o acesso aos dados criptografados do BitLocker. O usuário pode digitar uma senha de recuperação numérica de 48 dígitos, à sua escolha . O usuário também pode inserir uma unidade USB que contenha uma chave de recuperação aleatória de 256 bits.

Cada uma delas pode ser exigida ou proibida. Caso você proíba as duas opções o backup para os Serviços de Domínio do Active Directory precisa ser ativado.

Configuração do Painel de Controle:

Ativar opções de configuração avançadas

Desativado Esta configuração permite escolher se o BitLocker pode ser ativado em computadores sem TPM, e se a autenticação multifactor pode ser usada em computadores sem TPM.

Configurar método de criptografia

AES 128-bit com

Difusor

Esta configuração estabelece a extensão da chave de criptografia AES e a utilização ou não do Difusor.

Prevenir regravação de memória na reinicialização

Desativado (a memória será regravada)

As chaves do BitLocker podem continuar na memória entre uma inicialização e outra se o computador não for desligado. Portanto, o BitLocker instrui os BIOS a limpar toda a memória

em reinicializações “mornas”, o que pode resultar em demora em

sistemas com grande quantidade de memória. Ativar esta

configuração pode melhorar o desempenho da reinicialização, mas não aumenta o risco de segurança.

Configurar perfil de validação de plataforma do TPM

PCRs 0, 2, 4, 8, 9, 11

Determina quais dimensões de plataforma do TPM, armazenadas nos registros de controle de plataforma (PCRs), serão utilizadas para lacrar as chaves do BitLocker.

As configurações de Diretiva de Grupo que controlam o comportamento do TPM podem ser encontradas em: Computer Configuration/Administrative Templates/System/Trusted Platform Module services. A tabela a seguir resume estas configurações.

97


Comportamento do TPM — Configurações de Diretiva de Grupo


Padrão Descrição

Ativar backup do TPM para Serviços de Domínio do Active Directory

Desativado Esta configuração controla o backup da informação de senha do proprietário do TPM nos Serviços de Domínio do Active Directory.Caso esteja ativada, ela também pode controlar se o backup é obrigatório ou opcional.

Configurar lista de comandos bloqueados do TPM

Nenhum Esta diretiva permite que funções específicas do TPM sejam ativadas ou desativadas. Porém, as duas próximas configurações podem restringir os comandos disponíveis. As listas baseadas em Diretiva de Grupo prevalecem sobre as listas locais. As listas locais podem ser configuradas no console de Gerenciamento do TPM.

Ignorar a lista padrão dos comandos do TPM bloqueados

Desativado Por padrão, alguns comandos do TPM são bloqueados. Para ativar estes comandos, esta configuração de diretiva precisa ser ativada.

Ignorar a lista local dos comandos do TPM bloqueados

Desativado Por padrão, um administrador local pode bloquear os comandos no console de Gerenciamento do TPM. Esta configuração pode ser usada para evitar tal comportamento.

Para mais informações sobre a operação do TPM e a utilização do console de Gerenciamento do TPM, veja o Guia Passo a Passo Windows Trusted Platform Module Management:

(http://go.microsoft.com/fwlink/?LinkId=82830).

Implantação

O BitLocker é um componente opcional em todas as edições do Windows Server “Longhorn.”

O BitLocker está disponível no Windows Vista Enterprise e no Windows Vista Ultimate, e pode ser muito útil na proteção de dados armazenados em computadores clientes, especialmente nos móveis.

Antes de ativar o BitLocker, você deve levar em consideração:

• Requisitos de Hardware. Se o hardware existente não tiver potência suficiente para realizar a criptografia, considere fazer uma atualização. Para utilizar a totalidade de recursos do sistema, como será descrito adiante, a plataforma de hardware deve estar equipada com um TPM versão 1.2.

• Diretivas corporativas. Avalie suas diretivas relacionadas à retenção de dados, criptografia e compatibilidade. Certifique-se de ter um plano para recuperação de dados, como será discutido na próxima seção.

98


• Como serão armazenadas as informações de recuperação. Nós recomendamos a utilização do Active Directory para backups de informações de recuperação em ambientes corporativos.

Informações Adicionais

• Para informações adicionais sobre o BitLocker, visite: Criptografia de Unidade de Disco BitLocker: Visão Geral Técnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a-Passo Windows Criptografia de Unidade de Disco BitLocker (http://go.microsoft.com/fwlink/?LinkID=53779).

• Artigos e recursos adicionais sobre o BitLocker estão disponíveis no TechCenter do Microsoft Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82914).

99



No Windows Server “Longhorn”, os administradores agora podem optar por instalar um ambiente mínimo, que evita sobrecargas. Embora esta opção limite o papel a ser desempenhado pelo servidor, ela pode melhorar a segurança e reduzir o gerenciamento. Este tipo de instalação é chamado de instalação do Núcleo do Servidor.

Para mais informações sobre o Núcleo do Servidor, veja a seção 7.05 Núcleo do Servidor na página 242.

Para saber mais, veja a seção 7.05 Núcleo do Servidor na página 242.

100


Seção 5: Aplicação de Diretivas e Segurança


101


5.01 Introdução à Aplicação de Diretivas e Segurança

O foco deste cenário é a conformidade aprimorada de segurança e gerenciamento que se torna possível por meio dos recursos de acesso voltados às diretivas para as organizações que implantaram o Windows Server® “Longhorn” com Windows Vista™, Windows® XP SP2 e o Windows Server 2003 R2.

Esse cenário também inclui o conjunto completo de serviços de identidade e acesso de que os clientes precisam para fornecer o gerenciamento d de usuários, a consolidação de diretórios, o logon único, a autenticação forte e a proteção e federação de informações.

Proposta de Valor para os Cenários

O reforço de diretivas e de segurança permite:

• Determinar a integridade e o status de laptops e computadores domésticos não-gerenciados (desktop e laptop), verificar a conformidade e reforçar a remediação de dispositivos não-conformes. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos.

• Determinar a integridade de laptops visitantes e reforçar a inspeção de dados de camada de aplicativos, verificando a existência de malware. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos.

• Utilizar a qualidade de serviço baseada em diretivas para priorizar e gerenciar a taxa de envio do tráfego de rede contínuo e a filtragem do tráfego de entrada e saída.

• Aprimorar o acesso sem fio à rede, dando suporte a redes que utilizam switches de autenticação, mecanismos aprimorados de criptografia e a integração com o NAP (Network Access Protection) para diretivas específicas sem fio que dão suporte à autenticação 802.1x.

• Ajudar a estender, de forma segura, as informações e os aplicativos aos parceiros de negócios, como também dar proteção a eles.

• Reduzir o risco de acesso não-autorizado por meio da autenticação forte.

• Reduzir o número de contas de usuário e repositórios que precisam de gerenciamento.

• Ajudar no gerenciamento seguro das contas e informações de usuário fora do datacenter.

• Ativar a troca flexível de informações dentro e fora da organização, enquanto o controle de acesso granular é mantido.

102



Os requisitos de hardware adicionais são estes:

• Os smart cards são exigidos para clientes que desejam implantar uma solução de autenticação forte e, dessa forma, reduzir o risco de acesso sem autorização.

• Placas de acesso sem fio e pontos de acesso são exigidos para o acesso seguro sem fio.

103


5.02 Serviços de Acesso e Diretiva de Rede

Os Serviços de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem uma variedade de métodos para oferecer conectividade de rede remota e local aos usuários, para conectar segmentos de rede e permitir que os administradores de rede gerenciem, de forma centralizada, o acesso à rede e as diretivas de integridade do cliente.

Com os Serviços de Acesso à Rede (Network Access Services), é possível implantar servidores VPN e de discagem, roteadores e o acesso sem fio protegido pela autenticação 802.11. Você também pode implantar servidores e proxies RADIUS e utilizar o Connection Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os computadores cliente conectem-se a sua rede.

Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes soluções de conectividade de rede:

• Proteção Contra Acesso à Rede. A Proteção Contra Acesso à Rede, ou NAP (Network Access Protection), é uma criação de diretiva de integridade de cliente, uma tecnologia de reforço e remediação incluída nos sistemas operacionais Windows Vista Business, Enterprise e Ultimate, como também no Windows Server “Longhorn”. Com o NAP, os administradores de sistema podem estabelecer e, automaticamente, forçar diretivas de integridade, as quais podem incluir requisitos de software, de atualização de rede, configurações exigidas de computador, além de outras configurações. Computadores cliente que não estiverem de acordo com a diretiva de integridade podem ter o acesso de rede restringido até que suas configurações sejam atualizadas, fazendo com que estejam de acordo com a diretiva. Dependendo da forma com que implantar o NAP, os clientes não-conformes serão automaticamente atualizados, de forma que os usuários possam rapidamente obter novamente o acesso completo à rede, sem a necessidade de atualizar ou reconfigurar manualmente seus computadores.

• Proteção contra Acesso com e sem fio. Ao implantar pontos de acesso sem fio 802.1X, o acesso seguro sem fio fornece aos usuários um método de autenticação baseado em senhas e com segurança aprimorada fácil de ser implantado. Ao implantar switches de autenticação 802.1X, o acesso com fio permite que você assegure sua rede, garantindo que os usuários da intranet sejam autenticados antes que possam conectar-se à rede ou obter um endereço IP utilizando o DHCP.

• Soluções de acesso remoto. Com as soluções de acesso remoto, você pode fornecer aos usuários o acesso discado e VPN à rede da organização. Além disso, é possível conectar

104


os escritórios de filiais a sua rede por meio de soluções VPN, implantar roteadores de software com diversos recursos em sua rede, como também compartilhar conexões da Internet pela intranet.

• Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS. Em vez de configurar diretivas de acesso à rede em cada servidor de acesso à rede, como pontos de acesso sem fio, switches de autenticação, servidores VPN e servidores de discagem, você poderá criar diretivas em um único local que especifique todos os aspectos das solicitações de conexão à rede, incluindo quem tem permissão para conectar-se, quando a conexão poderá ser feita e o nível de segurança que deve ser utilizado para conectar-se a sua rede.

Serviços de Função para Serviços de Acesso e Diretiva de Rede

Ao instalar os Serviços de Acesso e Diretiva de Rede, os seguintes serviços de função estarão disponíveis:

• Network Policy Server. O NPS é a implementação da Microsoft® de um servidor e proxy RADIUS. Ele pode ser utilizado para gerenciar, de forma centralizada, o acesso à rede por meio de uma variedade de servidores de acesso à rede, incluindo pontos de acesso sem fio, servidores VPN (virtual private networking) servidores de discagem e switches de autenticação 802.1X. Além disso, você pode utilizar o NPS para implantar a autenticação segura de senhas com o protocolo PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 para conexões sem fio. O NPS também contém componentes principais para a implantação do NAP na rede.

As seguintes tecnologias podem ser implantadas após a instalação do serviço de função NPS:

o Servidor de diretiva NAP. Quando você configura o NPS como um servidor de diretiva NAP, o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se à rede. Você pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configurações de forma que estejam de acordo com a diretiva de rede de sua organização.

o IEEE 802.11 Sem fio. Com a utilização do snap-in do MMC (Microsoft Management Console) NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802.1X para o acesso à rede cliente sem fio IEEE 802.11. Além disso, você pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service)

105


no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar a autenticação, autorização e registro de conexões sem fio 802.11. É possível integrar totalmente o acesso sem fio IEEE 802.11 com o NAP durante a implantação de uma infra-estrutura de autenticação sem fio 802.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permissão para conectar-se à rede.

o IEEE 802.3 Com fio. Com a utilização do snap-in do MMC NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802,1X para o acesso à rede Ethernet com fio IEEE 802.3. Você pode configurar switches em conformidade com o 802.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar autenticação, autorização e registro de conexões Ethernet 802.3. É possível integrar totalmente o acesso cliente com fio IEEE 802.3 com o NAP durante a implantação de uma infra-estrutura de autenticação com fio 802.1X.

o Servidor RADIUS. O NPS realiza a autenticação de conexão centralizada, a autorização e o registro de conexões VPN, discadas de acesso remoto e de switch de autenticação. - Dúvida Ao utilizar o NPS como um servidor RADIUS, você configura servidores de acesso à rede, tais como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Você também pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitações de conexão, além de poder configurar o registro RADIUS para que os logs do NPS registrem informações nos arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server™.

o Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS, você poderá configurar diretivas de solicitação de conexão que informem o servidor NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS você deseja encaminhar solicitações de conexão. O NPS também pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos.

• Roteamento e Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar serviços de acesso remoto, serviços de roteamento NAT de rede e multiprotocolos LAN-to-LAN e LAN-to-WAN. (Dúvida)

106


As seguintes tecnologias podem ser implantadas durante a instalação do serviço de função de Roteamento e Acesso Remoto:

o Serviço de Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexões VPN IPsec (Internet Protocol security) a fim de fornecer aos usuários finais o acesso remoto à rede de sua organização. Você também pode criar uma conexão VPN de site para site entre dois servidores em diferentes locais. Cada servidor é configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. A conexão entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda).

O Acesso Remoto também fornece acesso remoto tradicional para dar suporte a usuários móveis ou domésticos que se conectam a intranets de uma organização. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitações de conexões de entrada a partir de clientes de rede dial-up. O servidor de acesso remoto responde à chamada, autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organização.

o Roteamento. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet. Além disso, ele oferece serviços de roteamento aos negócios em ambientes LAN (local area network) e WAN (wide area network).

Ao implantar o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para compartilhar uma conexão da Internet com os computadores de uma rede privada e traduzir o tráfego entre seu endereço público e a rede privada. Utilizando o NAT, os computadores na rede privada obtêm alguma medida de proteção, pois o roteador com o NAT configurado não encaminha o tráfego a partir da Internet para a rede privada, a menos que um cliente de rede privada tenha solicitado ou que o tráfego esteja explicitamente permitido.

Ao implantar a VPN e o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para fornecer o NAT para a rede privada e para aceitar conexões VPN. Os computadores na Internet não poderão determinar os endereços IP dos computadores na rede privada. Entretanto, os clientes VPN poderão conectar-se aos computadores na rede privada, como se estivessem fisicamente ligados à mesma rede.

107


• Health Registration Authority (HRA). O HRA é um componente NAP que emite certificados de integridade a clientes que passam pela verificação de diretiva de integridade realizada pelo NPS utilizando o SoH cliente. O HRA é utilizado somente quando o método de reforço NAP é um reforço do IPsec.

• Host Credential Authorization Protocol (HCAP). O HCAP permite que você integre sua solução Microsoft NAP ao Cisco Network Access Control Server. Ao implantar o HCAP com o NPS e o NAP, o NPS pode realizar a avaliação de integridade do cliente e a autorização dos clientes de aceso Cisco 802.1X.

Gerenciando a Função de Network Policy Server and Access Services

As seguintes ferramentas são fornecidas para gerenciar a função de Network Policy Server and Access Services:

• Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP.

• Comandos Netsh para o NPS. Os comandos Netsh para o NPS fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NPS. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.

• Snap-in MMC HRA Utilize o MMC HRA para designar a CA (certification authority - autoridade de certificação) utilizada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS ao qual o HRA enviará SoHs cliente para verificação mediante a diretiva de integridade.

• Comandos Netsh para o HRA. Os comandos Netsh para o HRA fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC HRA. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador.

• Snap-in MMC NAP Client Management. Você pode utilizar o snap-in NAP Client Management para definir configurações de segurança e de interface de usuário em computadores cliente com suporte para a arquitetura NAP.

• Comandos Netsh para definir configurações de cliente NAP. Os comandos Netsh para as configurações de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador.

• Snap-in MMC Routing and Remote Access. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de rede

108


dial-up, um roteador, um conexão site-site VPN, VPN e NAT ou NAT.

• Comandos Netsh para acesso remoto (RAS). Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.

• Comandos Netsh para roteamento. Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in de Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.

• Wireless Network (IEEE 802.11) Policies – snap-in (MMC) Group Policy Object Editor. A extensão Wireless Network (IEEE 802.11) Policies automatiza a definição das configurações de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service - serviço de configuração automática de LAN sem fio). Você pode utilizar a extensão Wireless Network (IEEE 802.11) Policies no Group Policy Object Editor para especificar as configurações para clientes sem fio Windows XP e Windows Vista. As extensões Wireless Network (IEEE 802.11) Policies Group Policy incluem configurações globais sem fio, a lista de redes preferidas, as configurações WPA (Wi-Fi Protected Access), além das configurações IEEE 802.1X.

Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configuração de Computador. Por padrão, a extensão Wireless Network (IEEE 802,11) Policies não é configurada ou ativada.

• Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN é uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configurações de segurança do Windows Vista. Você pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar múltiplos computadores que utilizem um script de logon. Além disso, é possível utilizar os comandos Netsh wlan para visualizar as configurações de Diretiva de Grupo e administrar as configurações do WISP (Wireless Internet Service Provider) e as configurações sem fio de usuário.

A interface Netsh sem fio fornece os seguintes benefícios:

o Suporte para o modo misto. Isso permite que os administradores configurem clientes para dar suporte

109


às múltiplas opções de segurança. Por exemplo, um cliente pode ser configurado para os padrões de autenticação WPA2 e WPA. Isso permite que o cliente utilize o WPA2 para conectar-se às redes com suporte ao WPA2 e utilize o WPA para conectar-se às redes com suporte apenas ao WPA.

o Bloqueio de redes não desejadas. Os administradores podem bloquear e ocultar o acesso às redes sem fio não-corporativas, adicionando redes ou tipos de redes à lista de redes negadas. De forma semelhante, é possível permitir o acesso às redes sem fio corporativas.

• Wireless Network (IEEE 802.3) Policies – snap-in (MMC) Group Policy Object Editor. Você pode utilizar o Wired Network (IEEE 802.3) Policies para especificar e modificar as configurações para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extensões Wireless Network (IEEE 802.11) Policies Group Policy incluem configurações globais com fio e IEEE 802.1X. Essas configurações incluem o conjunto completo de itens de configuração com fio associados às guias Geral e Segurança.

Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. Por padrão, a extensão Wired Network (IEEE 802.3) Policies não é configurada ou ativada.

• Comandos Netsh para a LAN. A interface Netsh LAN é uma alternativa para utilizar a Diretiva de Grupo no Windows Server “Longhorn” a fim de configurar as configurações de segurança e a conectividade com fio do Windows Vista. Você pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar múltiplos computadores. Além disso, é possível utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802.3) Policies e administrar as configurações 1x com fio do cliente.

Recursos Adicionais

Para saber mais sobre os Serviços de Acesso e Diretiva de Rede, abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda:

• Snap-in MMC NPS

• Snap-in MMC Routing and Remote Access.

• Snap-in MMC HRA

• Snap-in MMC Group Policy Object Editor

110


5.03 Proteção contra Acesso à Rede

Um dos maiores desafios encontrados nos negócios dos dias de hoje é a exposição crescente dos dispositivos de clientes a softwares maliciosos, como vírus e worms. Esses programas podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem em outros dispositivos na rede corporativa. Os administradores de rede podem utilizar a plataforma NAP para melhor proteger suas redes, ajudando a garantir que os sistemas cliente mantenham as atualizações de software e as configurações de sistema apropriadas para protegê-los contra softwares maliciosos.

O NAP (Network Access Protection) é um novo conjunto de componentes de sistema operacional incluído no Windows Server “Longhorn” e no Windows Vista que fornece uma plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa atendam aos requisitos quanto à integridade do sistema definidos pelo administrador. As diretivas NAP definem a configuração e o status de atualização exigidos para o sistema operacional e o software principal do computador de um cliente. Por exemplo, pode ser exigido que os computadores possuam um software antivírus com as mais recentes assinaturas instaladas, com as atualizações instaladas no sistema operacional atual e com um firewall baseado em host ativado. Reforçando o cumprimento desses requisitos de integridade, o NAP pode ajudar os administradores de rede na diminuição de alguns riscos causados por computadores cliente configurados de forma imprópria que podem ser expostos a vírus e a outros softwares maliciosos.

O NAP reforça os requisitos de integridade, monitorando e avaliando o funcionamento dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Caso seja determinado que os computadores cliente não estejam em conformidade com os requisitos de integridade, eles poderão ser colocados em uma rede restrita que contenha os recursos para dar assistência na remediação de sistemas de clientes de forma que eles possam estar em conformidade com as diretivas de integridade.

Os administradores de sistemas e de rede que desejam reforçar os requisitos de integridade do sistema para computadores cliente que se conectam às redes suportadas por eles terão interesse em utilizar o NAP. Com o NAP, os administradores de rede poderão:

• Garantir a integridade dos computadores desktop na LAN, ou que estão configurados para o DHCP, ou que se conectam por meio de dispositivos de autenticação 802.1X, ou ainda que possuam diretivas IPsec NAP aplicadas em suas comunicações.

111


• Reforçar os requisitos de integridade para laptops móveis quando estes forem conectados novamente na rede da empresa.

• Verificar a integridade e a conformidade de diretivas dos computadores domésticos não-gerenciados que se conectam à rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto.

• Determinar a integridade e restringir o acesso dos laptops trazidos para uma organização pelos visitantes e parceiros.

Dependendo de suas necessidades, os administradores podem configurar uma solução para lidar com qualquer um desses cenários.

O NAP também inclui um conjunto API para desenvolvedores e fornecedores para que estes possam criar seus próprios componentes para validação de diretivas de rede, para a conformidade contínua e o isolamento de rede.

As implantações do NAP exigem servidores que executem o Windows Server “Longhorn”. Além disso, são exigidos computadores cliente que executem o Windows Vista, o Windows Server “Longhorn” ou o Windows XP com SP2 e o Network Access Protection Client para Windows XP. O servidor central que realiza a análise de determinação da integridade para o NAP é um computador que executa o Windows Server “Longhorn” e o NPS. O NPS é a implementação do Windows de um servidor e proxy RADIUS. O NPS é o substituto do IAS (Internet Authentication Service) no Windows Server 2003. Os dispositivos de acesso e os servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a autenticação e a autorização de uma tentativa de conexão à rede e, com base nas diretivas de integridade do sistema, determina a conformidade da integridade do computador e também como limitar o acesso à rede de um computador que não está em conformidade com as diretivas.

A plataforma NAP é uma nova tecnologia de reforço e validação de integridade do cliente incluída nos sistemas operacionais Windows Server “Longhorn” e Windows Vista.

Nota

O framework do NAP não é o mesmo do Network Access Quarantine Control, o qual é um recurso fornecido com o Windows Server 2003 e o ISA Server 2004. O Network Access Quarantine Control pode fornecer proteção adicional para conexões de acesso remoto (dial-up e VPN). Para mais informações sobre o Network Access Quarantine Control no Windows Server 2003, veja Network Access Quarantine Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447). Para mais informações sobre esse recurso no ISA Server 2004, veja Clientes Móveis VPN e Quarantine Control no ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).

112


Principais Processos do NAP

Diversos processos importantes são exigidos para que o NAP funcione de forma apropriada: a validação de diretivas, o reforço NAP e a restrição de rede, a remediação e o monitoramento contínuo para garantir a conformidade.

Validação de Diretivas Os SHVs (System health validators – validadores de integridade do sistema) são utilizados pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs são incorporados às diretivas de rede que determinam as ações a serem realizadas com base no status da integridade do cliente, como conceder acesso total à rede ou restringir o acesso à rede. O status da integridade é monitorado pelos componentes NAP do lado do cliente, chamados de SHAs (system health agents – agentes de integridade do sistema). O NAP utiliza os SHAs e os SHVs para monitorar, reforçar e remediar configurações de computadores cliente.

O Windows Security Health Agent e o Windows Security Health Validator estão incluídos nos sistemas operacionais Windows Server “Longhorn” e Windows Vista e reforçam as seguintes configurações para computadores ativados para o NAP:

• O computador cliente deve possuir software de firewall instalado e ativado.

• O computador cliente deve possuir software antivírus instalado e em execução.

• O computador cliente deve possuir atualizações de antivírus atuais instaladas.

• O computador cliente deve possuir software anti-spyware instalado e em execução.

• O computador cliente deve possuir atualizações de anti-spywares atuais instaladas.

• O Microsoft Update Services deve estar ativado no computador cliente.

Além disso, se computadores clientes ativados para o NAP estiverem executando o Windows Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update Service), o NAP poderá verificar se a maioria das atualizações de segurança de software está instalada, com base em um dos quatro valores possíveis que correspondem à classificação de severidade de segurança do MSRC(Microsoft Security Response Center).

Reforço do NAP e Restrição de Rede

O NAP pode ser configurado para negar o acesso à rede para computadores cliente em não-conformidade e permitir que esses computadores acessem somente uma rede restrita. Uma rede restrita

113


deve conter os serviços NAP principais, como os servidores HRA e os servidores de remediação, para que clientes NAP em não-conformidade possam atualizar suas configurações e estar em conformidade com os requisitos de integridade.

As configurações de reforço NAP permitem que você limite o acesso à rede de clientes em não-conformidade ou apenas observe e registre o status de integridade de computadores cliente ativados para o NAP.

Você pode optar por restringir o acesso, adiar a restrição de acesso ou ainda permitir o acesso por meio da utilização das seguintes configurações:

• Do not enforce (Não aplicar). Esta é a configuração padrão. Os clientes que atendem às condições de diretiva são considerados como estando em conformidade com os requisitos de integridade de rede e a eles é concedido acesso irrestrito à rede caso a solicitação de conexão seja autenticada e autorizada. O status de conformidade de integridade dos computadores cliente ativados para o NAP é registrado.

• Enforce (Aplicar). Os computadores cliente que atendem às condições de diretivas são considerados como não estando em conformidade com os requisitos de integridade de rede. Esses computadores são colocados na rede restrita.

• Defer enforcement (Adiar aplicação). Os clientes que atendem às condições de diretivas recebem, temporariamente, acesso irrestrito. O NAP é adiado até a data e o horário especificados.

Remediação

Os computadores cliente não-conformes que são colocados em uma rede restrita podem ser submetidos à remediação. Remediação é o processo de atualizar um computador cliente de forma que ele passe a atender aos requisitos atuais de integridade. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais de vírus de forma que os computadores cliente em não-conformidade possam atualizar suas assinaturas.

É possível utilizar as configurações do NAP nas diretivas de integridade NPS para configurar a remediação automática, de forma que os componentes do cliente NAP tentem, automaticamente, atualizar o computador cliente quando este estiver em não-conformidade com os requisitos de integridade de rede. Você pode utilizar a seguinte configuração de diretiva para configurar a remediação automática:

• Atualizações de computador. Se a opção Update noncompliant computers automatically estiver selecionada, a remediação automática estará ativada, e os computadores ativados para o que não estiverem em conformidade com os requisitos de integridade tentarão, automaticamente, fazer a atualização.

114


Monitoramento Contínuo para Garantir a Conformidade

O NAP pode reforçar a conformidade da integridade em computadores cliente em conformidade que já estejam conectados à rede. Esta funcionalidade é muito útil para garantir que uma rede esteja protegida em uma base continua conforme vão ocorrendo mudanças nas diretivas de integridade e nos computadores cliente. Por exemplo, se a diretiva de integridade exigir que o Windows Firewall esteja ativado, e um usuário, inadvertidamente, desabilitá-lo, o NAP poderá determinar se o computador cliente está em um estado de não-conformidade. O NAP irá então colocar o computador cliente na rede restrita até que o Windows Firewall seja ativado novamente.

Se a remediação automática estiver ativada, os componentes do cliente NAP poderão ativar automaticamente o Firewall do Windows sem a intervenção do usuário.

Métodos de Reforço NAP

Baseado no estado de funcionamento de um computador cliente, o NAP pode permitir o acesso total à rede, limitar o acesso a uma rede restrita ou negar o acesso à rede. Os computadores cliente que são determinados como estando em não-conformidade com as diretivas de integridade também podem ser automaticamente atualizados a fim de atender a esses requisitos. A forma com que o NAP é reforçado depende no método de reforço escolhido. O NAP reforça as diretivas de integridade para:

• O tráfego protegido pelo IPsec

• O controle de acesso à rede com e sem fio baseado na porta 802.1X

• A VPN com o Routing and Remote Access

• O lease e a renovação de endereços IPv4 DHCP

As seções a seguir descrevem esses métodos de reforço.

Reforço NAP para Comunicações IPsec

O reforço NAP para o tráfego protegido pelo IPsec é implantado com um servidor de certificado de integridade, um servidor HRA, um servidor NPS e um cliente de reforço IPsec. O servidor de certificado de integridade emite certificados X.509 aos clientes NAP quando é determinado que esses clientes estão em conformidade com os requisitos de integridade de rede. Então, esses certificados são utilizados para autenticar clientes NAP quando estes iniciam comunicações protegidas pelo IPsec com outros clientes NAP em uma intranet.

O reforço IPsec limita a comunicação em sua rede aos clientes em conformidade e fornece a forma mais forte do reforço NAP. Como esse método de reforço utiliza o IPsec, é possível definir requisitos para comunicações protegidas em uma base por endereço IP ou por número de porta TCP/UDP.

115


Reforço NAP para 802.1X

O reforço NAP para o controle de acesso à rede baseado na porta 802.1X é implantado com um servidor NPS e um componente cliente de reforço EAPHost. Com o reforço baseado na porta 802.1X, um servidor NPS ordena que um switch de autenticação 802.1X ou um ponto de acesso sem fio em conformidade com o 802.1X coloque clientes 802.1X em não-conformidade em uma rede restrita. O servidor NPS limita o acesso à rede do cliente à rede restrita, ordenando que o ponto de acesso aplique filtros IP ou um identificador de LAN à conexão. O reforço 802.1X fornece forte restrição de rede para todos os computadores que acessam a rede por meio de dispositivos de acesso à rede ativados para 802.1X.

Reforço NAP para VPN

O reforço NAP para VPN é implantado com um componente de servidor de reforço VPN e um componente cliente de reforço VPN. Com o reforço NAP para VPN, os servidores VPN poderão reforçar a diretiva de integridade quando computadores clientes tentarem conectar-se à rede utilizando uma conexão VPN de acesso remoto. O reforço VPN fornece forte acesso limitado à rede para todos os computadores que acessam a rede por meio de uma conexão VPN de acesso remoto.

Reforço NAP para DHCP

O reforço DHCP é implantado com um componente de servidor de reforço NAP DHCP, um componente cliente de reforço DHCP e o NPS. Utilizando o reforço DHCP, os servidores DHCP e o NPS poderão reforçar a diretiva de integridade quando um computador tentar obter ou renovar um endereço IPv4. O servidor NPS limita o acesso à rede do cliente à rede restrita, ordenando que o servidor DHCP atribua uma configuração limitada de endereço IP. Entretanto, se os computadores cliente estiverem configurados para tirar vantagem (circumvent) da configuração de endereço IP, o DHCP não será eficiente.

Abordagens Combinadas

Cada um desses métodos de reforço NAP possui diferentes vantagens. Combinando os métodos de reforço, será possível combinar as vantagens desses métodos. Entretanto, ao implantar múltiplos métodos de reforço NAP, você poderá fazer com que sua implementação NAP seja mais complexa de ser gerenciada.

O framework do NAP também fornece um conjunto de APIs que permite que outras empresas que não sejam a Microsoft integrem seus softwares com a NAP. Utilizando as APIs do NAP, fornecedores e desenvolvedores de software poderão fornecer soluções de fim a fim que validem o funcionamento e façam a remediação de clientes em não-conformidade.

Implantação

116


Os preparativos necessários para a implantação do NAP dependem do método (ou métodos) de reforço escolhido e dos requisitos de integridade que se pretende reforçar quando os computadores cliente tentam conectar-se à rede ou comunicar-se com ela.

Se você for um administrador de sistemas ou de rede, será possível implantar o NAP com o Windows Security Health Agent e o Windows Security Health Validator. Você também poderá verificar com outros fornecedores de software se eles possuem SHAs e SHVs para seus produtos. Por exemplo, se um fornecedor de software antivírus desejar criar uma solução NAP que inclua um SHA e um SHV personalizado, ele poderá utilizar um conjunto de APIs para criar esses componentes, os quais poderão ser integrados com as soluções NAP implantadas pelos clientes desse fornecedor.

Além dos SHAs e SHVs, a plataforma NAP utilize múltiplos componentes de servidor e cliente para detectar e monitorar o status da integridade do sistema dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Na figura abaixo, são ilustrados alguns componentes comuns utilizados na implantação do NAP:

117


Componentes do Cliente NAP

Um cliente ativado para o NAP é um computador que possui os componentes NAP instalados e que pode verificar seu estado de funcionamento, enviando uma lista de SoH (statements of health) ao NPS. A seguir, estão os componentes do cliente NAP comuns:

Agente de integridade do sistema. Um SHA monitora e relata o estado de funcionamento do computador cliente de forma que o NPS possa determinar se as configurações monitoradas pelo SHA estão atualizadas e configuradas corretamente. Por exemplo, o Microsoft SHA pode monitorar o Firewall do Windows; se um software antivírus estiver instalado, ativado e atualizado; se há softwares anti-spyware instalado, ativado e atualizado e se o Microsoft Update Services está ativado e o computador possui suas mais recentes atualizações. Também pode haver SHAs disponíveis em outras empresas que fornecem funcionalidades adicionais.

NAP Agent (Agente NAP). O agente NAP coleta e gerencia informações de funcionamento. O agente NAP também processa o SoH a partir dos SHAs e relata o funcionamento do cliente aos clientes de reforço instalados. Para indicar o estado completo de um cliente NAP, o agente NAP utiliza uma lista de SoH.

NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um NAP EC (NAP enforcement client) deve estar instalado e ativado nos computadores cliente. NAP EC individuais são específicos ao método, conforme descrito anteriormente. Os clientes de reforço NAP integram-se com tecnologias de acesso à rede, como IPsec, o controle de acesso à rede com e sem fio baseado em porta 802.1X, VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforço NAP solicita acesso à rede, informa o status do funcionamento de um computador cliente ao servidor NPS e informa o status restrito do computador cliente aos outros componentes da arquitetura NAP.

SoH (Statement of health). Um SoH é uma declaração de um SHA que afirma seu status de funcionamento. Os SHAs criam SoHs, os quais são enviados ao agente NAP.

Componentes de Servidor NAP

A seguir, estão os componentes de servidor NAP comuns:

Diretivas de funcionamento. As diretivas NPS definem os requisitos de integridade e as configurações de reforço para os computadores cliente que solicitam acesso à rede. O NPS processa as mensagens de Solicitação de Acesso RADIUS (RADIUS Access-Request) que contêm a lista de SoH enviada pelo NAP EC e passa essas mensagens para o servidor de administração NAP.

Servidor de administração NAP. O componente de servidor de administração NAP fornece uma função de processamento parecida com o agente NAP no lado do cliente. Ele recebe a lista de SoH do servidor de reforço NAP por meio do NPS e distribui cada SoH para o SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos

118


SHVs e envia essas respostas ao NPS para que este faça uma avaliação.

SHVs (System health validators - validadores de integridade do sistema). Os SHVs são cópias de software de servidor para os SHAs. Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs verificam o SoH feito por seu SHA correspondente no computador cliente.

Os SHAs e os SHVs são associados um ao outro, juntamente com um servidor de diretivas correspondente (se exigido) e, talvez, a um servidor de remediação.

Um SHV também pode detectar que nenhum SoH foi recebido (por exemplo, se o SHA nunca tiver sido instalado, se tiver sido danificado ou removido). Se o SoH atender ou não à diretiva definida, o SHV enviará uma mensagem SoHR (statement of health response - declaração de resposta de integridade) para o servidor de administração NAP.

Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o servidor NPS deverá coordenar a saída de todos os SHVs e determinar se deve ser limitado o acesso de um computador em não-conformidade. Isso exige um planejamento cuidadoso ao definir diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs interagem.

NAP enforcement server (servidor de reforço NAP). O NAP ES é associado a um NAP EC correspondente para o método de reforço NAP que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC, passando-os para que o NPS faça uma avaliação. Com base na resposta, é fornecido acesso limitado ou ilimitado à rede para o cliente ativado para o NAP. Dependendo do tipo de reforço NAP, o NAP ES pode ser uma autoridade de certificação (reforço IPsec), um switch de autenticação ou um ponto de acesso sem fio (reforço 802.1x), um servidor Roteamento e Acesso Remoto(reforço VPN) ou um servidor DHCP (reforço DHCP).

Servidor de diretivas. Um servidor de diretivas é um componente de software que se comunica com um SHV a fim de fornecer as informações utilizadas na avaliação dos requisitos para a integridade do sistema. Por exemplo, um servidor de diretivas, como um servidor de assinaturas antivírus, pode fornecer a versão do arquivo atual de assinaturas para a validação de um SoH antivírus cliente. Os servidores de diretivas são associados aos SHVs, mas nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um SHV pode simplesmente ordenar que clientes ativados para o NAP verifiquem as configurações locais de sistema a fim de assegurar que um firewall baseado em host esteja ativado.

Servidor de remediação. Um servidor de remediação hospeda as atualizações que podem ser utilizadas pelos SHAs para fazer com que computadores cliente em não-conformidade passem a estar em conformidade. Por exemplo, um servidor de remediação pode hospedar atualizações de software. Se a diretiva de integridade exigir que

119


os computadores cliente NAP possuam as mais recentes atualizações de software instaladas, o NAP EC irá restringir o acesso à rede dos clientes que não possuírem essas atualizações. Os servidores de remediação devem estar acessíveis aos clientes com acesso restrito à rede para que os clientes obtenham as atualizações exigidas para que estejam em conformidade com as diretivas de integridade.

SoHR (Statement of health response). Depois que o SoH cliente for avaliado mediante a diretiva de integridade pelo SHV apropriado, um SoHR será gerado, contendo os resultados da avaliação. O SoHR inverte o caminho do SoH e é enviado de volta ao SHA do computador cliente. Se o computador cliente for considerado como estando em não-conformidade, o SoHR irá conter as instruções de remediação utilizadas pelo SHA para fazer com que a configuração do computador cliente esteja em conformidade com os requisitos de integridade.

Assim como cada tipo de SoH contém diferentes tipos de informações sobre o status do funcionamento do sistema, cada mensagem SoHR contém as informações sobre como estar em conformidade com os requisitos de integridade.

Informações Adicionais

Para mais informações sobre o NAP, acesse o site sobre Network Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).

120


5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração

A rede e as comunicações são muito importantes para que as organizações consigam superar o desafio da grande competição no mercado global. Os funcionários precisam conectar-se à rede onde quer que eles estejam e a partir de qualquer dispositivo. Parceiros, fornecedores e outras pessoas fora da rede precisam interagir, de forma eficiente, com os recursos principais. Além disso, segurança é um fator mais importante do que nunca.

A seguir, teremos uma visão geral técnica sobre as melhorias de comunicação e rede TCP/IP encontradas no Microsoft Windows Server “Longhorn” e Windows Vista para lidar com questões de conectividade, facilidade de uso, gerenciamento, confiabilidade e segurança. Com o Windows Server “Longhorn” e o Windows Vista, os administradores de TI possuem mais opções flexíveis para gerenciar a infra-estrutura de rede, rotear o tráfego de rede de forma eficiente e implantar cenários de tráfego protegido.

O Windows Server “Longhorn” e o Windows Vista incluem muitas alterações e melhorias para os seguintes protocolos e componentes centrais de rede:

• Pilha TCP/IP de última geração

• Melhorias no IPv6

• QoS (Quality of Service) baseada em diretivas para redes corporativas.

Pilha TCP/IP de Última Geração

O Windows Server “Longhorn” e o Windows Vista incluem uma nova implementação da pilha do protocolo TCP/IP, conhecida como a Pilha TCP/IP de última geração. A Pilha TCP/IP de última geração é um design completamente reformulado da funcionalidade do TCP/IP tanto para o IPv4 (Internet Protocol version 4) quanto para o IPv6 (Internet Protocol version 6) que atende às necessidades de desempenho e conectividade dos diversos ambientes e tecnologias de rede dos dias de hoje.

Os seguintes recursos são novos ou aprimorados:

• Receive Window Auto-Tuning

• Compound TCP

• Melhorias para ambientes de alto índice de perda

• Neighbor Un-reach-ability Detection for IPv4

• Alterações na detecção de gateways inativos

• Alterações na detecção de roteadores de buraco negro PMTU

• Compartimentos de Roteamento

121


• Suporte ao Network Diagnostics Framework

• Windows Filtering Platform

• Explicit Congestion Notification

Receive Window Auto-Tuning

O tamanho da janela de recebimento TCP (TCP receive window size) é a quantidade de bytes em um buffer de memória em um host de recebimento utilizada para armazenar dados de entrada em uma conexão TCP. Para determinar corretamente o valor do tamanho máximo da janela de recebimento para uma conexão com base nas condições atuais da rede, a Pilha TCP/IP de última geração dá suporte ao Receive Window Auto-Tuning. O Receive Window Auto-Tuning determina o tamanho da janela de recebimento ideal por conexão, calculando o produto do atraso da largura de banda (a largura de banda multiplicada pela latência da conexão) e o índice de recuperação do aplicativo. Depois, o tamanho máximo da janela de recebimento é ajustado em uma base regular.

Com maior velocidade do processamento entre os pontos TCP, a utilização da largura de banda de rede aumenta durante a transferência de dados. Se todos os aplicativos forem otimizados para receber dados TCP, a utilização total da rede poderá aumentar de forma significativa.

Compound TCP

Considerando que o Receive Window Auto-Tuning otimiza a velocidade do processamento do receptor, o CTCP (Compound TCP) na Pilha TCP/IP de última geração otimiza a velocidade do processamento do emissor. Trabalhando juntos, eles podem aumentar a utilização de links e produzir ganhos substanciais de desempenho para grandes conexões de produto de atraso de largura de banda.

O CTCP é utilizado para conexões TCP com um grande tamanho de janela de recebimento e um grande produto de atraso de largura de banda (a largura de banda de uma conexão multiplicada pelo seu atraso). Ele aumenta, de forma significativa, a quantidade de dados enviados por vez e ajuda a garantir que seu comportamento não cause impactos negativos em outras conexões TCP.

Por exemplo, em testes realizados internamente na Microsoft, os horários de backup para arquivos extensos foram reduzidos em quase metade para uma conexão de 1 gigabit por segundo com um RTT (round-trip time) de 50 milésimos de segundo. Conexões com um produto de atraso de largura de banda maior podem ter um melhor desempenho.

Melhorias para Ambientes de Alto Índice de Perda

A Pilha TCP/IP de última geração tem suporte para as seguintes RFCs (Request for Comments) a fim de otimizar a velocidade do processamento em ambientes alto índice de perda:

122


• RFC 2582: Modificação NewReno para o Algoritmo de Recuperação Rápida do TCP

Quando múltiplos segmentos em uma janela de dados forem perdidos, e o emissor receber uma confirmação parcial informando que os dados foram recebidos, o algoritmo NewReno fornecerá uma maior velocidade do processamento, alterando a forma com que um emissor pode aumentar sua taxa de envio.

• RFC 2883: Uma Extensão à Opção SACK (Selective Acknowledgement) para TCP

O SACK, definido na RFC 2018, permite que um receptor indique até quatro blocos não-contíguos de dados recebidos. A RFC 2883 define uma utilização adicional da opção SACK TCP para reconhecer pacotes duplicados. Isso permite que o receptor do segmento TCP que contém a opção SACK determine quando um segmento foi retransmitido desnecessariamente e ajuste o comportamento para evitar futuras retransmissões. Reduzir o número de retransmissões enviadas melhora a velocidade do processamento.

• RFC 3517: Um Algoritmo de Recuperação de Perdas Baseado no SACK (Selective Acknowledgment) Conservador para TCP

Considerando que o Windows Server 2003 e o Windows XP utilizam as informações do SACK somente para determinar quais segmentos TCP não chegaram no destino, a RFC 3517 define um método de utilizar as informações do SACK para realizar a recuperação de perda quando confirmações duplicadas tiverem sido recebidas e substitui o algoritmo de recuperação rápida quando o SACK estiver ativado em uma conexão. A Pilha TCP/IP de última geração controla as informações do SACK em uma base por conexão e monitora as confirmações de entrada a fim fazer a recuperação mais rapidamente quando segmentos não forem recebidos no destino.

• RFC 4138: Recuperação F-RTO (Forward RTO): Um Algoritmo para a Detecção de Falsos Timeouts de Retransmissão com o TCP e o SCTP (Stream Control Transmission Protocol)

O algoritmo F-RTO (Forward-Retransmission Timeout) evita a retransmissão desnecessária de segmentos TCP. Retransmissões desnecessárias de segmentos TCP podem ocorrer quando houver um aumento repentino ou temporário no RTT (round-trip time). O resultado do algoritmo F-RTO é indicado para ambientes com aumentos repentinos ou temporários no RTT, como quando um cliente sem fio passa de um ponto de acesso sem fio (AP - access point) para outro. O F-RTO evita a retransmissão desnecessária de segmentos e retorna mais rapidamente a sua taxa de envio normal.

Neighbor Un-reach-ability Detection for IPv4

O Neighbor Un-reach-ability Detection é um recurso do IPv6 no qual um nó mantém o status informando se um nó vizinho pode ser

123


alcançado, fornecendo melhor detecção e recuperação de erros quando os nós, repentinamente, ficarem indisponíveis. A Pilha TCP/IP de última geração também dá suporte ao tráfego do Neighbor Un-reach-ability Detection for IPv4, por meio do controle do estado alcançável dos nós IPv4 no cache de rota do IPv4. O Neighbor Un-reach-ability Detection for IPv4 determina a capacidade de alcance por meio de uma troca de mensagens ARP Reply e ARP (Address Resolution Protocol) Request ou por meio da relação de confiança em protocolos de camada superior, como o TCP.

Alterações na detecção de gateways inativos

A detecção de gateways inativos no TCP/IP para o Windows Server 2003 e o Windows XP fornece uma função de failover, mas não uma função de failback, na qual um gateway inativo é testado novamente a fim de determinar se ele se tornou disponível. A Pilha TCP/IP de última geração fornece failback para gateways inativos, tentando periodicamente enviar o tráfego TCP, utilizando o gateway inativo detectado anteriormente. Se o tráfego IP enviado por meio do gateway inativo obtiver sucesso, a Pilha TCP/IP de última geração irá alternar do gateway padrão para o gateway inativo detectado anteriormente. O suporte ao failback para os gateways padrão primários pode fornecer maior velocidade de processamento, enviando o tráfego com a utilização do gateway padrão primário na sub-rede.

Alterações na Detecção de Roteadores de Buraco Negro PMTU

A descoberta PMTU (Path maximum transmission unit), definida na RFC 1191, confia no recebimento de mensagens ICMP (Internet Control Message Protocol) Destination Unreachable-Fragmentation Needed e DF (Don’t Fragment) Set dos roteadores que contêm o MTU do próximo link. Entretanto, em alguns casos, roteadores intermediários descartam pacotes que não podem ser fragmentados. Esses tipos de roteadores são conhecidos como roteadores PMTU de buraco negro. Além disso, os roteadores intermediários podem bloquear mensagens ICMP devido às regras de firewall. Devido aos roteadores PMTU de buraco negro, as conexões TCP podem falhar e serem encerradas.

A detecção de roteadores de buraco negro PMTU faz sentido quando extensos segmentos TCP estão sendo retransmitidos; o PMTU é automaticamente ajustado para a conexão, em vez de confiar no recibo das mensagens de erro ICMP. No Windows Server 2003 e no Windows XP, a detecção de roteadores de buraco negro PMTU é desabilitada por padrão, pois estando ativada, o número máximo de transmissões executadas para um segmento de rede específico aumenta.

Por padrão, a Pilha TCP/IP de última geração ativa a detecção de roteadores de buraco negro PMTU a fim de evitar o encerramento das conexões TCP.

124


Compartimentos de Roteamento

Para evitar que o encaminhamento indesejado do tráfego entre interfaces para configurações VPN, a Pilha TCP/IP de última geração dá suporte aos compartimentos de roteamento. Um compartimento de roteamento é a combinação de um conjunto de interfaces com uma sessão de login que possui suas próprias tabelas de roteamento IP. Um computador pode possuir múltiplos compartimentos de roteamento isolados uns dos outros. Cada interface pode pertencer somente a um único compartimento.

Por exemplo, quando um usuário inicia uma conexão VPN pela Internet com a implementação TCP/IP no Windows XP, o computador do usuário terá conectividade parcial tanto para a Internet quanto para a intranet particular, manipulando entradas na tabela de roteamento IPv4. Em algumas situações, é possível que o tráfego da Internet seja encaminhado pela conexão VPN para a intranet particular. Para clientes VPN com suporte para compartimentos de roteamento, a Pilha TCP/IP de última geração isola a conectividade da Internet da conectividade da intranet particular por meio de tabelas de roteamento IP separadas.

Suporte ao Network Diagnostics Framework

O Network Diagnostics Framework é uma arquitetura extensível que ajuda os usuários na recuperação e resolução de problemas com conexões de rede. Para a comunicação baseada em TCP/IP, o Network Diagnostics Framework exibe ao usuário diversas opções para eliminar as possíveis causas até que a causa do problema seja identificada ou que todas as possibilidades sejam eliminadas. Estes são os problemas específicos relacionados ao TCP/IP que podem ser diagnosticados pelo Network Diagnostics Framework:

• Endereço IP incorreto

• O gateway padrão (roteador) não está disponível

• Gateway padrão incorreto

• Falha de resolução de nomes NetBT (NetBIOS over TCP/IP)

• Configurações de DNS incorretas

• A porta local já está sendo utilizada

• O serviço DHCP Client não está sendo executado

• Não há escuta remota

• A mídia está desconectada

• A porta local está bloqueada

• Pouca memória

• Suporte ESTATS (extended statistics)

A Pilha TCP/IP de última geração dá suporte ao esboço do IETF (Internet Engineering Task Force) “TCP Extended Statistics MIB”, o qual define as estatísticas de desempenho estendidas para o

125


TCP. Analisando o ESTATS em uma conexão, é possível determinar se o gargalo de desempenho para uma conexão é o aplicativo de envio, de recepção ou se é a rede. Por padrão, o ESTATS é desabilitado e pode ser ativado por conexão. Com o ESTATS, os ISVs (independent software vendors) que não são da Microsoft podem criar diagnósticos eficientes e aplicativos de análise de velocidade de processamento de rede.

Windows Filtering Platform

O WFP (Windows Filtering Platform - Plataforma de Filtragem Windows) é uma nova arquitetura na Nova Geração da pilha TCP/IP que fornece APIs para que os ISVs não-Microsoft possam fazer a filtragem em diversas camadas na pilha do protocolo TCP/IP e por todo o sistema operacional.

O WFP também integra e fornece suporte para a nova geração de recursos de firewall, como a comunicação autenticada e a configuração de firewall dinâmica baseadas na utilização de um aplicativo do Windows Sockets API. Os ISVs podem criar firewalls, softwares antivírus, além de outros tipos de aplicativos e serviços. O Windows Firewall e o IPsec no Windows Server “Longhorn” e no Windows Vista utilizam o WFP API.

Explicit Congestion Notification

Quando um segmento TCP é perdido, o TCP supõe que o segmento foi perdido devido ao congestionamento em um roteador e executa o controle de congestionamento, o que diminui, de forma drástica, a taxa de transmissão do emissor TCP. Com o suporte ECN (Explicit Congestion Notification - Notificação Explícita de Congestionamento) nos pontos TCP e na infra-estrutura de roteamento, os roteadores que estão vivenciando o congestionamento marcam os pacotes como se estivessem encaminhando-os. Os pontos TCP que recebem os pacotes marcados diminuem sua taxa de transmissão a fim facilitar o congestionamento e evitar a perda de segmentos. Detectar o congestionamento antes das perdas de pacotes aumenta a velocidade de processamento entre os pontos TCP. O ECN não é ativado por padrão.

Melhorias no IPv6

A Pilha TCP/IP de última geração dá suporte às seguintes melhorias no IPv6:

• IPv6 ativado por padrão

• Pilha IP dupla

• Configuração baseada em GUI

• Melhorias no Teredo

• Suporte IPsec integrado

• Multicast Listener Discovery versão 2

126


• Link-Local Multicast Name Resolution

• IPv6 pelo PPP

• IDs aleatórios de interface para endereços IPv6

• Suporte DHCPv6

IPv6 Ativado por Padrão

No Windows Server “Longhorn” e no Windows Vista, o IPv6 é instalado e ativado por padrão. É possível definir as configurações do IPv6 por meio das propriedades do componente TCP/IPv6 (Internet Protocol version 6) e também pelos comandos no contexto IPv6 da interface.

O IPv6 no Windows Server “Longhorn” e no Windows Vista não pode ser desinstalado, mas pode ser desabilitado.

Pilha IP Dupla

A Pilha TCP/IP de última geração dá suporte à arquitetura de camadas IP dupla, na qual as implementações do IPv4 e IPv6 compartilham camadas comuns de frame e transporte (TCP e UDP). A Pilha TCP/IP de última geração possui o IPv4 e o IPv6 ativados por padrão. Não é necessário instalar um componente separado para obter o suporte ao IPv6.

Configuração Baseada em GUI

No Windows Server “Longhorn” e no Windows Vista, você pode definir manualmente as configurações do IPv6, utilizando um conjunto de caixas de diálogo na pasta Conexões de Rede, semelhante ao processo de definir manualmente as configurações do IPv4.

Melhorias no Teredo

O Teredo fornece conectividade aprimorada para aplicativos ativados para o IPv6, fornecendo globalmente o endereçamento IPv6 exclusivo e permitindo o tráfego IPv6 para atravessar os NATs. Com o Teredo, os aplicativos ativados para o IPv6 que exigem o tráfego de entrada não solicitado e o endereçamento global, como aplicativos entre iguais, funcionarão pelo NAT. Esses mesmos tipos de aplicativos, se utilizassem o tráfego IPv4, ou exigiriam a configuração manual do NAT, ou não funcionariam sem a modificação do protocolo do aplicativo de rede.

O Teredo pode agora funcionar se houver um cliente Teredo atrás de um ou mais NATs simétricos. Um NAT simétrico mapeia o mesmo endereço (privado) e o mesmo número de porta internos para diferentes endereços e portas (públicos) externos, dependendo do endereço externo de destino (para o tráfego de saída). Este novo comportamento permite que o Teredo funcione entre um conjunto maior de hosts conectados à Internet.

127


No Windows Vista, o componente Teredo estará ativado, mas inativo por padrão. Para ativá-lo, um usuário deve instalar um aplicativo que precise utilizar o Teredo ou optar por alterar as configurações de firewall a fim de permitir que um aplicativo utilize o Teredo.

Suporte IPsec Integrado

No Windows Server “Longhorn” e no Windows Vista, o suporte IPsec para o tráfego IPv6 é o mesmo existente para o IPv4, incluindo o suporte para o IKE (Internet Key Exchange) e a criptografia de dados. Os snap-ins Windows Firewall with Advanced Security e IP Security Policies agora possuem suporte para a configuração de diretivas IPsec para o tráfego IPv6, igual ao que ocorre com o tráfego IPv4. Por exemplo, quando você configurar um filtro IP como parte de uma lista de filtros IP no snap-in IP Security Policies, será possível especificar endereços IPv6 e prefixos de endereços nos campos IP Address ou Subnet ao determinar um endereço IP específico de origem ou destino.

Multicast Listener Discovery Versão 2

O MLDv2 (Multicast Listener Discovery versão 2), especificado na RFC 3810, fornece suporte para o tráfego multicast específico à origem. O MLDv2 equivale ao IGMPv3 (Internet Group Management Protocol version 3) para IPv4.

Link-Local Multicast Name Resolution

O LLMNR (Link-Local Multicast Name Resolution) permite que hosts IPv6 em uma única sub-rede sem um servidor de DNS resolvam os nomes uns dos outros. Essa capacidade é muito útil para redes domésticas de única sub-rede e redes sem fio ad hoc.

IPv6 Pelo PPP

O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point Protocol), conforme definido na RFC 2472. O tráfego IPv6 pode agora ser enviado por conexões baseadas em PPP. Por exemplo, o suporte IPv6 pelo PPP permite que você se conecte a um ISP (Internet service provider) baseado no IPv6 por meio de conexões dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser utilizadas para o acesso de banda larga à Internet.

IDs Aleatórios de Interface para Endereços IPv6

Por padrão, com o intuito de evitar a varredura de endereços IPv6 baseados nos IDs conhecidos da empresa dos fabricantes de adaptadores de rede, o Windows Server “Longhorn” e o Windows Vista geram IDs aleatórios de interface para endereços IPv6 estáticos autoconfigurados, incluindo endereços públicos e locais de link.

Suporte DHCPv6

128


O Windows Server “Longhorn” e o Windows Vista incluem um cliente DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol version 6) que efetua a configuração automática de endereços com monitoramento de estado com um servidor DHCP. O Windows Server “Longhorn” inclui um serviço DHCP Server ativado para o DHCPv6.

Quality of Service (Qualidade de Serviço)

No Windows Server 2003 e no Windows XP, a funcionalidade QoS (Quality of Service) está disponível para os aplicativos por meio das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as APIs GQoS acessavam funções priorizadas de entrega. No Windows Server “Longhorn” e no Windows Vista, existem novos recursos para gerenciar o tráfego de rede corporativa e doméstica.

QoS Baseado em Diretivas para Redes Corporativas

As diretivas de QoS no Windows Server “Longhorn” e no Windows Vista permitem que os profissionais de TI dêem prioridade à taxa de envio para o tráfego de rede de saída ou gerenciem essa taxa. O profissional de TI pode restringir as configurações a nomes específicos de aplicativos, a endereços IP de origem e destino específicos e a portas UDP ou TCP de origem e destino.

As configurações de diretivas de QoS fazem parte da Diretiva de Grupo user configuration (configuração de usuário) ou computer configuration (configuração de computador) e são configuradas com a utilização do Group Policy Object Editor. Elas são vinculadas aos containeres dos Serviços de Domínio do Active Directory (domínios, sites e OUs - unidades organizacionais), por meio da utilização do Group Policy Management Console (Console de Gerenciamento de Diretivas de Grupo).

Para gerenciar a utilização de largura de banda, você pode configurar uma diretiva de QoS com uma taxa de aceleração para o tráfego de saída. Utilizando a otimização, uma diretiva de QoS pode limitar o tráfego de rede de saída agregado para uma taxa específica. Para especificar a entrega priorizada, o tráfego é marcado com um valor DSCP (Differentiated Services Code Point). Os roteadores ou os pontos de acesso sem fio na infra-estrutura de rede podem colocar pacotes marcados com o DSCP em filas diferentes para uma entrega diferenciada. A marcação com o DSCP e a otimização podem ser utilizados em conjunto para gerenciar o tráfego de forma eficiente. Como os processos de otimização e de marcação de prioridade são aplicados na camada de rede, não é preciso modificar os aplicativos.

129


5.05 Firewall do Windows com Segurança Avançada

Começando com o Windows Vista e o Windows Server “Longhorn”, a configuração do Firewall do Windows e do IPsec é combinada em uma única ferramenta, o snap-in MMC Windows Firewall with Advanced Security.

O snap-in MMC Windows Firewall with Advanced Security substitui ambas as versões anteriores dos snap-ins do IPsec, o IP Security Policies e o IP Security Monitor, para a configuração de computadores que executam o Windows Server 2003, o Windows XP ou o Windows 2000. Embora os computadores que executam o Windows Vista e o Windows Server “Longhorn” também possam ser configurados e monitorados por meio da utilização dos snap-ins anteriores do IPsec, não é possível utilizar as ferramentas mais antigas para configurar os diversos novos recursos e opções de segurança apresentados no Windows Vista e no Windows Server “Longhorn”. Para obter as vantagens desses novos recursos, você deve definir as configurações, utilizando o snap-in Windows Firewall with Advanced Security ou os comandos no contexto advfirewall da ferramenta Netsh.

O Windows Firewall with Advanced Security fornece diversas funções em um computador que executa o Windows Vista ou o Windows Server “Longhorn”:

• Filtragem de todo o tráfego do IPv6 e do IPv4 que entra no computador ou sai dele. Por padrão, todo o tráfego de entrada é bloqueado, a menos que ele seja uma resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou que ele seja especificamente permitido por uma regra criada para permitir esse tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de fortalecimento de serviço que evita a comunicação de serviços padrão de formas inesperadas. É possível optar por permitir o tráfego baseado em números de portas, em endereços do IPv4 ou IPv6, no caminho e nome de um aplicativo ou no nome de um serviço executado no computador ou, ainda, em outros critérios.

• Proteção do tráfego de rede que entra no computador ou sai dele, utilizando o protocolo IPsec a fim de verificar a integridade do tráfego de rede, autenticar a identidade dos computadores ou usuários de envio e recepção e, opcionalmente, criptografar o tráfego a fim de fornecer confidencialidade.

Começando com o Windows XP Service Pack 2, o Firewall do Windows foi ativado por padrão nos sistemas operacionais da Microsoft. O Windows Server “Longhorn” é o primeiro sistema operacional de servidor da Microsoft a ter o Firewall do Windows ativado por

130


padrão. Pelo fato de o Firewall do Windows estar ativado por padrão, todo administrador de um servidor que executa o Windows Server “Longhorn” deve estar atento a esse recurso e entender como o firewall deve ser configurado a fim de permitir o tráfego de rede exigido.

O console Windows Firewall with Advanced Security pode ser completamente configurado, utilizando o snap-in MMC Windows Firewall with Advanced Security ou os comandos disponíveis no contexto advfirewall da ferramenta de linha de comando Netsh. Tanto as ferramentas gráficas quanto as de linha de comando dão suporte ao gerenciamento do Windows Firewall with Advanced Security no computador local ou em um computador remoto que executa o Windows Server “Longhorn” ou Windows Vista que esteja na rede. As configurações criadas com a utilização dessas ferramentas podem ser implantadas nos computadores vinculados à rede, utilizando a Diretiva de Grupo.

Será preciso rever esta seção sobre o Windows Firewall with Advanced Security se você fizer parte de um dos seguintes grupos:

• Planejadores e analistas de TI que estão avaliando tecnicamente o produto.

• Planejadores e designers corporativos de TI.

• Profissionais de TI que implantam ou administram soluções de segurança de rede em uma organização.

O Windows Firewall with Advanced Security consolida duas funções que eram gerenciadas separadamente em versões anteriores do Windows. Além disso, a principal funcionalidade dos componentes do IPsec e de firewall do Windows Firewall with Advanced Security foi aprimorada de forma significativa no Windows Vista e Windows Server “Longhorn”.

Se você criar um software projetado para ser instalado no Windows Vista ou no Windows Server “Longhorn”, será preciso ter a certeza de que o firewall é configurado corretamente pela sua ferramenta de instalação, criando ou ativando regras que permitam que o tráfego de rede do programa passe pelo firewall. O seu programa deverá reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows, domínio, privado e público, e responder corretamente a uma alteração no tipo de local de rede. É importante lembrar que uma alteração no tipo de local de rede poderá resultar em diferentes regras de firewall sendo aplicadas no computador. Por exemplo, se você quiser que seu aplicativo seja executado somente em um ambiente seguro, como um domínio ou uma rede privada, as regras de firewall deverão evitar que o seu aplicativo envie o tráfego de rede quando o computador estiver em uma rede pública. Se o tipo de local de rede for alterado de forma inesperada durante a execução de seu aplicativo, ele deverá lidar muito bem com essa situação.

131


O Firewall do Windows é Ativado Por Padrão

O Firewall do Windows vem ativado por padrão nos sistemas operacionais cliente Windows desde o Windows XP Service Pack 2, mas, o Windows Server “Longhorn” é a primeira versão de servidor do sistema operacional Windows que possui o Firewall do Windows ativado por padrão. Isso causa conseqüências sempre que um aplicativo ou serviço é instalado e deve ter permissão para receber o tráfego de entrada não-solicitado pela rede. Muitos aplicativos antigos não são projetados para funcionar com um firewall baseado em host e podem não operar de forma correta, a menos que sejam definidas regras que permitam que o aplicativo aceite o tráfego de entrada de rede não-solicitado. Ao instalar uma função ou recurso de servidor incluído no Windows Server “Longhorn”, o instalador irá ativar ou criar regras para garantir que a função ou recurso de servidor funcione corretamente. Para determinar quais configurações de firewall devem ser definidas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configurações de firewall são sempre publicadas no site de suporte do fornecedor.

Nota

Um computador que executa o Windows Server 2003 e é atualizado para o Windows Server “Longhorn” mantém o mesmo estado operacional do firewall que tinha antes da atualização. Se o firewall for desabilitado antes da atualização, ele permanecerá nesse estado após a atualização. Recomendamos que você ative o firewall assim que houver a confirmação de que os aplicativos na rede funcionam com o firewall conforme configurado ou assim que as regras de firewall apropriadas forem configuradas para os aplicativos executados em seu computador.

O Gerenciamento da Diretiva IPsec é Simplificado

Em versões anteriores do Windows, as implementações de isolamento de domínio ou servidor exigiam a criação de um grande número de regras IPsec para garantir que o tráfego de rede exigido estava protegido de forma apropriada, fazendo com que o tráfego de rede exigido não pudesse ser assegurado com o IPsec.

A necessidade de um conjunto grande e complexo de regras IPsec é reduzida devido a um novo comportamento padrão para a negociação IPsec que solicita , mas não exige a proteção IPsec. Ao utilizar essa configuração, o IPsec envia uma tentativa de negociação IPsec e, ao mesmo tempo, envia pacotes de texto plano para o computador de destino. Se o computador de destino responder à negociação e concluí-la com sucesso, a comunicação de texto plano será interrompida, e a comunicação subseqüente será protegida pelo IPsec. Entretanto, se o computador de destino não responder

132


à negociação IPsec, a tentativa de texto plano terá permissão para prosseguir. Em versões anteriores do Windows, era preciso aguardar três segundos após a tentativa de negociação IPsec antes de tentar a comunicação utilizando o texto plano. Isso resultava em grandes atrasos no desempenho do tráfego, que não podia ser protegido e tinha de ser testado novamente em texto plano. Para evitar esse atraso de desempenho, um administrador precisava criar múltiplas regras IPsec para lidar com os diferentes requisitos de cada tipo de tráfego de rede.

Esse novo comportamento permite solicitar, mas não exigir, que a proteção IPsec realize o tráfego desprotegido, uma vez que o atraso de três segundos não é mais exigido. isso permite que você proteja o tráfego onde quer que ele seja exigido, sem a necessidade de criar regras que permitam explicitamente as exceções necessárias. Isso resulta em um ambiente mais seguro, menos complexo e que facilita a solução de problemas.

Suporte para IP Autenticado

Em versões anteriores do Windows, o IPsec dava suporte somente ao protocolo IKE (Internet Key Exchange) para negociar SAs (security association) do IPsec. O Windows Vista e o Windows Server “Longhorn” dão suporte a uma extensão ao IKE conhecida como AuthIP (Authenticated IP). O AuthIP fornece capacidades adicionais de autenticação. São elas:

• Suporte para os novos tipos de credenciais que não estão disponíveis no IKE isoladamente. Isso inclui: certificados de integridade fornecidos por um Health Certificate Server, o qual faz parte de uma implantação NAP (Network Access Protection; certificados baseados em usuários; credenciais de usuário Kerberos e credenciais de computador ou de usuário NTLM versão 2. Essas credenciais são adicionais para os tipos de credenciais suportados pelo IKE, como certificados baseados em computador, credenciais Kerberos para a conta de computador ou simplesmente chaves pré-compartilhadas.

• Suporte para autenticação, utilizando múltiplas credenciais. Por exemplo, o IPsec pode ser configurado para exigir que tanto as credenciais do usuário quanto as do computador sejam processadas com sucesso antes que o tráfego seja permitido. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser utilizado por um usuário não-confiável.

Suporte para Proteger um Membro de Domínio para o Tráfego de Controlador de Domínio Utilizando o IPsec

Versões anteriores do Windows não suportam a utilização do IPsec para proteger o tráfego entre controladores de domínio e

133


computadores membro de domínio. O Windows Vista e o Windows Server “Longhorn” são suporte à proteção do tráfego de rede entre computadores membro de domínio e controladores de domínio, utilizando o IPsec, enquanto permitem que um computador que não é membro de domínio passem a fazer parte de um domínio por meio da utilização do controlador de domínio protegido pelo IPsec.

Suporte Aprimorado para Criptografia

A implementação do IPsec no Windows Vista e no Windows Server “Longhorn” dá suporte a algoritmos adicionais para a negociação de modo principal de SAs:

• Curva Elíptica Diffie-Hellman P-256 (Elliptic Curve Diffie-Hellman P-256), um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 256 bits

• Curva Elíptica Diffie-Hellman P-384 (Elliptic Curve Diffie-Hellman P-384), um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 384 bits

Além disso, os seguintes métodos de criptografia que utilizam o AES (Advanced Encryption Standard) são suportados:

• AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128)

• AES com CBC e um tamanho de chave de 192 bits (AES 192)

• AES com CBC e um tamanho de chave de 256 bits (AES 256)

As Configurações Podem Ser Alteradas Dinamicamente Com Base no Tipo de Local de Rede

O Windows Vista e o Windows Server “Longhorn” podem notificar aplicativos, ativados para a rede, como o Windows Firewall, quanto às alterações nos tipos de local de rede disponíveis por meio de adaptadores de rede anexados, conexões VPN e assim por diante. O Windows dá suporte a três tipos de local de rede, e os programas podem utilizar esses tipos para aplicar automaticamente o conjunto apropriado de opções de configuração. Os aplicativos devem ser criados de forma que possam obter a vantagem desse recurso e receber notificações de alterações feitas nos tipos de local de rede. O Windows Firewall with Advanced Security no Windows Vista e no Windows Server “Longhorn” pode fornecer diferentes níveis de proteção com base no tipo de local de rede ao qual o computador está ligado.

Estes são os tipos de locais de rede:

• Domínio. Este tipo de local de rede será selecionado quando computador for membro de um domínio, e o Windows irá determinar que o computador está atualmente ligado à rede que hospeda o domínio. Essa seleção é baseada na

134


autenticação bem-sucedida com um controlador de domínio na rede.

• Privado. Este tipo de local de rede pode ser selecionado para redes confiáveis pelo usuário, como uma rede doméstica ou uma rede de um pequeno escritório, por exemplo. As configurações atribuídas a este tipo de local são mais restritivas do que uma rede de domínio, pois não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. Uma rede recém detectada nunca será automaticamente atribuída ao tipo de local Privado. Um usuário deve optar explicitamente por atribuir a rede ao tipo de local Privado.

• Público. Este tipo de local de rede é atribuído por padrão a todas as redes recém detectadas. As configurações atribuídas a este tipo de local são muito mais restritivas, devido aos riscos de segurança existentes em uma rede pública.

Nota

O recurso que permite definir o tipo de local de rede é muito útil em computadores cliente, principalmente em computadores portáteis, os quais são movidos de uma rede para outra. Não se espera que um servidor seja móvel. Por esse motivo, uma estratégia sugerida para um computador típico que executa o Windows Server “Longhorn” é configurar esses três perfis da mesma forma.

Integração do Firewall do Windows e do IPsec Management em uma Única Interface de Usuário

No Windows Vista e no Windows Server “Longhorn”, a interface de usuário para os componentes de firewall e do IPsec é agora combinada no snap-in MMC Windows Firewall with Advanced Security e em comandos no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas utilizadas no Windows XP, Windows Server 2003 e na família Windows 2000 — o modelo administrativo Windows Firewall, as configurações de Diretiva de Grupo, o IP Security Policy, os snap-ins MMC do IP Security Monitor e os contextos ipsec e firewall do comando Netsh — ainda estão disponíveis, mas não dão suporte aos mais novos recursos incluídos no Windows Vista e no Windows Server “Longhorn”. O ícone do Windows Firewall no Painel de Controle também ainda está presente, mas é uma interface de usuário final para gerenciar as funcionalidades básicas do firewall e não apresenta as opções avançadas exigidas por um administrador.

Utilizando as diversas ferramentas para o firewall e o IPsec em versões anteriores do Windows, aos administradores podem criar, acidentalmente, configurações conflitantes, como uma regra IPsec que faz com que um tipo específico de pacote de rede seja

135


interrompido, mesmo que exista uma regra de firewall para permitir que o mesmo tipo de pacote de rede esteja presente. Isso pode resultar em cenários com problemas difíceis de serem solucionados. Combinar as duas funções reduz a possibilidade de criar regras conflitantes e ajuda a garantir que o tráfego que você deseja proteger seja manipulado corretamente.

Suporte Total para a Proteção de Tráfego de Rede IPv4 e IPv6

Todos os recursos de firewall e do IPsec disponíveis no Windows Vista e no Windows Server “Longhorn” são utilizados para proteger o tráfego de rede IPv4 e IPv6.

Referências Adicionais

Os recursos a seguir fornecem informações adicionais sobre o Windows Firewall with Advanced Security e o IPsec:

• Para mais informações sobre o Windows Firewall with Advanced Security, veja “Windows Firewall” (http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft TechNet.

• Para mais informações sobre o IPsec, veja IPsec (http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet.

• Para mais informações sobre os cenários de isolamento de servidor e domínio, veja Isolamento de Domínio e Servidor (http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft TechNet.

• Para mais informações sobre o Network Access Protection, veja Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no site da Web Microsoft TechNet.

• Para mais informações sobre como criar aplicativos que estejam cientes dos tipos de local de rede, consulte o Network Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft MSDN®.

136


5.06 Cryptography Next Generation

O CNG (Cryptography Next Generation – Criptografia de Última Geração) fornece uma plataforma de desenvolvimento criptográfico flexível que permite que profissionais de TI criem, atualizem e utilizem algoritmos de criptografia personalizados em aplicativos relacionados à criptografia, como o Active Directory® Certificate Services, o SSL e o IPsec. O CNG implementa os algoritmos de criptografia Suite B do governo dos E.U.A , os quais incluem algoritmos para criptografia, assinaturas digitais, troca de chaves e hashing.

Além disso, o CNG fornece um conjunto de APIs utilizadas para:

• Realizar operações básicas de criptografia, como a criação de hashes e a criptografia e descriptografia de dados.

• Criar, armazenar e recuperar chaves de criptografia.

• Instalar e utilizar provedores adicionais de criptografia.

O CNG possui as seguintes capacidades:

• O CNG permite que os clientes utilizem seus próprios algoritmos de criptografia ou implementações de algoritmos padrão de criptografia. É possível adicionar novos algoritmos.

• O CNG dá suporte à criptografia no modo kernel. A mesma API é utilizada no modo kernel e no modo usuário para dar suporte total aos recursos de criptografia. O SSL/TLS e o IPsec, além dos processos de inicialização que utilizam o CNG, operam no modo kernel.

• O plano para o CNG inclui a aquisição da certificação FIPS (Federal Information Processing Standards) 140-2 nível 2 juntamente com as avaliações de Critérios Comuns (Common Criteria).

• O CNG atende aos requisitos do Common Criteria, utilizando e armazenando chaves de longa duração em um processo seguro.

• O CNG dá suporte ao conjunto atual de algoritmos CryptoAPI 1.0.

• O CNG fornece suporte aos algoritmos ECC (elliptic curve cryptography - criptografia de curva elíptica). Um grande número de algoritmos ECC é exigido pelo Suite B do governo dos Estados Unidos.

• Qualquer computador com um TPM (Trusted Platform Module - módulo de plataforma confiável) poderá fornecer isolamento e armazenamento de chave no TPM.

O CNG aplica à PKI (public key infrastructure) implantações que exigem a utilização dos algoritmos Suite B e que não precisam

137


estar integrados às CAs (certification authorities) que não dão suporte aos algoritmos Suite B, como as CAs instaladas em servidores que executam o Windows Server 2003 e o Windows 2000 Server.

Para utilizar os novos algoritmos de criptografia, a CA e os aplicativos deverão dar suporte ao ECC (ou a qualquer outro novo algoritmo implementado no CNG). Embora a CA precise emitir e gerenciar estes novos tipos de certificado, os aplicativos devem ser capazes de lidar com a validação da cadeia de certificados e utilizar as chaves geradas com os algoritmos Suite B.

Os algoritmos Suite B, como o ECC, são suportados somente no Windows Vista e no Windows Server “Longhorn”. Isso significa que não é possível utilizar esses certificados em versões anteriores do Windows, como Windows XP ou Windows Server 2003. Entretanto, é possível utilizar os algoritmos clássicos, como o RSA (Rivest-Shamir-Adleman) mesmo se as chaves tiverem sido gerada com um provedor de chaves CNG.

Os clientes que executam o Windows Vista ou o Windows Server “Longhorn” podem utilizar tanto o CryptoAPI 1.0 quanto a nova API CNG, pois ambas as APIs podem ser executadas lado a lado. No entanto, aplicativos, como o SSL, IPsec, S/MIME (Secure/Multipurpose Internet Mail Extensions) e o Kerberos, devem ser atualizados a fim de utilizar os algoritmos Suite B.

Implantação

Não implante certificados com algoritmos Suite B antes de verificar os seguintes requisitos:

• Antes de emitir certificados que utilizem algoritmos, tais como o ECC, verifique se suas CAs e seu sistema operacional dão suporte a esses algoritmos.

• Verifique se os aplicativos ativados para a PKI de sua organização podem utilizar certificados que confiam em provedores de criptografia CNG.

• Caso sua organização utilize certificados para suportar o logon de smart card, entre em contato com o fornecedor de seu smart card e veja se os smart cards que ele fornece podem lidar com algoritmos CNG.

No Windows Vista e no Windows Server “Longhorn”, os seguintes aplicativos ativados para certificados podem lidar com certificados que utilizam algoritmos de criptografia registrados no provedor CNG.

138


Aplicativos Ativados para Certificados

Nome do Aplicativo Verifica uma cadeia de certificados que

contém certificados com algoritmos

registrados em um provedor CNG

Utiliza algoritmos que não são suportados pelo CryptoAPI

EFS (Sistema de Arquivos Criptografado)

Sim Não

IPsec Sim Sim

Kerberos Não Não

S/MIME Outlook® 2003: não

Outlook 2007: sim

Outlook 2003: não

Outlook 2007: sim

logon via cartão inteligente

Não Não

SSL Sim Sim

Sem fio Sim Sim

Para utilizar os algoritmos para as operações de criptografia, primeiro, você precisa de uma CA baseada no Windows Server “Longhorn” para emitir certificados ativados para o Suite B.

Caso você ainda não possua uma PKI, será possível configurar uma CA baseada no Windows Server “Longhorn” em que os certificados da CA e os certificados da entidade final utilizem algoritmos Suite B. Entretanto, ainda será preciso verificar se todos os seus aplicativos estão preparados para os algoritmos Suite B e se podem dar suporte a esses certificados.

Caso você já possua uma PKI com CAs sendo executadas no Windows Server 2003 ou na qual algoritmos clássicos estão sendo utilizados para dar suporte aos aplicativos existentes, será possível adicionar uma CA subordinada em um servidor que executa o Windows Server “Longhorn”. No entanto, você deverá continuar utilizando os algoritmos clássicos.

Para inserir os algoritmos Suite B em um ambiente existente, no qual são utilizados os algoritmos clássicos, será preciso considerar a inserção de uma PKI secundária e a realização de uma certificação cruzada entre as duas hierarquias de CA.

Para mais informações sobre o CNG, veja API de Criptografia: Última Geração (http://go.microsoft.com/fwlink/?LinkID=74141).

Para mais informações sobre o Suite B, veja Criptografia Suite B NSA (NSA Suite B Cryptography Fact Sheet) (http://go.microsoft.com/fwlink/?LinkId=76618).

139


5.07 Serviços de Certificado do Active Directory

Os Serviços de Certificado do Active Directory fornece serviços personalizáveis para criar e gerenciar certificados de chave pública utilizados em sistemas de segurança de software que utilizam tecnologias de chave pública. As organizações podem utilizar os Serviços de Certificado do Active Directory para aprimorar a segurança, unindo a identidade de uma pessoa, dispositivo ou serviço a uma chave privada correspondente. Os Serviços de Certificado do Active Directory também inclui recursos que permitem gerenciar o registro e a revogação de certificados em diversos ambientes escalonáveis.

Os seguintes tópicos descrevem as alterações na funcionalidade dos Serviços de Certificado do Active Directory disponível neste lançamento:

• Serviços de Certificado do Active Directory: Registro Web

• Serviços de Certificado do Active Directory: Configurações de Diretivas

• Serviços de Certificado do Active Directory: Serviço de Registro de Dispositivo de Rede

• Serviços de Certificado do Active Directory: PKI Corporativo(PKIView)

• Serviços de Certificado do Active Directory: Suporte ao Protocolo de Status de Certificado Online

Serviços de Certificado do Active Directory: Registro Web

Um grande número de alterações foi feito ao suporte de registro Web de certificados no Windows Server “Longhorn”. Essas alterações resultam da exclusão do controle anterior de registro ActiveX® do Windows Vista e do Windows Server “Longhorn”e sua substituição pelo controle de registros COM. As seções a seguir descrevem essas alterações e suas respectivas implicações.

O registro Web de certificados está disponível desde sua inclusão nos sistemas operacionais Windows 2000. Ele é projetado para fornecer um mecanismo de ambiente para as organizações que precisam emitir e renovar certificados para usuários e computadores que não fazem parte de um domínio ou que não está conectados diretamente à rede e para usuários de sistemas operacionais não-Microsoft. Em vez de confiar no mecanismo de registro automático de uma CA ou utilizar o Certificate Request Wizard, o suporte de registro Web fornecido por uma CA baseada no em Windows permite que esses usuários solicitem e obtenham certificados novos e renovados por uma conexão da Internet ou da intranet.

140


Esse recurso é indicado para organizações que possuem PKIs com uma ou mais CAs que executam o Windows Server “Longhorn” e clientes que executam o Windows Vista e que desejam fornecer aos usuários a capacidade de obter novos certificados ou renovar os existentes, utilizando páginas da Web.

Adicionar suporte para páginas de registro Web pode aprimorar, de forma significativa, a flexibilidade e a escalabilidade da PKI de uma organização; portanto, esse recursos será de interesse de:

• Arquitetos de PKI

• Planejadores de PKI

• Administradores de PKI

O controle de registro anterior, o XEnroll.dll, foi removido do Windows Vista e do Windows Server “Longhorn”, e um novo controle de registro, o CertEnroll.dll, foi inserido. Embora o processo de registro Web ocorra essencialmente como para o Windows 2000, Windows XP e Windows Server 2003, essa alteração nos controles de registro poderá impactar na compatibilidade quando usuários e computadores que executam o Windows Vista ou o Windows Server “Longhorn” tentarem solicitar um certificado, utilizando páginas de registro Web instaladas nessas versões anteriores do Windows.

O XEnroll.dll está sendo retirado pelas seguintes razões:

• O XEnroll.dll é um controle de legado criado há alguns anos e não é considerado tão seguro quanto os controles criados recentemente.

• O XEnroll.dll possui uma interface monolítica que expõe diversos conjuntos de funcionalidades. Ele possui mais de 100 métodos e propriedades. Esses métodos e propriedades foram inseridos com o passar dos anos, e chamar uma função pode alterar o comportamento de outra função, o que dificulta os processos de teste e manutenção.

Nota

O XEnroll.dll pode continuar a ser utilizado para o registro Web em computadores que executam o Windows 2000, Windows XP e Windows Server 2003. Por outro lado, o CertEnroll.dll foi criado para ser mais seguro, mais fácil de ser preparado e atualizado do que o XEnroll.dll.

As CAs do Windows Server “Longhorn” continuarão a dar suporte às solicitações de registro Web de certificados a provenientes de usuários em clientes Windows XP e Windows Server 2003. Se você registra certificados por meio das páginas de registro Web do Windows Server “Longhorn” a partir de um computador baseado no Windows XP, Windows Server 2003 ou Windows 2000, as páginas de registro Web irão detectar esse fato e utilizarão o controle Xenroll.dll instalado localmente no cliente. Entretanto, alguns comportamentos do cliente serão diferentes daqueles das versões anteriores do Windows. São eles:

141


• A capacidade de agente de registro (também conhecida como a estação de registro de smart card) foi removida do registro Web no Windows Server “Longhorn”, pois o Windows Vista fornece sua própria capacidade de agente de registro. Se houver a necessidade de efetuar o registro em nome de outro cliente com um registro Web do Windows Server “Longhorn”, você deverá utilizar computadores que executem o Windows Vista como estações de registro. De forma alternativa, você poderá utilizar um servidor baseado no Windows Server 2003 com o registro Web instalado e utilizar o servidor como um agente de registro a fim de registrar certificados por meio de uma CA do Windows Server “Longhorn”.

• Somente os usuários do Internet Explorer® versão 6.x ou Netscape 8.1 Browser poderão enviar solicitações de certificado diretamente por meio das páginas de registro Web. Usuários de outros navegadores da Web ainda poderão enviar solicitações de registro, utilizando as páginas de registro Web, mas, primeiramente, deverão gerar previamente uma solicitação PKCS#10 para ser enviada por meio das páginas de registro Web.

• O registro de Web de certificados não pode ser utilizado com os templates de certificado versão 3,0 (os quais estão sendo apresentados no Windows Server “Longhorn” para o suporte à emissão de certificados em conformidade com o Suite B).

• O Internet Explorer não pode ser utilizado no contexto de segurança de computadores locais; portanto, os usuários não podem mais solicitar certificados de computador com a utilização do registro Web.

• No Windows Server “Longhorn” Beta 2, o suporte de registro Web está disponível somente nas edições dos idiomas alemão e inglês dos EUA O suporte de registro Web estará disponível em todas as versões de idiomas do produto final do Windows Server “Longhorn”.

A configuração que deve ser feita para o suporte de registro Web de certificados é, simplesmente, adicionar o serviço de função à função de servidor.

Se o suporte de registro Web estiver instalado no mesmo computador que a CA, não será exigida nenhuma configuração adicional.

Se o serviço de função de registro Web e a CA estiverem instalados em computadores diferentes,será preciso identificar a CA como parte da instalação do registro Web.

Após a instalação do serviço de função de registro Web, um novo site chamado “CertSrv” estará disponível por meio do IIS.

Nota

142


No Windows Server “Longhorn” Beta 2, o arquivo utilizado pelo suporte de registro Web para encontrar a CA está localizado no diretório de linguagem específica, como %SYSTEMROOT%\system32\certsrv\[language]\certdat.inc. Esse arquivo passará a ser um arquivo de configuração global que define a configuração para todos os pacotes de idioma instalados para o registro Web. Se você possuir diversos pacotes de idioma instalados em um servidor IIS, todos os arquivos certdat.inc nos subdiretórios de linguagem específica deverão ser idênticos.

As páginas de registro Web não-Microsoft sofrerão um grande impacto, pois o controle XEnroll.dll não está disponível no Windows Server “Longhorn” e no Windows Vista. Os administradores dessas CAs terão de criar soluções alternativas para o suporte à emissão de certificados e a renovação para clientes que utilizam o Windows Server “Longhorn” e o Windows Vista, enquanto continuam utilizando o Xenroll.dll para versões anteriores do Windows.

Os administradores também precisam planejar a configuração apropriada de seus servidores que executam o IIS. O IIS pode ser executado somente nos modos de 64 ou 32 bits. Se você instalar o IIS em um servidor que executa a versão de 64 bits do Windows Server “Longhorn”, você não deverá instalar nenhum aplicativo Web de 32 bits, como o WSUS, nesse computador. Caso contrário, instalação do serviço de função de registro irá falhar.

Serviços de Certificado do Active Directory: Configurações de Diretivas

As configurações de certificado na Diretiva de Grupo do Windows Server “Longhorn” permitem que os administradores gerenciem configurações de validação de certificado de acordo com as necessidades de segurança da organização.

As configurações de certificado na Diretiva de Grupo permite que os administradores gerenciem as configurações de certificado em todos os computadores do domínio a partir de um local central. Definir as configurações utilizando a Diretiva de Grupo poderá causar alterações em todo o domínio.

Por exemplo, em situações em que determinados certificados de CA expiram e os clientes não conseguem recuperar automaticamente um novo certificado, os administradores poderão implantar esses certificados para os computadores cliente por meio da Diretiva de Grupo.

Outro cenário é quando os administradores desejam garantir que os usuários nunca irão instalar aplicativos assinados com certificados de publicação não aprovada. Eles poderão configurar timeouts de rede para um melhor controle dos timeouts de construção em cadeia para grandes CRLs (certification revocation lists - listas de revogação de certificação). Além disso, os administradores poderão utilizar as configurações de revogação

143


para estender os tempos de expiração das CRLs caso um atraso na publicação de uma nova CRL afete os aplicativos.

Esse recurso aplica-se às organizações que possuem PKIs com uma ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para gerenciar computadores cliente.

Utilizar as configurações de validação de certificado na Diretiva de Grupo poderá aprimorar, de forma significativa, a capacidade de:

• Arquitetos de segurança aprimorarem a utilização da relação de confiança baseada em certificados.

• Administradores de segurança gerenciarem aplicativos ativados para a PKI em seus ambientes.

Pelo fato de as infra-estruturas de chave pública X.509 terem se tornado mais amplamente utilizadas como uma base de confiança, muitas organizações precisam de mais opções para gerenciar a descoberta de caminho de certificados e a validação de caminhos. Versões anteriores dos sistemas operacionais Windows possuíam poucas configurações para implementar esse tipo de controle.

As configurações de Diretiva de Grupo relacionadas a certificados podem ser encontradas no Group Policy Object Editor, em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas de Chave Pública. As seguintes opções de diretiva podem ser gerenciadas em guias separadas na página de propriedades Certificate Path Validation Settings:

• Stores (Armazenamentos)

• Trusted Publishers (Editores Confiáveis)

• Network Retrieval (Recuperação de Rede)

• Revocation (Revogação)

Além disso, quatro novos armazenamentos de diretiva foram adicionados em Diretivas de Chave Pública (Public Key Policies) para serem utilizados na distribuição de diferentes tipos de certificados para os clientes:

• Intermediate Certification Authorities (Autoridades Intermediárias de Certificação)

• Trusted Publishers (Editores Confiáveis)

• Untrusted Certificates (Certificados Não-Confiáveis)

• Trusted People (Pessoas Confiáveis)

Esses novos armazenamentos são uma adição aos armazenamentos Enterprise Trust (Relação de confiança Corporativa) e Trusted Root Certification Authorities (Autoridades de Certificação de Raiz Confiável) disponíveis no Windows Server 2003.

Essas configurações de validação de caminho e armazenamentos de certificados podem ser utilizadas para realizar as seguintes tarefas:

144


• Gerenciar armazenamentos de certificado peer trust e trusted root.

• Gerenciar editores confiáveis.

• Bloquear certificados que não sejam confiáveis de acordo com a diretiva.

• Gerenciar a recuperação de dados relacionados a certificados.

• Gerenciar períodos de expiração para CRLs e respostas OCSP (online certificate status protocol).

• Implantar certificados.

Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root

Utilizando a guia Stores na caixa de diálogo Certificate Path Validation Settings, os administradores podem regular a capacidade de os usuários gerenciarem seus próprios certificados trusted root e peer trust. Este controle pode ser implementado para que os usuários não tenham permissão para tomar quaisquer decisões quanto à relação de confianças de ponto ou raiz (root or peer trust). Além disso, ele pode ser utilizado para controlar quantos propósitos de certificado específicos, como assinatura e criptografia, os usuários podem gerenciar por relação de confiança entre iguais (peer trust).

A guia Stores também permite que os administradores especifiquem se os usuários em um computador ligado a um domínio poderão confiar somente em CAs de raiz corporativa ou em CAs de raiz não-Microsoft de raiz corporativa.

Se, por um lado, um administrador precisa distribuir certificados selecionados de raiz confiável, para computadores no domínio, esses certificados serão propagados para o armazenamento de certificado apropriado na próxima vez em que a diretiva de domínio for restaurada.

Devido à crescente variedade de certificados em uso nos dias de hoje e à grande importância das decisões a serem tomadas quanto ao fato de reconhecer ou não esses certificados, algumas organizações podem desejar gerenciar a relação de confiança de certificados e evitar que os usuários no domínio configurem seu próprio conjunto de certificados de raiz confiável.

Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização, além de terminar como esses certificados deverão ser controlados. Você pode conseguir fornecer as usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.

145


Gerenciar Editores Confiáveis

As opções de diretiva encontradas na guia Trusted Publishers da caixa de diálogo Configurações de Validação de Caminho permitem que os administradores controlem quais certificados podem ser aceitos quando vierem de um editor confiável.

A assinatura de software tem sido utilizada por um número crescente de editores de software e desenvolvedores de aplicativos a fim de verificar se seus aplicativos são provenientes de uma fonte confiável. No entanto, muitos usuários não compreendem os certificados de assinatura associados aos aplicativos que instalam ou sequer dão atenção a esse fato.

Especificar opções de diretiva de publicação confiáveis por toda a organização permite que as organizações decidam de os certificados Authenticode® podem ser gerenciados pelos usuários e administradores ou se apenas pelos administradores corporativos.

Além disso, esta seção da diretiva de validação de caminho pode exigir que as verificações de revogação adicional e o time stamp sejam realizados antes que um certificado de publicação confiável seja aceito.

Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização, além de determinar como esses certificados deverão ser controlados. Você pode conseguir fornecer aos usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.

Bloquear Certificados Que Não Sejam Confiáveis de Acordo Com a Diretiva.

É possível evitar que determinados certificados sejam utilizados em sua organização, adicionando-os no armazenamento Untrusted Certificates (Certificados Não-Confiáveis).

Pelo fato de os administradores serem responsáveis pela prevenção da entrada de vírus e outros softwares maliciosos em seus ambientes, no futuro, eles poderão desejar bloquear a utilização de determinados certificados. Um certificado emitido por sua própria CA pode ser revogado, sendo adicionado a uma lista de revogação de certificados. Não é possível revogar certificados emitidos por CAs externas. Entretanto, é possível proibir esses certificados não-confiáveis, adicionando-os no armazenamento Untrusted Certificates. Esses certificados serão copiados para o armazenamento Untrusted Certificates de cada computador cliente no domínio na próxima vez em que a Diretiva de Grupo for restaurada.

146


Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização, além de terminar como esses certificados deverão ser controlados. Você pode conseguir fornecer aos usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.

Gerenciar a Recuperação de Dados Relacionados a Certificados.

As CRLs podem tornar-se muito grandes e, conseqüentemente, falharem no processo de download, pois o processo é mais demorado do que o timeout padrão de 15 segundos. As opções encontradas na guia Network Retrieval da caixa de diálogo Configurações de Validação de Caminho permitem que os administradores modifiquem os timeouts de recuperação padrão a fim de resolver esse problema.

Além disso, as configurações de validação de caminho e de recuperação de rede permitem que os administradores:

• Atualizem certificados automaticamente no Microsoft Root Certificate Program.

• Configurem valores de timeout de recuperação para as CRLS e a validação de caminho (valores padrão maiores poderão ser úteis se as condições de rede não forem ótimas).

• Ativem a recuperação de certificados do emissor durante a validação de caminho.

• Definam a freqüência de realização do download de certificados cruzados.

Para melhor eficiência, dados relacionados aos certificados, como certificados de raiz confiável e listas de revogação de certificados, deverão ser atualizados adequadamente. No entanto, as condições de rede nem sempre são ótimas, como para usuários remotos ou escritórios de filiais. Essas configurações de Diretiva de Grupo permitem que você garanta que os dados relacionados aos certificados sejam atualizados mesmo quando as condições de rede forem inferiores ao estado otimizado.

Ao preparar-se para esta alteração, determine se as condições de rede impactam nos tempos de download das CRLs.

Gerenciar Períodos de Expiração para CRLs e Respostas OCSP

A revogação de um certificado anula um certificado como uma credencial de segurança confiável antes da expiração natural de seu período de validade. Um PKI depende da verificação distribuída das credenciais, em que não há necessidade de

147


comunicação direta com a entidade confiável principal que atesta as credenciais.

Para o suporte eficiente da revogação de certificados, o cliente deve determinar se o certificado é válido ou se ele foi revogado. Para dar suporte a uma variedade de cenários, os Serviços de Certificado do Active Directory tem suporte para os métodos de padrão industrial de revogação de certificados.

Isso inclui a publicação de CRLs e CRLs em diversos locais para serem acessadas pelos clientes, incluindo os Serviços de Domínio do Active Directory, servidores Web e compartilhamentos de arquivos de rede. No Windows, os dados de revogação podem ser disponibilizados em diversas configurações por meio das respostas OCSP.

As condições de rede podem evitar que as CRLs mais recentes sejam publicadas, o que poderá fazer com que todos as validações da cadeia de certificados falhem. Estender o tempo de expiração da CRL existente e da resposta OCSP pode prevenir que isso ocorra.

Utilizar configurações de Diretiva de Grupo relacionadas aos dados de revogação de certificados exige um planejamento cuidadoso para determinar o equilíbrio apropriado entre a adesão rigorosa ao cronograma de publicação de CRL padrão e as conseqüências potenciais de estender o período de validade da CRL caso uma CRL atualizada não esteja disponível.

Implantando Certificados

Os certificados de usuário e computador podem ser implantados, usando-se diversos mecanismos, incluindo o registro automático, o Assistente para Requisição de Certificado e o registro na Web. Mas implantar outros tipos de certificados em uma grande quantidade de computadores pode ser algo desafiador. No Windows Server 2003, era possível distribuir um certificado CA de raiz confiável e certificados corporativos de confiança usando a Diretiva de Grupo. No Windows Server “Longhorn”, todos os tipos de certificados que seguem podem ser distribuídos, quando são armazenados adequadamente na Diretiva de Grupo:

• Certificados CA de raiz confiáveis

• Certificados corporativos de confiança

• Certificados CA Intermediários

• Certificados confiáveis do editor

• Certificados não-confiáveis

• Pessoas confiáveis (para os certificados de confiança)

A variedade crescente dos certificados e a sua utilização exige que os administradores tenham meios eficientes para distribuí-los a usuários e computadores em suas organizações.

148


Usar configurações de Diretiva de Grupo relacionadas à relação de confiança requer um planejamento cauteloso para determinar as necessidades de usuários e computadores em sua organização, além da quantidade de controle que eles devem ter sobre esses certificados. Você deve ter a capacidade de fornecer o livre arbítrio aos usuários, se combinar o uso dessas configurações com um treinamento claro e efetivo, a fim de que os usuários entendam a importância dos certificados, os riscos de um gerenciamento fraco de certificados e a maneira de gerenciá-los de forma responsável.

Você deve ser membro do grupo de Administradores de Domínio para configurar a Diretiva de Grupo neste domínio.

Serviços de Certificado do Active Directory: Network Device Enrollment Service

O Network Device Enrollment Service (NDES) é a implementação da Microsoft para o certificado Enrollment Protocol (SCEP), um protocolo de comunicação que possibilita que o software seja executado em dispositivos de rede, como roteadores e alternadores, que, por sua vez, não podem ser autenticados na rede, para registrar certificados de x509 a partir do CA.

O NDES opera como um filtro da Interface de Programação de Aplicação para o Servidor da Internet (ISAPI) no IIS que desempenha as seguintes funções:

• Gerar e fornecer senhas únicas de registro aos administradores

• Receber e processar requisições de registro SCEP em nome de softwares executados nos dispositivos de rede

• Recuperar requisições pendentes do CA.

Este recurso aplica-se às organizações que têm PKIs com um ou mais CAs do Windows Server “Longhorn” CAs e que desejam aprimorar a segurança das comunicações, usando o IPsec com dispositivos de rede, como os roteadores e alternadores.

Adicionar suporte ao NDES pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organização; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores.

As organizações e os profissionais interessados nos NDES podem querer saber mais sobre as especificações de SCEP em que ele se baseia.

O SCEP foi desenvolvido pela Cisco Systems Inc. como extensão aos já existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padrões, para permitir o registro de dispositivo de rede e certificado da aplicação com os CAs.

No Windows Server 2003, o Microsoft SCEP (MSCEP) era um suplemento do Windows Server 2003 Resource Kit que precisava ser

149


instalado no mesmo computador que o CA. No Windows Server “Longhorn,” o suporte do MSCEP foi renomeado para NDES e faz parte do sistema operacional, podendo ser instalado em um computador diferente do CA.

A extensão do NDES ao IIS utiliza o registro para armazenar configurações de configurações. Todas as configurações são armazenadas sob a chave do Registro:

HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP

A tabela que segue define as chaves de registro usadas para configurar o MSCEP:

Chaves do Registro em MSCEP

Nome da Configuração Opcional Valor Padrão

Valores Possíveis

Atualização Não 7 Quantidade de dias em que as requisições pendentes são mantidas no banco de dados NDESP.

Aplicar Senha Não 1 Define se as senhas são exigidas para requisições de registro. O valor 1 significa que o NDES requer uma senha para requisições de registro. O valor 0 (zero) significa as senhas não requeridas.

PasswordMax Não 5 Quantidade máxima de senhas disponíveis que podem ser armazenadas.

Nota:

Nas versões anteriores, o padrão era 1.000.

PasswordValidity Não 60 Quantidade de minutos em que uma senha é válida.

PasswordVDir Sim O nome do diretório virtual pode ser usado para as requisições de senha. Se definido, o NDES aceita requisições de senha apenas do diretório virtual estabelecido. Se o valor está vazio ou não configurado, o NDES aceita as requisições de senha de qualquer diretório virtual.

CacheRequest Não 20 Quantidade de minutos em que os certificados emitidos são mantidos no banco de dados SCEP.

CAType Não Baseado na configuração

Identifica o tipo de CA ao qual o NDES está ligado. O valor 1 significa que é um CA corporativa; o valor 0 significa que é um CA autônomo.

SigningTemplate Sim Não definido

Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar o certificado.

EncryptionTemplate Sim Não definido

Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para um certificado de criptografia.

SigningAndEncryptionTemplate

Sim Não definido

Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar e criptografar

150


um certificado, ou quando a requisição não inclui uma utilização estendida da chave.

Antes de instalar o NDES, decida o seguinte:

• Se usar uma conta de usuário dedicada para o serviço ou usar a conta do Network Service

• O nome da autoridade de registro (RA) do NDES e qual país/região usar. As informações são incluídas em qualquer certificado MSCEP emitido

• O provedor de serviço criptográfico (CSP) para usar na chave de assinatura usada para criptografar a comunicação entre o CA e a RA

• O CSP a ser usado para a chave de criptografia usada para criptografar a comunicação entre a RA e o dispositivo de rede

• A extensão de cada chave

Além disso, você precisa criar e configurar modelos de certificado usados juntamente com o NDES.

Instalar o NDES em um computador cria uma nova RA e exclui quaisquer certificados RA pré-existentes no computador. Portanto, se você planeja instalar o NDES em um computador em que outra RA tenha sido configurada, quaisquer requisições pendentes de certificado devem ser processadas e todos os certificados não declarados devem ser antes de o NDES ser instalado.

Serviços de Certificado do Active Directory: PKI Corporativo

Monitorar e ajustar a integridade de múltiplos CAs para a hierarquia de PKI corporativo, nos Serviços de Certificado do Active Directory, são tarefas administrativas essenciais simplificadas pelo PKI Corporativo (PKIView). Originalmente parte do Microsoft Windows Server 2003 Resource Kit, chamado de ferramenta PKI Health, o PKIView é agora um snap-in de MMC do Windows Server “Longhorn.” Como ele faz parte do sistema operacional núcleo do Windows Server “Longhorn,” você pode usá-lo depois da instalação do servidor, apenas adicionando-o ao MMC. Ele então se torna disponível para analisar o estado de integridade dos CAs e para ver detalhes dos certificados de CA publicados nos Serviços de Certificados do Active Directory.

O PKIView fornece uma visualização do status do seu ambiente PKI da rede. Ter uma visão de todos os CAs e de seus estados permite que os administradores gerenciem as hierarquias de CA e solucionem problemas de possíveis erros, de forma fácil e efetiva. Mais especificamente, o PKIView indica a validade ou acessibilidade dos locais de acesso às informações de autoridade (AIA) e dos pontos de distribuição de CRL (CDP).

151


Para cada CA selecionado, o PKIView indica o estado de integridade do CA em árvore, como segue:

Estados de integridade do CA

Indicador Estado do CA

Ponto de Interrogação Avaliação do estado de integridade do CA

Indicador verde CA sem nenhum problema

Indicador amarelo CA com problema não-crítico

Indicador vermelho CA com problema crítico

Cruz vermelha sobre o ícone do CA

CA está offline

Ao adicionar um snap-in do PKIView ao MMC, você vê três painéis:

• Árvore. Este painel exibe uma representação em árvore da sua hierarquia de PKI corporativo. Cada nó abaixo de Enterprise PKI representa um CA com outros CAs atuando como nós filhos.

• Resultados. Para o CA selecionado na árvore, este painel exibe uma lista de CAs subordinados, certificados de CA, pontos de distribuição CRL (CDPs) e locais AIA. Se a raiz do console for selecionada na árvore, o painel de resultados exibe todos os CAs da raiz. Há três colunas no painel de resultados:

o Nome. Se o nó Enterprise PKI é selecionado, os nomes dos CAs raiz, abaixo do primeiro, são exibidos. Se um CA ou um CA filho for selecionado, então os nomes dos certificados de CA, locais AIA e CDPs são exibidos.

o Status. Breve descrição do status do CA (também indicado na árvore pelo ícone associado ao CA selecionado) ou o status dos Certificados de CA, locais AIA ou CDPs (indicado pelas descrições em texto do status, exemplos dos quais são OK e Não é possível fazer o Download).

o Local. Os locais AIA e os CDPs (protocolo e caminho) para cada certificado. Alguns exemplos são file://, HTTP:// e LDAP://.

• Ações. Este painel fornece a mesma funcionalidade encontrada nos menus Ações, Exibir e Ajuda.

Dependendo do item selecionado tanto na árvore como no painel de resultados, você pode visualizar mais detalhes sobre os CAs e certificados de CA, incluindo informações de AIA e CRL no painel de ações. Você também pode gerenciar a estrutura do PKI corporativo e fazer correções ou alterações nos certificados de CA ou CRLs.

152


Você pode usar o PKIView em uma rede corporativa que utilize os Serviços de Certificado do Active Directory e contenha um ou mais CAs, geralmente com mais de uma hierarquia de PKI.

Os usuários mais avançados de PKIView incluem administradores e profissionais de TI familiarizados com o monitoramento da integridade do CA e a resolução de problemas no ambiente de rede dos Serviços de Certificado do Active Directory.

Você pode usar o PKIView apenas no ambiente dos Serviços de Certificado do Active Directory.

O PKIView agora suporta a codificação de caracteres Unicode.

Suporte a Caracteres Unicode

O PKIView fornece suporte completo para caracteres Unicode, juntamente com a codificação do PrintableString. Usar a codificação de caracteres Unicode permite que você apresente textos e símbolos de todos os idiomas. A codificação Unicode usa um esquema de Formato de Transformação Unicode (UTF-8) que atribui dois bytes para cada caractere. É possível um total de 65.536 combinações. Em contrapartida, a codificação PrintableString permite que você use apenas um simples sub-conjunto de caracteres ASCII. Esses caracteres são de A-Z a-z 0-9 (espaço) ' () + , . / : = ?.

Serviços de Certificado do Active Directory: Suporte ao Protocolo de Status do Certificado Online

Cancelar um certificado é uma parte necessária do processo de gerenciar certificados emitidos por CAs. Os meios mais comuns de comunicar um status do certificado é distribuindo CRLs. Nas infra-estruturas de chave pública do Windows Server “Longhorn”, em que o uso de CRLs convencionais não é a melhor solução, um Online Responder, baseado no OCSP, pode ser usado para gerenciar e distribuir as informações de status da revogação.

O uso dos Online Responders que distribuem respostas de OCSP, junto com o uso dos CRLs, é um dos dois métodos mais comuns para transmitir informações sobre a validade dos certificados. Diferente dos CRLs, distribuídos periodicamente, com informações sobre todos os certificados que foram cancelados ou suspensos, um Online Responder recebe e responde apenas as requisições de clientes que pedem informações sobre o status de um único certificado. A quantidade de dados recuperados por requisição permanece constante, independente de quantos certificados cancelados possam haver.

Em muitos casos, os Online Responders podem processar requisições de status do certificado de forma mais eficiente do que usando listas de revogação de certificado.

153


• Os clientes se conectam remotamente à rede e não precisam, ou não têm, conexões de alta velocidade para o download de grandes CRLs.

• Uma rede precisa controlar altos picos de atividade de verificação de revogação, como quando grande número de usuários efetua login ou envia um e-mail assinado ao mesmo tempo.

• Uma organização precisa de meios eficientes para distribuir os dados de revogação para certificados emitidos por um CA que não seja Microsoft.

• Uma organização deseja fornecer apenas os dados de revogação necessários para verificar as requisições individuais do status do certificado, e não só tornar disponíveis as informações sobre todos os certificados cancelados ou suspensos.

Este recurso aplica-se a organizações que têm PKIs com um ou mais CAs do Windows.

Adicionar um ou mais Online Responders pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organização; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores.

Para instalar um Online Responder, você deve ser administrador do computador em que ele está instalado.

Os Online Responders, no Windows Server “Longhorn”, incluem os seguintes recursos.

• Caching do proxy da Web. O armazenamento do proxy da Web do Online Responder é a interface de serviços para o Online Responder. Ele é implementado como uma extensão ISAPI hospedada pelo IIS.

• Suporte a requisições únicas ou contínuas. As opções de configuração para requisição única ou contínua podem ser usadas para prevenir ataques freqüentes de respostas do Online Responder.

• Integração de configuração do Windows. Um Online Responder pode ser configurado, usando-se a Ferramenta de Gerenciamento de Funções do Windows Server.

• Suporte avançado à criptografia. Um Online Responder pode ser configurado para usar uma criptografia de curva elíptica (ECC) e SHA-256 para operações criptográficas.

• Modelos pré-configurados de certificados de assinatura OCSP. A implantação de um Online Responder é simplificado pelo uso de um modelo de certificado de assinatura OCSP, disponível no Windows Server “Longhorn.”

• Integração do protocolo Kerberos. As requisições e respostas do Online Responder podem ser processadas junto

154


com a autenticação de senha do para uma validação imediata dos certificados de servidor ao efetuar login.

Os Microsoft Online Responders são baseados no RFC 2560 para OCSP e estão em conformidade com eles. Por essa razão, as respostas quanto ao status do certificado dos Online Responders são geralmente referidas como respostas OCSP. Para mais informações sobre o RFC 2560, visite o site do Internet Engineering Task Force em (http://go.microsoft.com/fwlink/?LinkId=67082).

Dois novos conjuntos de funcionalidades podem ser originados do serviço Online Responder:

• Online Responders. A funcionalidade básica do Online Responder fornecida por um único computador em que seu Serviço está instalado.

• Matrizes do Responder. Diversos computadores ligados que hospedam o Online Responders e processam as requisições de status do certificado.

Online Responder

Um Online Responder é um computador em que o serviço do Online Responder é executado. Um computador que hospeda um CA também pode ser configurado como um Online Responder, mas recomenda-se manter os CAs e os Online Responders em computadores separados. Um único Online Responder pode fornecer informações de status de revogação para certificados emitidos por um único CA ou diversos. As informações de revogação de CA podem ser distribuídas usando mais de um Online Responder.

As aplicações que dependem de certificados X.509, como S/MIME, SSL, EFS e smart cards precisam validar o status dos certificados sempre que são usados para realizar autenticação, assinatura ou criptografia. A verificação de revogação e status do certificado analisa a validade dos certificados com base em:

• Tempo. Os certificados são emitidos em um período de tempo fixo e considerado válido, contanto que não se atinja a data de vencimento do certificado e que ele não seja cancelado antes da data.

• Status da revogação. Os certificados podem ser cancelados antes da sua data de vencimento, por uma série de motivos, como a suspensão ou comprometimento da chave.

As listas de revogação do certificado contêm os números de série de todos os certificados emitidos por um CA que tenha sido cancelado. Para um cliente verificar o status de revogação de um certificado, ele deve fazer o download de um CRL que contenha informações sobre todos os certificados que tenham sido cancelados pelo CA.

Há duas principais desvantagens nisso: Com o tempo, os CRLs podem se tornar extremamente grandes, o que pode exigir recursos significativos de rede e armazenamento para o CA, além da parte

155


componente. Isso pode resultar em compensações entre uma distribuição mais freqüente de CRLs atualizados e o tempo e largura de banda da rede para distribuí-los. Se os CRLs forem publicados com menor freqüência, os clientes deverão contar com informações sobre a revogação menos precisas.

Já houve inúmeras tentativas de resolver o tamanho do CRL por meio da introdução de CRLs particionados, CRLs delta e CRLs indiretos. Todas essas abordagens acrescentaram complexidade e custo ao sistema, sem fornecer uma solução.

Quando você utiliza o Online Responders, em vez de contar com os clientes, eles recebem todos os dados de revogação do certificado. Uma parte confiável envia uma requisição de status sobre um certificado individual para um Online Responder, que retorna uma resposta definitiva e digitalmente assinada, indicando o status apenas do certificado solicitado. A quantidade de dados recuperados por requisição é constante, independente de quantos certificados cancelados existam no banco de dados, dentro do CA. Os Online Responders podem ser instalados em computadores que executam o Windows Server “Longhorn”. Eles devem ser instalados depois dos CAs, mas antes que os certificados clientes sejam emitidos. Os dados de revogação do certificado são derivados de um CRL publicado que pode vir de um CA em um computador que execute o Windows Server “Longhorn,” um que execute o Windows Server 2003, ou de um CA não-Microsoft.

Antes de configurar um CA para suportar o serviço Online Responder, deve-se apresentar o seguinte:

• O IIS deve estar instalado no computador, antes que o Online Responder possa ser instalado. A configuração correta do IIS para o Online Responder é instalada automaticamente quando você instala um Online Responder.

• Um modelo de certificado de assinatura OCSP deve ser configurado no CA, além do registro automático usado para emitir um certificado de assinatura OCSP para o computador em que o Online Responder será instalado.

• A URL do Online Responder deve ser incluída na extensão AIA dos certificados emitidos pelo CA. Essa URL é usada pelo cliente Online Responder para validar o status do certificado.

Depois que um Online Responder foi instalado, você também precisa criar uma configuração de revogação para cada CA e certificado CA atendido por um Online Responder.

Uma configuração de revogação inclui todas as configurações necessárias para responder às requisições de status quanto aos certificados que foram emitidos usando uma chave específica de CA. Essas configurações de configuração incluem o seguinte:

156


• certificado CA. Este certificado pode ser encontrado em um controlador de domínio, em seu armazenamento local ou importado de um arquivo.

• Assinando um certificado para o Online Responder. Este certificado pode ser selecionado automaticamente para você, manualmente (que envolve uma instrução separada de importação depois que você concluir o procedimento regular de configuração da revogação), ou você pode usar o certificado CA selecionado.

• Provedor de revogação que irá fornecer os dados de revogação usados por essa configuração. Essas informações são inseridas na forma de um ou mais URLs, em que uma base válida e CRLs delta podem ser obtidos.

Importante

Antes de começar a adicionar uma nova configuração de revogação, verifique se possui essas informações disponíveis.

Matrizes do Responder

Múltiplos Online Responders podem ser ligados a uma Matriz do Online Responder. Os Online Responders, em uma Matriz, são referidos como membros da Matriz. Um membro da Matriz pode ser designado o Controlador da Matriz. Embora cada Online Responder em uma Matriz possa ser configurado de forma independente, no caso de conflitos, as informações de configuração do Controlador da Matriz irão superar as opções definidas em outros membros da Matriz.

Uma Matriz de Online Responder pode ser criada e outros Online Responders podem ser adicionados por uma série de razões, incluindo tolerância a falhas no caso de um Online Responder individual se tornar indisponível, por considerações geográficas, escalabilidade ou estrutura da rede.

Por exemplo, as filiais remotas podem não ter conexões consistentes com suas matrizes, onde o CA está localizado. Portanto, nem sempre é possível contatar o CA ou um Online Responder remoto para processar uma requisição do status de revogação.

Como os membros de uma Matriz do Online Responder podem ser remotos e estar sujeitos a condições de rede insatisfatórias, cada membro da matriz pode ser monitorado e gerenciado de forma independente.

Configurar uma Matriz do Online Responder requer bons conhecimentos de planejamento baseado em:

• Número e local dos CAs que estão sendo atendidos pela matriz

157


• Número de clientes que irão solicitar certificados a partir dos CAs e seus locais

• Conectividade de rede entre clientes, CAs e Online Responders potenciais

• Volume de registros de certificado, revogações e requisições de status que a infra-estrutura da chave pública da organização controla

• Necessidade de redundância no caso de os Online Responders se tornarem disponíveis

Depois que a Matriz do Online Responder foi planejada, configurar uma Matriz envolve uma quantidade de procedimentos que devem ser coordenados.

Diretiva de Grupo

Diversas configurações da Diretiva de Grupo foram adicionadas para aprimorar o gerenciamento do OCSP e uso dos dados do CRL. Por exemplo, os CRLs possuem datas de vencimento, como os certificados, e, se essa data passar antes de uma atualização ser publicada ou disponibilizada, a validação da cadeia de certificados pode falhar, mesmo com a presença de um Online Responder. Isso acontece, pois o Online Responder conta com os dados de uma CRL expirada. Em situações em que as condições de rede podem atrasar a publicação adequada e o recebimento das CRLs atualizadas, os administradores podem usar essas configurações da Diretiva de Grupo para estender o tempo de validade de um CRL existente ou resposta do OCSP.

Você pode estender o período dos CRLs e respostas do OCSP, indo à guia revogação nas configurações de Validação (Configuração do Computador, Configurações do Windows, Configurações de Segurança e Diretivas da Chave Pública). Para configurar essas opções, faça o seguinte:

• Clique em Definir essas configurações de segurança.

• Clique em Permitir que todos os CRLs e respostas do OCSP sejam válidas por mais tempo.

• Selecione Tempo padrão em que o período de validade pode ser estendido, e informe o valor desejado de tempo (em horas).

Uma opção separada da guia revogação permite que você sobrescreva as respostas do OCSP com informações contidas nos CRLs. Assim, um certificado que tenha sido cancelado, adicionando-o a um CRL local, pode ser verificado como válido, se um cliente tiver um CRL que não inclua seu status de revogação. Embora esta opção não seja recomendada, pode ser útil em casos em que as alterações de revogação feitas por um administrador local não sejam finais até que um administrador de CA verifique a mudança.

158


Essas configurações estão localizadas em Configuração do Computador, Configurações do Windows, Configurações de Segurança e Diretivas da Chave Pública.

Importante

As credenciais administrativas são necessárias para modificar as configurações da Diretiva de Grupo.

Implantação

Como os Online Responders são feitos para atender requisições individuais de status do certificado, uma Matriz de Online Responder geralmente requer múltiplos Online Responders, geograficamente dispersos, para equilibrar a carga. Como cada resposta do status é assinada, cada Online Responder deve ser instalado em um servidor confiável.

Os Online Responders do Windows Server “Longhorn” podem ser instalados nas seguintes configurações matrizes:

• Online Responder Único para múltiplos CAs. O Online Responder requer uma chave e um certificado assinado para cada CA suportado. Um Online Responder deve ser emitido com um certificado assinado a partir do CA emitido. Um Online Responder não pode fornecer o status de um certificado maior na cadeia do que um CA que tenha emitido o certificado assinado.

• Online Responders Múltiplos para um Único CA. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Esse suporte vem por meio de clustering. A lógica do clustering se responsabiliza por conduzir o cliente a requisições de um Online Responder específico.

• Múltiplos Online Responders para múltiplos CAs. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado.

Você pode se preparar para implantar o Online Responders fazendo o seguinte:

• Avaliar os benefícios potenciais de suplementar CRLs usando Online Responders para gerenciar a verificação de revogação na sua organização

• Identificar os locais possíveis onde o Online Responders possa ser útil

• Dependendo do número de CAs e locais que você está suportando, o volume de requisições de validação do certificado que você antecipar e as condições de rede entre os CAs e os locais, identificar a configuração da instalação a partir de uma lista precedente que melhor se adapte à sua organização

159


• Identificar os locais para cada Online Responder e a forma como eles devem ser gerenciados

• Testar o Online Responder e a configuração do PKI em um ambiente de laboratório para validar o modelo de PKI e identificar as opções de configuração para cada Online Responder e configuração de revogação

• Instalar e configurar cada Online Responder

160


5.08 Serviços de Domínio do Active Directory

Os Serviços de Domínio do Active Directory armazena informações sobre usuários, computadores e outros dispositivos na rede. Os Serviços de Domínio do Active Directory ajuda os administradores a gerenciar, de forma segura, essas informações e facilita o compartilhamento de recursos e colaboração entre os usuários. Exige-se também que ele seja instalado na rede para instalar as aplicações ativadas pelo diretório, como o Microsoft Exchange Server, e para aplicar outras tecnologias do Windows Server, como a Diretiva de Grupo.

Os tópicos que seguem descrevem alterações na funcionalidade dos Serviços de Domínio do Active Directory disponível nesta versão:

• Serviços de Domínio do Active Directory: Auditoria

• Serviços de Domínio do Active Directory: Diretivas de Senha Granuladas

• Serviços de Domínio do Active Directory: Controladores de Domínio de Somente Leitura

• Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis

• Serviços de Domínio do Active Directory: Exibição em Telas

• Serviços de Domínio do Active Directory: Melhorias na Interface de Usuário

Serviços de Domínio do Active Directory: Auditoria

No Windows Server “Longhorn,” você agora pode configurar a auditoria dos Serviços de Domínio do Active Directory por uma nova sub-categoria da diretiva de auditoria (Alterações no Serviço de Diretório) para registrar valores novos e antigos quando houver alterações nos objetos dos Serviços de Domínio do Active Directory e seus atributos.

Nota

Este novo recurso de auditoria também se aplica ao Active Directory Lightweight Directory Services. No entanto, a discussão refere-se apenas aos Serviços de Domínio do Active Directory.

A diretiva global de auditoria, Auditoria do acesso ao serviço de diretório, controla se a auditoria para os eventos do serviço de diretório esta ativada ou não. Essa configuração de segurança determina se os eventos estão registrados no log de Segurança, quando certas operações são realizadas em objetos do diretório. Você pode controlar quais operações auditar, modificando a lista de controle de acesso ao sistema (SACL) em um objeto. No Windows Server “Longhorn,” esta diretiva está ativada por padrão.

161


Se você definir a configuração da diretiva (modificando a Diretiva padrão dos Controladores de Domínio), pode especificar auditar os sucessos, falhas ou então não auditar nada. As auditorias de sucesso geram uma entrada sempre que um usuário acessa, com sucesso, um objeto dos Serviços de Domínio do Active Directory que tenha um SACL especificado. As auditorias de falha geram uma entrada sempre que um usuário acessa, sem sucesso, um objeto dos Serviços de Domínio do Active Directory que tenha um SACL especificado.

Você pode definir um SACL em um objeto dos Serviços de Domínio do Active Directory na guia Segurança, na caixa de diálogo de propriedades do objeto. A Auditoria de acesso ao serviço de diretório é aplicada da mesma forma como na Auditoria de acesso ao objeto; no entanto, ela se aplica apenas aos objetos dos Serviços de Domínio do Active Directory e não aos objetos do sistema de arquivo e do registro.

Esse recurso aplica-se aos administradores de Serviços de Domínio do Active Directory, responsáveis por configurar a auditoria no diretório. Os administradores definem SACLs apropriados para fazer a auditoria.

Em geral, as permissões para modificar SACLs e visualizar o log de Segurança são atribuídos apenas a membros dos grupos de Administradores, incluindo de Domínio Domain, Builtin\Administradores e de Empresa.

O Windows Server “Longhorn” está incluindo a capacidade de a auditoria dos Serviços de Domínio do Active Directory registrar valores novos e antigos de um atributo quando uma alteração bem sucedida é feita nele. Antes, a auditoria dos Serviços de Domínio do Active Directory registrava apenas o nome do atributo que era alterado; e não seus valores antigos e atuais.

Auditoria de Acesso aos Serviços de Domínio do Active Directory No Windows 2000 Server e Windows Server 2003, havia uma diretiva de auditoria, o Audit Directory Service Access, que controlava se a auditoria dos eventos de serviço de diretório era ativada ou não. No Windows Server “Longhorn,” essa diretiva é dividida em quatro sub-categorias:

• Directory Service Access

• Directory Service Changes

• Directory Service Replication

• Detailed Directory Service Replication

A capacidade de auditar alterações nos objetos dos Serviços de Domínio do Active Directory é ativada com a nova sub-categoria de auditoria, o Directory Service Changes. Os tipos de alterações que você pode auditar são criar, modificar, mover e não excluir operações feitas em um objeto. Os eventos que são gerados por essas operações aparecem no log de Segurança.

162


Essa nova sub-categoria da diretiva adiciona as seguintes capacidades aos Serviços de Domínio do Active Directory:

• Quando uma operação bem sucedida de modificação é realizada em um atributo de um objeto, os Serviços de Domínio do Active Directory registra seus valores novos e atuais. Se o atributo possuir mais de um valor, apenas os valores que mudam, como resultado da operação de modificação, são registrados.

• Caso um novo objeto seja criado, os valores dos atributos populados no momento da criação são registrados. Se os atributos são adicionados durante a operação de criação, esses novos valores são registrados. Na maioria dos casos, os Serviços de Domínio do Active Directory atribui valores padrões aos atributos (como o sAMAccountName). Os valores desses atributos do sistema não são registrados.

• Se um objeto é movido dentro de um domínio, o local novo e o anterior (na forma de nome diferente) é registrado. Quando um objeto é movido para um domínio diferente, um evento de criação é gerado no controlador de domínio do domínio alvo.

• Se um objeto não é excluído, o local para o qual ele foi movido é registrado. Além disso, se os atributos forem adicionados, modificados ou excluídos durante uma operação de não-exclusão, seus valores não serão registrados.

Nota

Caso um objeto seja excluído, não são gerados eventos de auditoria de alteração. No entanto, um evento de auditoria é gerado caso a sub-categoria do Directory Service Access seja ativado.

Depois que o Directory Service Changes é ativado, os Serviços de Domínio do Active Directory registra eventos no log de Segurança, quando são feitas alterações aos objetos que um administrador configurou para auditoria. A tabela que segue descreve esses eventos.

Alterações no Directory Service — Eventos dos Serviços de Domínio do Active Directory

ID do Evento Tipo de Evento Descrição do Evento

5136 Modificar O evento é registrado quando uma modificação bem sucedida é feita a um atributo no diretório.

5137 Criar Este evento é registrado quando um novo objeto é criado no diretório.

5138 Não excluir Este evento é registrado quando um objeto não é excluído do diretório.

5139 Mover Este evento é registrado quando um objeto é movido dentro do domínio.

163


A capacidade de identificar como os atributos do objeto mudam torna os logs de eventos mais úteis como um mecanismo de acompanhamento a alterações que ocorrem por toda a duração de um projeto.

No Windows Server “Longhorn,” você implementa um novo recurso de auditoria, usando os seguintes controles:

• Diretiva de auditoria global

• SACL

• Esquema

Diretiva de auditoria global Ativar a diretiva de auditoria global, Auditoria do acesso ao serviço de diretório, ativa todas as sub-categorias da diretiva do serviço de diretório. Você pode definir essa diretiva global na Diretiva de Grupo dos Controladores de Domínio Padrão (abaixo de Configurações de Segurança\Diretivas Locais\Diretiva de Auditoria). No Windows Server “Longhorn,” esta diretiva está ativada por padrão. Portanto, a sub-categoria Directory Service Changes também está ativada por padrão. Esta sub-categoria está definida apenas para os eventos de sucesso.

No Windows 2000 Server e Windows Server 2003, a diretiva Auditoria do acesso ao serviço de diretório era o único controle disponível para o Active Directory. Os eventos que eram gerados por esse controle não mostravam os valores novos e antigos de nenhuma modificação. Essa configuração gerava eventos de auditoria no log de Segurança, com o número de ID 566. No Windows Server “Longhorn,” a sub-categoria Directory Service Access ainda gera os mesmos eventos, mas seu número de ID é alterado para 4662.

Com a nova sub-categoria Directory Service Changes, alterações bem sucedidas são registradas junto com os valores novos e antigos do atributo. As configurações para Directory Service Access e Directory Service Changes estão armazenadas no banco de dados da Autoridade de Segurança Local (LSA). Elas podem ser consultadas com novos LSA APIs.

As duas sub-categorias de auditoria são independentes uma da outra. Você pode desabilitar Directory Service Access e ainda ser capaz de ver eventos de alteração gerados caso a sub-categoria Directory Service Changes esteja ativada. Da mesma forma, se você desabilitar Directory Service Changes e ativar Directory Service Access, pode ver os eventos do log de Segurança com o número de ID 4662.

Você pode usar a ferramenta Auditpol.exe da linha de comando ou definir sub-categorias da diretiva de auditoria. Não existe uma ferramenta de interface do Windows disponível no Windows Server

164


“Longhorn” Beta 2 para visualizar ou definir sub-categorias da diretiva de auditoria.

SACL O SACL é a parte de um descritor de segurança do objeto que especifica as operações a serem auditadas para princípio de segurança. O SACL do objeto ainda é a autoridade principal para determinar se uma verificação de acesso deve ou não ser auditada.

O conteúdo do SACL é controlado pelos administradores de segurança do sistema local. Os administradores de segurança são usuários atribuídos aos privilégio de Gerenciar Log de Auditoria e Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é atribuído ao grupo de Administradores integrado.

Se não houver entrada de controle de acesso (ACE) no SACL que requer o registro das modificações do atributo, mesmo que a sub-categoria de Directory Service Changes esteja ativada, nenhum evento de auditoria de alteração é registrado. Por exemplo, se não houver ACE no SACL que requer acesso à Propriedade de Escrita no atributo do número de telefone de um objeto de usuário a ser auditado, nenhum evento de auditoria é gerado quando esse atributo é modificado, mesmo que a sub-categoria Directory Service Changes esteja ativada.

Esquema Para evitar a possibilidade de um número excessivo de eventos que estão sendo gerados, existe um controle adicional no esquema, que pode ser usado para criar exceções ao que é auditado.

Por exemplo, se você deseja ver alterações a todas as modificações de atributo em um objeto de usuário — exceto a um ou dois atributos — você pode definir uma indicação no esquema para atributos que não deseja auditar. A propriedade searchFlags de cada atributo define se ele é indexado, replicado ao catálogo global ou algum outro tipo de comportamento. Existem sete bits atualmente definidos para a propriedade searchFlags.

Se o bit 9 (valor 256) for definido para um atributo, os Serviços de Domínio do Active Directory não registrará eventos de alteração quando as modificações forem feitas. Isso se aplica a todos os objetos que contêm aquele atributo.

Configurações do Registro Os seguintes valores de chave do registro são usados para configurar a auditoria dos Serviços de Domínio do Active Directory.

Valores de Chave do Registro — Auditoria dos Serviços de Domínio do Active Directory

Nome da Configuração Local Valores Possíveis

MaximumStringBytesToAudit HKEY_LOCAL_MACHINE\ System\CurrentControlSet\

• Valor mínimo do registro: 0

165


Services\NTDS\Parameters • Valor máximo do registro: 64000

• Valor padrão: 1000

5137 Criar Este evento é registrado quando um novo objeto é criado no diretório.

5138 Não excluir Este evento é registrado quando um objeto não é excluído do diretório.

5139 Mover Este evento é registrado quando um objeto é movido dentro do domínio.

Configurações da Diretiva de Grupo Você não pode visualizar as sub-categorias da diretiva de auditoria com o Editor de Objeto da Diretiva de Grupo (GPedit.msc). Você pode apenas visualizá-las com a ferramenta Auditpol.exe de linha de comando. O comando auditpol do exemplo que segue ativa a sub-categoria Directory Service Changes:

auditpol /set /subcategory:"directory service changes" /success:enable

Serviços de Domínio do Active Directory: Diretivas de Senhas Detalhadas

O Windows Server “Longhorn” fornece às organizações uma forma de definir diretivas diferentes de senha e bloqueio de conta para diferentes grupos de usuários em um domínio. Nos domínios do Windows 2000 e Windows Server 2003 Active Directory, apenas uma diretiva de senha e bloqueio de conta pode ser aplicada a todos os usuários no domínio. Essas diretivas foram especificadas na Diretiva de Domínio Padrão do domínio. Como resultado, as organizações que desejavam configurações diferentes de senha e bloqueio de conta, para grupos diferentes de usuários, precisavam tanto criar um filtro para senha como implantar múltiplos domínios. As duas opções têm alto custo, por diversas razões.

Você pode usar diretivas de senhas granuladas para especificar múltiplas diretivas dentro de um único domínio. Pode usá-las também para aplicar diferentes restrições a senhas e diretivas de bloqueio de conta para diferentes grupos de usuários em um domínio.

Por exemplo, você pode aplicar configurações mais rigorosas às contas privilegiadas e outras menos rigorosas às contas de outros usuários. Em outros casos, você pode aplicar uma diretiva de senha especial a contas cujas senhas são sincronizadas com outras fontes de dados.

Os seguintes indivíduos devem verificar essas informações sobre diretivas de senhas granuladas:

• Planejadores e analistas de TI que avaliam tecnicamente o produto

166


• Planejadores corporativos de TI e designers de organizações

• Administradores ou gerentes responsáveis pela segurança da TI

Essas diretivas aplicam-se apenas a objetos do usuário (ou objetos inetOrgPerson caso sejam usados no lugar de objetos do usuário) e grupos de segurança global. Por padrão, apenas membros do grupo de Administradores do Domínio podem definir diretivas de senhas granuladas. No entanto, você também pode delegar a habilidade de definir essas diretivas a outros usuários. O nível funcional do domínio deve ser Windows Server “Longhorn.”

Essas diretivas de senhas granuladas não interferem nos filtros regulares que você deve usar no mesmo domínio. As organizações que têm filtros de senha implantados em controladores de domínio que executam o Windows 2000 ou Windows Server 2003 podem continuar usando esses filtros para reforçar restrições adicionais de senhas.

Armazenando Diretivas de Senhas Detalhadas Para armazenar essas diretivas de senhas detalhadas, o Windows Server “Longhorn” inclui duas novas classes de objetos no esquema dos Serviços de Domínio do Active Directory:

• Container de Configuração de Senha

• Configurações de Senha

O Container de Configuração de Senha é criado por padrão, abaixo do container Sistema, no domínio. Ele armazena os objetos de Configuração de Senha (PSOs) para esse domínio. Você não pode renomear, mover ou excluir esse container.

Um PSO possui atributos para todas as configurações que podem ser definidas na Diretiva de Domínio Padrão (exceto as configurações Kerberos). Essas configurações incluem atributos para as seguintes configurações de senha:

• Reforçar o histórico de senha

• Tempo máximo da senha

• Tempo mínimo da senha

• Extensão mínima da senha

• As senhas devem suprir os requisitos de complexidade

• Armazenar senhas usando criptografia reversível

Essas configurações também incluem atributos para as seguintes configurações de bloqueio de conta:

• Duração do bloqueio da conta

• Limite de bloqueio da conta

• Redefinição de bloqueio da conta após

Além disso, um PSO possui os dois seguintes novos atributos:

167


• PSO link. Este é um atributo multivalorizado, ligado a usuários e/ou objetos de grupo.

• Precedência. Este é um valor inteiro usado para resolver conflitos, se muitos PSOs são aplicados a um usuário ou objeto de grupo.

Estes nove atributos são do tipo mustHave. Isso significa que você deve definir um valor a cada um. As configurações de múltiplos PSOs não podem ser mescladas.

Definindo o Escopo das Diretivas de Senhas Detalhadas Um PSO pode ser vinculado a um usuário (ou inetOrgPerson) ou objeto de grupo que esteja no mesmo domínio que o PSO.

• Um PSO possui um atributo chamado PSOAppliesTo que contém um link de encaminhamento a somente usuário ou objetos do grupo. O atributo PSOAppliesTo é multivalorizado, o que quer dizer que você pode aplicar um PSO a múltiplos usuários ou grupos. Você pode criar uma diretiva de senha e aplicá-la a diferentes conjuntos de usuários ou grupos.

• Um novo atributo chamado PSOApplied foi adicionado ao usuário e objetos de grupo no Windows Server “Longhorn.” O atributo PSOApplied contém um link de retorno ao PSO. Como o atributo PSOApplied possui um link de retorno, um usuário ou grupo pode ter diversos PSOs aplicados a ele. Nesse caso, as configurações aplicadas são calculadas pelo Conjunto Resultante da Diretiva (RSOP). Para mais informações, confira o “RSOP”, mais adiante, neste tópico.

Você pode vincular um PSO a outros tipos de grupos, além dos grupos globais de segurança. Mas quando um conjunto resultante de diretivas é determinado a um usuário ou grupo, apenas os PSOs vinculados a grupos globais de segurança ou objetos de usuários são considerados. Os PSOs vinculados a grupos de distribuição ou outros tipos de grupos de segurança são ignorados.

RSOP Um usuário ou objeto de grupo pode ter múltiplos PSOs vinculados a ele, tanto porque os membros, em múltiplos grupos, têm, cada um, PSOs diferentes vinculados a eles, como porque múltiplos PSOs são aplicados diretamente ao objeto. No entanto, apenas um PSO pode ser aplicado como diretiva efetiva de senha. Apenas as configurações daquele PSO podem afetar o usuário ou grupo. As configurações de outros PSOs, que estão ligados ao usuário ou grupo, não podem ser mescladas de maneira alguma.

O RSOP pode apenas ser calculado para um objeto do usuário. O PSO pode ser aplicado ao objeto de usuário nas duas maneiras que seguem:

• Diretamente. O PSO é vinculado ao usuário

168


• Indiretamente. O PSO é vinculado ao grupo(s) do qual o usuário é membro

Cada PSO possui um atributo adicional chamado precedência, que ajuda no cálculo do RSOP. O atributo precedência possui um valor inteiro de 1 ou mais. Um valor mais baixo para o atributo precedência indica que o PSO tem uma classificação maior, ou maior prioridade, do que outros PSOs. Por exemplo, suponha que um objeto tenha dois PSOs vinculados a ele. Um PSO possui valor de precedência 2 e o outro tenha um valor 4. Neste caso, o PSO que possui o valor de precedência 2 tem maior classificação e, portanto, é aplicado ao objeto.

Se múltiplos PSOs são vinculados a um usuário ou grupo, o PSO resultante aplicado é determinado conforme o seguinte:

• Um PSO que seja vinculado diretamente ao objeto de usuário é o PSO resultante. Se mais de um PSO for diretamente vinculado ao objeto de usuário, uma mensagem de aviso será registrada no log de evento, e o PSO com o menor valor de precedência será o PSO resultante.

• Se não houver um PSO vinculado ao objeto de usuário, os membros do grupo global de segurança do usuário, e todos os PSOs que são aplicáveis ao usuário com base nos membros do grupo global, são comparados. O PSO com o valor de precedência mais baixo é o PSO resultante.

• Se nenhum PSO for obtido a partir das condições (1) e (2), A Diretiva de Domínio Padrão será aplicada.

Recomendamos que você atribua um valor de precedência único para cada PSO que você criar. No entanto, você pode criar múltiplos PSOs com o mesmo valor. Se múltiplos PSOs com o mesmo valor de precedência são obtidos para um usuário, o primeiro PSO obtido será aplicado.

Outro novo atributo chamado ResultantPSO foi adicionado ao objeto de usuário. Um administrador pode consultar este atributo para recuperar o nome distinto do PSO, que é aplicado àquele usuário (baseado nas regras listadas anteriormente). Se não houver um objeto de PSO que se aplique ao usuário, tanto direta quanto virtualmente dos membros do grupo, a consulta retorna o nome distinto do domínio.

Ao aplicar um PSO que seja diretamente ligado a um usuário ou grupo, antes de outros PSOs, você pode criar exceções para certos usuários de um grupo. Você pode atribuir um PSO a um grupo de usuários, mas atribuir uma diretiva diferente a alguns dos membros. Em vez de ter de criar uma nova diretiva e reorganizar a precedência de todas as diretivas anteriores para um usuário em particular, você pode criar uma diretiva com qualquer precedência. Quando você aplica a diretiva diretamente ao usuário, ela é aplicada primeiro.

169


O objeto de usuário possui três bits, que podem ser definidos no atributo userAccountControl do objeto de usuário que pode sobrescrever as configurações presentes no PSO resultante (muitos desses bits sobrescrevem as configurações da Diretiva de Domínio Padrão, no Windows 2000 e Windows Server 2003). Esses bits incluem o seguinte:

• Criptografia de senha reversível exigida

• Senha não exigida

• Senha não expira

Esses bits continuam a superar as configurações no PSO resultante que é aplicado ao objeto de usuário.

Segurança e Delegação Por padrão, apenas membros do grupo de Administradores de Domínio podem criar PSOs. Apenas membros deste grupo possuem as permissões Criar Filho e Excluir Filho, no objeto Password Settings Container. Além disso, apenas membros do grupo de Administradores de Domínio têm permissões de Propriedade de Escrita no PSO, por padrão. Portanto, apenas membros deste grupo podem aplicar um PSO a um grupo ou usuário. Você pode delegar essa permissão a outros grupos ou usuários.

Você não precisa de permissões sobre o objeto do grupo ou usuário para poder aplicar um PSO a ele. Ter permissões de Escrita no usuário ou objeto de grupo não fornece a você a capacidade de vincular um PSO a um usuário ou grupo. O proprietário de um grupo não possui permissões de vincular um PSO ao grupo, pois o link de encaminhamento está no PSO. O poder de vincular um PSO ao grupo ou usuário é dado ao proprietário do PSO.

As configurações no PSO podem ser consideradas confidenciais; portanto, por padrão, os Usuários Autenticados não têm permissões de Propriedade de Leitura para um PSO. Por padrão, apenas membros do grupo de Administradores de Domínio possuem permissões da Propriedade de Leitura no descritor de segurança padrão do objeto PSO no esquema.

Você pode delegar essas permissões a qualquer grupo (como o help desk ou aplicação de gerenciamento) no domínio ou floresta. Isso também pode prevenir um usuário de ver suas configurações de senha no diretório. O usuário pode ler os atributos ResultantPSO ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que se aplica ao usuário. O usuário não pode ver as configurações dentro do PSO.

Antes de adicionar um controlador de domínio que execute no Windows Server “Longhorn” a um domínio existente do Active Directory, você deve executar o adprep /domainprep. Ao executar o adprep /domainprep, o esquema do Active Directory é estendido para incluir novas classes de objetos que as diretivas de senhas granuladas requerem.

170


Caso você não crie essas diretivas para diferentes grupos de usuários, as configurações da Diretiva de Domínio Padrão aplicam-se a todos os usuários no domínio, assim como no Windows 2000 e Windows Server 2003.

Serviços de Domínio do Active Directory: Controladores de Domínio de Somente Leitura

Um controlador de domínio de somente leitura (RODC) é um novo tipo de controlador no sistema operacional do Windows Server “Longhorn”. Com o RODC, as organizações são capazes de implantar, facilmente, um controlador de domínio em locais onde a segurança física não é garantida. Um RODC hospeda partições de somente-leitura dos Serviços de Domínio do Active Directory.

Para mais informações sobre os Controladores de Domínio de Somente Leitura, recorra à seção 4.02 Controlador de Domínio de Somente

Leitura, na página 85.

Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis

Os administradores podem parar e reiniciar os Serviços de Domínio do Active Directory no Windows Server “Longhorn”, usando os snap-ins do MMC ou a linha de comando.

Os Serviços de Domínio do Active Directory Reinicializável reduz o tempo requerido para realizar certas operações. Os Serviços de Domínio do Active Directory pode ser parado para que as atualizações possam ser aplicadas a um controlador de domínio; e também, eles podem parar os Serviços de Domínio do Active Directory para realizar tarefas, como a desfragmentação offline do banco de dados do Active Directory, sem reiniciar o controlador de domínio. Outros serviços que estão sendo executados no servidor e que não dependem dos Serviços de Domínio do Active Directory para funcionar, como o Dynamic Host Configuration Protocol (DHCP), permanecem disponíveis para satisfazer as requisições de clientes, enquanto os Serviços de Domínio do Active Directory é parado.

Os Serviços de Domínio do Active Directory Reinicializável fornece benefícios para o seguinte:

• Planejadores e administradores da atualização da segurança

• Equipes de gerenciamento dos Serviços de Domínio do Active Directory

• Administradores dos Serviços de Domínio do Active Directory

Os Serviços de Domínio do Active Directory Reinicializável é disponível por padrão em todos os controladores de domínio que executam o Windows Server “Longhorn.” Não existem requisitos funcionais, ou outros pré-requisitos, para usar esse recurso.

Para saber mais, recorra à

seção 4.02 Controlador de Domínio de Somente Leitura na página 85.

171


No Active Directory do sistema operacional Microsoft Windows 2000 Server e Windows Server 2003, a desfragmentação offline do banco de dados exigia uma reinicialização do controlador de domínio no Modo de Recuperação do Directory Services. Aplicar as atualizações de segurança geralmente requer uma reinicialização do controlador de domínio.

No Windows Server “Longhorn,“ no entanto, os administradores podem parar e reiniciar os Serviços de Domínio do Active Directory. Isso torna possível desempenhar as operações offline dos Serviços de Domínio do Active Directory de forma mais rápida.

Os Serviços de Domínio do Active Directory Reinicializável adiciona as menores alterações aos snap-ins do MMC. Um controlador de domínio que executa o Windows Server “Longhorn” Active Directory Domain Services exibe o Controlador de Domínio no nó Serviços (Local) do snap-in Serviços de Componente e do Gerenciamento do Computador. Usando qualquer um deles, um administrador pode facilmente parar e reiniciar os Serviços de Domínio do Active Directory da mesma forma como com qualquer outro serviço que esteja sendo executado localmente no servidor.

Embora parar os Serviços de Domínio do Active Directory seja como efetuar logon no Modo de Recuperação do Directory Services, o Active Directory Domain Services reinicializável fornece um estado único para um controlador de domínio que execute o Windows Server “Longhorn.” Esse estado é conhecido como Active Directory Domain Services Stopped.

Os três estados possíveis para um controlador de domínio que execute o Windows Server “Longhorn” são os seguintes:

• Active Directory Domain Services Started. Neste estado, os Serviços de Domínio do Active Directory é iniciado. Para os clientes e outros serviços executados no servidor, um controlador de domínio do Windows Server “Longhorn” executado neste estado é o mesmo que o controlador executado no Windows 2000 Server ou Windows Server 2003.

• Active Directory Domain Services Stopped. Neste estado, os Serviços de Domínio do Active Directory é parado. Embora este modo seja exclusivo, o servidor possui algumas características tanto de controlador de domínio no Modo de Recuperação do Directory Services quanto como um servidor membro ligado ao domínio.

Assim como no Modo de Recuperação do Directory Services, o banco de dados do Active Directory (Ntds.dit) está offline. Além disso, a senha do Modo de Recuperação do Directory Services pode ser usada para um login local, caso outro controlador de domínio não possa ser contatado.

Assim como com um servidor membro, o servidor é ligado ao domínio. Além disso, os usuários podem efetuar logon de forma interativa, ou pela rede, usando outro controlador de domínio para o logon. No entanto, um controlador de domínio

172


não deve permanecer neste estado por um longo período de tempo, pois ele não consegue atender as requisições de logon ou replicar com outros controladores de domínio.

• Modo de Recuperação do Directory Services. Este modo (ou estado) é inalterável a partir do Windows Server 2003.

O seguinte fluxograma apresenta como um controlador de domínio que executa o Windows Server “Longhorn” pode fazer a transição entre esses três estados possíveis.

Serviços de Domínio do Active Directory: Exibição em Instantâneo

A Exibição em Telas dos Serviços de Domínio do Active Directory é um novo recurso do Windows Server “Longhorn.” Ele o ajuda a identificar objetos que foram acidentalmente excluídos ao expor informações sobre os objetos, em imagens (instantâneos) dos Serviços de Domínio do Active Directory obtidas com o tempo. Esses instantâneos podem ser visualizados em um controlador de domínio, sem iniciar o controlador de domínio no Modo de Restauração do Directory Services. Comparando os

diversos estados dos objetos assim que eles aparecem nos instantâneos, será possível decidir mais facilmente qual backup dos Serviços de Domínio do Active Directory utilizar para restaurar os objetos excluídos.

Ao usar a Exposição de Telas dos Serviços de Domínio do Active Directory, você pode examinar todas as alterações feitas aos dados armazenados nos Serviços de Domínio do Active Directory. Por exemplo, se um objeto da Diretiva de Grupo é acidentalmente modificado, você pode usar a Exposição de Telas dos Serviços de

173


Domínio do Active Directory para examinar as alterações e ajudar a decidir como corrigi-las, se necessário.

Embora a Exposição de Telas dos Serviços de Domínio do Active Directory não recupere objetos excluídos, ele ajuda a dinamizar o processo de recuperação de objetos que tenham sido acidentalmente excluídos. Antes do Windows Server “Longhorn,” quando os objetos ou unidades organizacionais (OUs) foram acidentalmente excluídas, a única forma de determinar exatamente quais objetos haviam sido excluídos era restaurando os dados a partir de backups. Mas isso trazia duas desvantagens:

• O Active Directory precisava ser reiniciado no Modo de Recuperação do Directory Services para desempenhar uma restauração autorizada.

• Um administrador não podia comparar os dados nos backups que eram obtidos em momentos diferentes (a menos que os backups fossem restaurados a vários controladores de domínio; um processo que não é viável).

A finalidade do recurso de Exposição de Telas dos Serviços de Domínio do Active Directory é expor os dados dos Serviços de Domínio do Active Directory armazenados nas imagens de forma online. Os administradores podem então comparar os dados das imagens obtidas em diferentes momentos, que, por sua vez, ajudam a decidir sobre os dados a serem restaurados, sem acabar em uma parada de serviço.

Os seguintes indivíduos devem ver essas informações sobre a Exposição de Telas do Active Directory Domain Services:

• Planejadores e analistas de TI que avaliam tecnicamente o produto

• Planejadores corporativos de TI e designers de organizações

• Administradores, operadores e gerentes responsáveis pelas operações de TI, incluindo a recuperação de dados excluídos dos Serviços de Domínio do Active Directory

Há dois aspectos para o problema de se recuperar dados excluídos:

• Preservar os dados excluídos para que eles possam ser recuperados

• Recuperar os dados excluídos recentemente quando solicitado

A Exposição de Telas dos Serviços de Domínio do Active Directory torna possível para os dados excluídos dos Serviços de Domínio do Active Directory serem preservados em forma de imagens dos Serviços de Domínio do Active Directory, obtidas pelo Serviço de Cópia de Sombra do Volume. A Exposição de Telas dos Serviços de Domínio do Active Directory Snapshot, na verdade, não recupera objetos e containeres excluídos. O administrador deve desempenhar a recuperação como um passo subseqüente.

174


Você pode usar a ferramenta LDAP, como o Ldp.exe, que é uma ferramenta integrada no Windows Server “Longhorn,” para ver os dados expostos nas imagens. Esses dados são de somente leitura. Por padrão, apenas os membros dos grupos de Administradores de Domínio e Corporativos podem visualizar as imagens, pois elas contêm dados sensíveis dos Serviços de Domínio do Active Directory.

Proteja as imagens dos Serviços de Domínio do Active Directory contra acesso não-autorizado, assim como você o faz com backups dos Serviços de Domínio do Active Directory. Um usuário malicioso que tenha acesso às imagens pode usá-las para revelar dados sensíveis que possam estar armazenados nos Serviços de Domínio do Active Directory. Por exemplo, um usuário malicioso pode copiar as imagens dos Serviços de Domínio do Active Directory de uma floresta A para B e depois usar as credenciais de Administrador do Domínio ou Corporativo da floresta B para examinar os dados. Use a criptografia ou outras precauções de segurança dos dados com as imagens do Active Directory Domain Services a fim de ajudar a reduzir a chance de acesso não-autorizado às imagens dos Serviços de Domínio do Active Directory.

O processo de uso da Exposição de Telas dos Serviços de Domínio do Active Directory inclui os seguintes passos:

1. Programe uma tarefa que regularmente execute o Ntdsutil.exe para obter imagens do volume que contém o banco de dados dos Serviços de Domínio do Active Directory.

2. Execute o Ntdsutil.exe para listar as imagens disponíveis e monte a imagem que deseja visualizar.

3. Execute o Dsamain.exe para expor o volume de imagens como um servidor LDAP.

O Dsamain.exe tem os seguintes argumentos:

• Caminho do banco de dados dos Serviços de Domínio do Active Directory (NTDS.dit). Por padrão, esse caminho é aberto somente como leitura, mas ele deve estar em ASCII.

• Caminho do Log. Esse pode ser um caminho temporário, mas você deve ter acesso de escrita.

• Quatro números de portas para LDAP, LDAP-SSL, Global Catalog e Global Catalog–SSL.

Você pode parar o Dsamain, pressionando CTRL+C ou definindo o atributo stopservice no objeto rootDSE.

4. Execute e anexe o Ldp.exe à porta LDAP da imagem que você especificou quando expôs a imagem como um servidor LDAP, no passo anterior.

5. Navegue pela imagem como faria com qualquer controlador de domínio dinâmico.

175


Caso você tenha idéia de qual OU ou objetos foram excluídos, pode procurar nos objetos excluídos, nas imagens, e gravar os atributos e links de retorno que pertenciam aos objetos excluídos. Reanime esses objetos, usando o recurso de reanimação em ícones. Depois, alimente manualmente esses objetos com os atributos e links de retorno, assim que identificados nas imagens.

No entanto, você não pode realimentar os atributos apenas do sistema, que foram divididos quando os objetos foram excluídos. Embora você deva recriar manualmente os atributos e links de retorno, o navegador de imagens torna possível recriar os objetos excluídos e seus links sem precisar reiniciar o controlador de domínio no Modo de Recuperação do Directory Services. Além disso, você pode usar o navegador de imagens para analisar configurações anteriores dos Serviços de Domínio do Active Directory, incluindo as permissões e a Diretiva de Grupo.

Serviços de Domínio do Active Directory: Melhorias na Interface de Usuário

Para aprimorar a instalação e o gerenciamento dos Serviços de Domínio do Active Directory, o Windows Server “Longhorn” inclui um Assistente de Instalação atualizado para o Active Directory Domain Services. O Windows Server “Longhorn” também inclui alterações nas funções de snap-in do MMC que gerenciam os Serviços de Domínio do Active Directory.

As melhorias na UI dos Serviços de Domínio do Active Directory fornecem novas opções de instalação para os controladores de domínio. Além disso, o Assistente de Instalação atualizado dinamiza e simplifica a instalação dos Serviços de Domínio do Active Directory.

As melhorias na UI dos Serviços de Domínio do Active Directory também fornecem novas opções de gerenciamento para os recursos dos Serviços de Domínio do Active Directory, como os controladores de domínio de somente leitura (RODCs). Alterações adicionais às ferramentas de gerenciamento fornecem a capacidade de encontrar os controladores de domínio por toda a empresa. Eles também fornecem controles importantes para novos recursos, como a Diretiva de Replicação de Senha para RODCs.

As melhorias da UI dos Serviços de Domínio do Active Directory são importantes para os seguintes usuários:

• Administradores dos Serviços de Domínio do Active Directory responsáveis por gerenciar controladores de domínio em locais centrais e data centers

• Administradores de filiais

• Desenvolvedores de sistema que realizam instalações e desautorizam servidores

176


As melhorias na UI dos Serviços de Domínio do Active Directory não requerem considerações especiais. As melhorias ao Assistente de Instalação também estão todas disponíveis por padrão. No entanto, algumas páginas do assistente aparecem apenas se a caixa de verificação de Usar instalação no modo avançado estiver selecionada na página de Boas Vindas do assistente.

O modo de instalação avançado fornece aos usuários mais experientes um controle maior sobre o processo de instalação, sem confundir os usuários mais novos quanto às opções de configuração que podem não ser familiares. Para os usuários que não selecionam a caixa Usar instalação no modo avançado, o assistente utiliza opções padrões que se aplicam à maior parte das configurações.

As melhorias na UI dos Serviços de Domínio do Active Directory fornecem novas funcionalidades para o Assistente de Instalação dos Serviços de Domínio do Active Directory e funções de snap-in do MMC.

Novo Assistente de Instalação dos Serviços de Domínio do Active Directory Para adicionar a função de servidor dos Serviços de Domínio do Active Directory de forma interativa, você pode acessar o Assistente de Instalação nas seguintes maneiras:

• Você pode clicar em Adicionar Funções, nas Tarefas Iniciais de Configuração, que aparece quando você instala o sistema pela primeira vez.

• Você pode clicar em Adicionar Funções no Gerenciador do Servidor. O Gerenciador do Servidor está disponível no menu Ferramentas Administrativas, ou por meio de um ícone na área de notificação.

• Você pode clicar em Iniciar, clicar em Executar e depois digitar dcpromo. Uma alternativa é digitar dcpromo no prompt de comando, como nas versões anteriores do sistema operacional do Microsoft Windows Server.

Nota

Embora não seja uma melhoria de UI, novas opções para executar instalações falhas dos Serviços de Domínio do Active Directory estão disponíveis no Windows Server “Longhorn.” Diferente de uma instalação falha no Windows Server 2003, uma instalação falha no Windows Server “Longhorn” nunca requer uma resposta a um prompt da UI, como aquele que reinicia o controlador de domínio. Isso é necessário para instalar os Serviços de Domínio do Active Directory no Núcleo do Servidor do Windows Server “Longhorn,” uma nova opção de instalação do Windows Server “Longhorn” que não fornece opções de UI, como um Assistente de Instalação interativo dos Serviços de Domínio do Active Directory.

177


• Você pode iniciar uma instalação RODC, usando o snap-in do MMC Active Directory Users and Computers. Você pode tanto clicar com o botão direito em Controladores de Domínio como clicar em Controladores de Domínio e depois em Pré-criar uma conta Somente-leitura de Controlador de Domínio. Este método instala o RODC em dois estágios. Durante o estágio seguinte da instalação, você executa o Assistente dos Serviços de Domínio do Active Directory no servidor que deseja anexar à conta do RODC.

O Assistente de Instalação dos Serviços de Domínio do Active Directory contém uma nova opção na página de Boas Vindas para ativar o modo avançado como uma alternativa para executar o Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo avançado exibe opções adicionais que permitem configurações mais avançadas e fornecem aos usuários mais experientes um controle maior sobre a operação. As opções adicionais do modo avançado incluem o seguinte:

• Criar uma nova árvore de domínio

• Usar uma mídia de backup a partir de um controlador de domínio existente no mesmo domínio, a fim de reduzir o tráfego de rede que está associado com a replicação inicial

• Selecionar o controlador de domínio de origem para a instalação

• Modificar o nome do NetBIOS que o assistente gera por padrão

• Definir a diretiva de replicação de senha para um RODC

Além dessas alterações, o Assistente de Instalação dos Serviços de Domínio do Active Directory possui novas páginas, que são descritas na tabela que segue.

Assistente de Instalação dos Serviços de Domínio do Active Directory

Nova Página do Assistente Descrição

Opções Adicionais Especifica que, durante a instalação do controlador de domínio, ele também será configurado para ser um DNS server, servidor do catálogo global ou RODC.

Seleção de local Especifica o local onde o controlador de domínio deve ser instalado.

Definição de níveis de função Define o domínio e o nível funcional da floresta durante a instalação do novo domínio ou floresta.

Diretiva de Replicação de Senha Especifica quais senhas de contas são permitidas ou negadas de serem armazenadas no RODC. Essa página aparece apenas quando a caixa Usar instalação no modo avançado está selecionada.

Criação de delegação do DNS Fornece uma opção padrão para criar uma delegação DNS no tipo de instalação do controlador de domínio (conforme especificado na página Escolha uma Configuração de Implantação) e o ambiente DNS.

178


Outras melhorias reduzem as chances de erro durante a instalação dos Serviços de Domínio do Active Directory. Por exemplo, se você está instalando um controlador de domínio adicional, pode selecionar o nome do domínio a partir de uma árvore de domínio, em vez de digitá-la.

Para assegurar que um DNS server recém-instalado esteja operando corretamente, o DNS é automaticamente configurado para as configurações do cliente DNS, encaminhadores e dicas de raiz, se necessário, com base nas opções de instalação que são selecionadas.

Instalação em Fases para o RODCs Você pode realizar uma instalação em fases de um RODC, em que a instalação é concluída em duas fases, por diferentes pessoas. Você pode usar o Assistente de Instalação dos Serviços de Domínio do Active Directory para concluir cada fase da instalação.

A primeira fase cria uma conta para o RODC nos Serviços de Domínio do Active Directory. A segunda fase anexa o servidor atual, que será o RODC, à conta que foi anteriormente criada para isso.

Durante a primeira fase, o assistente grava todos os dados sobre o RODC que serão armazenados no banco de dados distribuído do Active Directory, assim como seu nome da conta do controlador de domínio e o local em que serão colocados. Essa fase deve ser realizada por um membro do grupo de Administradores de Domínio.

O usuário que cria a conta RODC também pode especificar, naquele momento, quais usuários ou grupos podem concluir o próximo passo da instalação. A próxima fase pode ser realizada na filial, por qualquer usuário ou grupo a quem tenha sido delegado o direito de concluir a instalação quando a conta foi criada. A fase não requer membros nos grupos integrados, como o grupo de Administradores do Domínio. Se o usuário que cria a conta RODC não especificar qualquer delegação para concluir a instalação (e administrar o RODC), apenas um membro dos Administradores de Domínio ou Corporativo pode concluir a instalação.

A segunda fase instala os Serviços de Domínio do Active Directory no servidor que se tornará o RODC. Essa fase ocorre, basicamente, na filial onde o RODC é implantado. Durante essa fase, todos os dados dos Serviços de Domínio do Active Directory que residem localmente, arquivos de log e etc, são criados no próprio RODC. Os arquivos de origem da instalação podem ser replicados para o RODC a partir de um controlador de domínio sobre a rede, ou então você pode usar a instalação do recurso de mídia (IFM). Para usar o IFM, use o Ntdsutil.exe para criar a mídia de instalação.

O servidor que se tornará o RODC não deve ser ligado ao domínio antes de você tentar anexá-lo à conta do RODC. Como parte da instalação, o assistente detecta, automaticamente, se o nome do

179


servidor associa-se aos nomes de qualquer conta do RODC que tenha sido criada antes para o domínio. Quando o assistente encontra um nome associado da conta, ele alerta o usuário para usar aquela conta para concluir a instalação do RODC.

Melhorias Adicionais no Assistente O novo Assistente de Instalação dos Serviços de Domínio do Active Directory também inclui as seguintes melhorias:

• Por padrão, o assistente agora utiliza as credenciais do usuário que está conectado no momento. Você é alertado sobre as credenciais adicionais, caso elas sejam necessárias.

• Ao criar um controlador de domínio adicional em um domínio filho, o assistente detecta se o papel principal da infra-estrutura está hospedado em um servidor de catálogo global naquele domínio, alertando-o para transferir essa infra-estrutura para o controlador de domínio que você está criando. Isso ajuda a prevenir uma má colocação do papel principal da infra-estrutura.

• Na página Sumário do assistente, você pode exportar as configurações que selecionou para um arquivo de respostas correspondente que pode usar para operações subseqüentes (instalações ou desinstalações).

• Você agora pode omitir a senha do seu administrador a partir do arquivo de respostas. Em vez disso, digite senha=* no arquivo de respostas, para garantir que o usuário está avisado sobre as credenciais da conta.

• Você pode pré-alimentar o assistente, especificando alguns parâmetros na linha de comando, reduzindo a quantidade de interação de usuário que é exigida com o assistente.

• Você agora pode forçar o rebaixamento de um controlador de domínio iniciado no Modo de Recuperação do Directory Services).

Novas Funções de Snap-In do MMC O snap-in do Active Directory Sites and Services no Windows Server “Longhorn” inclui um comando Localizar, na barra de ferramentas e no menu Ação. Esse comando facilita encontrar o local onde o controlador de domínio está, o que pode ajudar na solução de problemas de replicações. Antes, o Active Directory Sites and Services não indicavam facilmente onde certo controlador de domínio estava localizado. Isso aumentava o tempo requerido para solucionar problemas, como os de replicação.

Para ajudar a gerenciar os RODCs, agora existe uma guia de Diretiva de Replicação de Senha na página de Propriedades do controlador de domínio. Clicando no botão Avançado, nesta guia,um administrador pode ver o seguinte:

180


• Quais senhas foram enviadas ao RODC

• Quais senhas estão atualmente armazenadas no RODC

• Quais contas foram autenticadas para o RODC, incluindo contas não definidas nos grupos de segurança, que têm a replicação permitida ou negada. Como resultado, o administrador pode ver quem está usando o RODC e determinar se permite ou nega a replicação da senha.

181


5.09 Serviços Federados do Active Directory

Os Serviços Federados do Active Directory é uma função de servidor no Windows Server "Longhorn" que pode ser utilizado para criar uma solução de acesso de identidade segura e escalonável com a Internet, altamente extensível que opere por diversas plataformas, incluindo ambientes Windows e não-Windows. As seções que seguem fornecem informações sobre os Serviços Federados do Active Directory no Windows Server “Longhorn,” incluindo informações sobre as funcionalidades adicionais dos Serviços Federados do Active Directory no Windows Server “Longhorn” comparadas com a versão dos Serviços Federados do Active Directory no Windows Server 2003 R2.

Os Serviços Federados do Active Directory é uma solução de acesso à identidade que fornece aos clientes baseados em navegadores (internos ou externos à rede) um acesso dinâmico e único a aplicações mais protegidas quanto à Internet, mesmo quando as contas e aplicações estão localizadas em redes completamente diferentes ou organizações.

Quando uma aplicação está em uma rede e as contas de usuário em outra rede, é importante que os usuários estejam avisados sobre as credenciais secundárias quando tentarem acessar a aplicação. Essas credenciais secundárias representam a identidade dos usuários no local em que a aplicação reside. O Web server que hospeda a aplicação geralmente requer essas credenciais para que possa tomar a decisão mais apropriada.

Os Serviços Federados do Active Directory torna as contas secundárias desnecessárias, fornecendo relações de confiança que você pode usar para projetar uma identidade digital do usuário e acessar direitos dos parceiros confiáveis. Em um ambiente federado, cada organização continua a gerenciar suas próprias identidades, mas cada uma pode projetar de forma mais segura e aceitar identidades de outras organizações.

Além disso, você pode implantar os servidores de federação em múltiplas organizações, para facilitar as transações de business-to-business (B2B) entre as organizações de parceiros confiáveis. As parcerias federadas de B2B identificam os parceiros de negócios como um dos seguintes tipos de organização:

• Organização de Recursos As organizações que possuem e gerenciam recursos acessíveis a partir da Internet podem implantar os servidores de federação dos Serviços Federados do Active Directory e os servidores da Web baseados nos Serviços Federados do Active Directory que gerenciam o acesso aos recursos protegidos de parceiros confiáveis. Esses parceiros podem incluir partes internas e externas ou outros departamentos ou subsidiárias na mesma organização.

182


• Organização da Conta As organizações que possuem e gerenciam as contas de usuário podem implantar os Serviços Federados do Active Directory que autenticam usuários locais e criam tokens que, mais adiante, são usados na organização de recurso para tomar decisões quanto à autorização.

O processo de autenticação de uma rede enquanto se acessam recursos em outra rede — sem o incômodo de ações repetidas de login pelos usuários — é conhecido como longo único (SSO). Os Serviços Federados do Active Directory fornece uma solução baseada na Web, de SSO, que autentica os usuários em múltiplas aplicações da Web pela duração de uma simples sessão de navegação.

Os Serviços Federados do Active Directory é designado para ser implantado em organizações de médio a grande porte, que possuem o seguinte:

• No mínimo, um serviço de diretório: tanto o Active Directory Domain Services ou Active Directory Lightweight Directory Services (antes conhecido como Active Directory Application Mode)

• Computadores executados em diversas plataformas de sistemas operacionais

• Computadores ligados a um domínio

• Computadores conectados à Internet

• Uma ou mais aplicações baseadas na Web

Veja essas informações, juntamente com a documentação adicional sobre os Serviços Federados do Active Directory, se você faz parte de um dos seguintes grupos:

• Profissional de TI responsável pelo suporte de uma infra-estrutura existente dos Serviços Federados do Active Directory

• Planejador de TI, analista ou arquiteto em fase de avaliação dos produtos de federação da identidade

Se você tem uma infra-estrutura existente dos Serviços Federados do Active Directory, existem algumas considerações especiais a saber antes de você começar a atualizar os servidores de federação, proxies e servidores da Web ativados pelos Serviços Federados do Active Directory que executam o Windows Server 2003 R2 para o Windows Server “Longhorn.” Essas considerações aplicam-se apenas quando você tem servidores dos Serviços Federados do Active Directory que tenham sido manualmente configurados para usar contas exclusivas do serviço.

Os Serviços Federados do Active Directory usa a conta do Network Service como padrão para os Serviços Federados do Active

183


Directory Web Agent Authentication Service e a identidade do pool de aplicação do ADFSAppPool. Se você configurou manualmente um ou mais servidores dos Serviços Federados do Active Directory em sua implantação existente dos Serviços Federados do Active Directory para usar uma conta de serviço que não seja a conta padrão do Network Service, verifique qual dos servidores dos Serviços Federados do Active Directory utiliza essas contas de serviço e grave o nome de usuário e a senha de cada conta.

Quando você atualiza um servidor para o Windows Server “Longhorn,” o processo recupera, automaticamente, todas as contas de serviço para seus valores padrões originais. Portanto, você deve fornecer as informações da conta do serviço novamente, manualmente, para cada servidor aplicável depois que o Windows Server “Longhorn” está completamente instalado.

Para o Windows Server “Longhorn,” os Serviços Federados do Active Directory inclui novas funcionalidades que não estão disponíveis no Windows Server 2003 R2. Essas novas funcionalidades são feitas para facilitar a sobrecarga administrativa e para estender ainda mais o suporte às principais aplicações:

• Instalação Aprimorada. Os Serviços Federados do Active Directory está incluído no Windows Server “Longhorn” como uma função de servidor, havendo ainda novas verificações de validação do servidor no assistente de instalação.

• Suporte aprimorado da aplicação. Os Serviços Federados do Active Directory é mais integrado com o Microsoft Office SharePoint Services 2007 e os Serviços de Gerenciamento de Direitos do Active Directory.

• Melhor experiência administrativa ao estabelecer relação de confiança federada. A funcionalidade aprimorada de importar e exportar uma diretiva de relação de confiança ajuda a minimizar os problemas de configuração baseados nos parceiros, geralmente associados com o estabelecimento de uma relação de confiança federada.

Instalação Aprimorada.

Os Serviços Federados do Active Directory no Windows Server “Longhorn” traz diversas melhorias à experiência de instalação. Para instalar os Serviços Federados do Active Directory no Windows Server 2003 R2, você deve ir até Adicionar/Remover Programas para encontrar e instalar o componente dos Serviços Federados do Active Directory. No entanto, no Windows Server “Longhorn,” você pode instalar os Serviços Federados do Active Directory como uma função de servidor que utiliza o Server Manager.

Você pode usar o assistente de configuração aprimorado dos Serviços Federados do Active Directory para realizar as

184


verificações de validação do servidor antes de continuar com a instalação dos Serviços Federados do Active Directory. Além disso, o Server Manager automaticamente lista e instala todos os serviços dos quais os Serviços Federados do Active Directory depende durante a instalação dos Serviços Federados do Active Directory. Esses serviços incluem o Microsoft ASP.NET 2.0 e outros serviços que fazem parte da função de servidor do Web Server (IIS).

Suporte Aprimorado da Aplicação.

Os Serviços Federados do Active Directory no Windows Server “Longhorn” inclui melhorias que aumentam a capacidade de integração com outras aplicações, como o Office SharePoint Services 2007 e os Serviços de Gerenciamento de Direitos do Active Directory.

Integração com o Office SharePoint Services 2007

O Office SharePoint® Services 2007 tira o máximo proveito das capacidades do SSO que são integradas nesta versão dos Serviços Federados do Active Directory. Os Serviços Federados do Active Directory no Windows Server “Longhorn” inclui funcionalidades para suportar os membros do Office SharePoint Services 2007 e os provedores de funções. Isso significa que você pode, de forma efetiva, configurar o Office SharePoint Services 2007 como uma aplicação consciente dos Serviços Federados do Active Directory, podendo ainda administrar quaisquer sites do Office SharePoint Services 2007, usando os membros e controle de acesso baseado em função. Os membros e os provedores de funções incluídos nesta versão dos Serviços Federados do Active Directory servem para consumo apenas pelo Office SharePoint Services 2007.

Integração com o Active Directory Rights Management Server

Os Serviços de Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active Directory podem ser integrados de forma que as organizações possam obter vantagens das relações confiáveis federadas existentes, a fim de colaborar com parceiros externos e compartilhar conteúdos protegidos pelos direitos. Por exemplo, uma organização que tenha implantado os Serviços de Gerenciamento de Direitos do Active Directory pode configurar uma federação com uma organização externa, usando os Serviços Federados do Active Directory. A organização pode então usar essa relação para compartilhar conteúdo protegido por meio de duas organizações, sem exigir uma implantação dos Serviços de Gerenciamento de Direitos do Active Directory nas duas organizações.

Melhor Experiência Administrativa ao Estabelecer Relações de Confiança Federadas

185


Tanto no Windows Server 2003 R2 como no Windows Server “Longhorn,“ os administradores dos Serviços Federados do Active Directory podem criar uma relação de confiança federada entre duas organizações, usando tanto um processo de importar e exportar arquivos de diretivas como um processo manual que envolva uma troca mútua entre os valores dos parceiros, como o Uniform Resource Indicators (URIs), tipos de declaração, mapeamento de declaração, exibição de nomes etc. O processo manual requer que o administrador, que recebe esses dados, digite todos os dados recebidos nas páginas apropriadas do Assistente para Adicionar Parceiro, o que pode resultar em erros tipográficos. Além disso, o processo manual exige que o administrador parceiro da conta envie uma cópia do certificado de verificação para o servidor de federação, a fim de que o certificado possa ser adicionado pelo assistente.

Embora a capacidade de importar e exportar arquivos da diretiva fosse disponível no Windows Server 2003 R2, criar relações de confiança federadas entre as organizações dos parceiros é mais fácil no Windows Server “Longhorn”, como um resultado da funcionalidade de importar e exportar baseada na diretiva. Essas melhorias foram feitas para aprimorar a experiência administrativa, permitindo mais flexibilidade para a funcionalidade de importação no Assistente para Adicionar Parceiro. Por exemplo, quando uma diretiva de parceiro é importada, o administrador pode usar esse Assistente para modificar todos os valores que foram importados antes de o processo do assistente ser concluído. Isso inclui a capacidade de especificar um certificado diferente de verificação da conta do parceiro e a de mapear as declarações de entrada e saída entre os parceiros.

Usando os recursos de importar e exportar, incluídos nos Serviços Federados do Active Directory no Windows Server “Longhorn,” os administradores podem apenas exportar suas configurações da diretiva de relação de confiança para um arquivo .xml e então enviar o arquivo ao administrador parceiro. Essa troca de arquivos de diretiva de parceiros fornece todas as URIs, tipos de declaração, mapeamentos de declaração e outros valores e certificados de verificação necessários para criar uma relação de confiança federada entre duas organizações parceiras.

A ilustração que segue e as instruções que acompanham mostram como uma troca bem sucedida de diretivas entre os parceiros — neste caso, iniciada pelo administrador da organização parceira da conta — pode ajudar a dinamizar o processo de estabelecer uma relação de confiança federada entre duas organizações fictícias: A. Datum Corp. e Trey Research.

O seguinte fluxograma apresenta como um controlador de domínio que executa o Windows Server “Longhorn” pode fazer a transição entre esses três estados possíveis.

186


1. O administrador parceiro da conta especifica a opção Exportar Diretiva Parceira Básica, clicando com o botão direito na pasta Diretiva Confiável, e exporta um arquivo de diretiva parceira que contém a URL, o nome de exibição, a URL do proxy do servidor da federação e o certificado de verificação da A. Datum Corp. O administrador parceiro da

187


conta então envia o arquivo da diretiva parceira (por e-mail ou outros meios) ao administrador parceiro do recurso.

2. Esse administrador cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira da conta. O administrador parceiro do recurso continua a especificar o local e o arquivo de diretiva parceira e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. O administrador então conclui o assistente.

3. O administrador parceiro do recurso agora pode configurar declarações adicionais ou configurações da diretiva de relação de confiança para aquele parceiro da conta. Após concluir essa configuração,o administrador especifica a opção Exportar Diretiva, clicando com o botão direito no parceiro de conta de A. Datum Corp. O administrador parceiro do recurso exporta um arquivo da diretiva do parceiro que contém valores, como a URL, a URL do proxy do servidor de federação, o nome de exibição, tipos de declaração e mapeamentos de declaração para a organização Trey Research. O administrador parceiro do recurso então envia o arquivo da diretiva parceira ao administrador parceiro da conta.

4. Esse administrador cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira do recurso. O administrador parceiro da conta continua a especificar o local e o arquivo de diretiva parceira do recurso e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. O administrador então conclui o assistente.

Quando este processo está concluído, uma relação de confiança bem sucedida da federação entre os parceiros é estabelecida. Os administradores parceiros de recursos também podem iniciar um processo de diretiva para importar e exportar, embora o processo não seja descrito aqui.

Novas Configurações Você configura as configurações do Web Agent baseado no token do Windows NT com o snap-in do IIS Manager. Para suportar as novas funcionalidades fornecidas com o IIS 7.0, os Serviços Federados do Active Directory do Windows Server “Longhorn” inclui atualizações na UI para o serviço de função do Web Agent dos Serviços Federados do Active Directory. A tabela que segue lista os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0

188


para cada uma das páginas de propriedades do Web Agent do Active Directory Federation, dependendo da versão do IIS que está sendo usada.

Páginas de Propriedades do Web Agent dos Serviços Federados do Active Directory

Página de Propriedades do IIS

6.0

Local Antigo IIS 7.0

Propriedade

Página

Novo Local

Guia de Serviços Federados do Active Directory Web Agent

<COMPUTERNAME>\Web Sites

URL do Federation Service

<COMPUTERNAME> (na seção Outros do painel central)

Guia de Serviços Federados do Active Directory Web Agent

<COMPUTERNAME>\Web Sites\<Site ou Virtual Directory>

Web Agent dos Serviços Federados do Active Directory

<COMPUTERNAME>\Web Sites\<Site ou Virtual Directory> (na seção IIS\Authentication do painel centra)

Nota

Não existem diferenças significativas de UI entre o snap-in dos Serviços Federados do Active Directory no Windows Server “Longhorn” e o dos Serviços Federados do Active Directory no Windows Server 2003 R2.

189


5.10 Active Directory Lightweight Directory Services

A função do servidor do Active Directory Lightweight Directory Services é um serviço de diretório do LDAP. Ele fornece armazenamento e recuperação de dados para as aplicações ativadas pelo diretório, sem as dependências requeridas para os Serviços de Domínio do Active Directory.

O Active Directory Lightweight Directory Services no Windows Server “Longhorn” abrange as funcionalidades fornecidas pelo Modo de Aplicação do Active Directory, que estão disponíveis no Microsoft Windows XP Professional e Windows Server 2003.

O Active Directory Lightweight Directory Services fornece às organizações um suporte flexível às aplicações ativadas pelo diretório. Uma aplicação ativada pelo diretório usa um diretório — em vez de um banco de dados, arquivo ou outra estrutura para armazenar dados — para manter seus dados. Os serviços de diretório (como o Active Directory Lightweight Directory Services) e os bancos de dados relacionais fornecem o armazenamento e recuperação dos dados, mas eles diferem na otimização. Os serviços de diretório são otimizados para o processamento da leitura, enquanto os bancos de dados relacionais são para o processamento de transação. Muitas aplicações personalizadas e outras regulares utilizam um design ativado para diretório. Enter esses exemplos estão:

• Aplicações de gerenciamento da relação com clientes (CRM)

• Aplicações de recursos humanos (HR)

• Aplicações de catálogo de endereços global

O Active Directory Lightweight Directory Services fornece muitas das mesmas funcionalidades dos Serviços de Domínio do Active Directory (e, na verdade, ambos são construídos sob a mesma base de código), mas ele não requer a implantação de domínios ou controladores de domínio.

Você pode executar múltiplas instâncias do Active Directory Lightweight Directory Services ao mesmo tempo em um único computador, com um esquema independentemente gerenciado para cada instância ou configuração do Active Directory Lightweight Directory Services (caso a instância faça parte do conjunto de configurações). Os servidores membros, controladores de domínio e servidores autônomos podem ser configurados para executar o Active Directory Lightweight Directory Services.

O Active Directory Lightweight Directory Services é semelhante aos Serviços de Domínio do Active Directory ao fornecer o seguinte:

• Replicação Multimaster

• Suporte à API de Interfaces do Active Directory Service

• Partições do diretório da aplicação

• LDAP sobre o SSL

190


O Active Directory Lightweight Directory Services se difere dos Serviços de Domínio do Active Directory principalmente no que se refere a não armazenar os princípios de segurança do Windows. Embora o Active Directory Lightweight Directory Services possa usar os princípios de segurança do Windows (como os usuários do domínio) nos ACLs que controlam o acesso aos objetos no Active Directory Lightweight Directory Services, o Windows não pode autenticar os usuários armazenados no Active Directory Lightweight Directory Services ou utilizar os usuários do Active Directory Lightweight Directory Services em seus ACLs. Além disso, o Active Directory Lightweight Directory Services não suporta domínios e florestas, Diretiva de Grupo ou catálogos globais.

As organizações que têm os seguintes requisitos irão considerar o Active Directory Lightweight Directory Services particularmente útil:

• Diretórios específicos da aplicação que usam esquemas personalizados ou que dependem de um gerenciamento descentralizado de diretório

Diretórios do Active Directory Lightweight Directory Services que sejam separados da infra-estrutura de domínio dos Serviços de Domínio do Active Directory. Como resultado, eles podem suportar aplicações que dependam das extensões de esquemas não desejáveis no diretório do Active Directory Domain Services — como as que são úteis a uma única aplicação. Além disso, o administrador do servidor local pode gerenciar os diretórios do Active Directory Lightweight Directory Services; os administradores de domínio não precisam fornecer suporte administrativo.

• Desenvolvimento da aplicação ativada pelo diretório e os ambientes de protótipo separados da estrutura de domínio da empresa

Os desenvolvedores de aplicação que estão criando aplicações ativadas pelo diretório podem instalar a função do Active Directory Lightweight Directory Services em qualquer servidor, mesmo nos autônomos. Como resultado, os desenvolvedores podem controlar e modificar o diretório em seu ambiente de desenvolvimento, sem interferir na infra-estrutura de Active Directory Domain Services da organização. Essas aplicações podem ser implantadas de forma subseqüente, tanto com o Active Directory Lightweight Directory Services como com os Serviços de Domínio do Active Directory como serviço de diretório da aplicação, conforme apropriado.

Os administradores de rede podem usar o Active Directory Lightweight Directory Services como ambiente protótipo ou piloto para aplicações que, eventualmente, serão implantadas com os Serviços de Domínio do Active Directory como seu armazenamento de diretório, contanto que a aplicação não dependa de recursos específicos dos Serviços de Domínio do Active Directory.

191


• Gerenciamento de acesso de computadores de clientes externos aos recursos da rede

Empresas que precisam autenticar computadores, como os de Web client ou visitantes, podem usar o Active Directory Lightweight Directory Services como local de diretório para autenticação. Isso ajuda as empresas a evitarem precisar manter informações de clientes externos no diretório de domínio da empresa.

• Ativando computadores clientes LDAP em um ambiente heterogêneo para autenticar os Serviços de Domínio do Active Directory

Quando as organizações se fundem, geralmente há uma necessidade de integrar os computadores clientes LDAP que executam diferentes sistemas operacionais de servidores em uma única infra-estrutura de rede. Nesses casos, em vez de atualizar imediatamente os computadores clientes que executam aplicações em LDAP ou modificar o esquema dos Serviços de Domínio do Active Directory para funcionar com os clientes existentes, os administradores de rede podem instalar o Active Directory Lightweight Directory Services em um ou mais servidores. A função de servidor do Active Directory Lightweight Directory Services age como um diretório intermediário que usa um esquema existente até que os computadores clientes possam ser atualizados para usar os Serviços de Domínio do Active Directory, de forma nativa, para acesso LDAP e autenticação.

Como o Active Directory Lightweight Directory Services é feito para ser um serviço de diretório para aplicações, espera-se que elas criem, gerenciem e removam objetos de diretório. Como serviço de diretório de propósito geral, o Active Directory Lightweight Directory Services não é suportado por ferramentas orientadas a domínio, como estas:

• Domínios e Relações de Confiança do Active Directory

• Usuários e Computadores do Active Directory

• Locais e Serviços do Active Directory

No entanto, os administradores podem gerenciar os diretórios do Active Directory Lightweight Directory Services, usando as ferramentas de diretório, como as seguintes:

• ADSI Edit (para visualizar, modificar, criar e excluir qualquer objeto do Active Directory Lightweight Directory Services)

• Ldp.exe (para administração geral em LDAP)

• Outros utilitários do gerenciamento de esquema

As aplicações que foram designadas para trabalhar no Modo de Aplicação do Active Directory não exigem alterações para funcionar com o Active Directory Lightweight Directory Services.

192


5.11 Serviços de Gerenciamento de Direitos do Active Directory

Para o Windows Server “Longhorn,” os Serviços de Gerenciamento de Direitos do Active Directory inclui diversos recursos novos que não estavam disponíveis no Microsoft Windows Rights Management Services (RMS). Esses novos recursos foram feitos para facilitar a sobrecarga administrativa dos Serviços de Gerenciamento de Direitos do Active Directory e para estender seu uso para foram da sua organização. Entre os novos recursos, estão:

• Inclusão dos Serviços de Gerenciamento de Direitos do Active Directory no Windows Server “Longhorn” como função de servidor

• Administração por meio de um MMC

• Integração com os Serviços Federados do Active Directory

• Registro automático dos servidores dos Serviços de Gerenciamento de Direitos do Active Directory

• Habilidade de delegar responsabilidades por meio de novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory

Nota

Este tópico concentra-se nos recursos específicos dos Serviços de Gerenciamento de Direitos do Active Directory que estão sendo lançados com o Windows Server “Longhorn.” As versões anteriores do RMS estão disponíveis em um download separado. Para mais informações sobre os recursos que eram disponíveis no RMS, confira o Windows Server 2003 Rights Management Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637).

Os Serviços de Gerenciamento de Direitos do Active Directory, uma tecnologia agnóstica de formato e aplicação, fornece serviços que ativam a criação de soluções de proteção às informações. Ele funcionará com qualquer aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory a fim de fornecer diretivas persistentes de utilização de informações sensíveis. O conteúdo pode ser protegido, usando os Serviços de Gerenciamento de Direitos do Active Directory, que inclui sites da intranet, mensagens de e-mail e documentos. Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de funções centrais que permitem aos desenvolvedores adicionar proteção às informações nas funcionalidades de aplicações existentes.

Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory, que inclui componentes de cliente e servidor, realiza os seguintes processos:

• Licenciamento de informações protegidas por direitos. Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory emite certificados de contas de direitos, que

193


identificam as entidades confiáveis (como usuários, grupos e serviços) que possam publicar o conteúdo protegido por direito. Uma vez que a relação de confiança é estabelecida, os usuários podem atribuir direitos e condições de utilização ao conteúdo que desejam proteger. Esses direitos especificam quem pode acessar o conteúdo protegido e o que a pessoa deseja fazer com ele. Quando o conteúdo é protegido, uma licença de publicação é criada para ele. Essa licença vincula os direitos específicos de utilização a certa parte do conteúdo, para que o conteúdo possa ser distribuído. Por exemplo, os usuários podem enviar documentos protegidos a outros usuários, dentro ou fora da organização, sem que o conteúdo perca sua proteção.

• Adquirindo licenças para descriptografar o conteúdo protegido por direito e aplicar diretivas de utilização. Os usuários que receberam um certificado de conta dos direitos podem acessar o conteúdo protegido, usando uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory que permite que eles vejam o conteúdo e trabalhem com ele. Quando os usuários tentam acessar um conteúdo protegido, são enviadas requisições aos Serviços de Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o conteúdo. Quando um usuário tenta usar o conteúdo protegido, o serviço de licenciamento dos Serviços de Gerenciamento de Direitos do Active Directory, no cluster dos Serviços de Gerenciamento de Direitos do Active Directory, emite uma licença única de utilização que lê, interpreta e aplica os direitos e condições especificados nas licenças de publicação. Os direitos e condições de utilização são aplicados de forma persistente e automática a qualquer lugar a que o conteúdo possa ir.

• Criando arquivos e modelos protegidos por direitos. Os usuários que são entidades confiáveis no sistema dos Serviços de Gerenciamento de Direitos do Active Directory podem criar e gerenciar arquivos aprimorados pela proteção, usando ferramentas conhecidas de autoria de uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory, que incorpora os recursos de tecnologia dos Serviços de Gerenciamento de Direitos do Active Directory. Além disso, as aplicações ativadas pelos Serviços de Gerenciamento de Direitos do Active Directory podem usar modelos de utilização centralmente definidos e oficialmente autorizados para ajudar os usuários a aplicar, efetivamente, uma série pré-definida de diretivas de utilização.

Os Serviços de Gerenciamento de Direitos do Active Directory é feito para ajudar a tornar o conteúdo mais seguro, independente de para onde ele tenha sido movido.

Os seguintes grupos de profissionais devem analisar esta seção dos Serviços de Gerenciamento de Direitos do Active Directory:

• Planejadores e analistas de TI que avaliam os produtos de gerenciamento de direitos na empresa

• Profissionais de TI responsáveis por suportar uma infra-estrutura existente de RMS

194


• Arquitetos de segurança em TI interessados em implantar uma tecnologia de proteção às informações que forneça proteção a todos os tipos de dados

Os Serviços de Gerenciamento de Direitos do Active Directory conta como Active Directory Domain Services para verificar se o usuário que tenta usar o conteúdo protegido está autorizado para fazer isso. Ao registrar um ponto de conexão do serviço (SCP) dos Serviços de Gerenciamento de Direitos do Active Directory durante a instalação, o usuário deve ter acesso de Escrita ao container Services nos Serviços de Domínio do Active Directory.

Por fim, todas as informações de configuração e registro são armazenadas no Banco de Dados de Registro dos Serviços de Gerenciamento de Direitos do Active Directory. Em um ambiente de teste, você pode usar o Banco de Dados Interno do Windows, mas, em um ambiente de produção, recomenda-se usar um servidor de banco de dados separado.

Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de melhorias quanto às versões anteriores do RMS. Essas melhorias incluem o seguinte:

• Instalação aprimorada e experiência em administração. Os Serviços de Gerenciamento de Direitos do Active Directory está incluído no Windows Server “Longhorn”, sendo instalado como uma função de servidor. Além disso, a administração dos Serviços de Gerenciamento de Direitos do Active Directory é feita por um MMC, ao contrário da administração do Web site apresentada nas versões anteriores.

• Registro automático do cluster dos Serviços de Gerenciamento de Direitos do Active Directory O cluster dos Serviços de Gerenciamento de Direitos do Active Directory pode ser registrado sem uma conexão com o Microsoft Enrollment Service. Pelo uso de um certificado de registro automático do servidor, o processo de registro é feito totalmente em um computador local.

• Integração com os Serviços Federados do Active Directory Os Serviços de Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active Directory foram integrados para que as empresas possam alavancar relações federadas existentes para colaborar com os parceiros externos.

• Novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory. A capacidade de delegar tarefas dos Serviços de Gerenciamento de Direitos do Active Directory a diferentes administradores para diferentes administradores é necessária em qualquer ambiente corporativo com esta versão dos Serviços de Gerenciamento de Direitos do Active Directory. Três funções administrativas foram criadas: Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory e Auditores de Serviços de Gerenciamento de Direitos do Active Directory.

Instalação Aprimorada e Experiência em Administração.

195


Os Serviços de Gerenciamento de Direitos do Active Directory no Windows Server “Longhorn” traz diversas melhorias para a experiência de instalação e de administração. Nas versões anteriores do RMS, um pacote separado de instalação precisava de download para depois ser instalado, mas, nesta versão, os Serviços de Gerenciamento de Direitos do Active Directory foi integrado no sistema operacional e instalado como função de servidor pelo Server Manager. A configuração e fornecimento são encontrados pela instalação da função do servidor. Além disso, o Server Manager lista e instala, automaticamente, todos os serviços dos quais os Serviços de Gerenciamento de Direitos do Active Directory é dependente, como o Message Queuing e o Web Server (IIS), durante a instalação da função de servidor dos Serviços de Gerenciamento de Direitos do Active Directory. Durante a instalação, se você não especificar um banco de dados remoto como os Serviços de Gerenciamento de Direitos do Active Directory Configuration e Logging, os Serviços de Gerenciamento de Direitos do Active Directory instala e configura, automaticamente, o Banco de Dados Interno do Windows para usar com os Serviços de Gerenciamento de Direitos do Active Directory.

Nas versões anteriores do RMS, a administração era feita por uma interface da Web. Nos Serviços de Gerenciamento de Direitos do Active Directory, a interface administrativa foi migrada para um console snap-in do MMC. O console dos Serviços de Gerenciamento de Direitos do Active Directory fornece a você todas as funcionalidades disponíveis, com a versão anterior do RMS, mas com uma interface muito mais fácil de usar.

Oferecer os Serviços de Gerenciamento de Direitos do Active Directory como função de servidor incluída com o Windows Server “Longhorn” torna o processo de instalação menos incômodo, por não exigir que você faça o download dos Serviços de Gerenciamento de Direitos do Active Directory separadamente, antes de instalá-lo.

Usar o console dos Serviços de Gerenciamento de Direitos do Active Directory para a administração, em vez de uma interface de navegador, torna as opções mais disponíveis para aprimorar a interface de usuário. O console dos Serviços de Gerenciamento de Direitos do Active Directory emprega os elementos da interface de usuário que são consistentes pelo Windows Server “Longhorn,” sendo mais fácil de seguir e de navegar. Além disso, com o inclusão das funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory, o console dos Serviços de Gerenciamento de Direitos do Active Directory exibe apenas as partes que o usuário pode acessar. Por exemplo, um usuário que está usando a função de administração dos Serviços de Gerenciamento de Direitos do Active Directory Template Administrators está restrito a tarefas que são específicas aos modelos dos Serviços de Gerenciamento de Direitos do Active Directory. Todas as outras tarefas administrativas não estão disponíveis no console dos Serviços de Gerenciamento de Direitos do Active Directory.

Registro automático dos Serviços de Gerenciamento de Direitos do Active Directory Server

196


O registro do servidor nos Serviços de Gerenciamento de Direitos do Active Directory é o processo de criação e assinatura de um certificado de licenciamento de servidor (SLC) que garante ao servidor dos Serviços de Gerenciamento de Direitos do Active Directory o direito de emitir certificados e licenças. Nas versões anteriores do RMS, o SLC tinha de ser assinado por um Serviço de Registro da Microsoft por meio de uma conexão à Internet. Isso exigia que o servidor do RMS tivesse conectividade com a Internet para fazer o registro online no Serviço de Registro da Microsoft ou fosse capaz de se conectar a outro computador com acesso à Internet que pudesse fazer o registro offline no servidor.

Nos Serviços de Gerenciamento de Direitos do Active Directory com o Windows Server “Longhorn,” o requisito de o servidor dos Serviços de Gerenciamento de Direitos do Active Directory contatar-se diretamente com o Serviço de Registro da Microsoft foi removido. Em vez disso, um certificado de registro automático do servidor é incluído com o Windows Server “Longhorn”, que assina o SLC do servidor dos Serviços de Gerenciamento de Direitos do Active Directory.

Exigir que o SLC seja assinado pelo Serviço de Registro da Microsoft mostrou uma dependência operacional, que muitos clientes não queriam em seu ambiente. O Serviço de Registro da Microsoft não é mais requerido para assinar o SLC.

Em vez disso, para assinar o SLC do servidor dos Serviços de Gerenciamento de Direitos do Active Directory server, o certificado de registro automático, incluído com o Windows Server “Longhorn,” pode assinar o SLC localmente. Esse certificado permite que os Serviços de Gerenciamento de Direitos do Active Directory opere em uma rede que seja inteiramente isolada da Internet.

Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser atualizado antes do cluster de licenciamento apenas. Isso é exigido para que o cluster de licenciamento apenas receba o SLC recém-registrado do cluster raiz.

Integração com os Serviços Federados do Active Directory

As empresas vêm continuamente sentindo a necessidade de colaborar fora dos seus limites corporativos, procurando a federação como uma solução possível. O suporte da federação com os Serviços de Gerenciamento de Direitos do Active Directory irá permitir que as empresas alavanquem suas relações federadas já estabelecidas para permitir a colaboração com entidades externas. Por exemplo, uma organização que tenha implantado os Serviços de Gerenciamento de Direitos do Active Directory pode definir uma federação com uma entidade externa, usando os Serviços Federados do Active Directory, alavancando sua relação para compartilhar conteúdos protegidos entre duas organizações, sem exigir uma implantação dos Serviços de Gerenciamento de Direitos do Active Directory nos dois locais.

Nas versões anteriores do RMS, as opções para colaboração externa de conteúdo protegido eram limitadas ao Microsoft Passport. Integrar os Serviços Federados do Active Directory com os Serviços de Gerenciamento de Direitos do Active Directory fornece

197


a capacidade de estabelecer identidades federadas entre as organizações e compartilhar conteúdos protegidos por direitos.

Se você está interessado em usar os Serviços Federados do Active Directory com os Serviços de Gerenciamento de Direitos do Active Directory, deve ter uma relação de confiança federada entre a sua organização e os parceiros externos com quem gostaria de colaborar antes de os Serviços de Gerenciamento de Direitos do Active Directory ser instalado. Além disso, você deve usar o cliente dos Serviços de Gerenciamento de Direitos do Active Directory, incluído com o Windows Vista ou o RMS Client com SP2 para tirar proveito da integração dos Serviços Federados do Active Directory com os Serviços de Gerenciamento de Direitos do Active Directory. Os clientes do RMS anteriores ao RMS Client com SP2 não irão suportar a colaboração dos Serviços Federados do Active Directory.

Novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory.

Para delegar um maior controle sobre o seu ambiente dos Serviços de Gerenciamento de Direitos do Active Directory, foram criadas novas funções administrativas. Essas funções são grupos de segurança locais criadas quando os Serviços de Gerenciamento de Direitos do Active Directory está instalado. Cada uma dessas funções possui níveis diferentes de acesso aos Serviços de Gerenciamento de Direitos do Active Directory associado a elas. As novas funções são: Grupo de Serviços de Gerenciamento de Direitos do Active Directory, Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory e Auditores Serviços de Gerenciamento de Direitos do Active Directory.

O Grupo Serviços de Gerenciamento de Direitos do Active Directory mantém a conta do serviço dos Serviços de Gerenciamento de Direitos do Active Directory. Quando a função dos Serviços de Gerenciamento de Direitos do Active Directory é adicionada, a conta de serviço configurada durante a instalação é adicionada automaticamente à função administrativa.

A função dos Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem todas as diretivas e configurações dos Serviços de Gerenciamento de Direitos do Active Directory. Durante o fornecimento dos Serviços de Gerenciamento de Direitos do Active Directory, a conta de usuário que instala a função dos Serviços de Gerenciamento de Direitos do Active Directory e o grupo de administradores locais são adicionados à função dos Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory. Como uma melhor prática, os membros deste grupo devem ser restringidos a apenas contas de usuários que precisam de controle administrativo total sobre os Serviços de Gerenciamento de Direitos do Active Directory.

198


Os Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory permitem que os membros deste grupo gerenciem os modelos de diretiva de direitos. Especificamente, os Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory podem ler as informações do cluster, listar modelos de diretivas, criar novos modelos de diretivas, modificar um modelo existente e exportar esses modelos.

A função dos Auditores de Serviços de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem logs e relatórios. Essa é uma função de somente leitura que é limitada a ler informações do cluster, ler as configurações de logging e executar relatórios disponíveis no cluster dos Serviços de Gerenciamento de Direitos do Active Directory.

As funções administrativas do novos Serviços de Gerenciamento de Direitos do Active Directory fornecem a oportunidade de delegar tarefas dos Serviços de Gerenciamento de Direitos do Active Directory sem fornecer controle total sobre todo o cluster desses serviços.

Os clientes que querem implantar os Serviços de Gerenciamento de Direitos do Active Directory em sua organização não precisam fazer nada para se preparar para essa mudança. De forma opcional, recomenda-se criar grupos de segurança do Active Directory para cada uma dessas funções administrativas e adicioná-los aos grupos de segurança locais. Isso dará a você a capacidade de escalar a sua implantação dos Serviços de Gerenciamento de Direitos do Active Directory por meio de diversos servidores, sem precisar adicionar contas de usuário a cada servidor dos Serviços de Gerenciamento de Direitos do Active Directory.

199


Seção 6: Plataforma de Aplicações e da Web


200


6.01 Introdução à Plataforma de Aplicações e da Web

Este cenário enfoca as melhorias em gerenciamento, segurança, desempenho e capacidade de extensão que estarão disponíveis quando o Windows Server® “Longhorn” for implantando no host e gerenciar aplicações e serviços em execução no servidor e/ou através da Web.


O Windows Server “Longhorn” fornece uma plataforma mais segura e fácil de ser gerenciada para o desenvolvimento e hospedagem de aplicações e serviços executados no servidor e/ou através da Web. Estas são as principais propostas de valor que a plataforma de aplicações e da Web oferece:

• Gerenciamento mais eficiente de serviços e aplicações da Web e do servidor

• Configuração e implantação mais rápidas de serviços e aplicações da Web em farms de servidores

• Plataforma Web personalizada, dinamizada e mais segura

• Maior desempenho e/ou escalabilidade para serviços e aplicações da Web

• Controle e visibilidade sobre como e quando os serviços e aplicações utilizam recursos importantes do sistema operacional


Nenhum

201


6.02 Internet Information Services 7.0

O Windows Server “Longhorn” fornece uma plataforma unificada para publicação da Web que integra o IIS, o ASP.NET, o Windows® Communication Foundation e o Microsoft® Windows SharePoint® Services. O IIS versão 7.0 é uma importante melhoria para o servidor Web IIS existente e exerce função central na integração de tecnologias de plataforma Web.

O IIS 7.0 é construído para ser compatível com os lançamentos existentes. Espera-se que todas as aplicações ASP, ASP.NET 1.1 e ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma mudança de código (usando o suporte de ISAPI compatível).

Todas as extensões ISAPI existentes e a maioria dos filtros ISAPI também continuarão funcionando, sem mudanças. Entretanto, os filtros ISAPI que dependem da notificação LER DADOS NÃO PROCESSADOS não são suportados no IIS 7.0.

Para todas as Interfaces de Serviço do Active Directory® e scripts WMI existentes, o IIS 7.0 fornecerá paridade de recursos com os lançamentos anteriores, possibilitando que estes sejam executados diretamente do novo armazenamento de configuração.

Os principais pilares do lançamento do IIS 7.0 são:

• Modelo de extensibilidade flexível para poderosa personalização

• Poderosas ferramentas de diagnóstico e resolução de problemas

• Administração delegada

• Segurança aprimorada e superfície de ataque reduzida por meio de personalização

• Implantação real de xcopy de aplicações

• Gerenciamento integrado de aplicações e integridade para serviços WCF

• Ferramentas de administração aprimoradas

Modelo de Extensibilidade Flexível para Personalização Poderosa O IIS 7.0 permite aos desenvolvedores estender o IIS para fornecer funcionalidade personalizada de novas e mais poderosas maneiras. A extensibilidade do IIS 7.0 inclui um conjunto totalmente novo de interfaces de programação de aplicação (API) de servidor principal, que permite que os módulos de recursos sejam desenvolvidos tanto em código nativo (C/C++) como em código gerenciado (linguagens como C#, e o Visual Basic® 2005, que usa o .NET Framework).

O IIS 7.0 também permite extensibilidade de configuração, scripts, registro de eventos e conjuntos de recursos de

202


ferramentas de administração, proporcionando aos desenvolvedores de software uma plataforma de servidor completa sobre a qual é possível construir extensões de servidor Web.

Ferramentas Poderosas de Diagnóstico e Resolução de Problemas O IIS 7.0 possibilita aos desenvolvedores e profissionais de TI resolver mais facilmente problemas de erros em aplicações e sites da Web. O IIS 7.0 fornece uma visualização clara das informações de diagnóstico interno sobre o IIS, além de coletar e apresentar eventos de diagnóstico detalhados para ajudar a solucionar problemas com servidores.

Administração Delegada O IIS 7.0 permite àqueles que hospedam ou administram sites da Web ou serviços WCF delegar controle administrativo aos desenvolvedores ou donos do conteúdo, reduzindo assim o custo de propriedade e os encargos administrativos para o administrador. Novas ferramentas de administração são fornecidas para suportar esses recursos de delegação.

Segurança Aprimorada e Superfície de Ataque Reduzida por meio de Personalização Você pode controlar quais recursos podem ser instalados e executados em seu servidor Web. O IIS 7.0 é composto por mais de 40 módulos de recursos diferentes. Cada módulo pode ser instalado de forma independente no servidor, para reduzir a superfície de ataque do servidor e diminuir o overhead administrativo onde não for necessário. Para mais informações sobre os diversos módulos de recursos, consulte: Módulos do IIS 7.0 (http://go.microsoft.com/fwlink/?LinkId=68740).

Implantação de Xcopy em Aplicações Verdadeiras O IIS 7.0 permite armazenar as configurações do IIS em arquivos Web.config, o que torna muito mais fácil usar o comando xcopy para copiar aplicações em múltiplos servidores Web front-end, evitando assim a replicação dispendiosa e sujeita a erros, além de problemas de sincronização manual.

Gerenciamento de Aplicações e Integridade para Serviços WCF Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF em diversos protocolos, o Windows Server “Longhorn” inclui o Windows Activation Service (WAS), que suporta a ativação conectável de escuta arbitrária de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicações ativadas por mensagem, ativação de processo por demanda, monitoramento de integridade, além de detecção e reciclagem automáticas de falhas. O WAS é baseado no modelo de processo de solicitação do IIS 6.0.

Ferramentas de Administração Aprimoradas

203


O IIS 7.0 apresenta uma nova interface gráfica e uma nova ferramenta de linha de comando para o gerenciamento e administração de servidores Web, sites e aplicações da Web.

Suporte de Gerenciamento Integrado para Serviços da Web Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF em diversos protocolos, o Windows Server “Longhorn” inclui o Windows Activation Service (WAS), que suporta a ativação conectável de escuta arbitrária de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicações ativadas por mensagem, ativação de processo por demanda, monitoramento de integridade, além de detecção e reciclagem automáticas de falhas. O WAS é baseado no modelo de processo de solicitação do IIS.

Firewall do Windows Ativado por Padrão O Firewall do Windows é ativado por padrão no Windows Server “Longhorn”. Durante a instalação da função do servidor Web (IIS), o processo de instalação adiciona as seguintes regras de entrada do Firewall do Windows, para permitir o tráfego de todos os serviços funcionais selecionados:

• Caso sejam instalados serviços funcionais relacionados a HTTP e HTTPS, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para HTTP na porta 80 e para HTTPS na porta 443. Tais regras aparecem na lista do Firewall do Windows como Tráfego HTTP de Entrada dos Serviços da World Wide Web e Tráfego HTTPS de Entrada dos Serviços da World Wide Web. Essas regras são ativadas automaticamente.

• Caso sejam instalados serviços funcionais relacionados a FTP, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para FTP na porta 21. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Servidor FTP. Essa regra é ativada automaticamente.

• Caso seja instalado o Serviço de Gerenciamento, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para o serviço na porta 8172. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Serviço de Gerenciamento da Web. Essa regra deve ser ativada pelo administrador do servidor.

Edições O IIS 7.0 está disponível em todas as edições do Windows Server. Não há diferença de funcionalidade entre as edições. O IIS 7.0 está disponível em plataformas de 32 bits e 64 bits.

Configuração

O IIS 7.0 apresenta algumas importantes melhorias na maneira como os dados de configuração são armazenados e acessados. Um dos principais objetivos do lançamento do IIS 7.0 é possibilitar a

204


configuração distribuída das configurações do IIS, que permite aos administradores especificar as configurações do IIS nos arquivos armazenados com o código e o conteúdo.

A configuração distribuída permite aos administradores especificar as configurações para um site ou aplicação da Web no mesmo diretório do código ou conteúdo. Ao especificar as configurações em um único arquivo, a configuração distribuída permite aos administradores delegar a administração dos recursos selecionados de sites ou aplicações da Web de forma que desenvolvedores de aplicações possam modificar tais recursos. Os administradores também podem bloquear configurações específicas, de modo que elas não possam ser alteradas por mais ninguém.

Usando a configuração distribuída, as configurações para um site ou aplicação específica podem ser copiadas de um computador para outro, à medida que a aplicação passa do desenvolvimento para teste e, finalmente, para produção. A configuração distribuída também permite que a configuração de um site ou aplicação seja compartilhada através de um farm de servidor, em que todos os servidores recuperam as configurações e o conteúdo de um servidor de arquivos.

A configuração do IIS 7.0 é baseada no armazenamento de configuração existente do .NET Framework, o que possibilita que as configurações do IIS sejam armazenadas em conjunto com a configuração do ASP.NET em arquivos Web.config. Essa mudança fornece um armazenamento de configuração para todas as configurações da plataforma Web, que podem ser acessadas através de um conjunto comum de APIs e armazenadas em um formato homogêneo. O sistema de configuração do IIS 7.0 é também totalmente extensível, de forma que os desenvolvedores podem estender o armazenamento de configuração para incluir uma configuração personalizada com a mesma fidelidade e prioridade da configuração do IIS.

O IIS 7.0 armazena a configuração global, ou de todo o computador, no diretório %windir%\system32\inetsrv, em um arquivo chamado ApplicationHost.config. Nesse arquivo há dois principais grupos de seção de configuração:

• system.applicationHost

• system.WebServer

O grupo de seção system.applicationHost contém a configuração para site, aplicação, diretório virtual e pools de aplicações. O grupo de seção system.WebServer contém a configuração para todas as demais configurações, incluindo os padrões globais da Web.

A configuração específica de URL também pode ser armazenada em ApplicationHost.config usando as tags <location>. O IIS 7.0 também pode fazer leitura e escrita de configuração específica de URL dentro dos diretórios de código ou conteúdo de sites e aplicações da Web do servidor nos arquivos Web.config, junto com a configuração do ASP.NET.

205


Como o Windows Server “Longhorn” é uma nova versão, é possível que você leve algum tempo para familiarizar-se como as novas opções de configuração.

Os sites de produção e os serviços WCF que atualmente são executados através do IIS 6.0 devem ser cuidadosamente testados antes de passarem para produção no IIS 7.0, embora o IIS 7.0 seja projetado para ser compatível.

Se você usa scripts de linha de comando personalizados do IIS 6.0, pode precisar convertê-los para o IIS 7.0.

Ferramentas de Administração

O IIS 7.0 apresenta as seguintes ferramentas de administração, novas e completamente reescritas, para o gerenciamento do IIS:

• GUI (Interface Gráfica do Usuário), IIS Manager

• Ferramenta de linha de comando, appcmd.exe

• Armazenamento de configuração, baseado no armazenamento de configuração do .NET Framework 2.0, que suporta a edição direta de configurações

• Provedor WMI que pode ler ou alterar configurações no armazenamento de configuração

• Interface gerenciada, Microsoft.Web.Administration, que expõe as mesmas informações exibidas pelo provedor WMI

Além disso, o snap-in MMC do IIS 6.0 também é fornecido com o Windows Server “Longhorn” para suportar administração remota e administrar sites FTP.

É possível instalar as ferramentas de administração e os componentes de servidor Web separadamente.

O IIS 7.0 também inclui um novo provedor WMI que amplia o acesso a scripts para todas as configurações do IIS e do ASP.NET.

A interface Microsoft.Web.Administration fornece uma interface gerenciada fortemente tipificada para recuperar os mesmos dados exibidos pelos scripts WMI.

Os scripts de linha de comando do IIS 6.0 também foram substituídos por uma nova e poderosa ferramenta de linha de comando, a appcmd.exe.

As novas ferramentas de administração suportam integralmente a configuração distribuída e a delegação da responsabilidade administrativa. A delegação pode ser muito específica, permitindo ao administrador decidir exatamente quais funções delegar, caso a caso.

As novas ferramentas de administração suportam integralmente a nova configuração distribuída do IIS 7.0. Elas suportam o o acesso delegado (não administrativo) para configuração de sites e aplicações individuais. As ferramentas de administração suportam

206


credenciais que não sejam do Administrador e nem do Windows para a autenticação de um site ou aplicação específica e o gerenciamento de configuração somente para aquele escopo.

A nova interface gráfica do IIS Manager suporta administração remota de HTTP, permitindo administração contínua local, remota e mesmo através da Internet, sem requerer DCOM ou que outras portas administrativas sejam abertas no firewall.

As ferramentas de administração são totalmente extensíveis, permitindo aos desenvolvedores construir novos módulos de administração usando o .NET Framework, para se conectarem facilmente a novos módulos de interface gráfica de administração que trabalham de forma tão transparente como aqueles que fazem parte do IIS 7.0.

Núcleo do Servidor Web

O Núcleo do Servidor Web do IIS 7.0 apresenta algumas mudanças fundamentais em relação ao IIS 6.0. Por exemplo, tanto o código nativo como o código gerenciado são processados por meio de um único pipeline de requisições. Além disso, o IIS 7.0 apresenta um mecanismo de servidor Web onde os componentes, chamados módulos, podem ser adicionados ou removidos, dependendo da necessidade.

Tais mudanças permitem uma redução significativa na superfície de ataque, maior extensibilidade e melhoria do suporte para estender a funcionalidade básica do IIS 7.0, pela criação de módulos de código gerenciados. O novo núcleo Web de processo de trabalho também fornece acesso para todos os eventos de notificação no pipeline de requisição. O nível de integração é sem precedentes, permitindo que os recursos existentes do ASP.NET (como autenticação baseada em formulários ou autorização de URL) sejam usados para todos os tipos de conteúdo da Web.

Em versões anteriores do IIS, toda a funcionalidade era construída por padrão, e não havia uma maneira fácil de estender ou substituir tal funcionalidade. Entretanto, o núcleo do IIS 7.0 é dividido em mais de 40 módulos de recursos distintos. O núcleo também inclui uma nova API do Win32® para construir os módulos básicos do servidor. Os módulos básicos do servidor são novos e substitutos mais poderosos dos filtros e extensões ISAPI de Servidor da Internet, embora tais filtros e extensões sejam ainda suportados no IIS 7.0.

Como todos os recursos básicos do servidor do IIS foram desenvolvidos de forma que o IIS 7.0 possa usar a nova API do Win32® e os módulos de recursos em separado, é possível adicionar, remover ou mesmo substituir os módulos de recursos do IIS.

O IIS 7.0 também inclui suporte para o desenvolvimento de extensões básicas do servidor Web usando o .NET Framework. O IIS 7.0 integrou a API IHttpModule existente ao ASP.NET, permitindo que os módulos de código gerenciados acessem todos os eventos no pipeline de requisição, para todas as solicitações.

207


Diagnóstico

O IIS 7.0 inclui duas principais melhorias que ajudam no diagnóstico e na resolução de problemas de sites e aplicações da Web.

As mudanças no diagnóstico e na resolução de problemas no IIS 7.0 permitem que o desenvolvedor ou o administrador visualize, em tempo real, as solicitações que estão sendo executadas no servidor. Agora é possível filtrar condições de erro difíceis de reproduzir e interromper automaticamente o erro com um registro de rastreamento detalhado.

O IIS 7.0 inclui uma nova API de Controle e Estado do Tempo de Execução, que proporciona informações, em tempo real, sobre o estado de pools de aplicações, processos de trabalho, sites, domínios de aplicações e ainda sobre solicitações que estão sendo executadas.

Tais informações são exibidas por meio de uma API COM nativa. A própria API é agrupada e exibida através do novo provedor WMI do IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usuários verifiquem o status do servidor Web de forma mais rápida e fácil, qualquer que seja o ambiente de gerenciamento utilizado.

O IIS 7.0 também inclui eventos de rastreamento detalhados durante o caminho de solicitação e resposta, permitindo aos desenvolvedores rastrear uma solicitação à medida que ela abre caminho para o IIS, através do pipeline de requisição de processo do IIS, em qualquer código de nível de página existente, e retornar para a resposta. Tais eventos de rastreamento detalhados permitem que os desenvolvedores tenham conhecimento não apenas do caminho da solicitação e de quaisquer informações de erro que surjam em decorrência de uma solicitação, como também do tempo decorrido e de outras informações depuradas, para ajudar na resolução de todos os tipos de erros e quando um sistema pára de responder.

Para permitir a coleta desses eventos de rastreamento, o IIS 7.0 pode ser configurado para capturar automaticamente todos os registros de rastreamento para uma determinada solicitação, com base no tempo decorrido ou nos códigos de resposta de erros.

Recursos Adicionais

Para mais informações sobre o IIS, consulte o Internet Information Services no site da Microsoft: (http://go.microsoft.com/fwlink/?LinkId=66138).

Para mais informações sobre APIs de extensibilidade do IIS, consulte o SDK do Internet Information Services 7.0 no site da Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).

208


6.03 Windows Media Services

O Microsoft Windows Media® Services 9 Series é uma plataforma de nível industrial para transmitir conteúdo de mídia digital através de redes, ao vivo ou por demanda, que inclui o conteúdo do Windows Media Audio (WMA) e do Windows Media Video (WMV).

O Windows Media Services pode ser usado para gerenciar um ou mais servidores Windows Media que fornecem conteúdo de mídia digital para os seguintes tipos de clientes:

• Computadores ou dispositivos que reproduzem o conteúdo usando um player, como o Windows Media Player

• Outros servidores Windows Media que atuem como proxy, armazenem em cache ou redistribuam o conteúdo

• Programas personalizados que foram desenvolvidos usando os Kits de Desenvolvimento de Software do Windows Media (http://go.microsoft.com/fwlink/?LinkId=82886)

O Windows Media Services pode ser usado por qualquer pessoa que deseja fornecer conteúdo de mídia digital para clientes através de redes (tanto a Internet quanto uma intranet). Os seguintes tipos de organização consideram o Windows Media Services especialmente útil:

• Empresas de hospedagem que fornecem uma experiência de fluxo contínuo rápido aos usuários - seja em casa ou no escritório

• Empresas nas áreas comercial, educacional ou governo que gerenciam recursos de rede e fornecem comunicações valiosas para transmissões corporativas, além de aprendizado, marketing e vendas on-line

• Empresas com tecnologia sem fio que fornecem serviços de entretenimento de banda larga sem fio, usando os escalonáveis e confiáveis servidores Windows Media

• Difusoras da Internet que fornecem conteúdo para rádio, televisão, cabo ou satélite

• Distribuidoras de filmes e música que fornecem conteúdo de áudio e vídeo de maneira segura, sem excesso de armazenamento em buffer ou congestionamento da rede

• Profissionais de IPTV que fornecem uma experiência de IPTV de alta qualidade em LANs

Como nos lançamentos anteriores, alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn”. Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo, o fornecimento de conteúdo para clientes como o fluxo contínuo multicast), consulte

209


a Comparação de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição do Windows Server “Longhorn” deve ser instalada.

Após a instalação da edição correta do Windows Server “Longhorn”, a função Serviços de Mídia de Fluxo Contínuo, que inclui o serviço funcional do Windows Media Services (Administrador do Windows Media Services) e serviços opcionais (Administrador do Windows Media Services para a Web e Agente de Log de Difusão Seletiva e Anúncio), não está disponível para instalação no Server Manager. Antes de usar o Server Manager para instalar a função Serviços de Mídia de Fluxo Contínuo, deve-se fazer o download do Windows Media Services 9 Series. Para mais informações sobre como instalar a função Serviços de Mídia de Fluxo Contínuo no Windows Server “Longhorn”, consulte: Instalação e Configuração da Função Serviços de Mídia de Fluxo Contínuo (http://go.microsoft.com/fwlink/?LinkId=82888).

Se você ainda não usou o Windows Media Services, recomendamos que você se familiarize com os conceitos de fluxo contínuo. Um bom lugar para começar é: Usando o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82889).

Nota

Você pode adicionar a função Serviços de Mídia de Fluxo Contínuo para a instalação do Núcleo do Servidor do Windows Server “Longhorn”. Para mais informações sobre a opção de instalação do Núcleo do Servidor do Windows Server “Longhorn”, consulte o Núcleo do Servidor neste documento. Para mais informações sobre como adicionar a função Serviços de Mídia de Fluxo Contínuo ao Núcleo do Servidor do Windows Server “Longhorn”, consulte: Instalação e Configuração da Função Serviços de Mídia de Fluxo Contínuo (http://go.microsoft.com/fwlink/?LinkId=82888).

Gerenciamento de Cache/Proxy O Administrador do Windows Media Services contém um novo plug-in de Gerenciamento de Cache/Proxy que controla a capacidade do servidor Windows Media de executar funções de cache e proxy. O plug-in Cache Proxy do WMS pode ser usado para configurar um servidor Windows Media como um servidor de cache/proxy que mantém a largura de banda, reduz a latência imposta pela rede e diminui a carga sobre o servidor de origem. Esses três fatores reduzem os custos operacionais e criam uma melhor experiência de visualização para seus clientes.

Atributos das Listas de Reprodução Os atributos das listas de reprodução do lado servidor noSkip e noRecede são agora suportados. Clientes suportados (Windows Media Player 9 Series ou versões mais recentes) que se conectam a listas de reprodução do lado servidor enviadas para pontos de publicação por demanda num servidor Windows Media podem obter

210


avanço, retrocesso, busca ou salto rápidos em toda a mídia. Esses clientes também podem avançar para a mídia anterior ou seguinte na lista de reprodução. (Esses controles estão agora ativados no cliente.)

Fluxo Contínuo de MMS O protocolo MMS não é suportado para fluxo contínuo e o plug-in do Protocolo de Controle de Servidor MMS foi removido do Administrador do Windows Media Services. Observe que embora o protocolo MMS não seja suportado, o prefixo do MMS (mms://) ainda é suportado. Quando os clientes que suportam o protocolo RTSP (Real Time Streaming Protocol) se conectam a um servidor Windows Media usando uma URL com prefixo mms:// (por exemplo, mms://server_name/clip_name.wmv), o servidor tentará usar a sobreposição de protocolos para transferir o conteúdo para o cliente usando RTSP, para fornecer uma ótima experiência de fluxo contínuo. Os clientes que suportam RTSP são o Windows Media Player 9 Series (ou versões mais recentes do Windows Media Player) ou outros players que usam o Controle ActiveX® do Windows Media Player 9 Series.

Quando versões anteriores do Windows Media Player, outros players que não suportam o protocolo RTSP ou players em ambientes que não sejam de RTSP se conectam ao servidor usando uma URL com prefixo mms://, o servidor tentará usar a sobreposição de protocolos para transferir o conteúdo para o cliente usando HTTP.

Para garantir que seu conteúdo esteja sempre disponível para clientes que se conectam ao seu servidor usando uma URL com prefixo mms://, ative o plug-in do Protocolo de Controle de Servidor HTTP do WMS no Administrador do Windows Media Services e abra portas em seu firewall para todos os protocolos de conexão que possam ser usados durante a sobreposição de protocolos. Para mais informações, consulte: Informações sobre Firewall para o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).

Configuração de Sistema HTTP do Windows Media Services Se você usa o Windows Media Services e outro serviço da Web, como o Microsoft IIS nesse servidor, ambos os serviços tentarão se conectar à porta 80 para o fluxo contínuo de HTTP. Esse conflito pode ser evitado ao atribuir uma porta diferente para cada serviço. Caso um serviço seja atribuído para outra porta que não a 80, a porta correspondente também deve ser aberta no firewall da rede. Para mais informações, consulte: Informações sobre Firewall para o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).

Como alternativa, pode-se atribuir endereços IP adicionais para o servidor. Isso possibilita que cada serviço tenha seu próprio endereço IP e, ao mesmo tempo, compartilhe a porta 80 para o fluxo contínuo de HTTP. A maneira mais simples para essa execução é instalar múltiplos adaptadores de rede no servidor. Entretanto, caso essa solução não seja possível, pode-se criar múltiplos

211


endereços IP em um único adaptador de rede e atribuir-lhes endereços distintos da porta 80. Em seguida, deve-se configurar o Windows Media Services e o serviço da Web para se conectarem a diferentes combinações de endereço IP/porta 80. A ferramenta de Configuração de Sistema HTTP do Windows Media Services, usada em versões anteriores do Windows Media Services para atribuir endereços IP adicionais para os serviços, não está disponível nesta versão. Agora, a lista de inclusão de IP na pilha de protocolos HTTP (HTTP.sys) deve ser configurada usando os aprimorados comandos netsh. Para mais informações, consulte os comandos Netsh em: Novos Recursos de Rede no Windows Server “Longhorn” e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).

Configuração do Firewall Não é mais necessário adicionar o programa Windows Media Services (Wmserver.exe) como uma exceção no Firewall do Windows para abrir as portas de entrada padrão para fluxo contínuo unicast. Quando a função Serviços de Mídia de Fluxo Contínuo é instalada no Windows Server “Longhorn”, o programa Windows Media Services é automaticamente adicionado como uma exceção no Firewall do Windows.

Utilitário de Teste de Fluxo Contínuo O Server Manager deve ser usado para instalar o recurso Experiência Desktop antes que o Utilitário de Teste de Fluxo Contínuo possa ser usado no Administrador do Windows Media Services.

Início Rápido Avançado O Início Rápido Avançado minimiza a latência de inicialização no Windows Media Player 10 (ou versões mais recentes) ou no Windows CE versão 5.0 (ou versões mais recentes) e é ativado por padrão. Nas versões anteriores do Windows Media Services, o Início Rápido Avançado era desativado por padrão.

Qualidade de Serviço O Windows Media Services foi atualizado para usar as diretivas de Qualidade de Serviço (QoS) no Windows Server “Longhorn” para gerenciar o tráfego de saída de rede, em vez de usar o Tipo de Serviço (ToS) para fornecer fluxo contínuo unicast. Para mais informações, consulte: Qualidade de Serviço (http://go.microsoft.com/fwlink/?LinkId=82892).

Implantação

As aplicações projetadas para trabalhar com o Windows Media Services nos sistemas operacionais Windows anteriores não requerem mudanças para trabalhar com o Windows Media Services no Windows Server “Longhorn”.

Em comparação com a versão anterior, o Windows Media Services não requer nenhuma melhoria especial na rede ou na infra-estrutura de

212


segurança de sua empresa. Caso o Windows Media Services esteja sendo instalado no Windows Server “Longhorn” pela primeira vez, os Requisitos de Sistema do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente.

Nota

Em primeiro lugar, é preciso fazer o download e instalar o Windows Media Services a partir do site da Microsoft (http://www.microsoft.com) para o Windows Server “Longhorn”.

O Windows Media Services pode ser implantado em diversos cenários. Depois da instalação do Windows Media Services, recomendamos a leitura do Guia de Implantação do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos e as recomendações para o cenário de fluxo contínuo.

Alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn“. Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo, o fornecimento de conteúdo para clientes como o fluxo contínuo multicast), consulte a Comparação de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição do Windows Server “Longhorn” deve ser instalada.

6.04 Servidor de Aplicação

O Servidor de Aplicação é uma nova função de servidor do Windows Server “Longhorn“. O Servidor de Aplicação fornece um ambiente integrado para implantação e execução de aplicações de negócios personalizadas construídas com o Microsoft .NET Framework versão 3.0 (anteriormente WinFX®). O mesmo ambiente integrado do Servidor de Aplicação pode ser usado para implantar e executar as aplicações de legado de sua organização, como as aplicações construídas para usar COM+, Message Queuing, serviços da Web e transações distribuídas.

O Servidor de Aplicação fornece os seguintes benefícios:

• Um tempo de execução básico que suporta implantação e gerenciamento eficazes das aplicações de negócios de alto desempenho

• O ambiente de desenvolvimento do .NET Framework, que fornece um modelo de programação simplificado e um modelo de execução de alto desempenho para aplicações baseadas em servidor, ativa os serviços da Web e integra as novas aplicações às aplicações e infra-estrutura existentes

• O Assistente para Adicionar Funções, fácil de usar, que ajuda a escolher os serviços funcionais e os recursos necessários para executar as aplicações

213


• Instalação automática de todos os recursos necessários para um determinado serviço funcional

Um ambiente do Servidor de Aplicação pode incluir, dentre outros, o que segue:

• Computadores clientes conectados por domínio e seus usuários

• Computadores conectados a uma intranet ou à Internet num ambiente de serviços da Web

• Servidores que interoperam em plataformas e sistemas operacionais distintos

• Servidores que hospedam aplicações construídas com o .NET Framework 3.0

• Servidores que hospedam aplicações construídas para usar COM+, Message Queuing, serviços da Web e transações distribuídas

• Servidores múltiplos que hospedam múltiplos bancos de dados em uma rede

O Servidor de Aplicação é uma nova função de servidor instalada através do Assistente para Adicionar Funções no Server Manager. Os administradores que implantam aplicações LOB construídas com o .NET Framework 3.0 descobrirão que a instalação de um ambiente de hospedagem para aplicações se torna mais simples com essa função de servidor. O Assistente para Adicionar Funções orienta o administrador através do processo de seleção dos serviços funcionais ou do suporte dos recursos necessários para executar as aplicações.

Núcleo do Servidor de Aplicação

O Núcleo do Servidor de Aplicação é o grupo de tecnologias instaladas por padrão quando a função Servidor de Aplicação é instalada. Basicamente, o Núcleo do Servidor de Aplicação é o .NET Framework 3.0.

O Windows Server “Longhorn” inclui o .NET Framework 2.0, seja qual for a função de servidor instalada. O .NET Framework 2.0 contém o CLR, que fornece um ambiente de execução de código que promove a execução segura do código, implantação de código simplificada e suporte para a interoperabilidade de múltiplas linguagens.

O Núcleo do Servidor de Aplicação acrescenta os recursos do .NET Framework 3.0 aos recursos básicos do .NET Framework 2.0. Para mais informações sobre o .NET Framework 3.0, consulte: .NET Framework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263).

Os principais componentes do Núcleo do Servidor de Aplicação são instalados como um conjunto de bibliotecas e montagens do .NET. Os principais componentes do Núcleo do Servidor de Aplicação são:

214


• Windows Communication Foundation (WCF)

• Windows Workflow Foundation (WF)

• Windows Presentation Foundation (WPF)

Os componentes mais importantes para as aplicações baseadas em servidor são o WCF e o WF. O WPF é usado principalmente em aplicações baseadas em cliente.

O WCF é o modelo de programação unificado da Microsoft para construir aplicações que usam os serviços da Web para se comunicarem entre si. Essas aplicações também são conhecidas como aplicações orientadas para serviços. Os desenvolvedores podem usar o WCF para construir aplicações transacionadas mais seguras e confiáveis, que se integram às plataformas e interoperam com os sistemas e aplicações existentes. Para mais informações sobre o WCF, consulte: O que é o Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=81260).

O WF é o mecanismo e modelo de programação para construir rapidamente aplicações ativadas por fluxo de trabalho no Windows Server “Longhorn”. Um fluxo de trabalho é um conjunto de atividades que descrevem um processo no mundo real. O fluxo de trabalho é comumente descrito e visualizado graficamente – como um fluxograma. A descrição do fluxo de trabalho é com freqüência chamada de modelo. Os trabalhos passam pelo modelo de fluxo de trabalho do início ao fim.

Os trabalhos ou atividades dentro do modelo podem ser executados por pessoas, sistemas ou computadores. Embora seja possível descrever um fluxo de trabalho em linguagens de programação tradicionais como uma série de etapas e condições, para fluxos de trabalho mais complexos ou que suportam revisões mais simples, em geral é muito mais apropriado projetar graficamente o fluxo de trabalho e armazenar o projeto como um modelo.

Além de permitir a modelagem gráfica dos fluxos de trabalho, o WF também possibilita a execução dos modelos de fluxo de trabalho.

Após a compilação do modelo de fluxo de trabalho, ele pode ser executado em qualquer processo do Windows, inclusive aplicações baseadas em cliente, como aplicações de console e aplicações de formulários gráficos do Windows, ou aplicações baseadas em servidor, incluindo o Windows Services, sites do ASP.NET e serviços da Web do WCF.

O WF fornece suporte para fluxo de trabalho humano e de sistemas em uma variedade de cenários, incluindo os seguintes:

• Fluxo de trabalho em aplicações LOB

• Fluxo seqüencial de telas, páginas e caixas de diálogo como apresentadas ao usuário em resposta à interação do usuário com a interface gráfica

• Fluxo de trabalho centralizado em documentos

215


• Fluxo de trabalho humano

• Fluxo de trabalho composto para aplicações orientadas para serviços

• Fluxo de trabalho direcionado às regras de negócios

• Fluxo de trabalho para gerenciamento de sistemas

O Servidor de Aplicação é essencialmente novo para o Windows Server “Longhorn”. A nova função Servidor de Aplicação disponível no Windows Server “Longhorn” não é uma atualização das tecnologias de servidor de aplicações que possam ter sido instaladas anteriormente como parte do Windows Server 2003 ou de sistemas operacionais anteriores. Como a funcionalidade é completamente nova, os administradores devem estar cientes de que não há caminho de migração do Windows Server 2003 ou de sistemas operacionais anteriores para o Application Server.

Caso um servidor do Windows Server 2003 ou de um sistema operacional anterior seja atualizado para o Windows Server “Longhorn”, a função Application Server também deverá ser reinstalada, usando o Assistente para Adicionar Funções no Server Manager.

Como parte da preparação para instalação da nova função Servidor de Aplicação, crie um inventário das aplicações que serão executadas nesse servidor. Se você for um administrador, trabalhe com seus desenvolvedores para identificar as tecnologias e configurações suportadas que devem estar presentes no servidor para executar as aplicações. Em seguida, organize essas tecnologias para os serviços funcionais descritos nas próximas seções, de forma que você possa selecionar e configurar adequadamente os serviços durante a instalação da função de servidor.

Servidor Web

Essa opção instala o IIS versão 7.0, o servidor Web construído no Windows Server “Longhorn“. O IIS fornece os seguintes benefícios:

• Ativa o Servidor de Aplicação para hospedar sites ou serviços internos e externos com conteúdo fixo ou dinâmico.

• Fornece suporte para a execução de aplicações ASP.NET acessadas de um navegador da Web.

• Fornece suporte para a execução de serviços da Web construídos com o Microsoft ASP.NET ou o WCF.

COM+ Network Access

Essa opção adiciona o COM+ Network Access para chamada remota de aplicações construídas ou hospedadas em COM+ e componentes do Enterprise Services. O COM+ Network Access é um dos recursos de chamada remota do Windows Server “Longhorn”. Aplicações mais recentes podem usar o WCF para suportar chamadas remotas.

216


Serviço de Ativação de Processos no Windows

Essa opção adiciona o Serviço de Ativação de Processos no Windows (WAS - Windows Process Activation Service). O WAS pode iniciar e finalizar aplicações de forma dinâmica, baseado em mensagens recebidas da rede através de HTTP, Message Queuing, TCP e os chamados protocolos de canalização.

Compartilhamento de Porta TCP

Essa opção adiciona o Compartilhamento de Porta TCP (TCP Port Sharing). Esse serviço funcional possibilita que múltiplas aplicações HTTP usem uma única porta TCP. Quando esse serviço funcional é instalado como parte da função Servidor de Aplicação, múltiplas aplicações WCF podem compartilhar uma única porta para receber mensagens da rede. Isso pode ajudar a limitar a área de superfície potencialmente aberta para ataques, já que o administrador abre apenas uma porta nos firewalls.

O serviço funcional trabalha aceitando conexões que usam o protocolo Net.Tcp. O serviço então transfere automaticamente as mensagens de entrada para os diversos serviços WCF com base no conteúdo das mensagens. Isso simplifica o gerenciamento dos servidores de aplicações quando muitas ocorrências de uma mesma aplicação estão sendo executadas.

Transações Distribuídas

Essa opção ativa as transações distribuídas, que ajudam a assegurar transações completas e bem-sucedidas em múltiplos bancos de dados hospedados em diversos computadores em uma rede.

217


6.05 NTFS Transacional

O sistema de arquivos NTFS Transacional e o Registro Transacional, a tecnologia transacional do kernel no Windows Server “Longhorn”, foram aprimorados para coordenar seu trabalho por meio de transações. Como as transações são necessárias para preservar a integridade dos dados e lidar com condições de erro de forma confiável, o NTFS Transacional pode ser usado para desenvolver soluções poderosas para sistemas executados no Windows.

O NTFS Transacional permite que as operações de arquivos em um volume de sistema de arquivos NTFS sejam executadas de forma transacional. Isso fornece suporte para todas as propriedades ACID (atômica, consistente, isolada e durável) das transações. Por exemplo, você pode agrupar conjuntos de arquivos e operações de registro com uma transação, de forma que todos obtenham sucesso ou nenhum obtenha sucesso. Embora a transação seja ativa, as mudanças não são vísiveis para leitura fora da transação. Mesmo que ocorra falha no sistema, o trabalho iniciado é gravado no disco e o trabalho transacional incompleto é restabelecido.

As transações usadas com o sistema de arquivos ou registro podem ser coordenadas com qualquer outro recurso transacional, como o SQL Server™ ou MSMQ. A linha de comando foi extendida com o comando Transact para permitir scripts simples de linha de comando usando transações.

O NTFS Transacional destina-se aos profissionais de TI que precisam de uma maneira de garantir que determinadas operações de arquivos sejam finalizadas sem interrupção ou possíveis erros.

O NTFS Transacional fornece a seguinte funcionalidade:

• NTFS Transacional integrado a COM+. O COM+ é estendido para usar as APIs do Windows NT para ligar automaticamente o equivalente da transação COM+ do Windows NT® ao thread em que um objeto é programado. Portanto, as aplicações que usam o modelo de transação COM+ podem simplesmente especificar uma propriedade de objeto adicional que indica a intenção de acesso do arquivo transacional. As aplicações de legado que usam o modelo COM+ que não especificarem essa propriedade adicional acessarão os arquivos sem usar o NTFS Transacional.

• Cada volume NTFS é um gerenciador de recursos. Uma transação que transpõe múltiplos volumes é coordenada pelo Kernel Transaction Manager (KTM). Compatível com a arquitetura do Windows NT, esse recurso fornece suporte para recuperação independente de volume do Windows NT. Por exemplo, um sistema pode ser reinicializado com alguns dos volumes “perdidos”, sem afetar a recuperação de outros volumes.

218


• Um identificador de arquivos pode ser fechado antes da confirmação ou interrupção da transação. Em geral, a confirmação ou interrupção é executada por um thread totalmente diferente daquele que executou o trabalho de arquivo. Espera-se que os identificadores transacionais sejam usados apenas enquanto a transação estiver ativa. O sistema marca os identificadores como inativos depois que a transação é finalizada. A tentativa de modificar o arquivo é fracassada e o sistema apresenta uma mensagem de erro.

• Um arquivo pode ser visualizado como uma unidade de armazenamento. Atualizações parciais e sobregravações de arquivo completas são suportadas. Não se espera que transações múltiplas modifiquem partes do arquivo ao mesmo tempo – isso não é suportado.

• A E/S mapeada na memória trabalha de forma transparente e compatível com a E/S regular de arquivos. O único trabalho adicional necessário é que a aplicação esvazie e feche uma seção aberta antes de confirmar uma transação. Falhas nesse procedimento resultarão em mudanças parciais na transação.

• O acesso a um arquivo remoto por meio do serviço SMB e do WebDAV (Web-Based Distributed Authoring and Versioning) é suportado de forma transparente. O contexto da transação é transmitido automaticamente pelo sistema ao nó remoto. A própria transação é distribuída e coordenada para confirmação ou interrupção. Isso permite que as aplicações sejam distribuídas para múltiplos nós com um alto grau de flexibilidade. Esse é um recurso poderoso, já que permite transferências transacionais de arquivos na rede, imitando uma forma de mensageria transacional.

• Cada volume possui seu próprio log. O formato comum de log é usado para fornecer recuperação e interrupções. O formato comum de log também constrói um meio comum de registro de transações do Windows para ser usado por outros armazenamentos.

219


Seção 7: Gerenciamento de Servidores

7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows................251 7.09 Serviços de Implantação do Windows ............................254

220


7.01 Introdução ao Gerenciamento de Servidores

Este cenário se concentra em ferramentas, tecnologias e opções de instalação disponíveis para uso no Windows Server® “Longhorn”, para melhorar a experiência de gerenciamento de servidores únicos e múltiplos dentro de uma empresa.

Para a administração local de um servidor único, o Server Manager é um Console de Gerenciamento integrado da Microsoft® que oferece aos profissionais de TI uma experiência integrada e contínua para adicionar, remover e configurar funções de servidor, serviços e recursos das funções. Ele também atua como um portal para gerenciamento, monitoramento e operações de servidor constantes, expondo tarefas de gerenciamento importantes com base na função do servidor, e fornecendo acesso a ferramentas avançadas de administração.

Em empresas maiores, o gerenciamento de servidores múltiplos pode ser automatizado com o Windows PowerShell™, que consiste de um novo shell de linha de comando e linguagem de script projetado especificamente para automatizar as tarefas de administração para funções de servidor, tais como IIS e Active Directory®.

Os profissionais de TI também podem usar a ferramenta Windows® Remote Shell (WinRS) para gerenciar os servidores remotamente ou para obter dados de gerenciamento através dos objetos Windows Remote Management (WinRM) e Windows Management Instrumentation (WMI) nos servidores remotos. WinRM é um novo protocolo de acesso remoto baseado nos Serviços da Web de padrão DMTF para Gerenciamento.

O Núcleo do Servidor fornece uma opção de instalação mínima para certas funções de servidor, oferecendo uma memória de servidor e uma superfície de ataque menor, para reduzir as necessidades de gerenciamento e serviços.

Proposta de Valores do Cenário

As principais propostas de valores que o gerenciamento de servidores oferece são:

• Realizar configuração inicial de um servidor local através de uma única interface

• Adicionar e remover funções e recursos de servidor de modo mais seguro e confiável

• Examinar o estado de função de servidor, realizar tarefas de gerenciamento importantes e acessar ferramentas avançadas de gerenciamento a partir de uma única ferramenta de gerenciamento local

• Automatizar a administração de servidores múltiplos através de uma linguagem de script orientada a tarefas

221


• Acelerar a autoria, os testes e a depuração de scripts e escrever as ferramentas do cliente em um novo ambiente de shell de comando

• Realizar o gerenciamento de servidores locais e remotos através do acesso a múltiplos armazenamentos de gerenciamento de dados, tais como WMI, ADSI, COM, Certificados, Registro e arquivos de configuração XML

• Reduzir as necessidades de gerenciamento e serviços, melhorando, ao mesmo tempo, a confiabilidade e a segurança


Nenhum

222


7.02 Tarefas de Configuração Inicial

A janela de Tarefas de Configuração Inicial é um novo recurso do Windows Server “Longhorn” que abre automaticamente depois que o processo de instalação do sistema operacional é completado, e ajuda o administrador a terminar a instalação e a configuração inicial de um novo servidor. Ele inclui tarefas como configurar a senha do Administrador, alterar o nome da conta do Administrador para melhorar a segurança de seu servidor, vincular o servidor a um domínio existente, ativar a Área de trabalho Remota para o servidor, e ativar o Windows Update e o Firewall do Windows.

Antes do Windows Server “Longhorn”, a instalação do sistema operacional de classe de servidor do Windows pausava para que os administradores fornecessem informações sobre sua conta, domínio e rede. O feedback indica que essa prática tornava lento o processo de implantação do sistema operacional e servidor, pois a

conclusão da instalação do sistema operacional seria adiada até que os administradores respondessem aos avisos e fornecessem as informações.

As Tarefas de Configuração Inicial permitem aos administradores adiar essas tarefas até que a instalação esteja completa, o que significa menos interrupções durante a instalação.

Além disso, como a ativação do produto pode ser feita dentro de um período de tolerância (normalmente 30 dias), e não é essencial para a configuração inicial do servidor, o comando Ativar Seu Servidor, presente na janela Gerenciar Seu Servidor no Windows Server 2003, foi removido das Tarefas de Configuração Inicial.

Os comandos Adicionar Funções e Adicionar Recursos na janela Tarefas de Configuração Inicial permite que você comece a adicionar funções e recursos ao seu servidor imediatamente.

A janela Tarefas de Configuração Inicial ajuda o administrador a configurar um servidor e reduzir o tempo entre a instalação do sistema operacional e a implantação do servidor em uma empresa.

223


Ela permite que o administrador especifique, de maneira lógica, as configurações do sistema operacional que foram previamente expostas na Instalação do Windows Server 2003, tais como a conta do Administrador, informações sobre o domínio, e configurações de rede.

A janela Tarefas de Configuração Inicial também permite que você participe dos seguintes programas que fornecem um feedback anônimo à Microsoft sobre o desempenho do software em sua empresa:

• Programa de Aperfeiçoamento da Experiência do Cliente com o Windows Server

• Relatório de Erros do Windows

Configurações Padrão nas Tarefas de Configuração Inicial

Configuração Configuração Padrão

Senha do Administrador

O padrão é que a senha da conta do Administrador fique em branco.

Nome do computador O nome do computador é atribuído de modo randômico durante a instalação. Você pode modificar o nome do computador usando comandos na janela Tarefas de Configuração Inicial.

Membros do domínio O computador não é vinculado a um domínio por padrão; é vinculado a um grupo de trabalho chamado WORKGROUP.

Windows Update O Windows Update é desligado por padrão.

Conexões de rede Todas as conexões de rede são programadas para obter endereços de IP automaticamente usando o DHCP.

Firewall do Windows O Firewall do Windows é ligado por padrão.

Funções instaladas Nenhuma função é instalada por padrão.

224


7.03 Server Manager

O Windows Server “Longhorn” facilita a tarefa de gerenciar e proteger múltiplas funções de servidor em uma empresa com o novo console Server Manager (Gerenciador de Servidor). O Server Manager no Windows Server “Longhorn” fornece uma única fonte para gerenciar a identidade e as informações do sistema de um servidor, exibir o estado do servidor, identificar problemas na configuração de funções do servidor, e gerenciar todas as funções instaladas no servidor.

O Server Manager substitui vários recursos incluídos no Windows Server 2003, inclusive o Gerenciar Seu Servidor, Configurar Seu Servidor, e Adicionar ou Remover Componentes do Windows.

O Server Manager também elimina a necessidade de o administrador executar o Assistente de Configuração de Segurança antes de implantar os

servidores; as funções do servidor são configuradas com configurações de segurança recomendadas por padrão, e estão prontas para implantar assim que instaladas e configuradas adequadamente.

O Server Manager é um MMC expandido que permite visualizar a gerenciar virtualmente todas as informações e ferramentas que afetam a produtividade de seu servidor. Os comandos do Server Manager permitem que você instale ou remova funções e recursos do servidor, e aumente funções já instaladas no servidor adicionando serviços de função.

O Server Manager torna a administração do servidor mais eficiente, por permitir que os administradores façam o seguinte com uma única ferramenta:

• Visualizar e fazer alterações nas funções e recursos instalados no servidor

• Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional do servidor, tais como iniciar ou parar serviços e gerenciar contas de usuário local

• Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional das funções instaladas no servidor

225


• Determinar o estado do servidor, identificar eventos críticos e analisar e resolver problemas ou falhas de configuração

• Instalar ou remover funções, serviços de função e recursos usando uma linha de comando do Windows

O Server Manager foi projetado para fornecer os melhores benefícios a qualquer um dos seguintes profissionais de TI:

• Um administrador, planejador ou analista de TI que está avaliando o Windows Server “Longhorn”

• Um planejador ou designer de TI corporativo

• Um “early adopter” do Windows Server “Longhorn”

• Um arquiteto de TI responsável pelo gerenciamento e segurança dos computadores de uma organização

Antes de usar o Server Manager, é recomendável que você se familiarize com as funções, terminologia, requisitos e tarefas diárias de gerenciamento de qualquer função que planeja instalar em seu servidor. Para informações mais detalhadas sobre funções de servidor, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541).

O Server Manager é instalado por padrão como parte do processo de instalação do Windows Server “Longhorn”. Para usar o Server Manager, você deve fazer logon no computador como membro do grupo de Administradores no computador local.

Funções

Embora a adição e remoção de funções e recursos de servidor não representem algo novo, o Server Manager unifica a funcionalidade de múltiplas ferramentas anteriores em uma única interface de usuário, simples e baseada em MMC.

Funções e recursos instalados com o Server Manager são ativados por padrão, para maior segurança. Os administradores não precisam executar o Assistente de Configuração de Segurança após a instalação ou remoção de funções, a menos que queiram alterar configurações padrão.

O Server Manager fornece um único ponto de acesso a snap-ins de gerenciamento para todas as funções instaladas. Adicionar uma

função automaticamente cria uma página inicial de console de gerenciamento no Server Manager para essa função, que exibe eventos e estado de todos os serviços que fazem parte da função. Serviços ou sub-componentes

de uma função são listados em uma seção desta página. Os administradores podem abrir assistentes para adicionar ou remover serviços de função usando comandos desta página inicial.

226


Uma função de servidor descreve a função primária do servidor. Os administradores podem optar por dedicar um computador inteiro a uma função de servidor, ou instalar múltiplas funções de servidor em um único computador. Cada função pode incluir um ou mais serviços de função, melhor descritos como sub-elementos de uma função. As seguintes funções de servidor estão disponíveis no Windows Server “Longhorn”, e podem ser instaladas e gerenciadas com o Server Manager.

Funções de Servidor no Server Manager

Nome da Função Descrição

Serviços de Certificado do Active Directory

Os Serviços de Certificado do Active Directory fornecem serviços personalizáveis para criar e gerenciar certificados de chave pública usados em sistemas de segurança de software, empregando tecnologias de chave pública. As organizações podem usar os Serviços de Certificado do Active Directory para melhorar a segurança vinculando a identidade de uma pessoa, dispositivo ou serviço a uma chave privada correspondente. Os Serviços de Certificado do Active Directory também incluem recursos que permitem gerenciar o registro e a revogação do certificado em uma variedade de ambientes escalonáveis.

As aplicações suportadas pelos Serviços de Certificado do Active Directory incluem Secure/Multipurpose Internet Mail Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema de Arquivos Encriptados (EFS), logon de cartões inteligentes, SSL/TLS e assinaturas digitais.

Serviços de Domínio do Active Directory

Os Serviços de Domínio do Active Directory armazenam informações sobre usuários, computadores e outros dispositivos na rede. Os Serviços de Domínio do Active Directory ajudam os administradores a gerenciar com mais segurança essas informações e facilitam o compartilhamento de recursos e a colaboração entre usuários. Os Serviços de Domínio do Active Directory também precisam ser instalados na rede para instalar aplicações ativadas para diretório, tais como o Microsoft Exchange Server e para aplicar outras tecnologias do Windows Server como a Diretiva de Grupo.

Serviços de Federação do Active Directory

Os Serviços de Federação do Active Directory fornecem tecnologias de logon único da Web para autenticar um usuário para múltiplas aplicações da Web usando uma única conta de usuário. Os Serviços de Federação do Active Directory realizam isso federando ou compartilhando, de modo seguro, identidades de usuário e direitos de acesso, nos pedidos digitais ou formulários, entre organizações parceiras.

Serviços de Domínio do Active Directory Lightweight

As organizações que têm aplicações que requerem um diretório para armazenar dados de aplicações podem usar os Serviços de Domínio do Active Directory Lightweight como armazenamento de dados. Os Serviços de Domínio do Active Directory Lightweight funcionam como um serviço de sistema não operacional e, como tal, não requer implantação em um controlador de domínio. O funcionamento como serviço de sistema não operacional permite que múltiplas instâncias dos Serviços de Domínio do Active Directory Lightweight sejam executadas simultaneamente em um único servidor, e que cada instância possa ser configurada independentemente para prestar serviços a múltiplas aplicações.

Serviços de Gerenciamento de Direitos do Active Directory

Os Serviços de Gerenciamento de Direitos do Active Directory são uma tecnologia de proteção de informações que trabalha com aplicações ativadas para esses serviços, para ajudar a proteger informações digitais contra o uso não autorizado. Os proprietários do conteúdo podem definir exatamente como um recipiente pode usar as informações, como quem pode abrir, modificar, imprimir, encaminhar ou usar outros procedimentos com as informações. As organizações podem criar modelos de direitos de uso personalizados como “Confidencial – Somente Leitura”, que podem ser aplicados diretamente a informações como relatórios financeiros, especificações do produto, dados

227


de clientes e mensagens de e-mail.

Application Server

O Application Server (Servidor de Aplicações) fornece uma solução completa para hospedar e gerenciar aplicações de negócios de alto desempenho distribuídas. Serviços integrados, tais como .NET Framework, Suporte a Servidor da Web, Enfileiramento de Mensagens, COM+, Windows Communication Foundation e suporte a Clustering Failover impulsionam a produtividade durante todo o ciclo de vida da aplicação, desde o projeto e o desenvolvimento até a implantação e as operações.

Servidor de Protocolo de Configuração Dinâmica de Host (DHCP)

O DHCP permite que os servidores atribuam ou aluguem endereços de IP a computadores e outros dispositivos ativados como clientes de DHCP. A implantação de servidores de DHCP na rede fornece automaticamente, aos computadores e outros dispositivos de rede baseados em TCP/IP, endereços de IP válidos e os parâmetros de configuração adicionais de que esses dispositivos precisam, chamados opções de DHCP, que lhes permitem conectar-se a outros recursos de rede, tais como servidores DNS, servidores WINS e roteadores.

Servidor DNS O DNS fornece um método padrão para associar nomes a endereços de Internet numéricos. Isso possibilita aos usuários o acesso a computadores da rede através de nomes fáceis de lembrar, em vez de uma longa série de números. Os Serviços de DNS podem ser integrados a serviços de DHCP no Windows, eliminando a necessidade de adicionar registros de DNS quando os computadores são adicionados à rede.

Servidor de Fax

O Servidor de Fax envia e recebe fax, e permite gerenciar recursos de fax como tarefas, configurações, relatórios e dispositivos de fax nesse computador ou na rede.

Serviços de Arquivo

Os Serviços de Arquivo fornecem tecnologias para gerenciamento de armazenamentos, replicação de arquivos, gerenciamento de espaços de nomes distribuídos, busca rápida de arquivos e acesso dinamizado de cliente aos arquivos.

Serviços de Acesso e Diretiva de Rede

Os Serviços de Acesso e Diretiva de Rede oferecem uma variedade de métodos para fornecer aos usuários conectividade à rede remota e local, para conectar-se a segmentos da rede, e para permitir que os administradores da rede gerenciem centralmente o acesso à rede e as diretivas de integridade do cliente. Com os Serviços de Acesso à Rede, você pode implantar servidores de VPN, servidores de conexão discada, roteadores e acesso sem fio protegido 802.11. Você também pode implantar servidores e proxies RADIUS, e usar o Kit de Administração de Gerenciador de Conexão para criar perfis de acesso remoto que permitem aos computadores cliente conectar-se à sua rede.

Serviços de Impressão

Os Serviços de Impressão ativam o gerenciamento de servidores de impressão e impressoras. Um servidor de impressão reduz a carga de trabalho administrativa e de gerenciamento através da centralização de tarefas de gerenciamento de impressoras.

Serviços de Terminal

Os Serviços de Terminal fornecem tecnologias que permitem aos usuários acessar programas baseados em Windows que estão instalados em um servidor de terminal, ou acessar a própria área de trabalho do Windows a partir de quase todos os dispositivos de computação. Os usuários podem conectar-se a um servidor de terminal para executar programas e para usar recursos de rede nesse servidor.

Serviço Universal de Descrição, Descoberta e Integração (UDDI)

O Serviço UDDI fornece capacidades de UDDI para compartilhar informações sobre serviços da Web dentro do intranet de uma organização, entre parceiros de negócios em um extranet ou na Internet. O Serviço UDDI pode ajudar a melhorar a produtividade de desenvolvedores e profissionais de TI com aplicações mais confiáveis e gerenciáveis. Com o Serviço UDDI você pode evitar a duplicação de esforços promovendo a reutilização do trabalho de desenvolvimento existente.

Servidor Web (IIS)

O Servidor Web (IIS) ativa o compartilhamento de informações na Internet, em um intranet ou um extranet. É uma plataforma da Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation e Windows SharePoint® Services. O IIS 7.0 também oferece maior segurança, diagnósticos simplificados

228


e administração delegada.

Serviços de Implantação do Windows

Você pode usar os Serviços de Implantação do Windows para instalar e configurar os sistemas operacionais do Microsoft Windows remotamente em computadores com ROMs de inicialização do Ambiente de Pre-boot Execution (PXE). O overhead de administração é reduzido através da implementação do snap-in WdsMgmt MMC, que gerencia todos os aspectos dos Serviços de Implantação do Windows. Os Serviços de Implantação do Windows também fornecem aos usuários finais uma experiência consistente com a Instalação do Windows.

Windows SharePoint Services

A função Windows SharePoint Services ajuda as organizações a aumentar a produtividade criando sites em que os usuários podem colaborar com documentos, tarefas e eventos, e compartilhar facilmente contatos e outras informações. O ambiente foi projetado para implantação, desenvolvimento de aplicações e administração flexíveis.

O seguinte gráfico mostra a página inicial da função Serviços de Arquivo no Server Manager.

Recursos

Recursos, de modo geral, não descrevem a função primária de um servidor. Eles fornecem funções auxiliares ou de suporte aos servidores. Normalmente, os administradores adicionam recursos não como a função primária de um servidor, mas para aumentar a funcionalidade das funções instaladas.

Por exemplo, o Clustering Failover é um recurso que os administradores podem instalar após a instalação de certas funções de servidor, como os Serviços de Arquivo, para adicionar

229


redundância aos Serviços de Arquivo e diminuir o tempo de recuperação de possíveis desastres.

Os seguintes recursos estão disponíveis no Windows Server “Longhorn”, e podem ser instalados usando comandos do Server Manager.

Recursos no Server Manager

Nome do Recurso

Descrição

Recursos do Microsoft .NET Framework 3.0

O Microsoft .NET Framework 3.0 combina a potência das APIs do .NET Framework 2.0 com novas tecnologias para construir aplicações que oferecem interfaces de usuário atraentes, ajudam a proteger as informações de identidade pessoal de seus clientes, ativam a comunicação contínua e mais segura, e fornecem a habilidade de modelar uma série de processos de negócios.

Criptografia da Unidade BitLocker

A Criptografia da Unidade BitLocker™ ajuda a proteger dados em computadores perdidos, roubados ou encerrados inadequadamente, criptografando todo o volume e verificando a integridade de componentes de inicialização antecipada. Os dados são decriptografados apenas se esses componentes forem verificados com sucesso e a unidade criptografada estiver localizada no computador original. A verificação de integridade requer um módulo de TPM (trusted platform module) compatível.

Extensões do Servidor BITS

As Extensões do Servidor de Serviço de Transferência Inteligente de Segundo Plano (BITS) permitem que um servidor receba arquivos carregados por clientes usando o BITS. O BITS permite aos computadores cliente transferir arquivos em primeiro ou segundo plano de modo assíncrono, preservar a capacidade de reação de outras aplicações da rede, e retomar transferências de arquivo após falhas da rede e reinicializações do computador.

Kit de Administração do Gerenciador de Conexão (CMAK)

O CMAK gera perfis do Gerenciador de Conexão.

Experiência Desktop

A Experiência Desktop inclui recursos do Windows Vista™, como o Windows Media® Player, temas de área de trabalho e gerenciamento de fotos. A Experiência Desktop não ativa nenhum dos recursos do Windows Vista por padrão; você precisa ativá-los manualmente.

Cliente de Impressão da Internet

O Cliente de Impressão da Internet permite usar HTTP para conectar-se a e usar impressoras que estão em servidores de impressão da Web. A impressão da Internet ativa conexões entre usuários e impressoras que não estão no mesmo domínio ou rede. Um exemplo de uso é de um funcionário que está viajando, e agora está em um escritório em local remoto, ou em uma lanchonete equipada com acesso Wi-Fi.

Servidor de Nome de Armazenamento na Internet (iSNS)

O iSNS fornece serviços de descoberta para redes da área de armazenamento da Interface de Sistemas Computacionais Pequenos na Internet (iSCSI). O iSNS processa pedidos de registro, de anulação e consultas a partir de clientes de iSNS.

Monitor de Porta LPR (LPR)

O Monitor de Porta LPR permite que os usuários que têm acesso a computadores baseados em UNIX imprimam em dispositivos anexados a eles.

Enfileiramento de Mensagens

O Enfileiramento de Mensagens fornece entrega garantida de mensagens, roteamento eficiente, segurança e troca de mensagens entre as aplicações baseada em prioridades. O Enfileiramento de Mensagens também acomoda a troca de mensagens entre aplicações que executam sistemas operacionais diferentes, que usam infra-estruturas de rede não similares, que estão temporariamente

230


off-line, ou que estão executando em tempos diferentes.

Multipath I/O (MPIO)

O MPIO, junto com o Módulo Específico de Dispositivo da Microsoft (DSM) ou um DSM de terceiros, fornece suporte para usar múltiplos caminhos de dados para um dispositivo de armazenamento no Microsoft Windows.

Protocolo de Resolução de Nome Similar (PNRP)

O PNRP permite que as aplicações registrem e resolvam nomes a partir de seu computador, para que outros computadores possam comunicar-se com essas aplicações.

Experiência de Áudio e Vídeo de Qualidade do Windows (qWave)

O qWave é uma plataforma de rede para aplicações de fluxo contínuo de áudio e vídeo (AV) em redes domésticas de protocolo da Internet. O qWave melhora o desempenho e a confiabilidade do fluxo contínuo de AV por garantir a qualidade do serviço de rede para aplicações de AV. Ele fornece controle de admissão, monitoramento e cumprimento de tempo de execução, feedback de aplicações e priorização de tráfego. Em plataformas do Windows Server, o qWave fornece apenas serviços de taxa de fluxo e priorização.

Disco de Recuperação

O Disco de Recuperação é um utilitário para criação de um disco de instalação do sistema operacional Windows. Usando o Disco de Recuperação, você pode recuperar dados em seu computador se não tiver um disco do produto Windows, ou não puder acessar ferramentas de recuperação fornecidas pelo fabricante de seu computador.

Assistência Remota

A Assistência Remota permite que você (ou uma pessoa do suporte) ofereça assistência aos usuários com problemas ou dúvidas nos computadores. A Assistência Remota permite que você visualize e compartilhe o controle da área de trabalho do usuário para resolver os problemas. Os usuários também podem pedir ajuda de amigos e colegas de trabalho.

Ferramentas de Administração do Servidor Remoto

As Ferramentas de Administração do Servidor Remoto ativam o gerenciamento remoto do Windows Server 2003 e do Windows Server “Longhorn” a partir de um computador que está executando o Windows Server “Longhorn”, permitindo que você execute algumas das ferramentas de gerenciamento para funções, serviços de função e recursos em um computador remoto.

Gerenciador de Armazenamento Removível (RSM)

O RSM gerencia e cataloga a mídia removível e opera dispositivos automáticos de mídia removível.

Proxy RPC sobre HTTP

O RPC Over HTTP Proxy é um proxy usado por objetos que recebem chamadas de procedimento remoto por HTTP. Esse Proxy permite que os clientes descubram esses objetos mesmo que estes forem movidos entre servidores ou se existirem em áreas discretas da rede, geralmente por razões de segurança.

Network Filesystem Services (NFS)

Os Serviços para NFS são um protocolo que atua como um sistema de arquivos distribuídos, permitindo que um computador acesse arquivos por uma rede facilmente, como se eles estivessem nos discos locais. Esse recurso está disponível para instalação apenas em versões de 64 bits do Windows Server “Longhorn”; em outras versões, os Serviços para NFS estão disponíveis como um serviço de função da função Serviços de Arquivo.

Servidor SMTP O Servidor SMTP suporta a transferência de mensagens de e-mail entre sistemas de e-mail.

Gerenciador de Armazenamento para Redes da Área de Armazenamento (SANs)

As SANs ajudam a criar e gerenciar números de unidade lógica em subsistemas de unidade de disco iSCSI e Fibre Channel que suportam o Serviço de Disco Virtual (VDS) em sua SAN.

Serviços de TCP/IP Simples

Os Serviços de TCP/IP Simples suportam os seguintes serviços de TCP/IP: Character Generator (Gerador de Caracteres), Daytime (Dia), Discard (Descartar), Echo (Eco) e Quote of the Day (Citação do Dia). Os Serviços de TCP/IP Simples são fornecidos para retro-compatibilidade e não devem ser instalados a menos que seja solicitado.

231


Simple Network Management Protocol (SNMP)

O SNMP é o protocolo padrão da Internet para troca de informações de gerenciamento entre aplicações de console de gerenciamento – tais como HP Openview, Novell NMS, IBM NetView ou Sun Net Manager – e entidades gerenciadas. Entidades gerenciadas podem incluir hosts (anfitriões), roteadores, bridges (pontes) e hubs.

Subsistema para Aplicações baseadas em UNIX

O Subsistema para Aplicações baseadas em UNIX (SUA), junto com um pacote de utilitários de suporte disponíveis para download no site da Microsoft, permite que você execute programas baseados em UNIX, e compile e execute aplicações baseadas em UNIX personalizadas no ambiente do Windows.

Cliente Telnet O Cliente Telnet usa o protocolo Telnet para conectar-se a um servidor telnet remoto e executar aplicações nesse servidor.

Servidor Telnet

O Servidor Telnet permite que usuários remotos, incluindo os que executam sistemas operacionais baseados em UNIX, realizem tarefas de administração de linha de comando e executem programas usando um cliente telnet.

Cliente de Protocolo de Transferência de Arquivos Simples (TFTP)

O Cliente de TFTP é usado para ler arquivos de, ou escrever arquivos para, um servidor de TFTP remoto. o TFTP é usado principalmente por dispositivos ou sistemas embutidos que recuperam firmware, informações de configuração, ou uma imagem de sistema durante o processo de inicialização a partir de um servidor de TFTP.

Clustering Failover

O Clustering Failover permite que múltiplos servidores trabalhem juntos para fornecer alta disponibilidade de serviços e aplicações. O Clustering Failover é usado com freqüência para serviços de arquivo e impressão, bancos de dados e aplicações de e-mail.

Balanceamento de Carga de Rede (NLB)

O NLB distribui o tráfego para vários servidores, usando o protocolo de rede TCP/IP. O NLB é particularmente útil para garantir que aplicações sem estado, como um servidor Web executando IIS, sejam escalonáveis através da adição de outros servidores conforme o aumento da carga.

Backup do Windows Server

O Backup do Windows Server permite que você faça backup e recupere seu sistema operacional, aplicações e dados. Você pode agendar backups para serem executados uma vez por dia ou com mais freqüência, e pode proteger todo o servidor ou volumes específicos.

Gerenciador de Recursos de Serviços de Terminal do Windows (WSRM)

O WSRM é uma ferramenta administrativa do sistema operacional Windows Server que pode controlar como os recursos da CPU e da memória são atribuídos. O gerenciamento da atribuição de recursos melhora o desempenho do sistema e reduz o risco de as aplicações, serviços ou processos interferirem uns nos outros, o que reduziria a eficiência do servidor e a reação do sistema.

Windows Internet Name Services (WINS)

O WINS fornece um banco de dados distribuído para registrar e consultar mapeamentos dinâmicos de nomes de NetBIOS para computadores e grupos usados em sua rede. O WINS mapeia os nomes de NetBIOS para endereços de IP e resolve os problemas que surgem da resolução de nomes de NetBIOS em ambientes roteados.

Serviço de LAN Sem Fio (WLAN)

O Serviço de WLAN configura e inicia o serviço de Auto-Configuração de WLAN, não importando se o computador tem ou não adaptadores sem fio. A Auto-Configuração de WLAN enumera adaptadores sem fio, e gerencia tanto as conexões como os perfis sem fio que contêm as configurações necessárias para configurar um cliente sem fio para conectar-se a uma rede sem fio.

Banco de Dados Interno do Windows

O Banco de Dados Interno do Windows é um armazenamento de dados relacional que pode ser usado apenas pelas funções e recursos do Windows, como os Serviços de UDDI, os Serviços de Gerenciamento de Direitos do Active Directory, o Windows Sharepoint Services, o Windows Server Update Services e o Gerenciador de Recursos de Serviços de Terminal do Windows.

Windows PowerShell

Windows PowerShell é um shell de linha de comando e linguagem de script que ajuda os profissionais de TI a alcançar maior produtividade. Ele fornece uma nova linguagem de script voltada

232


ao administrador e mais de 130 ferramentas de linha de comando padrão para possibilitar uma administração de sistema mais fácil e uma automatização acelerada.

Serviço de Ativação de Processo do Windows (WPAS)

O WPAS generaliza o modelo de processo de IIS, removendo a dependência ao HTTP. Todos os recursos de IIS previamente disponíveis apenas para aplicações de HTTP estão agora disponíveis para aplicações que hospedam serviços de WCF, usando protocolos que não são de HTTP. O IIS 7.0 também usa WPAS para ativação baseada em mensagens por HTTP.

O seguinte gráfico mostra a página inicial da função Recursos no Server Manager.

Console do Server Manager

O Console do Server Manager é um novo snap in de MMC que fornece uma visão consolidada do servidor, incluindo informações sobre configuração do servidor, estado das funções instaladas e comandos para adicionar e remover funções e recursos.

O painel hierárquico do console do Server Manager contém nós expansíveis que os administradores podem usar para ir diretamente aos consoles para gerenciar funções específicas, ferramentas de resolução de problemas, ou opções de backup e recuperação de desastres.

O console do Server Manager é bastante parecido à primeira página de um jornal sobre seu servidor. Ele fornece um único local para que os administradores tenham uma visão geral concisa de um servidor, alterem as propriedades de sistema do servidor, e instalem ou removam funções ou recursos.

233


O seguinte gráfico mostra a página inicial do Server Manager com múltiplas funções e recursos instalados.

A janela principal do console do Server Manager contém estas quatro seções flexíveis:

• Sumário do Servidor

A seção Sumário do Servidor inclui duas subseções: Informações do Sistema e Sumário de Segurança. A subseção Informações do Sistema exibe o nome do computador, o domínio, o nome de conta do administrador local, conexões de rede e o ID de produto do sistema operacional. Os comandos dessa subseção permitem que você edite essas informações.

A subseção Sumário de Segurança mostra se o Windows Update e o Firewall do Windows estão ativados. Os comandos dessa subseção permitem que você edite essas configurações ou visualize opções avançadas.

• Sumário de Funções

A seção Sumário de Funções contém uma tabela indicando quais funções estão instaladas no servidor. Os comandos desta seção permitem que você adicione ou remova funções, ou vá a um console mais detalhado no qual poderá gerenciar uma função específica.

• Sumário de Recursos

234


A seção Sumário de Recursos contém uma tabela indicando quais recursos estão instalados no servidor. Os comandos dessa seção permitem que você adicione ou remova recursos.

• Recursos e Suporte

A seção Recursos e Suporte mostra se esse servidor está participando dos programas de feedback Windows Server CEIP e Relatório de Erros do Windows. A seção Recursos e suporte também foi projetada para ser um ponto de partida para entrar em grupos de notícias tópicos, ou para localizar mais ajuda e pesquisar tópicos disponíveis on-line no TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541).

Os comandos dessa seção permitem que você modifique a participação do servidor em programas de feedback, e encontre mais ajuda e suporte.

Assistentes do Server Manager

Os Assistentes do Server Manager dinamizam a tarefa de implantar servidores em sua empresa, pois reduzem o tempo que levava em versões anteriores do Windows Server para instalar, configurar ou remover funções, serviços de função e recursos. Múltiplas funções, serviços de função ou recursos podem ser instalados ou removidos em uma única sessão com os assistentes do Server Manager.

E o mais importante, o Windows Server “Longhorn” realiza verificações de dependência conforme você avança nos assistentes do Server Manager, garantindo que estejam instaladas todas as funções e serviços de função necessários para uma função que você seleciona, e que não seja removido nenhum que ainda possa ser requisitado por funções ou serviços de função remanescentes.

As versões anteriores do Windows Server solicitavam que você usasse as opções Configurar Seu Servidor, Gerenciar Seu Servidor ou Adicionar ou Remover Componentes do Windows para adicionar ou remover funções de servidor ou outros softwares. As verificações de dependência eram limitadas, e a opção Adicionar ou Remover Componentes do Windows limitava os administradores à instalação de apenas uma função por vez. Antes de poder adicionar mais funções, a instalação de cada uma tinha que ser completada.

A coleção de assistentes do Server Manager permite adicionar, remover ou aumentar múltiplas funções em uma única sessão. É possível ter seu servidor completamente pronto para implantação após a realização de uma única sessão em um dos assistentes do Server Manager. As configurações de funções são feitas com configurações de segurança recomendadas por padrão; não há requisitos para executar o Assistente de Configuração de Segurança após a instalação de funções ou recursos, a menos que seja necessário modificar padrões de segurança.

235


Assistente para Adicionar Funções O Assistente para Adicionar Funções, que pode ser usado para adicionar uma ou mais funções ao servidor, verifica automaticamente se há dependências entre funções e se todas as funções e serviços de função necessários estão instalados para cada função selecionada.

Para algumas funções, tais como Serviços de Terminal e Serviços de Certificado do Active Directory, o Assistente para Adicionar Funções também fornece páginas de configuração que permitem ao usuário especificar de que modo a função deve ser configurada como parte do processo de instalação.

Assistente para Adicionar Serviços de Função A maioria das funções, como Serviços de Arquivo, Serviços de Terminal e Serviços de Certificado do Active Directory, é composta de múltiplos sub-elementos, identificados como serviços de função na interface do Server Manager.

Depois que uma dessas funções complexas é instalada, você pode adicionar serviços de função a ela durante o Assistente para

Adicionar Funções inicial, ou usando o Assistente para Adicionar

236


Serviços de Função. O comando que abre o Assistente para Adicionar Serviços de Função é encontrado na página inicial de cada função no console do Server Manager.

Um novo aviso inteligente permite que você adicione automaticamente os serviços de função necessários se a função que você está instalando requer serviços e recursos para ser instalada.

Assistente para Adicionar Recursos O Assistente para Adicionar Recursos permite que você instale um

ou mais recursos ao computador em uma única sessão. Recursos são programas de software que suportam ou aumentam a funcionalidade de uma ou mais funções, ou melhoram a funcionalidade do próprio servidor,

sejam quais forem as funções instaladas.

Os comandos que abrem o Assistente para Adicionar Recursos estão na área Personalizar esse servidor, na janela Tarefas de Configuração Inicial, e também na seção Sumário de Recursos da janela do console do Server Manager.

Assistente para Remover Funções O Assistente para Remover Funções, que pode ser usado para remover uma ou mais funções do servidor, verifica automaticamente se há dependências entre funções e se as funções e serviços de função necessários continuam instalados para as funções que você não quer remover. O processo do Assistente para Remover Funções evita a remoção acidental de funções ou serviços de função necessários para funções remanescentes no servidor.

Assistente para Remover Serviços de Função Você pode remover serviços de função de uma função instalada usando o Assistente para Remover Serviços de Função. O comando que abre o Assistente para Remover Serviços de Função é encontrado na página inicial de cada função no console do Server Manager.

Assistente para Remover Recursos

237


O Assistente para Remover Recursos permite que você remova um ou mais recursos do computador em uma única sessão. Recursos são programas de software que suportam ou aumentam a funcionalidade de uma ou mais funções, ou melhoram a funcionalidade do próprio servidor, sejam quais forem as funções instaladas.

Os comandos que abrem o Assistente para Remover Recursos estão na área Personalizar esse servidor, na janela Tarefas de Configuração Inicial, e também na seção Sumário de Recursos da janela do Console do Server Manager.

Linha de Comando do Server Manager

O Server Manager oferece uma ferramenta de linha de comando – ServerManagerCmd.exe – que automatiza a implantação de funções e recursos em computadores com Windows Server “Longhorn”.

Você pode usar o ServerManagerCmd.exe para instalar e remover funções, serviços de função e recursos. Os parâmetros do ServerManagerCmd.exe também exibem uma lista de todas as funções, serviços de função e recursos instalados e disponíveis para instalação no computador.

A linha de comando do Server Manager possibilita instalação ou remoção autônoma de funções, serviços de função e recursos. Você pode usar a linha de comando do Server Manager para instalar ou remover uma única função, serviço de função ou recurso em uma instância de comando, ou pode usar um arquivo de resposta XML com o comando do Server Manager para adicionar ou remover múltiplas funções, serviços de função e recursos em uma única instância de comando.

As opções do ServerManagerCmd.exe permitem que os usuários visualizem registros de suas operações, e executem consultas para exibir listas de funções, serviços de função e recursos instalados e disponíveis para instalação no computador.

Para informações detalhadas sobre como usar a linha de comando do Server Manager, veja a Ajuda do Server Manager.

Importante

Devido a restrições de segurança impostas pelo Controle de Contas de Usuário no Windows Server “Longhorn”, você deve executar o ServerManagerCmd.exe em uma janela de Aviso de Comando aberta com privilégios elevados. Para isso, clique com o botão direito no executável do Aviso de Comando, ou no objeto do Aviso de Comando no menu Iniciar, e depois clique em Executar como administrador.

Antes da implementação da linha de comando do Server Manager, as únicas ferramentas de linha de comando disponíveis para instalar pacotes de software do Windows em um computador eram ocsetup e pkgmgr. A sintaxe da linha de comando para essas ferramentas é complexa, e os nomes de funções, serviços de função e recursos disponíveis para instalação ou remoção com o uso dessas duas

238


ferramentas não eram intuitivos. O ServerManagerCmd.exe simplifica a instalação e remoção por linha de comando de funções, serviços de função e recursos.

Configurações de Registro As seguintes configurações de registro se aplicam ao Server Manager e às Tarefas de Configuração Inicial em todas as variações disponíveis do Windows Server “Longhorn”.

As configurações de registro da seguinte tabela controlam o comportamento padrão de abertura do Server Manager e das janelas de Tarefas de Configuração Inicial.

Configurações de Registro


Localização Valor Padrão

Valores Possíveis

Não abrir o Server Manager no logon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server Manager

0 0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela

Não abrir Tarefas de Configuração Inicial no logon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial Configuration Tasks

0 0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela.

Como Inicio o Server Manager? O Server Manager abre por padrão quando a janela Tarefas de Configuração Inicial é fechada.

Após completar as tarefas de configuração inicial, o Server Manager abre por padrão quando um administrador faz logon em um computador que está executando o Windows Server “Longhorn”. Se você fechar o Server Manager e quiser abri-lo novamente, pode fazer isso usando o comando do Server Manager em qualquer um dos seguintes locais:

• No menu Start, sob Administrative Tools.

• No menu Start(se você fez logon no computador como membro do grupo de Administradores).

• No menu Start, clique com o botão direito em Computer, e depois clique em Manage.

• Na barra de ferramentas Quick Launch, adjacente ao botão Start.

239


• Em Control Panel, clique em Programs, em Programs and Features, e depois em Turn Windows features on or off.

O Server Manager é instalado por padrão como parte do Windows Server “Longhorn”. Para usar o Server Manager, você deve fazer logon no computador como membro do grupo de Administradores.

Nota

Se você fizer logon no computador usando uma conta de Administrador diferente da padrão, uma caixa de diálogo pode abrir para alertá-lo sobre sua permissão para executar o Server Manager. Clique em Permitir o início do Server Manager.

Recursos Adicionais

Para mais informações sobre o Server Manager, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Você também pode aprender a realizar operações específicas no Server Manager com a Ajuda do Server Manager, disponível ao apertar F1 em uma janela aberta do Console do Server Manager.

240


7.04 Windows PowerShell

O Windows PowerShell é um novo Shell de linha de comando do Windows projetado especialmente para administradores de sistemas. O shell inclui um aviso interativo e um ambiente de script que podem ser usados independentemente ou em combinação.

Diferente da maioria dos shells, que aceitam e retornam texto, o Windows PowerShell foi construído sobre o .NET common language runtime (CLR) e o .NET Framework, e aceita e retorna objetos .NET. Essa alteração fundamental no ambiente traz ferramentas e métodos inteiramente novos para o gerenciamento e a configuração do Windows.

O Windows PowerShell introduz o conceito de um cmdlet (pronuncia-se “command-let”), uma ferramenta de linha de comando simples e de função única construída dentro do shell. Você pode usar cada cmdlet separadamente, mas seu poder é notado quando você usa essas ferramentas simples em combinação para desempenhar tarefas complexas. O Windows PowerShell inclui mais de cem cmdlets básicos, e você pode escrever seus próprios cmdlets e compartilhá-los com outros usuários.

Como muitos shells, o Windows PowerShell dá a você acesso ao sistema de arquivos do computador. Além disso, os provedores do Windows PowerShell permitem acessar outros armazenamentos de dados, como o registro e os armazenamentos de certificados de assinatura digital, e é tão fácil como acessar o sistema de arquivos.

A maioria dos shells, incluindo Cmd.exe e os shells do Unix – SH, KSH, CSH e BASH, operam executando um comando ou utilitário em um novo processo, e apresentando os resultados ao usuário em forma de texto. Com o passar dos anos, muitos utilitários de processamento de texto, tais como sed, AWK e PERL, evoluíram para suportar essa interação.

Esses shells também têm comandos construídos dentro do shell e executados no processo do shell, como o comando typeset no KSH e o comando dir no Cmd.exe. Na maioria dos shells, como há poucos comandos embutidos, muitos utilitários foram criados.

O Windows PowerShell é muito diferente.

• O Windows PowerShell não processa texto. Em vez disso, processa objetos baseados na plataforma .NET.

• O Windows PowerShell vem com um grande conjunto de comandos embutidos com uma interface consistente.

• Todos os comandos de Shell usam o mesmo analisador de comandos, em vez de analisadores diferentes para cada ferramenta. Assim é muito mais fácil aprender a usar cada comando.

241


E o melhor, você não precisa abandonar as ferramentas que se acostumou a usar. Ainda pode usar as ferramentas tradicionais do Windows, como Net, SC e Reg.exe no Windows PowerShell.

Cmdlets do Windows PowerShell

Um cmdlet (pronunciado “command-let”) é um comando de recurso único que manipula objetos no Windows PowerShell. Você pode reconhecer os cmdlets pelo formato de seus nomes – um verbo e um substantivo separados por um traço (-), como Get-Help (Buscar-Ajuda), Get-Process (Buscar-Processo) e Start-Service (Iniciar-Serviço).

Em shells tradicionais, os comandos são programas executáveis que variam do muito simples (como o attrib.exe) ao muito complexo (como o netsh.exe).

No Windows PowerShell, a maioria dos cmdlets é muito simples, e eles são projetados para uso em combinação com outros cmdlets. Por exemplo, os cmdlets “get” apenas recuperam dados, os cmdlets “set” apenas estabelecem ou alteram dados, os cmdlets “format” apenas formatam dados, e os cmdlets “out” apenas direcionam os dados de saída para um destino especificado.

Cada cmdlet tem um arquivo de ajuda que você pode acessar digitando:

• get-help <cmdlet-name> -detailed

A visão detalhada do arquivo de ajuda do cmdlet inclui uma descrição do cmdlet, a sintaxe do comando, descrições dos parâmetros, e exemplos que demonstram o uso do cmdlet.

Uma Nova Linguagem de Script

• O Windows PowerShell necessitava de uma linguagem para gerenciar os objetos .NET.

• A linguagem precisava fornecer um ambiente consistente para usar cmdlets.

• Precisava suportar tarefas complexas, sem tornar as tarefas simples mais complexas.

• Precisava também ser consistente com linguagens de nível mais alto usadas na programação .NET, como C#.

Comandos e Utilitários do Windows

Você pode executar programas de linha de comando do Windows no Windows PowerShell, e pode iniciar os programas do Windows que têm uma interface gráfica de usuário, como o Bloco de Notas e a Calculadora, dentro do shell. Você também pode capturar o texto que os programas geram e usá-lo no shell, praticamente do mesmo modo que faria no Cmd.exe.

242



No Windows Server “Longhorn”, os administradores agora podem optar por instalar um ambiente mínimo que evita carga extra. Embora essa opção limite as funções que podem ser desempenhadas pelo servidor, ela pode melhorar a segurança e reduzir o gerenciamento. Esse tipo de instalação é chamado de instalação do Núcleo do Servidor.

Uma instalação do Núcleo do Servidor é uma opção de instalação de servidor mínima, para nextref longhorn. As instalações no Núcleo do Servidor fornecem um ambiente para executar as seguintes funções de servidor:

• Servidor DHCP

• Serviços de Arquivo

• Servidor de Impressão

• Servidor DNS

• Serviços de Domínio do Active Directory

• Serviços de Domínio do Active Directory Lightweight (AD LDS)

Escolhendo usar a opção de instalação no Núcleo do Servidor em um servidor, você pode reduzir seu trabalho administrativo e ajudar a limitar os riscos à segurança. Uma instalação no Núcleo do Servidor fornece esses benefícios de três maneiras:

• Reduzindo a manutenção de software necessária

• Reduzindo o gerenciamento necessário

• Reduzindo a superfície de ataque

Para isso, a opção de instalação no Núcleo do Servidor instala apenas o subconjunto dos arquivos binários que são necessários para as funções de servidor suportadas. Por exemplo, a interface de usuário (ou “shell”) do Windows Explorer não é instalada como parte de uma instalação no Núcleo do Servidor . Em vez disso, a interface de usuário padrão para um servidor Server Core é o aviso de comando.

Uma instalação no Núcleo do Servidor do Windows Server “Longhorn” suporta os seguintes recursos opcionais:

• Cluster Failover da Microsoft

• Balanceamento de Carga de Rede

• Subsistema para aplicações baseadas em UNIX

• Backup

• Multipath IO

243


• Gerenciamento de Armazenamento Removível

• Criptografia da Unidade BitLocker

• Simple Network Management Protocol (SNMP)

• Windows Internet Name Services (WINS)

• Cliente Telnet

A opção de instalação no Núcleo do Servidor foi projetada para uso em organizações que têm muitos servidores, onde alguns apenas precisam desempenhar tarefas dedicadas, ou em ambientes em que os requisitos de alta segurança exigem uma superfície de ataque mínima no servidor.

Como nenhuma interface gráfica de usuário está disponível para muitas operações do Windows, a opção de instalação no Núcleo do Servidor requer administradores experientes no uso de avisos de comando ou técnicas de script para administração local do servidor. Alternativamente, você pode gerenciar a instalação no Núcleo do Servidor com os snap-ins do Console de Gerenciamento da Microsoft (MMC) a partir de outro computador que esteja executando o Windows Server “Longhorn”, selecionando o computador Server Core como computador remoto para gerenciar.

Você deve analisar esse tópico e a documentação adicional sobre a opção de instalação no Núcleo do Servidor se estiver em algum dos seguintes grupos:

• Planejadores e analistas de TI que estão avaliando tecnicamente o produto

• Planejadores e designers de TI corporativos para organizações

• Os responsáveis pela segurança do TI

• Profissionais de TI que estão gerenciando as seguintes funções de servidor: Servidor DHCP, Serviços de Arquivo, Servidor de Impressão, Servidor DNS, Serviços de Domínio do Active Directory Lightweight (AD LDS), ou Serviços de Domínio do Active Directory

A opção de instalação no Núcleo do Servidor não adiciona nova funcionalidade às funções de servidor que suporta. Cada função de servidor, no entanto, pode ter alterações no Windows Server “Longhorn”.

As instalações no Núcleo do Servidor oferecem os seguintes benefícios:

• Manutenção reduzida. Como uma instalação no Núcleo do Servidor instala apenas o que é necessário para as funções especificadas (Servidor DHCP, Serviços de Arquivo, Servidor de Impressão, Servidor DNS, AD LDS, ou Serviços de Domínio

244


do Active Directory), são requisitados menos serviços que em uma instalação completa do Windows Server “Longhorn”.

• Superfície de ataque reduzida. Como as instalações no Núcleo do Servidor são mínimas, há menos aplicações sendo executadas no servidor, o que diminui a superfície de ataque.

• Gerenciamento reduzido. Como menos aplicações e serviços estão instalados em um servidor com instalação no Núcleo do Servidor, há menos para gerenciar.

• Menos espaço em disco necessário. Uma instalação no Núcleo do Servidor requer apenas cerca de 1 gigabyte (GB) de espaço em disco para instalar, e aproximadamente 2 GB para operações após a instalação.

Os servidores Server Core não têm uma interface de usuário, nem oferecem a habilidade de executar aplicações. Uma instalação no Núcleo do Servidor é mínima, para executar as seguintes funções: Servidor DHCP, Serviços de Arquivo, Servidor de Impressão, Servidor DNS, AD LDS, ou Serviços de Domínio do Active Directory.

A experiência de gerenciamento também será diferente ao usar uma instalação no Núcleo do Servidor. Ela requer que você configure inicialmente o sistema a partir da linha de comando, ou usando métodos de script como uma instalação autônoma, pois não inclui a tradicional interface de usuário completa.

Uma vez que o servidor está configurado, você pode gerenciá-lo a partir da linha de comando, local ou remotamente, com uma conexão de área de trabalho remota de Serviços de Terminal. Você também pode usar snap-ins do MMC ou ferramentas de linha de comando que suportam conexões remotas para gerenciar o servidor remotamente.

Os administradores que gerenciam uma instalação no Núcleo do Servidor precisam estar cientes de que não há uma interface gráfica de usuário (GUI) disponível.

Embora nenhuma alteração seja necessária para a configuração de sua rede, você talvez precise se familiarizar com as ferramentas de linha de comando.

A opção de instalação no Núcleo do Servidor não adiciona ou altera nenhuma configuração. Entretanto, você deve analisar a documentação para cada uma das funções de servidor suportadas que estão disponíveis na opção de instalação no Núcleo do Servidor, para verificar se há alterações no Windows Server “Longhorn”.

As alterações em cada uma dessas funções são as mesmas, esteja você usando a instalação no Núcleo do Servidor ou a instalação completa.

A opção de instalação no Núcleo do Servidor não é uma plataforma de aplicação, e você não pode executar ou desenvolver aplicações

245


de servidor em uma instalação no Núcleo do Servidor. Uma instalação no Núcleo do Servidor só pode ser usada para executar as funções de servidor e ferramentas de gerenciamento suportadas.

Os servidores Server Core suportam o desenvolvimento de ferramentas e agentes de gerenciamento, que podem ser divididos em duas categorias:

• Ferramentas de gerenciamento remoto. Essas ferramentas não requerem nenhuma alteração, contanto que usem um dos protocolos suportados nas instalações no Núcleo do Servidor para comunicar-se com a área de trabalho de gerenciamento remoto, como a chamada de procedimento remoto (RPC).

• Ferramentas e agentes de gerenciamento local. Essas ferramentas podem necessitar de alterações para trabalhar com instalações no Núcleo do Servidor, pois não podem ter nenhuma dependência a shell ou interface de usuário, e não podem usar código gerenciado.

O Kit de Desenvolvimento de Software (SDK) do Windows Server “Longhorn” inclui uma lista de APIs que são suportados em instalações no Núcleo do Servidor. Você precisa verificar se todos os APIs chamados por seu código estão listados, e também precisa testar seu código em uma instalação no Núcleo do Servidor para garantir que ele se comportará como o esperado.

Nenhuma alteração em seu ambiente ou infra-estrutura é necessária.

A opção de instalação no Núcleo do Servidor suporta apenas uma instalação do zero em um servidor. Você não pode atualizar para uma instalação no Núcleo do Servidor a partir de uma versão prévia do Windows.

Para fazer uma instalação no Núcleo do Servidor do Windows Server “Longhorn”, inicie o computador do servidor com um DVD inicializável do Windows Server “Longhorn” na unidade de DVD do computador. Quando aparecer a caixa de diálogo Autorun, clique em Install Now, e siga as instruções na tela para completar a instalação.

Em muitos casos, uma instalação no Núcleo do Servidor será feita usando um script de instalação autônoma.

Os seguintes recursos opcionais requerem hardware apropriado para que possam ser usados:

• Cluster Failover

• Balanceamento de Carga de Rede

• Armazenamento Removível

• Criptografia da Unidade BitLocker

246


Alguma funcionalidade de BitLocker está disponível sem hardware específico.

Não há pré-requisitos para os seguintes recursos opcionais:

• Subsistema para aplicações baseadas em UNIX

• Backup

• Simple Network Management Protocol (SNMP)

• Windows Internet Name Services (WINS)

• Cliente Telnet

Os seguintes recursos oferecem informações adicionais sobre instalações no Núcleo do Servidor:

• Se você precisa de suporte ao produto, visite o Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).

• Para acessar grupos de notícias para esse recurso, siga as instruções fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).

• Se você é um beta tester e parte do programa beta especial chamado Programa de Adoção de Tecnologia (TAP), também pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência.

Os seguintes recursos no site da Microsoft fornecem informações adicionais sobre alguns dos comandos que você pode usar para configurar instalações no Núcleo do Servidor e ativar as funções de servidor:

• Referências sobre linha de comando de A-Z (http://go.microsoft.com/fwlink/?LinkId=20331)

• Arquivos de instalação autônoma dcpromo

o Realizando uma Instalação Autônoma do Active Directory (http://go.microsoft.com/fwlink/?LinkId=49661)

• Netsh

o Visão geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654)

• Dnscmd

o Visão geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656)

o Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659)

o Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660)

• Dfscmd

o Referências do Dfscmd (http://go.microsoft.com/fwlink/?LinkId=49658)

247


O seguinte recurso fornece informações adicionais para implantar, configurar e gerenciar uma instalação no Núcleo do Servidor, e também para ativar uma função de servidor nessa instalação:

• Guia Passo a Passo Beta 2 sobre o Núcleo do Servidor em Windows Server "Longhorn" no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)

248


7.07 Backup do Windows Server

O recurso Backup do Windows Server “Longhorn” oferece uma solução básica de backup e recuperação para o servidor em que está instalado. Você também pode usar esse recurso para gerenciar backups em servidores remotos. Essa versão do Backup introduz uma nova tecnologia de backup e recuperação e substitui o recurso que estava disponível em versões anteriores do sistema operacional Windows.

Você pode usar o recurso Backup para proteger todo o seu servidor de modo eficiente e confiável sem se preocupar com detalhes da tecnologia de backup e recuperação. Assistentes simples o guiarão através da instalação de um agendamento automático de backups, criando backups manuais se necessário, e recuperando itens ou volumes inteiros. Você pode usar esse recurso para fazer um backup de um servidor inteiro ou de volumes selecionados. E, em caso de desastres como falhas do disco rígido, você pode realizar uma recuperação de sistema, que vai restaurar completamente seu sistema para o novo disco rígido usando um backup de servidor completo e o Ambiente de Recuperação do Windows.

O Backup foi projetado para ser usado por todos, de proprietários de pequenas empresas a administradores de TI em grandes empresas, que precisam de uma solução de backup

fácil de implantar e usar, e que esteja disponível sem nenhum custo extra. No entanto, seu design simples o torna especialmente adequado para organizações menores ou indivíduos que não são profissionais de TI.

Você deve ser um membro do grupo de Administradores ou do grupo de Operadores de Backup para usar o Backup.

O recurso Backup inclui as seguintes melhorias:

• Tecnologia

de backup nova e mais rápida. O

249


Backup usa o Serviço de Cópias por Volume de Sombra (VSS) e a tecnologia de backup em nível de blocos para realizar o backup de modo eficiente e recuperar seu sistema operacional, arquivos, pastas e volumes. Após o primeiro backup completo ser criado, o Backup pode ser configurado para executar, automaticamente, backups incrementais, salvando apenas os dados que foram alterados desde o último backup. Entretanto, mesmo que você opte por sempre fazer backups completos, ele levará menos tempo que o recurso Backup das versões anteriores do Windows.

• Restauração simplificada. Você agora pode restaurar itens escolhendo o backup a partir do qual a recuperação será feita, e selecionando então os itens a serem restaurados. Pode recuperar arquivos específicos ou todos os conteúdos de uma pasta. Anteriormente, você precisava restaurar manualmente a partir de múltiplos backups se o item estivesse armazenado em um backup incremental. Agora, simplesmente escolhe a data em que fez o backup da versão do item que quer restaurar.

• Recuperação simplificada de seu sistema operacional. O Backup trabalha com novas ferramentas de recuperação do Windows para facilitar a tarefa de recuperar seu sistema operacional. Você pode recuperar para o mesmo servidor, ou, se o hardware falhar, pode recuperar para um novo servidor que não tem sistema operacional.

• Habilidade de recuperar aplicações. O Backup usa a funcionalidade VSS que é construída dentro de aplicações como o Microsoft SQL Server™ e o Windows SharePoint Services para proteger os dados da aplicação.

• Agendamento aperfeiçoado. O Backup agora inclui um assistente que guia através do processo de criação de backups diários. Os volumes do sistema são automaticamente incluídos em todos os backups agendados, para que você esteja sempre protegido contra desastres.

• Fácil remoção de backups externos para proteção contra desastres. Você pode executar backups para múltiplos discos em rotação para que seja fácil mover discos externos. Basta adicionar cada disco como um local de backup agendado e, se o primeiro disco é retirado, o Backup vai automaticamente executar backups para o disco seguinte na rotação.

• Administração remota. O Backup agora usa um snap-in do MMC para dar a você uma experiência familiar e consistente no gerenciamento seus backups. Após instalar o snap-in do Backup, você pode acessar essa ferramenta através do Server Manager ou adicionando o snap-in a um console do MMC novo ou já existente. Então, pode usar o Backup para gerenciar backups em outros servidores clicando em Ação, e depois em Conectar-se a Outro Computador.

• Gerenciamento automático de uso de disco. Uma vez que você configura um disco para um backup agendado, o Backup vai automaticamente gerenciar o uso do disco – você não precisa se preocupar com o espaço em disco após vários backups. O Backup vai automaticamente reutilizar o espaço de backups anteriores quando criar os novos. A ferramenta de

250


gerenciamento exibe os backups que estão disponíveis e as informações sobre uso do disco, que podem ajudar a preparar um armazenamento adicional para atender seus objetivos relacionados ao tempo de recuperação.

• Suporte extensivo de linha de comando. O Backup agora vem com suporte e documentação extensivos de linha de comando para permitir que você desempenhe quase todas as mesmas tarefas que podem ser feitas com a ferramenta de gerenciamento. Você também pode automatizar as atividades de backup através dos scripts.

• Suporte para mídia de DVD. Você pode fazer backups manuais de volumes diretamente para DVD. Isso pode ser uma solução fácil se você quiser criar backups externos para fins específicos. O Backup também tem suporte a backup manual para pastas e discos rígidos compartilhados. Backups agendados são armazenados em discos rígidos.

Nota

A nova ferramenta Backup não usa dispositivos de armazenamento em fita – o uso de discos externos e internos, DVDs e pastas compartilhadas são suportados. No entanto, o suporte de drivers para fita ainda está incluído no Windows Server “Longhorn”.

Se você é atualmente usuário do Backup do Windows (Ntbackup.exe) e planeja mudar para o novo Backup do Windows Server, pode ser surpreendido pelas seguintes questões e alterações:

• As configurações do Backup não serão atualizadas quando você mudar para o Windows Server “Longhorn”. Você terá que reconfigurar as configurações.

• Você precisará de um disco separado e dedicado para executar backups agendados.

• Não pode mais fazer backups em fita.

• Não pode recuperar backups que criou com o Backup do Windows usando o Backup do Windows Server. O Backup do Windows está disponível como um download para os usuários do Windows Server “Longhorn” que querem recuperar dados de backups feitos com o NTBackup. No entanto a versão para download do Backup do Windows não pode ser usada para criar backups no Windows Server “Longhorn”. Para fazer o download do Backup do Windows (Ntbackup.exe), veja http://go.microsoft.com/fwlink/?LinkId=82917.

251


7.08 Monitor de Confiabilidade e Desempenho do Windows

O Windows Server “Longhorn” inclui o Monitor de Confiabilidade e Desempenho do Windows, que fornece aos profissionais de TI as ferramentas para monitorar e avaliar o desempenho e a confiabilidade do sistema.

Nota

Em algumas versões pré-lançamento do Windows, esse recurso foi chamado de Console de Diagnóstico de Desempenho do Windows.

O Monitor de Confiabilidade e Desempenho do Windows é um snap-in do MMC que combina a funcionalidade de ferramentas independentes anteriores, incluindo os

Registros e Alertas de Desempenho, o Consultor de Desempenho do Servidor, e o Monitor de Sistema. Ele oferece uma interface gráfica para personalizar a coleção de dados do desempenho e as Sessões de Acompanhamento de Eventos.

Ele também inclui o Monitor de Confiabilidade, um snap-in do MMC que acompanha as alterações no sistema e as compara a alterações na estabilidade do sistema, fornecendo uma visualização gráfica de seu relacionamento.

O Monitor de Confiabilidade e Desempenho do Windows é uma ferramenta destinada ao uso por profissionais de TI ou administradores de computador. Para visualizar o estado em tempo real na Visualização de Recursos, o console deve ser executado como membro do grupo de Administradores. Para criar Conjuntos de Coletores de Dados, configurar registros ou visualizar relatórios, o console deve ser executado como membro do grupo de Administradores ou do Grupo de Usuários de Registro do Desempenho.

Os contadores de desempenho, provedores de acompanhamento de eventos e outros elementos de código anteriores, relacionados a desempenho, não precisam mudar para trabalhar com o novo Monitor de Confiabilidade e Desempenho do Windows ou seus recursos.

252


Os recursos do Monitor de Confiabilidade e Desempenho do Windows que são novos para o Windows Server “Longhorn” incluem o seguinte.

Conjuntos de Coletores de Dados

Um novo recurso importante do Monitor de Confiabilidade e Desempenho do Windows é o Conjunto de Coletores de Dados, que agrupa coletores de dados em elementos reutilizáveis para uso em diferentes cenários de monitoramento de desempenho. Uma vez que um grupo de coletores de dados é armazenado como um Conjunto de Coletores de Dados, operações como o agendamento podem ser aplicadas a todo o conjunto através de uma única alteração de propriedade.

O Monitor de Confiabilidade e Desempenho do Windows também inclui modelos padrão de Conjunto de Coletores de Dados para ajudar os administradores de sistema a começar a coletar dados de desempenho específicos de uma Função de Servidor ou cenário de monitoramento imediatamente.

Assistentes e Modelos para Criação de Registros

A adição de contadores a arquivos de registro e o agendamento de seu início, interrupção e duração agora podem ser feitos através da interface de um Assistente. Além disso, salvando essa configuração como um modelo, os administradores de sistema podem coletar o mesmo registro em computadores subseqüentes sem repetir a seleção de coletores de dados e processos de agendamento. Os recursos de Registros e Alertas de Desempenho foram incorporados ao Monitor de Confiabilidade e Desempenho do Windows para uso com qualquer Conjunto de Coletores de Dados.

Visualização de Recursos

A página inicial do Monitor de Confiabilidade e Desempenho do Windows é a nova tela de Visualização de Recursos, que fornece uma visão geral gráfica em tempo real da CPU, disco, rede e uso da memória. Expandido cada um desses elementos monitorados, os administradores de sistema podem identificar quais processos estão usando quais recursos. Em versões anteriores do Windows,

253


esses dados específicos de processos em tempo real só eram disponíveis de forma limitada no Gerenciador de Tarefas.

Monitor de Confiabilidade

O Monitor de Confiabilidade calcula o Índice de Estabilidade do Sistema, que reflete se problemas inesperados reduziram a confiabilidade do sistema. Um gráfico do Índice de Estabilidade em um período de tempo identifica rapidamente as datas em que os problemas começaram a ocorrer. O Relatório de Estabilidade do Sistema que acompanha o

Índice fornece detalhes para ajudar a resolver a causa raiz da redução de confiabilidade. Visualizando as alterações do sistema (instalação ou remoção de aplicações, atualizações no sistema operacional, adição ou modificação de drivers) lado a lado com as falhas (de aplicação, de sistema operacional ou de hardware), uma estratégia para lidar com os problemas pode ser desenvolvida rapidamente.

Configuração Unificada de Propriedades para Toda a Coleção de Dados, Inclusive o Agendamento

Seja na criação de um Conjunto de Coletores de Dados para uso em uma única vez ou para atividade contínua de registro, a interface para criação, agendamento e modificação é a mesma. Se um Conjunto de Coletores de Dados prova que é útil para o futuro monitoramento de desempenho, não precisa ser recriado. Pode ser reconfigurado ou copiado como um modelo.

Relatórios de Diagnóstico Fáceis de Usar

Os usuários do Consultor de Desempenho do Servidor no Windows Server 2003 podem agora encontrar os mesmos tipos de relatórios de diagnóstico no Monitor de Confiabilidade e Desempenho do Windows no Windows Server “Longhorn”. O tempo de geração dos relatórios foi melhorado e os relatórios podem ser criados com dados coletados através do Conjunto de Coletores de Dados. Assim os administradores de sistema podem repetir relatórios e avaliar como as alterações afetaram o desempenho ou as recomendações do relatório.

254


7.09 Serviços de Implantação do Windows

Os Serviços de Implantação do Windows, versão atualizada e reprojetada dos Serviços de Instalação Remota (RIS), são um pacote de componentes que trabalham juntos no Windows Server “Longhorn” para ativar a implantação de sistemas operacionais Windows, particularmente o Windows Vista. Esses componentes são organizados nestas três categorias:

• Componentes de servidor. Esses componentes incluem um servidor de Ambiente de Pré-Boot Execution (PXE) e um servidor de Protocolo de Transferência de Arquivos Simples (TFTP) para inicializar por rede um cliente para carregar e instalar um sistema operacional. Também estão incluídos um repositório de imagem e uma pasta compartilhada, que contêm imagens de inicialização, de instalação, e arquivos que você precisa especificamente para inicialização por rede.

• Componentes de cliente. Esses componentes incluem uma GUI que é executada dentro do Ambiente de Pré-Instalação do Windows (Windows PE) e se comunica com os componentes de servidor para selecionar e instalar uma imagem de sistema operacional.

• Componentes de gerenciamento. Esses componentes são um conjunto de ferramentas que você usa para gerenciar o servidor, as imagens do sistema operacional e as contas do computador cliente.

Os Serviços de Implantação do Windows ajudam na rápida adoção e implantação de sistemas operacionais Microsoft Windows. Você pode usá-los para instalar novos computadores usando uma instalação baseada em rede. Isso significa que você não tem que estar fisicamente presente diante de cada computador e não tem que instalar diretamente a partir de um CD ou DVD. Você também pode usar os Serviços de Implantação do Windows para redefinir os propósitos dos computadores existentes.

Você pode usar os Serviços de Implantação do Windows em qualquer organização que esteja interessada em simplificar as implantações e aumentar a consistência de seus computadores baseados em Windows. O público-alvo inclui:

• Planejadores ou designers de TI corporativos

• Especialistas em implantação interessados em implantar imagens em computadores sem sistemas operacionais

Os seguintes requisitos devem ser atendidos antes de instalar a função Serviços de Implantação do Windows:

255


• Serviços de Domínio do Active Directory. Um servidor com Serviços de Implantação do Windows deve ser membro de um domínio do Active Directory ou ser um controlador de domínio para um domínio do Active Directory. As versões do domínio e da floresta do Active Directory são irrelevantes; todas as configurações de domínio e floresta suportam os Serviços de Implantação do Windows.

• DHCP. Você deve ter um servidor de Protocolo de Configuração Dinâmica de Host (DHCP) em funcionamento com um escopo ativo na rede, pois os Serviços de Implantação do Windows usam o Ambiente de Pre-Boot Execution (PXE), que por sua vez usa o DHCP.

• DNS. Um servidor de Sistema de Nomes de Domínio em funcionamento na rede é necessário para executar os Serviços de Implantação do Windows.

• Um volume de NTFS no servidor de Serviços de Implantação do Windows. O servidor que está executando os Serviços de Implantação do Windows requer um volume de sistema de arquivos NTFS para o armazenamento de imagem.

• Credenciais administrativas. A instalação dos Serviços de Implantação do Windows requer que o administrador seja um membro do grupo de Administradores Locais no servidor de Serviços de Implantação do Windows. Para iniciar o cliente de Serviços de Implantação do Windows, você deve ser um membro do grupo de Usuários do Domínio.

Esses Serviços incluem o snap-in do MMC de Serviços de Implantação do Windows, que fornece gerenciamento rico de todos os recursos dos Serviços de Implantação do Windows. Os Serviços de Implantação do Windows também oferecem vários aperfeiçoamentos feitos no conjunto de recursos dos Serviços de Instalação Remota (RIS). Esses aperfeiçoamentos suportam a implantação dos sistemas operacionais Windows Vista e Windows Server “Longhorn”. Com os Serviços de Implantação do Windows você pode:

• Criar uma imagem de captura. Imagens de captura são usadas para capturar imagens do Windows preparadas com Sysprep.exe para implantação como imagens de instalação.

• Criar uma imagem de instalação. Imagens de instalação são as imagens que você implanta no computador cliente.

• Associar arquivos de instalação autônoma a uma imagem.

• Criar uma imagem de descoberta. Imagens de descoberta são usadas para implantar o sistema operacional Windows em computadores que não suportam a inicialização PXE.

256


• Ativar transmissão multicast de uma imagem. Quando você ativa uma transmissão multicast para uma imagem, os dados são enviados pela rede apenas uma vez.

Criar uma Imagem de Captura

Você pode capturar imagens dos sistemas operacionais Windows que foram preparadas com o Sysprep, e depois implantá-las como imagens de instalação. Imagens de captura são imagens de inicialização que iniciam o Assistente de Captura de Imagens. Imagens de captura são salvas primeiro em um arquivo e depois adicionadas ao armazenamento de imagens.

Para criar uma imagem de captura, faça o seguinte:

1. Abra o Server Manager.

2. Abra o snap-in do MMC de Windows Deployment Services.

3. Expanda a pasta Boot Image folder.

4. Clique com o botão direito na imagem a ser usada como imagem de captura.

5. Clique em Create Capture Boot Image.

6. Siga as instruções no assistente, e quando ele terminar, clique em Finish.

7. Clique com o botão direito na pasta da imagem de inicialização.

8. Clique em Add Boot Image.

9. Procure e selecione a nova imagem de captura, e então clique em Next.

10. Siga as instruções no assistente.

Antes a imagem de captura era um procedimento complexo de linha de comando. O Assistente de Captura de Imagens abre a captura de imagens para administradores de nível mais baixo que talvez não estejam familiarizados com o trabalho em um aviso de comando.

Criar uma Imagem de Instalação

Você pode construir imagens de instalação a partir de instalações de referência do sistema operacional Windows e implantá-las nos computadores cliente. Uma instalação de referência pode ser uma instalação padrão do Windows ou uma instalação do Windows que foi configurada para um ambiente ou usuário específico antes da criação da imagem.

257


Para capturar uma imagem de instalação usando o Assistente de Captura de Imagens, faça o seguinte:

1. Realize uma instalação de referência em um computador que será usado como referência.

2. Em uma janela de Aviso de Comando no computador de referência, mova as pastas para \Windows\System32\Sysprep ou a pasta que contém Sysprep.exe e Setupcl.exe.

Nota

Essa estrutura de pastas é válida somente para o Windows Server “Longhorn” e o Windows Vista. Para o Windows Server 2003 e o Windows XP, use a versão apropriada do Sysprep a partir do Deploy.cab.

3. Digite sysprep /OOBE /generalize /reboot

Nota

Essa sintaxe é válida somente para o Windows Server “Longhorn” e o Windows Vista. Para verificar a sintaxe para outra versão do Windows, digite sysprep /?

4. Quando o computador de referência reiniciar, aperte F12.

5. No Gerenciador de Inicialização do Windows, role para a imagem de captura que você criou anteriormente.

6. Na página do Image Capture Wizard (Assistente de Captura de Imagens), clique em Next.

7. Na página de Image Capture Source, use o controle de seleção Volume to Capture para escolher o volume apropriado, e então forneça um nome e uma descrição para a imagem. Clique em Next para continuar.

8. Na página Image Capture Destination, clique em Browse e navegue para o local em que quer armazenar a imagem capturada.

9. Na caixa de texto File name, digite um nome para a imagem usando a extensão de nome de arquivo .wim, e então clique em Save.

10. Clique em Upload image to WDS server.

11. Digite o nome do servidor de Serviços de Implantação do Windows, e então clique em Connect.

12. Se for alertado sobre credenciais, forneça um nome e uma senha de usuário para uma conta com privilégio

258


suficiente para conectar-se ao servidor de Serviços de Implantação do Windows.

13. Na lista de Grupo de Imagens, escolha o grupo de imagens no qual quer armazenar a imagem.

14. Clique em Finish.

Você pode usar o Assistente de Captura de Imagens em vez de ferramentas de linha de comando, eliminando a necessidade de suportar e gerenciar utilitários de linha de comando sensíveis à versão. Usando o Assistente de Captura de Imagens você pode inicializar um computador para capturar uma imagem de sistema operacional do mesmo modo que faria para instalar um sistema operacional.

Associar um Arquivo de Instalação Autônoma a uma Imagem

Os Serviços de Implantação do Windows permitem que você automatize o cliente de Serviços de Implantação do Windows e os últimos estágios da Instalação do Windows. Essa abordagem de dois estágios é realizada através de dois arquivos diferentes de instalação autônoma.

• Arquivo autônomo do cliente de Serviços de Implantação do Windows. Esse arquivo usa o formato Unattend.xml e é armazenado no servidor de Serviços de Implantação do Windows na pasta \WDSClientUnattend. Ele é usado para automatizar as telas da interface de usuário do cliente de Serviços de Implantação do Windows (tais como a inserção de credenciais, a escolha de uma imagem de instalação e a configuração do disco).

• Arquivo autônomo de imagem. Esse arquivo usa o Unattend.xml ou o Sysprep.inf, dependendo da versão do sistema operacional na imagem. Ele é usado para configurar opções de instalação autônoma durante a Instalação do Windows e é armazenado em uma subpasta (estrutura $OEM$ ou \Unattend) na pasta por imagem. É usado para automatizar as fases remanescentes de instalação (por exemplo, serviços off-line, especialização do Sysprep e mini-instalação).

Para automatizar qualquer um dos estágios, crie um arquivo Unattend.xml, copie-o para o local apropriado e atribua-o para uso. Você pode atribuí-lo no nível do servidor ou do cliente. A atribuição no nível do servidor pode depois ser quebrada pela arquitetura, permitindo que você tenha configurações diferentes para clientes baseados em x86 e x64. A atribuição no nível do cliente ignora as configurações do nível do servidor.

Você pode configurar a instalação autônoma usando os seguintes passos:

259


1. Crie um arquivo autônomo apropriado, de acordo com o que você está configurando – o cliente de Serviços de Implantação do Windows ou a Instalação do Windows. Recomendamos que você use o Gerenciador de Imagens de Sistema do Windows (incluído como parte do Kit de Instalação Automatizada do Windows (AIK)) para a autoria dos arquivos de instalação autônoma.

2. Associe o arquivo de instalação autônoma a um tipo de imagem ou computador.

Configurando Arquivo Autônomo para Cliente de Serviços de Implantação do Windows

Para associar um arquivo autônomo de cliente pela arquitetura, faça o seguinte:

1. Crie um arquivo Unattend.xml com configurações aplicáveis ao cliente de Serviços de Implantação do Windows.

2. Copie o arquivo Unattend.xml para RemoteInstall\WDSClientUnattend.

3. Abra o snap-in do MMC de Serviços de Implantação do Windows.

4. Expanda a lista no painel esquerdo para expor a lista de Servers.

5. Clique com o botão direito no servidor de Serviços de Implantação do Windows que contém a imagem do Windows Vista ou Windows Server “Longhorn” à qual você quer associar o arquivo autônomo, e clique em Properties.

6. Na guia Cliente, selecione Enable unattended installation, navegue para o arquivo autônomo apropriado, e então clique em Open.

7. Clique em OK duas vezes para fechar a página de propriedades.

Para associar um arquivo autônomo de cliente por computador

1. Em uma janela de Aviso de Comando, digite o seguinte, em que <relative path> é o caminho da pasta compartilhada REMINST à pasta que contém WdsClientUnattend.xml:

WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC address> /WdsClientUnattend:<relative path>

Configurando a Instalação Autônoma na Instalação do Windows

Para associar um arquivo autônomo de imagem a uma imagem, faça o seguinte:

260


1. A partir do snap-in do MMC de Serviços de Implantação do Windows, clique para expandir o grupo de imagens que contém imagens do Windows Vista ou Windows Server “Longhorn”.

2. Clique com o botão direito na imagem à qual quer associar o arquivo autônomo, e então clique em Properties.

3. Clique em Allow image to install in unattend mode.

4. Clique em Select File.

5. Insira o nome e o caminho, ou navegue para escolher o arquivo autônomo, e então clique em OK.

6. Para fechar Image Properties, clique em OK.

Para associar o Sysprep.inf a uma imagem do Windows XP ou Windows Server 2003, faça o seguinte:

1. Em uma janela de Aviso de Comando, mova as pastas para o grupo de imagens que contém uma imagem do Windows XP ou Windows Server 2003.

2. No grupo de imagens que contém a imagem do Windows XP, crie uma pasta com o mesmo nome da imagem à qual você quer associar o arquivo Sysprep.inf. Por exemplo:

md C:\RemoteInstall\Images\imagegroupname\imagename

3. Copie um arquivo Sysprep.inf que seja apropriado para a imagem para a pasta $OEM$. Por exemplo:

copy C:\Sysprep.inf C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$

4. Adicione arquivos (por exemplo um diretório de ferramentas) e faça outras alterações conforme o necessário (por exemplo, modifique o registro usando um script), seguindo as convenções de $OEM$.

5. Após aplicar a imagem a um novo computador usando os Serviços de Implantação do Windows, toda a pasta $OEM$ é copiada a uma unidade no novo computador, e os conteúdos são aplicados à imagem.

Nota

Para mais informações sobre o Sysprep.inf e a pasta $OEM$, veja Projetando Tarefas de Instalação Automatizada em (http://go.microsoft.com/fwlink/?LinkId=66136).

Os arquivos autônomos permitem que você automatize tarefas de instalação comuns e padronize configurações para sua organização.

261


Os Serviços de Implantação do Windows fornecem várias opções para associar arquivos autônomos a imagens de inicialização e instalação.

Associar um Pacote de Idiomas a uma Imagem de Instalação

Você pode associar múltiplos pacotes de idiomas a uma única imagem, reduzindo o número de imagens que precisa manter. Para usar um pacote de idiomas, crie a estrutura de pastas apropriada e copie o pacote de idiomas. O seguinte procedimento descreve como associar um pacote de idiomas a uma imagem do Windows.

Nota

Pacotes de idiomas são suportados apenas nos sistemas operacionais Windows Vista e Windows Server “Longhorn”.

Para associar um pacote de idiomas a uma imagem, faça o seguinte:

1. Na pasta do grupo de imagens que contém a imagem, crie uma pasta com o mesmo nome do arquivo de imagem.

2. Nessa pasta, crie uma pasta chamada langpacks. Por exemplo, se o grupo de imagens se chama Vista e a imagem se chama Install, digite:

md c:\remoteinstall\images\vista\install\langpacks

3. Na pasta langpacks, crie uma pasta para cada pacote de idiomas que você quer instalar. Para criar uma pasta langpacks para a língua japonesa, digite:

md c:\remoteinstall\images\vista\install\langpacks\ja-jp

4. Copie o pacote de idioma Japonês para: C:\Remoteinstall\images\vista\install\langpacks\ja-jp.

Você pode associar um pacote de idiomas a uma imagem em vez de criar imagens únicas para cada língua. Se sua organização suporta várias línguas, os pacotes de idiomas vão poupar tempo na criação e atualização de imagens. Por exemplo, se você suporta atualmente 13 línguas por imagem, pode agora construir uma imagem e associar 13 pacotes de idiomas à imagem.

Criar uma Imagem de Descoberta

Imagens de descoberta são usadas para implantar o sistema operacional Windows em computadores que não suportam a inicialização PXE. Imagens de descoberta são imagens de inicialização que iniciam o Assistente de Descoberta dos Serviços de Implantação do Windows. As imagens de descoberta são salvas em um arquivo, convertidas para um formato ISO, e então copiadas para um CD ou DVD.

262


Para associar um pacote de idiomas a uma imagem, faça o seguinte:

1. Abra o snap-in do MMC de Serviços de Implantação do Windows.

2. Expanda a pasta Imagem de Inicialização.

3. Clique com o botão direito na imagem a ser usada como imagem de descoberta.

4. Clique em Create Discover Boot Image.

5. Escolha um nome e uma descrição para a imagem de descoberta.

6. Escolha um local e um nome para o novo arquivo, usando a extensão de nome de arquivo .wim.

7. Clique em Next para criar a imagem de captura.

8. Clique em Finish.

Para criar mídia inicializável, faça o seguinte:

1. Em uma janela de Aviso de Comando, digite os seguintes comandos:

Md c:\Winpe\Boot

Md c:\Winpe\Sources

2. Para copiar a imagem de descoberta criada no procedimento anterior, digite:

Copy c:\boot.wim c:\Winpe\Sources

3. Para copiar arquivos de inicialização do Windows AIK, digite:

Xcopy c:\Program Files\Windows AIK\tools\<architecture>\boot c:\WinPE\boot

4. Mova a pasta para C:\Program files\Windows AIK\tools\<architecture>.

5. Para criar a imagem ISO inicializável, digite:

Oscdimg -n -bc:\winpe\ISO\boot\etfsboot.com c:\winpe\ISO c:\winpe.iso

6. Use uma ferramenta de cópia em CD que pode criar um CD ou DVD para transferir a imagem ISO à mídia apropriada.

263


Você pode usar uma imagem de descoberta de um computador que não suporta a inicialização PXE para iniciar a instalação a partir de um servidor de Serviços de Implantação do Windows. Sem um disco de descoberta, os computadores que não suportam a inicialização PXE não podem acessar os recursos dos Serviços de Implantação do Windows.

Ativar Transmissão Multicast de uma Imagem

O multicasting permite que você implante uma imagem em um grande número de computadores cliente sem sobrecarregar a rede. O multicasting fica desativado por padrão. Você tem duas opções para criar uma transmissão multicast:

• Clique com o botão direito no nó Multicast Transmission, e então clique em Create Multicast Transmission.

• Clique com o botão direito em uma imagem, e então clique em Create Multicast Transmission.

Quando você cria uma transmissão, tem duas opções para o tipo de multicast:

• Auto-Cast. Essa opção indica que o multicasting está sempre ligado. Quando você seleciona essa opção, assim que um cliente aplicável solicita uma imagem de instalação, uma transmissão multicast da imagem selecionada inicia. Então, conforme outros clientes solicitam a mesma imagem, eles também são vinculados à transmissão que já iniciou.

Nota

Os conteúdos apenas são transferidos pela rede se os clientes estiverem solicitando dados. Se nenhum cliente estiver conectado (isto é, a transmissão está inativa), os dados não serão enviados pela rede.

• Cast Agendado. Essa opção estabelece os critérios de início para a transmissão, com base no número de clientes que estão solicitando uma imagem e/ou um dia e horário específicos. Se você não selecionar um desses quadros de seleção, tem que iniciar manualmente a transmissão. Note que além desses critérios, você pode iniciar uma transmissão manualmente a qualquer momento, clicando com o botão direito na transmissão e depois em Iniciar.

Quando você cria uma transmissão multicast para uma imagem, os dados são enviados pela rede apenas uma vez, o que pode reduzir drasticamente a largura de banda da rede que é usada.

264


Implantação

O modo como você implanta os Serviços de Implantação do Windows depende de um fator - se você já tem servidores de RIS instalados em seu ambiente:

• Se você tem servidores de RIS já existentes ou servidores do Windows Server 2003 com a atualização dos Serviços de Implantação do Windows, pode atualizar esses servidores diretamente para o Windows Server “Longhorn”.

• Se você está implantando novos servidores de Serviços de Implantação do Windows com o Windows Server “Longhorn”, precisa instalar a função de servidor Serviços de Implantação do Windows.

Nota

Os servidores de Serviços de Implantação do Windows com Windows Server “Longhorn” não são capazes de implantar imagens de RIS mais antigas (RISETUP ou RIPREP). Você precisará converter suas imagens atuais para o formato WIM.

Se você tem uma infra-estrutura de RIS existente, precisa converter suas imagens atuais para o formato WIM. Os Serviços de Implantação do Windows no Windows Server “Longhorn” não suportam imagens RIPREP ou RISETUP criadas por ferramentas de RIS. Além disso, as telas de RIS OSChooser não são suportadas. Em vez disso, você usará uma combinação de imagens, opções de instalação autônoma, e pacotes de idiomas para personalizar instalações individuais.

Para preservar sua infra-estrutura de RIS existente enquanto utiliza os Serviços de Implantação do Windows para implantar o Windows Vista e o Windows Server “Longhorn”, você pode seguir um destes passos em seus servidores de RIS existentes:

• Instalar a atualização dos Serviços de Implantação do Windows a partir do Windows AIKt (http://go.microsoft.com/fwlink/?LinkId=81030).

• Aplicar o Windows Server 2003 SP2, e depois instalar o componente opcional em Adicionar/Remover Componentes do Windows.

Recursos Adicionais

Os seguintes recursos oferecem informações adicionais sobre os Serviços de Implantação do Windows:

• Para informações mais detalhadas sobre os Serviços de Implantação do Windows, vá à Visão Geral dos Serviços de Implantação do Windows(http://go.microsoft.com/fwlink/?LinkId=81031).

265


• Para o Guia Passo a Passo dos Serviços de Implantação do Windows, veja o site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=66145).

• Se você precisa de suporte ao produto, visite o site do Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).

• Para acessar grupos de notícias para os Serviços de Implantação do Windows, siga as instruções fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).

• Se você é um beta tester e membro do programa beta chamado Programa de Adoção de Tecnologia (TAP), pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência.

• Para mais informações sobre o Windows AIK, veja o Guia do Usuário sobre o Kit de Instalação Automatizada do Windows para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552).

266


Seção 8: Alta Disponibilidade


267


8.01 Introdução à Alta Disponibilidade

Fornecer serviços altamente disponíveis para aplicações e serviços críticos é fundamental para qualquer departamento de TI. Este cenário enfoca alta disponibilidade: Melhorias em Clustering Failover que estarão disponíveis para aplicações implantadas no Windows Server® “Longhorn”.

Como parte do Windows Server “Longhorn”, o Clustering Failover fornece um recurso fácil de ser usado em serviços e aplicações de missão crítica.


O Clustering Failover no Windows Server “Longhorn” fornece novos recursos que podem ser usados por uma organização para implementar uma estratégia de alta disponibilidade ao tornar os servidores de cluster uma opção inteligente de negócios para a corporação. As principais propostas de valor que a alta disponibilidade oferece são:

• Com a nova interface de gerenciamento, a complexidade é reduzida, proporcionando ao usuário uma interface mais simples para criação, gerenciamento e utilização dos servidores clusterizados.

• Ao minimizar os problemas iniciais de configuração através das novas ferramentas, os custos de suporte e o tempo para implementação também foram reduzidos.

• A nova funcionalidade possibilita a implementação em ambientes geograficamente dispersos, permitindo que a tecnologia se adapte ao ambiente do cliente.


O hardware deve estar na Lista de Compatibilidade de Hardware.

268


8.02 Clustering Failover

No Microsoft® Windows Server “Longhorn,” as melhorias dos clusters failover (antes chamados de clusters de servidores) têm como objetivos simplificar os clusters, tornando-os mais seguros e aprimorando a estabilidade. A configuração e o gerenciamento de clusters tornaram-se mais fáceis. A segurança e a rede de clusters foram aprimoradas, assim como a forma como um Cluster Failover se comunica com um armazenamento.

Um Cluster Failover é um grupo independente de computadores que trabalha em conjunto para aumentar a disponibilidade de aplicações e serviços. Os servidores clusterizados (chamados de nós) são conectados por cabos físicos e por software. Se um nó de cluster falhar, outro nó passa a oferecer o serviço (um processo chamado de failover). Os usuários vivenciam interrupções mínimas no serviço.

Os Clusters Failover são usados por profissonais de TI que precisam oferecer alta disponibilidade para serviços ou aplicações.

A Microsoft apenas suporta uma solução de cluster se todos os componentes de hardware da solução estiverem com o logotipo de compatibilidade “Designed for Windows Server ‘Longhorn’”. Além disso, a configuração completa (servidores, rede, e armazenamento) deve passar por todos os testes do assistente Validate a Configuration (Validar uma Configuração), que está incluído no software de gerenciamento de Cluster Failover.

Novo Assistente de Validação

Ao usar o novo assistente de validação nos Clusters Failover, você pode executar testes para determinar se sua configuração do sistema, do armazenamento e da rede é adequada para um cluster. O assistente inclui os seguintes tipos de testes:

• Testes de nós. Estes testes analisam se os servidores selecionados atendem a requisitos específicos que estabelecem, por exemplo, que os servidores devem executar a mesma versão do sistema operacional e as atualizações de software.

• Testes de rede. Estes testes analisam se as redes de clusters planejadas atendem a requisitos específicos que estabelecem, por exemplo, que deve haver pelo menos duas sub-redes separadas para a redundância de rede.

• Testes de armazenamento. Estes testes analisam se o armazenamento atende a requisitos específicos que estabelecem, por exemplo, se o armazenamento suporta

269


corretamente os comandos SCSI necessários e se ele lida corretamente com as ações de clusters simuladas.

Suporte para Discos GPT no Armazenamento de Clusters

Os discos da tabela de partição GUID (GPT) são suportados no armazenamento de Clusters Failover. Os discos de GPT fornecem maior robustez e tamanho de disco. Especificamente, os discos GPT podem ter partições maiores do que 2 terabytes e possuem redundância nativa na forma como a informação é armazenada nas partições, diferentemente dos discos de registro mestre de inicialização (MBR). Com os Clusters Failover, você pode usar os dois tipos de discos.

Melhorias na Configuração e Migração

Os Clusters Failover no Windows Server “Longhorn” permitem que você execute tarefas de configuração e migração mais facilmente do que nos clusters de servidor das versões anteriores.

• Configure um cluster. O assistente de Configuração de Cluster foi simplificado para que você possa fazer a configuração em um só passo. A configuração do cluster também pode ser feita totalmente através de scripts para que você possa automatizar sua implantação.

• Migre as informações de configuração de um cluster para outro. As configurações do grupo de recursos podem ser capturadas de um cluster que esteja executando o Windows Server 2003, e depois elas são aplicadas a um cluster executando o Windows Server “Longhorn”.

Melhorias nas Interfaces de Gerenciamento

Os Clusters Failover no Windows Server “Longhorn” permitem que você execute tarefas de gerenciamento e operações mais facilmente do que nos clusters de servidor das versões anteriores.

• Adicione rapidamente recursos clusterizados à sua configuração. A interface para administrar um cluster é mais simples e intuitiva, facilitando o desempenho de tarefas como a criação de uma pasta compartilhada altamente disponível. Você pode enfocar o gerenciamento de suas aplicações, e não de seu cluster.

• Use a linha de comando ou o WMI para trabalhar com um cluster. Você pode usar a linha de comando ou o Windows® Management Instrumentation (WMI) para executar mais tarefas do que nas versões anteriores.

• Solucione problemas em um cluster. Em vez de trabalhar com o log do cluster, você pode usar o Rastreamento de Eventos do Windows para agregar, gerenciar e relatar informações sobre a seqüência de eventos que ocorreram no cluster.

270


• Use o Serviço de Cópia de Volume de Sombra para capturar backups. A integração completa com o Serviço de Cópia de Volume de Sombra facilita o backup e a restauração da configuração de seu cluster.

• Controle a forma como você visualiza as pastas compartilhadas que foram clusterizadas. Você pode controlar ou “definir o escopo” de sua vizualização das pastas compartilhadas para que fique mais fácil saber quais pastas foram clusterizadas e em qual cluster uma pasta compartilhada está disponível.

Melhorias na Estabilidade e na Segurança para Maior Disponibilidade

Com os Clusters Failover no Windows Server “Longhorn,” as melhorias na infra-estrutura de clusters o ajudam maximizar a disponibilidade dos serviços que você disponibiliza para os usuários. Podem fazer o seguinte:

• Configure seu cluster para que o recurso de quorum não seja um ponto de falha único. Com as melhorias nos Clusters Failover, você pode usar dois modelos de clusters que já existiam antes – o modelo de recursos de quorum e o modelo de conjunto de nós principais – ou ainda, um híbrido dos dois modelos. Por exemplo, em um cluster de dois nós, você pode especificar que caso o quorum se torne indisponível, o cluster continuará em execução enquanto as cópias do banco de dados de configuração do cluster nos dois nós permanecerem disponíveis.

• Alcance maior confiabilidade e disponibilidade graças às melhorias na infra-estrutura do cluster. A infra-estrutura do cluster foi aprimorada para ajudá-lo a alcançar maior confiabilidade e disponibilidade com os Clusters Failover. Por exemplo, a infra-estrutura de software que lida com os recursos clusterizados vai isolar as bibliotecas de vínculos dinâmicos (DLLs) que executam ações incorretamente, minimizando o impacto sobre o cluster. Outro exemplo: o cluster irá usar métodos aprimorados para garantir a consistência entre as cópias do banco de dados de configuração do cluster.

Melhorias na Forma como um Cluster Trabalha com o Armazenamento

Os Clusters Failover no Windows Server “Longhorn” permitem que você alcance melhor desempenho com seu armazenamento do que nos clusters de servidor das versões anteriores. Podem fazer o seguinte:

• Disponibilize discos adicionais para o cluster enquanto as aplicações estiverem online. Você pode modificar as dependências dos recursos enquanto eles estiverem online, o

271


que significa que você pode disponibilizar um disco adicional sem interromper o acesso à aplicação que irá utilizá-lo.

• Obtenha melhor desempenho e estabilidade com o seu armazenamento. Quando um Cluster Failover se comunica com o seu SAN ou DAS, ele utiliza os comandos que menos atrapalham (evitando reconfigurações no barramento SCSI). Os discos nunca são deixados em um estado desprotegido, o que significa que o risco de corrupção em volume é reduzido. Os Clusters Failover também suportam métodos aprimorados de descoberta e recuperação de disco.

Os Clusters Failover suportam três tipos de conexões de armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre Channel.

• Execute tarefas de manutenção de disco mais facilmente. O “modo de manutenção” foi aprimorado para que você possa executar ferramentas para verificar, corrigir, fazer o backup ou a restauração de discos mais facilmente, com menos interrupções para o cluster.

Melhorias na Rede e na Segurança

Com os Clusters Failover no Windows Server “Longhorn”, o desempenho da rede e da segurança foi aprimorado em relação aos lançamentos anteriores. Podem fazer o seguinte:

• Use o IPv6, que é totalmente integrado com os Clusters Failover. Os Clusters Failover suportam totalmente o IPv6 tanto na comunicação de nó para nó, quanto na comunicação de nó para cliente.

• Use o DNS sem as dependências do NetBIOS do legado. Isto simplifica o transporte do tráfego SMB (Server Message Block) e significa que você não tem as transmissões de resolução de nome do Windows Internet Name Service (WINS) e NetBIOS.

• Alcance maior confiabilidade através de outras melhorias na rede. Por exemplo, você pode ajudar as dependências entre um nome da rede e os endereços de IP associados para que o nome da rede esteja disponível se um dos endereços de IP (e não ambos) estiver disponível. Além disso, quando os nós transmitem e recebem “pulsações” para confirmar que cada nó ainda está disponível, eles utilizam o protocolo TCP (Transmission Control Protocol) em vez do protocolo UDP (User Datagram Protocol), que é menos confiável.

• Alcance maior segurança através das melhorias na segurança e da auditoria do acesso ao cluster. As melhorias na segurança nos Clusters Failover aprimoram os processos de autenticação e criptografia. Além disso, você pode usar a auditoria para capturar informações sobre quem acessou seu cluster e quando ele foi acessado.

272


Compatibilidade

Se você possui uma aplicação que era executada em um cluster de servidor com o Windows Server 2003, e a aplicação depende da conta do serviço de Cluster obrigatória para clusters de servidores, talvez seja necessário trocar a aplicação para que ela não dependa mais da conta. Os Clusters Failover que executam o Windows Server “Longhorn” não utilizam uma conta de serviço de Cluster separada.

Implantação

Analise cuidadosamente o hardware no qual você planeja implantar um Cluster Failover para garantir que ele seja compatível com o Windows Server “Longhorn”. Isto será necessário principalmente se você estiver usando este hardware atualmente para um cluster de servidor executando o Windows Server 2003. O hardware que suporta um cluster de servidor executando o Windows Server 2003 não necessariamente suportará um Cluster Failover executando o Windows Server “Longhorn”.

Observe que

Você não pode executar a atualização de um cluster de servidor que esteja executando o Windows Server 2003 para um Cluster Failover executando o Windows Server “Longhorn”. No entanto, após ter criado um Cluster Failover executando o Windows Server “Longhorn”, você poderá usar um assistente para migrar algumas configurações de recursos para um cluster de servidor executando o Windows Server 2003.

273


8.03 Balanceamento de Carga de Rede

No Microsoft Windows Server “Longhorn”, as melhorias no Balanceamento de Carga de Rede (NLB - Network Load Balancing) incluem suporte para Protocolo IP Versão 6 (IPv6) e NDIS 6.0 (especificação da interface do driver de rede , melhorias no Windows Management Instrumentation (WMI) e funcionalidade aprimorada com o Microsoft Internet Security and Acceleration (ISA) Server.

O NLB é um recurso que distribui a carga para as aplicações cliente/servidor em rede por diversos servidores de cluster. Faz parte da funcionalidade de escalabilidade horizontal do Windows e é uma das três tecnologias do Windows Clustering.

O NLB é usado por profissionais de TI que precisam distribuir solicitações em um conjunto de servidores. O NLB é particularmente útil para garantir que aplicações sem monitoramento de estado, como um servidor Web executando IIS, possam ser escalonadas horizontalmente através da adição de outros servidores conforme ocorre um aumento da carga. O NLB oferece escalabilidade ao permitir que você substitua facilmente um servidor defeituoso ou adicione um novo servidor.

Você deve ser membro do grupo de Administradores no host que você está configurando para usar o NLB, ou deve ter a autoridade apropriada para isso.

O NLB inclui as seguintes melhorias:

• Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas as comunicações.

• Suporte para NDIS 6.0. O driver NLB foi completamente reescrito para usar o novo modelo de filtro leve do NDIS 6.0. O NDIS 6.0 retém compatibilidade reversa com versões anteriores do NDIS. As melhorias no design do NDIS 6.0 incluem maior escalabilidade, desempenho aprimorado e modelo de driver NDIS simplificado.

• Melhorias no WMI. As melhorias no WMI para o namespace MicrosoftNLB são para o Ipv6 e para suporte a múltiplos endereços de IP dedicados.

o As classes no namespace MicrosoftNLB suportam endereço IPv6 (além dos endereços IPv4).

o A classe MicrosoftNLB_NodeSetting suporta múltiplos endereços de IP dedicados ao especificá-los em DedicatedIPAddresses e DedicatedNetMasks.

• Funcionalidade aprimorada com o ISA Server. O ISA Server pode configurar múltiplos endereços de IP dedicados para cada nó NLB em cenários onde os clientes consistem em tráfego IPv4 e IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar determinado ISA Server para gerenciar o tráfego. O ISA também

274


pode fornecer NLB com notificações de timer e ataque SYN (estes cenários geralmente ocorrem quando um computador é sobrecarregado ou infectado por um vírus da Internet).

• Suporte para múltiplos endereços dedicados de IP por nó. O NLB suporta totalmente a definição de mais de um endereço dedicado de IP por nó. (Anteriormente, apenas um endereço dedicado de IP por nó era suportado).

275


Seção 9: Windows Server e Windows Vista - Melhores juntos


276


9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista

Os sistemas operacinais Windows Server® “Longhorn” e Windows Vista™ oferecem vários recursos novos e aprimorados ao serem instalados separadamente, além de benefícios para os negócios. Contudo, quando os dois sistemas são instalados no mesmo ambiente, as empresas podem notar benefícios extras, como o gerenciamento mais eficiente, a maior disponibilidade e comunicações mais rápidas.

Originalmente, o desenvolvimento do Windows Server “Longhorn” e o Windows Vista era um único projeto, chamado “Longhorn”. Os dois possuem um número significativos de tecnologias em comum na plataforma. Seus sistemas operacionais apresentam diversos avanços na rede, armazenamento, segurança e gerenciamento. Embora muitos destes aprimoramentos se apliquem tanto ao Windows Server “Longhorn” quanto ao Windows Vista, quando as empresas implantam os dois sistemas operacionais, percebem que a estrutura cliente-servidor combinada apresenta ainda mais mais benefícios. As empresas que implantarem o Windows Vista hoje, perceberão benefícios imediatos, os quais se combinarão aos benefícios extras com a implantação do Windows Server “Longhorn” assim que este estiver disponível.

Gerenciamento Mais Eficiente

Os profissionais de TI que administram a infraestrutura do Windows Vista e do Windows Server “Longhorn” notarão diversos aprimoramentos na forma de gerenciar e controlar seu ambiente.

• A manutenção será simplificada de maneira significativa através do uso de um modelo único para autalizações e pacotes de serviço de clientes e servidores. No futuro, os administradores de TI poderão utilizar um única atualização para o cliente e para o servidor de linguagens e múltiplas plataformas.

• Os computadores do cliente podem monitorar eventos específicos e os remeter ao Windows Server “Longhorn” para obtenção de um relatório e monitoramento centralizados e vice-versa. A subscrição de eventos permite que os administradores de TI sejam alertados sobre a ocorrência de determinados eventos para dessa forma tomarem medidas corretivas imediatas. O recurso da subscrição de eventos também permite a transmissão de eventos entre as estações de trabalho do Windows Vista sem a presença do Windows Server “Longhorn”.

• Os Serviços de Implantação do Windows® fornecem uma rápida e confiável instalação do sistema operacional com o uso do novo Windows Image Format (WIM)e da ferramenta disk-

277


imaging, o ImageX. Os adminsitradores de TI poderão utilizar-se de práticas e técnicas similares e de excelência para a implatação tanto do sistema operacional do servidor, quando do cliente, utilizando a nova técnica de criação de imagens. A instalação com base na imagem permitirá que uma única imagem seja utilizada em quase todos os hardware, sem qualquer restrição de localidade. O fato reduzirá a quantidade imagens a serem mantidas na memória. É possível até mesmo adicionar drivers, componentes e atualizações à imagens, sem ter que iniciar o sistema operacional imaged. O componente Serviços de Implantação do Windows® é parte do Windows Server “Longhorn” e uma atualização dos Serviços de Implantação do Windows® também está disponível para Microsoft® Windows Server 2003 SP2.

• Os recursos do Proteção Contra Acesso à Rede (NAP) do Windows Server “Longhorn” ajudam a assegurar que os clientes Windows Vista conectados à rede, estão obedecendo às politicas de segurança, e que aqueles que não as estão seguindo tenham seu acesso limitado. A NAP fornece uma validação das diretivas de integridade, as limitações de acesso a rede, reparo automático, e aquiescência permanente, com os componentes do cliente já construídos dentro do Windows Vista e os componentes do servidor integrados dentro do Windows Server “Longhorn”.

• O Internet Information Services 7.0 (IIS7) fornece aos programadores a habilidade de criar aplicações da Web novas e potentes em um desktop com base Windows Vista e ao concluir, os enviar para o servidor do Windows Server “Longhorn”, desde que a mesma versão do IIS7 esteja operando no cliente e no servidor.

Maior Disponibilidade

A confiabilidade, a escalabilidade e a receptividade global da infra-estrutura do cliente e do servidor estão bastantes ampliadas por aprimoramentos feitos tanto no Windows Vista quanto no Windows Server “Longhorn.”

• O Windows Vista pode tornar trabalhos de impressão acessíveis localmente antes de os enviar aos serrvidores de impressão, para dessa forma reduzir a carga de trabalho do servidor de impressão, tornando-o mais acessível. Os dados são enviados aos servidores de impressão pelo formato de impressão não processada: EMF. O nível de disponibilidade será maior porque mais processamentos é realizado no cliente. A carga de trabalho da rede de filiais sem um servidor de impressão local também será reduzida. No entanto, esta capacidade requer que as impressoras possuam drivers compatíveis. Porém, quando unido a entrega de tabalhos de impressão do lado do cliente do Windows Server

278


“Longhorn”, os problemas relacionados a incompatibilidade dos drivers são reduzidos.

• As capacidade de caching do lado do cliente do Windows Vista estão muito mais acentuadas e trabalham tanto com o Windows Server “Longhorn” quanto com versões anteriores do Windows Server. Os recursos do servidor estão armazenados (cached) localmente, por isso estão acessíveis mesmo no caso de o servidor não estar acessível. Além disso, as cópias são atualizadas automaticamente quando o servidor e o clientes são reconectados. Entre os aprimoramentos do caching do lado-clientes esta a transição de estado facilitada, o que faz com que não seja necessária intervenção por parte do usuário, pois mudanças realizadas off-line são sincronizadas no plano de fundo de maneira silenciosa. Além disso, um modo de link low (lento) permite que os pedidos do usuário sejam satisfeitos do cache local, assim as conexões com o servidor acontecem somente quando requeridas. Igualmente, Windows Vista utiliza uma sincronização rápida e transferência diferenciadas, assim somente modificações modified nos arquivos são transmitidas entre cliente e servidor, em vez do arquivo inteiro, não importando o tipo de aplicativo. As capacidades de caching do lado-cliente do Windows Vista acumulam benefícios extras quando trabalham com o Windows Server “Longhorn” devido aos aprimoramentos de rede subjacente discutidos na seção“comunicação mais rápida” .

• Os aplicativos ou scripts que precisam operar tanto no cliente quanto no servidor podem se beneficiar com o Transactional File System, na redução do risco de erro durante as operações de arquivo e de registro. Além disso, poderá retornar a um estado conhecido como bom, no caso de falha ou cancelamento.

• É possível criar diretivas que assegurem uma maior qualidade de serviço para certos aplicativos ou serviços, que requeiram atribuição de prioridades da largura de banda de rede entre clientes e servidor. Através do uso da Diretiva de Grupo os administradores também podem restringir a quantidade de largura de banda que um aplicativo pode utilizar e determinar valores de code point de serviços diferenciados (DSCP) através da implementação dos padrões de indústria de RFCs.

Comunicações Mais Rápidas

Os clientes Windows Vista que estiverem conectados à redes nas quais o Windows Server “Longhorn” tenha sido implantado podem perceber uma enorme melhora na rapidez e na confiabilidade da comunicação.

• A procura por servidores do Windows Server “Longhorn” a partir do cliente Windows Vista, torna acessíveis aos dois

279


as tecnologias aprimoradas de indexação e de caching, fornecendo enormes ganhos de desempenho a toda a empresa.

• O suporte ao Native IPv6 por todos os clientes e serviços do servidor cria uma rede mais escalonável e confiável; ao mesmo tempo, a plataforma de rede de última geração, somente disponível na pilha do Windows Vista e do Windows Server “Longhorn”, torna a comunicação de rede muito mais rápida e eficiente. Novas tecnologias como o Receive Side Scaling e o Receive Window Auto-Tuning permitem uma comunicação mais rápida quando os clintes Windows Vista estão realizando o download de arquivos dos arquivos compartilhados do Windows Server “Longhorn” .

• O novo protocolo do Server Message Block (SMB) 2.0 fornece vários aprimoramentos de comunicação, entre eles um melhor desempenho ao conectar-se com os arquivos compartilhados através de links de latência alta e maior segurança com o uso de autenticação conjunta e assinatura de mensagens.

• Os Serviços de Terminal do Windows Server “Longhorn” apresentam muitos aprimoramentos; entre eles, fornecer aos clientes Windows Vista, o acesso remoto a recursos internos, através de um portal http e aplicativos que operam como sendo de um desktop local.

Serviços de Implantação do Windows

Depois que seus os engenheiros de sistema criarem a plataforma do cliente, é preciso buscar uma forma de implantar o aplicativo em todos os computadores. Nas versões anteriores do Windows, a maioria das empresas utilizou a técnica chamada imaging (tratamento de imagens), através da qual um sistema operacional e aplicativos são implantados nos computadores como um único arquivo. Com o Windows Server “Longhorn”, todos usarão o imaging, mesmo se você decidir instalá-los um de cada vez, indo até cada computador com CD-ROM na mão. No entanto, você não vai precisar fazer isto porque o Windows Server “Longhorn” torna fáceis as implantações automáticas e as migrations.

Primeiro, o Windows Imaging Format facilita a tarefa de criação de imagens se comparada a ferramentas de outras empresas de TI que você tenha utilizado no passado. Será possível utilizar uma única imagem em praticamente todos os hardwares sem qualquer restrição local. Com isso, não será necessário manter tantas imagens, o que implicará em um enorme ganho de tempo. Você poderá inclusive adicionar drivers, componentes e atualizações às imagens sem iniciar o sistema operacional imaged, isto fará com que você poupe horas a cada atualização.

Proteção contra Acesso à Rede

O Windows Vista inclui o agente NAP (Network Access Protection), o qual oferece informações sobre o estado de integridade de um cliente e configurações de acesso à rede de servidores ou ponto a

280


ponto. Os clientes que não possuam atualizações de segurança ou assinaturas de vírus atuais; ou ainda, aqueles que falham com o cumprimento dos requisitos de integridade do mandato corporativo, terão o acesso à rede restrito, até que possam ser reconfigurados e atualizados de acordo com os requisitos. A infra-estrutura NAP, presente Windows Server “Longhorn”, estabelece a concessão do acesso à rede privada ou à rede restrita ao cliente, com base na aquiescência deste às diretivas de integridade estabelecidas. Uma vez na rede restrita, o cliente pode ter concedido o acesso a serviços de reparação para conseguir patches (correções), assinaturas de anti-vírus entre outras ações necessárias para a observância aos requisitos das diretivas de integridade. A NAP também pode ser usada para proteger a sua rede contra o acesso remoto de clientes insalubres, bem como clientes de LAN insalubres, através do uso de conexões com ou sem fio 802.1X autenticadas.

Qualidade do Serviço baseada em Diretivas

A QoS baseada em diretivas, dos sistemas operacionais do Windows Vista e do Windows Server “Longhorn”, diminui o congestionamento da rede permitindo o gerenciamento central da largura de banda host. Por exemplo, caso seja concedida alta prioridade ao tráfego de um aplicativo ERP para filial sobre o link WAN; então, um gerente de vendas da filial, ao acessar ou introduzir dados do ERP, pode obter benefícios de um tempo de resposta invariavelmente rápido, mesmo quando o link WAN estiver carregado com outros tráfegos.

Historicamente, o tráfego de rede não tem sido fácil de priorizar e gerenciar. O tráfego sensível a latência e o tráfego de tarefa crítica, tiveram que competir por uma largura de banda com tráfego de prioridade baixa e tolerante a latência, como por exemplo, a transferência de dados em massa. Ao mesmo tempo, usuários e computadores com necessidades de desempenho de rede específicos, exigiram níveis de serviço diferenciados. Assim,o desafio de fornecer níveis de desempenho de rede previsíveis, apareceram primerio, com frequência, nas conexões WAN ou nos aplicativos sensíveis a latência, como Voz sobre IP (VoIP) e o vídeo. Contudo, o objetivo de fornecer níveis de serviço de rede previsíveis se aplica a qualquer ambiente de rede e vai além dos aplicativos VOIP: inclui qualquer aplicativo tradicional de linha de negócios. Com o QoS baseada em diretivas, o departamento de TI pode definir diretivas de QoS flexíveis para priorizar ou controlar o tráfego de saída de rede sem que seja necessário efetuar modificações nos aplicativos. Estas diretivas de QoS se aplicam ao tráfego de saída com base em algum ou todos os seguintes triggers (sinais): o envio de aplicativos, a implantação através de Diretivas de Grupo (como por exemplo, um grupo de usuários ou computadores), endereços de IP da fonte ou destino, porta da fonte ou destino e protocolo.

281


SMB 2.0

O SMB (Server Message Block), também conhecido como Sistema de Arquivo de Internet (CIFS), trata-se de um protocolo de compartilhamento de arquivos, utilizado por padrão em computadores com base Windows. No Windows Vista, o SMB suporta a nova versão SMB 2.0, a qual foi recriada para os ambientes de rede atuais e as necessidades dos servidores de arquivo de última geração. O SMB 2.0 apresenta aprimoramentos que reduzem o número de pacotes necessários para os comandos SMB e permitem maiores buffers e mais arquivos abertos a escalabilidade. Os computadores que operam o Windows Vista suportam tanto o SMB 1.0 (para versões anteriores do Windows) como os SMB 2.0 (para Windows Vista e Windows Server “Longhorn”).

Acesso Remoto Simplificado

O Recurso de Conexão Remota com o Windows Vista facilita o acesso remoto a qualquer recurso ou aplicativo que tenha sido disponibilizado à você por sua emprsa. Por exemplo, se você for um vendedor necessitando realizar um acesso remoto a um aplicativo financeiro ou a um aplicativo CRM, o Windows Vista possibilita ao gerente de TI corporativo colocar um ícone para este aplicativo no seu desktop. Dessa forma, basta clicar no ícone para que uma conexão automática ao Programa Remoto de Serviços do Terminal seja feita à empresa pela internet e ao Servidor Terminal do Windows Server “Longhorn,” , sem a necessidade de uma rede privada virtual (VPN).

O Gateway de Serviços do Terminal do Windows Server “Longhorn” fornece recursos extras para os computadores domésticos utilizados no acesso à redes corporativas. Se você acessar do computador da sua casa, basta entrar no Website da empresa através da internet e em seguida clicar nos links que o levarão aos recursos corporativos que você necessita.

Recuperação e Solução de Problemas

Todo o operador de centro de suporte já foi, em algum momento, obrigado a terminar seu trabalho bem mais tarde do que de costume, devida a problemas com o computador de um executivo, os quais precisavam ser solucionados naquele mesmo dia. O Windows Server “Longhorn” não tornará os executivos menos exigentes, mas o auxiliará a resolver os problemas de maneira mais rápida ou até mesmo os resolver antes que o assistente do executivo peça sua assistência.

Os arquivos de ajuda do Windows Server “Longhorn” são muito mais aproveitáveis e quase todos os usuários poderão entendê-los, inclusive os executivos. É possível adicionar seu próprio conteúdo ao Centro de Suporte e Ajuda, assim os usuários podem ser assistidos por recursos da rede interna, bem como aplicativos tradicionais. As ferramentas de resolução de problemas podem ser personalizadas e você poderá escalar os problemas não

282


solucionados direto do seu centro de suporte interno. As mensagens de erro do Windows Server “Longhorn” são muito mais significativas do que as de versões anteriores do Windows e auxiliarão os usuários a resolver problemas por conta própria, em vez de pedir a eles que o chamem.

O Windows Server “Longhorn” foi criado para solucionar de maneira automática alguns dos problemas mais sérios. Por exemplo, caso os arquivos do sistema se corrompam, o Windows XP pode simplesmente se recusar a proceder a inicialização. No entanto, o Windows Server “Longhorn,” poderá ir automaticamente para um compartimento de recuperação. Em seguida, o Windows Server “Longhorn” oferece ao usuários o Startup Repair StR), uma recuperação no modo passo a passo, para a solução de problemas com base em diagnósticos. O StR analisa as conexões startup para determinar a causa da falha, resolvendo muitas delas automaticamente. Caso o StR não consiga resolver o problema, uma administrador pode optar por fazer com que o sistema retorne a seu último estado operante. Se o StR não for capaz de recuperar o sistema, ele fornecerá ao usuário informações para o diagnóstico, bem como opções de suporte para facilitar a resolução de problemas.

283


Seção 10: Diversos


284


10.01 Requisitos do Sistema

Requisitos do Sistema para o Windows Server® “Longhorn” Beta 3 • Processador

– Mínimo: 1 GHz

– Recomendado: 2 GHz

– Ideal: 3 GHz ou mais rápido

• Memoria

– Mínimo: 512 MB RAM

– Recomendado: 1 GB RAM

– Ideal: 2 GB RAM (Instalação Completa) ou 1 GB RAM (Instalação no Núcleo do Servidor) ou mais

– Máximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM (sistemas 64 bits)

• Espaço Disponível no Disco

– Mínimo: 8 GB

– Recomendado: 40 GB (Instalação Completa) ou 10 GB (Instalação no Núcleo do Servidor) ou mais

Observe que

Os computadores com mais de 16 GB de RAM necessitarão de mais espaço no disco para paginação, hibernação e despejo de memória.

• Unidade de DVD-ROM

• Super VGA

– monitor com 800x600 pixels ou superior

• Teclado

– Teclado Microsoft ou compatível

• Mouse

– Mouse Microsoft uu dispositivo apontador compatível

* Os requisitos atuais variarão de acordo com a configuração do seu sistema, bem como os aplicativos que você optou por instalar. Talvez mais espaço disponível no disco rígido seja necessário caso você esteja instalando em uma rede. Obtenha mais informações no site http://www.microsoft.com/brasil/windowsserver/longhorn.

Observe que

Este produto requer uma chave do produto válida para sua ativação. É possível instalar o produto sem ativação; porém, se

285


você não ativar o protudo com uma chave do produto válida 30 dias após a instalação, o software deixará de funcionar. Durante a instalação, você deverá selecionar qual a edição do Windows Server “Longhorn” Beta 3 deseja instalar. Tenha certeza de escolher a mesma edição do Windows Server “Longhorn” Beta 3 da chave do produto que você possui, caso contrário, você não conseguirá ativá-lo.

Instalação Completa Versus Instalação no Núcleo do Servidor Algumas edições do Windows Server “Longhorn” Beta 3 podem ser configuradas como instalação complete ou utilizando a nova opção de instalação no Núcleo do Servidor. As instalações feitas no Núcleo do Servidor podem ser administradas localmente, apenas com as ferramentas da linha de comando. A administração das instalações da Base do Servidor, utilizando as ferramentas de gerenciamento gráfico, devem ser efetuadas à distância, com o uso de um software que suporte a administração remota do Windows Server “Longhorn” Beta 3. Repare que uma vez que a instalação complete tenha sido feita, não será possível modificar a opção de instalação de Base do Servidor para Completa, ou vice-versa, sem reinstalar o software.

.

286


10.02 Tabela Detalhada de Conteúdo

Sobre o documento ...............................................1 Conteúdo ......................................................1

Seção 1: Introdução ao Windows Server “Longhorn” 3


Seção 2: Virtualização do Servidor 18


Seção 3: Acesso Centralizado a Aplicações 34


Seção 4: Escritórios Remotos 83


Seção 5: Aplicação de Diretivas e Segurança 100


Seção 6: Plataforma de Aplicações e da Web 199


Seção 7: Gerenciamento de Servidores 219

287


7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows................251 7.09 Serviços de Implantação do Windows ............................254

Seção 8: Alta Disponibilidade 266


Seção 9: Windows Server e Windows Vista - Melhores juntos 275


Seção 10: Diversos 283


guia windows server longhorn beta 3 - api.ning.comapi.ning.com/.../guiawindowsserver2008pdf.pdf ·...

Documents