windows server 2008 - cenários de implementação. entender os cenários principais para windows...
TRANSCRIPT
Windows Server 2008 - Cenários de Implementação
Entender os cenários principais para Windows Server 2008
Conhecer quais características técnicas e papéis se aplicam em cada cenário
Saber como essas características em ação agregam valor em cada cenário (DEMO)
Objetivos da Sessão e Agenda
Infraestrutura Remota
Acesso a aplicações de qualquer local
Gerenciamento de Servidores
Plataforma para Web e Aplicações
Aplicação de Políticas e Segurança
Virtualização de Servidores
Alta Disponibilidade
Windows Server 2008 - Cenários
Cenário: Gerenciamento de Servidores
• Tecnologias Principais– Server Core– Server Manager– Windows PowerShell
• Valor Agregado– Reduz a necessidade de gerenciamento e implementação de
alguns serviços, o que aumenta a disponibilidade e segurança– Configuração do servidor a partir de uma interface única– Adicionar / remover papéis e componentes de modo mais seguro
e confiável– Visualizar status e executar tarefas de gerenciamento a partir de
uma ferramenta única– Automatizar a administração de múltiplos servidores com uma
linguagem de script amigável– Acelerar a criação de scripts, testes e debug
Server Core
Segurança, TCP/IP, Sistema de Arquivos, RPC,outros Core Server Sub-Systems
GUI, CLR, Shell, IE, OE, etc.
File / Print
DHCP
DNS
AD / LDS
Virtualização
Nova opção de instalação com apenas componentes “core”Sem interface GUI ou aplicações gráficasDisponível um conjunto reduzido de papéis e componentes técnicosGerenciamento remoto, como você faria com qualquer servidor
IIS / WMS
Server Core Command-line reference A-Z (http://go.microsoft.com/fwlink/?LinkId=20331 )
Server Manager
Product Installation
Initial Configuration
Server Manager (Gerenciador de Servidor)
Novo shell de linha de comando & Linguagem de Script
Recursos
Melhora produtividade & controleAcelera automação de tarefas administrativasFunciona com scripts atuaisJá disponível no Windows Server 2008Fácil para não-programadoresGereciamento de papéis em futuras versões
TechNet Script CenterMyITForum.comNewsgroups e FórunsBlogs e Channel 9Livros: MS Press, Manning, O’Reilly, Sapien etc.
Parceiros
Windows PowerShell
Cenário: Plataforma para Web & Aplicações
• Tecnologias Principais– Internet Information Services 7.0– .NET Framework 3.0– Windows Media Services– Windows SharePoint Services
• Valor Agregado– Gerenciamento eficiente de servidores Web, Aplicações Web e
serviços Web– Implementação e configurações de ambientes Web com múltiplos
servidores (farms) de modo rápido e produtivo– Criação de plataforma Web customizável mais rápido, seguro e
confiável– Aumento de desempenho & escalabilidade para aplicações e
serviços Web
IIS 7.0 - Recursos
IIS 7
Instalações “customizáveis” significam redução na área de ataque
Administração simplificada (vários métodos)
Customização & extensibilidade com .NET
Xcopy – deployment e configuração compartilhada
Poderoso recurso de tracing e resolução de falhas
Gerenciamento de aplicações e serviços Web
Gerenciando a Web com IIS 7.0
Arsenal de Ferramentas
Gerenciamento Delegável
Gerenciamento Remoto (Seguro)
Configuração compartilhada (farms)
IIS7
Melhores FerramentasInterface intuitivaAPI .NET para gerenciamentoProvedor unificado WMI IIS/ASP.NETSuporte a linha de comandoInformação de estado em tempo realTracing de falha & logs
IIS7
IIS7
Site Admin Web.config
XML
Delega
tion
XCopy
Deplo
y
Server Admin
Internet
Gerenciamento Remoto
HTTPS Seguro
AppHost.config
XML
SharedConfig
Shared App Hosting
UNC
Web FarmApp
WSS
Melhoramento no modelo de administraçãoNovas capacidades e características para regulamentaçõesNovas ferramentas operacionaisMelhor suporte para configurações de redeExtensibilidade
Windows SharePoint Services 3.0
Cenário: Infraestrutura Remota
• Tecnologias Principais– Active Directory
• Controlador de Domínio Somente Leitura (RODC)• Separação do Papel de Administrador• Active Directory Reinicializável• Replicação SYSVOL usando DFS
– Criptografia de Drive com BitLocker – Melhoramentos em Rede– SMB 2.0
• Valor Agregado– Aumenta a eficiência e produtividade do gerenciamento e
implementação de escritórios remotos– Endereça problema de segurança física em localidades remotas– Melhora a eficiência em comunicações WAN
Controlador de Domínio Somente Leitura (RODC)
• O impacto de um Domain Controller “roubado” é menor para o Active Directory– Por padrão, senhas de usuários e computadores não
são armazenadas no RODC– Read-only Partial Attribute Set previne que credenciais
de aplicações sejam armazenadas no RODC
Reduz a área de ataque para localidades remotas
Controlador de Domínio Somente Leitura (RODC)
• Reduz a área de ataque para um DC comprometido– Estado “somente-leitura” com replicação unidirecional para AD e
FRS/DFSR– Cada RODC possui sua própria conta KDC KrbTGT para
providenciar autenticação– DCPROMO delegável reduz a necessidade de Administradores
de Domínio conectarem via TS em um RODC– DC’s Windows Server 2008 (gravação) registram os ponteiros
SRV em benefício dos RODCs– RODCs são contas de “servidores membro”
• Não são membros dos grupos Enterprise-DC ou Domain-DC • Permissões limitadas para gravação na base do AD
Reduz a área de ataque para localidades remotas
FilialMatriz
Read Only DC
Como o RODC funciona
Windows Server 2008 DC
1
2
3
4
56
6
1
2
3
4
5
6
Usuário se loga e autentica
RODC: Procura na DB: “Não tenho essas credenciais !"
Encaminha a requisição para Windows Server 2008 DC
Windows Server 2008 DC autentica a requisição
Retorna a resposta de autenticação e o ticket para o RODC
RODC entrega o ticket para o usuário e faz cache das credenciais
RODC
Read-Only Domain Controller
• Nenhuma conta em cache (default)– Pro: a mais segura, ainda providencia rápida autenticação e
processamento de políticas. – Con: WAN é requisito para logon (sem acesso offline)
• Maioria das contas em cache– Pro: Fácil gerenciamento de senhas. Desenhado para clientes
que necessitam se beneficiar do modelo flexível de gerenciamento do RODC.
– Con: Maior número de senhas expostas ao RODC• Poucas contas (contas de escritório remoto) em cache
– Pro: Habilita acesso offline para quem necessita e maximiza a segurança para demais
– Con: Administração da política de senha para replicação é uma tarefa adicional
• Necessário mapear computadores e contas por escritório remoto
Password replication policy controla os modelos
Active Directory (AD)
• Separação do Papel Administrativo– Providencia um novo “administrador local” para RODC– Previne modificações acidentais no AD pelos administradores
locais– Não previne o “administrador local” de maliciosamente modificar
a base local• Stop/Start do serviço do AD (Directory Services) sem a
necessidade de reboot – Reduz o tempo de downtime para operações offline– Outros serviços se mantém online– Atua como um servidor membro durante este estado
• Replicação SYSVOL usando DFS-R– Maior escalabilidade e disponibilidade– Utilização de banda de rede reduzida com RDC (remote
differential compression)
Características adicionais para gerenciamento de infraestrutura remota
SISTEMA Volume do Sistema contém:
MBR
Boot Manager
Boot Utilities
FVEK
3
4
Volume do SO
SRK
1
VMK
2
BitLocker – Criptografia de Drive
Volume do Sistema Operacional contém:• SO Criptografado• Arquivo de Paginação Criptografado• Arquivos temporários Criptografados• Dados Criptografados• Arquivo de Hibernação Criptografado
Onde está a chave de criptografia ?• SRK (Storage Root Key) - TPM • SRK criptografa VMK (Volume Master Key). • VMK criptografa FVEK (Full Volume
Encryption Key) – usada para atual criptografia de volume
• FVEK e VMK são armazenadas (criptografadas) no Volume do SO
Protocolos – Novas CaracterísticasNova geração da pilha TCP/IP
Desempenho Otimizado
Ajuste automático da janela de recebimento TCP
Melhor gerenciamento de perda de pacotes (eficiente para conexões sem fio)
Controle de congestionamento avançado
Ajustes automáticos para eficiência máxima
Transmissões mais rápidas, especialmente em WAN
Otimizado para uso de banda disponível
Redução de pacotes perdidos = menos retransmissões
Protocolos – Novas Características
• SMB 2.0– Elimina restrições de compartilhamento de arquivos (usuários, arquivos
abertos, número de compartilhamentos, etc)– Suporta links simbólicos
• I/O File System Transacional (TxF)– Framework transacional no Windows Server 2008 se estende para
operações de I/O– Endereça cenários que exigem níveis alto de performance e
complexidade • Benefícios
– Essas novas características são a base para operações avançadas relacionadas a storage, e são um diferencial para competidores que “emulam” as características de file system do sistema operacional Windows
SMB 2.0, I/O File System Transacional
Cenário: Acesso a Aplicações de Qualquer Local
• Tecnologias Principais– Terminal Services Gateway– Terminal Services Remote Programs– Terminal Services Web Access– Terminal Services Easy Print (driver universal)
• Valor Agregado– Providencia acesso de qualquer parte para aplicações de negócio
utilizando a Internet– Elimina o risco de perda de dados de laptops por utilizar conexão
segura para aplicações localizadas de modo centralizado– Reduz o custo de gerenciamento por eliminar a necessidade de
servidores de aplicação em localidades distribuídas– Fornece acesso seguro aos servidores de terminal sem a
necessidade de acesso “completo” a rede via VPN ou outros mecanismos
– Consolida servidores de terminal usando tecnologia x64
Fir
ewal
l E
xter
no
Fir
ewal
l In
tern
oInternetPerímetro Rede
Corporativa
Usuário Remoto /
Móvel
Terminal Services Gateway
Network Policy Server
Active Directory DC
Túnel RDP sobre HTTPs
“Desencapsular” RDP / HTTPs
Servidores de Terminal
Tráfego RDP enviado para TS
Internet
Terminal Services Gateway
Terminal Services RemoteApp™
Terminal Server
• Gerenciamento centralizado de aplicações
• Publicação apenas da aplicação em si (seamless)
• Nenhuma aplicação instalada nos clientes
Pré-Req: RDP 6.0
Cenário: Aplicação de Políticas de Segurança I
• Tecnologias Principais– Serviços de Acesso à Rede
• Internet Protocol security (IPsec)• System Health Validator / System Health Agent• Health Certificate Server
• Valor Agregado– Verifica a “saúde” e compatibilidade com políticas de segurança
para usuários em “roaming” ou visitantes– Simplifica updates de sistema e software e instalação de
aplicativos– Aumenta a segurança de redes sem fio com autenticação e
criptografia
Rede Sem Fio Segura
Gerenciamento e implementação produtivo e eficiente de redes 802.11Implementação de métodos avançados e atuais de segurança, incluindo smartcards, sem a necessidade de software adicionalWindows Server NPS, AD & serviços de CA (opcional) habilitam um controle centralizado de autenticação e criptografia de tráfego wireless 802.11Provisionamento de clientes wireless via Políticas de Grupo e scripts
Network Policy ServerAuthentication Server
Wireless Access Points
Wireless ControllerClientes Wireless
Active Directory
SQL Server (Opcional)Certificate Authority
(Opcional)
Gerenciamento de Redes Sem Fio via Políticas de Grupo
• Desafios Atuais– Clientes wireless usam diferentes utilitários de configuração– Gerenciamento central de wireless limitado a uma organização– Resultado: provisionamento de clientes wireless é de alto custo e
leva tempo
• Solução – Provisionamento via Políticas de Grupo (GPO) ou linha de comando– Implementação Simplificada
• Suporte a ambientes mistos (segurança)• Separação de serviços 802.1x e sem fio• Gerenciamento granular e extensibilidade
– Experiência do usuário melhorada– Pode-se aproveitar o investimento já feito em Active Directory– Pode-se limitar as conexões apenas para redes autorizadas
Network Access Protection (NAP)
Política de Validação
• Determina se os computadores estão compatíveis com as políticas de segurança da empresa. Caso afirmativo, são chamados de “saudáveis”
Restrição de Redes
• Acesso restrito de redes baseado na “saúde” dos clientes
Remediação
• Fornece os updates necessários para permitir que os clientes se tornem “saudáveis”. Uma vez assim, as restrições de redes são removidas
Acompanhamento de Compatibilidade
• Alterações nas políticas de segurança ou no estado dos computadores podem dinamicamente resultar em restrições
Políticas de Acesso
1
Rede RestritaNetwork
Policy Server
3
Servidores de Política(Security Center, SMS, Forefront ou terceiros
Compatível
DHCP, VPNSwitch/Router
2
Cliente
Remediação( WSUS, SMS &
Terceiros)
Rede Corporativa5
Não compatível 4
Aumento da Segurança do AmbienteTodas as comunicações são autenticadas, autorizadas & saudáveis
Compatível com DHCP, VPN, IPsec, 802.1X
Políticas de acesso definidas e controladas pelos ITPros
Benefícios
Network Access Protection
Cenário: Aplicação de Políticas de Segurança II
• Tecnologias Principais– Active Directory Domain Services (AD DS)– Active Directory Lightweight Directory Services (AD LDS)– Active Directory Certificate Services (AD CS)– Active Directory Federation Service (AD FS)– Active Directory Rights Management Services (AD RMS)
• Valor Agregado– Proteção de informações sensíveis e aplicações para parceiros
de negócios– Reduz o risco de acesso não-autorizado através de autenticação
forte– Reduz o número de contas de usuários e repositórios que
precisam ser gerenciados (produtividade)– Gerenciamento de contas de usuários de modo seguro além do
perímetro do datacenter
Enterprise PKI (PKIView)MMC Snap-in (Resource Kit anteriormente)Suporte para caracteres Unicode
Online Certificate Status Protocol (OSCP)
“Responders” Online Conjunto (array) de Responders
Network Device Enrollment Service
Implementação Microsoft do Simple Certificate Enrollment Protocol (SCEP) Aumenta a segurança por usar IPSec
Web EnrollmentControle ActiveX® removido - XEnroll.dll Novo controle adicionado - CertEnroll.dll
AD Certificate Services / PKI
Autor / criador Leitor
AD RMS protege acesso a informações digitaisAD RMS no Windows Server 2008 possui novas características
Melhor processo de instalação e gerenciamentoIntegração com AD Federation ServicesNovos papéis administrativos
RMS Server
SQL AD
AD Rights Management Services
Cenário: Virtualização de Servidores
• Tecnologias Principais– Windows Server Virtualization (Hyper-V)– Server Core
• Valor Agregado– Consolidação de Servidores – maximiza utilização de hardware e
consolida workloads para reduzir custos– Testes e Desenvolvimento – cria ambientes mais flexíveis que
reduz custos e melhora o gerenciamento de ciclo de vida de aplicações
– Continuação de Negócios (Recuperação de Desastres) – elimina o impacto de downtime e habilita rápida resposta à problemas
– Datacenter Dinâmico (e verde): cria estruturas mais ágeis com novas capacidades de gerenciamento para movimentação de máquinas virtuais sem impacto
Cenários para Virtualização
Desenvolvimento e Testes
Continuidade de Negócios
Datacenter Dinâmico
Consolidação de Servidores
Cenário: Alta Disponibilidade• Tecnologias Principais
– Failover Clustering
• Valor agregado– Reduz a complexidade através de uma nova interface
de gerenciamento– Simplifica a criação e gerenciamento de servidores em
cluster– Reduz custo e tempo de suporte através de uma
configuração mais amigável– Implementa clusters geograficamente dispersos
adaptáveis aos ambientes existentes
Failover ClusteringPCs Clientes
Nó A Nó B
heartbeatNó Ativo Nó Passivo
Novo recurso de Validação
Suporte para discos GPT (Tabela de partição GUID) em armazenamento de cluster (> 2TB)
Instalação e migração de cluster aprimoradas
Melhorias em segurança e estabilidade
Clusters geograficamente dispersos (sub-redes diferentes)
Novo modelo de quórum (Majority Quorum Model) – “Vote”
“Witness Server” – pode ser um “File Server” para múltiplos clusters
Suporte para tecnologias de storage (Fibre Channel, iSCSI, Serial Attached SCSI (SAS) “persistent reservations” – Parallel-SCSI depreciada
VSS suporte para “snapshot restore” de discos em cluster
Novo “Maintenance Mode” para acesso exclusivo à discos online
Novo log de eventos (%windier\cluster não existe mais) – Eventviewer
Conta “Localsystem” para inicializar serviço (não mais conta do domínio) e autenticação Kerberos (e não mais NTLM)
Suporte IPV6, DHCP, 100% DNS (NETBIOS depreciado)
Infraestrutura Remota
Acesso a aplicações de qualquer local
Gerenciamento de Servidores
Plataforma para Web e Aplicações
Aplicação de Políticas e Segurança
Virtualização de Servidores
Alta Disponibilidade
Sumário
Recursos DisponíveisMicrosoft Developer Network (MSDN)(Webcasts, Blogs, Chats, Eventos Presenciais)http://microsoft.com/brasil/msdn
Trial Software e Virtual Labshttp://www.microsoft.com/technet/downloads/trials/default.mspx
Microsoft Learning e Certificaçãowww.mostrequevocesabe.com
Windows Server 2008 Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba1033.mspx?mfr=true
Microsoft Technet(Webcasts, Blogs, Chats, Eventos Presenciais)http://microsoft.com/brasil/technet
Technet Experience Windows Server 2008http://www.microsoft.com/brasil/technet/experience/windowsserver2008