Escolar Documentos
Profissional Documentos
Cultura Documentos
Sobre o documento
ESTE DOCUMENTO NO UMA ESPECIFICAO DE PRODUTO.
Este documento suporta a verso Beta 3 do Windows Server Longhorn. As informaes contidas no mesmo representam a viso atual da Microsoft Corporation sobre os assuntos discutidos at a data da publicao. A Microsoft deve reagir s constantes alteraes nas condies do mercado, e sendo assim este documento no deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft no pode garantir a preciso de qualquer informao aqui. Este documento tem propsito exclusivamente informativo. A MICROSOFT NO OFERECE GARANTIAS, EXPRESSAS, IMPLCITAS OU REGULAMENTARES ACERCA DAS INFORMAES CONTIDAS NESTE DOCUMENTO. As informaes contidas neste documento, incluindo URL e outras referncias a sites da Internet, esto sujeitas a alteraes a qualquer momento. Salvo disposio em contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de e-mail, logotipos, pessoas, lugares e eventos aqui descritos so fictcios e no tm relao alguma com qualquer empresa, organizao, produto, nome de domnio, endereo de e-mail, logotipo, pessoa, lugar ou evento real. de responsabilidade do usurio o respeito a toda a legislao de copyright aplicvel. A Microsoft concede o direito de reproduo deste guia, no todo ou em parte. A Microsoft pode deter as patentes, as solicitaes de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licena escrito da Microsoft, o fornecimento deste documento no confere a voc qualquer licena em relao a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais. 2007 Microsoft Corp. Todos os direitos reservados. Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN so marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietrios.
O guia dos revisores do Windows Server Longhorn Beta 3 fornece uma viso geral tcnica abrangente dos recursos e funes inovadores que tornam o Windows Server Longhorn um sistema operacional de ltima gerao e o sucessor do Microsoft Windows Server 2003. Este guia tambm fornece informaes sobre os benefcios que o Windows Server Longhorn oferece a diversos usurios, bem como informaes sobre cenrios variados.
Contedo
Sobre o documento ...............................................1 Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.01 Introduo ao Windows Server Longhorn...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19 2.02 Virtualizao do Windows Server.................................20 2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35 3.02 Funcionalidade Bsica de Servios de Terminal ......................36 3.03 Gateway de Servios de Terminal ................................53 3.04 RemoteApp de Servios de Terminal ..............................62 3.05 Acesso a Web de Servios de Terminal ............................65 3.06 Impresso de Servios de Terminal ...............................69 3.07 Session Broker de Servios de Terminal ...........................73 3.08 Licenciamento de Servios de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84 4.02 Controlador de Domnio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Ncleo do Servidor ...........................................99
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101 5.02 Servios de Acesso e Diretiva de Rede ...........................103 5.03 Proteo contra Acesso Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120 5.05 Firewall do Windows com Segurana Avanada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Servios de Certificado do Active Directory ........................139 5.08 Servios de Domnio do Active Directory ..........................160 5.09 Servios Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicao ........................................212 6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
7.01 Introduo ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Ncleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
aumente a flexibilidade sua infra-estrutura de servidores ao mesmo tempo em que o ajuda a poupar tempo, reduzir custos, e oferecer uma plataforma para um centro de dados dinmico e otimizado. Poderosas novas ferramentas como o Gerenciador de Windows Server (Windows Server Manager) e Windows PowerShell permitem mais controle sobre seus servidores e dinamizao de configurao e tarefas de gerenciamento para que voc possa passar menos tempo em tarefas cotidianas e mais tempo proporcionando mais valor para sua organizao. Melhorias avanadas de segurana e confiabilidade como a Proteo contra Acesso Rede (NAP - Network Access Protection) e o Controlador de Domnio de Somente Leitura (RODC - Read Only Domain Controller) fortalecem o sistema operacional e ajudam a proteger seu ambiente de servidor para lhe proporcionar uma fundao slida sobre a qual construir seus negcios. A figura a seguir descreve os trs pilares do Windows Server Longhorn:
Alm disso, no caso da funo de Virtualizao de Servidor, pode ser uma plataforma sobre a qual executar mltiplos servidores em que cada qual possui funes diferentes. De qualquer maneira, os profissionais de TI iro se referir tipicamente a um servidor de impresso, servidor de arquivos, servidor de Web ou controlador de domnio, descrevendo aquele servidor por sua funo primria. Da mesma forma que um servidor implantado em uma funo especfica, ele tambm realizar parte ou toda uma carga de trabalho, ou contribuir para o cenrio de uma empresa. Cargas de trabalho tipicamente empregam mltiplos servidores executando diferentes funes para fornecer uma soluo geral para um dado cenrio. Por exemplo, servidores executando os Servios de Domnio do Active Directory (Active Directory Domain Services), Servios de Certificado do Active Directory (Active Directory Certificate Services) e Servios de Federao do Active Directory (Active Directory Federation Services) podem executar funes distintas, mas todos eles contribuem pra uma carga de trabalho ou cenrio de nvel mais alto de Gerenciamento de Identidade e Acesso. Quando os clientes implantarem o Windows Server Longhorn, provavelmente escolhero certos cenrios e cargas de trabalho em que sintam que o produto proporciona maior valor ou facilidade de implementao com mnima interrupo de sua infra-estrutura existente. Por essa razo, consideramos o Windows Server Longhorn como ser implantado pelos clientes em cenrios especficos. Vamos nos concentrar em sete principais cenrios de produto que suportam os pilares de proposta de valor para o Windows Server Longhorn. Para cada pilar temos dois cenrios que mapeiam aproximadamente as cargas de trabalho de servidor reconhecidas. Tambm fizemos uma srie de melhorias no Windows Server Longhorn que podem dar valor a implantaes em escritrios remotos.
As questes dos clientes incluem as seguintes: Quero saber de problemas e corrigi-los antes que meus usurios sejam afetados. Quero automatizar o mximo possvel de meu gerenciamento. O sistema operacional do servidor deve ter ferramentas de gerenciamento melhores. Eu no deveria ter de comprar aplicaes de terceiros para fazer o gerenciamento bsico de sistemas. Posso ser alertado para um problema com um servidor, mas o alerta no d informaes suficientes para eu entender e solucionar a falha. Muitas tarefas cotidianas tomam muito tempo. A infra-estrutura cresceu pela necessidade. Conforme quisemos fazer mais, precisamos adicionar mais e gerenciar mais. Quero utilizar o TI para me tornar mais eficiente e ver a TI como um ativo estratgico para a empresa. Preciso reduzir custos e complexidade.
Simplifique o gerenciamento de sua infra-estrutura de TI usando novas ferramentas que proporcionam uma interface concentrada para configurao e monitoramento de servidor, assim como a capacidade de automatizar tarefas de rotina. O Gerenciador de Windows Server acelera a instalao e configurao de servidor, e simplifica o gerenciamento em andamento de funes de servidor atravs de um console unificado de gerenciamento. O Windows PowerShell, um novo shell de linha de comando com mais de 130 ferramentas e uma linguagem de script integrada, permite que os administradores controle mais facilmente e automatizem mais seguramente tarefas rotineiras de administrao de sistemas, especialmente ao longo de mltiplos servidores.
Dinamize a instalao e gerenciamento do Windows Server Longhorn instalando apenas as funes e recursos de que precisa. A personalizao da configurao do servidor simplifica a manuteno permanente minimizando a rea da superfcie de ataque e reduzindo a necessidade de atualizaes de software. A Instalao Baseada em Funo instala somente os componentes de que voc precisa para uma determinada funo, simplificando a configurao e manuteno do sistema operacional, reduzindo os custos de implantao e gerenciamento do Windows Server. O Ncleo do Servidor Windows (Windows Server Core) uma nova opo de instalao para funes selecionadas (Virtualizao do Windows Server, Active Directory, Modo de Aplicao do Active Directory (Active Directory Application Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impresso) que inclui uma interface grfica de usurio ou recursos e servios no-relacionados, proporcionando um servidor altamente disponvel que requer menos atualizaes e menos manuteno.
Identifique com preciso e resolva pontos de problemas com poderosas ferramentas de diagnstico que lhe do visibilidade contnua do ambiente de seu servidor, tanto fsico como virtual. Console integrado de desempenho e confiabilidade oferece diagnsticos incorporados para ajudar a evitar e reduzir o impacto de falhas, inclusive o Framework de Diagnstico de Rede (Network Diagnostic Framework). Visualizar Eventos (Event Viewer) mais rico proporciona uma percepo mais profunda para o administrador que ajuda a resolver problemas antes que afetem os usurios. Pacotes de Gerenciamento para cada funo de servidor fornecem integrao aprimorada com o Gerenciador de Operaes do Microsoft System Center (Microsoft System Center Operations Manager).
Guia do Revisor do Windows Server Longhorn Beta 3
10
Aumente o controle sobre servidores situados em locais distantes, como o escritrio remoto. Com administrao de servidor e replicao de dados otimizados, voc pode fornecer aos usurios um melhor servio ao mesmo tempo em que reduz as dores de cabea do gerenciamento. Priorizao de trfego de WAN entre clientes do Windows Vista e servidores do Windows Server Longhorn Otimizao de trfego de WAN e auto-ajuste de rede para replicao de SysVol, Replicao de Sistema de Arquivos Distribudo, e outros protocolos como SMB O Controlador de Domnio de Somente Leitura permite que voc fornea autenticao local para usurios de escritrio remoto sem implantar uma cpia completa e gravvel do banco de dados do Active Directory database, que poderia estar sujeita a corrupo ou exposta a riscos. O Microsoft BitLocker permite que voc exera controle adicional sobre os dados em um disco rgido de servidor em locais remotos menos seguros. O Gerenciamento Centralizado de Impressora permite que voc controle todas as impressoras a partir de um nico local e passe menos tempo gerenciando impressoras remotas.
Simplifique o gerenciamento de servidores de Web com o Internet Information Services 7.0, que uma poderosa plataforma de Web para aplicaes e servios. Essa plataforma modular oferece uma interface de gerenciamento simplificada, baseada em tarefa, maior controle entre sites, aprimoramentos de segurana, e gerenciamento integrado de integridade para Web Services. A interface baseada em tarefa simplifica tarefas comuns de gerenciamento de servidor de Web. Cpias entre sites permitem que voc copie facilmente configuraes de Websites ao longo de mltiplos servidores de Web sem configurao adicional. A administrao delegada de aplicaes e sites permite que voc d controle de diferentes partes do servidor de Web queles que precisam dele.
Aumente o controle sobre suas configuraes de usurio com Diretiva de Grupo Expandida: Administradores podem poupar tempo e dinheiro configurando configuraes de rede por ou sem fio, de dispositivos de armazenamento removveis, impressoras, Microsoft Internet Explorer, e at mesmo configuraes de gerenciamento de energia usando a Diretiva de Grupo.
11
As questes dos clientes incluem as seguintes: Preciso usar meus servidores atuais de maneira mais eficiente, ento no preciso comprar hardware adicional sempre que adiciono uma aplicao ou servio. Atualizar o sistema operacional de meu servidor demorado e perturbador; deveria ser mais fcil implantar e gerenciar atualizaes de servidor. No tenho flexibilidade suficiente com as ferramentas em meu sistema operacional para solucionar novos problemas. difcil demais implantar novas tecnologias com meus sistemas existentes. Plataformas de legado que exigem muita mo-de-obra levam a aumentos nos custos de administrao e suporte. A implantao e manuteno de sistemas so caras, e consomem muito tempo e esforo. Preciso consolidar e virtualizar meus servidores e aplicaes. Preciso adicionar recursos dinamicamente a mquinas virtuais para satisfazer cargas aumentadas. Preciso mover dinamicamente mquinas virtuais para outra mquina com mais capacidade.
Guia do Revisor do Windows Server Longhorn Beta 3
12
Novas implantaes precisam se integrar com meu ambiente existente do Windows Server e outros sistemas.
Virtualize mltiplos sistemas operacionais Windows, Linux e outros em um nico servidor. Com a virtualizao incorporada no sistema operacional e com diretivas de licenciamento mais simples e flexveis, agora mais fcil que nunca tirar proveito de todos os benefcios e economias de custos da virtualizao. A Virtualizao do Windows Server uma virtualizao de ltima gerao baseada integrada com o sistema operacional que adicione dinamicamente recursos fsicos plataforma de em monitor permite que voc e virtuais.
Plataforma dinmica. A Virtualizao do Windows Server proporciona grande confiabilidade, avanada escalabilidade, e recursos dinmicos que permitem que voc virtualize a maioria das cargas de trabalho em sua infra-estrutura. Gerenciamento integrado. A integrao com o Gerenciador de Mquina Virtual do System Center permite um rpido aprovisionamento de mquinas virtuais e um nico conjunto de ferramentas integradas para gerenciar seus recursos fsicos e virtuais. Suporte abrangente. A Microsoft fornece suporte 24x7 para Windows Server, Linux e convidados Linux ativados para Xen na plataforma de Virtualizao do Windows Server. Amplo suporte da indstria. A Microsoft e seu ecossistema de parceiros fornecem amplo suporte que permite a voc implantar aplicaes na plataforma de virtualizao da Microsoft com confiana e paz de esprito, alm de utilizar o conhecimento individual e coletivo existentes sobre o Windows Server e conjuntos de habilidades da comunidade profissional da TI.
Centralize o acesso a aplicaes e proporcione integrao sem interrupes de aplicaes publicadas remotamente. As melhorias tambm somam a capacidade de conectar-se a aplicaes remotas atravs de firewalls e sem o uso de uma rede virtual privada (VPN - virtual private network) assim voc pode reagir rapidamente s necessidades de seus usurios, independentemente da localizao. Programas Remotos de Servios de Terminal permitem um acesso remoto sem interrupes e publicao de aplicaes para implantao simples e rpida de aplicaes e gerenciamento centralizado. O Gateway de Servios de Terminal permite o acesso remoto a aplicaes sem o uso de uma VPN para que os usurios possam acessar facilmente as aplicaes quando precisam delas, independentemente de onde se localizem.
Escolha a partir de novas opes de implantao para proporcionar o mtodo mais adequado para seu ambiente.
Guia do Revisor do Windows Server Longhorn Beta 3
13
Os Servios de Implantao do Windows (Windows Deployment Services) oferece instalao e implantao baseados em imagem que simplifica a implantao de cliente e servidor e gerenciamento contnuo de imagem. Um nico modelo mundial de manuteno simplifica a manuteno contnua de clientes e servidores.
Construa aplicaes flexveis e abrangentes que conectam usurios e seus dados, permitindo que eles visualizem, compartilhem e ajam com as informaes. O componente Windows Communication Foundation (WCF) oferece um framework unificado para a construo rpida de aplicaes orientadas ao servio, facilitando construir e consumir servios de Web de segurana aperfeioada, confiveis e transacionados. O componente Windows Workflow Foundation (WF) permite a desenvolvedores oferecer transparncia ao modelo e suportar o fluxo de trabalho do sistema e humano. O componente Windows Presentation Foundation (WPF) fornece um framework unificado para construir aplicaes e experincias de alta fidelidade no Windows que combina interface de usurio, dados e contedo de mdia das aplicaes, ao mesmo tempo em que explora toda a capacidade do computador. A profunda integrao do Internet Information Services 7 e do ASP.NET resulta em um nico sistema unificado de configurao, um tempo de execuo de processamento de solicitao e modo de extensibilidade integrados, e uma experincia de diagnsticos e soluo de problemas vastamente aperfeioada.
Assegure a interoperabilidade com o ambiente existente. Potencialize a robusta e vibrante comunidade tcnica atravs do ciclo de vida do produto. O programa Microsoft TechNet oferece informaes tcnicas oportunas, precisas e relevantes atravs de seu site, boletins informativos, v-labs, eventos, Webcasts, assinaturas e outras ofertas. As comunidades tcnicas enriquecem a experincia do Windows Server proporcionando experincia no tema e opinies atravs de blogs, grupos de usurios, fruns e eventos.
14
As questes levantadas pelos clientes incluem: Quando os funcionrios, fornecedores e fabricantes trazem dispositivos mveis ao meu escritrio, no posso garantir que minha rede permanecer segura. Aplicar atualizaes de segurana constantemente demorado e incmodo. O Windows Server no to seguro quanto os outros sistemas operacionais. desafiador gerenciar a segurana do sistema e informaes de identidade dos usurios em sistemas corporativos. Proteger sistemas complexo e difcil de gerenciar. No tento manuteno de sistemas durante o expediente porque fazer isso pode provocar uma interrupo do servio e no quero perturbar a produtividade de meus usurios. Quero integrar redundncia e recuperao de desastres em meus servios de TI. Preciso assegurar conformidade com normas de controle (HIPAA, Sarbanes-Oxley).
Proteja seu servidor: O Windows Server Longhorn oferece inovaes de segurana que reduzem a rea da superfcie de ataque
Guia do Revisor do Windows Server Longhorn Beta 3
15
do kernel, resultando em um ambiente de servidor mais seguro e robusto. O Windows Service Hardening ajuda a manter os sistemas mais seguros evitando que servios Windows crticos sejam usados por atividade anormal no sistema de arquivos, registro ou rede. Seguro na instalao significa que o sistema operacional completamente bloqueado e pronto para usar.
Proteja o acesso a sua rede: A Proteo contra Acesso Rede (Network Access Protection) lhe d o poder de isolar computadores que no obedeam s diretivas de segurana que voc estabelece. A capacidade de impor requisitos de segurana um meio poderoso de proteger sua rede. A Proteo contra Acesso Rede permite validao de diretiva, restrio de rede, correes e conformidade contnua para o acesso de usurios a recursos de rede. Ajude a evitar que dispositivos no saudveis acessem recursos corporativos e solicite acesso a recursos de domnio a partir de PCs gerenciados.
Crie regras e diretivas inteligentes para melhorar o controle de acesso e proteo sobre funes de rede, permitindo que voc tenha uma rede orientada por diretiva. O gerenciamento centralizado de firewall e IPsec reduz conflitos e overhead de coordenao entre tecnologias atravs da combinao de criao e manuteno de diretiva para filtragem de trfego e segurana de conexo. O Isolamento de servidor e domnio, baseado no Windows IPsec e Active Directory, permite uma implementao eficaz em termos de custo de autenticao de extremidade para segmentar dinamicamente um ambiente Windows em redes lgicas isoladas mais seguras com base em diretiva em vez de topologia de rede. Regras inteligentes de firewall podem especificar requisitos como autenticao e criptografia, com base em computador ou grupos de usurios do Active Directory. O Servidor de Diretiva de Rede (Network Policy Server) atua como um servidor de diretiva de integridade de rede para Proteo contra Acesso Rede (NAP - network access protection), desempenho, autenticao de conexo centralizada, autenticao, e controle de vrios tipos de acessos de rede, incluindo conexes sem fio e de VPN.
Proteja seus dados: O Windows Server inclui protees adicionais para seus dados para ajudar a garantir que s possam ser acessados por usurios com o contexto de segurana correto, e para torn-los disponveis quando falhas de hardware acontecerem.
16
Os Servios de Gerenciamento de Direitos (Rights Management Services) oferecem proteo persistente para dados sigilosos, ajudam a reduzir riscos e permite conformidade, e fornecem uma plataforma para proteo abrangente de informaes. O Microsoft BitLocker fornece segurana adicional para seus dados atravs de criptografia completa de volume em mltiplas unidades de disco, mesmo quando o sistema estiver em mos no autorizadas ou executando um sistema operacional diferente. O Controle de Diretiva de Grupo sobre Instalao de Dispositivos (Group Policy Control over Device Installation) permite a administradores de TI usarem Diretiva de Grupo no Windows Server Longhorn para bloquear a instalao de dispositivos removveis, como pendrives e discos rgidos externos, para ajudar a evitar que propriedade intelectual corporativa ou dados sigilosos sejam expostos ou roubados. O Controlador de Domnio de Somente Leitura (Read-Only Domain Controller) permite que voc implante o Active Directory ao mesmo tempo em que restringe a replicao do banco de dados completo do Active Directory; para proteger melhor contra roubo ou exposio.
Proteja contra softwares mal-intencionados com o Controle de Conta de Usurio, uma nova arquitetura de autenticao. O Controle de Conta de Usurio aumenta a segurana exigindo confirmao manual de muitas funes administrativas para proteger contra softwares mal-intencionados que possam tentar obter ou usar privilgios administrativos.
Cumpra seus contratos de nvel de servio: O Windows Server Longhorn gil e oferece mais disponibilidade reduzindo tempos de interrupo potenciais. Reinicializaes reduzidas devido configurao e atualizaes, e subsistemas que podem ser ligados a quente permitem alteraes no sistema sem ter de desligar o servidor. Reinicializaes reduzidas da Virtualizao do Windows Server devido ao suporte a incluses a quente de recursos de processo, memria, rede e armazenamento. Active Directory reinicivel permite que voc realize manuteno nos Servios de Domnio do Active Directory (Active Directory Domain Services) sem a necessidade de deixar o servidor offline. Aumente o desempenho da rede com a Rede Escalonvel e AutoTuning de Rede.
17
Aumente a confiabilidade: O Windows Server Longhorn oferece aprimoramentos avanados de confiabilidade para reduzir a perda de acesso, trabalho, tempo, dados e controle. O Clustering Failover facilita configurar clusters de servidor ao mesmo tempo em que proporciona proteo e disponibilidade de seus dados e aplicaes. O geo-clustering ajuda a assegurar alta disponibilidade de sistema e aplicaes no caso de um desastre no site. O clustering de host virtualizado permite que mquinas virtuais efetuem o failover automaticamente de uma mquina fsica para outra no caso de falha fsica, e a Migrao em Tempo Real permitir mudar mquinas virtuais de uma mquina para outra sem nenhum tempo de inatividade. Melhorias de disponibilidade significam menos quedas ou travamentos e reinicializaes, permitindo que voc minimize a freqncia e impacto de interrupes para melhorar a produtividade e reduzir os custos de suporte.
18
19
20
21
gerenciamento, estamos proporcionando funcionalidade e recursos que permitem a nossos clientes reduzir significativamente custos operacionais, aumentar a utilizao do servidor e alcanar um ROI melhor atravs de solues de virtualizao de recursos plenos. Bob Muglia, Vice-Presidente Snior, Negcios de Servidor e Ferramentas, Microsoft A Virtualizao do Windows Server, como parte do Windows Server Longhorn, d um grande passo frente na aplicao de algumas das avanadas capacidades da virtualizao e em proporcionar aos clientes uma plataforma de virtualizao escalonvel, segura e altamente disponvel. Conforme as tecnologias de plataforma avanam, importante assegurar que o gerenciamento geral continue simplificado. O Gerenciador de Mquina Virtual do System Center Microsoft a aplicao de gerenciamento para centro de dados virtualizado oferece uma soluo de gerenciamento unificada e integrada como parte da famlia System Center e ajuda a baixar os custos na medida que o ambiente de TI se torna mais gil.
Benefcios da Virtualizao
Organizaes de TI hoje esto sob uma presso incrvel para fornecer mais valor a seus clientes comerciais e tipicamente com pouco ou nenhum aumento no oramento. Otimizar o uso de ativos fsicos de TI se torna imperativo medida que os centros de dados atingem sua capacidade de potncia e espao. A Microsoft reconhece que o problema se intensifica para empresas cujos servidores trabalham com utilizao muito baixa. Taxas de utilizao de servidor de menos de 5 por cento no so incomuns, e as taxas de utilizao de muitos clientes caem dentro da faixa de 10- a 15 por cento. Muitos desses desafios, compartilhados entre administradores de servidor e desenvolvedores, podem ser tratados com a ajuda das solues de virtualizao da Microsoft. A tecnologia de virtualizao de mquina usada para consolidar vrias mquinas fsicas em uma nica mquina fsica. A virtualizao tambm pode ser usada para re-hospedar ambientes de legado, especialmente conforme o hardware de gerao mais antiga se torna mais difcil e dispendioso para manter. E como o software separado do hardware, a virtualizao uma boa soluo para ambientes de recuperao de desastres, tambm. Como uma parte essencial de qualquer estratgia de consolidao de servidor, as solues de virtualizao da Microsoft aumentam a utilizao do hardware e permitem que as organizaes configurem e implantem rapidamente novos servidores com os seguintes importantes benefcios: Uso eficiente de recursos de hardware. O isolamento e gerenciamento de recursos de mquina virtual possibilitam a coexistncia de vrias cargas de trabalho em menos servidores, permitindo que as organizaes faam um uso mais eficiente de seus recursos de hardware. A
Guia do Revisor do Windows Server Longhorn Beta 3
22
Virtualizao do Windows Server, parte do Windows Server Longhorn e do Virtual Server 2005 R2 com Windows Server 2003, proporciona a maior interoperabilidade com infraestruturas existentes de armazenamento, rede e segurana. Com avanos em hardware de servidor com tecnologia de 64 bits, sistemas multiprocessados e de mltiplos ncleos, a virtualizao oferece uma maneira fcil de otimizar a utilizao de hardware. Produtividade e reatividade administrativas melhoradas. A Virtualizao do Windows Server possibilita a organizaes de TI melhorar sua produtividade administrativa e implantar rapidamente novos servidores para tratar das necessidades corporativas sempre em transformao. A integrao fcil com ferramentas de gerenciamento de servidor existentes, como o System Center Operations Manager e ferramentas sofisticadas como o Gerenciador de Mquina Virtual do System Center (SCVMM), facilita o gerenciamento de mquinas virtuais Windows. A capacidade de consolidar cargas de trabalho em um ambiente de hardware no virtual e um framework fsico e virtual integrado de gerenciamento de TI permite que administradores reduzam os custos operacionais e criem centros de dados mais geis. Soluo de virtualizao de servidor bem suportada. O Virtual Server 2005 R2 extensivamente testado e suportado pela Microsoft em conjunto com seus sistemas operacionais e aplicaes de servidor. Por isso o Virtual Server 2005 R2 uma soluo de virtualizao bem suportada tanto dentro da Microsoft como na comunidade de ISVs mais ampla. Com a Virtualizao do Windows Server como um componente integrante do Windows Server Longhorn e o Gerenciador de Mquina Virtual como parte da famlia System Center, voc pode ter certeza de que as futuras solues de virtualizao da Microsoft tambm sero extensivamente testadas e bem suportadas. O uso de um formato de disco rgido virtual comum (VHD) assegura a proteo do investimento para todas as mquinas virtuais criadas para o Servidor Virtual com um caminho transparente de migrao para a Virtualizao do Windows Server. Um produto-chave para a Iniciativa de Sistemas Dinmicos da Microsoft. Como parte da DSI, o esforo da Microsoft abrangendo toda a indstria para simplificar e automatizar dramaticamente como as empresas projetam, implantam e operam sistemas de TI para permitir sistemas dinmicos auto-gerenciados, a Microsoft est oferecendo s empresas ferramentas para ajud-las a utilizar de maneira mais flexvel seus recursos de hardware. O Virtual Server 2005 R2, a Virtualizao do Windows Server e o Gerenciador de Mquina Virtual so exemplos importantes de como a Microsoft est continuando a fornecer tecnologia que resulta em melhor utilizao de hardware de servidor e
Guia do Revisor do Windows Server Longhorn Beta 3
23
A Microsoft est fornecendo solues de ferramentas de desenvolvimento de aplicaes, aplicaes de servidor, sistemas operacionais e gerenciamento que proporcionam melhorias imediatas para tratar da complexidade no ambiente de TI dos clientes. Como parte das solues de virtualizao, os clientes vero melhorias na oferta atual de produtos para o Virtual Server 2005 R2; novos produtos avanados como o Gerenciador de Mquina Virtual do System Center que trataro de importantes desafios de gerenciamento; e a Virtualizao do Windows Server como parte do Windows Server Longhorn que fornecer uma plataforma melhorada de virtualizao com escalabilidade, desempenho e confiabilidade aumentados. Com a capacidade de hardware crescendo e recursos mais robustos de plataforma de virtualizao e gerenciamento, mais clientes podem se beneficiar dos recursos de consolidao, gerenciamento mais fcil e automao. A virtualizao a principal tecnologia para reduzir o custo e complexidade do gerenciamento de TI, e a Microsoft comprometeu recursos significativos para tornar a virtualizao mais amplamente acessvel para os clientes. As prximas sees enfocaro os principais produtos de virtualizao, tanto no nvel da plataforma como no de gerenciamento.
Cenrios de Uso
O Virtual Server 2005 R2 oferece eficincia de hardware melhorada oferecendo uma tima soluo para isolamento e gerenciamento de recursos, o que possibilita a coexistncia de mltiplas cargas de trabalho em menos servidores. O Virtual Server pode ser usado
Guia do Revisor do Windows Server Longhorn Beta 3
24
para melhorar a eficincia operacional na consolidao de infraestrutura, cargas de trabalho de servidor de aplicaes e em escritrios remotos, consolidando e re-hospedando aplicaes de legado, automatizando e consolidando ambientes de testes e de desenvolvimento de software, e reduzindo o impacto de desastres. Consolide infra-estrutura, cargas de trabalho de servidor de aplicaes e em escritrios remotos. O Virtual Server permite a consolidao de cargas de trabalho para ambientes de servio de infra-estrutura, de escritrios remotos, e recuperao de desastres, resultando em menos sistemas fsicos para memria de hardware reduzida. O Virtual Server 2005 R2 ideal para consolidao de servidor tanto no centro de dados como no escritrio remoto, permitindo s organizaes fazerem um uso mais eficiente de seus recursos de hardware. Ele permite que as organizaes de TI aumentem sua produtividade administrativa e implantem rapidamente novos servidores para tratar de necessidades comerciais e aumenta as taxas de utilizao de hardware para uma infraestrutura de TI otimizada. Consolide e automatize seu ambiente de teste e desenvolvimento de software. Clientes em todos os segmentos procuram maneiras de diminuir os custos e acelerar instalaes e atualizaes de aplicaes e infra-estrutura, ao mesmo tempo em que fornecem um nvel abrangente de garantia de qualidade. O Virtual Server permite que voc consolide sua farm de servidores de testes e desenvolvimento e automatize o aprovisionamento de mquinas virtuais, melhorando a utilizao de hardware e a flexibilidade operacional. Para desenvolvedores, o Virtual Server permite uma fcil implantao e testes de uma aplicao de servidor distribuda usando mltiplas mquinas virtuais em um servidor fsico. Re-hospede aplicaes de legado. O Virtual Server permite a migrao de sistemas operacionais de legado (Windows NT 4.0 Server e Windows 2000 Server) e suas aplicaes personalizadas associadas de hardwares mais antigos para servidores novos executando o Windows Server 2003. O Virtual Server 2005 R2 oferece o melhor dos dois mundos: compatibilidade de aplicao com ambientes de legado, ao mesmo tempo em que tira proveito da confiabilidade, gerenciamento e recursos de segurana do Windows Server 2003 sendo executado no hardware mais recente. O Virtual Server 2005 R2 oferece essa capacidade permitindo que os clientes executem aplicaes de legado em seu ambiente nativo de software em mquinas virtuais, sem reescrever a lgica da aplicao, reconfigurar redes ou treinar novamente os usurios finais. Isso d aos clientes tempo para primeiro atualizar sistemas mais antigos da infraestrutura, depois para atualizar ou reescrever aplicaes fora de servio em um cronograma que atenda melhor suas
Guia do Revisor do Windows Server Longhorn Beta 3
25
necessidades comerciais. O Virtual Server 2005 R2 possibilita uma melhor escolha do cliente para migrao de aplicaes de legado com excepcional compatibilidade. Solues de recuperao de desastre. O Virtual Server 2005 R2 pode ser usado como parte de um plano de recuperao de desastres que requeira portabilidade e flexibilidade de aplicao ao longo de plataformas de hardware. Consolidar servidores fsicos em poucas mquinas fsicas executando mquinas virtuais diminui o nmero de ativos fsicos que deve estar disponveis em um local de recuperao de desastre. No caso de recuperao, mquinas virtuais podem ser hospedadas em qualquer local, em mquinas host diferentes daquelas afetadas pelo desastre, acelerando os tempos d recuperao e maximizando a flexibilidade da organizao.
Principais Recursos
A virtualizao facilita ampla compatibilidade de dispositivos e suporte completo para ambientes de servidor Windows. Isolamento de mquina virtual. O isolamento de mquina virtual garante que se uma mquina virtual cair ou travar, no tenha impacto sobre nenhuma outra mquina virtual ou sobre o sistema host. A compatibilidade mxima da aplicao alcanada atravs do isolamento. Isso permite que os clientes potencializem ainda mais suas infra-estruturas existentes de armazenamento, rede e segurana. Ampla compatibilidade de dispositivos. O Virtual Server executado no Windows Server 2003, que suporta a maioria dos dispositivos do Catlogo do Windows Server, oferecendo compatibilidade com uma ampla gama de hardwares de sistemas de host. VMM multithread. O Monitor de Mquina Virtual do Virtual Server fornece a infra-estrutura de software para criar, gerenciar e interagir com mquinas virtuais em hardware multiprocessado. Ampla compatibilidade com sistema operacional x86 guest. O Virtual Server pode executar todos os principais
26
sistemas operacionais x86 no ambiente guest da mquina virtual. A Microsoft tambm suportar distribuies especficas de Linux sendo executadas no ambiente da mquina virtual. Clustering iSCSI. Cenrios flexveis de clustering proporcionam alta disponibilidade para ambientes crticos ao mesmo tempo em que melhoram os processos de atualizao e manuteno de hardware. O clustering de iSCSI entre hosts fsicos do Virtual Server 2005 R2 oferece um meio eficaz em termos de custo de aumentar a disponibilidade do servidor. Suporte a x64. O Virtual Server 2005 R2 executado nos seguintes sistemas operacionais host de 64 bits: Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition Windows XP Professional x64 Edition, proporcionando desempenho e maior espao de memria. API de COM abrangente. Isso permite completo controle em script de ambientes de mquina virtual. O Virtual Server suporta uma Interface de Programao de Aplicaes (API) de Modelo de Objeto Componente (COM) que contm 42 interfaces e centenas de chamadas, permitindo que scripts controlem quase todos os aspectos do produto. Discos Rgidos Virtuais (VHDs - Virtual Hard Disks). O Virtual Server encapsula mquinas virtuais e, VHDs portteis, permitindo uma configurao, verso e implantao flexveis. Boot PXE. Esta placa de rede emulada no Virtual Server 2005 R2 agora suporta boot de Ambiente de Execuo PrInicializao (PXE - Pre-Boot Execution Environment). Esse boot de rede permite que os clientes aprovisionem suas mquinas virtuais de todas as maneiras que fazem com os servidores fsicos. Integrao com o Active Directory. As mquinas virtuais no Virtual Server funcionam como se esperaria de uma mquina fsica, oferecendo integrao completa com o Active Directory. Esse nvel de integrao permite administrao delegada e acesso de convidado seguro e autenticado. Microsoft Operations Manager 2005 Management Pack for Virtual Server. Um pacote de gerenciamento desenvolvido especificamente para o Virtual Server possibilita recursos avanados de gerenciamento dentro de mquinas virtuais.
27
servidor fsico. Ela utiliza as poderosas melhorias de processadores e oferece aos clientes uma plataforma de virtualizao escalonvel, confivel, de segurana aprimorada, e altamente disponvel.
Cenrios de Uso
A Virtualizao do Windows Server integrada como a funo de virtualizao no Windows Server Longhorn e oferece um ambiente virtual mais dinmico para consolidar cargas de trabalho. Ela fornece uma plataforma de virtualizao que permite eficincia operacional aprimorada para consolidao de cargas de trabalho, gerenciamento de continuidade de negcios, automatizar e consolidar ambientes de testes de software, e criar um centro de dados dinmico. Consolidao de servidor de produo. Organizaes procuram servidores de produo em seus centros de dados e encontram nveis de utilizao geral de hardware entre 5 e 15 por cento da capacidade do servidor. Alm disso, limitaes fsicas como espao e potncia as esto impedindo de expandir seus centros de dados. Consolidar vrios servidores de produo com a Virtualizao do Windows Server pode ajudar as empresas a se beneficiarem da utilizao aumentada do hardware e do custo total de propriedade geral reduzido. Gerenciamento de continuidade de negcios. Os administradores de TI esto sempre tentando encontrar maneiras de reduzir ou eliminar o tempo de inatividade de seu ambiente. A Virtualizao do Windows Server oferecer recursos para recuperao eficiente de desastres para minimizar o tempo de inatividade. O ambiente de virtualizao robusto e flexvel criado pela Virtualizao do Windows Server minimiza o impacto de tempos de inatividade programados e no programados. Teste e desenvolvimento de software. Uma das maiores reas onde a tecnologia de virtualizao continuar sendo relevante a de teste e desenvolvimento de software para criar ambientes automatizados e consolidados que sejam geis o suficiente para acomodar as exigncias em constante mudana. A Virtualizao do Windows Server ajuda a minimizar o hardware de teste, melhora o gerenciamento de ciclo de vida e melhora a cobertura dos testes. Centro de dados dinmico. O rico conjunto de recursos da Virtualizao do Windows Server combinado com os novos recursos de gerenciamento estendidos pelo Gerenciador de Mquina Virtual permite que as organizaes criem uma infra-estrutura mais gil. Os administradores sero capazes de adicionar recursos dinamicamente a mquinas virtuais e mov-las atravs de mquinas fsicas de maneira transparente sem causar impacto nos usurios.
Guia do Revisor do Windows Server Longhorn Beta 3
28
Principais Recursos
H vrios novos recursos na Virtualizao do Windows Server que ajudam a criar uma plataforma de virtualizao escalonvel, segura e altamente disponvel como parte do Windows Server Longhorn. Os seguintes so alguns dos principais componentes e recursos da Virtualizao do Windows Server. Monitor Windows. uma camada finssima de software que utiliza o suporte a driver e a tecnologia de virtualizao assistida por hardware do Windows Server. A base de cdigo mnimo sem nenhum cdigo ou driver de terceiros ajuda a criar uma base mais segura e robusta para solues de virtualizao. Gerenciamento dinmico de recursos. A Virtualizao do Windows Server oferece a capacidade de incluir a quente recursos como CPU, memria, redes e armazenamento s mquinas virtuais sem tempo de inatividade. Combinado com os recursos de conexo a quente do Windows Server Longhorn, isso permite que os administradores gerenciem seus recursos de hardware sem impacto sobre seus compromissos de SLA. Suporte a guest (convidado) de 64 bits. Um novo recurso importante da plataforma de Virtualizao do Windows Server guests de 64 bits. Isso permite que organizaes virtualizem Windows Server Virtualization: User Interface and multi-proc support mais aplicaes que so exigentes em termos de memria e se beneficiem do pool de memria aumentado acessvel em um ambiente de 64 bits. Suporte a multiprocessador guest (convidado). A Virtualizao do Windows Server agora oferece a capacidade de alocar mltiplos recursos de CPU a uma nica mquina virtual e permite a virtualizao de aplicaes multithread. Este recurso, combinado com o suporte a guests de 64 bits, torna a Virtualizao do Windows Server uma plataforma escalonvel para virtualizao.
29
Migrao em tempo real de mquinas virtuais. A Virtualizao do Windows Server proporcionar a capacidade de mover uma mquina virtual de uma mquina fsica para outra com um mnimo de tempo de inatividade. Esta capacidade, somada ao clustering de host de mquinas fsicas, proporciona alta disponibilidade e flexibilidade para se alcanar um centro de dados gil e dinmico. Nova arquitetura de virtualizao de dispositivos. A Virtualizao do Windows Server oferece uma nova arquitetura virtualizada de E/S. Isso d aos clientes um alto desempenho e baixo overhead. Manipulao offline de VHD. A Virtualizao do Windows Server oferece aos administradores a capacidade de acessar em segurana arquivos dento de um VHD sem ter de criar uma instncia de mquina virtual. Isso d aos administradores acesso granular a VHDs e a capacidade de realizar algumas tarefas de gerenciamento offline.
Cenrios de Uso
O System Center Virtual Machine Manager oferece suporte simples e completo para consolidar hardware em infra-estrutura virtual e otimizar a utilizao. Ele tambm proporciona rpido aprovisionamento de mquinas virtuais a partir de mquinas fsicas ou modelos na biblioteca de imagens ou por usurios finais. Consolidao de servidor de produo. medida que as organizaes buscam consolidar seus servidores de produo, o System Center Virtual Machine Manager oferece uma maneira de transferir o conhecimento sobre o sistema e o ambiente atravs do processo de virtualizao e ajuda a manter a continuidade do conhecimento. Pela consolidao de vrios servidores de produo com o Virtual Server 2005 R2 ou Virtualizao do Windows Server, as empresas reduzem o
Guia do Revisor do Windows Server Longhorn Beta 3
30
custo total de propriedade geral e ainda mantm um framework unificado de gerenciamento em seus ambientes fsico e virtual. Aumento da agilidade operacional. Empresas em todos os segmentos procuram maneiras de aumentar a eficincia atravs de seus ambientes de TI e aumentar a agilidade operacional. O System Center Virtual Machine Manager oferece um mecanismo para permitir funcionalidade como rpido aprovisionamento de servidor, rpida recuperao, e capacidade de migrao escalonvel para tornar toda a infra-estrutura virtual robusta e fcil de gerenciar. Gerenciamento integrado. O System Center Virtual Machine Manager ajuda a criar uma infra-estrutura de gerenciamento centralizado de mquina virtual em mltiplos sistemas host do Virtual Server 2005 R2 e de hosts da Virtualizao do Windows Server. Organizaes esto adotando a virtualizao nas reas de produo, teste e desenvolvimento, e conforme os recursos de gerenciamento se sofisticam, ela ajuda os administradores a implantar e gerenciar ambientes virtuais e fsicos em uma abordagem integrada.
Principais Recursos
O System Center Virtual Machine Manager se concentra em requisitos nicos de mquinas virtuais e projetado para permitir utilizao aumentada de servidor fsico, gerenciamento centralizado de infra-estrutura de mquina virtual e rpido aprovisionamento de novas mquinas virtuais. Os seguintes so alguns dos recursos principais do System Center Virtual Machine Manager. Identificao de candidato a consolidao. O primeiro passo na migrao de um centro de dados fsico com um modelo de uma carga de trabalho por servidor identificar as cargas de trabalho fsicas apropriadas para consolidao no hardware virtual. Os fatores de deciso para determinar os candidatos adequados se baseiam em vrios fatores, como desempenho histrico, caractersticas de pico de carga e padres de acesso. O System Center Virtual Machine Manager utiliza os dados histricos de desempenho existentes no banco de dados do System Center Operations Manager para listar os candidatos a consolidao em ordem de classificao.
31
Disposio inteligente. O ato de designar e ativar uma determinada carga de trabalho virtual em um servidor de host virtual fsico citado como disposio. A disposio est no mago de maximizar a utilizao de ativos fsicos. O System Center Virtual Machine Virtual Machine Manager: Centralized management view Manager traz uma abordagem profunda e holstica disposio e combina o conhecimento de dados histricos de desempenho da carga de trabalho e as informaes sobre o sistema de host virtual. Regras comerciais e modelos associados tambm so utilizadas pelo System Center Virtual Machine Manager para determinar as opes de disposio. Aprovisionamento de host. O System Center Virtual Machine Manager identifica os hosts virtuais fsicos na empresa atravs de descoberta integrada com o Active Directory. Isso ajuda as organizaes a escalar facilmente o gerenciamento de mquinas e hosts virtuais no centro de dados e escritrios remotos. Biblioteca central. O System Center Virtual Machine Manager oferece um repositrio central para todos os blocos de construo para uma mquina virtual como VHDs, mquinas virtuais offline, modelos e at mesmo imagens ISO. Cada item da biblioteca possui modelos ou ricos metadados que permitem um gerenciamento mais controlado dos objetos. O modelo um novo objeto que permite ao administrador criar configuraes de mquina virtual aprovadas que servem como um padro ouro para subseqentes implantaes de mquinas virtuais. Aprovisionamento de auto-atendimento. A infra-estrutura virtual comumente usada em ambientes de teste e desenvolvimento em que h aprovisionamento coerente e desmontagem de mquinas virtuais para fins de teste. Com o System Center Virtual Machine Manager, os administradores podem estender seletivamente os recursos de autoaprovisionamento a grupos de usurios e ser capazes de
Guia do Revisor do Windows Server Longhorn Beta 3
32
definir cotas. A ferramenta de aprovisionamento automtico gerencia as mquinas virtuais atravs de seus ciclos de vida, incluindo desmontagens.
33
Para saber mais, consulte 7.05 Ncleo do Servidor (Server Core) na pgina 242.
34
35
36
Voc tambm pode se interessar na nova funcionalidade bsica nos Servios de Terminal se quiser dar suporte a qualquer dos seguintes cenrios: Fazer usurios se conectarem a um servidor de terminal e fazer o computador remoto se parecer mais com a experincia da rea de trabalho Windows Vista local do usurio. Garantir que os dados de monitor, teclado e mouse passados atravs de uma conexo remota no sejam afetados de maneira adversa por aes que exijam muita largura de banda, como grandes tarefas de impresso. Permitir que usurios com uma conta de domnio efetuem o logon uma vez, usando uma senha ou smart card, e ento obtenham acesso a um servidor de terminal sem a necessidade de apresentar as credenciais novamente.
Para tirar proveito da nova funcionalidade bsica de Servios de Terminal, voc vai precisar usar o seguinte: Conexo de rea de trabalho Remota 6.0 Windows Server Longhorn configurado como servidor de terminal
37
Redirecionamento de Dispositivos Plug and Play para Media Players e Cmeras Digitais
No Windows Server Longhorn, o redirecionamento foi aperfeioado e expandido. Agora voc pode redirecionar dispositivos portteis baseados em Windows, especificamente media players baseados no Protocolo MTP (Media Transfer Protocol) e cmeras digitais baseadas no Protocolo de Transferncia de Imagem (PTP - Picture Transfer Protocol). Para redirecionar dispositivos Plug and Play 1. Abra a Conexo de rea de trabalho Remota. Para abrir a Conexo de rea de trabalho Remota no Microsoft Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Resources, clique em More. 4. Em Local devices and resources, expanda Supported Plug and Play devices. Os dispositivos Plug and Play atualmente ligados e suportados para redirecionamento sero exibidos nesta lista. Se o dispositivo que voc ligou no aparecer na lista, ele no suportado atualmente para redirecionamento. Verifique o manual do dispositivo para ver se ele suporta o MTP ou PTP. 5. Escolha o dispositivo que deseja redirecionar assinalando a caixa de seleo prxima ao nome do dispositivo. 6. Voc tambm pode redirecionar dispositivos que ainda no foram ligados, mas que sero posteriormente quando uma sesso a um computador estiver ativa. Para tornar os dispositivos Plug and Play que voc ligar mais tarde disponveis para redirecionamento, assinale a caixa de seleo Devices that I plug in later.
Guia do Revisor do Windows Server Longhorn Beta 3
38
Nota Voc tambm pode redirecionar unidades de disco que sero conectadas depois de uma sesso para um computador remoto que esteja ativo. Para tornar uma unidade de disco a que voc se conectar mais tarde disponvel para redirecionamento, expanda Drives, e em seguida assinale a caixa de seleo Drives that I connect to later. 7. Clique em OK, e conecte-se ao computador remoto. O arquivo (.rdp) do Protocolo de rea de trabalho Remota (Remote Desktop Protocol) criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivo Plug and Play. Para mais informaes sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o Windows Server Longhorn TS RemoteApp e o TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609). Quando a sesso para o computador remoto lanada, voc deve ver o dispositivo Plug and Play que redirecionado ser instalado automaticamente no computador remoto. Notificaes do Plug and Play aparecero na barra de tarefas no computador remoto. Se voc tiver assinalado a caixa de seleo Drives that I connect to later na Conexo de rea de trabalho Remota (Remote Desktop Connection), deve ver o dispositivo Plug and Play ser instalado no computador remoto quando lig-lo em seu computador local enquanto a sesso para o computador remoto estiver ativa. Depois que o dispositivo Plug and Play instalado no computador remoto, ele fica disponvel para uso em sua sesso com o computador remoto. Por exemplo, se voc redirecionar um dispositivo porttil baseado em Windows como uma cmera digital, o dispositivo pode ser acessado diretamente a partir de uma aplicao como o Assistente de Cmera e Scanner no computador remoto. O redirecionamento de dispositivo Plug and Play no suportado em conexes em cascata de servidor de terminal. Por exemplo, se voc tiver um dispositivo Plug and Play ligado a seu computador cliente local, pode redirecionar e usar esse dispositivo quando se conectar a um servidor de terminal (Server1, por exemplo). Se, de dentro de sua sesso remota no Server1, voc ento se conectar a outro servidor de terminal (Server2, por exemplo), no ser capaz de redirecionar e usar o dispositivo Plug and Play em sua sesso remota com o Server2. Voc pode controlar o redirecionamento de dispositivos Plug and Play usando qualquer das seguintes configuraes de Diretiva de Grupo:
39
Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definio de diretiva de Do not allow supported Plug and Play device redirection Computer Configuration\Administrative Templates\System\Device Installation\ definio de diretiva de Device Installation Restrictions
Voc tambm pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc).
40
Redirecionador de Porta UserMode de Servios de Terminal. Para reiniciar o servio, siga esses passos: a. Abra o snap-in Servios. Para abri-lo, clique em Start, aponte para Administrative Tools, e ento clique em Services. b. Na caixa de dilogo Services,na coluna Name, clique com o boto direito em Terminal Services UserMode Port Redirector, e em seguida clique em Restart. Nota Reinicie o Redirecionador de Porta UserMode de Servios de Terminal (Terminal Services UserMode Port Redirector) somente depois de ter instalado os objetos de servio do servidor ou os arquivos XML de configurao para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal. Se voc instalar posteriormente um novo objeto de servio do servidor ou arquivo XML de configurao em seu servidor de terminal para um dispositivo Microsoft POS for .NET, precisar reiniciar o servio Redirecionador de Porta UserMode de Servios de Terminal (Terminal Services UserMode Port Redirector).
Para mais informaes sobre as configuraes de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Nota
Guia do Revisor do Windows Server Longhorn Beta 3
41
O arquivo .rdp criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivos do Microsoft POS for .NET. Para mais informaes sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o TechCenter do Windows Server Longhorn TS RemoteApp e o TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).
Voc tambm pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc).
42
o recurso Experincia Desktop e as configuraes de de dados de exibio so projetados para aumentar a do usurio final quando se conecta remotamente a um terminal do Windows Server Longhorn.
Abrangncia do Monitor
A abrangncia de monitores permite que voc exiba sua sesso de rea de trabalho remota atravs de vrios monitores. Os monitores usados para a abrangncia de monitores devem satisfazer os seguintes requisitos: Todos os monitores devem usar a mesma resoluo. Por exemplo, dois monitores usando resoluo 1024x768 podem ser
Guia do Revisor do Windows Server Longhorn Beta 3
43
abrangidos. Mas um monitor em 1024x768 e outro em 800x600 no podem ser abrangidos. Todos os monitores devem estar alinhados horizontalmente (isto , lado a lado). Atualmente no h suporte para abranger mltiplos monitores verticalmente no sistema cliente. A resoluo total ao longo de todos os monitores no pode exceder 4096x2048.
Voc pode ativar a abrangncia de monitores em um arquivo .rdp ou a partir de um prompt de comando. Para ativar a abrangncia de monitores em um arquivo .rdp, faa o seguinte: Abra o arquivo Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configuraes: Span:i:<value> o o Se <value> = 0, a abrangncia de monitores est desabilitada. Se <value> = 1, a abrangncia de monitores est ativada.
Nota Para mais informaes sobre as configuraes de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Para ativar a abrangncia de monitores a partir de um prompt de comando, faa o seguinte: No prompt de comando, digite o seguinte comando, e em seguida pressione ENTER. mstsc.exe /span
Experincia Desktop
O software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0) reproduz a rea de trabalho que existe no computador remoto no computador cliente do usurio. Para fazer o computador remoto se parecer com a Experincia Desktop do Windows Vista local do usurio, voc pode instalar o recurso de Experincia Desktop em seu servidor de terminal do Windows Server Longhorn. A Experincia Desktop instala recursos do Windows Vista, como o Windows Media Player 11, temas de rea de trabalho, e gerenciamento de fotos. Para implementar o Microsoft POS for .NET 1.1 em seu servidor de terminal, faa o seguinte:
Guia do Revisor do Windows Server Longhorn Beta 3
44
1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na pgina Select Features, assinale a caixa de seleo Desktop Experience, e em seguida clique em Next. 4. Na pgina Confirm Installation Options, certifique-se de que o recurso Experincia Desktop ser instalado, e em seguida clique em Install. 5. Na pgina Installation Results, voc instrudo a reiniciar o servidor para concluir o processo de instalao. Clique em Close, e em seguida clique em Yes para reiniciar o servidor. 6. Depois que o servidor reiniciar, confirme que a Experincia Desktop est instalada. a. Inicie o Gerenciador de Servidor. b. Em Features Summary, confirme que a Experincia Desktop est listada como instalada.
45
trabalho remota com um servidor de terminal do Windows Server Longhorn, o computador cliente do Windows Vista deve ter hardware instalado capaz de suportar o Windows Aero. Contudo, o servidor de terminal Windows Server Longhorn no precisa ter hardware instalado capaz de suportar o Windows Aero. Para configurar a composio de rea de trabalho para conexes de estaes de trabalho remotas em seu servidor de terminal, faa o seguinte: 1. Instale o recurso Experincia Desktop. 2. Configure o tema: a. Iniciando o servio de Temas b. Definindo o tema em Windows Vista 3. Ajuste as configuraes de: a. Cor e Aparncia das janelas b. Configuraes de Exibio c. Facilidade de Acesso d. Mxima Profundidade de Cor Para iniciar o servio de Temas em seu servidor de terminal, faa o seguinte: 1. Cliquem em Start, aponte para Administrative Tools, e em seguida clique em Services. 2. No painel de Services, clique com o boto direito em Themes, e em seguida clique em Properties. 3. Na guia General, mude o Startup type para Automatic, e em seguida clique em Apply. 4. Em Service status, clique em Start para iniciar o servio de Temas, e em seguida clique em OK. Para definir o tema em Windows Vista em seu servidor de terminal, faa o seguinte: 1. Clique em Start, clique em Control Panel, e em seguida clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida cliquem em Theme.
46
3. Na guia Themes, altere o Theme for Windows Vista, e em seguida clique em OK. O sistema operacional determinar se o computador possui o hardware necessrio para suportar e exibir os recursos do tema do Windows Vista. Mesmo que o hardware no servidor de terminal Windows Server Longhorn no suporte o tema do Windows Vista, ele ser exibido na conexo de rea de trabalho remota se o hardware do computador cliente o suportar.
7. Em Explore all settings, clique em Make it easier to focus on tasks. 8. Em Adjust time limits and flashing visuals, apague a marca na caixa de seleo Turn off all unnecessary animations (when possible). 9. Clique em Save. Alm disso, o servidor de terminal deve ser configurado para suportar uma profundidade mxima de cor de 323 bits por pixel
Guia do Revisor do Windows Server Longhorn Beta 3
47
(bpp) para conexes remotas. A profundidade mxima de cor pode ser configurada usando-se um dos mtodos a seguir: Definindo a Limit Maximum Color Depth na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc) Ativando Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Remote Session Environment\Limit maximum color depth como a definio de diretiva
Note que a definio de Diretiva de Grupo ter prioridade sobre a definio na ferramenta de Configurao de Servios de Terminal.
Configurao de Cliente
Para tornar a composio de rea de trabalho disponvel para uma conexo de rea de trabalho remota, siga este procedimento. Para tornar uma composio de rea de trabalho disponvel, faa o seguinte: 1. Abra a Conexo de rea de trabalho Remota (Remote Desktop Connection). Para abrir a Conexo de rea de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleo Desktop composition, e assegure-se de que a caixa de seleo Themes esteja assinalada. 4. Configure quaisquer configuraes restantes, e em seguida clique em Connect. Quando voc permite a composio de rea de trabalho, est especificando que as configuraes locais no computador cliente do Windows Vista ajudaro a determinar a experincia do usurio na conexo de rea de trabalho remota. Note que ao permitir a composio de rea de trabalho, voc no muda as configuraes do servidor de terminal do Windows Server Longhorn. Como o Windows Aero requer e usa mais recursos de hardware, voc precisar determinar que impacto sobre a escalabilidade isso ter em quantas conexes simultneas de estaes de trabalho remotas que o seu servidor de terminal Windows Server Longhorn pode suportar.
Suavizao de Fonte
O Windows Server Longhorn suporta ClearType, que uma tecnologia para exibir fintes de computador de modo que elas
Guia do Revisor do Windows Server Longhorn Beta 3
48
apaream claras e suaves, especialmente quando se usa um monitor de LCD. Um servidor de terminal Windows Server Longhorn pode ser configurado para oferecer funcionalidade ClearType quando um computador cliente se conecta a um servidor de terminal Windows Server Longhorn usando Conexo de rea de trabalho Remota. Esta funcionalidade chamada de suavizao de fonte. A suavizao de fonte est disponvel se o computador cliente estiver executando algum dos seguintes: Windows Vista Windows Server 2003 com SP1 e software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0) Windows XP com SP2 e software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Por padro, o ClearType est ativado no Windows Server Longhorn. Para garantir que o ClearType esteja ativado no servidor de terminal Windows Server Longhorn, siga este procedimento. Para garantir que o ClearType esteja ativado, faa o seguinte:
1. Clique em Start, clique em Control Panel, e ento clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida clique em Cor e Window Color and Appearance. 3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleo Use the following method to smooth edges of screen fonts, selecione ClearType, e em seguida clique em OK. Para tornar a suavizao de fontes disponvel para uma conexo de rea de trabalho remota, siga este procedimento no computador cliente. Para tornar a suavizao de fontes disponvel, faa o seguinte: 1. Abra a Remote Desktop Connection. Para abrir a Conexo de rea de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleo Font smoothing.
Guia do Revisor do Windows Server Longhorn Beta 3
49
4. Configure quaisquer configuraes de conexo restantes, e em seguida clique em Connect. Quando voc permite a suavizao de fonte, est especificando que as configuraes locais no computador cliente ajudaro a determinar a experincia do usurio na conexo de rea de trabalho remota. Note que ao permitir a suavizao de fonte, voc no muda as configuraes do servidor de terminal do Windows Server Longhorn. Usar a suavizao de fonte em uma conexo de rea de trabalho remota aumenta a quantidade de largura de banda usada entre o computador cliente e o servidor de terminal Windows Server Longhorn.
Se esses registros no aparecerem, voc pode adicion-los. Para fazer isso, clique com o boto direito do mouse em TermDD, aponte para Novo (New), e em seguida clique em DWORD (32-bit) Value. Voc pode desabilitar a priorizao dos dados de exibio definindo o valor de FlowControlDisable em 1. Se a priorizao dos dados de exibio estiver desabilitada, todas as solicitaes so tratadas em uma base primeiro a entrar, primeiro a sair. O valor padro para FlowControlDisable 0. Voc pode estabelecer a prioridade relativa de largura de banda para exibio (e dados de entrada) definindo o valor de FlowControlDisplayBandwidth. O valor padro 70; o valor mximo permitido 255.
Guia do Revisor do Windows Server Longhorn Beta 3
50
Voc pode estabelecer a prioridade relativa de largura de banda para outros canais virtuais (como rea de transferncia, transferncias de arquivos ou tarefas de impresso) definindo o valor de FlowControlChannelBandwidth. O valor padro 30; o valor mximo permitido 255. A proporo de largura de banda para priorizao de dados de exibio se baseia nos valores de FlowControlDisplayBandwidth e FlowControlChannelBandwidth. Por exemplo, se FlowControlDisplayBandwidth estiver definido em 150 e FlowControlChannelBandwidth em 50, a proporo 150:50, assim a exibio e dados de entrada tero alocados 75 por cento da largura de banda. O valor FlowControlChargePostCompression determina se o controle de fluxo controlar a alocao de largura de banda com base em bytes de pr-compresso ou de ps-compresso. O valor padro 0, o que significa que o clculo ser feito em bytes pr-compresso. Se voc fizer alguma alterao nos valores do registro, precisar reiniciar o servidor de terminal para que as alteraes tenham efeito.
Logon nico
O logon nico um mtodo de autenticao que permite a um usurio com uma conta de domnio efetuar o logon uma nica vez, usando uma senha ou smart card, e ento obter acesso a servidores remotos sem precisar apresentar suas credenciais novamente. Os principais cenrios para o logon nico so esses: Implantao de aplicaes de gesto de negcios (LOB) Implantao centralizada de aplicao
Devido a custos mais baixos de manuteno, muitas companhias preferem instalar suas aplicaes de gesto de negcios em um servidor de terminal e tornar essas aplicaes disponveis atravs do RemoteApps ou da rea de trabalho Remota. O logon nico possibilita dar aos usurios uma melhor experincia eliminando a necessidade de eles digitarem suas credenciais sempre que iniciarem uma sesso remota.
51
registrar tanto no servidor de terminal como no cliente Windows Vista. Seu computador cliente e servidor de terminal devem ser ligados a um domnio.
Para configurar a autenticao no servidor de terminal, faa o seguinte: 1. Abra a Configurao de Servios de Terminal (Terminal Services Configuration). Para abrir a Configurao de Servios de Terminal, clique em Start, clique em Run, digite tsconfig.msc e em seguida clique em OK. 2. Em Connections, clique com o boto direito do mouse em RDPTcp, e em seguida clique em Properties. 3. Na caixa de dilogo Properties, na guia General, certifique-se de que o valor da Security Layer seja Negotiate ou SSL (TLS 1.0), e em seguida clique em OK. Para permitir o uso de credencial padro para logon nico, faa o seguinte: 1. No computador baseado em Windows Vista, abra o Editor Objeto de Diretiva de Grupo (Group Policy Object Editor). Para abrir o Editor Objeto de Diretiva de Grupo, clique em Start, e na caixa Start Search digite gpedit.msc e em seguida pressione ENTER. 2. No painel esquerda, expanda o seguinte: Computer Configuration, Administrative Templates, System, e em seguida clique em Credentials Delegation. 3. D um clique duplo em Allow Delegating Default Credentials. 4. Na caixa de dilogo Properties, na guia Setting, clique em Enabled, e ento clique em Show. 5. Na caixa de dilogo Start Contents, clique em Add para adicionar servidores lista.
52
6. Na caixa de dilogo Add Item, na caixa Enter the item to be added, digite o prefixo termsrv/ seguido pelo nome do servidor de terminal, por exemplo, termsrv/Server1, e ento clique em OK.
53
54
em Usurios e Grupos Locais no servidor do TS Gateway, grupos existentes nos Servios de Domnio do Active Directory, ou grupos gerenciados novos ou existentes do TS Gateway. Grupos gerenciados pelo TS Gateway so aqueles que voc configura usando o Gerenciador do TS Gateway. o o o o Um ou mais recursos da rede aos quais os usurios podem se conectar Se computadores clientes tm de ser membros de domnios do Active Directory Se o redirecionamento de dispositivo ou disco permitido Se clientes precisam usar autenticao de smart card ou de senha, ou se podem usar qualquer dos mtodos
Voc pode configurar servidores de TS Gateway e clientes de Servios de Terminal para usar a NAP para melhorar ainda mais a segurana. A NAP uma tecnologia de criao, imposio e correo de diretiva de integridade que est includa no Windows Vista e Windows Server Longhorn. Com a NAP, administradores de sistema podem impor requisitos de integridade, que podem incluir requisitos de software, de atualizaes de segurana, configuraes de computador exigidas, e outras configuraes. Para informaes sobre como configurar o TS Gateway para usar a NAP para imposio de diretiva de integridade para clientes de Servios de Terminal que se conectam a servidores do TS Gateway, consulte o Guia Passo a Passo de Instalao do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
Voc pode usar o servidor de TS Gateway com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurana. Neste cenrio, voc pode hospedar servidores de TS Gateway em uma rede privada em vez de em uma rede de permetro (tambm conhecida como DMZ, zona desmilitarizada, e sub-rede de borda), e hospedar o ISA Server na rede de permetro. A conexo SSL entre o cliente de Servios de Terminal e o ISA Server pode ser encerrada no ISA Server, que encara a Internet. Para informaes sobre como configurar o ISA Server como um dispositivo de encerramento para cenrios de servidor do TS Gateway, consulte o Guia Passo a Passo de Instalao do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
O console do snap-in Gerenciador de TS Gateway oferece ferramentas para ajudar voc a monitorar o status, de conexo, integridade e eventos do TS Gateway. Usando o Gerenciador do TS Gateway, voc pode especificar eventos
55
(como tentativas fracassadas de conexo com o servidor do TS Gateway) que quer monitorar para fins de auditoria. Se sua organizao torna aplicaes baseadas em Servios de Terminal e computadores que executam rea de trabalho Remota disponveis a usurios de fora do permetro de sua rede, o TS Gateway pode simplificar a administrao da rede e reduzir a exposio a riscos de segurana. O TS Gateway tambm pode facilitar as coisas para os usurios pois eles no precisam configurar conexes de VPN e podem acessar servidores de nextref_ts_gateway a partir de sites que podem, de outra forma, bloquear conexes de sada de RDP ou VPN. Voc deve analisar esta seo e a documentao adicional de suporte sobre o TS Gateway se estiver em qualquer dos seguintes grupos: Administradores de TI, planejadores e analistas que estejam avaliando acesso remoto e produtos de soluo de e mvel Arquitetos de TI corporativa e designers para organizaes early adopters Arquitetos de segurana responsveis pela implementao de computao confivel Profissionais de TI responsveis por servidores de terminal ou acesso remoto a estaes de trabalho
Para que o TS Gateway funcione corretamente, voc deve satisfazer esses pr-requisitos: Voc deve ter um servidor com o Windows Server Longhorn instalado. Deve ser membro do grupo de Administradores no computador que quer configurar como um servidor de TS Gateway. Os seguintes servios e recursos de funo devem estar instalados e em execuo para que o TS Gateway funcione: o o Chamada de procedimento remoto (RPC - remote procedure call) sobre servio de Proxy HTTP Web Server (IIS) (Internet Information Services 7.0). (O IIS 7.0 deve estar instalado e em execuo para que o servio de RPC sobre Proxy HTTP funcione.) Servio de Servidor de Diretiva de Rede (NPS Network Policy Server). Se um servidor de NPS anteriormente conhecido como servidor de Servio de Usurio de Discagem de Autenticao Remota (RADIUS Remote Authentication Dial-In User Service) j estiver implantado para cenrios de acesso remoto como VPN e rede discada, voc tambm pode usar o servidor de NPS existente para cenrio de TS Gateway. Usando o NPS para TS Gateway, voc pode centralizar o armazenamento, gerenciamento e validao das
56
diretivas de autorizao de conexo de Servios de Terminal (TS CAPs). Quando voc usa o Gerenciador de Servidor para instalar o servio de funo de TS Gateway, esses servios e recursos de funo adicionais so instalados automaticamente. Voc deve obter um certificado de SSL para o servidor de TS Gateway se j no tiver um. Por padro, no servidor de TS Gateway, o servio de Balanceamento de Carga RPC/HTTP e o servio de IIS usam TLS 1.0 para criptografar as comunicaes entre clientes e servidores do TS Gateway atravs da Internet. Para que o TLS funcione corretamente, voc deve instalar um certificado de SSL no servidor de TS Gateway. O certificado deve satisfazer esses requisitos: o O nome na linha Assunto (Subject) do certificado do servidor (nome do certificado, ou CN) deve corresponder ao nome configurado no servidor de TS Gateway. O certificado um certificado de computador. O fim pretendido do certificado autenticao de servidor. O Uso Estendido de Chave (EKU - Extended Key Usage) Autenticao de Servidor (1.3.6.1.5.5.7.3.1). O certificado tem uma chave privada correspondente. O certificado no expirou. Recomendamos que o certificado seja vlido por um ano a partir da data de instalao. Um identificador de objeto de certificado (tambm conhecido como OID) de 2.5.29.15 no exigido. Contudo, se o certificado que voc planeja usar contiver um identificador de objeto de 2.5.29.15, voc poder usar o certificado somente se pelo menos um dos seguintes valores de uso de chave tambm estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, e CERT_DATA_ENCIPHERMENT_KEY_USAGE.
o o
o o
Para mais informaes sobre esses valores, consulte Registro e Gerenciamento Avanados de Certificados (http://go.microsoft.com/fwlink/?LinkID=74577). Para mais informaes sobre requisitos de certificados para o TS Gateway e como obter e instalar um certificado se voc ainda no tiver um, consulte o Guia Passo a Passo de Instalao do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605). Alm disso, tenha em mente as seguintes consideraes:
57
O TS Gateway transmite todo o trfego de RDP (que tipicamente teria sido enviado pela porta 3389) para a porta 443 usando um tnel de HTTPS. Isso tambm significa que todo o trfego entre o cliente e o TS Gateway criptografado enquanto em trnsito pela Internet. Voc deve analisar esse tpico e a documentao adicional de suporte do TS Gateway, inclusive o Guia Passo a Passo de Instalao do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605). Voc deve se preparar para comprar um certificado SSL, ou para emitir um a partir de sua prpria autoridade de certificao (CA). Deve se familiarizar com os protocolos TLS e SSL se ainda no os conhecer.
O TS Gateway oferece os seguintes novos recursos para simplificar a administrao e melhorar a segurana.
TS CAPs
As diretivas de autorizao de conexo dos Servios e Terminal (TS CAPs) permitem que voc especifique grupos de usurios, e opcionalmente, grupos de computadores, que podem acessar um servidor de TS Gateway. Voc pode criar um TS CAP usando o Gerenciador de TS Gateway. As TS CAPs simplificam a administrao e aumentam a segurana oferecendo um maior nvel de controle sobre o acesso a computadores remotos em sua rede corporativa. As TS CAPs permitem que voc especifique quem pode ser conectar a um servidor de TS Gateway. Voc pode especificar um grupo de usurios que existe no servidor de TS Gateway local ou nos Servios de Domnio do Active Directory. Voc tambm pode especificar outras condies que os usurios devem satisfazer para acessar um servidor de TS Gateway. Pode listar condies especficas em cada TS CAP. Por exemplo, voc pode exigir que um usurio use um smart card para se conectar atravs do TS Gateway. Os usurios recebem acesso a um servidor de TS Gateway se atenderem as condies especificadas na TS CAP. Importante Voc tambm deve criar uma diretiva de autorizao de recurso de Servios de Terminal (TS RAP). Uma TS RAP permite que voc especifique os recursos de rede aos quais os usurios podem se conectar atravs do TS Gateway. At voc criar uma TS CAP e uma TS RAP, os usurios no podem se conectar a recursos de rede atravs desse servidor de TS Gateway.
58
Os usurios podem se conectar atravs do TS Gateway a recursos de rede em um grupo de computadores. O grupo de computadores pode ser qualquer um dos seguintes: Membros de um grupo do Windows existente: O grupo do Windows pode existir em Usurios e Grupos Locais no servidor de TS Gateway, ou pode existir nos Servios de Domnio do Active Directory. Membros de um grupo de computadores gerenciado pelo TS Gateway ou um novo grupo gerenciado pelo TS Gateway que voc criar: Voc pode adicionar os computadores aos quais queira fornecer acesso de usurio no grupo de computadores gerenciado pelo TS Gateway usando o Gerenciador de TS Gateway. Qualquer recurso de rede: Neste caso, os usurios podem se conectar a qualquer computador na rede a que podem se conectar quando usam a rea de trabalho Remota.
Para garantir que os usurios apropriados tenham acesso a recursos de rede adequados, planeje e crie grupos de computadores cuidadosamente. Avalie os usurios que devem ter acesso a cada agrupo de computadores, e ento associe os grupos de computadores com as TS RAPs para conceder acesso aos usurios conforme necessrio.
TS RAPs
As TS RAPs permitem que voc especifique os recursos de rede aos quais os usurios podem se conectar atravs de um servidor de TS Gateway. Quando voc cria uma TS RAP, pode criar um grupo de computadores e associ-lo com a TS RAP. Usurios conectando-se rede atravs do TS Gateway recebem acesso a computadores remotos na rede corporativa se satisfizerem as condies especificadas em pelo menos uma TS CAP e uma TS RAP. Nota Usurios de clientes podem especificar um nome de NetBIOS ou um nome de domnio completamente qualificado (FQDN fully qualified domain name) para o computador remoto que querem acessar atravs do servidor de TS Gateway. Para suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP para cada nome de computador possvel. Juntas, as TS CAPs e TS RAPs oferecem dois nveis diferentes de autorizao para dar a voc a capacidade de configurar um nvel mais especfico de controle de acesso a recursos de redes corporativas.
Capacidades de Monitoramento
Voc pode usar o Gerenciador de TS Gateway para visualizar informaes sobre conexes ativas de clientes de Servios de
Guia do Revisor do Windows Server Longhorn Beta 3
59
Terminal com recursos de rede atravs do TS Gateway. Essas informaes incluem o seguinte: O domnio e ID de usurio do usurio que efetuou logon no cliente O endereo IP do cliente Nota Se sua configurao de rede inclui servidores Proxy, o endereo IP que aparece na coluna Client IP Address (no painel de detalhes Monitoring) pode refletir o endereo IP do servidor Proxy, e no o endereo IP do cliente de Servios de Terminal. O nome do computador de destino ao qual o cliente est conectado A porta de destino atravs da qual o cliente est conectado A data e hora em que a conexo foi iniciada O tempo que a conexo est inativa, se aplicvel
Voc tambm pode especificar os tipos de eventos que quer monitorar, como tentativas bem sucedidas e fracassadas de conexo a recursos internos de rede atravs de um servidor de TS Gateway. Quando esses eventos ocorrem, voc pode monitorar os eventos correspondentes usando Windows Event Viewer. Os eventos do TS Gateway so armazenados em Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\.
60
As trs configuraes de Diretiva de Grupo a seguir esto disponveis para o servidor de TS Gateway: Definir o mtodo de Autenticao do Servidor de TS Gateway. Isso permite que voc especifique o mtodo de autenticao que os clientes de Servios de Terminal devem usar quando se conectarem a recursos de rede atravs de um servidor de TS Gateway. Permitir conexes atravs do TS Gateway. Isso permite que voc especifique que, quando clientes de Servios de Terminal no puderem se conectar diretamente a um recurso de rede, eles tentaro se conectar ao recurso de rede atravs do servidor de TS Gateway especificado na definio de diretiva Set the TS Gateway server address (Definir o endereo do servidor de TS Gateway). Definir o endereo do servidor de TS Gateway. Isso permite que voc especifique o servidor de TS Gateway que os clientes de Servios de Terminal usam quando no conseguem se conectar diretamente a um recurso da rede. Importante Se voc desativar ou no configurar essa definio de diretiva, mas ativar a definio Enable connections through TS Gateway (Ativar conexes atravs do TS Gateway), as tentativas de conexo do cliente a qualquer recurso da rede falharo se o cliente no puder se conectar diretamente ao recurso da rede. Voc no precisa alterar nenhum cdigo existente para trabalhar com o TS Gateway. O TS Gateway apenas gerencia a maneira como a conexo ao computador remoto criada. Nota O TS Gateway pode rotear conexes para qualquer sesso baseada em Servios de Terminal, inclusive aquelas em computadores baseados no Windows Server Longhorn, Windows Server 2003, Windows Vista e Windows XP. Se o computador remoto estiver usando recursos novos de Servios de Terminal, voc precisar usar o software de Conexo de rea de trabalho Remota verso 6.0 (Remote Desktop Connection version 6.0), que est includo com o Windows Server Longhorn e Windows Vista. Nota O software de Conexo de rea de trabalho Remota verso 6.0 (Remote Desktop Connection version 6.0) est disponvel para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer novo recurso de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao para o RDC 6.0. Para fazer o download do pacote de instalao do RDC 6.0,
61
62
Os arquivos .rdp e pacotes .msi contm as configuraes necessrias para executar os RemoteApps. Depois de abrir o RemoteApp em um computador local, o usurio pode interagir com o programa em execuo no servidor de terminal como se estivesse sendo executado localmente. O TS RemoteApp pode reduzir a complexidade e o overhead administrativo em muitas situaes, incluindo essas: Escritrios remotos, onde pode haver suporte local de TI limitado e largura de banda de rede limitada. Situaes em que usurios precisam acessar aplicaes remotamente
Guia do Revisor do Windows Server Longhorn Beta 3
63
Implantao de aplicaes de gesto de negcios (LOB), especialmente aplicaes de gesto de negcios personalizadas. Ambientes, como espaos de trabalho hot desk ou hoteling, em que os usurios no tm computadores designados. Implantao de mltiplas verses de uma aplicao, particularmente se instalar vrias verses localmente causar conflitos.
Voc deve analisar esse tpico, e a documentao adicional de suporte do TS RemoteApp, se estiver em qualquer dos seguintes grupos: Planejadores e analistas de TI avaliando tecnicamente o produto Arquitetos corporativos Profissionais de TI que implantam ou administram servidores de terminal, aplicaes de gesto de negcios (LOB), ou aplicaes que podem ser implantadas mais eficientemente com o TS RemoteApp
Para o Windows Server Longhorn Beta 3 voc deve usar o cliente Conexo de rea de trabalho Remota (RDC - Remote Desktop Connection) verso 6.0 ou posterior para executar RemoteApps no computador local de um usurio final. O cliente RDC 6.0 est includo no Windows Vista e Windows Server Longhorn Beta 3. Nota O software de Conexo de rea de trabalho Remota verso 6.0 est disponvel para uso no Windows XP com SP2 e Windows Server 2003 com SP1. Para usar qualquer recurso novo de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373). Os usurios podem executar programas a partir de um servidor de terminal e ter a mesma experincia de se os programas fossem executados no computador local do usurio final, incluindo janelas redimensionveis e cones de notificao na rea de notificao. O TS RemoteApp melhora a experincia do usurio, abre novas avenidas para implantao de programas, e reduz a quantidade de esforo administrativo necessrio para suportar esses programas. Em vez de ser apresentado ao usurio na rea de trabalho do servidor de terminal remoto, o RemoteApp integrado com a rea de trabalho do cliente, sendo executado em sua prpria janela redimensionvel com seu prprio registro na barra de tarefas. Se o programa usa um cone de rea de notificao, este aparece na rea de notificao do cliente. Janelas pop-up so redirecionadas para a rea de trabalho local. Unidades de disco locais e
Guia do Revisor do Windows Server Longhorn Beta 3
64
impressoras podem ser redirecionadas para aparecer no RemoteApp. Muitos usurios podem no ter cincia de que o RemoteApp um programa diferente do local. Como o TS RemoteApp uma melhoria nas tecnologias existentes de Servios de Terminal e usa a mesma tecnologia e protocolos, no apresenta nenhum novo problema. Voc deve avaliar seus programas para ver quais podem ser adequados para execuo como um RemoteApp, e ento testar os programas. Para test-los siga os procedimentos descritos no Guia Passo a Passo do TS RemoteApp para configurar seu servidor de terminal para suportar RemoteApps e usar o snap-in Gerenciador de TS RemoteApp para tornar RemoteApps disponveis para usurios. Para um programa ser executado como um RemoteApp, o servidor de terminal que hospeda o programa deve estar executando o Windows Server Longhorn. Qualquer programa que possa ser executado em uma sesso de Servios de Terminal ou em uma sesso de rea de trabalho Remota deve ser capaz de ser executado como um RemoteApp. Algumas das mudanas fundamentais no sistema operacional do Windows Server Longhorn podem ter impacto sobre verses anteriores de programas que so executados corretamente sob verses anteriores do sistema operacional Windows. Se voc tiver dificuldades em executar um programa como um RemoteApp, verifique se ele executado corretamente no console local de um servidor que esteja executando o Windows Server Longhorn. Analise outras sees deste guia para informaes adicionais sobre questes de compatibilidade.
Referncias Adicionais
Para mais informaes sobre o TS RemoteApp, consulte o Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter do Windows Server Longhorn TS RemoteApp e TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).
65
As informaes neste tpico se aplicam aos seguintes tipos de profissionais de TI: Profissionais de TI que j executam ou se interessam em implantar programas para usurios usando Servios de Terminal Profissionais de TI que queiram mais controle sobre a experincia do usurio Administradores e desenvolvedores de Web
Guia do Revisor do Windows Server Longhorn Beta 3
66
Antes de instalar o TS Web Access, analise as seguintes diretrizes de instalao: Voc deve instalar o TS Web Access em um computador que esteja executando o Windows Server Longhorn. Deve instalar o TS Web Access junto com o Microsoft IIS 7.0. O servidor do TS Web Access no precisa ser um servidor de terminal. Para usar o TS Web Access, computadores clientes deve estar executando um dos seguintes sistemas operacionais: o o o o Microsoft Windows XP com Service Pack 2 ou posterior Microsoft Windows Server 2003 com Service Pack 1 ou posterior Windows Vista Windows Server Longhorn
Nota O software de Conexo de rea de trabalho Remota verso 6.0 est disponvel para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer recurso novo de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373). Alm disso, tenha em mente que o Windows Server Longhorn Beta 3 pode no incluir toda a funcionalidade planejada para o TS Web Access.
67
O RemoteApps parece estar sendo executado na rea de trabalho local. Se o usurio iniciar vrios RemoteApps e os RemoteApps estiverem todos sendo executados no mesmo servidor de terminal, os programas so executados na mesma sesso. Os usurios no tm de fazer o download de um controle ActiveX separado para acessar o TS Web Access. Em vez disso, o cliente RDC verso 6.0 inclui o Controle ActiveX necessrio.
Implantao
Se voc quer implantar o TS Web Access, pode se preparar analisando o tpico Terminal Services RemoteApp (TS RemoteApp) neste documento para informaes sobre o novo recurso TS RemoteApp. Informaes mais detalhadas de implantao esto disponveis no Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter Windows Server Longhorn TS RemoteApp e TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609). Voc tambm pode querer analisar as informaes sobre o IIS 7.0. Se quiser usar o TS Web Access para tornar RemoteApps disponveis a computadores atravs da Internet, deve analisar o tpico Gateway de Servios de Terminal (TS Gateway) neste documento. O TS Gateway ajuda voc a proteger conexes remotas a servidores de terminal em sua rede corporativa.
68
.msi configurado para permitir o TS Web Access. Voc cria pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador de TS RemoteApp. A lista de programas atualizada dinamicamente e a capacidade de especificar a origem dos dados dos RemoteApps simplifica a implantao de RemoteApps atravs da Web. Se voc tiver um nico servidor de terminal, fcil implantar programas usando a fonte de dados do servidor de terminal. Se voc j estiver usando a implantao de programas baseada em Diretiva de Grupo, pode usar pacotes .msi para distribuir RemoteApps a clientes. Verses mais antigas de Servios de Terminal no ofereciam um mecanismo para atualizar dinamicamente um Website com uma lista de RemoteApps. Se voc quiser ocupar a lista de RemoteApps usando Diretiva de Grupo, deve ter um ambiente de Servios de Domnio do Active Directory. Deve tambm se familiarizar com a distribuio de software de Diretiva de Grupo.
O TS Web Access oferece uma soluo pronta flexvel. Web do TS Web Access fornecida e a Parte de Web (Web que voc implemente o site do TS Web Access rpida e permite que voc implante o TS Web Access usando uma ou Servios do Windows SharePoint.
Com o TS Web Access, voc no precisa adicionar manualmente uma lista de programas disponveis em uma pgina da Web para proporcionar acesso centralizado Web a RemoteApps. A Parte de Web personalizvel d a voc flexibilidade no tocante a aparncia do site e mtodo de implantao. Se voc quiser personalizar a pgina de Web ou a Parte de Web padro, deve planejar as alteraes no design que deseja fazer. Deve tambm decidir se quer fornecer acesso ao TS Web Access usando a pgina de Web do TS Web Access fornecida, uma pgina de Web personalizada ou usando os Servios do Windows SharePoint.
69
70
Recursos de impressora disponvel melhorados. O driver Terminal Services Easy Print proporciona recursos de impressora ricos e completos em sesses remotas. Todos os recursos do driver de impressora fsica esto disponveis para uso quando um usurio visualiza as preferncias de impresso.
A definio de Diretiva de Grupo Redirect only the default client printer (Redirecionar apenas a impressora cliente padro) permite que voc controle se a impressora cliente padro a nica impressora redirecionada em uma sesso de Servios de Terminal, ou se todas as impressoras so redirecionadas em uma sesso. O driver de impressora de emergncia do servidor de terminal no est mais includo no Windows Server Longhorn Beta 3. Embora a definio de Diretiva de Grupo Specify terminal server fallback printer driver behavior (Especificar comportamento do driver de impressora de emergncia do servidor de terminal) ainda exista, s pode ser usada para computadores baseados no Windows Server 2003 com SP1. Por padro, o driver Terminal Services Easy Print ativado no Windows Server Longhorn Beta 3. Para usar o driver Terminal Services Easy Print, os computadores clientes devem satisfazer os requisitos descritos na Seo H Alguma Considerao Especial Sobre Esses Recursos?. Se houver computadores clientes que no suportem o driver Terminal Services Easy Print driver, e o driver da impressora ainda no estiver disponvel no servidor de terminal, voc deve fazer qualquer dos seguintes para dar suporte impresso do cliente: Garantir que os drivers de impressora do cliente para impressoras local e de rede estejam instalados no servidor de terminal. Se voc estiver instalando um driver de terceiros, certifique-se de que ele tenha a assinatura dos Laboratrios de Qualidade de Hardware Windows (WHQL Windows Hardware Quality Labs). Adicionar os drivers de impressora do cliente para impressoras local e de rede em um arquivo de mapeamento de impressoras personalizado no servidor de terminal. Para mais informaes sobre como criar um arquivo de mapeamento de impressoras personalizado, consulte a seo Resoluo do artigo 239088 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82784).
71
definio de diretiva est localizada no seguinte n do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection Os valores possveis so os seguintes: o Enabled or not configured (Ativada ou no configurada). Se esta definio de diretiva estiver ativada ou no configurada, o servidor de terminal tentar primeiro usar o driver Terminal Services Easy Print para instalar todas as impressoras de clientes. Se, por alguma razo, o driver Terminal Services Easy Print no puder ser usado, um driver de impressora que corresponda impressora do cliente ser usado. Se o servidor de terminal no tiver um driver de impressora que corresponda impressora do cliente, a impressora do cliente no ficar disponvel para a sesso de Servios de Terminal. Por padro, essa definio de diretiva no configurada. Disabled (Desativada). Se voc desativar essa definio de diretiva, o servidor de terminal tentar encontrar um driver de impressora adequado para instalar a impressora do cliente. Se o servidor de terminal no tiver um driver de impressora que corresponda impressora do cliente, o servidor de terminal tentar usar o driver Terminal Services Easy Print para instalar a impressora do cliente. Se, por alguma razo, o driver Terminal Services Easy Print no puder ser usado, a impressora do cliente no ficar disponvel para a sesso de Servios de Terminal.
Redirect only the default client printer (Redirecionar apenas a impressora padro do cliente). Essa definio de diretiva est localizada no seguinte n do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection
Os valores possveis so: o Enabled (Ativada). Se voc ativar essa definio de diretiva, somente a impressora padro do cliente redirecionada em sesses de Servios de Terminal. Disabled or not configured (Desativada ou no configurada). Se voc desativar ou no configurar essa definio de diretiva, todas as impressoras de clientes so redirecionadas em sesses de Servios de
72
73
74
Nota Para configurar um servidor para participar do balanceamento de carga do TS Session Broker, e para atribuir um valor de peso a um servidor, voc pode usar a ferramenta Configurao de Servios de Terminal. Alm disso, fornecido um novo mecanismo que possibilita que voc permita ou recuse novas conexes de usurio ao servidor de terminal. Esse mecanismo fornece a capacidade de se colocar um servidor offline para manuteno sem interromper a experincia do usurio. Se novas conexes forem recusadas em um servidor de terminal na farm, o TS Session Broker redirecionar as sesses de usurios para servidores de terminal configurados para permitir novas conexes. Nota A configurao que voc pode usar para permitir ou recusar novas conexes de usurios est localizada na guia Geral da conexo RDP-Tcp na ferramenta Configurao de Servios de Terminal. Se voc quiser usar o recurso de balanceamento de carga do TS Session Broker, tanto o servidor do TS Session Broker como os servidores de terminal na mesma farm devem estar executando o Windows Server Longhorn Beta 3. voc deve registrar o endereo IP de todos os servidores de terminal em uma nica entrada do DNS para a farm. Se preferir, pode usar rodzio de DNS ou um balanceador de carga de hardware para espalhar a carga de conexo e autenticao inicial entre mltiplos servidores de terminal na farm.
75
Not configured (No configurada). Se voc no configurar essa definio de diretiva, o balanceamento de carga do TS Session Broker no especificado no nvel de Diretiva de Grupo. Neste caso, voc pode configurar o servidor de terminal para participar do balanceamento de carga do TS Session Broker usando a ferramenta Configurao de Servios de Terminal ou o provedor de WMI de Servios de Terminal. Por padro essa definio de diretiva no configurada.
76
77
servidor de terminal solicita um token de licena, e seu impacto sobre o desempenho do servidor muito baixo, mesmo em cenrios de cargas altas. O TS Licensing inclui os seguintes recursos e benefcios: Administrao centralizada para TS CALs e os tokens correspondentes Acompanhamento e relatrios de licenas para o modo de licenciamento Por Usurio Suporte simples para vrios canais de comunicao e programas de compra Impacto mnimo sobre rede e servidores
O gerenciamento efetivo de TS CALS usando o TS Licensing ser do interesse de organizaes que atualmente usam ou esto interessadas em usar os Servios de Terminal. Os Servios de Terminal oferecem tecnologias que permitem acesso, a partir de quase qualquer dispositivo de computao, a um servidor que execute programas baseados em Windows ou rea de trabalho Windows plena. Os usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. O TS Licensing para Windows Server Longhorn agora inclui a capacidade de acompanhar a emisso de TS CALs Por Usurio usando o Gerenciador de TS Licensing. Se o servidor de terminal estiver no modo de licenciamento Por Usurio, o usurio conectando-se a ele deve ter uma TS CAL Por Usurio. Se o usurio no tiver a TS CAL Por Usurio necessria, o servidor de terminal entrar em contato com o servidor de licenas para obter a CAL para o usurio. Depois que o servidor de licenas emitir uma TS CAL Por Usurio para o usurio, o administrador pode rastrear a emisso da CAL usando o Gerenciador de TS Licensing. Para usar o TS Licensing para gerenciar TS CALs, voc precisar do seguinte em um servidor executando o Windows Server Longhorn: Para configurar o TS Licensing para gerenciar TS CALs, faa o seguinte: 1. Instale o servio de funo de TS Licensing. 2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenas de Servios de Terminal. 3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenas de Servios de Terminal. 4. Instale as licenas de acesso de cliente necessrias no servidor de licenas.
Guia do Revisor do Windows Server Longhorn Beta 3
78
Para mais informaes sobre a instalao e configurao do TS Licensing no Windows Server Longhorn, consulte o Licenciamento de Servidor de Terminal do Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=79607). Para tirar vantagem do TS Licensing, voc deve atender os seguintes pr-requisitos: Instalar o servio de funo de TS Licensing em um servidor executando o Windows Server Longhorn. O rastreio e apresentao de relatrios de TS CALs Por Usurio suportado apenas em cenrios unidos por domnio (o servidor de terminal e o servidor de licenas so membros de um domnio) e no suportado no modo de grupo de trabalho. Os Servios de Domnio do Active Directory so usados para o acompanhamento de licenas no modo Por Usurio. Os Servios de Domnio do Active Directory podem ser baseados no Windows Server Longhorn ou no Windows Server 2003. Nota No so necessrias atualizaes para o esquema dos Servios de Domnio do Active Directory para implementar o rastreio e apresentao de relatrios de TS CALs Por Usurio. Um servidor de terminal executando o Windows Server Longhorn no se comunica com um servidor de licenas executando o Windows Server 2003. Contudo. possvel um servidor de terminal executando o Windows Server 2003 se comunicar com um servidor de licenas executando o Windows Server Longhorn.
79
A capacidade de usar o WSRM para gerenciar aplicaes ou usurios em um servidor de terminal do Windows Server Longhorn ser interessante para organizaes que atualmente usem ou estejam interessadas em usar Servios de Terminal. Os Servios de Terminal fornecem tecnologias que possibilitam o acesso, a partir de qualquer dispositivo de computao, a um servidor executando programas baseados em Windows ou a uma rea de trabalho Windows plena. Usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. O WSRM para Windows Server Longhorn agora inclui uma diretiva de alocao de recursos Igual_Por_Sesso (Equal_Per_Session). Para usar o WSRM para gerenciar aplicaes ou usurios em um servidor de terminal do Windows Server Longhorn, voc vai precisar fazer o seguinte: Para configurar o WSRM para gerenciar aplicaes ou usurios, faa o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o servio de funo de Servidor de Terminal. 2. Instale o WSRM. 3. Configure o WSRM para Servios de Terminal
80
Instale o servio de funo de Servidor de Terminal em seu computador antes de instalar e configurar o WSRM. O servio de funo de Servidor de Terminal, conhecido como componente de Servidor de Terminal no Microsoft Windows Server 2003, permite a um servidor baseado no Windows Server Longhorn hospedar programas baseados no Windows ou a rea de trabalho Windows plena. A partir de seus dispositivos de computao, os usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. No Windows Server Longhorn, voc deve fazer o seguinte para instalar o servio de funo de Servidor de Terminal, e para configurar o servidor de terminal para hospedar programas: Para instalar o servio de funo de Servidor de Terminal e configur-lo para hospedar programas, faa o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o servio de funo de Servidor de Terminal. 2. Instale programas no servidor. 3. Configure configuraes de conexo remota. Isso inclui adicionar usurios e grupos que precisam conectar-se ao servidor de terminal. Para mais informaes sobre instalar o servio de funo de Servidor de Terminal, consulte o TechCenter de Servidor de Terminal do Windows Server Longhorn (http://go.microsoft.com/fwlink/?LinkId=79608).
Instalando o WSRM
Para instalar o servio de funo de Servidor de Terminal e configur-lo para hospedar programas, faa o seguinte: 1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na pgina Select Features, assinale a caixa de seleo Windows System Resource Manager (WSRM). 4. Uma caixa de dilogo aparecer informando que o servio de funo SQL Server 2005 Embedded Edition (Windows) tambm precisa ser instalada para que o WSRM funcione corretamente. Clique em Add Required Role Services, e em seguida clique em Next. 5. Na pgina Confirm Installation Options, certifique-se de que o SQL Server 2005 Embedded Edition (Windows) e o
Guia do Revisor do Windows Server Longhorn Beta 3
81
Gerenciador de Recursos do Windows Server (WSRM) sero instalados e em seguida clique em Install. 6. Na pgina Installation Results, confirme que a instalao do SQL Server 2005 Embedded Edition (Windows) e do e o Gerenciador de Recursos do Windows Server (WSRM) foi bem sucedida, e clique em Close. Depois de instalar o WSRM, voc precisa iniciar o servio do Gerenciador de Recursos de Sistema do Windows. Para iniciar o servio do Gerenciador de Recursos de Sistema do Windows, faa o seguinte: 1. Abra o snap-in Servios. Para abrir o snap-in Servios, clique em Start, aponte para Administrative Tools, e clique em Services. 2. Na caixa de dilogo Services, na coluna Name, clique com o boto direito do mouse em Windows System Resource Manager, e em seguida clique em Start.
82
Se voc implementar a diretiva de alocao Igual_Por_Sesso, cada sesso de usurio (e seus processos associados) recebe uma parcela igual de recursos da CPU do computador. Para implementar a diretiva de alocao Igual_Por_Sesso, faa o seguinte: 1. Abra o snap-in Windows System Resource Manager. 2. Na rvore do console, expanda o n Resource Allocation Policies. 3. Clique com o boto direito do mouse em Clique com o boto direito do mouse em Equal_Per_Session, e em seguida clique em Set as Managing Policy. 4. Se uma caixa de dilogo aparecer informando que o calendrio ser desativado, clique em OK. Para informaes sobre a diretiva de alocao de recursos Igual_Por_Usurio e configuraes e configuraes adicionais do WSRM (como criar um critrio correspondente ao processo atravs da utilizao de correspondncia de usurio ou grupo), consulte a seguinte documentao: Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server Longhorn Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
Desempenho de Monitoramento
Voc deve coletar dados sobre o desempenho de seu servidor de terminal antes e depois de implementar a diretiva de alocao de recursos Igual_Por_Sesso (ou de fazer qualquer outra alterao de configurao relacionada ao WSRM). Voc pode usar o Monitor de Recursos do snap-in Gerenciador de Recursos de Sistema do Windows para coletar e visualizar dados sobre o uso de recursos de hardware e a atividade de servios de sistema no computador.
83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84 4.02 Controlador de Domnio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Ncleo do Servidor ...........................................99
84
Este cenrio se concentra no aperfeioamento da comunicao, segurana e gerenciamento, os quais estaro disponveis para as filiais onde o Windows Server Longhorn for instalado.
85
A falta de segurana fsica a razo mais comum para se considerar a implantao de um RODC. Com o RODC, possvel implantar um controlador de domnio de forma mais segura, em locais que exigem servios de autenticao rpidos e confiveis, mas que no entanto no podem assegurar segurana fsica para um controlador de domnio gravvel. Entretanto, sua empresa tambm pode optar pela implantao de um RODC para requisitos administrativos especiais. Por exemplo: uma aplicao LOB pode ser executada com sucesso somente se for instalada em um controlador de domnio; ou ainda, o controlador de domnio poder ser o nico servidor da filial, e ento poder ter que hospedar as aplicaes do servidor. Nestes casos, o proprietrio da aplicao LOB precisa se registrar seguidamente no controlador de domnio de forma interativa ou utilizar os Servios de Terminal para configurar e gerenciar a aplicao. Esta situao cria um risco de segurana que pode se tornar inaceitvel em um controlador de domnio gravvel. Neste cenrio, o RODC fornece um mecanismo mais seguro para a implantao de um controlador de domnio. Voc pode oferecer ao usurio no administrativo do domnio o direito de acessar o
Guia do Revisor do Windows Server Longhorn Beta 3
86
RODC, ao mesmo tempo em que reduz o risco de segurana para a floresta do Active Directory. Voc tambm pode implantar um RODC em outros cenrios onde o armazenamento local de todas as senhas de usurio do domnio no garanta segurana, como em uma extranet ou uma funo de aplicao. O RODC foi desenvolvido especialmente para ser implantado em ambientes remotos e em filiais. As filiais geralmente apresentam as seguintes caractersticas: Nmero reduzido de usurios Pouca Segurana fsica Pouca largura de banda para um site hub Baixo conhecimento de TI
Voc deveria revisar este captulo, bem como a documentao de suporte complementar sobre o RODC, caso voc pertena a algum dos seguintes grupos: Planejadores de TI e analistas que estejam avaliando tecnicamente o produto Planejadores de TI corporativos e designers corporativos Profissionais responsveis pela segurana de TI Administradores dos Servios de Domnio do Active Directory que lidam com escritrios pequenos de filiais
Para oferecer suporte Diretiva de Replicao de Senhas do RODC, os Servios de Domnio do Active Directory do Windows Server Longhorn incorporam novos atributos. A Diretiva de Replicao de Senhas o mecanismo que determina se as credenciais de um usurio ou de um computador possuem a permisso para operar a replicao de um controlador de domnio somente leitura para um RODC. A Diretiva de Replicao de Senhas sempre configurada em um controlador de domnio gravvel que execute o Windows Server Longhorn. Os atributos dos Servios de Domnio do Active Directory adicionados ao plano do Windows Server Longhorn Active Directory para oferecer suporte aos RODCs incluem o seguinte: msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedUsers msDS-AuthenticatedToAccountList
Para mais informaes sobre estes atributos, veja o Guia Passo a Passo para Planejamento, Implantao e Utilizao do Controlador de Domnio Somente Leitura do Windows Server Longhorn: (http://go.microsoft.com/fwlink/?LinkId=49779).
87
Para implantar um RODC, o controlador de domnio que possui o papel mestre de emulador do controlador de domnio principal (PDC), tambm conhecido como FSMO (Flexible Single Master Operations) para o domnio, precisa executar o Windows Server Longhorn. Alm disso, o nvel funcional para o domnio e a floresta deve ser o Microsoft Windows Server 2003 ou superior. O RODC aborda alguns dos problemas normalmente encontrados nas filiais. Estes locais nem sempre possuem um controlador de domnio. Ou talvez eles possuam um controlador de domnio gravvel, porm sem a segurana fsica, a largura de banda ou tcnicos locais especializados para lhes oferecer suporte. A funcionalidade do RODC a seguir mitiga estes problemas: Banco de dados somente leitura dos Servios de Domnio do Active Directory. Replicao unidirecional Caching de credenciais Separao do papel de administrador DNS Somente Leitura
Replicao Unidirecional
Nenhuma mudana gravada diretamente no RODC, pois nenhuma mudana se origina no RODC. Como resultado, os controladores de domnio gravvel, que so parceiros na replicao, no precisam extrair mudanas do RODC. Isto reduz a carga de trabalho dos servidores bridgehead no hub e o esforo necessrio para monitorar a replicao. A replicao unidirecional do RODC se aplica tanto aos Servios de Domnio do Active Directory como Replicao do Sistema de Arquivos Distribudo (DFS). O RODC desempenha a replicao normal
88
Caching de Credenciais
Caching de credenciais o armazenamento de credenciais do usurio ou do computador. As credenciais consistem em um pequeno conjunto de aproximadamente 10 senhas que esto associadas aos diretores de segurana. Por padro, um RODC no armazena as credenciais do usurio ou do computador. As excees so a conta de computador do RODC e uma conta krbtgt especial existente em cada RODC. necessrio conceder permisso explcita a qualquer outro caching de credencial explicitamente em um RODC. O RODC anunciado como o Principal Centro de Distribuio (KDC Key Distribution Center) para a filial. O RODC utiliza uma conta krbtgt e senha diferente do KDC em um controlador de domnio gravvel, quando este assina ou criptografa pedidos TGT (ticketgranting ticket). Aps uma conta ser devidamente autenticada, o RODC tenta contatar um controlador de domnio gravvel no site hub e pede uma cpia das credenciais apropriadas. O controlador de domnio gravvel reconhece que o pedido se origina de um RODC e consulta a Diretiva de Replicao de Senhas em vigor para aquele RODC. A Diretiva de Replicao de Senhas determina se podem ser replicadas as credenciais de um usurio ou de um computador do controlador de domnio gravvel para o RODC. Se a Diretiva de Replicao de Senhas permitir, o controlador de domnio gravvel replica as credenciais para o RODC, que faz o caching. Depois de fazer o caching das credenciais, o RODC pode atender diretamente os pedidos de registro do usurio at o momento de troca de credenciais. (Quando um TGT assinado com a conta krbtgt do RODC, este reconhece que existe uma cpia cache das credenciais. Caso outro controlador de domnio assine o TGT, o RODC envia os pedidos ao controlador de domnio gravvel.) Ao limitar o caching de credenciais somente aos usurios certificados com o RODC, a exposio potencial de credenciais do RODC tambm limitada. De maneira geral, apenas um pequeno grupo de usurios do domnio possui o caching das credenciais em qualquer RODC. Portanto, no caso de o RODC ser roubado, somente as credenciais cacheadas podem potencialmente ser quebradas. O ato de deixar o caching de credenciais desabilitado pode mais adiante limitar a exposio, mas faz com que todos os pedidos de autenticao sejam encaminhados para um controlador de domnio gravvel. Um administrador pode modificar a Diretiva de Replicao de Senhas para permitir o caching de credenciais dos usurios no RODC.
89
Voc pode delegar o papel de administrador local de RODC a qualquer usurio do domnio, sem a necessidade de lhe oferecer quaisquer direitos relativos ao domnio ou outros controladores de domnio. Assim, possvel um usurio da filial efetuar o logon em um RODC e realizar o trabalho de manuteno no servidor, como, por exemplo, a atualizao de uma unidade. Entretanto, o usurio da filial no pode efetuar o logon em nenhum outro controlador de domnio ou realizar qualquer outra tarefa administrativa no domnio. Desta forma, pode-se delegar ao usurio da filial a capacidade de gerenciar o RODC no escritrio da filial, sem comprometer a segurana do restante do domnio.
Implantao
Os pr-requisitos para a implantao de um RODC so os seguintes: O controlador de domnio que contm a funo de mestre de operaes do emulador PDC (controlador de domnio primrio) precisa executar o Windows Server Longhorn. Isto necessrio para a criao da nova conta krbtgt para o RODC e suas operaes. O RODC precisa encaminhar pedidos de autenticao para um controlador de domnio gravvel que tenha instalado o Windows Server Longhorn. A Diretiva de Replicao de Senhas instalada neste controlador de domnio para determinar que as credenciais sejam replicadas para a filial, em um pedido encaminhado pelo RODC. O nvel funcional do domnio deve ser Windows Server 2003 ou superior, em que esteja disponvel uma delegao limitada por kerberos. Uma delegao limitada utilizada
Guia do Revisor do Windows Server Longhorn Beta 3
90
para chamadas de segurana, que devem personificar o contexto do visitante. O nvel funcional da floresta deve ser Windows Server 2003 ou superior, para que esteja disponvel a replicao de valor relacionado. Isto permite um nvel mais alto de consistncia de replicao. preciso executar adprep /rodcprep uma vez na floresta, a fim de atualizar as permisses em todas as parties do diretrio de aplicaes DNS da floresta. Desta forma, todos os RODCs que tambm so servidores DNS podem replicar com sucesso as permisses.
91
O BitLocker um componente opcional que precisa ser instalado antes de ser usado em um sistema baseado no Windows Server Longhorn. Para instalar o BitLocker, preciso selecion-lo no Gerenciador de Servidor ou digitar no prompt de comando o seguinte: start /w pkgmgr /iu:BitLocker /norestart O BitLocker pode interessar aos seguintes grupos: Administradores, profissionais de segurana de TI e oficiais responsveis por garantir que dados confidenciais no sejam revelados sem autorizao Administradores responsveis pela segurana dos computadores em escritrios remotos ou filiais Administradores responsveis por servidores ou computadores clientes Windows Vista que sejam mveis
Para fazer uso de sua total funcionalidade, O BitLocker requer um sistema com microchip TPM compatvel e BIOS. Um TPM compatvel se define como verso 1.2 TPM. Um BIOS compatvel deve suportar o TPM e o Static Root of Trust Measurement, conforme definido pelo Trusted Computing Group. Para mais informaes sobre as especificaes do TPM, visite a seo TPM Specifications no site do Trusted Computing Group:
Guia do Revisor do Windows Server Longhorn Beta 3
92
(http://go.microsoft.com/fwlink/?LinkId=72757). O BitLocker exige que a partio ativa (tambm chamada de partio de sistema) no seja criptografada. O sistema operacional Windows instalado em uma segunda partio, a qual criptografada pelo BitLocker. Ao trabalhar com a criptografia de dados, especialmente em um ambiente corporativo, necessrio ter em mente como estes dados podero ser recuperados no caso de uma falha de hardware, de mudanas no quadro de funcionrios, ou outras situaes em que h perda das chaves de criptografia. O BitLocker suporta um cenrio robusto de recuperao, o qual ser descrito neste artigo mais adiante. Os principais recursos do BitLocker incluem criptografia de unidade de disco, verificao da integridade dos primeiros componentes de inicializao e o mecanismo de recuperao.
93
O uso de um disco capacitado para BitLocker transparente para o sistema operacional e todas as aplicaes. Para informaes mais especficas do algoritmo de criptografia do BitLocker, consulte AES-CBC + Elephant diffuser: (http://go.microsoft.com/fwlink/?LinkId=82824)
Verificao de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos primeiros componentes da inicializao, para ajudar na preveno contra ataques offline adicionais, como por exemplo, tentativas de inserir cdigos maliciosos nesses componentes. Na primeira etapa do processo de inicializao, os componentes no podem estar criptografados, para que o computador possa iniciar. Por esta razo, um agressor pode efetuar mudana de cdigo nos primeiros componentes da inicializao, tendo acesso ao computador, mesmo que os dados do disco estejam criptografados. Assim, se o agressor conseguir acesso s informaes confidenciais, como as chaves do BitLocker ou senhas do usurio, o BitLocker, bem como outras protees de segurana do Windows, podem ser burladas. Cada vez que um computador equipado com TPM inicia, cada um dos primeiros componentes de inicializao (como BIOS, MBR, setor de partida e cdigo de gerenciamento de inicializao) examina o cdigo a ser executado, calcula um valor de seqncia e armazena este valor no TPM. Uma vez instalado no TPM, esse valor no pode ser mudado at que o sistema reinicialize. Uma combinao destes valores gravada e usada para proteger as chaves de criptografia. Os computadores que incorporam um TPM podem criar uma chave vinculada a estes valores. Quando este tipo de chave criada, ela criptografada pelo TPM, e somente o TPM pode descriptograf-la. Cada vez que o computador inicia, o TPM compara os valores produzidos durante a inicializao atual com os valores que existiam no momento da criao da chave. Ele somente criptografa a chave se os valores combinarem. Este processo chamado lacrar e deslacrar a chave. O BitLocker examina e lacra as chaves nas dimenses do CRTM (Core Root of Trust), do BIOS e de qualquer extenso de plataforma, opo de cdigo memria somente leitura (ROM), cdigo MBR, setor de partida e gerenciador de partida. Isto significa que, no caso de ocorrer alguma mudana inesperada em qualquer desses tens, o BitLocker travar a unidade e impedir que ela seja acessada ou descriptografada. O Bitlocker configurado para buscar e utilizar um TPM. Voc pode empregar a Diretiva de Grupo para permitir que o BitLocker opere sem um TPM e armazene as chaves em uma unidade externa USB; entretanto, o BitLocker no pode ento verificar os primeiros componentes da inicializao.
Guia do Revisor do Windows Server Longhorn Beta 3
94
preciso levar em considerao a disponibilidade de um TPM no momento da compra de hardware. Na ausncia de um TPM, a segurana fsica do servidor torna-se ainda mais importante. O BitLocker deve ser desativado durante a manuteno programada que envolva mudana em algum dos primeiros componentes de inicializao dimensionados. Aps o trmino da manuteno, o BitLocker pode ser reativado, e novas dimenses de plataforma so usadas para as chaves. A desativao e reativao no exigem a criptografia e re-criptografia do disco.
Opes de Recuperao
O BitLocker suporta uma grande srie de opes de recuperao, de modo a garantir a disponibilidade dos dados aos seus usurios legtimos. fundamental que os dados de uma empresa possam ser descriptografados, mesmo que estejam disponveis as chaves de descriptorafia mais amplamente utilizadas. A capacidade de recuperao est inserida no BitLocker, sem back doors. Porm, as empresas podem facilmente assegurar-se de que seus dados esto protegidos e disponveis. Quando o BitLocker ativado, o usurio recebe uma solicitao para armazenar uma senha de recuperao, a qual ser utilizada para destravar um volume BitLocker que estiver travado. O assistente de instalao do BitLocker exige que pelo menos uma cpia da senha de recuperao seja salva. Porm, em muitos ambientes, no possvel confiar a usurios a guarda e proteo das senhas de recuperao. Assim sendo, voc pode configurar o BitLocker para salvar as informaes de recuperao no Active Directory ou nos Servios de Domnio do Active Directory. Ns recomendamos que as senhas de recuperao sejam salvas no Active Directory em ambientes corporativos. As configuraes da Diretiva de Grupo podem ser usadas para configurar o BitLocker, de forma a exigir ou proibir diferentes tipos de armazenamento de senhas de recuperao, ou torn-las opcionais. As configuraes da Diretiva de Grupo tambm podem ser usadas para evitar a desativao do BitLocker, caso no seja possvel o backup das chaves no Active Directory. Para mais informaes sobre como configurar o Active Directory para suportar as opes de recuperao, veja: Configuring Active Directory to Back up Windows Criptografia de Unidade de Disco BitLocker e Trusted Platform Module Recovery Information (http://go.microsoft.com/fwlink/?LinkId=82827).
95
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto atravs do Windows Management Instrumentation (WMI) ou de uma interface de comando por linha. Em um ambiente com muitos computadores ou computadores em escritrios remotos e filiais, fica difcil ou impossvel gerenciar recursos e configuraes de forma individual. Os recursos do BitLocker esto dispostos no subsistema WMI, que uma implementao das estruturas e funes do WBEM (Web-Based Enterprise Management). Por essa razo, os administradores podem usar qualquer software WBEM compatvel com WMI para gerenciar o BitLocker em computadores locais ou remotos. Para mais informaes sobre BitLocker e WMI, veja: Criptografia de Unidade de Disco BitLocker Provider (http://go.microsoft.com/fwlink/?LinkId=82828) O Windows tambm adiciona ao BitLocker uma interface de comando por linha, implementada como um script chamado managebde.wsf.Voc pode usar o manage-bde.wsf para controlar todos os aspectos do BitLocker em um computador local ou remoto. Para obter uma lista completa da sintaxe e dos comandos do of managebde, digite o seguinte em um prompt de comando: manage-bde.wsf /? O gerenciamento remoto do BitLocker um componente opcional que pode ser instalado no Windows Server Longhorn, para permitir que voc gerencie outros computadores sem ativar o BitLocker no servidor que voc esteja usando. O componente opcional para o gerenciamento remoto do BitLocker chamado BitLocker-RemoteAdminTool. Este pacote de componente opcional contm o manage-bde.wsf e o arquivo associado .ini. Para instalar somente o componente de gerenciamento remoto, voc deve digitar no prompt de comando: start /w pkgmgr /iu:BitLocker-RemoteAdminTool
96
Nome da Configurao
Ativar backup do BitLocker para Servios de Domnio do Active Directory
Padro
Desativado
Descrio
Esta configurao verifica se a informao de recuperao do BitLocker foi copiada para o Servios de Domnio do Active Directory. Se ativada, ela tambm pode verificar se o backup obrigatrio ou opcional e se somente uma senha de recuperao ou um pacote inteiro est salvo. Esta configurao especifica a posio padro mostrada ao usurio para salvar chaves de recuperao. Pode ser uma posio local ou em rede. O usurio livre para escolher outras posies. Esta configurao permite escolher se o assistente de configurao do Criptografia de Unidade de Disco BitLocker pedir ao usurio para salvar as opes de recuperao do BitLocker. Duas opes de recuperao podem destravar o acesso aos dados criptografados do BitLocker. O usurio pode digitar uma senha de recuperao numrica de 48 dgitos, sua escolha . O usurio tambm pode inserir uma unidade USB que contenha uma chave de recuperao aleatria de 256 bits. Cada uma delas pode ser exigida ou proibida. Caso voc proba as duas opes o backup para os Servios de Domnio do Active Directory precisa ser ativado. Esta configurao permite escolher se o BitLocker pode ser ativado em computadores sem TPM, e se a autenticao multifactor pode ser usada em computadores sem TPM.
Configurao do Painel de Controle: Configurar pasta de recuperao Configurao do Painel de Controle: Configurar opes de recuperao
Nenhum(Seleo do usurio)
Configurao do Painel de Controle: Ativar opes de configurao avanadas Configurar mtodo de criptografia Prevenir regravao de memria na reinicializao
Desativado
Esta configurao estabelece a extenso da chave de criptografia AES e a utilizao ou no do Difusor. As chaves do BitLocker podem continuar na memria entre uma inicializao e outra se o computador no for desligado. Portanto, o BitLocker instrui os BIOS a limpar toda a memria em reinicializaes mornas, o que pode resultar em demora em sistemas com grande quantidade de memria. Ativar esta configurao pode melhorar o desempenho da reinicializao, mas no aumenta o risco de segurana. Determina quais dimenses de plataforma do TPM, armazenadas nos registros de controle de plataforma (PCRs), sero utilizadas para lacrar as chaves do BitLocker.
PCRs 0, 2, 4, 8, 9, 11
As configuraes de Diretiva de Grupo que controlam o comportamento do TPM podem ser encontradas em: Computer Configuration/Administrative Templates/System/Trusted Platform Module services. A tabela a seguir resume estas configuraes.
Guia do Revisor do Windows Server Longhorn Beta 3
97
Padro
Desativado
Descrio
Esta configurao controla o backup da informao de senha do proprietrio do TPM nos Servios de Domnio do Active Directory.Caso esteja ativada, ela tambm pode controlar se o backup obrigatrio ou opcional. Esta diretiva permite que funes especficas do TPM sejam ativadas ou desativadas. Porm, as duas prximas configuraes podem restringir os comandos disponveis. As listas baseadas em Diretiva de Grupo prevalecem sobre as listas locais. As listas locais podem ser configuradas no console de Gerenciamento do TPM. Por padro, alguns comandos do TPM so bloqueados. Para ativar estes comandos, esta configurao de diretiva precisa ser ativada. Por padro, um administrador local pode bloquear os comandos no console de Gerenciamento do TPM. Esta configurao pode ser usada para evitar tal comportamento.
Nenhum
Ignorar a lista padro dos comandos do TPM bloqueados Ignorar a lista local dos comandos do TPM bloqueados
Desativado
Desativado
Para mais informaes sobre a operao do TPM e a utilizao do console de Gerenciamento do TPM, veja o Guia Passo a Passo Windows Trusted Platform Module Management: (http://go.microsoft.com/fwlink/?LinkId=82830).
Implantao
O BitLocker um componente opcional em todas as edies do Windows Server Longhorn. O BitLocker est disponvel no Windows Vista Enterprise e no Windows Vista Ultimate, e pode ser muito til na proteo de dados armazenados em computadores clientes, especialmente nos mveis. Antes de ativar o BitLocker, voc deve levar em considerao: Requisitos de Hardware. Se o hardware existente no tiver potncia suficiente para realizar a criptografia, considere fazer uma atualizao. Para utilizar a totalidade de recursos do sistema, como ser descrito adiante, a plataforma de hardware deve estar equipada com um TPM verso 1.2. Diretivas corporativas. Avalie suas diretivas relacionadas reteno de dados, criptografia e compatibilidade. Certifique-se de ter um plano para recuperao de dados, como ser discutido na prxima seo.
98
Como sero armazenadas as informaes de recuperao. Ns recomendamos a utilizao do Active Directory para backups de informaes de recuperao em ambientes corporativos.
Informaes Adicionais
Para informaes adicionais sobre o BitLocker, visite: Criptografia de Unidade de Disco BitLocker: Viso Geral Tcnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-aPasso Windows Criptografia de Unidade de Disco BitLocker (http://go.microsoft.com/fwlink/?LinkID=53779). Artigos e recursos adicionais sobre o BitLocker esto disponveis no TechCenter do Microsoft Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82914).
99
Para saber mais, veja a seo 7.05 Ncleo do Servidor na pgina 242.
100
101
102
103
104
os escritrios de filiais a sua rede por meio de solues VPN, implantar roteadores de software com diversos recursos em sua rede, como tambm compartilhar conexes da Internet pela intranet. Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS. Em vez de configurar diretivas de acesso rede em cada servidor de acesso rede, como pontos de acesso sem fio, switches de autenticao, servidores VPN e servidores de discagem, voc poder criar diretivas em um nico local que especifique todos os aspectos das solicitaes de conexo rede, incluindo quem tem permisso para conectar-se, quando a conexo poder ser feita e o nvel de segurana que deve ser utilizado para conectar-se a sua rede.
As seguintes tecnologias podem ser implantadas aps a instalao do servio de funo NPS: o Servidor de diretiva NAP. Quando voc configura o NPS como um servidor de diretiva NAP, o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se rede. Voc pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configuraes de forma que estejam de acordo com a diretiva de rede de sua organizao. IEEE 802.11 Sem fio. Com a utilizao do snap-in do MMC (Microsoft Management Console) NPS, voc pode configurar diretivas de solicitao de conexo baseadas na autenticao 802.1X para o acesso rede cliente sem fio IEEE 802.11. Alm disso, voc pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service)
105
no NPS e utilizar o NPS como um servidor RADIUS para processar solicitaes de conexo, bem como realizar a autenticao, autorizao e registro de conexes sem fio 802.11. possvel integrar totalmente o acesso sem fio IEEE 802.11 com o NAP durante a implantao de uma infra-estrutura de autenticao sem fio 802.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permisso para conectar-se rede. o IEEE 802.3 Com fio. Com a utilizao do snap-in do MMC NPS, voc pode configurar diretivas de solicitao de conexo baseadas na autenticao 802,1X para o acesso rede Ethernet com fio IEEE 802.3. Voc pode configurar switches em conformidade com o 802.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitaes de conexo, bem como realizar autenticao, autorizao e registro de conexes Ethernet 802.3. possvel integrar totalmente o acesso cliente com fio IEEE 802.3 com o NAP durante a implantao de uma infra-estrutura de autenticao com fio 802.1X. Servidor RADIUS. O NPS realiza a autenticao de conexo centralizada, a autorizao e o registro de conexes VPN, discadas de acesso remoto e de switch de autenticao. - Dvida Ao utilizar o NPS como um servidor RADIUS, voc configura servidores de acesso rede, tais como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Voc tambm pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitaes de conexo, alm de poder configurar o registro RADIUS para que os logs do NPS registrem informaes nos arquivos de log no disco rgido local ou em um banco de dados do Microsoft SQL Server. Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS, voc poder configurar diretivas de solicitao de conexo que informem o servidor NPS quais solicitaes de conexo devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS voc deseja encaminhar solicitaes de conexo. O NPS tambm pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos.
Roteamento e Acesso Remoto. Com o Roteamento e Acesso Remoto, voc pode implantar servios de acesso remoto, servios de roteamento NAT de rede e multiprotocolos LANto-LAN e LAN-to-WAN. (Dvida)
Guia do Revisor do Windows Server Longhorn Beta 3
106
As seguintes tecnologias podem ser implantadas durante a instalao do servio de funo de Roteamento e Acesso Remoto: o Servio de Acesso Remoto. Com o Roteamento e Acesso Remoto, voc pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexes VPN IPsec (Internet Protocol security) a fim de fornecer aos usurios finais o acesso remoto rede de sua organizao. Voc tambm pode criar uma conexo VPN de site para site entre dois servidores em diferentes locais. Cada servidor configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. A conexo entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda). O Acesso Remoto tambm fornece acesso remoto tradicional para dar suporte a usurios mveis ou domsticos que se conectam a intranets de uma organizao. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitaes de conexes de entrada a partir de clientes de rede dial-up. O servidor de acesso remoto responde chamada, autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organizao. o Roteamento. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet. Alm disso, ele oferece servios de roteamento aos negcios em ambientes LAN (local area network) e WAN (wide area network). Ao implantar o NAT, o servidor que executa o Roteamento e Acesso Remoto configurado para compartilhar uma conexo da Internet com os computadores de uma rede privada e traduzir o trfego entre seu endereo pblico e a rede privada. Utilizando o NAT, os computadores na rede privada obtm alguma medida de proteo, pois o roteador com o NAT configurado no encaminha o trfego a partir da Internet para a rede privada, a menos que um cliente de rede privada tenha solicitado ou que o trfego esteja explicitamente permitido. Ao implantar a VPN e o NAT, o servidor que executa o Roteamento e Acesso Remoto configurado para fornecer o NAT para a rede privada e para aceitar conexes VPN. Os computadores na Internet no podero determinar os endereos IP dos computadores na rede privada. Entretanto, os clientes VPN podero conectar-se aos computadores na rede privada, como se estivessem fisicamente ligados mesma rede.
Guia do Revisor do Windows Server Longhorn Beta 3
107
Health Registration Authority (HRA). O HRA um componente NAP que emite certificados de integridade a clientes que passam pela verificao de diretiva de integridade realizada pelo NPS utilizando o SoH cliente. O HRA utilizado somente quando o mtodo de reforo NAP um reforo do IPsec. Host Credential Authorization Protocol (HCAP). O HCAP permite que voc integre sua soluo Microsoft NAP ao Cisco Network Access Control Server. Ao implantar o HCAP com o NPS e o NAP, o NPS pode realizar a avaliao de integridade do cliente e a autorizao dos clientes de aceso Cisco 802.1X.
Comandos Netsh para definir configuraes de cliente NAP. Os comandos Netsh para as configuraes de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configuraes disponveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Snap-in MMC Routing and Remote Access. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de rede
Guia do Revisor do Windows Server Longhorn Beta 3
108
dial-up, um roteador, um conexo site-site VPN, VPN e NAT ou NAT. Comandos Netsh para acesso remoto (RAS). Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configuraes de acesso remoto disponveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Comandos Netsh para roteamento. Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configuraes de acesso remoto disponveis por meio do snap-in de Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Wireless Network (IEEE 802.11) Policies snap-in (MMC) Group Policy Object Editor. A extenso Wireless Network (IEEE 802.11) Policies automatiza a definio das configuraes de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service - servio de configurao automtica de LAN sem fio). Voc pode utilizar a extenso Wireless Network (IEEE 802.11) Policies no Group Policy Object Editor para especificar as configuraes para clientes sem fio Windows XP e Windows Vista. As extenses Wireless Network (IEEE 802.11) Policies Group Policy incluem configuraes globais sem fio, a lista de redes preferidas, as configuraes WPA (Wi-Fi Protected Access), alm das configuraes IEEE 802.1X. Quando essas configuraes so definidas, o download delas feito para os clientes sem fio do Windows que so membros do domnio. As configuraes sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configurao de Computador. Por padro, a extenso Wireless Network (IEEE 802,11) Policies no configurada ou ativada. Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configuraes de segurana do Windows Vista. Voc pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar mltiplos computadores que utilizem um script de logon. Alm disso, possvel utilizar os comandos Netsh wlan para visualizar as configuraes de Diretiva de Grupo e administrar as configuraes do WISP (Wireless Internet Service Provider) e as configuraes sem fio de usurio. A interface Netsh sem fio fornece os seguintes benefcios: o Suporte para o modo misto. Isso permite que os administradores configurem clientes para dar suporte
109
s mltiplas opes de segurana. Por exemplo, um cliente pode ser configurado para os padres de autenticao WPA2 e WPA. Isso permite que o cliente utilize o WPA2 para conectar-se s redes com suporte ao WPA2 e utilize o WPA para conectar-se s redes com suporte apenas ao WPA. o Bloqueio de redes no desejadas. Os administradores podem bloquear e ocultar o acesso s redes sem fio no-corporativas, adicionando redes ou tipos de redes lista de redes negadas. De forma semelhante, possvel permitir o acesso s redes sem fio corporativas.
Wireless Network (IEEE 802.3) Policies snap-in (MMC) Group Policy Object Editor. Voc pode utilizar o Wired Network (IEEE 802.3) Policies para especificar e modificar as configuraes para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extenses Wireless Network (IEEE 802.11) Policies Group Policy incluem configuraes globais com fio e IEEE 802.1X. Essas configuraes incluem o conjunto completo de itens de configurao com fio associados s guias Geral e Segurana. Quando essas configuraes so definidas, o download delas feito para os clientes sem fio do Windows que so membros do domnio. As configuraes sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. Por padro, a extenso Wired Network (IEEE 802.3) Policies no configurada ou ativada.
Comandos Netsh para a LAN. A interface Netsh LAN uma alternativa para utilizar a Diretiva de Grupo no Windows Server Longhorn a fim de configurar as configuraes de segurana e a conectividade com fio do Windows Vista. Voc pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar mltiplos computadores. Alm disso, possvel utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802.3) Policies e administrar as configuraes 1x com fio do cliente.
Recursos Adicionais
Para saber mais sobre os Servios de Acesso e Diretiva de Rede, abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda: Snap-in MMC NPS Snap-in MMC Routing and Remote Access. Snap-in MMC HRA Snap-in MMC Group Policy Object Editor
Guia do Revisor do Windows Server Longhorn Beta 3
110
111
Reforar os requisitos de integridade para laptops mveis quando estes forem conectados novamente na rede da empresa. Verificar a integridade e a conformidade de diretivas dos computadores domsticos no-gerenciados que se conectam rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto. Determinar a integridade e restringir o acesso dos laptops trazidos para uma organizao pelos visitantes e parceiros.
Dependendo de suas necessidades, os administradores podem configurar uma soluo para lidar com qualquer um desses cenrios. O NAP tambm inclui um conjunto API para desenvolvedores e fornecedores para que estes possam criar seus prprios componentes para validao de diretivas de rede, para a conformidade contnua e o isolamento de rede. As implantaes do NAP exigem servidores que executem o Windows Server Longhorn. Alm disso, so exigidos computadores cliente que executem o Windows Vista, o Windows Server Longhorn ou o Windows XP com SP2 e o Network Access Protection Client para Windows XP. O servidor central que realiza a anlise de determinao da integridade para o NAP um computador que executa o Windows Server Longhorn e o NPS. O NPS a implementao do Windows de um servidor e proxy RADIUS. O NPS o substituto do IAS (Internet Authentication Service) no Windows Server 2003. Os dispositivos de acesso e os servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a autenticao e a autorizao de uma tentativa de conexo rede e, com base nas diretivas de integridade do sistema, determina a conformidade da integridade do computador e tambm como limitar o acesso rede de um computador que no est em conformidade com as diretivas. A plataforma NAP uma nova tecnologia de reforo e validao de integridade do cliente includa nos sistemas operacionais Windows Server Longhorn e Windows Vista. Nota O framework do NAP no o mesmo do Network Access Quarantine Control, o qual um recurso fornecido com o Windows Server 2003 e o ISA Server 2004. O Network Access Quarantine Control pode fornecer proteo adicional para conexes de acesso remoto (dial-up e VPN). Para mais informaes sobre o Network Access Quarantine Control no Windows Server 2003, veja Network Access Quarantine Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447). Para mais informaes sobre esse recurso no ISA Server 2004, veja Clientes Mveis VPN e Quarantine Control no ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).
112
Validao de Diretivas
Os SHVs (System health validators validadores de integridade do sistema) so utilizados pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs so incorporados s diretivas de rede que determinam as aes a serem realizadas com base no status da integridade do cliente, como conceder acesso total rede ou restringir o acesso rede. O status da integridade monitorado pelos componentes NAP do lado do cliente, chamados de SHAs (system health agents agentes de integridade do sistema). O NAP utiliza os SHAs e os SHVs para monitorar, reforar e remediar configuraes de computadores cliente. O Windows Security Health Agent e o Windows Security Health Validator esto includos nos sistemas operacionais Windows Server Longhorn e Windows Vista e reforam as seguintes configuraes para computadores ativados para o NAP: O computador cliente deve possuir software de firewall instalado e ativado. O computador cliente deve possuir software antivrus instalado e em execuo. O computador cliente deve possuir atualizaes de antivrus atuais instaladas. O computador cliente deve possuir software anti-spyware instalado e em execuo. O computador cliente deve possuir atualizaes de antispywares atuais instaladas. O Microsoft Update Services deve estar ativado no computador cliente.
Alm disso, se computadores clientes ativados para o NAP estiverem executando o Windows Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update Service), o NAP poder verificar se a maioria das atualizaes de segurana de software est instalada, com base em um dos quatro valores possveis que correspondem classificao de severidade de segurana do MSRC(Microsoft Security Response Center).
113
deve conter os servios NAP principais, como os servidores HRA e os servidores de remediao, para que clientes NAP em no-conformidade possam atualizar suas configuraes e estar em conformidade com os requisitos de integridade. As configuraes de reforo NAP permitem que voc limite o acesso rede de clientes em no-conformidade ou apenas observe e registre o status de integridade de computadores cliente ativados para o NAP. Voc pode optar por restringir o acesso, adiar a restrio de acesso ou ainda permitir o acesso por meio da utilizao das seguintes configuraes: Do not enforce (No aplicar). Esta a configurao padro. Os clientes que atendem s condies de diretiva so considerados como estando em conformidade com os requisitos de integridade de rede e a eles concedido acesso irrestrito rede caso a solicitao de conexo seja autenticada e autorizada. O status de conformidade de integridade dos computadores cliente ativados para o NAP registrado. Enforce (Aplicar). Os computadores cliente que atendem s condies de diretivas so considerados como no estando em conformidade com os requisitos de integridade de rede. Esses computadores so colocados na rede restrita. Defer enforcement (Adiar aplicao). Os clientes que atendem s condies de diretivas recebem, temporariamente, acesso irrestrito. O NAP adiado at a data e o horrio especificados.
Remediao
Os computadores cliente no-conformes que so colocados em uma rede restrita podem ser submetidos remediao. Remediao o processo de atualizar um computador cliente de forma que ele passe a atender aos requisitos atuais de integridade. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais de vrus de forma que os computadores cliente em no-conformidade possam atualizar suas assinaturas. possvel utilizar as configuraes do NAP nas diretivas de integridade NPS para configurar a remediao automtica, de forma que os componentes do cliente NAP tentem, automaticamente, atualizar o computador cliente quando este estiver em noconformidade com os requisitos de integridade de rede. Voc pode utilizar a seguinte configurao de diretiva para configurar a remediao automtica: Atualizaes de computador. Se a opo Update noncompliant computers automatically estiver selecionada, a remediao automtica estar ativada, e os computadores ativados para o que no estiverem em conformidade com os requisitos de integridade tentaro, automaticamente, fazer a atualizao.
Guia do Revisor do Windows Server Longhorn Beta 3
114
115
Abordagens Combinadas
Cada um desses mtodos de reforo NAP possui diferentes vantagens. Combinando os mtodos de reforo, ser possvel combinar as vantagens desses mtodos. Entretanto, ao implantar mltiplos mtodos de reforo NAP, voc poder fazer com que sua implementao NAP seja mais complexa de ser gerenciada. O framework do NAP tambm fornece um conjunto de APIs que permite que outras empresas que no sejam a Microsoft integrem seus softwares com a NAP. Utilizando as APIs do NAP, fornecedores e desenvolvedores de software podero fornecer solues de fim a fim que validem o funcionamento e faam a remediao de clientes em no-conformidade.
Implantao
Guia do Revisor do Windows Server Longhorn Beta 3
116
Os preparativos necessrios para a implantao do NAP dependem do mtodo (ou mtodos) de reforo escolhido e dos requisitos de integridade que se pretende reforar quando os computadores cliente tentam conectar-se rede ou comunicar-se com ela. Se voc for um administrador de sistemas ou de rede, ser possvel implantar o NAP com o Windows Security Health Agent e o Windows Security Health Validator. Voc tambm poder verificar com outros fornecedores de software se eles possuem SHAs e SHVs para seus produtos. Por exemplo, se um fornecedor de software antivrus desejar criar uma soluo NAP que inclua um SHA e um SHV personalizado, ele poder utilizar um conjunto de APIs para criar esses componentes, os quais podero ser integrados com as solues NAP implantadas pelos clientes desse fornecedor. Alm dos SHAs e SHVs, a plataforma NAP utilize mltiplos componentes de servidor e cliente para detectar e monitorar o status da integridade do sistema dos computadores cliente quando estes tentam conectar-se rede ou comunicar-se com ela. Na figura abaixo, so ilustrados alguns componentes comuns utilizados na implantao do NAP:
117
118
SHVs e envia essas respostas ao NPS para que este faa uma avaliao. SHVs (System health validators - validadores de integridade do sistema). Os SHVs so cpias de software de servidor para os SHAs. Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs verificam o SoH feito por seu SHA correspondente no computador cliente. Os SHAs e os SHVs so associados um ao outro, juntamente com um servidor de diretivas correspondente (se exigido) e, talvez, a um servidor de remediao. Um SHV tambm pode detectar que nenhum SoH foi recebido (por exemplo, se o SHA nunca tiver sido instalado, se tiver sido danificado ou removido). Se o SoH atender ou no diretiva definida, o SHV enviar uma mensagem SoHR (statement of health response - declarao de resposta de integridade) para o servidor de administrao NAP. Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o servidor NPS dever coordenar a sada de todos os SHVs e determinar se deve ser limitado o acesso de um computador em no-conformidade. Isso exige um planejamento cuidadoso ao definir diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs interagem. NAP enforcement server (servidor de reforo NAP). O NAP ES associado a um NAP EC correspondente para o mtodo de reforo NAP que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC, passando-os para que o NPS faa uma avaliao. Com base na resposta, fornecido acesso limitado ou ilimitado rede para o cliente ativado para o NAP. Dependendo do tipo de reforo NAP, o NAP ES pode ser uma autoridade de certificao (reforo IPsec), um switch de autenticao ou um ponto de acesso sem fio (reforo 802.1x), um servidor Roteamento e Acesso Remoto(reforo VPN) ou um servidor DHCP (reforo DHCP). Servidor de diretivas. Um servidor de diretivas um componente de software que se comunica com um SHV a fim de fornecer as informaes utilizadas na avaliao dos requisitos para a integridade do sistema. Por exemplo, um servidor de diretivas, como um servidor de assinaturas antivrus, pode fornecer a verso do arquivo atual de assinaturas para a validao de um SoH antivrus cliente. Os servidores de diretivas so associados aos SHVs, mas nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um SHV pode simplesmente ordenar que clientes ativados para o NAP verifiquem as configuraes locais de sistema a fim de assegurar que um firewall baseado em host esteja ativado. Servidor de remediao. Um servidor de remediao hospeda as atualizaes que podem ser utilizadas pelos SHAs para fazer com que computadores cliente em no-conformidade passem a estar em conformidade. Por exemplo, um servidor de remediao pode hospedar atualizaes de software. Se a diretiva de integridade exigir que
Guia do Revisor do Windows Server Longhorn Beta 3
119
os computadores cliente NAP possuam as mais recentes atualizaes de software instaladas, o NAP EC ir restringir o acesso rede dos clientes que no possurem essas atualizaes. Os servidores de remediao devem estar acessveis aos clientes com acesso restrito rede para que os clientes obtenham as atualizaes exigidas para que estejam em conformidade com as diretivas de integridade. SoHR (Statement of health response). Depois que o SoH cliente for avaliado mediante a diretiva de integridade pelo SHV apropriado, um SoHR ser gerado, contendo os resultados da avaliao. O SoHR inverte o caminho do SoH e enviado de volta ao SHA do computador cliente. Se o computador cliente for considerado como estando em no-conformidade, o SoHR ir conter as instrues de remediao utilizadas pelo SHA para fazer com que a configurao do computador cliente esteja em conformidade com os requisitos de integridade. Assim como cada tipo de SoH contm diferentes tipos de informaes sobre o status do funcionamento do sistema, cada mensagem SoHR contm as informaes sobre como estar em conformidade com os requisitos de integridade.
Informaes Adicionais
Para mais informaes sobre o NAP, acesse o site sobre Network Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).
120
121
Suporte ao Network Diagnostics Framework Windows Filtering Platform Explicit Congestion Notification
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a velocidade do processamento do receptor, o CTCP (Compound TCP) na Pilha TCP/IP de ltima gerao otimiza a velocidade do processamento do emissor. Trabalhando juntos, eles podem aumentar a utilizao de links e produzir ganhos substanciais de desempenho para grandes conexes de produto de atraso de largura de banda. O CTCP utilizado para conexes TCP com um grande tamanho de janela de recebimento e um grande produto de atraso de largura de banda (a largura de banda de uma conexo multiplicada pelo seu atraso). Ele aumenta, de forma significativa, a quantidade de dados enviados por vez e ajuda a garantir que seu comportamento no cause impactos negativos em outras conexes TCP. Por exemplo, em testes realizados internamente na Microsoft, os horrios de backup para arquivos extensos foram reduzidos em quase metade para uma conexo de 1 gigabit por segundo com um RTT (round-trip time) de 50 milsimos de segundo. Conexes com um produto de atraso de largura de banda maior podem ter um melhor desempenho.
122
Quando mltiplos segmentos em uma janela de dados forem perdidos, e o emissor receber uma confirmao parcial informando que os dados foram recebidos, o algoritmo NewReno fornecer uma maior velocidade do processamento, alterando a forma com que um emissor pode aumentar sua taxa de envio. RFC 2883: Uma Extenso Opo SACK (Selective Acknowledgement) para TCP
O SACK, definido na RFC 2018, permite que um receptor indique at quatro blocos no-contguos de dados recebidos. A RFC 2883 define uma utilizao adicional da opo SACK TCP para reconhecer pacotes duplicados. Isso permite que o receptor do segmento TCP que contm a opo SACK determine quando um segmento foi retransmitido desnecessariamente e ajuste o comportamento para evitar futuras retransmisses. Reduzir o nmero de retransmisses enviadas melhora a velocidade do processamento. RFC 3517: Um Algoritmo de Recuperao de Perdas Baseado no SACK (Selective Acknowledgment) Conservador para TCP
Considerando que o Windows Server 2003 e o Windows XP utilizam as informaes do SACK somente para determinar quais segmentos TCP no chegaram no destino, a RFC 3517 define um mtodo de utilizar as informaes do SACK para realizar a recuperao de perda quando confirmaes duplicadas tiverem sido recebidas e substitui o algoritmo de recuperao rpida quando o SACK estiver ativado em uma conexo. A Pilha TCP/IP de ltima gerao controla as informaes do SACK em uma base por conexo e monitora as confirmaes de entrada a fim fazer a recuperao mais rapidamente quando segmentos no forem recebidos no destino. RFC 4138: Recuperao F-RTO (Forward RTO): Um Algoritmo para a Deteco de Falsos Timeouts de Retransmisso com o TCP e o SCTP (Stream Control Transmission Protocol)
O algoritmo F-RTO (Forward-Retransmission Timeout) evita a retransmisso desnecessria de segmentos TCP. Retransmisses desnecessrias de segmentos TCP podem ocorrer quando houver um aumento repentino ou temporrio no RTT (round-trip time). O resultado do algoritmo F-RTO indicado para ambientes com aumentos repentinos ou temporrios no RTT, como quando um cliente sem fio passa de um ponto de acesso sem fio (AP access point) para outro. O F-RTO evita a retransmisso desnecessria de segmentos e retorna mais rapidamente a sua taxa de envio normal.
123
alcanado, fornecendo melhor deteco e recuperao de erros quando os ns, repentinamente, ficarem indisponveis. A Pilha TCP/IP de ltima gerao tambm d suporte ao trfego do Neighbor Un-reach-ability Detection for IPv4, por meio do controle do estado alcanvel dos ns IPv4 no cache de rota do IPv4. O Neighbor Un-reach-ability Detection for IPv4 determina a capacidade de alcance por meio de uma troca de mensagens ARP Reply e ARP (Address Resolution Protocol) Request ou por meio da relao de confiana em protocolos de camada superior, como o TCP.
124
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do trfego entre interfaces para configuraes VPN, a Pilha TCP/IP de ltima gerao d suporte aos compartimentos de roteamento. Um compartimento de roteamento a combinao de um conjunto de interfaces com uma sesso de login que possui suas prprias tabelas de roteamento IP. Um computador pode possuir mltiplos compartimentos de roteamento isolados uns dos outros. Cada interface pode pertencer somente a um nico compartimento. Por exemplo, quando um usurio inicia uma conexo VPN pela Internet com a implementao TCP/IP no Windows XP, o computador do usurio ter conectividade parcial tanto para a Internet quanto para a intranet particular, manipulando entradas na tabela de roteamento IPv4. Em algumas situaes, possvel que o trfego da Internet seja encaminhado pela conexo VPN para a intranet particular. Para clientes VPN com suporte para compartimentos de roteamento, a Pilha TCP/IP de ltima gerao isola a conectividade da Internet da conectividade da intranet particular por meio de tabelas de roteamento IP separadas.
A Pilha TCP/IP de ltima gerao d suporte ao esboo do IETF (Internet Engineering Task Force) TCP Extended Statistics MIB, o qual define as estatsticas de desempenho estendidas para o
Guia do Revisor do Windows Server Longhorn Beta 3
125
TCP. Analisando o ESTATS em uma conexo, possvel determinar se o gargalo de desempenho para uma conexo o aplicativo de envio, de recepo ou se a rede. Por padro, o ESTATS desabilitado e pode ser ativado por conexo. Com o ESTATS, os ISVs (independent software vendors) que no so da Microsoft podem criar diagnsticos eficientes e aplicativos de anlise de velocidade de processamento de rede.
Melhorias no IPv6
A Pilha TCP/IP de ltima gerao d suporte s seguintes melhorias no IPv6: IPv6 ativado por padro Pilha IP dupla Configurao baseada em GUI Melhorias no Teredo Suporte IPsec integrado Multicast Listener Discovery verso 2
Guia do Revisor do Windows Server Longhorn Beta 3
126
Link-Local Multicast Name Resolution IPv6 pelo PPP IDs aleatrios de interface para endereos IPv6 Suporte DHCPv6
Pilha IP Dupla
A Pilha TCP/IP de ltima gerao d suporte arquitetura de camadas IP dupla, na qual as implementaes do IPv4 e IPv6 compartilham camadas comuns de frame e transporte (TCP e UDP). A Pilha TCP/IP de ltima gerao possui o IPv4 e o IPv6 ativados por padro. No necessrio instalar um componente separado para obter o suporte ao IPv6.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos ativados para o IPv6, fornecendo globalmente o endereamento IPv6 exclusivo e permitindo o trfego IPv6 para atravessar os NATs. Com o Teredo, os aplicativos ativados para o IPv6 que exigem o trfego de entrada no solicitado e o endereamento global, como aplicativos entre iguais, funcionaro pelo NAT. Esses mesmos tipos de aplicativos, se utilizassem o trfego IPv4, ou exigiriam a configurao manual do NAT, ou no funcionariam sem a modificao do protocolo do aplicativo de rede. O Teredo pode agora funcionar se houver um cliente Teredo atrs de um ou mais NATs simtricos. Um NAT simtrico mapeia o mesmo endereo (privado) e o mesmo nmero de porta internos para diferentes endereos e portas (pblicos) externos, dependendo do endereo externo de destino (para o trfego de sada). Este novo comportamento permite que o Teredo funcione entre um conjunto maior de hosts conectados Internet.
127
No Windows Vista, o componente Teredo estar ativado, mas inativo por padro. Para ativ-lo, um usurio deve instalar um aplicativo que precise utilizar o Teredo ou optar por alterar as configuraes de firewall a fim de permitir que um aplicativo utilize o Teredo.
Suporte DHCPv6
Guia do Revisor do Windows Server Longhorn Beta 3
128
O Windows Server Longhorn e o Windows Vista incluem um cliente DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol version 6) que efetua a configurao automtica de endereos com monitoramento de estado com um servidor DHCP. O Windows Server Longhorn inclui um servio DHCP Server ativado para o DHCPv6.
129
Comeando com o Windows XP Service Pack 2, o Firewall do Windows foi ativado por padro nos sistemas operacionais da Microsoft. O Windows Server Longhorn o primeiro sistema operacional de servidor da Microsoft a ter o Firewall do Windows ativado por
Guia do Revisor do Windows Server Longhorn Beta 3
130
padro. Pelo fato de o Firewall do Windows estar ativado por padro, todo administrador de um servidor que executa o Windows Server Longhorn deve estar atento a esse recurso e entender como o firewall deve ser configurado a fim de permitir o trfego de rede exigido. O console Windows Firewall with Advanced Security pode ser completamente configurado, utilizando o snap-in MMC Windows Firewall with Advanced Security ou os comandos disponveis no contexto advfirewall da ferramenta de linha de comando Netsh. Tanto as ferramentas grficas quanto as de linha de comando do suporte ao gerenciamento do Windows Firewall with Advanced Security no computador local ou em um computador remoto que executa o Windows Server Longhorn ou Windows Vista que esteja na rede. As configuraes criadas com a utilizao dessas ferramentas podem ser implantadas nos computadores vinculados rede, utilizando a Diretiva de Grupo. Ser preciso rever esta seo sobre o Windows Firewall with Advanced Security se voc fizer parte de um dos seguintes grupos: Planejadores e analistas de TI que esto avaliando tecnicamente o produto. Planejadores e designers corporativos de TI. Profissionais de TI que implantam ou administram solues de segurana de rede em uma organizao.
O Windows Firewall with Advanced Security consolida duas funes que eram gerenciadas separadamente em verses anteriores do Windows. Alm disso, a principal funcionalidade dos componentes do IPsec e de firewall do Windows Firewall with Advanced Security foi aprimorada de forma significativa no Windows Vista e Windows Server Longhorn. Se voc criar um software projetado para ser instalado no Windows Vista ou no Windows Server Longhorn, ser preciso ter a certeza de que o firewall configurado corretamente pela sua ferramenta de instalao, criando ou ativando regras que permitam que o trfego de rede do programa passe pelo firewall. O seu programa dever reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows, domnio, privado e pblico, e responder corretamente a uma alterao no tipo de local de rede. importante lembrar que uma alterao no tipo de local de rede poder resultar em diferentes regras de firewall sendo aplicadas no computador. Por exemplo, se voc quiser que seu aplicativo seja executado somente em um ambiente seguro, como um domnio ou uma rede privada, as regras de firewall devero evitar que o seu aplicativo envie o trfego de rede quando o computador estiver em uma rede pblica. Se o tipo de local de rede for alterado de forma inesperada durante a execuo de seu aplicativo, ele dever lidar muito bem com essa situao.
131
132
negociao IPsec, a tentativa de texto plano ter permisso para prosseguir. Em verses anteriores do Windows, era preciso aguardar trs segundos aps a tentativa de negociao IPsec antes de tentar a comunicao utilizando o texto plano. Isso resultava em grandes atrasos no desempenho do trfego, que no podia ser protegido e tinha de ser testado novamente em texto plano. Para evitar esse atraso de desempenho, um administrador precisava criar mltiplas regras IPsec para lidar com os diferentes requisitos de cada tipo de trfego de rede. Esse novo comportamento permite solicitar, mas no exigir, que a proteo IPsec realize o trfego desprotegido, uma vez que o atraso de trs segundos no mais exigido. isso permite que voc proteja o trfego onde quer que ele seja exigido, sem a necessidade de criar regras que permitam explicitamente as excees necessrias. Isso resulta em um ambiente mais seguro, menos complexo e que facilita a soluo de problemas.
Suporte para Proteger um Membro de Domnio para o Trfego de Controlador de Domnio Utilizando o IPsec
Verses anteriores do Windows no suportam a utilizao do IPsec para proteger o trfego entre controladores de domnio e
133
computadores membro de domnio. O Windows Vista e o Windows Server Longhorn so suporte proteo do trfego de rede entre computadores membro de domnio e controladores de domnio, utilizando o IPsec, enquanto permitem que um computador que no membro de domnio passem a fazer parte de um domnio por meio da utilizao do controlador de domnio protegido pelo IPsec.
Alm disso, os seguintes mtodos de criptografia que utilizam o AES (Advanced Encryption Standard) so suportados: AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128) AES com CBC e um tamanho de chave de 192 bits (AES 192) AES com CBC e um tamanho de chave de 256 bits (AES 256)
As Configuraes Podem Ser Alteradas Dinamicamente Com Base no Tipo de Local de Rede
O Windows Vista e o Windows Server Longhorn podem notificar aplicativos, ativados para a rede, como o Windows Firewall, quanto s alteraes nos tipos de local de rede disponveis por meio de adaptadores de rede anexados, conexes VPN e assim por diante. O Windows d suporte a trs tipos de local de rede, e os programas podem utilizar esses tipos para aplicar automaticamente o conjunto apropriado de opes de configurao. Os aplicativos devem ser criados de forma que possam obter a vantagem desse recurso e receber notificaes de alteraes feitas nos tipos de local de rede. O Windows Firewall with Advanced Security no Windows Vista e no Windows Server Longhorn pode fornecer diferentes nveis de proteo com base no tipo de local de rede ao qual o computador est ligado. Estes so os tipos de locais de rede: Domnio. Este tipo de local computador for membro de um determinar que o computador que hospeda o domnio. Essa de rede ser selecionado quando domnio, e o Windows ir est atualmente ligado rede seleo baseada na
134
autenticao bem-sucedida com um controlador de domnio na rede. Privado. Este tipo de local de rede pode ser selecionado para redes confiveis pelo usurio, como uma rede domstica ou uma rede de um pequeno escritrio, por exemplo. As configuraes atribudas a este tipo de local so mais restritivas do que uma rede de domnio, pois no se espera que uma rede domstica seja to ativamente gerenciada quanto uma rede de domnio. Uma rede recm detectada nunca ser automaticamente atribuda ao tipo de local Privado. Um usurio deve optar explicitamente por atribuir a rede ao tipo de local Privado. Pblico. Este tipo de local de rede atribudo por padro a todas as redes recm detectadas. As configuraes atribudas a este tipo de local so muito mais restritivas, devido aos riscos de segurana existentes em uma rede pblica.
Nota O recurso que permite definir o tipo de local de rede muito til em computadores cliente, principalmente em computadores portteis, os quais so movidos de uma rede para outra. No se espera que um servidor seja mvel. Por esse motivo, uma estratgia sugerida para um computador tpico que executa o Windows Server Longhorn configurar esses trs perfis da mesma forma.
135
interrompido, mesmo que exista uma regra de firewall para permitir que o mesmo tipo de pacote de rede esteja presente. Isso pode resultar em cenrios com problemas difceis de serem solucionados. Combinar as duas funes reduz a possibilidade de criar regras conflitantes e ajuda a garantir que o trfego que voc deseja proteger seja manipulado corretamente.
Referncias Adicionais
Os recursos a seguir fornecem informaes adicionais sobre o Windows Firewall with Advanced Security e o IPsec: Para mais informaes sobre o Windows Firewall with Advanced Security, veja Windows Firewall (http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft TechNet. Para mais informaes sobre o IPsec, veja IPsec (http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet. Para mais informaes sobre os cenrios de isolamento de servidor e domnio, veja Isolamento de Domnio e Servidor (http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft TechNet. Para mais informaes sobre o Network Access Protection, veja Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no site da Web Microsoft TechNet. Para mais informaes sobre como criar aplicativos que estejam cientes dos tipos de local de rede, consulte o Network Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft MSDN.
136
O CNG possui as seguintes capacidades: O CNG permite que os clientes utilizem seus prprios algoritmos de criptografia ou implementaes de algoritmos padro de criptografia. possvel adicionar novos algoritmos. O CNG d suporte criptografia no modo kernel. A mesma API utilizada no modo kernel e no modo usurio para dar suporte total aos recursos de criptografia. O SSL/TLS e o IPsec, alm dos processos de inicializao que utilizam o CNG, operam no modo kernel. O plano para o CNG inclui a aquisio da certificao FIPS (Federal Information Processing Standards) 140-2 nvel 2 juntamente com as avaliaes de Critrios Comuns (Common Criteria). O CNG atende aos requisitos do Common Criteria, utilizando e armazenando chaves de longa durao em um processo seguro. O CNG d suporte ao conjunto atual de algoritmos 1.0. CryptoAPI
O CNG fornece suporte aos algoritmos ECC (elliptic curve cryptography - criptografia de curva elptica). Um grande nmero de algoritmos ECC exigido pelo Suite B do governo dos Estados Unidos. Qualquer computador com um TPM (Trusted Platform Module mdulo de plataforma confivel) poder fornecer isolamento e armazenamento de chave no TPM.
O CNG aplica PKI (public key infrastructure) implantaes que exigem a utilizao dos algoritmos Suite B e que no precisam
Guia do Revisor do Windows Server Longhorn Beta 3
137
estar integrados s CAs (certification authorities) que no do suporte aos algoritmos Suite B, como as CAs instaladas em servidores que executam o Windows Server 2003 e o Windows 2000 Server. Para utilizar os novos algoritmos de criptografia, a CA e os aplicativos devero dar suporte ao ECC (ou a qualquer outro novo algoritmo implementado no CNG). Embora a CA precise emitir e gerenciar estes novos tipos de certificado, os aplicativos devem ser capazes de lidar com a validao da cadeia de certificados e utilizar as chaves geradas com os algoritmos Suite B. Os algoritmos Suite B, como o ECC, so suportados somente no Windows Vista e no Windows Server Longhorn. Isso significa que no possvel utilizar esses certificados em verses anteriores do Windows, como Windows XP ou Windows Server 2003. Entretanto, possvel utilizar os algoritmos clssicos, como o RSA (RivestShamir-Adleman) mesmo se as chaves tiverem sido gerada com um provedor de chaves CNG. Os clientes que executam o Windows Vista ou o Windows Server Longhorn podem utilizar tanto o CryptoAPI 1.0 quanto a nova API CNG, pois ambas as APIs podem ser executadas lado a lado. No entanto, aplicativos, como o SSL, IPsec, S/MIME (Secure/Multipurpose Internet Mail Extensions) e o Kerberos, devem ser atualizados a fim de utilizar os algoritmos Suite B.
Implantao
No implante certificados com algoritmos Suite B antes de verificar os seguintes requisitos: Antes de emitir certificados que utilizem algoritmos, tais como o ECC, verifique se suas CAs e seu sistema operacional do suporte a esses algoritmos. Verifique se os aplicativos ativados para a PKI de sua organizao podem utilizar certificados que confiam em provedores de criptografia CNG. Caso sua organizao utilize certificados para suportar o logon de smart card, entre em contato com o fornecedor de seu smart card e veja se os smart cards que ele fornece podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server Longhorn, os seguintes aplicativos ativados para certificados podem lidar com certificados que utilizam algoritmos de criptografia registrados no provedor CNG.
138
EFS (Sistema de Arquivos Criptografado) IPsec Kerberos S/MIME logon via carto inteligente SSL Sem fio
No
Para utilizar os algoritmos para as operaes de criptografia, primeiro, voc precisa de uma CA baseada no Windows Server Longhorn para emitir certificados ativados para o Suite B. Caso voc ainda no possua uma PKI, ser possvel configurar uma CA baseada no Windows Server Longhorn em que os certificados da CA e os certificados da entidade final utilizem algoritmos Suite B. Entretanto, ainda ser preciso verificar se todos os seus aplicativos esto preparados para os algoritmos Suite B e se podem dar suporte a esses certificados. Caso voc j possua uma PKI com CAs sendo executadas no Windows Server 2003 ou na qual algoritmos clssicos esto sendo utilizados para dar suporte aos aplicativos existentes, ser possvel adicionar uma CA subordinada em um servidor que executa o Windows Server Longhorn. No entanto, voc dever continuar utilizando os algoritmos clssicos. Para inserir os algoritmos Suite B em um ambiente existente, no qual so utilizados os algoritmos clssicos, ser preciso considerar a insero de uma PKI secundria e a realizao de uma certificao cruzada entre as duas hierarquias de CA. Para mais informaes sobre o CNG, veja API de Criptografia: ltima Gerao (http://go.microsoft.com/fwlink/?LinkID=74141). Para mais informaes sobre o Suite B, veja Criptografia Suite B NSA (NSA Suite B Cryptography Fact Sheet) (http://go.microsoft.com/fwlink/?LinkId=76618).
139
140
Esse recurso indicado para organizaes que possuem PKIs com uma ou mais CAs que executam o Windows Server Longhorn e clientes que executam o Windows Vista e que desejam fornecer aos usurios a capacidade de obter novos certificados ou renovar os existentes, utilizando pginas da Web. Adicionar suporte para pginas de registro Web pode aprimorar, de forma significativa, a flexibilidade e a escalabilidade da PKI de uma organizao; portanto, esse recursos ser de interesse de: Arquitetos de PKI Planejadores de PKI Administradores de PKI
O controle de registro anterior, o XEnroll.dll, foi removido do Windows Vista e do Windows Server Longhorn, e um novo controle de registro, o CertEnroll.dll, foi inserido. Embora o processo de registro Web ocorra essencialmente como para o Windows 2000, Windows XP e Windows Server 2003, essa alterao nos controles de registro poder impactar na compatibilidade quando usurios e computadores que executam o Windows Vista ou o Windows Server Longhorn tentarem solicitar um certificado, utilizando pginas de registro Web instaladas nessas verses anteriores do Windows. O XEnroll.dll est sendo retirado pelas seguintes razes: O XEnroll.dll um controle de legado criado h alguns anos e no considerado to seguro quanto os controles criados recentemente. O XEnroll.dll possui uma interface monoltica que expe diversos conjuntos de funcionalidades. Ele possui mais de 100 mtodos e propriedades. Esses mtodos e propriedades foram inseridos com o passar dos anos, e chamar uma funo pode alterar o comportamento de outra funo, o que dificulta os processos de teste e manuteno. Nota O XEnroll.dll pode continuar a ser utilizado para o registro Web em computadores que executam o Windows 2000, Windows XP e Windows Server 2003. Por outro lado, o CertEnroll.dll foi criado para ser mais seguro, mais fcil de ser preparado e atualizado do que o XEnroll.dll. As CAs do Windows Server Longhorn continuaro a dar suporte s solicitaes de registro Web de certificados a provenientes de usurios em clientes Windows XP e Windows Server 2003. Se voc registra certificados por meio das pginas de registro Web do Windows Server Longhorn a partir de um computador baseado no Windows XP, Windows Server 2003 ou Windows 2000, as pginas de registro Web iro detectar esse fato e utilizaro o controle Xenroll.dll instalado localmente no cliente. Entretanto, alguns comportamentos do cliente sero diferentes daqueles das verses anteriores do Windows. So eles:
Guia do Revisor do Windows Server Longhorn Beta 3
141
A capacidade de agente de registro (tambm conhecida como a estao de registro de smart card) foi removida do registro Web no Windows Server Longhorn, pois o Windows Vista fornece sua prpria capacidade de agente de registro. Se houver a necessidade de efetuar o registro em nome de outro cliente com um registro Web do Windows Server Longhorn, voc dever utilizar computadores que executem o Windows Vista como estaes de registro. De forma alternativa, voc poder utilizar um servidor baseado no Windows Server 2003 com o registro Web instalado e utilizar o servidor como um agente de registro a fim de registrar certificados por meio de uma CA do Windows Server Longhorn. Somente os usurios do Internet Explorer verso 6.x ou Netscape 8.1 Browser podero enviar solicitaes de certificado diretamente por meio das pginas de registro Web. Usurios de outros navegadores da Web ainda podero enviar solicitaes de registro, utilizando as pginas de registro Web, mas, primeiramente, devero gerar previamente uma solicitao PKCS#10 para ser enviada por meio das pginas de registro Web. O registro de Web de certificados no pode ser utilizado com os templates de certificado verso 3,0 (os quais esto sendo apresentados no Windows Server Longhorn para o suporte emisso de certificados em conformidade com o Suite B). O Internet Explorer no pode ser utilizado no contexto de segurana de computadores locais; portanto, os usurios no podem mais solicitar certificados de computador com a utilizao do registro Web. No Windows Server Longhorn Beta 2, o suporte de registro Web est disponvel somente nas edies dos idiomas alemo e ingls dos EUA O suporte de registro Web estar disponvel em todas as verses de idiomas do produto final do Windows Server Longhorn.
A configurao que deve ser feita para o suporte de registro Web de certificados , simplesmente, adicionar o servio de funo funo de servidor. Se o suporte de registro Web estiver instalado no mesmo computador que a CA, no ser exigida nenhuma configurao adicional. Se o servio de funo de registro Web e a CA estiverem instalados em computadores diferentes,ser preciso identificar a CA como parte da instalao do registro Web. Aps a instalao do servio de funo de registro Web, um novo site chamado CertSrv estar disponvel por meio do IIS. Nota
142
No Windows Server Longhorn Beta 2, o arquivo utilizado pelo suporte de registro Web para encontrar a CA est localizado no diretrio de linguagem especfica, como %SYSTEMROOT%\system32\certsrv\[language]\certdat.inc. Esse arquivo passar a ser um arquivo de configurao global que define a configurao para todos os pacotes de idioma instalados para o registro Web. Se voc possuir diversos pacotes de idioma instalados em um servidor IIS, todos os arquivos certdat.inc nos subdiretrios de linguagem especfica devero ser idnticos. As pginas de registro Web no-Microsoft sofrero um grande impacto, pois o controle XEnroll.dll no est disponvel no Windows Server Longhorn e no Windows Vista. Os administradores dessas CAs tero de criar solues alternativas para o suporte emisso de certificados e a renovao para clientes que utilizam o Windows Server Longhorn e o Windows Vista, enquanto continuam utilizando o Xenroll.dll para verses anteriores do Windows. Os administradores tambm precisam planejar a configurao apropriada de seus servidores que executam o IIS. O IIS pode ser executado somente nos modos de 64 ou 32 bits. Se voc instalar o IIS em um servidor que executa a verso de 64 bits do Windows Server Longhorn, voc no dever instalar nenhum aplicativo Web de 32 bits, como o WSUS, nesse computador. Caso contrrio, instalao do servio de funo de registro ir falhar.
143
para estender os tempos de expirao das CRLs caso um atraso na publicao de uma nova CRL afete os aplicativos. Esse recurso aplica-se s organizaes que possuem PKIs com uma ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para gerenciar computadores cliente. Utilizar as configuraes de validao de certificado na Diretiva de Grupo poder aprimorar, de forma significativa, a capacidade de: Arquitetos de segurana aprimorarem a utilizao da relao de confiana baseada em certificados. Administradores de segurana gerenciarem aplicativos ativados para a PKI em seus ambientes.
Pelo fato de as infra-estruturas de chave pblica X.509 terem se tornado mais amplamente utilizadas como uma base de confiana, muitas organizaes precisam de mais opes para gerenciar a descoberta de caminho de certificados e a validao de caminhos. Verses anteriores dos sistemas operacionais Windows possuam poucas configuraes para implementar esse tipo de controle. As configuraes de Diretiva de Grupo relacionadas a certificados podem ser encontradas no Group Policy Object Editor, em Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Diretivas de Chave Pblica. As seguintes opes de diretiva podem ser gerenciadas em guias separadas na pgina de propriedades Certificate Path Validation Settings: Stores (Armazenamentos) Trusted Publishers (Editores Confiveis) Network Retrieval (Recuperao de Rede) Revocation (Revogao)
Alm disso, quatro novos armazenamentos de diretiva foram adicionados em Diretivas de Chave Pblica (Public Key Policies) para serem utilizados na distribuio de diferentes tipos de certificados para os clientes: Intermediate Certification Authorities (Autoridades Intermedirias de Certificao) Trusted Publishers (Editores Confiveis) Untrusted Certificates (Certificados No-Confiveis) Trusted People (Pessoas Confiveis)
Esses novos armazenamentos so uma adio aos armazenamentos Enterprise Trust (Relao de confiana Corporativa) e Trusted Root Certification Authorities (Autoridades de Certificao de Raiz Confivel) disponveis no Windows Server 2003. Essas configuraes de validao de caminho e armazenamentos de certificados podem ser utilizadas para realizar as seguintes tarefas:
Guia do Revisor do Windows Server Longhorn Beta 3
144
Gerenciar armazenamentos de certificado peer trust e trusted root. Gerenciar editores confiveis. Bloquear certificados que no sejam confiveis de acordo com a diretiva. Gerenciar a recuperao de dados relacionados a certificados. Gerenciar perodos de expirao para CRLs e respostas OCSP (online certificate status protocol). Implantar certificados.
145
146
Utilizar as configuraes de Diretiva de Grupo relacionadas relao de confiana de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usurios e computadores em sua organizao, alm de terminar como esses certificados devero ser controlados. Voc pode conseguir fornecer aos usurios maior tolerncia se combinar a utilizao dessas configuraes com um treinamento claro e eficiente de forma que os usurios entendam a importncia dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.
Para melhor eficincia, dados relacionados aos certificados, como certificados de raiz confivel e listas de revogao de certificados, devero ser atualizados adequadamente. No entanto, as condies de rede nem sempre so timas, como para usurios remotos ou escritrios de filiais. Essas configuraes de Diretiva de Grupo permitem que voc garanta que os dados relacionados aos certificados sejam atualizados mesmo quando as condies de rede forem inferiores ao estado otimizado. Ao preparar-se para esta alterao, determine se as condies de rede impactam nos tempos de download das CRLs.
147
comunicao direta com a entidade confivel principal que atesta as credenciais. Para o suporte eficiente da revogao de certificados, o cliente deve determinar se o certificado vlido ou se ele foi revogado. Para dar suporte a uma variedade de cenrios, os Servios de Certificado do Active Directory tem suporte para os mtodos de padro industrial de revogao de certificados. Isso inclui a publicao de CRLs e CRLs em diversos locais para serem acessadas pelos clientes, incluindo os Servios de Domnio do Active Directory, servidores Web e compartilhamentos de arquivos de rede. No Windows, os dados de revogao podem ser disponibilizados em diversas configuraes por meio das respostas OCSP. As condies de rede podem evitar que as CRLs mais recentes sejam publicadas, o que poder fazer com que todos as validaes da cadeia de certificados falhem. Estender o tempo de expirao da CRL existente e da resposta OCSP pode prevenir que isso ocorra. Utilizar configuraes de Diretiva de Grupo relacionadas aos dados de revogao de certificados exige um planejamento cuidadoso para determinar o equilbrio apropriado entre a adeso rigorosa ao cronograma de publicao de CRL padro e as conseqncias potenciais de estender o perodo de validade da CRL caso uma CRL atualizada no esteja disponvel.
Implantando Certificados
Os certificados de usurio e computador podem ser implantados, usando-se diversos mecanismos, incluindo o registro automtico, o Assistente para Requisio de Certificado e o registro na Web. Mas implantar outros tipos de certificados em uma grande quantidade de computadores pode ser algo desafiador. No Windows Server 2003, era possvel distribuir um certificado CA de raiz confivel e certificados corporativos de confiana usando a Diretiva de Grupo. No Windows Server Longhorn, todos os tipos de certificados que seguem podem ser distribudos, quando so armazenados adequadamente na Diretiva de Grupo: Certificados CA de raiz confiveis Certificados corporativos de confiana Certificados CA Intermedirios Certificados confiveis do editor Certificados no-confiveis Pessoas confiveis (para os certificados de confiana)
A variedade crescente dos certificados e a sua utilizao exige que os administradores tenham meios eficientes para distribu-los a usurios e computadores em suas organizaes.
Guia do Revisor do Windows Server Longhorn Beta 3
148
Usar configuraes de Diretiva de Grupo relacionadas relao de confiana requer um planejamento cauteloso para determinar as necessidades de usurios e computadores em sua organizao, alm da quantidade de controle que eles devem ter sobre esses certificados. Voc deve ter a capacidade de fornecer o livre arbtrio aos usurios, se combinar o uso dessas configuraes com um treinamento claro e efetivo, a fim de que os usurios entendam a importncia dos certificados, os riscos de um gerenciamento fraco de certificados e a maneira de gerenci-los de forma responsvel. Voc deve ser membro do grupo de Administradores de Domnio para configurar a Diretiva de Grupo neste domnio.
Este recurso aplica-se s organizaes que tm PKIs com um ou mais CAs do Windows Server Longhorn CAs e que desejam aprimorar a segurana das comunicaes, usando o IPsec com dispositivos de rede, como os roteadores e alternadores. Adicionar suporte ao NDES pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organizao; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores. As organizaes e os profissionais interessados nos NDES podem querer saber mais sobre as especificaes de SCEP em que ele se baseia. O SCEP foi desenvolvido pela Cisco Systems Inc. como extenso aos j existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padres, para permitir o registro de dispositivo de rede e certificado da aplicao com os CAs. No Windows Server 2003, o Microsoft SCEP (MSCEP) era um suplemento do Windows Server 2003 Resource Kit que precisava ser
Guia do Revisor do Windows Server Longhorn Beta 3
149
instalado no mesmo computador que o CA. No Windows Server Longhorn, o suporte do MSCEP foi renomeado para NDES e faz parte do sistema operacional, podendo ser instalado em um computador diferente do CA. A extenso do NDES ao IIS utiliza o registro para armazenar configuraes de configuraes. Todas as configuraes so armazenadas sob a chave do Registro: HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP A tabela que segue define as chaves de registro usadas para configurar o MSCEP:
Opcional
No 7
Valor Padro
Valores Possveis
Quantidade de dias em que as requisies pendentes so mantidas no banco de dados NDESP. Define se as senhas so exigidas para requisies de registro. O valor 1 significa que o NDES requer uma senha para requisies de registro. O valor 0 (zero) significa as senhas no requeridas. Quantidade mxima de senhas disponveis que podem ser armazenadas. Nota: Nas verses anteriores, o padro era 1.000. Quantidade de minutos em que uma senha vlida. O nome do diretrio virtual pode ser usado para as requisies de senha. Se definido, o NDES aceita requisies de senha apenas do diretrio virtual estabelecido. Se o valor est vazio ou no configurado, o NDES aceita as requisies de senha de qualquer diretrio virtual.
Aplicar Senha
No
PasswordMax
No
PasswordValidity PasswordVDir
No Sim
60
CacheRequest
No
20
Quantidade de minutos em que os certificados emitidos so mantidos no banco de dados SCEP. Identifica o tipo de CA ao qual o NDES est ligado. O valor 1 significa que um CA corporativa; o valor 0 significa que um CA autnomo. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar o certificado. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para um certificado de criptografia. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar e criptografar
CAType
No
SigningTemplate
Sim
EncryptionTemplate
Sim
No definido
No definido
150
Antes de instalar o NDES, decida o seguinte: Se usar uma conta de usurio dedicada para o servio ou usar a conta do Network Service O nome da autoridade de registro (RA) do NDES e qual pas/regio usar. As informaes so includas em qualquer certificado MSCEP emitido O provedor de servio criptogrfico (CSP) para usar na chave de assinatura usada para criptografar a comunicao entre o CA e a RA O CSP a ser usado para a chave de criptografia usada para criptografar a comunicao entre a RA e o dispositivo de rede A extenso de cada chave
Alm disso, voc precisa criar e configurar modelos de certificado usados juntamente com o NDES. Instalar o NDES em um computador cria uma nova RA e exclui quaisquer certificados RA pr-existentes no computador. Portanto, se voc planeja instalar o NDES em um computador em que outra RA tenha sido configurada, quaisquer requisies pendentes de certificado devem ser processadas e todos os certificados no declarados devem ser antes de o NDES ser instalado.
151
Para cada CA selecionado, o PKIView indica o estado de integridade do CA em rvore, como segue:
Estados de integridade do CA
Indicador
Ponto de Interrogao Indicador verde Indicador amarelo Indicador vermelho Cruz vermelha sobre o cone do CA
Estado do CA
Avaliao do estado de integridade do CA CA sem nenhum problema CA com problema no-crtico CA com problema crtico CA est offline
Ao adicionar um snap-in do PKIView ao MMC, voc v trs painis: rvore. Este painel exibe uma representao em rvore da sua hierarquia de PKI corporativo. Cada n abaixo de Enterprise PKI representa um CA com outros CAs atuando como ns filhos. Resultados. Para o CA selecionado na rvore, este painel exibe uma lista de CAs subordinados, certificados de CA, pontos de distribuio CRL (CDPs) e locais AIA. Se a raiz do console for selecionada na rvore, o painel de resultados exibe todos os CAs da raiz. H trs colunas no painel de resultados: o Nome. Se o n Enterprise PKI selecionado, os nomes dos CAs raiz, abaixo do primeiro, so exibidos. Se um CA ou um CA filho for selecionado, ento os nomes dos certificados de CA, locais AIA e CDPs so exibidos. Status. Breve descrio do status do CA (tambm indicado na rvore pelo cone associado ao CA selecionado) ou o status dos Certificados de CA, locais AIA ou CDPs (indicado pelas descries em texto do status, exemplos dos quais so OK e No possvel fazer o Download). Local. Os locais AIA e os CDPs (protocolo e caminho) para cada certificado. Alguns exemplos so file://, HTTP:// e LDAP://.
Aes. Este painel fornece a mesma funcionalidade encontrada nos menus Aes, Exibir e Ajuda.
Dependendo do item selecionado tanto na rvore como no painel de resultados, voc pode visualizar mais detalhes sobre os CAs e certificados de CA, incluindo informaes de AIA e CRL no painel de aes. Voc tambm pode gerenciar a estrutura do PKI corporativo e fazer correes ou alteraes nos certificados de CA ou CRLs.
152
Voc pode usar o PKIView em uma rede corporativa que utilize os Servios de Certificado do Active Directory e contenha um ou mais CAs, geralmente com mais de uma hierarquia de PKI. Os usurios mais avanados de PKIView incluem administradores e profissionais de TI familiarizados com o monitoramento da integridade do CA e a resoluo de problemas no ambiente de rede dos Servios de Certificado do Active Directory. Voc pode usar o PKIView apenas no ambiente dos Servios de Certificado do Active Directory. O PKIView agora suporta a codificao de caracteres Unicode.
153
Os clientes se conectam remotamente rede e no precisam, ou no tm, conexes de alta velocidade para o download de grandes CRLs. Uma rede precisa controlar altos picos de atividade de verificao de revogao, como quando grande nmero de usurios efetua login ou envia um e-mail assinado ao mesmo tempo. Uma organizao precisa de meios eficientes para distribuir os dados de revogao para certificados emitidos por um CA que no seja Microsoft. Uma organizao deseja fornecer apenas os dados de revogao necessrios para verificar as requisies individuais do status do certificado, e no s tornar disponveis as informaes sobre todos os certificados cancelados ou suspensos.
Este recurso aplica-se a organizaes que tm PKIs com um ou mais CAs do Windows. Adicionar um ou mais Online Responders pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organizao; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores. Para instalar um Online Responder, voc deve ser administrador do computador em que ele est instalado. Os Online Responders, no Windows Server Longhorn, incluem os seguintes recursos. Caching do proxy da Web. O armazenamento do proxy da Web do Online Responder a interface de servios para o Online Responder. Ele implementado como uma extenso ISAPI hospedada pelo IIS. Suporte a requisies nicas ou contnuas. As opes de configurao para requisio nica ou contnua podem ser usadas para prevenir ataques freqentes de respostas do Online Responder. Integrao de configurao do Windows. Um Online Responder pode ser configurado, usando-se a Ferramenta de Gerenciamento de Funes do Windows Server. Suporte avanado criptografia. Um Online Responder pode ser configurado para usar uma criptografia de curva elptica (ECC) e SHA-256 para operaes criptogrficas. Modelos pr-configurados de certificados de assinatura OCSP. A implantao de um Online Responder simplificado pelo uso de um modelo de certificado de assinatura OCSP, disponvel no Windows Server Longhorn. Integrao do protocolo Kerberos. As requisies e respostas do Online Responder podem ser processadas junto
Guia do Revisor do Windows Server Longhorn Beta 3
154
com a autenticao de senha do para uma validao imediata dos certificados de servidor ao efetuar login. Os Microsoft Online Responders so baseados no RFC 2560 para OCSP e esto em conformidade com eles. Por essa razo, as respostas quanto ao status do certificado dos Online Responders so geralmente referidas como respostas OCSP. Para mais informaes sobre o RFC 2560, visite o site do Internet Engineering Task Force em (http://go.microsoft.com/fwlink/?LinkId=67082). Dois novos conjuntos de funcionalidades podem ser originados do servio Online Responder: Online Responders. A funcionalidade bsica do Online Responder fornecida por um nico computador em que seu Servio est instalado. Matrizes do Responder. Diversos computadores ligados que hospedam o Online Responders e processam as requisies de status do certificado.
Online Responder
Um Online Responder um computador em que o servio do Online Responder executado. Um computador que hospeda um CA tambm pode ser configurado como um Online Responder, mas recomenda-se manter os CAs e os Online Responders em computadores separados. Um nico Online Responder pode fornecer informaes de status de revogao para certificados emitidos por um nico CA ou diversos. As informaes de revogao de CA podem ser distribudas usando mais de um Online Responder. As aplicaes que dependem de certificados X.509, como S/MIME, SSL, EFS e smart cards precisam validar o status dos certificados sempre que so usados para realizar autenticao, assinatura ou criptografia. A verificao de revogao e status do certificado analisa a validade dos certificados com base em: Tempo. Os certificados so emitidos em um perodo de tempo fixo e considerado vlido, contanto que no se atinja a data de vencimento do certificado e que ele no seja cancelado antes da data. Status da revogao. Os certificados podem ser cancelados antes da sua data de vencimento, por uma srie de motivos, como a suspenso ou comprometimento da chave.
As listas de revogao do certificado contm os nmeros de srie de todos os certificados emitidos por um CA que tenha sido cancelado. Para um cliente verificar o status de revogao de um certificado, ele deve fazer o download de um CRL que contenha informaes sobre todos os certificados que tenham sido cancelados pelo CA. H duas principais desvantagens nisso: Com o tempo, os CRLs podem se tornar extremamente grandes, o que pode exigir recursos significativos de rede e armazenamento para o CA, alm da parte
Guia do Revisor do Windows Server Longhorn Beta 3
155
componente. Isso pode resultar em compensaes entre uma distribuio mais freqente de CRLs atualizados e o tempo e largura de banda da rede para distribu-los. Se os CRLs forem publicados com menor freqncia, os clientes devero contar com informaes sobre a revogao menos precisas. J houve inmeras tentativas de resolver o tamanho do CRL por meio da introduo de CRLs particionados, CRLs delta e CRLs indiretos. Todas essas abordagens acrescentaram complexidade e custo ao sistema, sem fornecer uma soluo. Quando voc utiliza o Online Responders, em vez de contar com os clientes, eles recebem todos os dados de revogao do certificado. Uma parte confivel envia uma requisio de status sobre um certificado individual para um Online Responder, que retorna uma resposta definitiva e digitalmente assinada, indicando o status apenas do certificado solicitado. A quantidade de dados recuperados por requisio constante, independente de quantos certificados cancelados existam no banco de dados, dentro do CA. Os Online Responders podem ser instalados em computadores que executam o Windows Server Longhorn. Eles devem ser instalados depois dos CAs, mas antes que os certificados clientes sejam emitidos. Os dados de revogao do certificado so derivados de um CRL publicado que pode vir de um CA em um computador que execute o Windows Server Longhorn, um que execute o Windows Server 2003, ou de um CA no-Microsoft. Antes de configurar um CA para suportar o servio Online Responder, deve-se apresentar o seguinte: O IIS deve estar instalado no computador, antes que o Online Responder possa ser instalado. A configurao correta do IIS para o Online Responder instalada automaticamente quando voc instala um Online Responder. Um modelo de certificado de assinatura OCSP deve ser configurado no CA, alm do registro automtico usado para emitir um certificado de assinatura OCSP para o computador em que o Online Responder ser instalado. A URL do Online Responder deve ser includa na extenso AIA dos certificados emitidos pelo CA. Essa URL usada pelo cliente Online Responder para validar o status do certificado.
Depois que um Online Responder foi instalado, voc tambm precisa criar uma configurao de revogao para cada CA e certificado CA atendido por um Online Responder. Uma configurao de revogao inclui todas as configuraes necessrias para responder s requisies de status quanto aos certificados que foram emitidos usando uma chave especfica de CA. Essas configuraes de configurao incluem o seguinte:
156
certificado CA. Este certificado pode ser encontrado em um controlador de domnio, em seu armazenamento local ou importado de um arquivo. Assinando um certificado para o Online Responder. Este certificado pode ser selecionado automaticamente para voc, manualmente (que envolve uma instruo separada de importao depois que voc concluir o procedimento regular de configurao da revogao), ou voc pode usar o certificado CA selecionado. Provedor de revogao que revogao usados por essa so inseridas na forma de vlida e CRLs delta podem Importante Antes de comear a adicionar uma nova configurao de revogao, verifique se possui essas informaes disponveis. ir fornecer os dados de configurao. Essas informaes um ou mais URLs, em que uma base ser obtidos.
Matrizes do Responder
Mltiplos Online Responders podem ser ligados a uma Matriz do Online Responder. Os Online Responders, em uma Matriz, so referidos como membros da Matriz. Um membro da Matriz pode ser designado o Controlador da Matriz. Embora cada Online Responder em uma Matriz possa ser configurado de forma independente, no caso de conflitos, as informaes de configurao do Controlador da Matriz iro superar as opes definidas em outros membros da Matriz. Uma Matriz de Online Responder pode ser criada e outros Online Responders podem ser adicionados por uma srie de razes, incluindo tolerncia a falhas no caso de um Online Responder individual se tornar indisponvel, por consideraes geogrficas, escalabilidade ou estrutura da rede. Por exemplo, as filiais remotas consistentes com suas matrizes, Portanto, nem sempre possvel Responder remoto para processar revogao. podem no ter conexes onde o CA est localizado. contatar o CA ou um Online uma requisio do status de
Como os membros de uma Matriz do Online Responder podem ser remotos e estar sujeitos a condies de rede insatisfatrias, cada membro da matriz pode ser monitorado e gerenciado de forma independente. Configurar uma Matriz do Online Responder conhecimentos de planejamento baseado em: requer bons
Nmero e local dos CAs que esto sendo atendidos pela matriz
157
Nmero de clientes que iro solicitar partir dos CAs e seus locais
certificados a
Conectividade de rede entre clientes, CAs e Online Responders potenciais Volume de registros de certificado, revogaes e requisies de status que a infra-estrutura da chave pblica da organizao controla Necessidade de redundncia no caso de os Online Responders se tornarem disponveis
Depois que a Matriz do Online Responder foi planejada, configurar uma Matriz envolve uma quantidade de procedimentos que devem ser coordenados.
Diretiva de Grupo
Diversas configuraes da Diretiva de Grupo foram adicionadas para aprimorar o gerenciamento do OCSP e uso dos dados do CRL. Por exemplo, os CRLs possuem datas de vencimento, como os certificados, e, se essa data passar antes de uma atualizao ser publicada ou disponibilizada, a validao da cadeia de certificados pode falhar, mesmo com a presena de um Online Responder. Isso acontece, pois o Online Responder conta com os dados de uma CRL expirada. Em situaes em que as condies de rede podem atrasar a publicao adequada e o recebimento das CRLs atualizadas, os administradores podem usar essas configuraes da Diretiva de Grupo para estender o tempo de validade de um CRL existente ou resposta do OCSP. Voc pode estender o perodo dos CRLs e respostas do OCSP, indo guia revogao nas configuraes de Validao (Configurao do Computador, Configuraes do Windows, Configuraes de Segurana e Diretivas da Chave Pblica). Para configurar essas opes, faa o seguinte: Clique em Definir essas configuraes de segurana. Clique em Permitir que todos os CRLs e respostas do OCSP sejam vlidas por mais tempo. Selecione Tempo padro em que o perodo de validade pode ser estendido, e informe o valor desejado de tempo (em horas).
Uma opo separada da guia revogao permite que voc sobrescreva as respostas do OCSP com informaes contidas nos CRLs. Assim, um certificado que tenha sido cancelado, adicionando-o a um CRL local, pode ser verificado como vlido, se um cliente tiver um CRL que no inclua seu status de revogao. Embora esta opo no seja recomendada, pode ser til em casos em que as alteraes de revogao feitas por um administrador local no sejam finais at que um administrador de CA verifique a mudana.
158
Essas configuraes esto localizadas em Configurao do Computador, Configuraes do Windows, Configuraes de Segurana e Diretivas da Chave Pblica. Importante As credenciais administrativas so necessrias para modificar as configuraes da Diretiva de Grupo.
Implantao
Como os Online Responders so feitos para atender requisies individuais de status do certificado, uma Matriz de Online Responder geralmente requer mltiplos Online Responders, geograficamente dispersos, para equilibrar a carga. Como cada resposta do status assinada, cada Online Responder deve ser instalado em um servidor confivel. Os Online Responders do Windows Server Longhorn podem ser instalados nas seguintes configuraes matrizes: Online Responder nico para mltiplos CAs. O Online Responder requer uma chave e um certificado assinado para cada CA suportado. Um Online Responder deve ser emitido com um certificado assinado a partir do CA emitido. Um Online Responder no pode fornecer o status de um certificado maior na cadeia do que um CA que tenha emitido o certificado assinado. Online Responders Mltiplos para um nico CA. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Esse suporte vem por meio de clustering. A lgica do clustering se responsabiliza por conduzir o cliente a requisies de um Online Responder especfico. Mltiplos Online Responders para mltiplos CAs. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Online Responders fazendo
Avaliar os benefcios potenciais de suplementar CRLs usando Online Responders para gerenciar a verificao de revogao na sua organizao Identificar os locais possveis onde o Online Responders possa ser til Dependendo do nmero de CAs e locais que voc est suportando, o volume de requisies de validao do certificado que voc antecipar e as condies de rede entre os CAs e os locais, identificar a configurao da instalao a partir de uma lista precedente que melhor se adapte sua organizao
159
Identificar os locais para cada Online Responder e a forma como eles devem ser gerenciados Testar o Online Responder e a configurao do PKI em um ambiente de laboratrio para validar o modelo de PKI e identificar as opes de configurao para cada Online Responder e configurao de revogao Instalar e configurar cada Online Responder
160
161
Se voc definir a configurao da diretiva (modificando a Diretiva padro dos Controladores de Domnio), pode especificar auditar os sucessos, falhas ou ento no auditar nada. As auditorias de sucesso geram uma entrada sempre que um usurio acessa, com sucesso, um objeto dos Servios de Domnio do Active Directory que tenha um SACL especificado. As auditorias de falha geram uma entrada sempre que um usurio acessa, sem sucesso, um objeto dos Servios de Domnio do Active Directory que tenha um SACL especificado. Voc pode definir um SACL em um objeto dos Servios de Domnio do Active Directory na guia Segurana, na caixa de dilogo de propriedades do objeto. A Auditoria de acesso ao servio de diretrio aplicada da mesma forma como na Auditoria de acesso ao objeto; no entanto, ela se aplica apenas aos objetos dos Servios de Domnio do Active Directory e no aos objetos do sistema de arquivo e do registro. Esse recurso aplica-se aos administradores de Servios de Domnio do Active Directory, responsveis por configurar a auditoria no diretrio. Os administradores definem SACLs apropriados para fazer a auditoria. Em geral, as permisses para modificar SACLs e visualizar o log de Segurana so atribudos apenas a membros dos grupos de Administradores, incluindo de Domnio Domain, Builtin\Administradores e de Empresa. O Windows Server Longhorn est incluindo a capacidade de a auditoria dos Servios de Domnio do Active Directory registrar valores novos e antigos de um atributo quando uma alterao bem sucedida feita nele. Antes, a auditoria dos Servios de Domnio do Active Directory registrava apenas o nome do atributo que era alterado; e no seus valores antigos e atuais.
A capacidade de auditar alteraes nos objetos dos Servios de Domnio do Active Directory ativada com a nova sub-categoria de auditoria, o Directory Service Changes. Os tipos de alteraes que voc pode auditar so criar, modificar, mover e no excluir operaes feitas em um objeto. Os eventos que so gerados por essas operaes aparecem no log de Segurana.
Guia do Revisor do Windows Server Longhorn Beta 3
162
Essa nova sub-categoria da diretiva adiciona as seguintes capacidades aos Servios de Domnio do Active Directory: Quando uma operao bem sucedida de modificao realizada em um atributo de um objeto, os Servios de Domnio do Active Directory registra seus valores novos e atuais. Se o atributo possuir mais de um valor, apenas os valores que mudam, como resultado da operao de modificao, so registrados. Caso um novo objeto seja criado, os valores dos atributos populados no momento da criao so registrados. Se os atributos so adicionados durante a operao de criao, esses novos valores so registrados. Na maioria dos casos, os Servios de Domnio do Active Directory atribui valores padres aos atributos (como o sAMAccountName). Os valores desses atributos do sistema no so registrados. Se um objeto movido dentro de um domnio, o local novo e o anterior (na forma de nome diferente) registrado. Quando um objeto movido para um domnio diferente, um evento de criao gerado no controlador de domnio do domnio alvo. Se um objeto no excludo, o local para o qual ele foi movido registrado. Alm disso, se os atributos forem adicionados, modificados ou excludos durante uma operao de no-excluso, seus valores no sero registrados. Nota Caso um objeto seja excludo, no so gerados eventos de auditoria de alterao. No entanto, um evento de auditoria gerado caso a sub-categoria do Directory Service Access seja ativado. Depois que Domnio do quando so configurou eventos. o Directory Service Changes ativado, os Servios de Active Directory registra eventos no log de Segurana, feitas alteraes aos objetos que um administrador para auditoria. A tabela que segue descreve esses
Tipo de Evento
Modificar
Descrio do Evento
O evento registrado quando uma modificao bem sucedida feita a um atributo no diretrio. Este evento registrado quando um novo objeto criado no diretrio. Este evento registrado quando um objeto no excludo do diretrio. Este evento registrado quando um objeto movido dentro do domnio.
5137
Criar
5138
No excluir
5139
Mover
163
A capacidade de identificar como os atributos do objeto mudam torna os logs de eventos mais teis como um mecanismo de acompanhamento a alteraes que ocorrem por toda a durao de um projeto. No Windows Server Longhorn, voc implementa um novo recurso de auditoria, usando os seguintes controles: Diretiva de auditoria global SACL Esquema
164
SACL
O SACL a especifica segurana. determinar parte de um descritor de segurana do objeto que as operaes a serem auditadas para princpio de O SACL do objeto ainda a autoridade principal para se uma verificao de acesso deve ou no ser auditada.
O contedo do SACL controlado pelos administradores de segurana do sistema local. Os administradores de segurana so usurios atribudos aos privilgio de Gerenciar Log de Auditoria e Segurana (SeSecurityPrivilege). Por padro, esse privilgio atribudo ao grupo de Administradores integrado. Se no houver entrada de controle de acesso (ACE) no SACL que requer o registro das modificaes do atributo, mesmo que a subcategoria de Directory Service Changes esteja ativada, nenhum evento de auditoria de alterao registrado. Por exemplo, se no houver ACE no SACL que requer acesso Propriedade de Escrita no atributo do nmero de telefone de um objeto de usurio a ser auditado, nenhum evento de auditoria gerado quando esse atributo modificado, mesmo que a sub-categoria Directory Service Changes esteja ativada.
Esquema
Para evitar a possibilidade de um nmero excessivo de eventos que esto sendo gerados, existe um controle adicional no esquema, que pode ser usado para criar excees ao que auditado. Por exemplo, se voc deseja ver alteraes a todas as modificaes de atributo em um objeto de usurio exceto a um ou dois atributos voc pode definir uma indicao no esquema para atributos que no deseja auditar. A propriedade searchFlags de cada atributo define se ele indexado, replicado ao catlogo global ou algum outro tipo de comportamento. Existem sete bits atualmente definidos para a propriedade searchFlags. Se o bit 9 (valor 256) for definido para um atributo, os Servios de Domnio do Active Directory no registrar eventos de alterao quando as modificaes forem feitas. Isso se aplica a todos os objetos que contm aquele atributo.
Configuraes do Registro
Os seguintes valores de chave do registro so usados para configurar a auditoria dos Servios de Domnio do Active Directory.
Local
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\
Valores Possveis
Valor mnimo do registro: 0
165
Services\NTDS\Parameters
5137
Criar
Este evento registrado quando um novo objeto criado no diretrio. Este evento registrado quando um objeto no excludo do diretrio. Este evento registrado quando um objeto movido dentro do domnio.
5138
No excluir
5139
Mover
166
Essas diretivas aplicam-se apenas a objetos do usurio (ou objetos inetOrgPerson caso sejam usados no lugar de objetos do usurio) e grupos de segurana global. Por padro, apenas membros do grupo de Administradores do Domnio podem definir diretivas de senhas granuladas. No entanto, voc tambm pode delegar a habilidade de definir essas diretivas a outros usurios. O nvel funcional do domnio deve ser Windows Server Longhorn. Essas diretivas de senhas granuladas no interferem nos filtros regulares que voc deve usar no mesmo domnio. As organizaes que tm filtros de senha implantados em controladores de domnio que executam o Windows 2000 ou Windows Server 2003 podem continuar usando esses filtros para reforar restries adicionais de senhas.
O Container de Configurao de Senha criado por padro, abaixo do container Sistema, no domnio. Ele armazena os objetos de Configurao de Senha (PSOs) para esse domnio. Voc no pode renomear, mover ou excluir esse container. Um PSO possui atributos para todas as configuraes que podem ser definidas na Diretiva de Domnio Padro (exceto as configuraes Kerberos). Essas configuraes incluem atributos para as seguintes configuraes de senha: Reforar o histrico de senha Tempo mximo da senha Tempo mnimo da senha Extenso mnima da senha As senhas devem suprir os requisitos de complexidade Armazenar senhas usando criptografia reversvel
Essas configuraes tambm incluem atributos para as seguintes configuraes de bloqueio de conta: Durao do bloqueio da conta Limite de bloqueio da conta Redefinio de bloqueio da conta aps
167
PSO link. Este um atributo multivalorizado, ligado a usurios e/ou objetos de grupo. Precedncia. Este um valor inteiro usado para resolver conflitos, se muitos PSOs so aplicados a um usurio ou objeto de grupo.
Estes nove atributos so do tipo mustHave. Isso significa que voc deve definir um valor a cada um. As configuraes de mltiplos PSOs no podem ser mescladas.
Voc pode vincular um PSO a outros tipos de grupos, alm dos grupos globais de segurana. Mas quando um conjunto resultante de diretivas determinado a um usurio ou grupo, apenas os PSOs vinculados a grupos globais de segurana ou objetos de usurios so considerados. Os PSOs vinculados a grupos de distribuio ou outros tipos de grupos de segurana so ignorados.
RSOP
Um usurio ou objeto de grupo pode ter mltiplos PSOs vinculados a ele, tanto porque os membros, em mltiplos grupos, tm, cada um, PSOs diferentes vinculados a eles, como porque mltiplos PSOs so aplicados diretamente ao objeto. No entanto, apenas um PSO pode ser aplicado como diretiva efetiva de senha. Apenas as configuraes daquele PSO podem afetar o usurio ou grupo. As configuraes de outros PSOs, que esto ligados ao usurio ou grupo, no podem ser mescladas de maneira alguma. O RSOP pode apenas ser calculado para um objeto do usurio. O PSO pode ser aplicado ao objeto de usurio nas duas maneiras que seguem: Diretamente. O PSO vinculado ao usurio
168
Cada PSO possui um atributo adicional chamado precedncia, que ajuda no clculo do RSOP. O atributo precedncia possui um valor inteiro de 1 ou mais. Um valor mais baixo para o atributo precedncia indica que o PSO tem uma classificao maior, ou maior prioridade, do que outros PSOs. Por exemplo, suponha que um objeto tenha dois PSOs vinculados a ele. Um PSO possui valor de precedncia 2 e o outro tenha um valor 4. Neste caso, o PSO que possui o valor de precedncia 2 tem maior classificao e, portanto, aplicado ao objeto. Se mltiplos PSOs so vinculados a um usurio ou grupo, o PSO resultante aplicado determinado conforme o seguinte: Um PSO que seja vinculado diretamente ao objeto de usurio o PSO resultante. Se mais de um PSO for diretamente vinculado ao objeto de usurio, uma mensagem de aviso ser registrada no log de evento, e o PSO com o menor valor de precedncia ser o PSO resultante. Se no houver um PSO vinculado ao objeto de usurio, os membros do grupo global de segurana do usurio, e todos os PSOs que so aplicveis ao usurio com base nos membros do grupo global, so comparados. O PSO com o valor de precedncia mais baixo o PSO resultante. Se nenhum PSO for obtido a partir das condies (1) e (2), A Diretiva de Domnio Padro ser aplicada.
Recomendamos que voc atribua um valor de precedncia nico para cada PSO que voc criar. No entanto, voc pode criar mltiplos PSOs com o mesmo valor. Se mltiplos PSOs com o mesmo valor de precedncia so obtidos para um usurio, o primeiro PSO obtido ser aplicado. Outro novo atributo chamado ResultantPSO foi adicionado ao objeto de usurio. Um administrador pode consultar este atributo para recuperar o nome distinto do PSO, que aplicado quele usurio (baseado nas regras listadas anteriormente). Se no houver um objeto de PSO que se aplique ao usurio, tanto direta quanto virtualmente dos membros do grupo, a consulta retorna o nome distinto do domnio. Ao aplicar um PSO que seja diretamente ligado a um usurio ou grupo, antes de outros PSOs, voc pode criar excees para certos usurios de um grupo. Voc pode atribuir um PSO a um grupo de usurios, mas atribuir uma diretiva diferente a alguns dos membros. Em vez de ter de criar uma nova diretiva e reorganizar a precedncia de todas as diretivas anteriores para um usurio em particular, voc pode criar uma diretiva com qualquer precedncia. Quando voc aplica a diretiva diretamente ao usurio, ela aplicada primeiro.
169
O objeto de usurio possui trs bits, que podem ser definidos no atributo userAccountControl do objeto de usurio que pode sobrescrever as configuraes presentes no PSO resultante (muitos desses bits sobrescrevem as configuraes da Diretiva de Domnio Padro, no Windows 2000 e Windows Server 2003). Esses bits incluem o seguinte: Criptografia de senha reversvel exigida Senha no exigida Senha no expira
Esses bits continuam a superar as configuraes no PSO resultante que aplicado ao objeto de usurio.
Segurana e Delegao
Por padro, apenas membros do grupo de Administradores de Domnio podem criar PSOs. Apenas membros deste grupo possuem as permisses Criar Filho e Excluir Filho, no objeto Password Settings Container. Alm disso, apenas membros do grupo de Administradores de Domnio tm permisses de Propriedade de Escrita no PSO, por padro. Portanto, apenas membros deste grupo podem aplicar um PSO a um grupo ou usurio. Voc pode delegar essa permisso a outros grupos ou usurios. Voc no precisa de permisses sobre o objeto do grupo ou usurio para poder aplicar um PSO a ele. Ter permisses de Escrita no usurio ou objeto de grupo no fornece a voc a capacidade de vincular um PSO a um usurio ou grupo. O proprietrio de um grupo no possui permisses de vincular um PSO ao grupo, pois o link de encaminhamento est no PSO. O poder de vincular um PSO ao grupo ou usurio dado ao proprietrio do PSO. As configuraes no PSO podem ser consideradas confidenciais; portanto, por padro, os Usurios Autenticados no tm permisses de Propriedade de Leitura para um PSO. Por padro, apenas membros do grupo de Administradores de Domnio possuem permisses da Propriedade de Leitura no descritor de segurana padro do objeto PSO no esquema. Voc pode delegar essas permisses a qualquer grupo (como o help desk ou aplicao de gerenciamento) no domnio ou floresta. Isso tambm pode prevenir um usurio de ver suas configuraes de senha no diretrio. O usurio pode ler os atributos ResultantPSO ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que se aplica ao usurio. O usurio no pode ver as configuraes dentro do PSO. Antes de adicionar um controlador de domnio que execute no Windows Server Longhorn a um domnio existente do Active Directory, voc deve executar o adprep /domainprep. Ao executar o adprep /domainprep, o esquema do Active Directory estendido para incluir novas classes de objetos que as diretivas de senhas granuladas requerem.
Guia do Revisor do Windows Server Longhorn Beta 3
170
Caso voc no crie essas diretivas para diferentes grupos de usurios, as configuraes da Diretiva de Domnio Padro aplicamse a todos os usurios no domnio, assim como no Windows 2000 e Windows Server 2003.
Os Servios de Domnio do Active Directory Reinicializvel disponvel por padro em todos os controladores de domnio que executam o Windows Server Longhorn. No existem requisitos funcionais, ou outros pr-requisitos, para usar esse recurso.
Guia do Revisor do Windows Server Longhorn Beta 3
171
No Active Directory do sistema operacional Microsoft Windows 2000 Server e Windows Server 2003, a desfragmentao offline do banco de dados exigia uma reinicializao do controlador de domnio no Modo de Recuperao do Directory Services. Aplicar as atualizaes de segurana geralmente requer uma reinicializao do controlador de domnio. No Windows Server Longhorn, no entanto, os administradores podem parar e reiniciar os Servios de Domnio do Active Directory. Isso torna possvel desempenhar as operaes offline dos Servios de Domnio do Active Directory de forma mais rpida. Os Servios de Domnio do Active Directory Reinicializvel adiciona as menores alteraes aos snap-ins do MMC. Um controlador de domnio que executa o Windows Server Longhorn Active Directory Domain Services exibe o Controlador de Domnio no n Servios (Local) do snap-in Servios de Componente e do Gerenciamento do Computador. Usando qualquer um deles, um administrador pode facilmente parar e reiniciar os Servios de Domnio do Active Directory da mesma forma como com qualquer outro servio que esteja sendo executado localmente no servidor. Embora parar os Servios de Domnio do Active Directory seja como efetuar logon no Modo de Recuperao do Directory Services, o Active Directory Domain Services reinicializvel fornece um estado nico para um controlador de domnio que execute o Windows Server Longhorn. Esse estado conhecido como Active Directory Domain Services Stopped. Os trs estados possveis para um controlador de domnio que execute o Windows Server Longhorn so os seguintes: Active Directory Domain Services Started. Neste estado, os Servios de Domnio do Active Directory iniciado. Para os clientes e outros servios executados no servidor, um controlador de domnio do Windows Server Longhorn executado neste estado o mesmo que o controlador executado no Windows 2000 Server ou Windows Server 2003. Active Directory Domain Services Stopped. Neste estado, os Servios de Domnio do Active Directory parado. Embora este modo seja exclusivo, o servidor possui algumas caractersticas tanto de controlador de domnio no Modo de Recuperao do Directory Services quanto como um servidor membro ligado ao domnio. Assim como no Modo de Recuperao do Directory Services, o banco de dados do Active Directory (Ntds.dit) est offline. Alm disso, a senha do Modo de Recuperao do Directory Services pode ser usada para um login local, caso outro controlador de domnio no possa ser contatado. Assim como com um servidor membro, o servidor ligado ao domnio. Alm disso, os usurios podem efetuar logon de forma interativa, ou pela rede, usando outro controlador de domnio para o logon. No entanto, um controlador de domnio
Guia do Revisor do Windows Server Longhorn Beta 3
172
no deve permanecer neste estado por um longo perodo de tempo, pois ele no consegue atender as requisies de logon ou replicar com outros controladores de domnio. Modo de Recuperao do Directory Services. Este modo (ou estado) inaltervel a partir do Windows Server 2003.
O seguinte fluxograma apresenta como um controlador de domnio que executa o Windows Server Longhorn pode fazer a transio entre esses trs estados possveis.
173
Domnio do Active Directory para examinar as alteraes e ajudar a decidir como corrigi-las, se necessrio. Embora a Exposio de Telas dos Servios de Domnio do Active Directory no recupere objetos excludos, ele ajuda a dinamizar o processo de recuperao de objetos que tenham sido acidentalmente excludos. Antes do Windows Server Longhorn, quando os objetos ou unidades organizacionais (OUs) foram acidentalmente excludas, a nica forma de determinar exatamente quais objetos haviam sido excludos era restaurando os dados a partir de backups. Mas isso trazia duas desvantagens: O Active Directory precisava ser reiniciado no Modo de Recuperao do Directory Services para desempenhar uma restaurao autorizada. Um administrador no podia comparar os dados nos backups que eram obtidos em momentos diferentes (a menos que os backups fossem restaurados a vrios controladores de domnio; um processo que no vivel).
A finalidade do recurso de Exposio de Telas dos Servios de Domnio do Active Directory expor os dados dos Servios de Domnio do Active Directory armazenados nas imagens de forma online. Os administradores podem ento comparar os dados das imagens obtidas em diferentes momentos, que, por sua vez, ajudam a decidir sobre os dados a serem restaurados, sem acabar em uma parada de servio. Os seguintes indivduos devem ver essas informaes sobre a Exposio de Telas do Active Directory Domain Services: Planejadores e analistas de TI que avaliam tecnicamente o produto Planejadores corporativos de TI e organizaes designers de
Administradores, operadores e gerentes responsveis pelas operaes de TI, incluindo a recuperao de dados excludos dos Servios de Domnio do Active Directory
H dois aspectos para o problema de se recuperar dados excludos: Preservar os dados excludos para que eles possam ser recuperados Recuperar os dados excludos recentemente quando solicitado
A Exposio de Telas dos Servios de Domnio do Active Directory torna possvel para os dados excludos dos Servios de Domnio do Active Directory serem preservados em forma de imagens dos Servios de Domnio do Active Directory, obtidas pelo Servio de Cpia de Sombra do Volume. A Exposio de Telas dos Servios de Domnio do Active Directory Snapshot, na verdade, no recupera objetos e containeres excludos. O administrador deve desempenhar a recuperao como um passo subseqente.
Guia do Revisor do Windows Server Longhorn Beta 3
174
Voc pode usar a ferramenta LDAP, como o Ldp.exe, que uma ferramenta integrada no Windows Server Longhorn, para ver os dados expostos nas imagens. Esses dados so de somente leitura. Por padro, apenas os membros dos grupos de Administradores de Domnio e Corporativos podem visualizar as imagens, pois elas contm dados sensveis dos Servios de Domnio do Active Directory. Proteja as imagens dos Servios de Domnio do Active Directory contra acesso no-autorizado, assim como voc o faz com backups dos Servios de Domnio do Active Directory. Um usurio malicioso que tenha acesso s imagens pode us-las para revelar dados sensveis que possam estar armazenados nos Servios de Domnio do Active Directory. Por exemplo, um usurio malicioso pode copiar as imagens dos Servios de Domnio do Active Directory de uma floresta A para B e depois usar as credenciais de Administrador do Domnio ou Corporativo da floresta B para examinar os dados. Use a criptografia ou outras precaues de segurana dos dados com as imagens do Active Directory Domain Services a fim de ajudar a reduzir a chance de acesso no-autorizado s imagens dos Servios de Domnio do Active Directory. O processo de uso da Exposio de Telas dos Servios de Domnio do Active Directory inclui os seguintes passos: 1. Programe uma tarefa que regularmente execute o Ntdsutil.exe para obter imagens do volume que contm o banco de dados dos Servios de Domnio do Active Directory. 2. Execute o Ntdsutil.exe para listar as imagens disponveis e monte a imagem que deseja visualizar. 3. Execute o Dsamain.exe para expor o volume de imagens como um servidor LDAP. O Dsamain.exe tem os seguintes argumentos: Caminho do banco de dados dos Servios de Domnio do Active Directory (NTDS.dit). Por padro, esse caminho aberto somente como leitura, mas ele deve estar em ASCII. Caminho do Log. Esse pode ser um caminho temporrio, mas voc deve ter acesso de escrita. Quatro nmeros de portas para LDAP, LDAP-SSL, Global Catalog e Global CatalogSSL.
Voc pode parar o Dsamain, pressionando CTRL+C ou definindo o atributo stopservice no objeto rootDSE. 4. Execute e anexe o Ldp.exe porta LDAP da imagem que voc especificou quando exps a imagem como um servidor LDAP, no passo anterior. 5. Navegue pela imagem como faria com qualquer controlador de domnio dinmico.
Guia do Revisor do Windows Server Longhorn Beta 3
175
Caso voc tenha idia de qual OU ou objetos foram excludos, pode procurar nos objetos excludos, nas imagens, e gravar os atributos e links de retorno que pertenciam aos objetos excludos. Reanime esses objetos, usando o recurso de reanimao em cones. Depois, alimente manualmente esses objetos com os atributos e links de retorno, assim que identificados nas imagens. No entanto, voc no pode realimentar os atributos apenas do sistema, que foram divididos quando os objetos foram excludos. Embora voc deva recriar manualmente os atributos e links de retorno, o navegador de imagens torna possvel recriar os objetos excludos e seus links sem precisar reiniciar o controlador de domnio no Modo de Recuperao do Directory Services. Alm disso, voc pode usar o navegador de imagens para analisar configuraes anteriores dos Servios de Domnio do Active Directory, incluindo as permisses e a Diretiva de Grupo.
176
As melhorias na UI dos Servios de Domnio do Active Directory no requerem consideraes especiais. As melhorias ao Assistente de Instalao tambm esto todas disponveis por padro. No entanto, algumas pginas do assistente aparecem apenas se a caixa de verificao de Usar instalao no modo avanado estiver selecionada na pgina de Boas Vindas do assistente. O modo de instalao avanado fornece aos usurios mais experientes um controle maior sobre o processo de instalao, sem confundir os usurios mais novos quanto s opes de configurao que podem no ser familiares. Para os usurios que no selecionam a caixa Usar instalao no modo avanado, o assistente utiliza opes padres que se aplicam maior parte das configuraes. As melhorias na UI dos Servios de Domnio do Active Directory fornecem novas funcionalidades para o Assistente de Instalao dos Servios de Domnio do Active Directory e funes de snap-in do MMC.
177
Voc pode iniciar uma instalao RODC, usando o snap-in do MMC Active Directory Users and Computers. Voc pode tanto clicar com o boto direito em Controladores de Domnio como clicar em Controladores de Domnio e depois em Pr-criar uma conta Somente-leitura de Controlador de Domnio. Este mtodo instala o RODC em dois estgios. Durante o estgio seguinte da instalao, voc executa o Assistente dos Servios de Domnio do Active Directory no servidor que deseja anexar conta do RODC.
O Assistente de Instalao dos Servios de Domnio do Active Directory contm uma nova opo na pgina de Boas Vindas para ativar o modo avanado como uma alternativa para executar o Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo avanado exibe opes adicionais que permitem configuraes mais avanadas e fornecem aos usurios mais experientes um controle maior sobre a operao. As opes adicionais do modo avanado incluem o seguinte: Criar uma nova rvore de domnio Usar uma mdia de backup a partir de um controlador de domnio existente no mesmo domnio, a fim de reduzir o trfego de rede que est associado com a replicao inicial Selecionar o controlador de domnio de origem para a instalao Modificar o nome do NetBIOS que o assistente gera por padro Definir a diretiva de replicao de senha para um RODC
Alm dessas alteraes, o Assistente de Instalao dos Servios de Domnio do Active Directory possui novas pginas, que so descritas na tabela que segue.
Descrio
Especifica que, durante a instalao do controlador de domnio, ele tambm ser configurado para ser um DNS server, servidor do catlogo global ou RODC. Especifica o local onde o controlador de domnio deve ser instalado. Define o domnio e o nvel funcional da floresta durante a instalao do novo domnio ou floresta. Especifica quais senhas de contas so permitidas ou negadas de serem armazenadas no RODC. Essa pgina aparece apenas quando a caixa Usar instalao no modo avanado est selecionada. Fornece uma opo padro para criar uma delegao DNS no tipo de instalao do controlador de domnio (conforme especificado na pgina Escolha uma Configurao de Implantao) e o ambiente DNS.
178
Outras melhorias reduzem as chances de erro durante a instalao dos Servios de Domnio do Active Directory. Por exemplo, se voc est instalando um controlador de domnio adicional, pode selecionar o nome do domnio a partir de uma rvore de domnio, em vez de digit-la. Para assegurar que um DNS server recm-instalado esteja operando corretamente, o DNS automaticamente configurado para as configuraes do cliente DNS, encaminhadores e dicas de raiz, se necessrio, com base nas opes de instalao que so selecionadas.
179
servidor associa-se aos nomes de qualquer conta do RODC que tenha sido criada antes para o domnio. Quando o assistente encontra um nome associado da conta, ele alerta o usurio para usar aquela conta para concluir a instalao do RODC.
180
Quais senhas foram enviadas ao RODC Quais senhas esto atualmente armazenadas no RODC Quais contas foram autenticadas para o RODC, incluindo contas no definidas nos grupos de segurana, que tm a replicao permitida ou negada. Como resultado, o administrador pode ver quem est usando o RODC e determinar se permite ou nega a replicao da senha.
181
182
Organizao da Conta As organizaes que possuem e gerenciam as contas de usurio podem implantar os Servios Federados do Active Directory que autenticam usurios locais e criam tokens que, mais adiante, so usados na organizao de recurso para tomar decises quanto autorizao.
O processo de autenticao de uma rede enquanto se acessam recursos em outra rede sem o incmodo de aes repetidas de login pelos usurios conhecido como longo nico (SSO). Os Servios Federados do Active Directory fornece uma soluo baseada na Web, de SSO, que autentica os usurios em mltiplas aplicaes da Web pela durao de uma simples sesso de navegao. Os Servios Federados do Active Directory designado para ser implantado em organizaes de mdio a grande porte, que possuem o seguinte: No mnimo, um servio de diretrio: tanto o Active Directory Domain Services ou Active Directory Lightweight Directory Services (antes conhecido como Active Directory Application Mode) Computadores executados em diversas plataformas de sistemas operacionais Computadores ligados a um domnio Computadores conectados Internet Uma ou mais aplicaes baseadas na Web
Veja essas informaes, juntamente com a documentao adicional sobre os Servios Federados do Active Directory, se voc faz parte de um dos seguintes grupos: Profissional de TI responsvel pelo suporte de uma infraestrutura existente dos Servios Federados do Active Directory Planejador de TI, analista ou arquiteto em fase de avaliao dos produtos de federao da identidade
Se voc tem uma infra-estrutura existente dos Servios Federados do Active Directory, existem algumas consideraes especiais a saber antes de voc comear a atualizar os servidores de federao, proxies e servidores da Web ativados pelos Servios Federados do Active Directory que executam o Windows Server 2003 R2 para o Windows Server Longhorn. Essas consideraes aplicamse apenas quando voc tem servidores dos Servios Federados do Active Directory que tenham sido manualmente configurados para usar contas exclusivas do servio. Os Servios Federados do Active Directory usa a conta do Network Service como padro para os Servios Federados do Active
183
Directory Web Agent Authentication Service e a identidade do pool de aplicao do ADFSAppPool. Se voc configurou manualmente um ou mais servidores dos Servios Federados do Active Directory em sua implantao existente dos Servios Federados do Active Directory para usar uma conta de servio que no seja a conta padro do Network Service, verifique qual dos servidores dos Servios Federados do Active Directory utiliza essas contas de servio e grave o nome de usurio e a senha de cada conta. Quando voc atualiza um servidor para o Windows Server Longhorn, o processo recupera, automaticamente, todas as contas de servio para seus valores padres originais. Portanto, voc deve fornecer as informaes da conta do servio novamente, manualmente, para cada servidor aplicvel depois que o Windows Server Longhorn est completamente instalado. Para o Windows Server Longhorn, os Servios Federados do Active Directory inclui novas funcionalidades que no esto disponveis no Windows Server 2003 R2. Essas novas funcionalidades so feitas para facilitar a sobrecarga administrativa e para estender ainda mais o suporte s principais aplicaes: Instalao Aprimorada. Os Servios Federados do Active Directory est includo no Windows Server Longhorn como uma funo de servidor, havendo ainda novas verificaes de validao do servidor no assistente de instalao. Suporte aprimorado da aplicao. Os Servios Federados do Active Directory mais integrado com o Microsoft Office SharePoint Services 2007 e os Servios de Gerenciamento de Direitos do Active Directory. Melhor experincia administrativa ao estabelecer relao de confiana federada. A funcionalidade aprimorada de importar e exportar uma diretiva de relao de confiana ajuda a minimizar os problemas de configurao baseados nos parceiros, geralmente associados com o estabelecimento de uma relao de confiana federada.
Instalao Aprimorada.
Os Servios Federados do Active Directory no Windows Server Longhorn traz diversas melhorias experincia de instalao. Para instalar os Servios Federados do Active Directory no Windows Server 2003 R2, voc deve ir at Adicionar/Remover Programas para encontrar e instalar o componente dos Servios Federados do Active Directory. No entanto, no Windows Server Longhorn, voc pode instalar os Servios Federados do Active Directory como uma funo de servidor que utiliza o Server Manager. Voc pode usar o assistente de configurao aprimorado dos Servios Federados do Active Directory para realizar as
184
verificaes de validao do servidor antes de continuar com a instalao dos Servios Federados do Active Directory. Alm disso, o Server Manager automaticamente lista e instala todos os servios dos quais os Servios Federados do Active Directory depende durante a instalao dos Servios Federados do Active Directory. Esses servios incluem o Microsoft ASP.NET 2.0 e outros servios que fazem parte da funo de servidor do Web Server (IIS).
185
Tanto no Windows Server 2003 R2 como no Windows Server Longhorn, os administradores dos Servios Federados do Active Directory podem criar uma relao de confiana federada entre duas organizaes, usando tanto um processo de importar e exportar arquivos de diretivas como um processo manual que envolva uma troca mtua entre os valores dos parceiros, como o Uniform Resource Indicators (URIs), tipos de declarao, mapeamento de declarao, exibio de nomes etc. O processo manual requer que o administrador, que recebe esses dados, digite todos os dados recebidos nas pginas apropriadas do Assistente para Adicionar Parceiro, o que pode resultar em erros tipogrficos. Alm disso, o processo manual exige que o administrador parceiro da conta envie uma cpia do certificado de verificao para o servidor de federao, a fim de que o certificado possa ser adicionado pelo assistente. Embora a capacidade de importar e exportar arquivos da diretiva fosse disponvel no Windows Server 2003 R2, criar relaes de confiana federadas entre as organizaes dos parceiros mais fcil no Windows Server Longhorn, como um resultado da funcionalidade de importar e exportar baseada na diretiva. Essas melhorias foram feitas para aprimorar a experincia administrativa, permitindo mais flexibilidade para a funcionalidade de importao no Assistente para Adicionar Parceiro. Por exemplo, quando uma diretiva de parceiro importada, o administrador pode usar esse Assistente para modificar todos os valores que foram importados antes de o processo do assistente ser concludo. Isso inclui a capacidade de especificar um certificado diferente de verificao da conta do parceiro e a de mapear as declaraes de entrada e sada entre os parceiros. Usando os recursos de importar e exportar, includos nos Servios Federados do Active Directory no Windows Server Longhorn, os administradores podem apenas exportar suas configuraes da diretiva de relao de confiana para um arquivo .xml e ento enviar o arquivo ao administrador parceiro. Essa troca de arquivos de diretiva de parceiros fornece todas as URIs, tipos de declarao, mapeamentos de declarao e outros valores e certificados de verificao necessrios para criar uma relao de confiana federada entre duas organizaes parceiras. A ilustrao que segue e as instrues que acompanham mostram como uma troca bem sucedida de diretivas entre os parceiros neste caso, iniciada pelo administrador da organizao parceira da conta pode ajudar a dinamizar o processo de estabelecer uma relao de confiana federada entre duas organizaes fictcias: A. Datum Corp. e Trey Research. O seguinte fluxograma apresenta como um controlador de domnio que executa o Windows Server Longhorn pode fazer a transio entre esses trs estados possveis.
Guia do Revisor do Windows Server Longhorn Beta 3
186
1. O administrador parceiro da conta especifica a opo Exportar Diretiva Parceira Bsica, clicando com o boto direito na pasta Diretiva Confivel, e exporta um arquivo de diretiva parceira que contm a URL, o nome de exibio, a URL do proxy do servidor da federao e o certificado de verificao da A. Datum Corp. O administrador parceiro da
Guia do Revisor do Windows Server Longhorn Beta 3
187
conta ento envia o arquivo da diretiva parceira (por email ou outros meios) ao administrador parceiro do recurso. 2. Esse administrador cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a opo para importar um arquivo de diretiva parceira da conta. O administrador parceiro do recurso continua a especificar o local e o arquivo de diretiva parceira e a verificar se todos os valores apresentados em cada pgina do assistente que so pr-alimentados como resultado da importao da diretiva so precisos. O administrador ento conclui o assistente. 3. O administrador parceiro do recurso agora pode configurar declaraes adicionais ou configuraes da diretiva de relao de confiana para aquele parceiro da conta. Aps concluir essa configurao,o administrador especifica a opo Exportar Diretiva, clicando com o boto direito no parceiro de conta de A. Datum Corp. O administrador parceiro do recurso exporta um arquivo da diretiva do parceiro que contm valores, como a URL, a URL do proxy do servidor de federao, o nome de exibio, tipos de declarao e mapeamentos de declarao para a organizao Trey Research. O administrador parceiro do recurso ento envia o arquivo da diretiva parceira ao administrador parceiro da conta. 4. Esse administrador cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Conta e seleciona a opo para importar um arquivo de diretiva parceira do recurso. O administrador parceiro da conta continua a especificar o local e o arquivo de diretiva parceira do recurso e a verificar se todos os valores apresentados em cada pgina do assistente que so pr-alimentados como resultado da importao da diretiva so precisos. O administrador ento conclui o assistente. Quando este processo est concludo, uma relao de confiana bem sucedida da federao entre os parceiros estabelecida. Os administradores parceiros de recursos tambm podem iniciar um processo de diretiva para importar e exportar, embora o processo no seja descrito aqui.
Novas Configuraes
Voc configura as configuraes do Web Agent baseado no token do Windows NT com o snap-in do IIS Manager. Para suportar as novas funcionalidades fornecidas com o IIS 7.0, os Servios Federados do Active Directory do Windows Server Longhorn inclui atualizaes na UI para o servio de funo do Web Agent dos Servios Federados do Active Directory. A tabela que segue lista os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0
188
para cada uma das pginas de propriedades do Web Agent do Active Directory Federation, dependendo da verso do IIS que est sendo usada.
Local Antigo
Novo Local
<COMPUTERNAME>\Web Sites
<COMPUTERNAME> (na seo Outros do painel central) <COMPUTERNAME>\Web Sites\<Site ou Virtual Directory> (na seo IIS\Authentication do painel centra)
Nota No existem diferenas significativas de UI entre o snap-in dos Servios Federados do Active Directory no Windows Server Longhorn e o dos Servios Federados do Active Directory no Windows Server 2003 R2.
189
O Active Directory Lightweight Directory Services fornece muitas das mesmas funcionalidades dos Servios de Domnio do Active Directory (e, na verdade, ambos so construdos sob a mesma base de cdigo), mas ele no requer a implantao de domnios ou controladores de domnio. Voc pode executar mltiplas instncias do Active Directory Lightweight Directory Services ao mesmo tempo em um nico computador, com um esquema independentemente gerenciado para cada instncia ou configurao do Active Directory Lightweight Directory Services (caso a instncia faa parte do conjunto de configuraes). Os servidores membros, controladores de domnio e servidores autnomos podem ser configurados para executar o Active Directory Lightweight Directory Services. O Active Directory Lightweight Directory Services semelhante aos Servios de Domnio do Active Directory ao fornecer o seguinte: Replicao Multimaster Suporte API de Interfaces do Active Directory Service Parties do diretrio da aplicao LDAP sobre o SSL
Guia do Revisor do Windows Server Longhorn Beta 3
190
O Active Directory Lightweight Directory Services se difere dos Servios de Domnio do Active Directory principalmente no que se refere a no armazenar os princpios de segurana do Windows. Embora o Active Directory Lightweight Directory Services possa usar os princpios de segurana do Windows (como os usurios do domnio) nos ACLs que controlam o acesso aos objetos no Active Directory Lightweight Directory Services, o Windows no pode autenticar os usurios armazenados no Active Directory Lightweight Directory Services ou utilizar os usurios do Active Directory Lightweight Directory Services em seus ACLs. Alm disso, o Active Directory Lightweight Directory Services no suporta domnios e florestas, Diretiva de Grupo ou catlogos globais. As organizaes que tm os seguintes requisitos iro considerar o Active Directory Lightweight Directory Services particularmente til: Diretrios especficos da aplicao que usam esquemas personalizados ou que dependem de um gerenciamento descentralizado de diretrio Diretrios do Active Directory Lightweight Directory Services que sejam separados da infra-estrutura de domnio dos Servios de Domnio do Active Directory. Como resultado, eles podem suportar aplicaes que dependam das extenses de esquemas no desejveis no diretrio do Active Directory Domain Services como as que so teis a uma nica aplicao. Alm disso, o administrador do servidor local pode gerenciar os diretrios do Active Directory Lightweight Directory Services; os administradores de domnio no precisam fornecer suporte administrativo. Desenvolvimento da aplicao ativada pelo diretrio e os ambientes de prottipo separados da estrutura de domnio da empresa Os desenvolvedores de aplicao que esto criando aplicaes ativadas pelo diretrio podem instalar a funo do Active Directory Lightweight Directory Services em qualquer servidor, mesmo nos autnomos. Como resultado, os desenvolvedores podem controlar e modificar o diretrio em seu ambiente de desenvolvimento, sem interferir na infraestrutura de Active Directory Domain Services da organizao. Essas aplicaes podem ser implantadas de forma subseqente, tanto com o Active Directory Lightweight Directory Services como com os Servios de Domnio do Active Directory como servio de diretrio da aplicao, conforme apropriado. Os administradores de rede podem usar o Active Directory Lightweight Directory Services como ambiente prottipo ou piloto para aplicaes que, eventualmente, sero implantadas com os Servios de Domnio do Active Directory como seu armazenamento de diretrio, contanto que a aplicao no dependa de recursos especficos dos Servios de Domnio do Active Directory.
191
Gerenciamento de acesso de computadores de clientes externos aos recursos da rede Empresas que precisam autenticar computadores, como os de Web client ou visitantes, podem usar o Active Directory Lightweight Directory Services como local de diretrio para autenticao. Isso ajuda as empresas a evitarem precisar manter informaes de clientes externos no diretrio de domnio da empresa.
Ativando computadores clientes LDAP em um ambiente heterogneo para autenticar os Servios de Domnio do Active Directory Quando as organizaes se fundem, geralmente h uma necessidade de integrar os computadores clientes LDAP que executam diferentes sistemas operacionais de servidores em uma nica infra-estrutura de rede. Nesses casos, em vez de atualizar imediatamente os computadores clientes que executam aplicaes em LDAP ou modificar o esquema dos Servios de Domnio do Active Directory para funcionar com os clientes existentes, os administradores de rede podem instalar o Active Directory Lightweight Directory Services em um ou mais servidores. A funo de servidor do Active Directory Lightweight Directory Services age como um diretrio intermedirio que usa um esquema existente at que os computadores clientes possam ser atualizados para usar os Servios de Domnio do Active Directory, de forma nativa, para acesso LDAP e autenticao.
Como o Active Directory Lightweight Directory Services feito para ser um servio de diretrio para aplicaes, espera-se que elas criem, gerenciem e removam objetos de diretrio. Como servio de diretrio de propsito geral, o Active Directory Lightweight Directory Services no suportado por ferramentas orientadas a domnio, como estas: Domnios e Relaes de Confiana do Active Directory Usurios e Computadores do Active Directory Locais e Servios do Active Directory
No entanto, os administradores podem gerenciar os diretrios do Active Directory Lightweight Directory Services, usando as ferramentas de diretrio, como as seguintes: ADSI Edit (para visualizar, modificar, criar e excluir qualquer objeto do Active Directory Lightweight Directory Services) Ldp.exe (para administrao geral em LDAP) Outros utilitrios do gerenciamento de esquema
As aplicaes que foram designadas para trabalhar no Modo de Aplicao do Active Directory no exigem alteraes para funcionar com o Active Directory Lightweight Directory Services.
192
193
identificam as entidades confiveis (como usurios, grupos e servios) que possam publicar o contedo protegido por direito. Uma vez que a relao de confiana estabelecida, os usurios podem atribuir direitos e condies de utilizao ao contedo que desejam proteger. Esses direitos especificam quem pode acessar o contedo protegido e o que a pessoa deseja fazer com ele. Quando o contedo protegido, uma licena de publicao criada para ele. Essa licena vincula os direitos especficos de utilizao a certa parte do contedo, para que o contedo possa ser distribudo. Por exemplo, os usurios podem enviar documentos protegidos a outros usurios, dentro ou fora da organizao, sem que o contedo perca sua proteo. Adquirindo licenas para descriptografar o contedo protegido por direito e aplicar diretivas de utilizao. Os usurios que receberam um certificado de conta dos direitos podem acessar o contedo protegido, usando uma aplicao ativada pelos Servios de Gerenciamento de Direitos do Active Directory que permite que eles vejam o contedo e trabalhem com ele. Quando os usurios tentam acessar um contedo protegido, so enviadas requisies aos Servios de Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o contedo. Quando um usurio tenta usar o contedo protegido, o servio de licenciamento dos Servios de Gerenciamento de Direitos do Active Directory, no cluster dos Servios de Gerenciamento de Direitos do Active Directory, emite uma licena nica de utilizao que l, interpreta e aplica os direitos e condies especificados nas licenas de publicao. Os direitos e condies de utilizao so aplicados de forma persistente e automtica a qualquer lugar a que o contedo possa ir. Criando arquivos e modelos protegidos por direitos. Os usurios que so entidades confiveis no sistema dos Servios de Gerenciamento de Direitos do Active Directory podem criar e gerenciar arquivos aprimorados pela proteo, usando ferramentas conhecidas de autoria de uma aplicao ativada pelos Servios de Gerenciamento de Direitos do Active Directory, que incorpora os recursos de tecnologia dos Servios de Gerenciamento de Direitos do Active Directory. Alm disso, as aplicaes ativadas pelos Servios de Gerenciamento de Direitos do Active Directory podem usar modelos de utilizao centralmente definidos e oficialmente autorizados para ajudar os usurios a aplicar, efetivamente, uma srie pr-definida de diretivas de utilizao.
Os Servios de Gerenciamento de Direitos do Active Directory feito para ajudar a tornar o contedo mais seguro, independente de para onde ele tenha sido movido. Os seguintes grupos de profissionais devem analisar esta seo dos Servios de Gerenciamento de Direitos do Active Directory: Planejadores e analistas de TI que avaliam os produtos de gerenciamento de direitos na empresa Profissionais de TI responsveis por suportar uma infraestrutura existente de RMS
Guia do Revisor do Windows Server Longhorn Beta 3
194
Arquitetos de segurana em TI interessados em implantar uma tecnologia de proteo s informaes que fornea proteo a todos os tipos de dados
Os Servios de Gerenciamento de Direitos do Active Directory conta como Active Directory Domain Services para verificar se o usurio que tenta usar o contedo protegido est autorizado para fazer isso. Ao registrar um ponto de conexo do servio (SCP) dos Servios de Gerenciamento de Direitos do Active Directory durante a instalao, o usurio deve ter acesso de Escrita ao container Services nos Servios de Domnio do Active Directory. Por fim, todas as informaes de configurao e registro so armazenadas no Banco de Dados de Registro dos Servios de Gerenciamento de Direitos do Active Directory. Em um ambiente de teste, voc pode usar o Banco de Dados Interno do Windows, mas, em um ambiente de produo, recomenda-se usar um servidor de banco de dados separado. Os Servios de Gerenciamento de Direitos do Active Directory inclui uma srie de melhorias quanto s verses anteriores do RMS. Essas melhorias incluem o seguinte: Instalao aprimorada e experincia em administrao. Os Servios de Gerenciamento de Direitos do Active Directory est includo no Windows Server Longhorn, sendo instalado como uma funo de servidor. Alm disso, a administrao dos Servios de Gerenciamento de Direitos do Active Directory feita por um MMC, ao contrrio da administrao do Web site apresentada nas verses anteriores. Registro automtico do cluster dos Servios de Gerenciamento de Direitos do Active Directory O cluster dos Servios de Gerenciamento de Direitos do Active Directory pode ser registrado sem uma conexo com o Microsoft Enrollment Service. Pelo uso de um certificado de registro automtico do servidor, o processo de registro feito totalmente em um computador local. Integrao com os Servios Federados do Active Directory Os Servios de Gerenciamento de Direitos do Active Directory e os Servios Federados do Active Directory foram integrados para que as empresas possam alavancar relaes federadas existentes para colaborar com os parceiros externos. Novas funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory. A capacidade de delegar tarefas dos Servios de Gerenciamento de Direitos do Active Directory a diferentes administradores para diferentes administradores necessria em qualquer ambiente corporativo com esta verso dos Servios de Gerenciamento de Direitos do Active Directory. Trs funes administrativas foram criadas: Administradores Corporativos de Servios de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory e Auditores de Servios de Gerenciamento de Direitos do Active Directory.
195
Os Servios de Gerenciamento de Direitos do Active Directory no Windows Server Longhorn traz diversas melhorias para a experincia de instalao e de administrao. Nas verses anteriores do RMS, um pacote separado de instalao precisava de download para depois ser instalado, mas, nesta verso, os Servios de Gerenciamento de Direitos do Active Directory foi integrado no sistema operacional e instalado como funo de servidor pelo Server Manager. A configurao e fornecimento so encontrados pela instalao da funo do servidor. Alm disso, o Server Manager lista e instala, automaticamente, todos os servios dos quais os Servios de Gerenciamento de Direitos do Active Directory dependente, como o Message Queuing e o Web Server (IIS), durante a instalao da funo de servidor dos Servios de Gerenciamento de Direitos do Active Directory. Durante a instalao, se voc no especificar um banco de dados remoto como os Servios de Gerenciamento de Direitos do Active Directory Configuration e Logging, os Servios de Gerenciamento de Direitos do Active Directory instala e configura, automaticamente, o Banco de Dados Interno do Windows para usar com os Servios de Gerenciamento de Direitos do Active Directory. Nas verses anteriores do RMS, a administrao era feita por uma interface da Web. Nos Servios de Gerenciamento de Direitos do Active Directory, a interface administrativa foi migrada para um console snap-in do MMC. O console dos Servios de Gerenciamento de Direitos do Active Directory fornece a voc todas as funcionalidades disponveis, com a verso anterior do RMS, mas com uma interface muito mais fcil de usar. Oferecer os Servios de Gerenciamento de Direitos do Active Directory como funo de servidor includa com o Windows Server Longhorn torna o processo de instalao menos incmodo, por no exigir que voc faa o download dos Servios de Gerenciamento de Direitos do Active Directory separadamente, antes de instal-lo. Usar o console dos Servios de Gerenciamento de Direitos do Active Directory para a administrao, em vez de uma interface de navegador, torna as opes mais disponveis para aprimorar a interface de usurio. O console dos Servios de Gerenciamento de Direitos do Active Directory emprega os elementos da interface de usurio que so consistentes pelo Windows Server Longhorn, sendo mais fcil de seguir e de navegar. Alm disso, com o incluso das funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory, o console dos Servios de Gerenciamento de Direitos do Active Directory exibe apenas as partes que o usurio pode acessar. Por exemplo, um usurio que est usando a funo de administrao dos Servios de Gerenciamento de Direitos do Active Directory Template Administrators est restrito a tarefas que so especficas aos modelos dos Servios de Gerenciamento de Direitos do Active Directory. Todas as outras tarefas administrativas no esto disponveis no console dos Servios de Gerenciamento de Direitos do Active Directory.
196
O registro do servidor nos Servios de Gerenciamento de Direitos do Active Directory o processo de criao e assinatura de um certificado de licenciamento de servidor (SLC) que garante ao servidor dos Servios de Gerenciamento de Direitos do Active Directory o direito de emitir certificados e licenas. Nas verses anteriores do RMS, o SLC tinha de ser assinado por um Servio de Registro da Microsoft por meio de uma conexo Internet. Isso exigia que o servidor do RMS tivesse conectividade com a Internet para fazer o registro online no Servio de Registro da Microsoft ou fosse capaz de se conectar a outro computador com acesso Internet que pudesse fazer o registro offline no servidor. Nos Servios de Gerenciamento de Direitos do Active Directory com o Windows Server Longhorn, o requisito de o servidor dos Servios de Gerenciamento de Direitos do Active Directory contatar-se diretamente com o Servio de Registro da Microsoft foi removido. Em vez disso, um certificado de registro automtico do servidor includo com o Windows Server Longhorn, que assina o SLC do servidor dos Servios de Gerenciamento de Direitos do Active Directory. Exigir que o SLC seja assinado pelo Servio de Registro da Microsoft mostrou uma dependncia operacional, que muitos clientes no queriam em seu ambiente. O Servio de Registro da Microsoft no mais requerido para assinar o SLC. Em vez disso, para assinar o SLC do servidor dos Servios de Gerenciamento de Direitos do Active Directory server, o certificado de registro automtico, includo com o Windows Server Longhorn, pode assinar o SLC localmente. Esse certificado permite que os Servios de Gerenciamento de Direitos do Active Directory opere em uma rede que seja inteiramente isolada da Internet. Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser atualizado antes do cluster de licenciamento apenas. Isso exigido para que o cluster de licenciamento apenas receba o SLC recm-registrado do cluster raiz.
197
a capacidade de estabelecer identidades federadas entre as organizaes e compartilhar contedos protegidos por direitos. Se voc est interessado em usar os Servios Federados do Active Directory com os Servios de Gerenciamento de Direitos do Active Directory, deve ter uma relao de confiana federada entre a sua organizao e os parceiros externos com quem gostaria de colaborar antes de os Servios de Gerenciamento de Direitos do Active Directory ser instalado. Alm disso, voc deve usar o cliente dos Servios de Gerenciamento de Direitos do Active Directory, includo com o Windows Vista ou o RMS Client com SP2 para tirar proveito da integrao dos Servios Federados do Active Directory com os Servios de Gerenciamento de Direitos do Active Directory. Os clientes do RMS anteriores ao RMS Client com SP2 no iro suportar a colaborao dos Servios Federados do Active Directory.
198
Os Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory permitem que os membros deste grupo gerenciem os modelos de diretiva de direitos. Especificamente, os Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory podem ler as informaes do cluster, listar modelos de diretivas, criar novos modelos de diretivas, modificar um modelo existente e exportar esses modelos. A funo dos Auditores de Servios de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem logs e relatrios. Essa uma funo de somente leitura que limitada a ler informaes do cluster, ler as configuraes de logging e executar relatrios disponveis no cluster dos Servios de Gerenciamento de Direitos do Active Directory. As funes administrativas do novos Servios de Gerenciamento de Direitos do Active Directory fornecem a oportunidade de delegar tarefas dos Servios de Gerenciamento de Direitos do Active Directory sem fornecer controle total sobre todo o cluster desses servios. Os clientes que querem implantar os Servios de Gerenciamento de Direitos do Active Directory em sua organizao no precisam fazer nada para se preparar para essa mudana. De forma opcional, recomenda-se criar grupos de segurana do Active Directory para cada uma dessas funes administrativas e adicion-los aos grupos de segurana locais. Isso dar a voc a capacidade de escalar a sua implantao dos Servios de Gerenciamento de Direitos do Active Directory por meio de diversos servidores, sem precisar adicionar contas de usurio a cada servidor dos Servios de Gerenciamento de Direitos do Active Directory.
199
200
201
202
ferramentas de administrao, proporcionando aos desenvolvedores de software uma plataforma de servidor completa sobre a qual possvel construir extenses de servidor Web.
Administrao Delegada
O IIS 7.0 permite queles que hospedam ou administram sites da Web ou servios WCF delegar controle administrativo aos desenvolvedores ou donos do contedo, reduzindo assim o custo de propriedade e os encargos administrativos para o administrador. Novas ferramentas de administrao so fornecidas para suportar esses recursos de delegao.
203
O IIS 7.0 apresenta uma nova interface grfica e uma nova ferramenta de linha de comando para o gerenciamento e administrao de servidores Web, sites e aplicaes da Web.
Edies
O IIS 7.0 est disponvel em todas as edies do Windows Server. No h diferena de funcionalidade entre as edies. O IIS 7.0 est disponvel em plataformas de 32 bits e 64 bits.
Configurao
O IIS 7.0 apresenta algumas importantes melhorias na maneira como os dados de configurao so armazenados e acessados. Um dos principais objetivos do lanamento do IIS 7.0 possibilitar a
Guia do Revisor do Windows Server Longhorn Beta 3
204
configurao distribuda das configuraes do IIS, que permite aos administradores especificar as configuraes do IIS nos arquivos armazenados com o cdigo e o contedo. A configurao distribuda permite aos administradores especificar as configuraes para um site ou aplicao da Web no mesmo diretrio do cdigo ou contedo. Ao especificar as configuraes em um nico arquivo, a configurao distribuda permite aos administradores delegar a administrao dos recursos selecionados de sites ou aplicaes da Web de forma que desenvolvedores de aplicaes possam modificar tais recursos. Os administradores tambm podem bloquear configuraes especficas, de modo que elas no possam ser alteradas por mais ningum. Usando a configurao distribuda, as configuraes para um site ou aplicao especfica podem ser copiadas de um computador para outro, medida que a aplicao passa do desenvolvimento para teste e, finalmente, para produo. A configurao distribuda tambm permite que a configurao de um site ou aplicao seja compartilhada atravs de um farm de servidor, em que todos os servidores recuperam as configuraes e o contedo de um servidor de arquivos. A configurao do IIS 7.0 baseada no armazenamento de configurao existente do .NET Framework, o que possibilita que as configuraes do IIS sejam armazenadas em conjunto com a configurao do ASP.NET em arquivos Web.config. Essa mudana fornece um armazenamento de configurao para todas as configuraes da plataforma Web, que podem ser acessadas atravs de um conjunto comum de APIs e armazenadas em um formato homogneo. O sistema de configurao do IIS 7.0 tambm totalmente extensvel, de forma que os desenvolvedores podem estender o armazenamento de configurao para incluir uma configurao personalizada com a mesma fidelidade e prioridade da configurao do IIS. O IIS 7.0 armazena a configurao global, ou de todo o computador, no diretrio %windir%\system32\inetsrv, em um arquivo chamado ApplicationHost.config. Nesse arquivo h dois principais grupos de seo de configurao: system.applicationHost system.WebServer
O grupo de seo system.applicationHost contm a configurao para site, aplicao, diretrio virtual e pools de aplicaes. O grupo de seo system.WebServer contm a configurao para todas as demais configuraes, incluindo os padres globais da Web. A configurao especfica de URL tambm pode ser armazenada em ApplicationHost.config usando as tags <location>. O IIS 7.0 tambm pode fazer leitura e escrita de configurao especfica de URL dentro dos diretrios de cdigo ou contedo de sites e aplicaes da Web do servidor nos arquivos Web.config, junto com a configurao do ASP.NET.
Guia do Revisor do Windows Server Longhorn Beta 3
205
Como o Windows Server Longhorn uma nova verso, possvel que voc leve algum tempo para familiarizar-se como as novas opes de configurao. Os sites de produo e os servios WCF que atualmente so executados atravs do IIS 6.0 devem ser cuidadosamente testados antes de passarem para produo no IIS 7.0, embora o IIS 7.0 seja projetado para ser compatvel. Se voc usa scripts de linha de comando personalizados do IIS 6.0, pode precisar convert-los para o IIS 7.0.
Ferramentas de Administrao
O IIS 7.0 apresenta as seguintes ferramentas de administrao, novas e completamente reescritas, para o gerenciamento do IIS: GUI (Interface Grfica do Usurio), IIS Manager Ferramenta de linha de comando, appcmd.exe Armazenamento de configurao, baseado no armazenamento de configurao do .NET Framework 2.0, que suporta a edio direta de configuraes Provedor WMI que pode ler ou alterar configuraes no armazenamento de configurao Interface gerenciada, Microsoft.Web.Administration, que expe as mesmas informaes exibidas pelo provedor WMI
Alm disso, o snap-in MMC do IIS 6.0 tambm fornecido com o Windows Server Longhorn para suportar administrao remota e administrar sites FTP. possvel instalar as ferramentas de administrao e os componentes de servidor Web separadamente. O IIS 7.0 tambm inclui um novo provedor WMI que amplia o acesso a scripts para todas as configuraes do IIS e do ASP.NET. A interface Microsoft.Web.Administration fornece uma interface gerenciada fortemente tipificada para recuperar os mesmos dados exibidos pelos scripts WMI. Os scripts de linha de comando do IIS 6.0 tambm foram substitudos por uma nova e poderosa ferramenta de linha de comando, a appcmd.exe. As novas ferramentas de administrao suportam integralmente a configurao distribuda e a delegao da responsabilidade administrativa. A delegao pode ser muito especfica, permitindo ao administrador decidir exatamente quais funes delegar, caso a caso. As novas ferramentas de administrao suportam integralmente a nova configurao distribuda do IIS 7.0. Elas suportam o o acesso delegado (no administrativo) para configurao de sites e aplicaes individuais. As ferramentas de administrao suportam
Guia do Revisor do Windows Server Longhorn Beta 3
206
credenciais que no sejam do Administrador e nem do Windows para a autenticao de um site ou aplicao especfica e o gerenciamento de configurao somente para aquele escopo. A nova interface grfica do IIS Manager suporta administrao remota de HTTP, permitindo administrao contnua local, remota e mesmo atravs da Internet, sem requerer DCOM ou que outras portas administrativas sejam abertas no firewall. As ferramentas de administrao so totalmente extensveis, permitindo aos desenvolvedores construir novos mdulos de administrao usando o .NET Framework, para se conectarem facilmente a novos mdulos de interface grfica de administrao que trabalham de forma to transparente como aqueles que fazem parte do IIS 7.0.
207
Diagnstico
O IIS 7.0 inclui duas principais melhorias que ajudam no diagnstico e na resoluo de problemas de sites e aplicaes da Web. As mudanas no diagnstico e na resoluo de problemas no IIS 7.0 permitem que o desenvolvedor ou o administrador visualize, em tempo real, as solicitaes que esto sendo executadas no servidor. Agora possvel filtrar condies de erro difceis de reproduzir e interromper automaticamente o erro com um registro de rastreamento detalhado. O IIS 7.0 inclui uma nova API de Controle e Estado do Execuo, que proporciona informaes, em tempo real, estado de pools de aplicaes, processos de trabalho, domnios de aplicaes e ainda sobre solicitaes que executadas. Tempo de sobre o sites, esto sendo
Tais informaes so exibidas por meio de uma API COM nativa. A prpria API agrupada e exibida atravs do novo provedor WMI do IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usurios verifiquem o status do servidor Web de forma mais rpida e fcil, qualquer que seja o ambiente de gerenciamento utilizado. O IIS 7.0 tambm inclui eventos de rastreamento detalhados durante o caminho de solicitao e resposta, permitindo aos desenvolvedores rastrear uma solicitao medida que ela abre caminho para o IIS, atravs do pipeline de requisio de processo do IIS, em qualquer cdigo de nvel de pgina existente, e retornar para a resposta. Tais eventos de rastreamento detalhados permitem que os desenvolvedores tenham conhecimento no apenas do caminho da solicitao e de quaisquer informaes de erro que surjam em decorrncia de uma solicitao, como tambm do tempo decorrido e de outras informaes depuradas, para ajudar na resoluo de todos os tipos de erros e quando um sistema pra de responder. Para permitir a coleta desses eventos de rastreamento, o IIS 7.0 pode ser configurado para capturar automaticamente todos os registros de rastreamento para uma determinada solicitao, com base no tempo decorrido ou nos cdigos de resposta de erros.
Recursos Adicionais
Para mais informaes sobre o IIS, consulte o Internet Information Services no site da Microsoft: (http://go.microsoft.com/fwlink/?LinkId=66138). Para mais informaes sobre APIs de extensibilidade do IIS, consulte o SDK do Internet Information Services 7.0 no site da Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).
208
O Windows Media Services pode ser deseja fornecer contedo de mdia de redes (tanto a Internet quanto tipos de organizao consideram o especialmente til:
usado por qualquer pessoa que digital para clientes atravs uma intranet). Os seguintes Windows Media Services
Empresas de hospedagem que fornecem uma experincia de fluxo contnuo rpido aos usurios - seja em casa ou no escritrio Empresas nas reas comercial, educacional ou governo que gerenciam recursos de rede e fornecem comunicaes valiosas para transmisses corporativas, alm de aprendizado, marketing e vendas on-line Empresas com tecnologia sem fio que fornecem servios de entretenimento de banda larga sem fio, usando os escalonveis e confiveis servidores Windows Media Difusoras da Internet que fornecem contedo para rdio, televiso, cabo ou satlite Distribuidoras de filmes e msica que fornecem contedo de udio e vdeo de maneira segura, sem excesso de armazenamento em buffer ou congestionamento da rede Profissionais de IPTV que fornecem uma experincia de IPTV de alta qualidade em LANs
Como nos lanamentos anteriores, alguns recursos do Windows Media Services no esto disponveis em determinadas edies do Windows Server Longhorn. Se a implantao do servidor Windows Media requerer um recurso especfico (por exemplo, o fornecimento de contedo para clientes como o fluxo contnuo multicast), consulte
Guia do Revisor do Windows Server Longhorn Beta 3
209
a Comparao de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do Windows Server Longhorn deve ser instalada. Aps a instalao da edio correta do Windows Server Longhorn, a funo Servios de Mdia de Fluxo Contnuo, que inclui o servio funcional do Windows Media Services (Administrador do Windows Media Services) e servios opcionais (Administrador do Windows Media Services para a Web e Agente de Log de Difuso Seletiva e Anncio), no est disponvel para instalao no Server Manager. Antes de usar o Server Manager para instalar a funo Servios de Mdia de Fluxo Contnuo, deve-se fazer o download do Windows Media Services 9 Series. Para mais informaes sobre como instalar a funo Servios de Mdia de Fluxo Contnuo no Windows Server Longhorn, consulte: Instalao e Configurao da Funo Servios de Mdia de Fluxo Contnuo (http://go.microsoft.com/fwlink/?LinkId=82888). Se voc ainda no usou o Windows Media Services, recomendamos que voc se familiarize com os conceitos de fluxo contnuo. Um bom lugar para comear : Usando o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82889). Nota Voc pode adicionar a funo Servios de Mdia de Fluxo Contnuo para a instalao do Ncleo do Servidor do Windows Server Longhorn. Para mais informaes sobre a opo de instalao do Ncleo do Servidor do Windows Server Longhorn, consulte o Ncleo do Servidor neste documento. Para mais informaes sobre como adicionar a funo Servios de Mdia de Fluxo Contnuo ao Ncleo do Servidor do Windows Server Longhorn, consulte: Instalao e Configurao da Funo Servios de Mdia de Fluxo Contnuo (http://go.microsoft.com/fwlink/?LinkId=82888).
Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contm um novo plug-in de Gerenciamento de Cache/Proxy que controla a capacidade do servidor Windows Media de executar funes de cache e proxy. O plug-in Cache Proxy do WMS pode ser usado para configurar um servidor Windows Media como um servidor de cache/proxy que mantm a largura de banda, reduz a latncia imposta pela rede e diminui a carga sobre o servidor de origem. Esses trs fatores reduzem os custos operacionais e criam uma melhor experincia de visualizao para seus clientes.
210
avano, retrocesso, busca ou salto rpidos em toda a mdia. Esses clientes tambm podem avanar para a mdia anterior ou seguinte na lista de reproduo. (Esses controles esto agora ativados no cliente.)
211
endereos IP em um nico adaptador de rede e atribuir-lhes endereos distintos da porta 80. Em seguida, deve-se configurar o Windows Media Services e o servio da Web para se conectarem a diferentes combinaes de endereo IP/porta 80. A ferramenta de Configurao de Sistema HTTP do Windows Media Services, usada em verses anteriores do Windows Media Services para atribuir endereos IP adicionais para os servios, no est disponvel nesta verso. Agora, a lista de incluso de IP na pilha de protocolos HTTP (HTTP.sys) deve ser configurada usando os aprimorados comandos netsh. Para mais informaes, consulte os comandos Netsh em: Novos Recursos de Rede no Windows Server Longhorn e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).
Configurao do Firewall
No mais necessrio adicionar o programa Windows Media Services (Wmserver.exe) como uma exceo no Firewall do Windows para abrir as portas de entrada padro para fluxo contnuo unicast. Quando a funo Servios de Mdia de Fluxo Contnuo instalada no Windows Server Longhorn, o programa Windows Media Services automaticamente adicionado como uma exceo no Firewall do Windows.
Qualidade de Servio
O Windows Media Services foi atualizado para usar as diretivas de Qualidade de Servio (QoS) no Windows Server Longhorn para gerenciar o trfego de sada de rede, em vez de usar o Tipo de Servio (ToS) para fornecer fluxo contnuo unicast. Para mais informaes, consulte: Qualidade de Servio (http://go.microsoft.com/fwlink/?LinkId=82892).
Implantao
As aplicaes projetadas para trabalhar com o Windows Media Services nos sistemas operacionais Windows anteriores no requerem mudanas para trabalhar com o Windows Media Services no Windows Server Longhorn. Em comparao com a verso anterior, o Windows Media Services no requer nenhuma melhoria especial na rede ou na infra-estrutura de
Guia do Revisor do Windows Server Longhorn Beta 3
212
segurana de sua empresa. Caso o Windows Media Services esteja sendo instalado no Windows Server Longhorn pela primeira vez, os Requisitos de Sistema do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente. Nota Em primeiro lugar, preciso fazer o download e instalar o Windows Media Services a partir do site da Microsoft (http://www.microsoft.com) para o Windows Server Longhorn. O Windows Media Services pode ser implantado em diversos cenrios. Depois da instalao do Windows Media Services, recomendamos a leitura do Guia de Implantao do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos e as recomendaes para o cenrio de fluxo contnuo. Alguns recursos do Windows Media Services no esto disponveis em determinadas edies do Windows Server Longhorn. Se a implantao do servidor Windows Media requerer um recurso especfico (por exemplo, o fornecimento de contedo para clientes como o fluxo contnuo multicast), consulte a Comparao de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do Windows Server Longhorn deve ser instalada.
213
Um ambiente do Servidor de Aplicao pode incluir, dentre outros, o que segue: Computadores clientes conectados por domnio e seus usurios Computadores conectados a uma intranet ou Internet num ambiente de servios da Web Servidores que interoperam em plataformas e sistemas operacionais distintos Servidores que hospedam aplicaes construdas com o .NET Framework 3.0 Servidores que hospedam aplicaes construdas para usar COM+, Message Queuing, servios da Web e transaes distribudas Servidores mltiplos que hospedam mltiplos bancos de dados em uma rede
O Servidor de Aplicao uma nova funo de servidor instalada atravs do Assistente para Adicionar Funes no Server Manager. Os administradores que implantam aplicaes LOB construdas com o .NET Framework 3.0 descobriro que a instalao de um ambiente de hospedagem para aplicaes se torna mais simples com essa funo de servidor. O Assistente para Adicionar Funes orienta o administrador atravs do processo de seleo dos servios funcionais ou do suporte dos recursos necessrios para executar as aplicaes.
214
Windows Communication Foundation (WCF) Windows Workflow Foundation (WF) Windows Presentation Foundation (WPF)
Os componentes mais importantes para as aplicaes baseadas em servidor so o WCF e o WF. O WPF usado principalmente em aplicaes baseadas em cliente. O WCF o modelo de programao unificado da Microsoft para construir aplicaes que usam os servios da Web para se comunicarem entre si. Essas aplicaes tambm so conhecidas como aplicaes orientadas para servios. Os desenvolvedores podem usar o WCF para construir aplicaes transacionadas mais seguras e confiveis, que se integram s plataformas e interoperam com os sistemas e aplicaes existentes. Para mais informaes sobre o WCF, consulte: O que o Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=81260). O WF o mecanismo e modelo de programao para construir rapidamente aplicaes ativadas por fluxo de trabalho no Windows Server Longhorn. Um fluxo de trabalho um conjunto de atividades que descrevem um processo no mundo real. O fluxo de trabalho comumente descrito e visualizado graficamente como um fluxograma. A descrio do fluxo de trabalho com freqncia chamada de modelo. Os trabalhos passam pelo modelo de fluxo de trabalho do incio ao fim. Os trabalhos ou atividades dentro do modelo podem ser executados por pessoas, sistemas ou computadores. Embora seja possvel descrever um fluxo de trabalho em linguagens de programao tradicionais como uma srie de etapas e condies, para fluxos de trabalho mais complexos ou que suportam revises mais simples, em geral muito mais apropriado projetar graficamente o fluxo de trabalho e armazenar o projeto como um modelo. Alm de permitir a modelagem grfica dos fluxos de trabalho, o WF tambm possibilita a execuo dos modelos de fluxo de trabalho. Aps a compilao do modelo de fluxo de trabalho, ele pode ser executado em qualquer processo do Windows, inclusive aplicaes baseadas em cliente, como aplicaes de console e aplicaes de formulrios grficos do Windows, ou aplicaes baseadas em servidor, incluindo o Windows Services, sites do ASP.NET e servios da Web do WCF. O WF fornece suporte para fluxo de trabalho humano e de sistemas em uma variedade de cenrios, incluindo os seguintes: Fluxo de trabalho em aplicaes LOB Fluxo seqencial de telas, pginas e caixas de dilogo como apresentadas ao usurio em resposta interao do usurio com a interface grfica Fluxo de trabalho centralizado em documentos
Guia do Revisor do Windows Server Longhorn Beta 3
215
Fluxo de trabalho humano Fluxo de trabalho composto para aplicaes orientadas para servios Fluxo de trabalho direcionado s regras de negcios Fluxo de trabalho para gerenciamento de sistemas
O Servidor de Aplicao essencialmente novo para o Windows Server Longhorn. A nova funo Servidor de Aplicao disponvel no Windows Server Longhorn no uma atualizao das tecnologias de servidor de aplicaes que possam ter sido instaladas anteriormente como parte do Windows Server 2003 ou de sistemas operacionais anteriores. Como a funcionalidade completamente nova, os administradores devem estar cientes de que no h caminho de migrao do Windows Server 2003 ou de sistemas operacionais anteriores para o Application Server. Caso um servidor do Windows Server 2003 ou de um sistema operacional anterior seja atualizado para o Windows Server Longhorn, a funo Application Server tambm dever ser reinstalada, usando o Assistente para Adicionar Funes no Server Manager. Como parte da preparao para instalao da nova funo Servidor de Aplicao, crie um inventrio das aplicaes que sero executadas nesse servidor. Se voc for um administrador, trabalhe com seus desenvolvedores para identificar as tecnologias e configuraes suportadas que devem estar presentes no servidor para executar as aplicaes. Em seguida, organize essas tecnologias para os servios funcionais descritos nas prximas sees, de forma que voc possa selecionar e configurar adequadamente os servios durante a instalao da funo de servidor.
Servidor Web
Essa opo instala o IIS verso 7.0, o servidor Web construdo no Windows Server Longhorn. O IIS fornece os seguintes benefcios: Ativa o Servidor de Aplicao para hospedar sites ou servios internos e externos com contedo fixo ou dinmico. Fornece suporte para a execuo de aplicaes ASP.NET acessadas de um navegador da Web. Fornece suporte para a execuo de servios da Web construdos com o Microsoft ASP.NET ou o WCF.
216
Transaes Distribudas
Essa opo ativa as transaes distribudas, que ajudam a assegurar transaes completas e bem-sucedidas em mltiplos bancos de dados hospedados em diversos computadores em uma rede.
217
218
Um identificador de arquivos pode ser fechado antes da confirmao ou interrupo da transao. Em geral, a confirmao ou interrupo executada por um thread totalmente diferente daquele que executou o trabalho de arquivo. Espera-se que os identificadores transacionais sejam usados apenas enquanto a transao estiver ativa. O sistema marca os identificadores como inativos depois que a transao finalizada. A tentativa de modificar o arquivo fracassada e o sistema apresenta uma mensagem de erro. Um arquivo pode ser visualizado como uma unidade de armazenamento. Atualizaes parciais e sobregravaes de arquivo completas so suportadas. No se espera que transaes mltiplas modifiquem partes do arquivo ao mesmo tempo isso no suportado. A E/S mapeada na memria trabalha de forma transparente e compatvel com a E/S regular de arquivos. O nico trabalho adicional necessrio que a aplicao esvazie e feche uma seo aberta antes de confirmar uma transao. Falhas nesse procedimento resultaro em mudanas parciais na transao. O acesso a um arquivo remoto por meio do servio SMB e do WebDAV (Web-Based Distributed Authoring and Versioning) suportado de forma transparente. O contexto da transao transmitido automaticamente pelo sistema ao n remoto. A prpria transao distribuda e coordenada para confirmao ou interrupo. Isso permite que as aplicaes sejam distribudas para mltiplos ns com um alto grau de flexibilidade. Esse um recurso poderoso, j que permite transferncias transacionais de arquivos na rede, imitando uma forma de mensageria transacional. Cada volume possui seu prprio log. O formato comum de log usado para fornecer recuperao e interrupes. O formato comum de log tambm constri um meio comum de registro de transaes do Windows para ser usado por outros armazenamentos.
219
220
221
Acelerar a autoria, os testes e a depurao de scripts e escrever as ferramentas do cliente em um novo ambiente de shell de comando Realizar o gerenciamento de servidores locais e remotos atravs do acesso a mltiplos armazenamentos de gerenciamento de dados, tais como WMI, ADSI, COM, Certificados, Registro e arquivos de configurao XML Reduzir as necessidades de gerenciamento e servios, melhorando, ao mesmo tempo, a confiabilidade e a segurana
222
As Tarefas de Configurao Inicial permitem aos administradores adiar essas tarefas at que a instalao esteja completa, o que significa menos interrupes durante a instalao. Alm disso, como a ativao do produto pode ser feita dentro de um perodo de tolerncia (normalmente 30 dias), e no essencial para a configurao inicial do servidor, o comando Ativar Seu Servidor, presente na janela Gerenciar Seu Servidor no Windows Server 2003, foi removido das Tarefas de Configurao Inicial. Os comandos Adicionar Funes e Adicionar Recursos na janela Tarefas de Configurao Inicial permite que voc comece a adicionar funes e recursos ao seu servidor imediatamente. A janela Tarefas de Configurao Inicial ajuda o administrador a configurar um servidor e reduzir o tempo entre a instalao do sistema operacional e a implantao do servidor em uma empresa.
Guia do Revisor do Windows Server Longhorn Beta 3
223
Ela permite que o administrador especifique, de maneira lgica, as configuraes do sistema operacional que foram previamente expostas na Instalao do Windows Server 2003, tais como a conta do Administrador, informaes sobre o domnio, e configuraes de rede. A janela Tarefas de Configurao Inicial tambm permite que voc participe dos seguintes programas que fornecem um feedback annimo Microsoft sobre o desempenho do software em sua empresa: Programa de Aperfeioamento da Experincia do Cliente com o Windows Server Relatrio de Erros do Windows
Configurao Padro
O padro que a senha da conta do Administrador fique em branco. O nome do computador atribudo de modo randmico durante a instalao. Voc pode modificar o nome do computador usando comandos na janela Tarefas de Configurao Inicial. O computador no vinculado a um domnio por padro; vinculado a um grupo de trabalho chamado WORKGROUP. O Windows Update desligado por padro. Todas as conexes de rede so programadas para obter endereos de IP automaticamente usando o DHCP. O Firewall do Windows ligado por padro. Nenhuma funo instalada por padro.
Membros do domnio Windows Update Conexes de rede Firewall do Windows Funes instaladas
224
225
Determinar o estado do servidor, identificar eventos crticos e analisar e resolver problemas ou falhas de configurao Instalar ou remover funes, servios de funo e recursos usando uma linha de comando do Windows
O Server Manager foi projetado para fornecer os melhores benefcios a qualquer um dos seguintes profissionais de TI: Um administrador, planejador ou analista de TI que est avaliando o Windows Server Longhorn Um planejador ou designer de TI corporativo Um early adopter do Windows Server Longhorn Um arquiteto de TI responsvel pelo gerenciamento e segurana dos computadores de uma organizao
Antes de usar o Server Manager, recomendvel que voc se familiarize com as funes, terminologia, requisitos e tarefas dirias de gerenciamento de qualquer funo que planeja instalar em seu servidor. Para informaes mais detalhadas sobre funes de servidor, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). O Server Manager instalado por padro como parte do processo de instalao do Windows Server Longhorn. Para usar o Server Manager, voc deve fazer logon no computador como membro do grupo de Administradores no computador local.
Funes
Embora a adio e remoo de funes e recursos de servidor no representem algo novo, o Server Manager unifica a funcionalidade de mltiplas ferramentas anteriores em uma nica interface de usurio, simples e baseada em MMC. Funes e recursos instalados com o Server Manager so ativados por padro, para maior segurana. Os administradores no precisam executar o Assistente de Configurao de Segurana aps a instalao ou remoo de funes, a menos que queiram alterar configuraes padro. O Server Manager fornece um nico ponto de acesso a snap-ins de gerenciamento para todas as funes instaladas. Adicionar uma funo automaticamente cria uma pgina inicial de console de gerenciamento no Server Manager para essa funo, que exibe eventos e estado de todos os servios que fazem parte da funo. Servios ou sub-componentes de uma funo so listados em uma seo desta pgina. Os administradores podem abrir assistentes para adicionar ou remover servios de funo usando comandos desta pgina inicial.
Guia do Revisor do Windows Server Longhorn Beta 3
226
Uma funo de servidor descreve a funo primria do servidor. Os administradores podem optar por dedicar um computador inteiro a uma funo de servidor, ou instalar mltiplas funes de servidor em um nico computador. Cada funo pode incluir um ou mais servios de funo, melhor descritos como sub-elementos de uma funo. As seguintes funes de servidor esto disponveis no Windows Server Longhorn, e podem ser instaladas e gerenciadas com o Server Manager.
Descrio
Os Servios de Certificado do Active Directory fornecem servios personalizveis para criar e gerenciar certificados de chave pblica usados em sistemas de segurana de software, empregando tecnologias de chave pblica. As organizaes podem usar os Servios de Certificado do Active Directory para melhorar a segurana vinculando a identidade de uma pessoa, dispositivo ou servio a uma chave privada correspondente. Os Servios de Certificado do Active Directory tambm incluem recursos que permitem gerenciar o registro e a revogao do certificado em uma variedade de ambientes escalonveis. As aplicaes suportadas pelos Servios de Certificado do Active Directory incluem Secure/Multipurpose Internet Mail Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema de Arquivos Encriptados (EFS), logon de cartes inteligentes, SSL/TLS e assinaturas digitais. Os Servios de Domnio do Active Directory armazenam informaes sobre usurios, computadores e outros dispositivos na rede. Os Servios de Domnio do Active Directory ajudam os administradores a gerenciar com mais segurana essas informaes e facilitam o compartilhamento de recursos e a colaborao entre usurios. Os Servios de Domnio do Active Directory tambm precisam ser instalados na rede para instalar aplicaes ativadas para diretrio, tais como o Microsoft Exchange Server e para aplicar outras tecnologias do Windows Server como a Diretiva de Grupo. Os Servios de Federao do Active Directory fornecem tecnologias de logon nico da Web para autenticar um usurio para mltiplas aplicaes da Web usando uma nica conta de usurio. Os Servios de Federao do Active Directory realizam isso federando ou compartilhando, de modo seguro, identidades de usurio e direitos de acesso, nos pedidos digitais ou formulrios, entre organizaes parceiras. As organizaes que tm aplicaes que requerem um diretrio para armazenar dados de aplicaes podem usar os Servios de Domnio do Active Directory Lightweight como armazenamento de dados. Os Servios de Domnio do Active Directory Lightweight funcionam como um servio de sistema no operacional e, como tal, no requer implantao em um controlador de domnio. O funcionamento como servio de sistema no operacional permite que mltiplas instncias dos Servios de Domnio do Active Directory Lightweight sejam executadas simultaneamente em um nico servidor, e que cada instncia possa ser configurada independentemente para prestar servios a mltiplas aplicaes. Os Servios de Gerenciamento de Direitos do Active Directory so uma tecnologia de proteo de informaes que trabalha com aplicaes ativadas para esses servios, para ajudar a proteger informaes digitais contra o uso no autorizado. Os proprietrios do contedo podem definir exatamente como um recipiente pode usar as informaes, como quem pode abrir, modificar, imprimir, encaminhar ou usar outros procedimentos com as informaes. As organizaes podem criar modelos de direitos de uso personalizados como Confidencial Somente Leitura, que podem ser aplicados diretamente a informaes como relatrios financeiros, especificaes do produto, dados
227
de clientes e mensagens de e-mail. Application Server O Application Server (Servidor de Aplicaes) fornece uma soluo completa para hospedar e gerenciar aplicaes de negcios de alto desempenho distribudas. Servios integrados, tais como .NET Framework, Suporte a Servidor da Web, Enfileiramento de Mensagens, COM+, Windows Communication Foundation e suporte a Clustering Failover impulsionam a produtividade durante todo o ciclo de vida da aplicao, desde o projeto e o desenvolvimento at a implantao e as operaes. O DHCP permite que os servidores atribuam ou aluguem endereos de IP a computadores e outros dispositivos ativados como clientes de DHCP. A implantao de servidores de DHCP na rede fornece automaticamente, aos computadores e outros dispositivos de rede baseados em TCP/IP, endereos de IP vlidos e os parmetros de configurao adicionais de que esses dispositivos precisam, chamados opes de DHCP, que lhes permitem conectarse a outros recursos de rede, tais como servidores DNS, servidores WINS e roteadores. O DNS fornece um mtodo padro para associar nomes a endereos de Internet numricos. Isso possibilita aos usurios o acesso a computadores da rede atravs de nomes fceis de lembrar, em vez de uma longa srie de nmeros. Os Servios de DNS podem ser integrados a servios de DHCP no Windows, eliminando a necessidade de adicionar registros de DNS quando os computadores so adicionados rede. O Servidor de Fax envia e recebe fax, e permite gerenciar recursos de fax como tarefas, configuraes, relatrios e dispositivos de fax nesse computador ou na rede. Os Servios de Arquivo fornecem tecnologias para gerenciamento de armazenamentos, replicao de arquivos, gerenciamento de espaos de nomes distribudos, busca rpida de arquivos e acesso dinamizado de cliente aos arquivos. Os Servios de Acesso e Diretiva de Rede oferecem uma variedade de mtodos para fornecer aos usurios conectividade rede remota e local, para conectar-se a segmentos da rede, e para permitir que os administradores da rede gerenciem centralmente o acesso rede e as diretivas de integridade do cliente. Com os Servios de Acesso Rede, voc pode implantar servidores de VPN, servidores de conexo discada, roteadores e acesso sem fio protegido 802.11. Voc tambm pode implantar servidores e proxies RADIUS, e usar o Kit de Administrao de Gerenciador de Conexo para criar perfis de acesso remoto que permitem aos computadores cliente conectar-se sua rede. Os Servios de Impresso ativam o gerenciamento de servidores de impresso e impressoras. Um servidor de impresso reduz a carga de trabalho administrativa e de gerenciamento atravs da centralizao de tarefas de gerenciamento de impressoras. Os Servios de Terminal fornecem tecnologias que permitem aos usurios acessar programas baseados em Windows que esto instalados em um servidor de terminal, ou acessar a prpria rea de trabalho do Windows a partir de quase todos os dispositivos de computao. Os usurios podem conectar-se a um servidor de terminal para executar programas e para usar recursos de rede nesse servidor. O Servio UDDI fornece capacidades de UDDI para compartilhar informaes sobre servios da Web dentro do intranet de uma organizao, entre parceiros de negcios em um extranet ou na Internet. O Servio UDDI pode ajudar a melhorar a produtividade de desenvolvedores e profissionais de TI com aplicaes mais confiveis e gerenciveis. Com o Servio UDDI voc pode evitar a duplicao de esforos promovendo a reutilizao do trabalho de desenvolvimento existente. O Servidor Web (IIS) ativa o compartilhamento de informaes na Internet, em um intranet ou um extranet. uma plataforma da Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation e Windows SharePoint Services. O IIS 7.0 tambm oferece maior segurana, diagnsticos simplificados
Servidor DNS
Servios de Impresso
Servios de Terminal
228
e administrao delegada. Servios de Implantao do Windows Voc pode usar os Servios de Implantao do Windows para instalar e configurar os sistemas operacionais do Microsoft Windows remotamente em computadores com ROMs de inicializao do Ambiente de Pre-boot Execution (PXE). O overhead de administrao reduzido atravs da implementao do snap-in WdsMgmt MMC, que gerencia todos os aspectos dos Servios de Implantao do Windows. Os Servios de Implantao do Windows tambm fornecem aos usurios finais uma experincia consistente com a Instalao do Windows. A funo Windows SharePoint Services ajuda as organizaes a aumentar a produtividade criando sites em que os usurios podem colaborar com documentos, tarefas e eventos, e compartilhar facilmente contatos e outras informaes. O ambiente foi projetado para implantao, desenvolvimento de aplicaes e administrao flexveis.
O seguinte grfico mostra a pgina inicial da funo Servios de Arquivo no Server Manager.
Recursos
Recursos, de modo geral, no descrevem a funo primria de um servidor. Eles fornecem funes auxiliares ou de suporte aos servidores. Normalmente, os administradores adicionam recursos no como a funo primria de um servidor, mas para aumentar a funcionalidade das funes instaladas. Por exemplo, o Clustering Failover um recurso que os administradores podem instalar aps a instalao de certas funes de servidor, como os Servios de Arquivo, para adicionar
229
redundncia aos Servios de Arquivo e diminuir o tempo de recuperao de possveis desastres. Os seguintes recursos esto disponveis no Windows Server Longhorn, e podem ser instalados usando comandos do Server Manager.
Descrio
O Microsoft .NET Framework 3.0 combina a potncia das APIs do .NET Framework 2.0 com novas tecnologias para construir aplicaes que oferecem interfaces de usurio atraentes, ajudam a proteger as informaes de identidade pessoal de seus clientes, ativam a comunicao contnua e mais segura, e fornecem a habilidade de modelar uma srie de processos de negcios. A Criptografia da Unidade BitLocker ajuda a proteger dados em computadores perdidos, roubados ou encerrados inadequadamente, criptografando todo o volume e verificando a integridade de componentes de inicializao antecipada. Os dados so decriptografados apenas se esses componentes forem verificados com sucesso e a unidade criptografada estiver localizada no computador original. A verificao de integridade requer um mdulo de TPM (trusted platform module) compatvel. As Extenses do Servidor de Servio de Transferncia Inteligente de Segundo Plano (BITS) permitem que um servidor receba arquivos carregados por clientes usando o BITS. O BITS permite aos computadores cliente transferir arquivos em primeiro ou segundo plano de modo assncrono, preservar a capacidade de reao de outras aplicaes da rede, e retomar transferncias de arquivo aps falhas da rede e reinicializaes do computador. O CMAK gera perfis do Gerenciador de Conexo.
A Experincia Desktop inclui recursos do Windows Vista, como o Windows Media Player, temas de rea de trabalho e gerenciamento de fotos. A Experincia Desktop no ativa nenhum dos recursos do Windows Vista por padro; voc precisa ativlos manualmente. O Cliente de Impresso da Internet permite usar HTTP para conectar-se a e usar impressoras que esto em servidores de impresso da Web. A impresso da Internet ativa conexes entre usurios e impressoras que no esto no mesmo domnio ou rede. Um exemplo de uso de um funcionrio que est viajando, e agora est em um escritrio em local remoto, ou em uma lanchonete equipada com acesso Wi-Fi. O iSNS fornece servios de descoberta para redes da rea de armazenamento da Interface de Sistemas Computacionais Pequenos na Internet (iSCSI). O iSNS processa pedidos de registro, de anulao e consultas a partir de clientes de iSNS. O Monitor de Porta LPR permite que os usurios que tm acesso a computadores baseados em UNIX imprimam em dispositivos anexados a eles. O Enfileiramento de Mensagens fornece entrega garantida de mensagens, roteamento eficiente, segurana e troca de mensagens entre as aplicaes baseada em prioridades. O Enfileiramento de Mensagens tambm acomoda a troca de mensagens entre aplicaes que executam sistemas operacionais diferentes, que usam infraestruturas de rede no similares, que esto temporariamente
Servidor de Nome de Armazenamento na Internet (iSNS) Monitor de Porta LPR (LPR) Enfileiramento de Mensagens
230
off-line, ou que esto executando em tempos diferentes. Multipath I/O (MPIO) O MPIO, junto com o Mdulo Especfico de Dispositivo da Microsoft (DSM) ou um DSM de terceiros, fornece suporte para usar mltiplos caminhos de dados para um dispositivo de armazenamento no Microsoft Windows. O PNRP permite que as aplicaes registrem e resolvam nomes a partir de seu computador, para que outros computadores possam comunicar-se com essas aplicaes. O qWave uma plataforma de rede para aplicaes de fluxo contnuo de udio e vdeo (AV) em redes domsticas de protocolo da Internet. O qWave melhora o desempenho e a confiabilidade do fluxo contnuo de AV por garantir a qualidade do servio de rede para aplicaes de AV. Ele fornece controle de admisso, monitoramento e cumprimento de tempo de execuo, feedback de aplicaes e priorizao de trfego. Em plataformas do Windows Server, o qWave fornece apenas servios de taxa de fluxo e priorizao. O Disco de Recuperao um utilitrio para criao de um disco de instalao do sistema operacional Windows. Usando o Disco de Recuperao, voc pode recuperar dados em seu computador se no tiver um disco do produto Windows, ou no puder acessar ferramentas de recuperao fornecidas pelo fabricante de seu computador. A Assistncia Remota permite que voc (ou uma pessoa do suporte) oferea assistncia aos usurios com problemas ou dvidas nos computadores. A Assistncia Remota permite que voc visualize e compartilhe o controle da rea de trabalho do usurio para resolver os problemas. Os usurios tambm podem pedir ajuda de amigos e colegas de trabalho. As Ferramentas de Administrao do Servidor Remoto ativam o gerenciamento remoto do Windows Server 2003 e do Windows Server Longhorn a partir de um computador que est executando o Windows Server Longhorn, permitindo que voc execute algumas das ferramentas de gerenciamento para funes, servios de funo e recursos em um computador remoto. O RSM gerencia e cataloga a mdia removvel e opera dispositivos automticos de mdia removvel.
Protocolo de Resoluo de Nome Similar (PNRP) Experincia de udio e Vdeo de Qualidade do Windows (qWave)
Disco de Recuperao
Assistncia Remota
O RPC Over HTTP Proxy um proxy usado por objetos que recebem chamadas de procedimento remoto por HTTP. Esse Proxy permite que os clientes descubram esses objetos mesmo que estes forem movidos entre servidores ou se existirem em reas discretas da rede, geralmente por razes de segurana. Os Servios para NFS so um protocolo que atua como um sistema de arquivos distribudos, permitindo que um computador acesse arquivos por uma rede facilmente, como se eles estivessem nos discos locais. Esse recurso est disponvel para instalao apenas em verses de 64 bits do Windows Server Longhorn; em outras verses, os Servios para NFS esto disponveis como um servio de funo da funo Servios de Arquivo. O Servidor SMTP suporta a transferncia de mensagens de e-mail entre sistemas de e-mail. As SANs ajudam a criar e gerenciar nmeros de unidade lgica em subsistemas de unidade de disco iSCSI e Fibre Channel que suportam o Servio de Disco Virtual (VDS) em sua SAN.
Servidor SMTP Gerenciador de Armazenamento para Redes da rea de Armazenamento (SANs) Servios de TCP/IP Simples
Os Servios de TCP/IP Simples suportam os seguintes servios de TCP/IP: Character Generator (Gerador de Caracteres), Daytime (Dia), Discard (Descartar), Echo (Eco) e Quote of the Day (Citao do Dia). Os Servios de TCP/IP Simples so fornecidos para retro-compatibilidade e no devem ser instalados a menos que seja solicitado.
231
O SNMP o protocolo padro da Internet para troca de informaes de gerenciamento entre aplicaes de console de gerenciamento tais como HP Openview, Novell NMS, IBM NetView ou Sun Net Manager e entidades gerenciadas. Entidades gerenciadas podem incluir hosts (anfitries), roteadores, bridges (pontes) e hubs. O Subsistema para Aplicaes baseadas em UNIX (SUA), junto com um pacote de utilitrios de suporte disponveis para download no site da Microsoft, permite que voc execute programas baseados em UNIX, e compile e execute aplicaes baseadas em UNIX personalizadas no ambiente do Windows. O Cliente Telnet usa o protocolo Telnet para conectar-se a um servidor telnet remoto e executar aplicaes nesse servidor. O Servidor Telnet permite que usurios remotos, incluindo os que executam sistemas operacionais baseados em UNIX, realizem tarefas de administrao de linha de comando e executem programas usando um cliente telnet. O Cliente de TFTP usado para ler arquivos de, ou escrever arquivos para, um servidor de TFTP remoto. o TFTP usado principalmente por dispositivos ou sistemas embutidos que recuperam firmware, informaes de configurao, ou uma imagem de sistema durante o processo de inicializao a partir de um servidor de TFTP. O Clustering Failover permite que mltiplos servidores trabalhem juntos para fornecer alta disponibilidade de servios e aplicaes. O Clustering Failover usado com freqncia para servios de arquivo e impresso, bancos de dados e aplicaes de e-mail. O NLB distribui o trfego para vrios servidores, usando o protocolo de rede TCP/IP. O NLB particularmente til para garantir que aplicaes sem estado, como um servidor Web executando IIS, sejam escalonveis atravs da adio de outros servidores conforme o aumento da carga. O Backup do Windows Server permite que voc faa backup e recupere seu sistema operacional, aplicaes e dados. Voc pode agendar backups para serem executados uma vez por dia ou com mais freqncia, e pode proteger todo o servidor ou volumes especficos. O WSRM uma ferramenta administrativa do sistema operacional Windows Server que pode controlar como os recursos da CPU e da memria so atribudos. O gerenciamento da atribuio de recursos melhora o desempenho do sistema e reduz o risco de as aplicaes, servios ou processos interferirem uns nos outros, o que reduziria a eficincia do servidor e a reao do sistema. O WINS fornece um banco de dados distribudo para registrar e consultar mapeamentos dinmicos de nomes de NetBIOS para computadores e grupos usados em sua rede. O WINS mapeia os nomes de NetBIOS para endereos de IP e resolve os problemas que surgem da resoluo de nomes de NetBIOS em ambientes roteados. O Servio de WLAN configura e inicia o servio de AutoConfigurao de WLAN, no importando se o computador tem ou no adaptadores sem fio. A Auto-Configurao de WLAN enumera adaptadores sem fio, e gerencia tanto as conexes como os perfis sem fio que contm as configuraes necessrias para configurar um cliente sem fio para conectar-se a uma rede sem fio. O Banco de Dados Interno do Windows um armazenamento de dados relacional que pode ser usado apenas pelas funes e recursos do Windows, como os Servios de UDDI, os Servios de Gerenciamento de Direitos do Active Directory, o Windows Sharepoint Services, o Windows Server Update Services e o Gerenciador de Recursos de Servios de Terminal do Windows. Windows PowerShell um shell de linha de comando e linguagem de script que ajuda os profissionais de TI a alcanar maior produtividade. Ele fornece uma nova linguagem de script voltada
Gerenciador de Recursos de Servios de Terminal do Windows (WSRM) Windows Internet Name Services (WINS)
Windows PowerShell
232
ao administrador e mais de 130 ferramentas de linha de comando padro para possibilitar uma administrao de sistema mais fcil e uma automatizao acelerada. Servio de Ativao de Processo do Windows (WPAS) O WPAS generaliza o modelo de processo de IIS, removendo a dependncia ao HTTP. Todos os recursos de IIS previamente disponveis apenas para aplicaes de HTTP esto agora disponveis para aplicaes que hospedam servios de WCF, usando protocolos que no so de HTTP. O IIS 7.0 tambm usa WPAS para ativao baseada em mensagens por HTTP.
233
O seguinte grfico mostra a pgina inicial do Server Manager com mltiplas funes e recursos instalados.
A janela principal do console do Server Manager contm estas quatro sees flexveis: Sumrio do Servidor A seo Sumrio do Servidor inclui duas subsees: Informaes do Sistema e Sumrio de Segurana. A subseo Informaes do Sistema exibe o nome do computador, o domnio, o nome de conta do administrador local, conexes de rede e o ID de produto do sistema operacional. Os comandos dessa subseo permitem que voc edite essas informaes. A subseo Sumrio de Segurana mostra se o Windows Update e o Firewall do Windows esto ativados. Os comandos dessa subseo permitem que voc edite essas configuraes ou visualize opes avanadas. Sumrio de Funes A seo Sumrio de Funes contm uma tabela indicando quais funes esto instaladas no servidor. Os comandos desta seo permitem que voc adicione ou remova funes, ou v a um console mais detalhado no qual poder gerenciar uma funo especfica. Sumrio de Recursos
234
A seo Sumrio de Recursos contm uma tabela indicando quais recursos esto instalados no servidor. Os comandos dessa seo permitem que voc adicione ou remova recursos. Recursos e Suporte A seo Recursos e Suporte mostra se esse servidor est participando dos programas de feedback Windows Server CEIP e Relatrio de Erros do Windows. A seo Recursos e suporte tambm foi projetada para ser um ponto de partida para entrar em grupos de notcias tpicos, ou para localizar mais ajuda e pesquisar tpicos disponveis on-line no TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Os comandos dessa seo permitem que voc modifique a participao do servidor em programas de feedback, e encontre mais ajuda e suporte.
235
236
Servios de Funo. O comando que abre o Assistente para Adicionar Servios de Funo encontrado na pgina inicial de cada funo no console do Server Manager. Um novo aviso inteligente permite que voc adicione automaticamente os servios de funo necessrios se a funo que voc est instalando requer servios e recursos para ser instalada.
237
O Assistente para Remover Recursos permite que voc remova um ou mais recursos do computador em uma nica sesso. Recursos so programas de software que suportam ou aumentam a funcionalidade de uma ou mais funes, ou melhoram a funcionalidade do prprio servidor, sejam quais forem as funes instaladas. Os comandos que abrem o Assistente para Remover Recursos esto na rea Personalizar esse servidor, na janela Tarefas de Configurao Inicial, e tambm na seo Sumrio de Recursos da janela do Console do Server Manager.
238
ferramentas no eram intuitivos. O ServerManagerCmd.exe simplifica a instalao e remoo por linha de comando de funes, servios de funo e recursos.
Configuraes de Registro
As seguintes configuraes de registro se aplicam ao Server Manager e s Tarefas de Configurao Inicial em todas as variaes disponveis do Windows Server Longhorn. As configuraes de registro da seguinte tabela controlam o comportamento padro de abertura do Server Manager e das janelas de Tarefas de Configurao Inicial.
Configuraes de Registro
Nome da Configurao
No abrir o Server Manager no logon
Localizao
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server Manager
Valor Padro
0
Valores Possveis
0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela 0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela.
239
Em Control Panel, clique em Programs, em Programs and Features, e depois em Turn Windows features on or off.
O Server Manager instalado por padro como parte do Windows Server Longhorn. Para usar o Server Manager, voc deve fazer logon no computador como membro do grupo de Administradores. Nota Se voc fizer logon no computador usando uma conta de Administrador diferente da padro, uma caixa de dilogo pode abrir para alert-lo sobre sua permisso para executar o Server Manager. Clique em Permitir o incio do Server Manager.
Recursos Adicionais
Para mais informaes sobre o Server Manager, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Voc tambm pode aprender a realizar operaes especficas no Server Manager com a Ajuda do Server Manager, disponvel ao apertar F1 em uma janela aberta do Console do Server Manager.
240
241
E o melhor, voc no precisa abandonar as ferramentas que se acostumou a usar. Ainda pode usar as ferramentas tradicionais do Windows, como Net, SC e Reg.exe no Windows PowerShell.
A viso detalhada do arquivo de ajuda do cmdlet inclui uma descrio do cmdlet, a sintaxe do comando, descries dos parmetros, e exemplos que demonstram o uso do cmdlet.
242
Escolhendo usar a opo de instalao no Ncleo do Servidor em um servidor, voc pode reduzir seu trabalho administrativo e ajudar a limitar os riscos segurana. Uma instalao no Ncleo do Servidor fornece esses benefcios de trs maneiras: Reduzindo a manuteno de software necessria Reduzindo o gerenciamento necessrio Reduzindo a superfcie de ataque
Para isso, a opo de instalao no Ncleo do Servidor instala apenas o subconjunto dos arquivos binrios que so necessrios para as funes de servidor suportadas. Por exemplo, a interface de usurio (ou shell) do Windows Explorer no instalada como parte de uma instalao no Ncleo do Servidor . Em vez disso, a interface de usurio padro para um servidor Server Core o aviso de comando. Uma instalao no Ncleo do Servidor do Windows Server Longhorn suporta os seguintes recursos opcionais: Cluster Failover da Microsoft Balanceamento de Carga de Rede Subsistema para aplicaes baseadas em UNIX Backup Multipath IO
Guia do Revisor do Windows Server Longhorn Beta 3
243
Gerenciamento de Armazenamento Removvel Criptografia da Unidade BitLocker Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet
A opo de instalao no Ncleo do Servidor foi projetada para uso em organizaes que tm muitos servidores, onde alguns apenas precisam desempenhar tarefas dedicadas, ou em ambientes em que os requisitos de alta segurana exigem uma superfcie de ataque mnima no servidor. Como nenhuma interface grfica de usurio est disponvel para muitas operaes do Windows, a opo de instalao no Ncleo do Servidor requer administradores experientes no uso de avisos de comando ou tcnicas de script para administrao local do servidor. Alternativamente, voc pode gerenciar a instalao no Ncleo do Servidor com os snap-ins do Console de Gerenciamento da Microsoft (MMC) a partir de outro computador que esteja executando o Windows Server Longhorn, selecionando o computador Server Core como computador remoto para gerenciar. Voc deve analisar esse tpico e a documentao adicional sobre a opo de instalao no Ncleo do Servidor se estiver em algum dos seguintes grupos: Planejadores e analistas de TI que esto avaliando tecnicamente o produto Planejadores e designers de TI corporativos para organizaes Os responsveis pela segurana do TI Profissionais de TI que esto gerenciando as seguintes funes de servidor: Servidor DHCP, Servios de Arquivo, Servidor de Impresso, Servidor DNS, Servios de Domnio do Active Directory Lightweight (AD LDS), ou Servios de Domnio do Active Directory
A opo de instalao no Ncleo do Servidor no adiciona nova funcionalidade s funes de servidor que suporta. Cada funo de servidor, no entanto, pode ter alteraes no Windows Server Longhorn. As instalaes no Ncleo do Servidor oferecem os seguintes benefcios: Manuteno reduzida. Como uma instalao no Ncleo Servidor instala apenas o que necessrio para as especificadas (Servidor DHCP, Servios de Arquivo, de Impresso, Servidor DNS, AD LDS, ou Servios de do funes Servidor Domnio
244
do Active Directory), so requisitados menos servios que em uma instalao completa do Windows Server Longhorn. Superfcie de ataque reduzida. Como as instalaes no Ncleo do Servidor so mnimas, h menos aplicaes sendo executadas no servidor, o que diminui a superfcie de ataque. Gerenciamento reduzido. Como menos aplicaes e servios esto instalados em um servidor com instalao no Ncleo do Servidor, h menos para gerenciar. Menos espao em disco necessrio. Uma instalao no Ncleo do Servidor requer apenas cerca de 1 gigabyte (GB) de espao em disco para instalar, e aproximadamente 2 GB para operaes aps a instalao.
Os servidores Server Core no tm uma interface de usurio, nem oferecem a habilidade de executar aplicaes. Uma instalao no Ncleo do Servidor mnima, para executar as seguintes funes: Servidor DHCP, Servios de Arquivo, Servidor de Impresso, Servidor DNS, AD LDS, ou Servios de Domnio do Active Directory. A experincia de gerenciamento tambm ser diferente ao usar uma instalao no Ncleo do Servidor. Ela requer que voc configure inicialmente o sistema a partir da linha de comando, ou usando mtodos de script como uma instalao autnoma, pois no inclui a tradicional interface de usurio completa. Uma vez que o servidor est configurado, voc pode gerenci-lo a partir da linha de comando, local ou remotamente, com uma conexo de rea de trabalho remota de Servios de Terminal. Voc tambm pode usar snap-ins do MMC ou ferramentas de linha de comando que suportam conexes remotas para gerenciar o servidor remotamente. Os administradores que gerenciam uma instalao no Ncleo do Servidor precisam estar cientes de que no h uma interface grfica de usurio (GUI) disponvel. Embora nenhuma alterao seja necessria para a configurao de sua rede, voc talvez precise se familiarizar com as ferramentas de linha de comando. A opo de instalao no Ncleo do Servidor no adiciona ou altera nenhuma configurao. Entretanto, voc deve analisar a documentao para cada uma das funes de servidor suportadas que esto disponveis na opo de instalao no Ncleo do Servidor, para verificar se h alteraes no Windows Server Longhorn. As alteraes em cada uma dessas funes so as mesmas, esteja voc usando a instalao no Ncleo do Servidor ou a instalao completa. A opo de instalao no Ncleo do Servidor no uma plataforma de aplicao, e voc no pode executar ou desenvolver aplicaes
245
de servidor em uma instalao no Ncleo do Servidor. Uma instalao no Ncleo do Servidor s pode ser usada para executar as funes de servidor e ferramentas de gerenciamento suportadas. Os servidores Server Core suportam o desenvolvimento de ferramentas e agentes de gerenciamento, que podem ser divididos em duas categorias: Ferramentas de gerenciamento remoto. Essas ferramentas no requerem nenhuma alterao, contanto que usem um dos protocolos suportados nas instalaes no Ncleo do Servidor para comunicar-se com a rea de trabalho de gerenciamento remoto, como a chamada de procedimento remoto (RPC). Ferramentas e agentes de gerenciamento local. Essas ferramentas podem necessitar de alteraes para trabalhar com instalaes no Ncleo do Servidor, pois no podem ter nenhuma dependncia a shell ou interface de usurio, e no podem usar cdigo gerenciado.
O Kit de Desenvolvimento de Software (SDK) do Windows Server Longhorn inclui uma lista de APIs que so suportados em instalaes no Ncleo do Servidor. Voc precisa verificar se todos os APIs chamados por seu cdigo esto listados, e tambm precisa testar seu cdigo em uma instalao no Ncleo do Servidor para garantir que ele se comportar como o esperado. Nenhuma alterao em seu ambiente ou infra-estrutura necessria. A opo de instalao no Ncleo do Servidor suporta apenas uma instalao do zero em um servidor. Voc no pode atualizar para uma instalao no Ncleo do Servidor a partir de uma verso prvia do Windows. Para fazer uma instalao no Ncleo do Servidor do Windows Server Longhorn, inicie o computador do servidor com um DVD inicializvel do Windows Server Longhorn na unidade de DVD do computador. Quando aparecer a caixa de dilogo Autorun, clique em Install Now, e siga as instrues na tela para completar a instalao. Em muitos casos, uma instalao no Ncleo do Servidor ser feita usando um script de instalao autnoma. Os seguintes recursos opcionais requerem hardware apropriado para que possam ser usados: Cluster Failover Balanceamento de Carga de Rede Armazenamento Removvel Criptografia da Unidade BitLocker
246
Alguma funcionalidade de BitLocker est disponvel sem hardware especfico. No h pr-requisitos para os seguintes recursos opcionais: Subsistema para aplicaes baseadas em UNIX Backup Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet
Os seguintes recursos oferecem informaes adicionais sobre instalaes no Ncleo do Servidor: Se voc precisa de suporte ao produto, visite o Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). Para acessar grupos de notcias para esse recurso, siga as instrues fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067). Se voc um beta tester e parte do programa beta especial chamado Programa de Adoo de Tecnologia (TAP), tambm pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistncia.
Os seguintes recursos no site da Microsoft fornecem informaes adicionais sobre alguns dos comandos que voc pode usar para configurar instalaes no Ncleo do Servidor e ativar as funes de servidor: Referncias sobre linha de comando de A-Z (http://go.microsoft.com/fwlink/?LinkId=20331) Arquivos de instalao autnoma dcpromo o Netsh o Dnscmd o o o Dfscmd o Referncias do Dfscmd (http://go.microsoft.com/fwlink/?LinkId=49658) Viso geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656) Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659) Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660) Viso geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654) Realizando uma Instalao Autnoma do Active Directory (http://go.microsoft.com/fwlink/?LinkId=49661)
247
O seguinte recurso fornece informaes adicionais para implantar, configurar e gerenciar uma instalao no Ncleo do Servidor, e tambm para ativar uma funo de servidor nessa instalao: Guia Passo a Passo Beta 2 sobre o Ncleo do Servidor em Windows Server "Longhorn" no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
248
249
Backup usa o Servio de Cpias por Volume de Sombra (VSS) e a tecnologia de backup em nvel de blocos para realizar o backup de modo eficiente e recuperar seu sistema operacional, arquivos, pastas e volumes. Aps o primeiro backup completo ser criado, o Backup pode ser configurado para executar, automaticamente, backups incrementais, salvando apenas os dados que foram alterados desde o ltimo backup. Entretanto, mesmo que voc opte por sempre fazer backups completos, ele levar menos tempo que o recurso Backup das verses anteriores do Windows. Restaurao simplificada. Voc agora pode restaurar itens escolhendo o backup a partir do qual a recuperao ser feita, e selecionando ento os itens a serem restaurados. Pode recuperar arquivos especficos ou todos os contedos de uma pasta. Anteriormente, voc precisava restaurar manualmente a partir de mltiplos backups se o item estivesse armazenado em um backup incremental. Agora, simplesmente escolhe a data em que fez o backup da verso do item que quer restaurar. Recuperao simplificada de seu sistema operacional. O Backup trabalha com novas ferramentas de recuperao do Windows para facilitar a tarefa de recuperar seu sistema operacional. Voc pode recuperar para o mesmo servidor, ou, se o hardware falhar, pode recuperar para um novo servidor que no tem sistema operacional. Habilidade de recuperar aplicaes. O Backup usa a funcionalidade VSS que construda dentro de aplicaes como o Microsoft SQL Server e o Windows SharePoint Services para proteger os dados da aplicao. Agendamento aperfeioado. O Backup agora inclui um assistente que guia atravs do processo de criao de backups dirios. Os volumes do sistema so automaticamente includos em todos os backups agendados, para que voc esteja sempre protegido contra desastres. Fcil remoo de backups externos para proteo contra desastres. Voc pode executar backups para mltiplos discos em rotao para que seja fcil mover discos externos. Basta adicionar cada disco como um local de backup agendado e, se o primeiro disco retirado, o Backup vai automaticamente executar backups para o disco seguinte na rotao. Administrao remota. O Backup agora usa um snap-in do MMC para dar a voc uma experincia familiar e consistente no gerenciamento seus backups. Aps instalar o snap-in do Backup, voc pode acessar essa ferramenta atravs do Server Manager ou adicionando o snap-in a um console do MMC novo ou j existente. Ento, pode usar o Backup para gerenciar backups em outros servidores clicando em Ao, e depois em Conectar-se a Outro Computador. Gerenciamento automtico de uso de disco. Uma vez que voc configura um disco para um backup agendado, o Backup vai automaticamente gerenciar o uso do disco voc no precisa se preocupar com o espao em disco aps vrios backups. O Backup vai automaticamente reutilizar o espao de backups anteriores quando criar os novos. A ferramenta de
Guia do Revisor do Windows Server Longhorn Beta 3
250
gerenciamento exibe os backups que esto disponveis e as informaes sobre uso do disco, que podem ajudar a preparar um armazenamento adicional para atender seus objetivos relacionados ao tempo de recuperao. Suporte extensivo de linha de comando. O Backup agora vem com suporte e documentao extensivos de linha de comando para permitir que voc desempenhe quase todas as mesmas tarefas que podem ser feitas com a ferramenta de gerenciamento. Voc tambm pode automatizar as atividades de backup atravs dos scripts. Suporte para mdia de DVD. Voc pode fazer backups manuais de volumes diretamente para DVD. Isso pode ser uma soluo fcil se voc quiser criar backups externos para fins especficos. O Backup tambm tem suporte a backup manual para pastas e discos rgidos compartilhados. Backups agendados so armazenados em discos rgidos. Nota A nova ferramenta Backup no usa dispositivos de armazenamento em fita o uso de discos externos e internos, DVDs e pastas compartilhadas so suportados. No entanto, o suporte de drivers para fita ainda est includo no Windows Server Longhorn. Se voc atualmente usurio do Backup do Windows (Ntbackup.exe) e planeja mudar para o novo Backup do Windows Server, pode ser surpreendido pelas seguintes questes e alteraes: As configuraes do Backup no sero atualizadas quando voc mudar para o Windows Server Longhorn. Voc ter que reconfigurar as configuraes. Voc precisar de um disco separado e dedicado para executar backups agendados. No pode mais fazer backups em fita. No pode recuperar backups que criou com o Backup do Windows usando o Backup do Windows Server. O Backup do Windows est disponvel como um download para os usurios do Windows Server Longhorn que querem recuperar dados de backups feitos com o NTBackup. No entanto a verso para download do Backup do Windows no pode ser usada para criar backups no Windows Server Longhorn. Para fazer o download do Backup do Windows (Ntbackup.exe), veja http://go.microsoft.com/fwlink/?LinkId=82917.
251
252
Os recursos do Monitor de Confiabilidade e Desempenho do Windows que so novos para o Windows Server Longhorn incluem o seguinte.
Visualizao de Recursos
A pgina inicial do Monitor de Confiabilidade e Desempenho do Windows a nova tela de Visualizao de Recursos, que fornece uma viso geral grfica em tempo real da CPU, disco, rede e uso da memria. Expandido cada um desses elementos monitorados, os administradores de sistema podem identificar quais processos esto usando quais recursos. Em verses anteriores do Windows,
253
esses dados especficos de processos em tempo real s eram disponveis de forma limitada no Gerenciador de Tarefas.
Monitor de Confiabilidade
O Monitor de Confiabilidade calcula o ndice de Estabilidade do Sistema, que reflete se problemas inesperados reduziram a confiabilidade do sistema. Um grfico do ndice de Estabilidade em um perodo de tempo identifica rapidamente as datas em que os problemas comearam a ocorrer. O Relatrio de Estabilidade do Sistema que acompanha o ndice fornece detalhes para ajudar a resolver a causa raiz da reduo de confiabilidade. Visualizando as alteraes do sistema (instalao ou remoo de aplicaes, atualizaes no sistema operacional, adio ou modificao de drivers) lado a lado com as falhas (de aplicao, de sistema operacional ou de hardware), uma estratgia para lidar com os problemas pode ser desenvolvida rapidamente.
254
Os Servios de Implantao do Windows ajudam na rpida adoo e implantao de sistemas operacionais Microsoft Windows. Voc pode us-los para instalar novos computadores usando uma instalao baseada em rede. Isso significa que voc no tem que estar fisicamente presente diante de cada computador e no tem que instalar diretamente a partir de um CD ou DVD. Voc tambm pode usar os Servios de Implantao do Windows para redefinir os propsitos dos computadores existentes. Voc pode usar os Servios de Implantao do Windows em qualquer organizao que esteja interessada em simplificar as implantaes e aumentar a consistncia de seus computadores baseados em Windows. O pblico-alvo inclui: Planejadores ou designers de TI corporativos Especialistas em implantao interessados em implantar imagens em computadores sem sistemas operacionais
Os seguintes requisitos devem ser atendidos antes de instalar a funo Servios de Implantao do Windows:
Guia do Revisor do Windows Server Longhorn Beta 3
255
Servios de Domnio do Active Directory. Um servidor com Servios de Implantao do Windows deve ser membro de um domnio do Active Directory ou ser um controlador de domnio para um domnio do Active Directory. As verses do domnio e da floresta do Active Directory so irrelevantes; todas as configuraes de domnio e floresta suportam os Servios de Implantao do Windows. DHCP. Voc deve ter um servidor de Protocolo de Configurao Dinmica de Host (DHCP) em funcionamento com um escopo ativo na rede, pois os Servios de Implantao do Windows usam o Ambiente de Pre-Boot Execution (PXE), que por sua vez usa o DHCP. DNS. Um servidor de Sistema de Nomes de Domnio em funcionamento na rede necessrio para executar os Servios de Implantao do Windows. Um volume de NTFS no servidor de Servios de Implantao do Windows. O servidor que est executando os Servios de Implantao do Windows requer um volume de sistema de arquivos NTFS para o armazenamento de imagem. Credenciais administrativas. A instalao dos Servios de Implantao do Windows requer que o administrador seja um membro do grupo de Administradores Locais no servidor de Servios de Implantao do Windows. Para iniciar o cliente de Servios de Implantao do Windows, voc deve ser um membro do grupo de Usurios do Domnio.
Esses Servios incluem o snap-in do MMC de Servios de Implantao do Windows, que fornece gerenciamento rico de todos os recursos dos Servios de Implantao do Windows. Os Servios de Implantao do Windows tambm oferecem vrios aperfeioamentos feitos no conjunto de recursos dos Servios de Instalao Remota (RIS). Esses aperfeioamentos suportam a implantao dos sistemas operacionais Windows Vista e Windows Server Longhorn. Com os Servios de Implantao do Windows voc pode: Criar uma imagem de captura. Imagens de captura so usadas para capturar imagens do Windows preparadas com Sysprep.exe para implantao como imagens de instalao. Criar uma imagem de instalao. Imagens de instalao so as imagens que voc implanta no computador cliente. Associar arquivos de instalao autnoma a uma imagem. Criar uma imagem de descoberta. Imagens de descoberta so usadas para implantar o sistema operacional Windows em computadores que no suportam a inicializao PXE.
256
Ativar transmisso multicast de uma imagem. Quando voc ativa uma transmisso multicast para uma imagem, os dados so enviados pela rede apenas uma vez.
Antes a imagem de captura era um procedimento complexo de linha de comando. O Assistente de Captura de Imagens abre a captura de imagens para administradores de nvel mais baixo que talvez no estejam familiarizados com o trabalho em um aviso de comando.
257
Para capturar uma imagem de instalao usando o Assistente de Captura de Imagens, faa o seguinte: 1. Realize uma instalao de referncia em um computador que ser usado como referncia. 2. Em uma janela de Aviso de Comando no computador de referncia, mova as pastas para \Windows\System32\Sysprep ou a pasta que contm Sysprep.exe e Setupcl.exe. Nota Essa estrutura de pastas vlida somente para o Windows Server Longhorn e o Windows Vista. Para o Windows Server 2003 e o Windows XP, use a verso apropriada do Sysprep a partir do Deploy.cab. 3. Digite sysprep /OOBE /generalize /reboot Nota Essa sintaxe vlida somente para o Windows Server Longhorn e o Windows Vista. Para verificar a sintaxe para outra verso do Windows, digite sysprep /? 4. Quando o computador de referncia reiniciar, aperte F12. 5. No Gerenciador de Inicializao do Windows, role para a imagem de captura que voc criou anteriormente. 6. Na pgina do Image Capture Wizard (Assistente de Captura de Imagens), clique em Next. 7. Na pgina de Image Capture Source, use o controle de seleo Volume to Capture para escolher o volume apropriado, e ento fornea um nome e uma descrio para a imagem. Clique em Next para continuar. 8. Na pgina Image Capture Destination, clique em Browse e navegue para o local em que quer armazenar a imagem capturada. 9. Na caixa de texto File name, digite um nome para a imagem usando a extenso de nome de arquivo .wim, e ento clique em Save. 10. 11. Clique em Upload image to WDS server. Digite o nome do servidor de Servios de Implantao do Windows, e ento clique em Connect. Se for alertado sobre credenciais, fornea um nome e uma senha de usurio para uma conta com privilgio
12.
258
suficiente para conectar-se ao servidor de Servios de Implantao do Windows. 13. Na lista de Grupo de Imagens, escolha o grupo de imagens no qual quer armazenar a imagem. Clique em Finish.
14.
Voc pode usar o Assistente de Captura de Imagens em vez de ferramentas de linha de comando, eliminando a necessidade de suportar e gerenciar utilitrios de linha de comando sensveis verso. Usando o Assistente de Captura de Imagens voc pode inicializar um computador para capturar uma imagem de sistema operacional do mesmo modo que faria para instalar um sistema operacional.
Para automatizar qualquer um dos estgios, crie um arquivo Unattend.xml, copie-o para o local apropriado e atribua-o para uso. Voc pode atribu-lo no nvel do servidor ou do cliente. A atribuio no nvel do servidor pode depois ser quebrada pela arquitetura, permitindo que voc tenha configuraes diferentes para clientes baseados em x86 e x64. A atribuio no nvel do cliente ignora as configuraes do nvel do servidor. Voc pode configurar a instalao autnoma usando os seguintes passos:
Guia do Revisor do Windows Server Longhorn Beta 3
259
1. Crie um arquivo autnomo apropriado, de acordo com o que voc est configurando o cliente de Servios de Implantao do Windows ou a Instalao do Windows. Recomendamos que voc use o Gerenciador de Imagens de Sistema do Windows (includo como parte do Kit de Instalao Automatizada do Windows (AIK)) para a autoria dos arquivos de instalao autnoma. 2. Associe o arquivo de instalao autnoma a um tipo de imagem ou computador.
260
1. A partir do snap-in do MMC de Servios de Implantao do Windows, clique para expandir o grupo de imagens que contm imagens do Windows Vista ou Windows Server Longhorn. 2. Clique com o boto direito na imagem qual quer associar o arquivo autnomo, e ento clique em Properties. 3. Clique em Allow image to install in unattend mode. 4. Clique em Select File. 5. Insira o nome e o caminho, ou navegue para escolher o arquivo autnomo, e ento clique em OK. 6. Para fechar Image Properties, clique em OK. Para associar o Sysprep.inf a uma imagem do Windows XP ou Windows Server 2003, faa o seguinte: 1. Em uma janela de Aviso de Comando, mova as pastas para o grupo de imagens que contm uma imagem do Windows XP ou Windows Server 2003. 2. No grupo de imagens que contm a imagem do Windows XP, crie uma pasta com o mesmo nome da imagem qual voc quer associar o arquivo Sysprep.inf. Por exemplo: md C:\RemoteInstall\Images\imagegroupname\imagename 3. Copie um arquivo Sysprep.inf que seja apropriado para a imagem para a pasta $OEM$. Por exemplo: copy C:\Sysprep.inf C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$ 4. Adicione arquivos (por exemplo um diretrio de ferramentas) e faa outras alteraes conforme o necessrio (por exemplo, modifique o registro usando um script), seguindo as convenes de $OEM$. 5. Aps aplicar a imagem a um novo computador usando os Servios de Implantao do Windows, toda a pasta $OEM$ copiada a uma unidade no novo computador, e os contedos so aplicados imagem. Nota Para mais informaes sobre o Sysprep.inf e a pasta $OEM$, veja Projetando Tarefas de Instalao Automatizada em (http://go.microsoft.com/fwlink/?LinkId=66136). Os arquivos autnomos permitem que voc automatize tarefas de instalao comuns e padronize configuraes para sua organizao.
Guia do Revisor do Windows Server Longhorn Beta 3
261
Os Servios de Implantao do Windows fornecem vrias opes para associar arquivos autnomos a imagens de inicializao e instalao.
262
Para associar um pacote de idiomas a uma imagem, faa o seguinte: 1. Abra o snap-in do MMC de Servios de Implantao do Windows. 2. Expanda a pasta Imagem de Inicializao. 3. Clique com o boto direito na imagem a ser usada como imagem de descoberta. 4. Clique em Create Discover Boot Image. 5. Escolha um nome e uma descrio para a imagem de descoberta. 6. Escolha um local e um nome para o novo arquivo, usando a extenso de nome de arquivo .wim. 7. Clique em Next para criar a imagem de captura. 8. Clique em Finish. Para criar mdia inicializvel, faa o seguinte: 1. Em uma janela de Aviso de Comando, digite os seguintes comandos: Md c:\Winpe\Boot Md c:\Winpe\Sources 2. Para copiar a imagem de descoberta criada no procedimento anterior, digite: Copy c:\boot.wim c:\Winpe\Sources 3. Para copiar arquivos de inicializao do Windows AIK, digite: Xcopy c:\Program Files\Windows AIK\tools\<architecture>\boot c:\WinPE\boot 4. Mova a pasta para C:\Program files\Windows AIK\tools\<architecture>. 5. Para criar a imagem ISO inicializvel, digite: Oscdimg -n -bc:\winpe\ISO\boot\etfsboot.com c:\winpe\ISO c:\winpe.iso 6. Use uma ferramenta de cpia em CD que pode criar um CD ou DVD para transferir a imagem ISO mdia apropriada.
Guia do Revisor do Windows Server Longhorn Beta 3
263
Voc pode usar uma imagem de descoberta de um computador que no suporta a inicializao PXE para iniciar a instalao a partir de um servidor de Servios de Implantao do Windows. Sem um disco de descoberta, os computadores que no suportam a inicializao PXE no podem acessar os recursos dos Servios de Implantao do Windows.
Quando voc cria uma transmisso, tem duas opes para o tipo de multicast: Auto-Cast. Essa opo indica que o multicasting est sempre ligado. Quando voc seleciona essa opo, assim que um cliente aplicvel solicita uma imagem de instalao, uma transmisso multicast da imagem selecionada inicia. Ento, conforme outros clientes solicitam a mesma imagem, eles tambm so vinculados transmisso que j iniciou. Nota Os contedos apenas so transferidos pela rede se os clientes estiverem solicitando dados. Se nenhum cliente estiver conectado (isto , a transmisso est inativa), os dados no sero enviados pela rede. Cast Agendado. Essa opo estabelece os critrios de incio para a transmisso, com base no nmero de clientes que esto solicitando uma imagem e/ou um dia e horrio especficos. Se voc no selecionar um desses quadros de seleo, tem que iniciar manualmente a transmisso. Note que alm desses critrios, voc pode iniciar uma transmisso manualmente a qualquer momento, clicando com o boto direito na transmisso e depois em Iniciar.
Quando voc cria uma transmisso multicast para uma imagem, os dados so enviados pela rede apenas uma vez, o que pode reduzir drasticamente a largura de banda da rede que usada.
264
Implantao
O modo como voc implanta os Servios de Implantao do Windows depende de um fator - se voc j tem servidores de RIS instalados em seu ambiente: Se voc tem servidores de RIS j existentes ou servidores do Windows Server 2003 com a atualizao dos Servios de Implantao do Windows, pode atualizar esses servidores diretamente para o Windows Server Longhorn. Se voc est implantando novos servidores de Servios de Implantao do Windows com o Windows Server Longhorn, precisa instalar a funo de servidor Servios de Implantao do Windows. Nota Os servidores de Servios de Implantao do Windows com Windows Server Longhorn no so capazes de implantar imagens de RIS mais antigas (RISETUP ou RIPREP). Voc precisar converter suas imagens atuais para o formato WIM. Se voc tem uma infra-estrutura de RIS existente, precisa converter suas imagens atuais para o formato WIM. Os Servios de Implantao do Windows no Windows Server Longhorn no suportam imagens RIPREP ou RISETUP criadas por ferramentas de RIS. Alm disso, as telas de RIS OSChooser no so suportadas. Em vez disso, voc usar uma combinao de imagens, opes de instalao autnoma, e pacotes de idiomas para personalizar instalaes individuais. Para preservar sua infra-estrutura de RIS existente enquanto utiliza os Servios de Implantao do Windows para implantar o Windows Vista e o Windows Server Longhorn, voc pode seguir um destes passos em seus servidores de RIS existentes: Instalar a atualizao dos Servios de Implantao do Windows a partir do Windows AIKt (http://go.microsoft.com/fwlink/?LinkId=81030). Aplicar o Windows Server 2003 SP2, e depois instalar o componente opcional em Adicionar/Remover Componentes do Windows.
Recursos Adicionais
Os seguintes recursos oferecem informaes adicionais sobre os Servios de Implantao do Windows: Para informaes mais detalhadas sobre os Servios de Implantao do Windows, v Viso Geral dos Servios de Implantao do Windows(http://go.microsoft.com/fwlink/?LinkId=81031).
Guia do Revisor do Windows Server Longhorn Beta 3
265
Para o Guia Passo a Passo dos Servios de Implantao do Windows, veja o site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=66145). Se voc precisa de suporte ao produto, visite o site do Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). Para acessar grupos de notcias para os Servios de Implantao do Windows, siga as instrues fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067). Se voc um beta tester e membro do programa beta chamado Programa de Adoo de Tecnologia (TAP), pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistncia. Para mais informaes sobre o Windows AIK, veja o Guia do Usurio sobre o Kit de Instalao Automatizada do Windows para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552).
266
267
268
A Microsoft apenas suporta uma soluo de cluster se todos os componentes de hardware da soluo estiverem com o logotipo de compatibilidade Designed for Windows Server Longhorn. Alm disso, a configurao completa (servidores, rede, e armazenamento) deve passar por todos os testes do assistente Validate a Configuration (Validar uma Configurao), que est includo no software de gerenciamento de Cluster Failover.
269
corretamente os comandos SCSI necessrios e se ele lida corretamente com as aes de clusters simuladas.
270
Use o Servio de Cpia de Volume de Sombra para capturar backups. A integrao completa com o Servio de Cpia de Volume de Sombra facilita o backup e a restaurao da configurao de seu cluster. Controle a forma como voc visualiza as pastas compartilhadas que foram clusterizadas. Voc pode controlar ou definir o escopo de sua vizualizao das pastas compartilhadas para que fique mais fcil saber quais pastas foram clusterizadas e em qual cluster uma pasta compartilhada est disponvel.
271
que significa que voc pode disponibilizar um disco adicional sem interromper o acesso aplicao que ir utiliz-lo. Obtenha melhor desempenho e estabilidade com o seu armazenamento. Quando um Cluster Failover se comunica com o seu SAN ou DAS, ele utiliza os comandos que menos atrapalham (evitando reconfiguraes no barramento SCSI). Os discos nunca so deixados em um estado desprotegido, o que significa que o risco de corrupo em volume reduzido. Os Clusters Failover tambm suportam mtodos aprimorados de descoberta e recuperao de disco. Os Clusters Failover suportam trs tipos de conexes de armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre Channel. Execute tarefas de manuteno de disco mais facilmente. O modo de manuteno foi aprimorado para que voc possa executar ferramentas para verificar, corrigir, fazer o backup ou a restaurao de discos mais facilmente, com menos interrupes para o cluster.
272
Compatibilidade
Se voc possui uma aplicao que era executada em um cluster de servidor com o Windows Server 2003, e a aplicao depende da conta do servio de Cluster obrigatria para clusters de servidores, talvez seja necessrio trocar a aplicao para que ela no dependa mais da conta. Os Clusters Failover que executam o Windows Server Longhorn no utilizam uma conta de servio de Cluster separada.
Implantao
Analise cuidadosamente o hardware no qual voc planeja implantar um Cluster Failover para garantir que ele seja compatvel com o Windows Server Longhorn. Isto ser necessrio principalmente se voc estiver usando este hardware atualmente para um cluster de servidor executando o Windows Server 2003. O hardware que suporta um cluster de servidor executando o Windows Server 2003 no necessariamente suportar um Cluster Failover executando o Windows Server Longhorn. Observe que Voc no pode executar a atualizao de um cluster de servidor que esteja executando o Windows Server 2003 para um Cluster Failover executando o Windows Server Longhorn. No entanto, aps ter criado um Cluster Failover executando o Windows Server Longhorn, voc poder usar um assistente para migrar algumas configuraes de recursos para um cluster de servidor executando o Windows Server 2003.
273
Funcionalidade aprimorada com o ISA Server. O ISA Server pode configurar mltiplos endereos de IP dedicados para cada n NLB em cenrios onde os clientes consistem em trfego IPv4 e IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar determinado ISA Server para gerenciar o trfego. O ISA tambm
Guia do Revisor do Windows Server Longhorn Beta 3
274
pode fornecer NLB com notificaes de timer e ataque SYN (estes cenrios geralmente ocorrem quando um computador sobrecarregado ou infectado por um vrus da Internet). Suporte para mltiplos endereos dedicados de IP por n. O NLB suporta totalmente a definio de mais de um endereo dedicado de IP por n. (Anteriormente, apenas um endereo dedicado de IP por n era suportado).
275
276
277
imaging, o ImageX. Os adminsitradores de TI podero utilizar-se de prticas e tcnicas similares e de excelncia para a implatao tanto do sistema operacional do servidor, quando do cliente, utilizando a nova tcnica de criao de imagens. A instalao com base na imagem permitir que uma nica imagem seja utilizada em quase todos os hardware, sem qualquer restrio de localidade. O fato reduzir a quantidade imagens a serem mantidas na memria. possvel at mesmo adicionar drivers, componentes e atualizaes imagens, sem ter que iniciar o sistema operacional imaged. O componente Servios de Implantao do Windows parte do Windows Server Longhorn e uma atualizao dos Servios de Implantao do Windows tambm est disponvel para Microsoft Windows Server 2003 SP2. Os recursos do Proteo Contra Acesso Rede (NAP) do Windows Server Longhorn ajudam a assegurar que os clientes Windows Vista conectados rede, esto obedecendo s politicas de segurana, e que aqueles que no as esto seguindo tenham seu acesso limitado. A NAP fornece uma validao das diretivas de integridade, as limitaes de acesso a rede, reparo automtico, e aquiescncia permanente, com os componentes do cliente j construdos dentro do Windows Vista e os componentes do servidor integrados dentro do Windows Server Longhorn. O Internet Information Services 7.0 (IIS7) fornece aos programadores a habilidade de criar aplicaes da Web novas e potentes em um desktop com base Windows Vista e ao concluir, os enviar para o servidor do Windows Server Longhorn, desde que a mesma verso do IIS7 esteja operando no cliente e no servidor.
Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da infra-estrutura do cliente e do servidor esto bastantes ampliadas por aprimoramentos feitos tanto no Windows Vista quanto no Windows Server Longhorn. O Windows Vista pode tornar trabalhos de impresso acessveis localmente antes de os enviar aos serrvidores de impresso, para dessa forma reduzir a carga de trabalho do servidor de impresso, tornando-o mais acessvel. Os dados so enviados aos servidores de impresso pelo formato de impresso no processada: EMF. O nvel de disponibilidade ser maior porque mais processamentos realizado no cliente. A carga de trabalho da rede de filiais sem um servidor de impresso local tambm ser reduzida. No entanto, esta capacidade requer que as impressoras possuam drivers compatveis. Porm, quando unido a entrega de tabalhos de impresso do lado do cliente do Windows Server
Guia do Revisor do Windows Server Longhorn Beta 3
278
Longhorn, os problemas relacionados a incompatibilidade dos drivers so reduzidos. As capacidade de caching do lado do cliente do Windows Vista esto muito mais acentuadas e trabalham tanto com o Windows Server Longhorn quanto com verses anteriores do Windows Server. Os recursos do servidor esto armazenados (cached) localmente, por isso esto acessveis mesmo no caso de o servidor no estar acessvel. Alm disso, as cpias so atualizadas automaticamente quando o servidor e o clientes so reconectados. Entre os aprimoramentos do caching do lado-clientes esta a transio de estado facilitada, o que faz com que no seja necessria interveno por parte do usurio, pois mudanas realizadas off-line so sincronizadas no plano de fundo de maneira silenciosa. Alm disso, um modo de link low (lento) permite que os pedidos do usurio sejam satisfeitos do cache local, assim as conexes com o servidor acontecem somente quando requeridas. Igualmente, Windows Vista utiliza uma sincronizao rpida e transferncia diferenciadas, assim somente modificaes modified nos arquivos so transmitidas entre cliente e servidor, em vez do arquivo inteiro, no importando o tipo de aplicativo. As capacidades de caching do lado-cliente do Windows Vista acumulam benefcios extras quando trabalham com o Windows Server Longhorn devido aos aprimoramentos de rede subjacente discutidos na seocomunicao mais rpida . Os aplicativos ou scripts que precisam operar tanto no cliente quanto no servidor podem se beneficiar com o Transactional File System, na reduo do risco de erro durante as operaes de arquivo e de registro. Alm disso, poder retornar a um estado conhecido como bom, no caso de falha ou cancelamento. possvel criar diretivas que assegurem uma maior qualidade de servio para certos aplicativos ou servios, que requeiram atribuio de prioridades da largura de banda de rede entre clientes e servidor. Atravs do uso da Diretiva de Grupo os administradores tambm podem restringir a quantidade de largura de banda que um aplicativo pode utilizar e determinar valores de code point de servios diferenciados (DSCP) atravs da implementao dos padres de indstria de RFCs.
279
as tecnologias aprimoradas de indexao e de caching, fornecendo enormes ganhos de desempenho a toda a empresa. O suporte ao Native IPv6 por todos os clientes e servios do servidor cria uma rede mais escalonvel e confivel; ao mesmo tempo, a plataforma de rede de ltima gerao, somente disponvel na pilha do Windows Vista e do Windows Server Longhorn, torna a comunicao de rede muito mais rpida e eficiente. Novas tecnologias como o Receive Side Scaling e o Receive Window Auto-Tuning permitem uma comunicao mais rpida quando os clintes Windows Vista esto realizando o download de arquivos dos arquivos compartilhados do Windows Server Longhorn . O novo protocolo do Server Message Block (SMB) 2.0 fornece vrios aprimoramentos de comunicao, entre eles um melhor desempenho ao conectar-se com os arquivos compartilhados atravs de links de latncia alta e maior segurana com o uso de autenticao conjunta e assinatura de mensagens. Os Servios de Terminal do Windows Server Longhorn apresentam muitos aprimoramentos; entre eles, fornecer aos clientes Windows Vista, o acesso remoto a recursos internos, atravs de um portal http e aplicativos que operam como sendo de um desktop local.
280
ponto. Os clientes que no possuam atualizaes de segurana ou assinaturas de vrus atuais; ou ainda, aqueles que falham com o cumprimento dos requisitos de integridade do mandato corporativo, tero o acesso rede restrito, at que possam ser reconfigurados e atualizados de acordo com os requisitos. A infra-estrutura NAP, presente Windows Server Longhorn, estabelece a concesso do acesso rede privada ou rede restrita ao cliente, com base na aquiescncia deste s diretivas de integridade estabelecidas. Uma vez na rede restrita, o cliente pode ter concedido o acesso a servios de reparao para conseguir patches (correes), assinaturas de anti-vrus entre outras aes necessrias para a observncia aos requisitos das diretivas de integridade. A NAP tambm pode ser usada para proteger a sua rede contra o acesso remoto de clientes insalubres, bem como clientes de LAN insalubres, atravs do uso de conexes com ou sem fio 802.1X autenticadas.
281
SMB 2.0
O SMB (Server Message Block), tambm conhecido como Sistema de Arquivo de Internet (CIFS), trata-se de um protocolo de compartilhamento de arquivos, utilizado por padro em computadores com base Windows. No Windows Vista, o SMB suporta a nova verso SMB 2.0, a qual foi recriada para os ambientes de rede atuais e as necessidades dos servidores de arquivo de ltima gerao. O SMB 2.0 apresenta aprimoramentos que reduzem o nmero de pacotes necessrios para os comandos SMB e permitem maiores buffers e mais arquivos abertos a escalabilidade. Os computadores que operam o Windows Vista suportam tanto o SMB 1.0 (para verses anteriores do Windows) como os SMB 2.0 (para Windows Vista e Windows Server Longhorn).
282
solucionados direto do seu centro de suporte interno. As mensagens de erro do Windows Server Longhorn so muito mais significativas do que as de verses anteriores do Windows e auxiliaro os usurios a resolver problemas por conta prpria, em vez de pedir a eles que o chamem. O Windows Server Longhorn foi criado para solucionar de maneira automtica alguns dos problemas mais srios. Por exemplo, caso os arquivos do sistema se corrompam, o Windows XP pode simplesmente se recusar a proceder a inicializao. No entanto, o Windows Server Longhorn, poder ir automaticamente para um compartimento de recuperao. Em seguida, o Windows Server Longhorn oferece ao usurios o Startup Repair StR), uma recuperao no modo passo a passo, para a soluo de problemas com base em diagnsticos. O StR analisa as conexes startup para determinar a causa da falha, resolvendo muitas delas automaticamente. Caso o StR no consiga resolver o problema, uma administrador pode optar por fazer com que o sistema retorne a seu ltimo estado operante. Se o StR no for capaz de recuperar o sistema, ele fornecer ao usurio informaes para o diagnstico, bem como opes de suporte para facilitar a resoluo de problemas.
283
284
285
voc no ativar o protudo com uma chave do produto vlida 30 dias aps a instalao, o software deixar de funcionar. Durante a instalao, voc dever selecionar qual a edio do Windows Server Longhorn Beta 3 deseja instalar. Tenha certeza de escolher a mesma edio do Windows Server Longhorn Beta 3 da chave do produto que voc possui, caso contrrio, voc no conseguir ativ-lo.
286
1.01 Introduo ao Windows Server Longhorn...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19 2.02 Virtualizao do Windows Server.................................20 2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35 3.02 Funcionalidade Bsica de Servios de Terminal ......................36 3.03 Gateway de Servios de Terminal ................................53 3.04 RemoteApp de Servios de Terminal ..............................62 3.05 Acesso a Web de Servios de Terminal ............................65 3.06 Impresso de Servios de Terminal ...............................69 3.07 Session Broker de Servios de Terminal ...........................73 3.08 Licenciamento de Servios de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84 4.02 Controlador de Domnio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Ncleo do Servidor ...........................................99
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101 5.02 Servios de Acesso e Diretiva de Rede ...........................103 5.03 Proteo contra Acesso Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120 5.05 Firewall do Windows com Segurana Avanada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Servios de Certificado do Active Directory ........................139 5.08 Servios de Domnio do Active Directory ..........................160 5.09 Servios Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicao ........................................212 6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
287
7.01 Introduo ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configurao Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Ncleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275