Guide Windows Server 2008

Guia do Revisor do Windows Server Longhorn Beta 3
Sobre o documento
ESTE DOCUMENTO NO UMA ESPECIFICAO DE PRODUTO.
Este documento suporta a verso Beta 3 do Windows Server Longhorn. As informaes contidas no mesmo representam a viso atual da Microsoft Corporation sobre os assuntos discutidos at a data da publicao. A Microsoft deve reagir s constantes alteraes nas condies do mercado, e sendo assim este documento no deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft no pode garantir a preciso de qualquer informao aqui. Este documento tem propsito exclusivamente informativo. A MICROSOFT NO OFERECE GARANTIAS, EXPRESSAS, IMPLCITAS OU REGULAMENTARES ACERCA DAS INFORMAES CONTIDAS NESTE DOCUMENTO. As informaes contidas neste documento, incluindo URL e outras referncias a sites da Internet, esto sujeitas a alteraes a qualquer momento. Salvo disposio em contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de e-mail, logotipos, pessoas, lugares e eventos aqui descritos so fictcios e no tm relao alguma com qualquer empresa, organizao, produto, nome de domnio, endereo de e-mail, logotipo, pessoa, lugar ou evento real. de responsabilidade do usurio o respeito a toda a legislao de copyright aplicvel. A Microsoft concede o direito de reproduo deste guia, no todo ou em parte. A Microsoft pode deter as patentes, as solicitaes de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licena escrito da Microsoft, o fornecimento deste documento no confere a voc qualquer licena em relao a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais. 2007 Microsoft Corp. Todos os direitos reservados. Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN so marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietrios.
O guia dos revisores do Windows Server Longhorn Beta 3 fornece uma viso geral tcnica abrangente dos recursos e funes inovadores que tornam o Windows Server Longhorn um sistema operacional de ltima gerao e o sucessor do Microsoft Windows Server 2003. Este guia tambm fornece informaes sobre os benefcios que o Windows Server Longhorn oferece a diversos usurios, bem como informaes sobre cenrios variados.
Contedo
Sobre o documento ...............................................1 Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.01 Introduo ao Windows Server Longhorn...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19 2.02 Virtualizao do Windows Server.................................20 2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35 3.02 Funcionalidade Bsica de Servios de Terminal ......................36 3.03 Gateway de Servios de Terminal ................................53 3.04 RemoteApp de Servios de Terminal ..............................62 3.05 Acesso a Web de Servios de Terminal ............................65 3.06 Impresso de Servios de Terminal ...............................69 3.07 Session Broker de Servios de Terminal ...........................73 3.08 Licenciamento de Servios de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84 4.02 Controlador de Domnio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Ncleo do Servidor ...........................................99
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101 5.02 Servios de Acesso e Diretiva de Rede ...........................103 5.03 Proteo contra Acesso Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120 5.05 Firewall do Windows com Segurana Avanada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Servios de Certificado do Active Directory ........................139 5.08 Servios de Domnio do Active Directory ..........................160 5.09 Servios Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicao ........................................212 6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
7.01 Introduo ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Ncleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276

Seo 10: Diversos 283
10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Contedo ................................286
Seo 1: Introduo ao Windows Server Longhorn

1.01 Introduo ao Windows Server Longhorn

O Microsoft Windows Server Longhorn Fornece Maior Controle, Mais Flexibilidade e Proteo Aperfeioada para Sua Infra-Estrutura de Servidor Ajudando Voc a Otimizar Tempo e Custos
As pessoas buscam resultados comerciais. Amplie seu impacto e voc criar um sucesso maior. Na Microsoft acreditamos que as pessoas, quando equipadas adequadamente com as ferramentas corretas, podem superar at mesmo os desafios comerciais mais complexos. Das muitas opes disponveis para empresas, o software demonstrou uma capacidade nica de amplificar o impacto positivo das pessoas, ajudando-as a superar desafios de gerenciamento de empresas e a contribuir de maneira mais eficiente para o resultado final. Como parte do auxlio s pessoas alcanarem o sucesso comercial, a Microsoft est buscando ajud-las a gerenciar a complexidade e alcanar agilidade, proteger informaes e controlar o acesso, desenvolver a empresa com solues de TI, e aumentar seu impacto. Oferecendo uma plataforma produtiva para impulsionar redes de aplicaes, servios de Web e Virtualizao como o Windows Server Longhorn, a Microsoft ajuda voc a melhorar os nveis de servio a um custo mais baixo, permite que construa e opere uma plataforma flexvel para atender as exigncias comerciais sempre em mudana, e lhe d recursos para proteger melhor a plataforma de TI em que sua organizao se apia. Quanto melhor capacitarmos seu pessoal a ser produtivo e capaz, mais podemos ajudar voc e as pessoas em sua organizao a alcanar o sucesso comercial hoje e na direo do futuro. A infra-estrutura de TI um ativo estratgico e a fundao crtica sobre a qual o software pode fornecer servios e aplicaes de usurios de que uma empresa precisa para operar de maneira eficiente e ter sucesso. O Windows Server Longhorn possibilita um maior sucesso comercial oferecendo uma plataforma que suporta solues e aplicaes crticas, tornando-as disponveis para a sua organizao quando precisa delas. O Microsoft Windows Server Longhorn, com tecnologia de virtualizao de ltima gerao disponvel, permite que voc
aumente a flexibilidade sua infra-estrutura de servidores ao mesmo tempo em que o ajuda a poupar tempo, reduzir custos, e oferecer uma plataforma para um centro de dados dinmico e otimizado. Poderosas novas ferramentas como o Gerenciador de Windows Server (Windows Server Manager) e Windows PowerShell permitem mais controle sobre seus servidores e dinamizao de configurao e tarefas de gerenciamento para que voc possa passar menos tempo em tarefas cotidianas e mais tempo proporcionando mais valor para sua organizao. Melhorias avanadas de segurana e confiabilidade como a Proteo contra Acesso Rede (NAP - Network Access Protection) e o Controlador de Domnio de Somente Leitura (RODC - Read Only Domain Controller) fortalecem o sistema operacional e ajudam a proteger seu ambiente de servidor para lhe proporcionar uma fundao slida sobre a qual construir seus negcios. A figura a seguir descreve os trs pilares do Windows Server Longhorn:
Introduo aos Cenrios

O Windows Server Longhorn o lanamento de servidor Microsoft mais focado no cliente de todos os tempos; isso fica evidente em como o servidor configurado e gerenciado por funo atravs do utilitrio Gerenciador de Windows Server. Quando os clientes consideram um servidor, tentem a pensar nele como se ocupasse uma funo especfica em sua infra-estrutura, embora possa ser um servidor de mltiplos propsitos hospedando mais de uma funo.
Alm disso, no caso da funo de Virtualizao de Servidor, pode ser uma plataforma sobre a qual executar mltiplos servidores em que cada qual possui funes diferentes. De qualquer maneira, os profissionais de TI iro se referir tipicamente a um servidor de impresso, servidor de arquivos, servidor de Web ou controlador de domnio, descrevendo aquele servidor por sua funo primria. Da mesma forma que um servidor implantado em uma funo especfica, ele tambm realizar parte ou toda uma carga de trabalho, ou contribuir para o cenrio de uma empresa. Cargas de trabalho tipicamente empregam mltiplos servidores executando diferentes funes para fornecer uma soluo geral para um dado cenrio. Por exemplo, servidores executando os Servios de Domnio do Active Directory (Active Directory Domain Services), Servios de Certificado do Active Directory (Active Directory Certificate Services) e Servios de Federao do Active Directory (Active Directory Federation Services) podem executar funes distintas, mas todos eles contribuem pra uma carga de trabalho ou cenrio de nvel mais alto de Gerenciamento de Identidade e Acesso. Quando os clientes implantarem o Windows Server Longhorn, provavelmente escolhero certos cenrios e cargas de trabalho em que sintam que o produto proporciona maior valor ou facilidade de implementao com mnima interrupo de sua infra-estrutura existente. Por essa razo, consideramos o Windows Server Longhorn como ser implantado pelos clientes em cenrios especficos. Vamos nos concentrar em sete principais cenrios de produto que suportam os pilares de proposta de valor para o Windows Server Longhorn. Para cada pilar temos dois cenrios que mapeiam aproximadamente as cargas de trabalho de servidor reconhecidas. Tambm fizemos uma srie de melhorias no Windows Server Longhorn que podem dar valor a implantaes em escritrios remotos.
A figura a seguir descreve os sete cenrios do Windows Server Longhorn:
1.02 Maior Controle

Passe Menos Tempo em Tarefas Cotidianas
O Windows Server Longhorn permite que voc tenha mais controle sobre sua infra-estrutura de servidor e de rede, permitindo que se concentrem em suas necessidades comerciais mais crticas. Os clientes precisam de melhor controle e gerenciamento em sua infraestrutura de servidor.
As questes dos clientes incluem as seguintes: Quero saber de problemas e corrigi-los antes que meus usurios sejam afetados. Quero automatizar o mximo possvel de meu gerenciamento. O sistema operacional do servidor deve ter ferramentas de gerenciamento melhores. Eu no deveria ter de comprar aplicaes de terceiros para fazer o gerenciamento bsico de sistemas. Posso ser alertado para um problema com um servidor, mas o alerta no d informaes suficientes para eu entender e solucionar a falha. Muitas tarefas cotidianas tomam muito tempo. A infra-estrutura cresceu pela necessidade. Conforme quisemos fazer mais, precisamos adicionar mais e gerenciar mais. Quero utilizar o TI para me tornar mais eficiente e ver a TI como um ativo estratgico para a empresa. Preciso reduzir custos e complexidade.
Simplifique o gerenciamento de sua infra-estrutura de TI usando novas ferramentas que proporcionam uma interface concentrada para configurao e monitoramento de servidor, assim como a capacidade de automatizar tarefas de rotina. O Gerenciador de Windows Server acelera a instalao e configurao de servidor, e simplifica o gerenciamento em andamento de funes de servidor atravs de um console unificado de gerenciamento. O Windows PowerShell, um novo shell de linha de comando com mais de 130 ferramentas e uma linguagem de script integrada, permite que os administradores controle mais facilmente e automatizem mais seguramente tarefas rotineiras de administrao de sistemas, especialmente ao longo de mltiplos servidores.
Dinamize a instalao e gerenciamento do Windows Server Longhorn instalando apenas as funes e recursos de que precisa. A personalizao da configurao do servidor simplifica a manuteno permanente minimizando a rea da superfcie de ataque e reduzindo a necessidade de atualizaes de software. A Instalao Baseada em Funo instala somente os componentes de que voc precisa para uma determinada funo, simplificando a configurao e manuteno do sistema operacional, reduzindo os custos de implantao e gerenciamento do Windows Server. O Ncleo do Servidor Windows (Windows Server Core) uma nova opo de instalao para funes selecionadas (Virtualizao do Windows Server, Active Directory, Modo de Aplicao do Active Directory (Active Directory Application Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impresso) que inclui uma interface grfica de usurio ou recursos e servios no-relacionados, proporcionando um servidor altamente disponvel que requer menos atualizaes e menos manuteno.
Identifique com preciso e resolva pontos de problemas com poderosas ferramentas de diagnstico que lhe do visibilidade contnua do ambiente de seu servidor, tanto fsico como virtual. Console integrado de desempenho e confiabilidade oferece diagnsticos incorporados para ajudar a evitar e reduzir o impacto de falhas, inclusive o Framework de Diagnstico de Rede (Network Diagnostic Framework). Visualizar Eventos (Event Viewer) mais rico proporciona uma percepo mais profunda para o administrador que ajuda a resolver problemas antes que afetem os usurios. Pacotes de Gerenciamento para cada funo de servidor fornecem integrao aprimorada com o Gerenciador de Operaes do Microsoft System Center (Microsoft System Center Operations Manager).
10
Aumente o controle sobre servidores situados em locais distantes, como o escritrio remoto. Com administrao de servidor e replicao de dados otimizados, voc pode fornecer aos usurios um melhor servio ao mesmo tempo em que reduz as dores de cabea do gerenciamento. Priorizao de trfego de WAN entre clientes do Windows Vista e servidores do Windows Server Longhorn Otimizao de trfego de WAN e auto-ajuste de rede para replicao de SysVol, Replicao de Sistema de Arquivos Distribudo, e outros protocolos como SMB O Controlador de Domnio de Somente Leitura permite que voc fornea autenticao local para usurios de escritrio remoto sem implantar uma cpia completa e gravvel do banco de dados do Active Directory database, que poderia estar sujeita a corrupo ou exposta a riscos. O Microsoft BitLocker permite que voc exera controle adicional sobre os dados em um disco rgido de servidor em locais remotos menos seguros. O Gerenciamento Centralizado de Impressora permite que voc controle todas as impressoras a partir de um nico local e passe menos tempo gerenciando impressoras remotas.
Simplifique o gerenciamento de servidores de Web com o Internet Information Services 7.0, que uma poderosa plataforma de Web para aplicaes e servios. Essa plataforma modular oferece uma interface de gerenciamento simplificada, baseada em tarefa, maior controle entre sites, aprimoramentos de segurana, e gerenciamento integrado de integridade para Web Services. A interface baseada em tarefa simplifica tarefas comuns de gerenciamento de servidor de Web. Cpias entre sites permitem que voc copie facilmente configuraes de Websites ao longo de mltiplos servidores de Web sem configurao adicional. A administrao delegada de aplicaes e sites permite que voc d controle de diferentes partes do servidor de Web queles que precisam dele.
Aumente o controle sobre suas configuraes de usurio com Diretiva de Grupo Expandida: Administradores podem poupar tempo e dinheiro configurando configuraes de rede por ou sem fio, de dispositivos de armazenamento removveis, impressoras, Microsoft Internet Explorer, e at mesmo configuraes de gerenciamento de energia usando a Diretiva de Grupo.
11
1.03 Mais Flexibilidade

Reaja Rapidamente s Necessidades de Sua Empresa
As companhias precisam que sua infra-estrutura se adapte s necessidades de seus negcios para permanecerem geis.
As questes dos clientes incluem as seguintes: Preciso usar meus servidores atuais de maneira mais eficiente, ento no preciso comprar hardware adicional sempre que adiciono uma aplicao ou servio. Atualizar o sistema operacional de meu servidor demorado e perturbador; deveria ser mais fcil implantar e gerenciar atualizaes de servidor. No tenho flexibilidade suficiente com as ferramentas em meu sistema operacional para solucionar novos problemas. difcil demais implantar novas tecnologias com meus sistemas existentes. Plataformas de legado que exigem muita mo-de-obra levam a aumentos nos custos de administrao e suporte. A implantao e manuteno de sistemas so caras, e consomem muito tempo e esforo. Preciso consolidar e virtualizar meus servidores e aplicaes. Preciso adicionar recursos dinamicamente a mquinas virtuais para satisfazer cargas aumentadas. Preciso mover dinamicamente mquinas virtuais para outra mquina com mais capacidade.
12
Novas implantaes precisam se integrar com meu ambiente existente do Windows Server e outros sistemas.
Virtualize mltiplos sistemas operacionais Windows, Linux e outros em um nico servidor. Com a virtualizao incorporada no sistema operacional e com diretivas de licenciamento mais simples e flexveis, agora mais fcil que nunca tirar proveito de todos os benefcios e economias de custos da virtualizao. A Virtualizao do Windows Server uma virtualizao de ltima gerao baseada integrada com o sistema operacional que adicione dinamicamente recursos fsicos plataforma de em monitor permite que voc e virtuais.
Plataforma dinmica. A Virtualizao do Windows Server proporciona grande confiabilidade, avanada escalabilidade, e recursos dinmicos que permitem que voc virtualize a maioria das cargas de trabalho em sua infra-estrutura. Gerenciamento integrado. A integrao com o Gerenciador de Mquina Virtual do System Center permite um rpido aprovisionamento de mquinas virtuais e um nico conjunto de ferramentas integradas para gerenciar seus recursos fsicos e virtuais. Suporte abrangente. A Microsoft fornece suporte 24x7 para Windows Server, Linux e convidados Linux ativados para Xen na plataforma de Virtualizao do Windows Server. Amplo suporte da indstria. A Microsoft e seu ecossistema de parceiros fornecem amplo suporte que permite a voc implantar aplicaes na plataforma de virtualizao da Microsoft com confiana e paz de esprito, alm de utilizar o conhecimento individual e coletivo existentes sobre o Windows Server e conjuntos de habilidades da comunidade profissional da TI.
Centralize o acesso a aplicaes e proporcione integrao sem interrupes de aplicaes publicadas remotamente. As melhorias tambm somam a capacidade de conectar-se a aplicaes remotas atravs de firewalls e sem o uso de uma rede virtual privada (VPN - virtual private network) assim voc pode reagir rapidamente s necessidades de seus usurios, independentemente da localizao. Programas Remotos de Servios de Terminal permitem um acesso remoto sem interrupes e publicao de aplicaes para implantao simples e rpida de aplicaes e gerenciamento centralizado. O Gateway de Servios de Terminal permite o acesso remoto a aplicaes sem o uso de uma VPN para que os usurios possam acessar facilmente as aplicaes quando precisam delas, independentemente de onde se localizem.
Escolha a partir de novas opes de implantao para proporcionar o mtodo mais adequado para seu ambiente.
13
Os Servios de Implantao do Windows (Windows Deployment Services) oferece instalao e implantao baseados em imagem que simplifica a implantao de cliente e servidor e gerenciamento contnuo de imagem. Um nico modelo mundial de manuteno simplifica a manuteno contnua de clientes e servidores.
Construa aplicaes flexveis e abrangentes que conectam usurios e seus dados, permitindo que eles visualizem, compartilhem e ajam com as informaes. O componente Windows Communication Foundation (WCF) oferece um framework unificado para a construo rpida de aplicaes orientadas ao servio, facilitando construir e consumir servios de Web de segurana aperfeioada, confiveis e transacionados. O componente Windows Workflow Foundation (WF) permite a desenvolvedores oferecer transparncia ao modelo e suportar o fluxo de trabalho do sistema e humano. O componente Windows Presentation Foundation (WPF) fornece um framework unificado para construir aplicaes e experincias de alta fidelidade no Windows que combina interface de usurio, dados e contedo de mdia das aplicaes, ao mesmo tempo em que explora toda a capacidade do computador. A profunda integrao do Internet Information Services 7 e do ASP.NET resulta em um nico sistema unificado de configurao, um tempo de execuo de processamento de solicitao e modo de extensibilidade integrados, e uma experincia de diagnsticos e soluo de problemas vastamente aperfeioada.
Assegure a interoperabilidade com o ambiente existente. Potencialize a robusta e vibrante comunidade tcnica atravs do ciclo de vida do produto. O programa Microsoft TechNet oferece informaes tcnicas oportunas, precisas e relevantes atravs de seu site, boletins informativos, v-labs, eventos, Webcasts, assinaturas e outras ofertas. As comunidades tcnicas enriquecem a experincia do Windows Server proporcionando experincia no tema e opinies atravs de blogs, grupos de usurios, fruns e eventos.
14
1.04 Maior Proteo

Fortalece o Sistema Operacional e Protege Seu Ambiente
As empresas precisam de uma plataforma de servidor com que possam contar ao mesmo tempo em que oferea mxima segurana e proteo para seus usurios. Os clientes precisam reduzir quaisquer interrupes que tenham impacto direto sobre a produtividade do TI e do usurio final.
As questes levantadas pelos clientes incluem: Quando os funcionrios, fornecedores e fabricantes trazem dispositivos mveis ao meu escritrio, no posso garantir que minha rede permanecer segura. Aplicar atualizaes de segurana constantemente demorado e incmodo. O Windows Server no to seguro quanto os outros sistemas operacionais. desafiador gerenciar a segurana do sistema e informaes de identidade dos usurios em sistemas corporativos. Proteger sistemas complexo e difcil de gerenciar. No tento manuteno de sistemas durante o expediente porque fazer isso pode provocar uma interrupo do servio e no quero perturbar a produtividade de meus usurios. Quero integrar redundncia e recuperao de desastres em meus servios de TI. Preciso assegurar conformidade com normas de controle (HIPAA, Sarbanes-Oxley).
Proteja seu servidor: O Windows Server Longhorn oferece inovaes de segurana que reduzem a rea da superfcie de ataque
15
do kernel, resultando em um ambiente de servidor mais seguro e robusto. O Windows Service Hardening ajuda a manter os sistemas mais seguros evitando que servios Windows crticos sejam usados por atividade anormal no sistema de arquivos, registro ou rede. Seguro na instalao significa que o sistema operacional completamente bloqueado e pronto para usar.
Proteja o acesso a sua rede: A Proteo contra Acesso Rede (Network Access Protection) lhe d o poder de isolar computadores que no obedeam s diretivas de segurana que voc estabelece. A capacidade de impor requisitos de segurana um meio poderoso de proteger sua rede. A Proteo contra Acesso Rede permite validao de diretiva, restrio de rede, correes e conformidade contnua para o acesso de usurios a recursos de rede. Ajude a evitar que dispositivos no saudveis acessem recursos corporativos e solicite acesso a recursos de domnio a partir de PCs gerenciados.
Crie regras e diretivas inteligentes para melhorar o controle de acesso e proteo sobre funes de rede, permitindo que voc tenha uma rede orientada por diretiva. O gerenciamento centralizado de firewall e IPsec reduz conflitos e overhead de coordenao entre tecnologias atravs da combinao de criao e manuteno de diretiva para filtragem de trfego e segurana de conexo. O Isolamento de servidor e domnio, baseado no Windows IPsec e Active Directory, permite uma implementao eficaz em termos de custo de autenticao de extremidade para segmentar dinamicamente um ambiente Windows em redes lgicas isoladas mais seguras com base em diretiva em vez de topologia de rede. Regras inteligentes de firewall podem especificar requisitos como autenticao e criptografia, com base em computador ou grupos de usurios do Active Directory. O Servidor de Diretiva de Rede (Network Policy Server) atua como um servidor de diretiva de integridade de rede para Proteo contra Acesso Rede (NAP - network access protection), desempenho, autenticao de conexo centralizada, autenticao, e controle de vrios tipos de acessos de rede, incluindo conexes sem fio e de VPN.
Proteja seus dados: O Windows Server inclui protees adicionais para seus dados para ajudar a garantir que s possam ser acessados por usurios com o contexto de segurana correto, e para torn-los disponveis quando falhas de hardware acontecerem.
16
Os Servios de Gerenciamento de Direitos (Rights Management Services) oferecem proteo persistente para dados sigilosos, ajudam a reduzir riscos e permite conformidade, e fornecem uma plataforma para proteo abrangente de informaes. O Microsoft BitLocker fornece segurana adicional para seus dados atravs de criptografia completa de volume em mltiplas unidades de disco, mesmo quando o sistema estiver em mos no autorizadas ou executando um sistema operacional diferente. O Controle de Diretiva de Grupo sobre Instalao de Dispositivos (Group Policy Control over Device Installation) permite a administradores de TI usarem Diretiva de Grupo no Windows Server Longhorn para bloquear a instalao de dispositivos removveis, como pendrives e discos rgidos externos, para ajudar a evitar que propriedade intelectual corporativa ou dados sigilosos sejam expostos ou roubados. O Controlador de Domnio de Somente Leitura (Read-Only Domain Controller) permite que voc implante o Active Directory ao mesmo tempo em que restringe a replicao do banco de dados completo do Active Directory; para proteger melhor contra roubo ou exposio.
Proteja contra softwares mal-intencionados com o Controle de Conta de Usurio, uma nova arquitetura de autenticao. O Controle de Conta de Usurio aumenta a segurana exigindo confirmao manual de muitas funes administrativas para proteger contra softwares mal-intencionados que possam tentar obter ou usar privilgios administrativos.
Cumpra seus contratos de nvel de servio: O Windows Server Longhorn gil e oferece mais disponibilidade reduzindo tempos de interrupo potenciais. Reinicializaes reduzidas devido configurao e atualizaes, e subsistemas que podem ser ligados a quente permitem alteraes no sistema sem ter de desligar o servidor. Reinicializaes reduzidas da Virtualizao do Windows Server devido ao suporte a incluses a quente de recursos de processo, memria, rede e armazenamento. Active Directory reinicivel permite que voc realize manuteno nos Servios de Domnio do Active Directory (Active Directory Domain Services) sem a necessidade de deixar o servidor offline. Aumente o desempenho da rede com a Rede Escalonvel e AutoTuning de Rede.
17
Aumente a confiabilidade: O Windows Server Longhorn oferece aprimoramentos avanados de confiabilidade para reduzir a perda de acesso, trabalho, tempo, dados e controle. O Clustering Failover facilita configurar clusters de servidor ao mesmo tempo em que proporciona proteo e disponibilidade de seus dados e aplicaes. O geo-clustering ajuda a assegurar alta disponibilidade de sistema e aplicaes no caso de um desastre no site. O clustering de host virtualizado permite que mquinas virtuais efetuem o failover automaticamente de uma mquina fsica para outra no caso de falha fsica, e a Migrao em Tempo Real permitir mudar mquinas virtuais de uma mquina para outra sem nenhum tempo de inatividade. Melhorias de disponibilidade significam menos quedas ou travamentos e reinicializaes, permitindo que voc minimize a freqncia e impacto de interrupes para melhorar a produtividade e reduzir os custos de suporte.
18
Seo 2: Virtualizao do Servidor

19
2.01 Introduo Virtualizao de Servidor

Este cenrio enfoca a funo de virtualizao do Windows Server Longhorn que permite a organizaes de TI reduzir custos e criar um centro de dados gil e dinmico. A funo de virtualizao oferece um paradigma inteiramente novo de implantao e licenciamento para que permitir mltiplas instncias de sistema operacional tanto da Microsoft como potencialmente de outros fabricantes sejam executados em uma infra-estrutura virtual separada do hardware por uma tecnologia de virtualizao baseada em um monitor fino. Conforme examinarmos este cenrio, ser importante manter o foco no apenas no que o cenrio oferece, mas tambm naquilo que possibilita que possivelmente todas as outras funes de servidor do Windows Server Longhorn e potencialmente Linux e outros sistemas operacionais.
Proposta de Valor do Cenrio

A funo de virtualizao possibilita que organizaes criem um centro de dados gil e dinmico e reduzam custos. As principais propostas de valor que a virtualizao de servidor permitem so essas: Consolidao de servidor: Possibilitar que os clientes reduzam a quantidade total e o custo de propriedade de servidor minimizando a utilizao do hardware, consolidando cargas de trabalho e reduzindo os custos de gerenciamento. Ambientes de desenvolvimento e teste. Criar um ambiente mais flexvel e fcil de gerenciar que maximize o hardware de teste, reduza custos, melhore o gerenciamento do ciclo de vida e melhore a cobertura dos testes. Gerenciamento de continuidade de negcios. Eliminar o impacto de tempos de inatividade programados e no programados e permitir capacidades de recuperao de desastres com recursos como a Migrao ao Vivo e clustering de host. Centro de dados dinmico. Utilizar os benefcios da virtualizao para criar uma infra-estrutura mais gil combinada com novos recursos de gerenciamento para permitir a voc mover mquinas virtuais sem causar impacto sobre os usurios.
Requisitos Especiais de Hardware

A funo de virtualizao requer o seguinte: Processadores Intel VT ou AMD-V ativados
20
2.02 Virtualizao do Windows Server

A virtualizao uma tecnologia chave de capacitao que pode ser utilizada para alcanar benefcios comerciais. A tecnologia de virtualizao permite que os clientes executem vrios sistemas operacionais de maneira concorrente em um nico servidor fsico, em que cada um dos sistemas operacionais executado como um computador independente. Hoje h mais presso que nunca sobre o TI com oramentos reduzidos, tecnologias que mudam rapidamente e questes crescentes de segurana. Conforme as empresas crescem, suas infra-estruturas de TI crescem com elas. Mas, freqentemente, o ritmo desse crescimento irregular, impulsionado tanto pelas condies sob as quais a empresa opera quanto pelo modelo a que aspira. O TI est sendo cada vez mais visto como um gerador-chave de valor para a maioria das organizaes, e o foco do TI mudar de meramente manter a empresa em funcionamento para ser um mecanismo para produzir reatividade e agilidade por toda a organizao. Produzir agilidade pelo TI, reduzir custos e gerenciar complexidade precisam todos acontecer de uma forma integrada. A Iniciativa de Sistemas Dinmicos da Microsoft (DSI - Dynamic Systems Initiative) utiliza a virtualizao como um pilar principal para tratar dessas preocupaes comerciais, e se une estreitamente com a adio de informaes s aplicaes e na camada de gerenciamento para permitir a viso de sistemas dinmicos gerenciados automaticamente em todo o ciclo de vida e por todas as funes dentro da organizao. A virtualizao como tecnologia tem a capacidade de tratar de algumas dessas preocupaes e necessidades comerciais como partes da estratgia geral de TI. Hoje, O Microsoft Virtual Server 2005 R2 hospedado no sistema operacional Windows Server 2003 proporciona os recursos necessrios para cumprir tarefas que poupam tempo e custo atravs da tecnologia de virtualizao em um ambiente de computao "enterpise-ready" com nveis avanados de escalabilidade, gerenciamento e disponibilidade. A abordagem da Microsoft para integrar os recursos de gerenciamento com a famlia de produtos System Center existente permite aos clientes gerenciar suas infra-estruturas fsica e virtual d uma forma integrada e facilita a adoo da tecnologia. A estratgia de virtualizao da Microsoft contrasta com as alternativas atuais para gerenciamento de mquina virtual, que tendem a ser complexas, caras e exigir habilidades especializadas. Vemos a virtualizao como uma tecnologia-chave para ajudar os clientes a alcanarem sistemas dinmicos auto-gerenciados. Ao longo das camadas da plataforma, sistema operacional, aplicaes e
21
gerenciamento, estamos proporcionando funcionalidade e recursos que permitem a nossos clientes reduzir significativamente custos operacionais, aumentar a utilizao do servidor e alcanar um ROI melhor atravs de solues de virtualizao de recursos plenos. Bob Muglia, Vice-Presidente Snior, Negcios de Servidor e Ferramentas, Microsoft A Virtualizao do Windows Server, como parte do Windows Server Longhorn, d um grande passo frente na aplicao de algumas das avanadas capacidades da virtualizao e em proporcionar aos clientes uma plataforma de virtualizao escalonvel, segura e altamente disponvel. Conforme as tecnologias de plataforma avanam, importante assegurar que o gerenciamento geral continue simplificado. O Gerenciador de Mquina Virtual do System Center Microsoft a aplicao de gerenciamento para centro de dados virtualizado oferece uma soluo de gerenciamento unificada e integrada como parte da famlia System Center e ajuda a baixar os custos na medida que o ambiente de TI se torna mais gil.
Benefcios da Virtualizao
Organizaes de TI hoje esto sob uma presso incrvel para fornecer mais valor a seus clientes comerciais e tipicamente com pouco ou nenhum aumento no oramento. Otimizar o uso de ativos fsicos de TI se torna imperativo medida que os centros de dados atingem sua capacidade de potncia e espao. A Microsoft reconhece que o problema se intensifica para empresas cujos servidores trabalham com utilizao muito baixa. Taxas de utilizao de servidor de menos de 5 por cento no so incomuns, e as taxas de utilizao de muitos clientes caem dentro da faixa de 10- a 15 por cento. Muitos desses desafios, compartilhados entre administradores de servidor e desenvolvedores, podem ser tratados com a ajuda das solues de virtualizao da Microsoft. A tecnologia de virtualizao de mquina usada para consolidar vrias mquinas fsicas em uma nica mquina fsica. A virtualizao tambm pode ser usada para re-hospedar ambientes de legado, especialmente conforme o hardware de gerao mais antiga se torna mais difcil e dispendioso para manter. E como o software separado do hardware, a virtualizao uma boa soluo para ambientes de recuperao de desastres, tambm. Como uma parte essencial de qualquer estratgia de consolidao de servidor, as solues de virtualizao da Microsoft aumentam a utilizao do hardware e permitem que as organizaes configurem e implantem rapidamente novos servidores com os seguintes importantes benefcios: Uso eficiente de recursos de hardware. O isolamento e gerenciamento de recursos de mquina virtual possibilitam a coexistncia de vrias cargas de trabalho em menos servidores, permitindo que as organizaes faam um uso mais eficiente de seus recursos de hardware. A
22
Virtualizao do Windows Server, parte do Windows Server Longhorn e do Virtual Server 2005 R2 com Windows Server 2003, proporciona a maior interoperabilidade com infraestruturas existentes de armazenamento, rede e segurana. Com avanos em hardware de servidor com tecnologia de 64 bits, sistemas multiprocessados e de mltiplos ncleos, a virtualizao oferece uma maneira fcil de otimizar a utilizao de hardware. Produtividade e reatividade administrativas melhoradas. A Virtualizao do Windows Server possibilita a organizaes de TI melhorar sua produtividade administrativa e implantar rapidamente novos servidores para tratar das necessidades corporativas sempre em transformao. A integrao fcil com ferramentas de gerenciamento de servidor existentes, como o System Center Operations Manager e ferramentas sofisticadas como o Gerenciador de Mquina Virtual do System Center (SCVMM), facilita o gerenciamento de mquinas virtuais Windows. A capacidade de consolidar cargas de trabalho em um ambiente de hardware no virtual e um framework fsico e virtual integrado de gerenciamento de TI permite que administradores reduzam os custos operacionais e criem centros de dados mais geis. Soluo de virtualizao de servidor bem suportada. O Virtual Server 2005 R2 extensivamente testado e suportado pela Microsoft em conjunto com seus sistemas operacionais e aplicaes de servidor. Por isso o Virtual Server 2005 R2 uma soluo de virtualizao bem suportada tanto dentro da Microsoft como na comunidade de ISVs mais ampla. Com a Virtualizao do Windows Server como um componente integrante do Windows Server Longhorn e o Gerenciador de Mquina Virtual como parte da famlia System Center, voc pode ter certeza de que as futuras solues de virtualizao da Microsoft tambm sero extensivamente testadas e bem suportadas. O uso de um formato de disco rgido virtual comum (VHD) assegura a proteo do investimento para todas as mquinas virtuais criadas para o Servidor Virtual com um caminho transparente de migrao para a Virtualizao do Windows Server. Um produto-chave para a Iniciativa de Sistemas Dinmicos da Microsoft. Como parte da DSI, o esforo da Microsoft abrangendo toda a indstria para simplificar e automatizar dramaticamente como as empresas projetam, implantam e operam sistemas de TI para permitir sistemas dinmicos auto-gerenciados, a Microsoft est oferecendo s empresas ferramentas para ajud-las a utilizar de maneira mais flexvel seus recursos de hardware. O Virtual Server 2005 R2, a Virtualizao do Windows Server e o Gerenciador de Mquina Virtual so exemplos importantes de como a Microsoft est continuando a fornecer tecnologia que resulta em melhor utilizao de hardware de servidor e
23
proporciona um aprovisionamento mais flexvel de recursos e centros de dados.
Roadmap da Virtualizao da Microsoft

O roadmap da Virtualizao da Microsoft combina o seguinte: Uma viso de longo prazo que mostra como os clientes podem reduzir drasticamente a complexidade da infra-estrutura de TI como parte da DSI global. Um cronograma de produto slido que oferece solues atuais e de curto prazo, permitindo que os clientes tomem uma srie de passos prticos de acordo com a viso de longo prazo.
A Microsoft est fornecendo solues de ferramentas de desenvolvimento de aplicaes, aplicaes de servidor, sistemas operacionais e gerenciamento que proporcionam melhorias imediatas para tratar da complexidade no ambiente de TI dos clientes. Como parte das solues de virtualizao, os clientes vero melhorias na oferta atual de produtos para o Virtual Server 2005 R2; novos produtos avanados como o Gerenciador de Mquina Virtual do System Center que trataro de importantes desafios de gerenciamento; e a Virtualizao do Windows Server como parte do Windows Server Longhorn que fornecer uma plataforma melhorada de virtualizao com escalabilidade, desempenho e confiabilidade aumentados. Com a capacidade de hardware crescendo e recursos mais robustos de plataforma de virtualizao e gerenciamento, mais clientes podem se beneficiar dos recursos de consolidao, gerenciamento mais fcil e automao. A virtualizao a principal tecnologia para reduzir o custo e complexidade do gerenciamento de TI, e a Microsoft comprometeu recursos significativos para tornar a virtualizao mais amplamente acessvel para os clientes. As prximas sees enfocaro os principais produtos de virtualizao, tanto no nvel da plataforma como no de gerenciamento.
Virtual Server 2005 R2

O Microsoft Virtual Server 2005 R2 tecnologia de virtualizao de servidor mais eficaz em termos de custo projetada para a plataforma Windows Server System. Como parte essencial de qualquer estratgia de consolidao de servidor, o Virtual Server aumenta a utilizao de hardware e permite que as organizaes configurem e implantem novos servidores rapidamente.
Cenrios de Uso
O Virtual Server 2005 R2 oferece eficincia de hardware melhorada oferecendo uma tima soluo para isolamento e gerenciamento de recursos, o que possibilita a coexistncia de mltiplas cargas de trabalho em menos servidores. O Virtual Server pode ser usado
24
para melhorar a eficincia operacional na consolidao de infraestrutura, cargas de trabalho de servidor de aplicaes e em escritrios remotos, consolidando e re-hospedando aplicaes de legado, automatizando e consolidando ambientes de testes e de desenvolvimento de software, e reduzindo o impacto de desastres. Consolide infra-estrutura, cargas de trabalho de servidor de aplicaes e em escritrios remotos. O Virtual Server permite a consolidao de cargas de trabalho para ambientes de servio de infra-estrutura, de escritrios remotos, e recuperao de desastres, resultando em menos sistemas fsicos para memria de hardware reduzida. O Virtual Server 2005 R2 ideal para consolidao de servidor tanto no centro de dados como no escritrio remoto, permitindo s organizaes fazerem um uso mais eficiente de seus recursos de hardware. Ele permite que as organizaes de TI aumentem sua produtividade administrativa e implantem rapidamente novos servidores para tratar de necessidades comerciais e aumenta as taxas de utilizao de hardware para uma infraestrutura de TI otimizada. Consolide e automatize seu ambiente de teste e desenvolvimento de software. Clientes em todos os segmentos procuram maneiras de diminuir os custos e acelerar instalaes e atualizaes de aplicaes e infra-estrutura, ao mesmo tempo em que fornecem um nvel abrangente de garantia de qualidade. O Virtual Server permite que voc consolide sua farm de servidores de testes e desenvolvimento e automatize o aprovisionamento de mquinas virtuais, melhorando a utilizao de hardware e a flexibilidade operacional. Para desenvolvedores, o Virtual Server permite uma fcil implantao e testes de uma aplicao de servidor distribuda usando mltiplas mquinas virtuais em um servidor fsico. Re-hospede aplicaes de legado. O Virtual Server permite a migrao de sistemas operacionais de legado (Windows NT 4.0 Server e Windows 2000 Server) e suas aplicaes personalizadas associadas de hardwares mais antigos para servidores novos executando o Windows Server 2003. O Virtual Server 2005 R2 oferece o melhor dos dois mundos: compatibilidade de aplicao com ambientes de legado, ao mesmo tempo em que tira proveito da confiabilidade, gerenciamento e recursos de segurana do Windows Server 2003 sendo executado no hardware mais recente. O Virtual Server 2005 R2 oferece essa capacidade permitindo que os clientes executem aplicaes de legado em seu ambiente nativo de software em mquinas virtuais, sem reescrever a lgica da aplicao, reconfigurar redes ou treinar novamente os usurios finais. Isso d aos clientes tempo para primeiro atualizar sistemas mais antigos da infraestrutura, depois para atualizar ou reescrever aplicaes fora de servio em um cronograma que atenda melhor suas
25
necessidades comerciais. O Virtual Server 2005 R2 possibilita uma melhor escolha do cliente para migrao de aplicaes de legado com excepcional compatibilidade. Solues de recuperao de desastre. O Virtual Server 2005 R2 pode ser usado como parte de um plano de recuperao de desastres que requeira portabilidade e flexibilidade de aplicao ao longo de plataformas de hardware. Consolidar servidores fsicos em poucas mquinas fsicas executando mquinas virtuais diminui o nmero de ativos fsicos que deve estar disponveis em um local de recuperao de desastre. No caso de recuperao, mquinas virtuais podem ser hospedadas em qualquer local, em mquinas host diferentes daquelas afetadas pelo desastre, acelerando os tempos d recuperao e maximizando a flexibilidade da organizao.
Principais Recursos
A virtualizao facilita ampla compatibilidade de dispositivos e suporte completo para ambientes de servidor Windows. Isolamento de mquina virtual. O isolamento de mquina virtual garante que se uma mquina virtual cair ou travar, no tenha impacto sobre nenhuma outra mquina virtual ou sobre o sistema host. A compatibilidade mxima da aplicao alcanada atravs do isolamento. Isso permite que os clientes potencializem ainda mais suas infra-estruturas existentes de armazenamento, rede e segurana. Ampla compatibilidade de dispositivos. O Virtual Server executado no Windows Server 2003, que suporta a maioria dos dispositivos do Catlogo do Windows Server, oferecendo compatibilidade com uma ampla gama de hardwares de sistemas de host. VMM multithread. O Monitor de Mquina Virtual do Virtual Server fornece a infra-estrutura de software para criar, gerenciar e interagir com mquinas virtuais em hardware multiprocessado. Ampla compatibilidade com sistema operacional x86 guest. O Virtual Server pode executar todos os principais
Virtual Server 2005 R2: Administration Website
26
sistemas operacionais x86 no ambiente guest da mquina virtual. A Microsoft tambm suportar distribuies especficas de Linux sendo executadas no ambiente da mquina virtual. Clustering iSCSI. Cenrios flexveis de clustering proporcionam alta disponibilidade para ambientes crticos ao mesmo tempo em que melhoram os processos de atualizao e manuteno de hardware. O clustering de iSCSI entre hosts fsicos do Virtual Server 2005 R2 oferece um meio eficaz em termos de custo de aumentar a disponibilidade do servidor. Suporte a x64. O Virtual Server 2005 R2 executado nos seguintes sistemas operacionais host de 64 bits: Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition Windows XP Professional x64 Edition, proporcionando desempenho e maior espao de memria. API de COM abrangente. Isso permite completo controle em script de ambientes de mquina virtual. O Virtual Server suporta uma Interface de Programao de Aplicaes (API) de Modelo de Objeto Componente (COM) que contm 42 interfaces e centenas de chamadas, permitindo que scripts controlem quase todos os aspectos do produto. Discos Rgidos Virtuais (VHDs - Virtual Hard Disks). O Virtual Server encapsula mquinas virtuais e, VHDs portteis, permitindo uma configurao, verso e implantao flexveis. Boot PXE. Esta placa de rede emulada no Virtual Server 2005 R2 agora suporta boot de Ambiente de Execuo PrInicializao (PXE - Pre-Boot Execution Environment). Esse boot de rede permite que os clientes aprovisionem suas mquinas virtuais de todas as maneiras que fazem com os servidores fsicos. Integrao com o Active Directory. As mquinas virtuais no Virtual Server funcionam como se esperaria de uma mquina fsica, oferecendo integrao completa com o Active Directory. Esse nvel de integrao permite administrao delegada e acesso de convidado seguro e autenticado. Microsoft Operations Manager 2005 Management Pack for Virtual Server. Um pacote de gerenciamento desenvolvido especificamente para o Virtual Server possibilita recursos avanados de gerenciamento dentro de mquinas virtuais.
Virtualizao do Windows Server

A Virtualizao do Windows Server uma tecnologia baseada em monitor que parte do Windows Server Longhorn. O hypervisor Windows uma camada fina de software sendo executada diretamente no hardware, que trabalha em conjunto com uma instncia otimizada do Windows Server Longhorn que permite que mltiplas instncias do sistema operacional sejam executadas simultaneamente em um
27
servidor fsico. Ela utiliza as poderosas melhorias de processadores e oferece aos clientes uma plataforma de virtualizao escalonvel, confivel, de segurana aprimorada, e altamente disponvel.
Cenrios de Uso
A Virtualizao do Windows Server integrada como a funo de virtualizao no Windows Server Longhorn e oferece um ambiente virtual mais dinmico para consolidar cargas de trabalho. Ela fornece uma plataforma de virtualizao que permite eficincia operacional aprimorada para consolidao de cargas de trabalho, gerenciamento de continuidade de negcios, automatizar e consolidar ambientes de testes de software, e criar um centro de dados dinmico. Consolidao de servidor de produo. Organizaes procuram servidores de produo em seus centros de dados e encontram nveis de utilizao geral de hardware entre 5 e 15 por cento da capacidade do servidor. Alm disso, limitaes fsicas como espao e potncia as esto impedindo de expandir seus centros de dados. Consolidar vrios servidores de produo com a Virtualizao do Windows Server pode ajudar as empresas a se beneficiarem da utilizao aumentada do hardware e do custo total de propriedade geral reduzido. Gerenciamento de continuidade de negcios. Os administradores de TI esto sempre tentando encontrar maneiras de reduzir ou eliminar o tempo de inatividade de seu ambiente. A Virtualizao do Windows Server oferecer recursos para recuperao eficiente de desastres para minimizar o tempo de inatividade. O ambiente de virtualizao robusto e flexvel criado pela Virtualizao do Windows Server minimiza o impacto de tempos de inatividade programados e no programados. Teste e desenvolvimento de software. Uma das maiores reas onde a tecnologia de virtualizao continuar sendo relevante a de teste e desenvolvimento de software para criar ambientes automatizados e consolidados que sejam geis o suficiente para acomodar as exigncias em constante mudana. A Virtualizao do Windows Server ajuda a minimizar o hardware de teste, melhora o gerenciamento de ciclo de vida e melhora a cobertura dos testes. Centro de dados dinmico. O rico conjunto de recursos da Virtualizao do Windows Server combinado com os novos recursos de gerenciamento estendidos pelo Gerenciador de Mquina Virtual permite que as organizaes criem uma infra-estrutura mais gil. Os administradores sero capazes de adicionar recursos dinamicamente a mquinas virtuais e mov-las atravs de mquinas fsicas de maneira transparente sem causar impacto nos usurios.
28
Principais Recursos
H vrios novos recursos na Virtualizao do Windows Server que ajudam a criar uma plataforma de virtualizao escalonvel, segura e altamente disponvel como parte do Windows Server Longhorn. Os seguintes so alguns dos principais componentes e recursos da Virtualizao do Windows Server. Monitor Windows. uma camada finssima de software que utiliza o suporte a driver e a tecnologia de virtualizao assistida por hardware do Windows Server. A base de cdigo mnimo sem nenhum cdigo ou driver de terceiros ajuda a criar uma base mais segura e robusta para solues de virtualizao. Gerenciamento dinmico de recursos. A Virtualizao do Windows Server oferece a capacidade de incluir a quente recursos como CPU, memria, redes e armazenamento s mquinas virtuais sem tempo de inatividade. Combinado com os recursos de conexo a quente do Windows Server Longhorn, isso permite que os administradores gerenciem seus recursos de hardware sem impacto sobre seus compromissos de SLA. Suporte a guest (convidado) de 64 bits. Um novo recurso importante da plataforma de Virtualizao do Windows Server guests de 64 bits. Isso permite que organizaes virtualizem Windows Server Virtualization: User Interface and multi-proc support mais aplicaes que so exigentes em termos de memria e se beneficiem do pool de memria aumentado acessvel em um ambiente de 64 bits. Suporte a multiprocessador guest (convidado). A Virtualizao do Windows Server agora oferece a capacidade de alocar mltiplos recursos de CPU a uma nica mquina virtual e permite a virtualizao de aplicaes multithread. Este recurso, combinado com o suporte a guests de 64 bits, torna a Virtualizao do Windows Server uma plataforma escalonvel para virtualizao.
29
Migrao em tempo real de mquinas virtuais. A Virtualizao do Windows Server proporcionar a capacidade de mover uma mquina virtual de uma mquina fsica para outra com um mnimo de tempo de inatividade. Esta capacidade, somada ao clustering de host de mquinas fsicas, proporciona alta disponibilidade e flexibilidade para se alcanar um centro de dados gil e dinmico. Nova arquitetura de virtualizao de dispositivos. A Virtualizao do Windows Server oferece uma nova arquitetura virtualizada de E/S. Isso d aos clientes um alto desempenho e baixo overhead. Manipulao offline de VHD. A Virtualizao do Windows Server oferece aos administradores a capacidade de acessar em segurana arquivos dento de um VHD sem ter de criar uma instncia de mquina virtual. Isso d aos administradores acesso granular a VHDs e a capacidade de realizar algumas tarefas de gerenciamento offline.
System Center Virtual Machine Manager

Como parte da famlia System Center de produtos de gerenciamento, o System Center Virtual Machine Manager facilita o gerenciamento de mquinas virtuais Windows. O System Center Virtual Machine Manager permite uma utilizao aumentada de servidor fsico permitindo consolidao simples e rpida de infra-estrutura virtual com identificao integrada de candidato de consolidao, P2V rpida, e disposio inteligente da carga de trabalho com base no conhecimento de desempenho e diretivas comerciais definidas pelo usurio. O System Center Virtual Machine Manager possibilita o rpido aprovisionamento de novas mquinas virtuais pelo administrador e usurios finais usando uma ferramenta de aprovisionamento de auto-atendimento. O System Center Virtual Machine Manager um membro estreitamente integrado da famlia de produtos de gerenciamento System Center.
Cenrios de Uso
O System Center Virtual Machine Manager oferece suporte simples e completo para consolidar hardware em infra-estrutura virtual e otimizar a utilizao. Ele tambm proporciona rpido aprovisionamento de mquinas virtuais a partir de mquinas fsicas ou modelos na biblioteca de imagens ou por usurios finais. Consolidao de servidor de produo. medida que as organizaes buscam consolidar seus servidores de produo, o System Center Virtual Machine Manager oferece uma maneira de transferir o conhecimento sobre o sistema e o ambiente atravs do processo de virtualizao e ajuda a manter a continuidade do conhecimento. Pela consolidao de vrios servidores de produo com o Virtual Server 2005 R2 ou Virtualizao do Windows Server, as empresas reduzem o
30
custo total de propriedade geral e ainda mantm um framework unificado de gerenciamento em seus ambientes fsico e virtual. Aumento da agilidade operacional. Empresas em todos os segmentos procuram maneiras de aumentar a eficincia atravs de seus ambientes de TI e aumentar a agilidade operacional. O System Center Virtual Machine Manager oferece um mecanismo para permitir funcionalidade como rpido aprovisionamento de servidor, rpida recuperao, e capacidade de migrao escalonvel para tornar toda a infra-estrutura virtual robusta e fcil de gerenciar. Gerenciamento integrado. O System Center Virtual Machine Manager ajuda a criar uma infra-estrutura de gerenciamento centralizado de mquina virtual em mltiplos sistemas host do Virtual Server 2005 R2 e de hosts da Virtualizao do Windows Server. Organizaes esto adotando a virtualizao nas reas de produo, teste e desenvolvimento, e conforme os recursos de gerenciamento se sofisticam, ela ajuda os administradores a implantar e gerenciar ambientes virtuais e fsicos em uma abordagem integrada.
Principais Recursos
O System Center Virtual Machine Manager se concentra em requisitos nicos de mquinas virtuais e projetado para permitir utilizao aumentada de servidor fsico, gerenciamento centralizado de infra-estrutura de mquina virtual e rpido aprovisionamento de novas mquinas virtuais. Os seguintes so alguns dos recursos principais do System Center Virtual Machine Manager. Identificao de candidato a consolidao. O primeiro passo na migrao de um centro de dados fsico com um modelo de uma carga de trabalho por servidor identificar as cargas de trabalho fsicas apropriadas para consolidao no hardware virtual. Os fatores de deciso para determinar os candidatos adequados se baseiam em vrios fatores, como desempenho histrico, caractersticas de pico de carga e padres de acesso. O System Center Virtual Machine Manager utiliza os dados histricos de desempenho existentes no banco de dados do System Center Operations Manager para listar os candidatos a consolidao em ordem de classificao.
31
Disposio inteligente. O ato de designar e ativar uma determinada carga de trabalho virtual em um servidor de host virtual fsico citado como disposio. A disposio est no mago de maximizar a utilizao de ativos fsicos. O System Center Virtual Machine Virtual Machine Manager: Centralized management view Manager traz uma abordagem profunda e holstica disposio e combina o conhecimento de dados histricos de desempenho da carga de trabalho e as informaes sobre o sistema de host virtual. Regras comerciais e modelos associados tambm so utilizadas pelo System Center Virtual Machine Manager para determinar as opes de disposio. Aprovisionamento de host. O System Center Virtual Machine Manager identifica os hosts virtuais fsicos na empresa atravs de descoberta integrada com o Active Directory. Isso ajuda as organizaes a escalar facilmente o gerenciamento de mquinas e hosts virtuais no centro de dados e escritrios remotos. Biblioteca central. O System Center Virtual Machine Manager oferece um repositrio central para todos os blocos de construo para uma mquina virtual como VHDs, mquinas virtuais offline, modelos e at mesmo imagens ISO. Cada item da biblioteca possui modelos ou ricos metadados que permitem um gerenciamento mais controlado dos objetos. O modelo um novo objeto que permite ao administrador criar configuraes de mquina virtual aprovadas que servem como um padro ouro para subseqentes implantaes de mquinas virtuais. Aprovisionamento de auto-atendimento. A infra-estrutura virtual comumente usada em ambientes de teste e desenvolvimento em que h aprovisionamento coerente e desmontagem de mquinas virtuais para fins de teste. Com o System Center Virtual Machine Manager, os administradores podem estender seletivamente os recursos de autoaprovisionamento a grupos de usurios e ser capazes de
32
definir cotas. A ferramenta de aprovisionamento automtico gerencia as mquinas virtuais atravs de seus ciclos de vida, incluindo desmontagens.
33
2.03 Ncleo do Servidor

No Windows Server Longhorn, os administradores agora podem escolher instalar um ambiente mnimo que evita carga extra. Embora esta opo limite as funes que podem ser executadas pelo servidor, pode aumentar a segurana e reduzir o gerenciamento. Esse tipo de instalao chamado de instalao do Ncleo do Servidor. Para mais informaes sobre o Ncleo do Servidor, consulte a seo 7.05 Ncleo do Servidor na pgina 242.
Para saber mais, consulte 7.05 Ncleo do Servidor (Server Core) na pgina 242.
34
Seo 3: Acesso Centralizado a Aplicaes

35
3.01 Introduo ao Acesso Centralizado a Aplicaes

Este cenrio enfoca a centralizao de acesso a aplicaes a aplicaes comerciais com os Servios de Terminal (Terminal Services). Os Servios de Terminal possibilitam aos usurios estabelecer um sistema centralizado que lhes permite fornecer acesso rpida e seguramente a aplicaes baseadas em Windows a partir de qualquer local conectado por rede. Clientes podem fornecer essa funcionalidade usando uma variedade de clientes, inclusive PCs baseados em Windows, clientes finos baseados em Windows ou dispositivos baseados em Windows Mobile. Quando os usurios executam uma aplicao com os Servios de Terminal, a execuo da aplicao se d no servidor, e somente informaes de teclado, mouse e monitor so transmitidas pela rede Os usurios podem apenas ver suas sesses individuais, gerenciadas de maneira transparente pelo sistema operacional do servidor, e permanecem independentes de qualquer outra sesso de cliente.

As principais propostas de valor que o acesso centralizado a aplicaes possibilita so: Fornecer acesso centralizado a aplicaes comerciais na LAN ou pela Internet. Eliminar o risco de perda de dados de laptops usando acesso remoto seguro a aplicaes e dados localizados centralmente. Reduzir os custos de gerenciamento atravs da eliminao da necessidade de servidores de aplicaes em locais distribudos. Oferecer acesso seguro a aplicaes sem a necessidade de permitir acesso total rede atravs de VPN ou outros mecanismos. Consolidar os Servios de Terminal existentes usando tecnologia x64. Melhorar a produtividade do usurio final com integrao contnua de aplicaes baseadas no local e nos Servios de Terminal no cliente local.

A seguir est um requisito adicional de: Firewall baseado em hardware ou software (ou outro dispositivo de segurana de borda) para ser colocado entre o Gateway de Servios de Terminal e a Internet.
36
3.02 Funcionalidade Bsica de Servios de Terminal

Para o Windows Server Longhorn, os Servios de Terminal incluem nova funcionalidade bsica que melhora a experincia do usurio final quando se conecta remotamente a um servidor de terminal do Windows Server Longhorn. A nova funcionalidade bsica nos Servios de Terminal ser interessante para organizaes que atualmente usam ou tm a inteno de usar os Servios de Terminal. Os Servios de Terminal fornecem tecnologias que permitem o acesso, a partir de qualquer dispositivo de computao, a um servidor executando programas baseados em Windows ou rea de trabalho Windows plena. Os usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede nele. Para o Windows Server Longhorn, voc pode se interessar na nova funcionalidade bsica nos Servios de Terminal se usar um dos seguintes hardwares: Dispositivos portteis baseados em Windows Microsoft Point of Service para dispositivos Microsoft .NET Monitores que suportem resolues mais altas, como 1680x1050 ou 1920x1200 Vrios monitores
Voc tambm pode se interessar na nova funcionalidade bsica nos Servios de Terminal se quiser dar suporte a qualquer dos seguintes cenrios: Fazer usurios se conectarem a um servidor de terminal e fazer o computador remoto se parecer mais com a experincia da rea de trabalho Windows Vista local do usurio. Garantir que os dados de monitor, teclado e mouse passados atravs de uma conexo remota no sejam afetados de maneira adversa por aes que exijam muita largura de banda, como grandes tarefas de impresso. Permitir que usurios com uma conta de domnio efetuem o logon uma vez, usando uma senha ou smart card, e ento obtenham acesso a um servidor de terminal sem a necessidade de apresentar as credenciais novamente.
Para tirar proveito da nova funcionalidade bsica de Servios de Terminal, voc vai precisar usar o seguinte: Conexo de rea de trabalho Remota 6.0 Windows Server Longhorn configurado como servidor de terminal
Em alguns casos, ser necessrio tambm usar o Windows Vista.
37
Conexo de rea de Trabalho Remota 6.0

A Conexo de rea de trabalho Remota 6.0 est disponvel com o Windows Vista e com o Windows Server Longhorn. O software da Conexo de rea de trabalho Remota 6.0 tambm est disponvel para uso no Microsoft Windows Server 2003 com Service Pack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usar quaisquer novos recursos de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao na Central de Downloads Microsoft http://go.microsoft.com/fwlink/?LinkId=79373.
Redirecionamento de Dispositivos Plug and Play para Media Players e Cmeras Digitais
No Windows Server Longhorn, o redirecionamento foi aperfeioado e expandido. Agora voc pode redirecionar dispositivos portteis baseados em Windows, especificamente media players baseados no Protocolo MTP (Media Transfer Protocol) e cmeras digitais baseadas no Protocolo de Transferncia de Imagem (PTP - Picture Transfer Protocol). Para redirecionar dispositivos Plug and Play 1. Abra a Conexo de rea de trabalho Remota. Para abrir a Conexo de rea de trabalho Remota no Microsoft Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Resources, clique em More. 4. Em Local devices and resources, expanda Supported Plug and Play devices. Os dispositivos Plug and Play atualmente ligados e suportados para redirecionamento sero exibidos nesta lista. Se o dispositivo que voc ligou no aparecer na lista, ele no suportado atualmente para redirecionamento. Verifique o manual do dispositivo para ver se ele suporta o MTP ou PTP. 5. Escolha o dispositivo que deseja redirecionar assinalando a caixa de seleo prxima ao nome do dispositivo. 6. Voc tambm pode redirecionar dispositivos que ainda no foram ligados, mas que sero posteriormente quando uma sesso a um computador estiver ativa. Para tornar os dispositivos Plug and Play que voc ligar mais tarde disponveis para redirecionamento, assinale a caixa de seleo Devices that I plug in later.
38
Nota Voc tambm pode redirecionar unidades de disco que sero conectadas depois de uma sesso para um computador remoto que esteja ativo. Para tornar uma unidade de disco a que voc se conectar mais tarde disponvel para redirecionamento, expanda Drives, e em seguida assinale a caixa de seleo Drives that I connect to later. 7. Clique em OK, e conecte-se ao computador remoto. O arquivo (.rdp) do Protocolo de rea de trabalho Remota (Remote Desktop Protocol) criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivo Plug and Play. Para mais informaes sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o Windows Server Longhorn TS RemoteApp e o TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609). Quando a sesso para o computador remoto lanada, voc deve ver o dispositivo Plug and Play que redirecionado ser instalado automaticamente no computador remoto. Notificaes do Plug and Play aparecero na barra de tarefas no computador remoto. Se voc tiver assinalado a caixa de seleo Drives that I connect to later na Conexo de rea de trabalho Remota (Remote Desktop Connection), deve ver o dispositivo Plug and Play ser instalado no computador remoto quando lig-lo em seu computador local enquanto a sesso para o computador remoto estiver ativa. Depois que o dispositivo Plug and Play instalado no computador remoto, ele fica disponvel para uso em sua sesso com o computador remoto. Por exemplo, se voc redirecionar um dispositivo porttil baseado em Windows como uma cmera digital, o dispositivo pode ser acessado diretamente a partir de uma aplicao como o Assistente de Cmera e Scanner no computador remoto. O redirecionamento de dispositivo Plug and Play no suportado em conexes em cascata de servidor de terminal. Por exemplo, se voc tiver um dispositivo Plug and Play ligado a seu computador cliente local, pode redirecionar e usar esse dispositivo quando se conectar a um servidor de terminal (Server1, por exemplo). Se, de dentro de sua sesso remota no Server1, voc ento se conectar a outro servidor de terminal (Server2, por exemplo), no ser capaz de redirecionar e usar o dispositivo Plug and Play em sua sesso remota com o Server2. Voc pode controlar o redirecionamento de dispositivos Plug and Play usando qualquer das seguintes configuraes de Diretiva de Grupo:
39
Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definio de diretiva de Do not allow supported Plug and Play device redirection Computer Configuration\Administrative Templates\System\Device Installation\ definio de diretiva de Device Installation Restrictions
Voc tambm pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc).
Redirecionamento de Dispositivo Microsoft Point of Services for .NET

No Windows Server Longhorn voc tambm pode redirecionar dispositivos que usam o Microsoft Point of Service (POS) for .NET 1.1. Importante O redirecionamento de dispositivo Microsoft POS for .NET somente suportado se o servidor de terminal estiver executando uma verso baseada em x86 do Windows Server Longhorn. Voc pode fazer o download do Microsoft POS for .NET 1.1 na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?linkid=66169).
Configurando um Servidor de Terminal

Para implementar o Microsoft POS for .NET 1.1 em seu servidor de terminal, faa o seguinte: 1. Instale o Microsoft POS for .NET 1.1. 2. Instale os objetos ou arquivos XML de configurao do servio. NET para o dispositivo do Microsoft POS for .NET. Os objetos de servio do dispositivo ou arquivos XML de configurao geralmente so fornecidos pelo fabricante do dispositivo e so escritos para trabalhar com o POS for .NET usando o SDK (Software Development Kit) do Microsoft POS for .NET 1.1. Voc pode instalar os objetos de servio do dispositivo ou arquivos XML de configurao atravs do software padro de instalao que acompanha o dispositivo. Para instrues de instalao do dispositivo Microsoft POS for .NET especfico que voc estiver usando, consulte o manual do dispositivo. 3. Depois de instalar os objetos de servio do dispositivo ou os arquivos XML de configurao para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal, voc precisa parar e iniciar o servio
40
Redirecionador de Porta UserMode de Servios de Terminal. Para reiniciar o servio, siga esses passos: a. Abra o snap-in Servios. Para abri-lo, clique em Start, aponte para Administrative Tools, e ento clique em Services. b. Na caixa de dilogo Services,na coluna Name, clique com o boto direito em Terminal Services UserMode Port Redirector, e em seguida clique em Restart. Nota Reinicie o Redirecionador de Porta UserMode de Servios de Terminal (Terminal Services UserMode Port Redirector) somente depois de ter instalado os objetos de servio do servidor ou os arquivos XML de configurao para todos os dispositivos Microsoft POS for .NET que estiver suportando no servidor de terminal. Se voc instalar posteriormente um novo objeto de servio do servidor ou arquivo XML de configurao em seu servidor de terminal para um dispositivo Microsoft POS for .NET, precisar reiniciar o servio Redirecionador de Porta UserMode de Servios de Terminal (Terminal Services UserMode Port Redirector).
Configurando um Arquivo de Protocolo de rea de trabalho Remota

Os dispositivos do Microsoft POS for .NET, por padro, no esto listados em Local devices and resources na guia Local Resources na Conexo de rea de trabalho Remota. Portanto, para permitir o redirecionamento de dispositivos do Microsoft POS for .NET, voc precisa editar o arquivo (.rdp) do Protocolo de rea de trabalho Remota (Remote Desktop Protocol) que voc usa para conectar-se ao servidor de terminal. Para ativar o redirecionamento de dispositivos do Microsoft POS for .NET em um arquivo .rdp, faa o seguinte Abra o arquivo .rdp no editor de texto. Adicione ou altere a seguinte configurao: redirectposdevices:i:<value> o o Se <value> = 0, o redirecionamento de dispositivos do Microsoft POS for .NET est desabilitado. Se <value> = 1, o redirecionamento de dispositivos do Microsoft POS for .NET est ativado.
Para mais informaes sobre as configuraes de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Nota
41
O arquivo .rdp criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivos do Microsoft POS for .NET. Para mais informaes sobre o RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para acessar esse guia, visite o TechCenter do Windows Server Longhorn TS RemoteApp e o TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).
Usando Dispositivos Microsoft POS for .NET

Depois de ter implementado o Microsoft POS for .NET 1.1 em seu servidor de terminal e de ter ativado o redirecionamento de dispositivos do Microsoft POS for .NET em seu arquivo .rdp, conecte seu dispositivo do Microsoft POS for .NET e em seguida conecte-se ao computador remoto usando o arquivo .rdp modificado. Depois de se conectar ao computador remoto, voc deve ver o dispositivo do Microsoft POS for .NET redirecionado ser instalado automaticamente no computador remoto. Notificaes do Plug and Play aparecero na barra de tarefas do computador remoto. Depois que o dispositivo do Microsoft POS for .NET instalado no computador remoto, qualquer aplicao do Microsoft POS for .NET residindo no servidor de terminal pode acessar o dispositivo do Microsoft POS for .NET como se este estivesse disponvel localmente. H uma aplicao de amostra no SDK do POS for .NET 1.1 que voc pode usar para testar o acesso e a funcionalidade do dispositivo do Microsoft POS for .NET redirecionado. A aplicao de amostra chamada ccltestapp.exe e pode ser encontrada na pasta \SDK\Exemplos\Exemplo de Aplicao (\SDK\Samples\Sample Application) na pasta onde voc instalou o POS for .NET. Voc pode controlar o redirecionamento de dispositivos do Microsoft POS for .NET usando as seguintes configuraes de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definio de diretiva de Do not allow supported Plug and Play device redirection Computer Configuration\Administrative Templates\System\Device Installation\ definio de diretiva de Device Installation Restrictions
Voc tambm pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc).
Exibio de Conexo de rea de trabalho Remota

O software Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0) acrescenta suporte para estaes de trabalho de resoluo mais alta e abrangendo mltiplos monitores horizontalmente para formar uma nica grande rea de trabalho.
42
Alm disso, priorizao experincia servidor de
o recurso Experincia Desktop e as configuraes de de dados de exibio so projetados para aumentar a do usurio final quando se conecta remotamente a um terminal do Windows Server Longhorn.
Resolues de Exibio Personalizadas

A resoluo de exibio personalizada oferece suporte para propores adicionais de exibio, como 16:9 ou 16:10. Por exemplo, monitores mais novos com resolues de 1680x1050 ou 1920x1200 agora so suportados. A resoluo mxima suportada 4096x2048. Nota Anteriormente, somente propores de resoluo de 4:3 eram suportadas, e a resoluo mxima suportada era 1600x1200. Voc pode definir uma resoluo de exibio personalizada em um arquivo .rdp ou a partir de um prompt de comando. Para definir uma resoluo de exibio personalizada em um arquivo .rdp, faa o seguinte: Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configuraes: desktopwidth:i:<value> desktopheight:i:<value> Onde <value> a resoluo, como 1680 ou 1050. Nota Para mais informaes sobre as configuraes de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Para definir uma resoluo de exibio personalizada a partir de um prompt de comando, faa o seguinte: No prompt de comando, use o comando mstsc.exe com a seguinte sintaxe, e em seguida pressione ENTER. mstsc.exe /w:<width> /h:<height>
Abrangncia do Monitor
A abrangncia de monitores permite que voc exiba sua sesso de rea de trabalho remota atravs de vrios monitores. Os monitores usados para a abrangncia de monitores devem satisfazer os seguintes requisitos: Todos os monitores devem usar a mesma resoluo. Por exemplo, dois monitores usando resoluo 1024x768 podem ser
43
abrangidos. Mas um monitor em 1024x768 e outro em 800x600 no podem ser abrangidos. Todos os monitores devem estar alinhados horizontalmente (isto , lado a lado). Atualmente no h suporte para abranger mltiplos monitores verticalmente no sistema cliente. A resoluo total ao longo de todos os monitores no pode exceder 4096x2048.
Voc pode ativar a abrangncia de monitores em um arquivo .rdp ou a partir de um prompt de comando. Para ativar a abrangncia de monitores em um arquivo .rdp, faa o seguinte: Abra o arquivo Abra o arquivo .rdp em um editor de texto. Adicione ou altere as seguintes configuraes: Span:i:<value> o o Se <value> = 0, a abrangncia de monitores est desabilitada. Se <value> = 1, a abrangncia de monitores est ativada.
Nota Para mais informaes sobre as configuraes de arquivo .rdp, consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?linkid=66168). Para ativar a abrangncia de monitores a partir de um prompt de comando, faa o seguinte: No prompt de comando, digite o seguinte comando, e em seguida pressione ENTER. mstsc.exe /span
Experincia Desktop
O software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0) reproduz a rea de trabalho que existe no computador remoto no computador cliente do usurio. Para fazer o computador remoto se parecer com a Experincia Desktop do Windows Vista local do usurio, voc pode instalar o recurso de Experincia Desktop em seu servidor de terminal do Windows Server Longhorn. A Experincia Desktop instala recursos do Windows Vista, como o Windows Media Player 11, temas de rea de trabalho, e gerenciamento de fotos. Para implementar o Microsoft POS for .NET 1.1 em seu servidor de terminal, faa o seguinte:
44
1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na pgina Select Features, assinale a caixa de seleo Desktop Experience, e em seguida clique em Next. 4. Na pgina Confirm Installation Options, certifique-se de que o recurso Experincia Desktop ser instalado, e em seguida clique em Install. 5. Na pgina Installation Results, voc instrudo a reiniciar o servidor para concluir o processo de instalao. Clique em Close, e em seguida clique em Yes para reiniciar o servidor. 6. Depois que o servidor reiniciar, confirme que a Experincia Desktop est instalada. a. Inicie o Gerenciador de Servidor. b. Em Features Summary, confirme que a Experincia Desktop est listada como instalada.
Composio de rea de trabalho

O Windows Vista oferece uma experincia visualmente dinmica chamada Windows Aero. O Windows Aero oferece recursos como estes: Janelas transparentes Botes de barra de tarefas com visualizaes de janela em tamanho miniatura Uma vista de suas janelas abertas em um stack tridimensional em sua rea de trabalho Nota Para mais informaes sobre os recursos do Windows Aero, consulte o Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741). Um servidor de terminal Windows Server Longhorn pode ser configurado para fornecer recursos do Windows Aero quando um computador cliente do Windows Vista se conecta ao servidor de terminal Windows Server Longhorn usando Conexo de rea de trabalho Remota. Esta funcionalidade mencionada como composio de rea de trabalho. Nota Para que o computador cliente do Windows Vista use a composio de rea de trabalho em uma conexo de rea de
45
trabalho remota com um servidor de terminal do Windows Server Longhorn, o computador cliente do Windows Vista deve ter hardware instalado capaz de suportar o Windows Aero. Contudo, o servidor de terminal Windows Server Longhorn no precisa ter hardware instalado capaz de suportar o Windows Aero. Para configurar a composio de rea de trabalho para conexes de estaes de trabalho remotas em seu servidor de terminal, faa o seguinte: 1. Instale o recurso Experincia Desktop. 2. Configure o tema: a. Iniciando o servio de Temas b. Definindo o tema em Windows Vista 3. Ajuste as configuraes de: a. Cor e Aparncia das janelas b. Configuraes de Exibio c. Facilidade de Acesso d. Mxima Profundidade de Cor Para iniciar o servio de Temas em seu servidor de terminal, faa o seguinte: 1. Cliquem em Start, aponte para Administrative Tools, e em seguida clique em Services. 2. No painel de Services, clique com o boto direito em Themes, e em seguida clique em Properties. 3. Na guia General, mude o Startup type para Automatic, e em seguida clique em Apply. 4. Em Service status, clique em Start para iniciar o servio de Temas, e em seguida clique em OK. Para definir o tema em Windows Vista em seu servidor de terminal, faa o seguinte: 1. Clique em Start, clique em Control Panel, e em seguida clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida cliquem em Theme.
46
3. Na guia Themes, altere o Theme for Windows Vista, e em seguida clique em OK. O sistema operacional determinar se o computador possui o hardware necessrio para suportar e exibir os recursos do tema do Windows Vista. Mesmo que o hardware no servidor de terminal Windows Server Longhorn no suporte o tema do Windows Vista, ele ser exibido na conexo de rea de trabalho remota se o hardware do computador cliente o suportar.
Ajustando Configuraes Adicionais

Para assegurar que a composio de rea de trabalho oferea a funcionalidade desejada durante conexes de estaes de trabalho remotas, existem configuraes adicionais que precisam ser configuradas no servidor de terminal do Windows Server Longhorn. Para fazer esses ajustes, siga este procedimento. Para configurar configuraes adicionais em seu servidor de terminal, faa o seguinte: 1. Clique em Start, clique em Control Panel, e ento clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida clique em Window Color and Appearance. 3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleo Show window contents while dragging. 4. Para salvar a configurao, clique em OK, e em seguida clique em OK novamente para fechar a caixa de dilogo Appearance. 5. Clique em Display Settings. Na guia Monitor, na lista de Colors, clique em Highest (32 bits), e em seguida clique em OK. 6. No painel esquerda, em Access. See also, clique em Ease of
7. Em Explore all settings, clique em Make it easier to focus on tasks. 8. Em Adjust time limits and flashing visuals, apague a marca na caixa de seleo Turn off all unnecessary animations (when possible). 9. Clique em Save. Alm disso, o servidor de terminal deve ser configurado para suportar uma profundidade mxima de cor de 323 bits por pixel
47
(bpp) para conexes remotas. A profundidade mxima de cor pode ser configurada usando-se um dos mtodos a seguir: Definindo a Limit Maximum Color Depth na guia Client Settings na ferramenta de Configurao de Servios de Terminal (tsconfig.msc) Ativando Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Remote Session Environment\Limit maximum color depth como a definio de diretiva
Note que a definio de Diretiva de Grupo ter prioridade sobre a definio na ferramenta de Configurao de Servios de Terminal.
Configurao de Cliente
Para tornar a composio de rea de trabalho disponvel para uma conexo de rea de trabalho remota, siga este procedimento. Para tornar uma composio de rea de trabalho disponvel, faa o seguinte: 1. Abra a Conexo de rea de trabalho Remota (Remote Desktop Connection). Para abrir a Conexo de rea de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleo Desktop composition, e assegure-se de que a caixa de seleo Themes esteja assinalada. 4. Configure quaisquer configuraes restantes, e em seguida clique em Connect. Quando voc permite a composio de rea de trabalho, est especificando que as configuraes locais no computador cliente do Windows Vista ajudaro a determinar a experincia do usurio na conexo de rea de trabalho remota. Note que ao permitir a composio de rea de trabalho, voc no muda as configuraes do servidor de terminal do Windows Server Longhorn. Como o Windows Aero requer e usa mais recursos de hardware, voc precisar determinar que impacto sobre a escalabilidade isso ter em quantas conexes simultneas de estaes de trabalho remotas que o seu servidor de terminal Windows Server Longhorn pode suportar.
Suavizao de Fonte
O Windows Server Longhorn suporta ClearType, que uma tecnologia para exibir fintes de computador de modo que elas
48
apaream claras e suaves, especialmente quando se usa um monitor de LCD. Um servidor de terminal Windows Server Longhorn pode ser configurado para oferecer funcionalidade ClearType quando um computador cliente se conecta a um servidor de terminal Windows Server Longhorn usando Conexo de rea de trabalho Remota. Esta funcionalidade chamada de suavizao de fonte. A suavizao de fonte est disponvel se o computador cliente estiver executando algum dos seguintes: Windows Vista Windows Server 2003 com SP1 e software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0) Windows XP com SP2 e software de Conexo de rea de trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Por padro, o ClearType est ativado no Windows Server Longhorn. Para garantir que o ClearType esteja ativado no servidor de terminal Windows Server Longhorn, siga este procedimento. Para garantir que o ClearType esteja ativado, faa o seguinte:
1. Clique em Start, clique em Control Panel, e ento clique em Appearance and Personalization. 2. Clique em Personalization, e em seguida clique em Cor e Window Color and Appearance. 3. Na guia Appearance, clique em Effects, e em seguida assinale a caixa de seleo Use the following method to smooth edges of screen fonts, selecione ClearType, e em seguida clique em OK. Para tornar a suavizao de fontes disponvel para uma conexo de rea de trabalho remota, siga este procedimento no computador cliente. Para tornar a suavizao de fontes disponvel, faa o seguinte: 1. Abra a Remote Desktop Connection. Para abrir a Conexo de rea de trabalho Remota no Windows Vista, clique em Start, aponte para All Programs, clique em Accessories, e em seguida clique em Remote Desktop Connection. 2. Na caixa de dilogo Remote Desktop Connection, clique em Options. 3. Na guia Experience, assinale a caixa de seleo Font smoothing.
49
4. Configure quaisquer configuraes de conexo restantes, e em seguida clique em Connect. Quando voc permite a suavizao de fonte, est especificando que as configuraes locais no computador cliente ajudaro a determinar a experincia do usurio na conexo de rea de trabalho remota. Note que ao permitir a suavizao de fonte, voc no muda as configuraes do servidor de terminal do Windows Server Longhorn. Usar a suavizao de fonte em uma conexo de rea de trabalho remota aumenta a quantidade de largura de banda usada entre o computador cliente e o servidor de terminal Windows Server Longhorn.
Priorizao de Dados de Exibio

A priorizao de dados de exibio controla automaticamente o trfego do canal virtual para que os dados do monitor, teclado e mouse recebam maior prioridade que os outros, como impresses ou transferncias de arquivos. Essa priorizao projetada para garantir que o desempenho de sua janela no seja afetado de maneira adversa por aes de consumo intensivo de largura de banda, como grandes tarefas de impresso. A proporo padro de largura de banda 70:30. Dados de exibio e entrada tero alocados 70 por cento da largura de banda, e todo o trfego restante, como rea de transferncia, transferncia de arquivos ou tarefas de impresso, recebero 30 por cento da largura de banda. Voc pode ajudar as configuraes de priorizao dos dados de exibio fazendo alteraes no registro do servidor de terminal. Voc pode alterar o valor das seguintes informaes na sub-chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD: FlowControlDisable FlowControlDisableBandwidth FlowControlChannelBandwidth FlowControlChargePostCompression
Se esses registros no aparecerem, voc pode adicion-los. Para fazer isso, clique com o boto direito do mouse em TermDD, aponte para Novo (New), e em seguida clique em DWORD (32-bit) Value. Voc pode desabilitar a priorizao dos dados de exibio definindo o valor de FlowControlDisable em 1. Se a priorizao dos dados de exibio estiver desabilitada, todas as solicitaes so tratadas em uma base primeiro a entrar, primeiro a sair. O valor padro para FlowControlDisable 0. Voc pode estabelecer a prioridade relativa de largura de banda para exibio (e dados de entrada) definindo o valor de FlowControlDisplayBandwidth. O valor padro 70; o valor mximo permitido 255.
50
Voc pode estabelecer a prioridade relativa de largura de banda para outros canais virtuais (como rea de transferncia, transferncias de arquivos ou tarefas de impresso) definindo o valor de FlowControlChannelBandwidth. O valor padro 30; o valor mximo permitido 255. A proporo de largura de banda para priorizao de dados de exibio se baseia nos valores de FlowControlDisplayBandwidth e FlowControlChannelBandwidth. Por exemplo, se FlowControlDisplayBandwidth estiver definido em 150 e FlowControlChannelBandwidth em 50, a proporo 150:50, assim a exibio e dados de entrada tero alocados 75 por cento da largura de banda. O valor FlowControlChargePostCompression determina se o controle de fluxo controlar a alocao de largura de banda com base em bytes de pr-compresso ou de ps-compresso. O valor padro 0, o que significa que o clculo ser feito em bytes pr-compresso. Se voc fizer alguma alterao nos valores do registro, precisar reiniciar o servidor de terminal para que as alteraes tenham efeito.
Logon nico
O logon nico um mtodo de autenticao que permite a um usurio com uma conta de domnio efetuar o logon uma nica vez, usando uma senha ou smart card, e ento obter acesso a servidores remotos sem precisar apresentar suas credenciais novamente. Os principais cenrios para o logon nico so esses: Implantao de aplicaes de gesto de negcios (LOB) Implantao centralizada de aplicao
Devido a custos mais baixos de manuteno, muitas companhias preferem instalar suas aplicaes de gesto de negcios em um servidor de terminal e tornar essas aplicaes disponveis atravs do RemoteApps ou da rea de trabalho Remota. O logon nico possibilita dar aos usurios uma melhor experincia eliminando a necessidade de eles digitarem suas credenciais sempre que iniciarem uma sesso remota.
Pr-requisitos para Implantar o Logon nico

Para implementar a funcionalidade de logon nico em Servios de Terminal, assegure-se de que satisfaz os seguintes requisitos: Voc pode usar o logon nico somente para conexes remotas de um computador baseado em Windows Vista para um servidor de terminal baseado no Windows Server Longhorn. Tambm pode usar o logon nico para conexes remotas entre dois servidores baseados no Windows Server Longhorn. Certifique-se de que as contas de usurio usadas para efetuar o logon possuem os direitos apropriados para se
51
registrar tanto no servidor de terminal como no cliente Windows Vista. Seu computador cliente e servidor de terminal devem ser ligados a um domnio.
Configurao Recomendada de um Servidor de Terminal ao Usar o Logon nico

Para definir as configuraes recomendadas para seu servidor de terminal, complete os passos a seguir: Configure a autenticao no servidor de terminal. Configure o computador baseado em Windows Vista para permitir que credenciais padro sejam usadas para efetuar o logon nos servidores de terminal especificados.
Para configurar a autenticao no servidor de terminal, faa o seguinte: 1. Abra a Configurao de Servios de Terminal (Terminal Services Configuration). Para abrir a Configurao de Servios de Terminal, clique em Start, clique em Run, digite tsconfig.msc e em seguida clique em OK. 2. Em Connections, clique com o boto direito do mouse em RDPTcp, e em seguida clique em Properties. 3. Na caixa de dilogo Properties, na guia General, certifique-se de que o valor da Security Layer seja Negotiate ou SSL (TLS 1.0), e em seguida clique em OK. Para permitir o uso de credencial padro para logon nico, faa o seguinte: 1. No computador baseado em Windows Vista, abra o Editor Objeto de Diretiva de Grupo (Group Policy Object Editor). Para abrir o Editor Objeto de Diretiva de Grupo, clique em Start, e na caixa Start Search digite gpedit.msc e em seguida pressione ENTER. 2. No painel esquerda, expanda o seguinte: Computer Configuration, Administrative Templates, System, e em seguida clique em Credentials Delegation. 3. D um clique duplo em Allow Delegating Default Credentials. 4. Na caixa de dilogo Properties, na guia Setting, clique em Enabled, e ento clique em Show. 5. Na caixa de dilogo Start Contents, clique em Add para adicionar servidores lista.
52
6. Na caixa de dilogo Add Item, na caixa Enter the item to be added, digite o prefixo termsrv/ seguido pelo nome do servidor de terminal, por exemplo, termsrv/Server1, e ento clique em OK.
53
3.03 Gateway de Servios de Terminal

O Gateway de Servios de Terminal (TS Gateway) um servio de funo na funo de servidor de Servios de Terminal que permite que usurios remotos autorizados se conectem a servidores de terminal e estaes de trabalho remotas (computadores remotos) em uma rede corporativa, a partir de qualquer dispositivo conectado Internet. O TS Gateway usa o Protocolo de rea de trabalho Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar uma conexo segura e criptografada entre usurios remotos na Internet e os computadores remotos nos quais suas aplicaes de produtividade so executadas. O TS Gateway foi introduzido na verso Beta 1 do Windows Server Longhorn. O TS Gateway oferece os seguintes benefcios: O TS Gateway possibilita a usurios remotos se conectarem rede corporativa a partir da Internet, atravs de uma conexo criptografada, sem precisar configurar conexes de VPN. O TS Gateway oferece um modelo abrangente de configurao de segurana que permite que voc controle o acesso a recursos especficos de rede (computadores). O TS Gateway permite aos usurios se conectarem remotamente a servidores de terminal e estaes de trabalho remotas hospedados atrs de firewalls em redes privadas e atravs de tradutores de endereo de rede (NATs). Antes dessa verso do Windows Server, medidas de segurana impediam que os usurios se conectassem a computadores remotos passando por firewalls e NATs. Isso porque a porta 3389, aquela usada para conexes de RDP, tipicamente bloqueada para fins de segurana de rede. O TS Gateway transmite o trfego de RDP para a porta 443, usando um tnel de Camada de Soquete Seguro/Segurana de Camada de Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer Security) de HTTP. Como a maioria das empresas abre a porta 443 para permitir a conectividade de Internet, o TS Gateway tira proveito desse projeto de rede para fornecer conectividade de acesso remoto atravs de vrios firewalls. O snap-in console do Gerenciador de TS Gateway permite que voc configure diretivas de autorizao para definir condies que devem ser satisfeitas para que os usurios se conectem a recursos de rede. Por exemplo, voc pode especificar o seguinte: o Quem pode se conectar a recursos da rede (em outras palavras, os grupos de usurios que podem se conectar). Esses grupos podem ser grupos existentes
54
em Usurios e Grupos Locais no servidor do TS Gateway, grupos existentes nos Servios de Domnio do Active Directory, ou grupos gerenciados novos ou existentes do TS Gateway. Grupos gerenciados pelo TS Gateway so aqueles que voc configura usando o Gerenciador do TS Gateway. o o o o Um ou mais recursos da rede aos quais os usurios podem se conectar Se computadores clientes tm de ser membros de domnios do Active Directory Se o redirecionamento de dispositivo ou disco permitido Se clientes precisam usar autenticao de smart card ou de senha, ou se podem usar qualquer dos mtodos
Voc pode configurar servidores de TS Gateway e clientes de Servios de Terminal para usar a NAP para melhorar ainda mais a segurana. A NAP uma tecnologia de criao, imposio e correo de diretiva de integridade que est includa no Windows Vista e Windows Server Longhorn. Com a NAP, administradores de sistema podem impor requisitos de integridade, que podem incluir requisitos de software, de atualizaes de segurana, configuraes de computador exigidas, e outras configuraes. Para informaes sobre como configurar o TS Gateway para usar a NAP para imposio de diretiva de integridade para clientes de Servios de Terminal que se conectam a servidores do TS Gateway, consulte o Guia Passo a Passo de Instalao do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
Voc pode usar o servidor de TS Gateway com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurana. Neste cenrio, voc pode hospedar servidores de TS Gateway em uma rede privada em vez de em uma rede de permetro (tambm conhecida como DMZ, zona desmilitarizada, e sub-rede de borda), e hospedar o ISA Server na rede de permetro. A conexo SSL entre o cliente de Servios de Terminal e o ISA Server pode ser encerrada no ISA Server, que encara a Internet. Para informaes sobre como configurar o ISA Server como um dispositivo de encerramento para cenrios de servidor do TS Gateway, consulte o Guia Passo a Passo de Instalao do Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
O console do snap-in Gerenciador de TS Gateway oferece ferramentas para ajudar voc a monitorar o status, de conexo, integridade e eventos do TS Gateway. Usando o Gerenciador do TS Gateway, voc pode especificar eventos
55
(como tentativas fracassadas de conexo com o servidor do TS Gateway) que quer monitorar para fins de auditoria. Se sua organizao torna aplicaes baseadas em Servios de Terminal e computadores que executam rea de trabalho Remota disponveis a usurios de fora do permetro de sua rede, o TS Gateway pode simplificar a administrao da rede e reduzir a exposio a riscos de segurana. O TS Gateway tambm pode facilitar as coisas para os usurios pois eles no precisam configurar conexes de VPN e podem acessar servidores de nextref_ts_gateway a partir de sites que podem, de outra forma, bloquear conexes de sada de RDP ou VPN. Voc deve analisar esta seo e a documentao adicional de suporte sobre o TS Gateway se estiver em qualquer dos seguintes grupos: Administradores de TI, planejadores e analistas que estejam avaliando acesso remoto e produtos de soluo de e mvel Arquitetos de TI corporativa e designers para organizaes early adopters Arquitetos de segurana responsveis pela implementao de computao confivel Profissionais de TI responsveis por servidores de terminal ou acesso remoto a estaes de trabalho
Para que o TS Gateway funcione corretamente, voc deve satisfazer esses pr-requisitos: Voc deve ter um servidor com o Windows Server Longhorn instalado. Deve ser membro do grupo de Administradores no computador que quer configurar como um servidor de TS Gateway. Os seguintes servios e recursos de funo devem estar instalados e em execuo para que o TS Gateway funcione: o o Chamada de procedimento remoto (RPC - remote procedure call) sobre servio de Proxy HTTP Web Server (IIS) (Internet Information Services 7.0). (O IIS 7.0 deve estar instalado e em execuo para que o servio de RPC sobre Proxy HTTP funcione.) Servio de Servidor de Diretiva de Rede (NPS Network Policy Server). Se um servidor de NPS anteriormente conhecido como servidor de Servio de Usurio de Discagem de Autenticao Remota (RADIUS Remote Authentication Dial-In User Service) j estiver implantado para cenrios de acesso remoto como VPN e rede discada, voc tambm pode usar o servidor de NPS existente para cenrio de TS Gateway. Usando o NPS para TS Gateway, voc pode centralizar o armazenamento, gerenciamento e validao das
56
diretivas de autorizao de conexo de Servios de Terminal (TS CAPs). Quando voc usa o Gerenciador de Servidor para instalar o servio de funo de TS Gateway, esses servios e recursos de funo adicionais so instalados automaticamente. Voc deve obter um certificado de SSL para o servidor de TS Gateway se j no tiver um. Por padro, no servidor de TS Gateway, o servio de Balanceamento de Carga RPC/HTTP e o servio de IIS usam TLS 1.0 para criptografar as comunicaes entre clientes e servidores do TS Gateway atravs da Internet. Para que o TLS funcione corretamente, voc deve instalar um certificado de SSL no servidor de TS Gateway. O certificado deve satisfazer esses requisitos: o O nome na linha Assunto (Subject) do certificado do servidor (nome do certificado, ou CN) deve corresponder ao nome configurado no servidor de TS Gateway. O certificado um certificado de computador. O fim pretendido do certificado autenticao de servidor. O Uso Estendido de Chave (EKU - Extended Key Usage) Autenticao de Servidor (1.3.6.1.5.5.7.3.1). O certificado tem uma chave privada correspondente. O certificado no expirou. Recomendamos que o certificado seja vlido por um ano a partir da data de instalao. Um identificador de objeto de certificado (tambm conhecido como OID) de 2.5.29.15 no exigido. Contudo, se o certificado que voc planeja usar contiver um identificador de objeto de 2.5.29.15, voc poder usar o certificado somente se pelo menos um dos seguintes valores de uso de chave tambm estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE, e CERT_DATA_ENCIPHERMENT_KEY_USAGE.
o o
o o
Para mais informaes sobre esses valores, consulte Registro e Gerenciamento Avanados de Certificados (http://go.microsoft.com/fwlink/?LinkID=74577). Para mais informaes sobre requisitos de certificados para o TS Gateway e como obter e instalar um certificado se voc ainda no tiver um, consulte o Guia Passo a Passo de Instalao do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605). Alm disso, tenha em mente as seguintes consideraes:
57
O TS Gateway transmite todo o trfego de RDP (que tipicamente teria sido enviado pela porta 3389) para a porta 443 usando um tnel de HTTPS. Isso tambm significa que todo o trfego entre o cliente e o TS Gateway criptografado enquanto em trnsito pela Internet. Voc deve analisar esse tpico e a documentao adicional de suporte do TS Gateway, inclusive o Guia Passo a Passo de Instalao do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605). Voc deve se preparar para comprar um certificado SSL, ou para emitir um a partir de sua prpria autoridade de certificao (CA). Deve se familiarizar com os protocolos TLS e SSL se ainda no os conhecer.
O TS Gateway oferece os seguintes novos recursos para simplificar a administrao e melhorar a segurana.
TS CAPs
As diretivas de autorizao de conexo dos Servios e Terminal (TS CAPs) permitem que voc especifique grupos de usurios, e opcionalmente, grupos de computadores, que podem acessar um servidor de TS Gateway. Voc pode criar um TS CAP usando o Gerenciador de TS Gateway. As TS CAPs simplificam a administrao e aumentam a segurana oferecendo um maior nvel de controle sobre o acesso a computadores remotos em sua rede corporativa. As TS CAPs permitem que voc especifique quem pode ser conectar a um servidor de TS Gateway. Voc pode especificar um grupo de usurios que existe no servidor de TS Gateway local ou nos Servios de Domnio do Active Directory. Voc tambm pode especificar outras condies que os usurios devem satisfazer para acessar um servidor de TS Gateway. Pode listar condies especficas em cada TS CAP. Por exemplo, voc pode exigir que um usurio use um smart card para se conectar atravs do TS Gateway. Os usurios recebem acesso a um servidor de TS Gateway se atenderem as condies especificadas na TS CAP. Importante Voc tambm deve criar uma diretiva de autorizao de recurso de Servios de Terminal (TS RAP). Uma TS RAP permite que voc especifique os recursos de rede aos quais os usurios podem se conectar atravs do TS Gateway. At voc criar uma TS CAP e uma TS RAP, os usurios no podem se conectar a recursos de rede atravs desse servidor de TS Gateway.
Grupos de Computadores Associados com TS RAPs
58
Os usurios podem se conectar atravs do TS Gateway a recursos de rede em um grupo de computadores. O grupo de computadores pode ser qualquer um dos seguintes: Membros de um grupo do Windows existente: O grupo do Windows pode existir em Usurios e Grupos Locais no servidor de TS Gateway, ou pode existir nos Servios de Domnio do Active Directory. Membros de um grupo de computadores gerenciado pelo TS Gateway ou um novo grupo gerenciado pelo TS Gateway que voc criar: Voc pode adicionar os computadores aos quais queira fornecer acesso de usurio no grupo de computadores gerenciado pelo TS Gateway usando o Gerenciador de TS Gateway. Qualquer recurso de rede: Neste caso, os usurios podem se conectar a qualquer computador na rede a que podem se conectar quando usam a rea de trabalho Remota.
Para garantir que os usurios apropriados tenham acesso a recursos de rede adequados, planeje e crie grupos de computadores cuidadosamente. Avalie os usurios que devem ter acesso a cada agrupo de computadores, e ento associe os grupos de computadores com as TS RAPs para conceder acesso aos usurios conforme necessrio.
TS RAPs
As TS RAPs permitem que voc especifique os recursos de rede aos quais os usurios podem se conectar atravs de um servidor de TS Gateway. Quando voc cria uma TS RAP, pode criar um grupo de computadores e associ-lo com a TS RAP. Usurios conectando-se rede atravs do TS Gateway recebem acesso a computadores remotos na rede corporativa se satisfizerem as condies especificadas em pelo menos uma TS CAP e uma TS RAP. Nota Usurios de clientes podem especificar um nome de NetBIOS ou um nome de domnio completamente qualificado (FQDN fully qualified domain name) para o computador remoto que querem acessar atravs do servidor de TS Gateway. Para suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP para cada nome de computador possvel. Juntas, as TS CAPs e TS RAPs oferecem dois nveis diferentes de autorizao para dar a voc a capacidade de configurar um nvel mais especfico de controle de acesso a recursos de redes corporativas.
Capacidades de Monitoramento
Voc pode usar o Gerenciador de TS Gateway para visualizar informaes sobre conexes ativas de clientes de Servios de
59
Terminal com recursos de rede atravs do TS Gateway. Essas informaes incluem o seguinte: O domnio e ID de usurio do usurio que efetuou logon no cliente O endereo IP do cliente Nota Se sua configurao de rede inclui servidores Proxy, o endereo IP que aparece na coluna Client IP Address (no painel de detalhes Monitoring) pode refletir o endereo IP do servidor Proxy, e no o endereo IP do cliente de Servios de Terminal. O nome do computador de destino ao qual o cliente est conectado A porta de destino atravs da qual o cliente est conectado A data e hora em que a conexo foi iniciada O tempo que a conexo est inativa, se aplicvel
Voc tambm pode especificar os tipos de eventos que quer monitorar, como tentativas bem sucedidas e fracassadas de conexo a recursos internos de rede atravs de um servidor de TS Gateway. Quando esses eventos ocorrem, voc pode monitorar os eventos correspondentes usando Windows Event Viewer. Os eventos do TS Gateway so armazenados em Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\.
Configuraes de Diretiva de Grupo para TS Gateway

Voc pode usar Diretiva de Grupo e Servios de Domnio do Active Directory para centralizar e simplificar a administrao de configuraes de diretiva do TS Gateway. Voc usa o Editor de Objeto de Diretiva de Grupo para configurar essas configuraes, que ficam contidas dentro de objetos de Diretiva de Grupo. Voc usa o Console de Gerenciamento de Diretiva de Grupo (GPMC) para ligar GPOs a sites, domnios ou unidades organizacionais (OUs) nos Servios de Domnio do Active Directory. As configuraes de Diretiva de Grupo para conexes de cliente de Servios de Terminal atravs do TS Gateway podem ser aplicadas de duas maneiras. Essas configuraes de diretiva podem ser sugeridas (ou seja, podem ser ativadas, mas no impostas) ou podem ser ativadas e impostas. Sugerir uma definio de diretiva permite aos usurios no cliente inserir configuraes alternativas de conexo do TS Gateway. Impor uma definio de diretiva evita que um usurio altere a definio de conexo do TS Gateway, mesmo se ele selecionar a opo Use these TS Gateway server settings (Usar essas configuraes de servidor do TS Gateway) no cliente.
60
As trs configuraes de Diretiva de Grupo a seguir esto disponveis para o servidor de TS Gateway: Definir o mtodo de Autenticao do Servidor de TS Gateway. Isso permite que voc especifique o mtodo de autenticao que os clientes de Servios de Terminal devem usar quando se conectarem a recursos de rede atravs de um servidor de TS Gateway. Permitir conexes atravs do TS Gateway. Isso permite que voc especifique que, quando clientes de Servios de Terminal no puderem se conectar diretamente a um recurso de rede, eles tentaro se conectar ao recurso de rede atravs do servidor de TS Gateway especificado na definio de diretiva Set the TS Gateway server address (Definir o endereo do servidor de TS Gateway). Definir o endereo do servidor de TS Gateway. Isso permite que voc especifique o servidor de TS Gateway que os clientes de Servios de Terminal usam quando no conseguem se conectar diretamente a um recurso da rede. Importante Se voc desativar ou no configurar essa definio de diretiva, mas ativar a definio Enable connections through TS Gateway (Ativar conexes atravs do TS Gateway), as tentativas de conexo do cliente a qualquer recurso da rede falharo se o cliente no puder se conectar diretamente ao recurso da rede. Voc no precisa alterar nenhum cdigo existente para trabalhar com o TS Gateway. O TS Gateway apenas gerencia a maneira como a conexo ao computador remoto criada. Nota O TS Gateway pode rotear conexes para qualquer sesso baseada em Servios de Terminal, inclusive aquelas em computadores baseados no Windows Server Longhorn, Windows Server 2003, Windows Vista e Windows XP. Se o computador remoto estiver usando recursos novos de Servios de Terminal, voc precisar usar o software de Conexo de rea de trabalho Remota verso 6.0 (Remote Desktop Connection version 6.0), que est includo com o Windows Server Longhorn e Windows Vista. Nota O software de Conexo de rea de trabalho Remota verso 6.0 (Remote Desktop Connection version 6.0) est disponvel para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer novo recurso de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao para o RDC 6.0. Para fazer o download do pacote de instalao do RDC 6.0,
61
acesse a Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkID=79373).
62
3.04 RemoteApp de Servios de Terminal

O RemoteApp de Servios de Terminal(TS RemoteApp) permite a organizaes oferecer acesso a programas padro baseados em Windows a partir de virtualmente qualquer local a usurios de qualquer computador baseado no Windows Vista ou Windows Server Longhorn, ou a usurios de computadores baseados no Windows XP com Service Pack 2 (SP2), ou no Windows Server 2003 com Service Pack 1 (SP1) que tenham o novo cliente Conexo de rea de trabalho Remota (RDC Remote Desktop Connection) instalado. O TS RemoteApp integrado nos Servios de Terminal no Windows Server Longhorn. Os RemoteApps so programas acessados remotamente atravs de Servios de Terminal e aparecem como se estivessem sendo executados no computador local do usurio final. Os usurios podem executar RemoteApps lado a lado com seus programas locais. Um usurio pode minimizar, maximizar e redimensionar a janela do programa, e pode facilmente iniciar vrios programas ao mesmo tempo. Se um usurio estiver executando mais de um RemoteApp no mesmo servidor de terminal, os RemoteApps compartilharo a sesso de Servios de Terminal. Para o Windows Server Longhorn Beta 3, os usurios podem executar RemoteApps de vrias maneias. Podem fazer o seguinte: Dar um clique duplo em um arquivo .rdp que tenha sido criado e distribudo por seu administrador. Dar um clique duplo no cone de um programa em sua rea de trabalho ou no menu Iniciar que tenha sido criado e distribudo por seu administrador com um pacote do Windows Installer (.msi). Dar um clique duplo em um arquivo cuja extenso seja associada com um RemoteApp. (Isso pode ser configurado pelo administrador com um pacote .msi.) Acessar um link para o RemoteApp em um Website usando o Acesso a Web de Servios de Terminal(TS Web Access).
Os arquivos .rdp e pacotes .msi contm as configuraes necessrias para executar os RemoteApps. Depois de abrir o RemoteApp em um computador local, o usurio pode interagir com o programa em execuo no servidor de terminal como se estivesse sendo executado localmente. O TS RemoteApp pode reduzir a complexidade e o overhead administrativo em muitas situaes, incluindo essas: Escritrios remotos, onde pode haver suporte local de TI limitado e largura de banda de rede limitada. Situaes em que usurios precisam acessar aplicaes remotamente
63
Implantao de aplicaes de gesto de negcios (LOB), especialmente aplicaes de gesto de negcios personalizadas. Ambientes, como espaos de trabalho hot desk ou hoteling, em que os usurios no tm computadores designados. Implantao de mltiplas verses de uma aplicao, particularmente se instalar vrias verses localmente causar conflitos.
Voc deve analisar esse tpico, e a documentao adicional de suporte do TS RemoteApp, se estiver em qualquer dos seguintes grupos: Planejadores e analistas de TI avaliando tecnicamente o produto Arquitetos corporativos Profissionais de TI que implantam ou administram servidores de terminal, aplicaes de gesto de negcios (LOB), ou aplicaes que podem ser implantadas mais eficientemente com o TS RemoteApp
Para o Windows Server Longhorn Beta 3 voc deve usar o cliente Conexo de rea de trabalho Remota (RDC - Remote Desktop Connection) verso 6.0 ou posterior para executar RemoteApps no computador local de um usurio final. O cliente RDC 6.0 est includo no Windows Vista e Windows Server Longhorn Beta 3. Nota O software de Conexo de rea de trabalho Remota verso 6.0 est disponvel para uso no Windows XP com SP2 e Windows Server 2003 com SP1. Para usar qualquer recurso novo de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373). Os usurios podem executar programas a partir de um servidor de terminal e ter a mesma experincia de se os programas fossem executados no computador local do usurio final, incluindo janelas redimensionveis e cones de notificao na rea de notificao. O TS RemoteApp melhora a experincia do usurio, abre novas avenidas para implantao de programas, e reduz a quantidade de esforo administrativo necessrio para suportar esses programas. Em vez de ser apresentado ao usurio na rea de trabalho do servidor de terminal remoto, o RemoteApp integrado com a rea de trabalho do cliente, sendo executado em sua prpria janela redimensionvel com seu prprio registro na barra de tarefas. Se o programa usa um cone de rea de notificao, este aparece na rea de notificao do cliente. Janelas pop-up so redirecionadas para a rea de trabalho local. Unidades de disco locais e
64
impressoras podem ser redirecionadas para aparecer no RemoteApp. Muitos usurios podem no ter cincia de que o RemoteApp um programa diferente do local. Como o TS RemoteApp uma melhoria nas tecnologias existentes de Servios de Terminal e usa a mesma tecnologia e protocolos, no apresenta nenhum novo problema. Voc deve avaliar seus programas para ver quais podem ser adequados para execuo como um RemoteApp, e ento testar os programas. Para test-los siga os procedimentos descritos no Guia Passo a Passo do TS RemoteApp para configurar seu servidor de terminal para suportar RemoteApps e usar o snap-in Gerenciador de TS RemoteApp para tornar RemoteApps disponveis para usurios. Para um programa ser executado como um RemoteApp, o servidor de terminal que hospeda o programa deve estar executando o Windows Server Longhorn. Qualquer programa que possa ser executado em uma sesso de Servios de Terminal ou em uma sesso de rea de trabalho Remota deve ser capaz de ser executado como um RemoteApp. Algumas das mudanas fundamentais no sistema operacional do Windows Server Longhorn podem ter impacto sobre verses anteriores de programas que so executados corretamente sob verses anteriores do sistema operacional Windows. Se voc tiver dificuldades em executar um programa como um RemoteApp, verifique se ele executado corretamente no console local de um servidor que esteja executando o Windows Server Longhorn. Analise outras sees deste guia para informaes adicionais sobre questes de compatibilidade.
Referncias Adicionais
Para mais informaes sobre o TS RemoteApp, consulte o Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter do Windows Server Longhorn TS RemoteApp e TS Web Access (http://go.microsoft.com/fwlink/?LinkId=79609).
65
3.05 Acesso a Web de Servios de Terminal

O Acesso a Web de Servios de Terminal(TS Web Access) um servio de funo na funo de Servios de Terminal que permite que voc torne RemoteApps disponveis a usurios a partir de um navegador da Web. Como o TS Web Access, os usurios podem visitar um Website (a partir da Internet ou de uma intranet) para acessar uma lista de RemoteApps disponveis. Quando iniciam um RemoteApp, uma sesso de Servios de Terminal iniciada no servidor de terminal baseado no Windows Server Longhorn que hospeda o RemoteApp. Depois de instalar o TS Web Access em um servidor de Web baseado no Windows Server Longhorn, os usurios podem se conectar ao servidor de TS Web Access para acessar RemoteApps disponveis em um ou mais servidores de terminal baseados no Windows Server Longhorn. O TS Web Access tem vrios benefcios. Eles incluem: Os usurios podem acessar RemoteApps a partir de um Website via Internet ou a partir de uma intranet. Para iniciar um RemoteApp, eles simplesmente clicam no cone do programa. Se um usurio inicia mais de um RemoteApp atravs do TS Web Access, e os programas so executados no mesmo servidor de terminal, o RemoteApps executado dentro da mesma sesso de Servios de Terminal. Usar o TS Web Access significa que h menos overhead administrativo. Voc pode implantar programas facilmente a partir de um local central. Alm disso, os programas so executados em um servidor de terminal e no em um computador cliente, assim so mais fceis de manter. O TS Web Access oferece uma soluo que trabalha com configurao mnima. A pgina de Web do TS Web Access inclui uma Web Part personalizvel, que pode ser incorporada em uma pgina de Web personalizada ou em um site de Servios do Microsoft Windows SharePoint. A lista de RemoteApps disponveis que aparece na Parte de Web do TS Web Access pode ser personalizada para o usurio individual se voc implantar RemoteApps usando distribuio de software de Diretiva de Grupo.
As informaes neste tpico se aplicam aos seguintes tipos de profissionais de TI: Profissionais de TI que j executam ou se interessam em implantar programas para usurios usando Servios de Terminal Profissionais de TI que queiram mais controle sobre a experincia do usurio Administradores e desenvolvedores de Web
66
Administradores de Servios do Windows SharePoint
Antes de instalar o TS Web Access, analise as seguintes diretrizes de instalao: Voc deve instalar o TS Web Access em um computador que esteja executando o Windows Server Longhorn. Deve instalar o TS Web Access junto com o Microsoft IIS 7.0. O servidor do TS Web Access no precisa ser um servidor de terminal. Para usar o TS Web Access, computadores clientes deve estar executando um dos seguintes sistemas operacionais: o o o o Microsoft Windows XP com Service Pack 2 ou posterior Microsoft Windows Server 2003 com Service Pack 1 ou posterior Windows Vista Windows Server Longhorn
Nota O software de Conexo de rea de trabalho Remota verso 6.0 est disponvel para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer recurso novo de Servios de Terminal em qualquer dessas plataformas, faa o download do pacote de instalao na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373). Alm disso, tenha em mente que o Windows Server Longhorn Beta 3 pode no incluir toda a funcionalidade planejada para o TS Web Access.
Permite Implantar Facilmente RemoteApps Atravs da Web

Com o TS Web Access, um usurio pode visitar um Website, visualizar uma lista de RemoteApps, a em seguida clicar em um cone para iniciar um programa. Os RemoteApps so contnuos, o que significa que parecem um programa local. Os usurios podem minimizar, maximizar e redimensionar a janela do programa, e podem facilmente iniciar vrios programas ao mesmo tempo. Para um administrador, o TS Web Access fcil de configurar e implantar. Esta funcionalidade se traduz em facilidade e flexibilidade de uso e implantao. Com o TS Web Access, voc pode oferecer aos usurios acesso a RemoteApps a partir de qualquer local e computador que tenha acesso a intranet ou Internet. O TS Web Access oferece uma experincia de Web muito aprimorada em comparao com verses anteriores de Servios de Terminal. Com o TS Web Access, os usurios no tm de iniciar o cliente de RDC para iniciar um RemoteApp. Em vez disso, acessam a pgina da Web e em seguida clicam em um cone de programa.
67
O RemoteApps parece estar sendo executado na rea de trabalho local. Se o usurio iniciar vrios RemoteApps e os RemoteApps estiverem todos sendo executados no mesmo servidor de terminal, os programas so executados na mesma sesso. Os usurios no tm de fazer o download de um controle ActiveX separado para acessar o TS Web Access. Em vez disso, o cliente RDC verso 6.0 inclui o Controle ActiveX necessrio.
Implantao
Se voc quer implantar o TS Web Access, pode se preparar analisando o tpico Terminal Services RemoteApp (TS RemoteApp) neste documento para informaes sobre o novo recurso TS RemoteApp. Informaes mais detalhadas de implantao esto disponveis no Guia Passo a Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter Windows Server Longhorn TS RemoteApp e TS Web Access TechCenter (http://go.microsoft.com/fwlink/?LinkId=79609). Voc tambm pode querer analisar as informaes sobre o IIS 7.0. Se quiser usar o TS Web Access para tornar RemoteApps disponveis a computadores atravs da Internet, deve analisar o tpico Gateway de Servios de Terminal (TS Gateway) neste documento. O TS Gateway ajuda voc a proteger conexes remotas a servidores de terminal em sua rede corporativa.
A Lista de RemoteApps Atualizada Dinamicamente

Quando voc implanta o TS Web Access, a lista de RemoteApps que aparece na Parte de Web do TS Web Access (TS Web Access Web Part) atualizada dinamicamente. A lista ocupada a partir da lista de RemoteApps de um nico servidor de terminal ou a partir de RemoteApps que so implantados atravs de distribuio de software de Diretiva de Grupo. Um administrador pode especificar a origem dos dados que sero usados para ocupar a lista de RemoteApps. Por padro, a origem dos dados um nico servidor de terminal. Quando a origem dos dados um nico servidor de terminal, a Parte de Web ocupada com todos os RemoteApps configurados para acesso Web na lista de RemoteApps daquele servidor. A lista de programas exibida na Parte de Web no especfica do usurio atual. Quando a origem dos dados so os Servios de Domnio do Active Directory, a Parte de Web ocupada por pacotes .rap.msi que so publicados para um usurio atravs da distribuio de software de Diretiva de Grupo. Como as informaes so obtidas atravs de Diretiva de Grupo, o TS Web Access exibe apenas os RemoteApps especficos do usurio individual. Note que, por padro, um RemoteApp colocado em pacote com a extenso .rap.msi quando voc cria um pacote
68
.msi configurado para permitir o TS Web Access. Voc cria pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador de TS RemoteApp. A lista de programas atualizada dinamicamente e a capacidade de especificar a origem dos dados dos RemoteApps simplifica a implantao de RemoteApps atravs da Web. Se voc tiver um nico servidor de terminal, fcil implantar programas usando a fonte de dados do servidor de terminal. Se voc j estiver usando a implantao de programas baseada em Diretiva de Grupo, pode usar pacotes .msi para distribuir RemoteApps a clientes. Verses mais antigas de Servios de Terminal no ofereciam um mecanismo para atualizar dinamicamente um Website com uma lista de RemoteApps. Se voc quiser ocupar a lista de RemoteApps usando Diretiva de Grupo, deve ter um ambiente de Servios de Domnio do Active Directory. Deve tambm se familiarizar com a distribuio de software de Diretiva de Grupo.
Inclui a Parte de Web do TS Web Access

O TS Web Access oferece uma Parte de Web do TS Web Access personalizvel, onde a lista de RemoteApps exibida. Voc pode implantar a Parte de Web usando qualquer dos seguintes mtodos: Implante a Parte de Web como parte da pgina de Web do TS Web Access. (Esta a soluo pronta padro.) Implante a Parte de Web como parte de uma pgina da Web personalizada. Adicione a Parte de Web a um site de Servios do Windows SharePoint. A pgina de Part) permitem facilmente, e pgina de Web
O TS Web Access oferece uma soluo pronta flexvel. Web do TS Web Access fornecida e a Parte de Web (Web que voc implemente o site do TS Web Access rpida e permite que voc implante o TS Web Access usando uma ou Servios do Windows SharePoint.
Com o TS Web Access, voc no precisa adicionar manualmente uma lista de programas disponveis em uma pgina da Web para proporcionar acesso centralizado Web a RemoteApps. A Parte de Web personalizvel d a voc flexibilidade no tocante a aparncia do site e mtodo de implantao. Se voc quiser personalizar a pgina de Web ou a Parte de Web padro, deve planejar as alteraes no design que deseja fazer. Deve tambm decidir se quer fornecer acesso ao TS Web Access usando a pgina de Web do TS Web Access fornecida, uma pgina de Web personalizada ou usando os Servios do Windows SharePoint.
69
3.06 Impresso de Servios de Terminal

A impresso de Servios de Terminal foi aprimorada no Windows Server Longhorn Beta 3 pelo acrscimo do driver de impressora Terminal Services Easy Print (Impresso Fcil de Servios de Terminal) e uma definio de Diretiva de Grupo que permite a voc redirecionar somente a impressora cliente padro. O driver Terminal Services Easy Print um novo recurso no Windows Server Longhorn Beta 3 que permite aos usurios imprimir de maneira confivel a partir de um RemoteApp ou de uma sesso de rea de trabalho de servidor de terminal para a impressora correta em seu computador cliente. Ele tambm permite uma experincia de impresso muito mais coerente entre sesses local e remota. A definio Redirect only the default client printer policy (Redirecionar apenas a diretiva padro de impressora cliente) permite que voc especifique se a impressora padro do cliente a nica impressora redirecionada em sesses de Servios de Terminal. Isso ajuda a limitar o nmero de impressoras que o spooler deve enumerar, melhorando a escalabilidade do servidor de terminal. Para usar o driver Terminal Services Easy Print no Windows Server Longhorn Beta 3, os clientes devem estar executando o Windows Vista com SP1. Alm disso, o .NET Framework 3.0 SP1 deve estar instalado. (O .NET Framework 3.0 SP1 est includo e instalado por padro com o Windows Vista SP1.) Os clientes baseados no Microsoft Windows Server 2003 com SP1 e no Microsoft Windows XP com SP2 sero suportados quando a verso Windows Vista SP1 do cliente de Conexo de rea de trabalho Remota e o .NET Framework 3.0 SP1 estiverem disponveis para esses sistemas operacionais. O driver Terminal Services Easy Print oferece a seguinte funcionalidade: Confiabilidade melhorada da impresso de Servios de Terminal para sesses de RemoteApp e rea de trabalho remota. Suporte para drivers de legado e novos sem a necessidade de instalar esses drivers no servidor de terminal. Melhorias de escalabilidade sobre o Windows Server 2003 em termos de desempenho de enumerao de impressora, Durante o processo de Winlogon, o spooler enumera apenas impressoras disponveis para um usurio em uma determinada sesso em vez de enumerar todas as impressoras redirecionadas. Portanto, as impressoras so enumeradas em uma base por sesso, em vez de por usurio.
70
Recursos de impressora disponvel melhorados. O driver Terminal Services Easy Print proporciona recursos de impressora ricos e completos em sesses remotas. Todos os recursos do driver de impressora fsica esto disponveis para uso quando um usurio visualiza as preferncias de impresso.
A definio de Diretiva de Grupo Redirect only the default client printer (Redirecionar apenas a impressora cliente padro) permite que voc controle se a impressora cliente padro a nica impressora redirecionada em uma sesso de Servios de Terminal, ou se todas as impressoras so redirecionadas em uma sesso. O driver de impressora de emergncia do servidor de terminal no est mais includo no Windows Server Longhorn Beta 3. Embora a definio de Diretiva de Grupo Specify terminal server fallback printer driver behavior (Especificar comportamento do driver de impressora de emergncia do servidor de terminal) ainda exista, s pode ser usada para computadores baseados no Windows Server 2003 com SP1. Por padro, o driver Terminal Services Easy Print ativado no Windows Server Longhorn Beta 3. Para usar o driver Terminal Services Easy Print, os computadores clientes devem satisfazer os requisitos descritos na Seo H Alguma Considerao Especial Sobre Esses Recursos?. Se houver computadores clientes que no suportem o driver Terminal Services Easy Print driver, e o driver da impressora ainda no estiver disponvel no servidor de terminal, voc deve fazer qualquer dos seguintes para dar suporte impresso do cliente: Garantir que os drivers de impressora do cliente para impressoras local e de rede estejam instalados no servidor de terminal. Se voc estiver instalando um driver de terceiros, certifique-se de que ele tenha a assinatura dos Laboratrios de Qualidade de Hardware Windows (WHQL Windows Hardware Quality Labs). Adicionar os drivers de impressora do cliente para impressoras local e de rede em um arquivo de mapeamento de impressoras personalizado no servidor de terminal. Para mais informaes sobre como criar um arquivo de mapeamento de impressoras personalizado, consulte a seo Resoluo do artigo 239088 na Base de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82784).
Configuraes de Diretiva de Grupo

As seguintes configuraes de Diretiva de Grupo foram adicionadas para a impresso de Servios de Terminal: Use Terminal Services Easy Print driver first (Usar primeiro o driver Terminal Services Easy Print). Esta
71
definio de diretiva est localizada no seguinte n do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection Os valores possveis so os seguintes: o Enabled or not configured (Ativada ou no configurada). Se esta definio de diretiva estiver ativada ou no configurada, o servidor de terminal tentar primeiro usar o driver Terminal Services Easy Print para instalar todas as impressoras de clientes. Se, por alguma razo, o driver Terminal Services Easy Print no puder ser usado, um driver de impressora que corresponda impressora do cliente ser usado. Se o servidor de terminal no tiver um driver de impressora que corresponda impressora do cliente, a impressora do cliente no ficar disponvel para a sesso de Servios de Terminal. Por padro, essa definio de diretiva no configurada. Disabled (Desativada). Se voc desativar essa definio de diretiva, o servidor de terminal tentar encontrar um driver de impressora adequado para instalar a impressora do cliente. Se o servidor de terminal no tiver um driver de impressora que corresponda impressora do cliente, o servidor de terminal tentar usar o driver Terminal Services Easy Print para instalar a impressora do cliente. Se, por alguma razo, o driver Terminal Services Easy Print no puder ser usado, a impressora do cliente no ficar disponvel para a sesso de Servios de Terminal.
Redirect only the default client printer (Redirecionar apenas a impressora padro do cliente). Essa definio de diretiva est localizada no seguinte n do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection
Os valores possveis so: o Enabled (Ativada). Se voc ativar essa definio de diretiva, somente a impressora padro do cliente redirecionada em sesses de Servios de Terminal. Disabled or not configured (Desativada ou no configurada). Se voc desativar ou no configurar essa definio de diretiva, todas as impressoras de clientes so redirecionadas em sesses de Servios de
72
Terminal. Por padro, essa definio de diretiva no configurada.
73
3.07 Session Broker de Servios de Terminal

O Session Broker de Servios de Terminal (TS Session Broker) um servio de funo no Windows Server Longhorn Beta 3 que permite que um usurio se reconecte a uma sesso existente em uma farm de servidor de terminal de carga balanceada. O TS Session Broker armazena informaes de estado da sesso que incluem IDs de sesso e seus nomes de usurios associados, e o nome do servidor onde cada sesso reside. O Windows Server Longhorn Beta 3 introduz um novo recurso do TS Session Broker o balanceamento de carga do TS Session Broker. Esse recurso permite que voc distribua a carga da sesso entre servidores em um farm de servidores de terminal de carga balanceada. Essa soluo mais fcil de implantar que o Balanceamento de Carga de Rede Windows (NLB - Windows Network Load Balancing), e recomendada para farms de servidores de terminal que consistam em dois a cinco servidores. Nota No Windows Server Longhorn Beta 3, o nome do recurso Diretrio de Sesso de Servios de Terminal (TS Session Directory) foi alterado para Session Broker de Servios de Terminal (TS Session Broker). Para participar do balanceamento de carga do TS Session Broker, o servidor do TS Session Broker e os servidores de terminal na farm devem estar executando o Windows Server Longhorn Beta 3. Servidores de terminal baseados no Microsoft Windows Server 2003 usam o recurso de balanceamento de carga do TS Session Broker. Em vez de ter de usar o NLB para balancear a carga das sesses de usurios, com o recurso de balanceamento de carga do TS Session Broker voc tem apenas de configurar entradas no Sistema de Nome de Domnio (DNS - Domain Name System). Para configurar o DNS, voc deve registrar o endereo IP de cada servidor de terminal na farm em uma nica entrada de DNS para a farm. Todos os clientes de entrada nos Servios de Terminal tentaro se conectar ao primeiro endereo IP para o registro de DNS. Se isso falhar, o cliente tentar automaticamente se conectar ao endereo IP seguinte. Isso proporciona certo grau de tolerncia a falhas, no caso de um dos servidores de terminal estar indisponvel. Embora todos os clientes inicialmente se conectem ao endereo IP do primeiro servidor de terminal, so rapidamente redirecionados para o servidor na farm com a menor carga. Se um servidor de terminal na farm estiver indisponvel ou sobrecarregado, a sesso redirecionada para um terminal que possa aceitar a conexo. O recurso de balanceamento de carga do TS Session Broker tambm permite que voc atribua um valor de peso para cada servidor. Atribuindo um valor de peso a um servidor, voc pode ajudar a distribuir a carga entre servidores mais e menos poderosos em uma farm.
74
Nota Para configurar um servidor para participar do balanceamento de carga do TS Session Broker, e para atribuir um valor de peso a um servidor, voc pode usar a ferramenta Configurao de Servios de Terminal. Alm disso, fornecido um novo mecanismo que possibilita que voc permita ou recuse novas conexes de usurio ao servidor de terminal. Esse mecanismo fornece a capacidade de se colocar um servidor offline para manuteno sem interromper a experincia do usurio. Se novas conexes forem recusadas em um servidor de terminal na farm, o TS Session Broker redirecionar as sesses de usurios para servidores de terminal configurados para permitir novas conexes. Nota A configurao que voc pode usar para permitir ou recusar novas conexes de usurios est localizada na guia Geral da conexo RDP-Tcp na ferramenta Configurao de Servios de Terminal. Se voc quiser usar o recurso de balanceamento de carga do TS Session Broker, tanto o servidor do TS Session Broker como os servidores de terminal na mesma farm devem estar executando o Windows Server Longhorn Beta 3. voc deve registrar o endereo IP de todos os servidores de terminal em uma nica entrada do DNS para a farm. Se preferir, pode usar rodzio de DNS ou um balanceador de carga de hardware para espalhar a carga de conexo e autenticao inicial entre mltiplos servidores de terminal na farm.

A seguinte definio de Diretiva de Grupo foi acrescentada para o TS Session Broker: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\TS Session Broker Load Balancing Os valores possveis so: Enabled (Ativada). Se voc ativar essa definio de diretiva, o TS Session Broker redirecionar os usurios que no tenham uma sesso existente para o servidor de terminal na farm com o menor nmero de sesses. O comportamento de redirecionamento para usurios com sesses existentes no ser afetado. Se o servidor estiver configurado para usar o TS Session Broker, os usurios com uma sesso existente sero redirecionados para o servidor de terminal em que sua sesso existir. Disabled (Desativada). Se voc desativar essa definio de diretiva, os usurios que no tiverem uma sesso existente efetuaro o logon no servidor de terminal a que se conectarem primeiro.
75
Not configured (No configurada). Se voc no configurar essa definio de diretiva, o balanceamento de carga do TS Session Broker no especificado no nvel de Diretiva de Grupo. Neste caso, voc pode configurar o servidor de terminal para participar do balanceamento de carga do TS Session Broker usando a ferramenta Configurao de Servios de Terminal ou o provedor de WMI de Servios de Terminal. Por padro essa definio de diretiva no configurada.
76
3.08 Licenciamento de Servios de Terminal

O Windows Server Longhorn oferece um sistema de gerenciamento de licenas conhecido como Licenciamento de Servios de Terminal (TS Licensing). Este sistema permite a servidores de terminal obter e gerenciar licenas de acesso de clientes de Servios de Terminal (TS CALs) para dispositivos e usurios que se conectem a um servidor de terminal. O TS Licensing gerencia clientes nolicenciados, temporariamente licenciados, e licenciados para acesso de cliente, e suporta servidores de terminal que executem o Windows Server Longhorn assim como o sistema operacional Microsoft Windows Server 2003. O TS Licensing simplifica enormemente a tarefa de gerenciamento de licenas para o administrador de sistemas, ao mesmo tempo em que minimiza a deficincia ou excesso de licenas compradas por uma organizao. Nota O TS Licensing usado apenas com Servios de Terminal e no com rea de trabalho Remota. Um servidor de terminal um computador no qual o servio de funo de Servidor de Terminal instalado. Ele fornece aos clientes acesso a aplicaes baseadas em Windows sendo executadas inteiramente no servidor e suporta mltiplas sesses de clientes no servidor. Conforme os clientes se conectam ao servidor de terminal, este determina se o cliente precisa de um token de licena, solicita um ao servidor de licenas, e em seguida o entrega ao cliente. Um servidor de licenas de Servios de Terminal um computador em que o servio de funo de TS Licencing est instalado. Um servidor de licenas armazena todos os tokens de TS CAL que tenham sido instaladas para um grupo de servidores de terminal e acompanha os tokens de licena que foram emitidos. Um servidor de licenas pode atender vrios servidores de terminal simultaneamente. Para emitir tokens de licena permanentes a dispositivos clientes, um servidor de terminal deve ser capaz de se conectar a um servidor de licenas ativado. Um servidor de licenas que tenha sido instalado, mas no ativado, emitir apenas tokens de licena temporrios. O TS Licensing uma entidade separada do servidor de terminal. Na maioria das grandes implantaes, o servidor de licenas implantado em um servidor separado, embora possa ser um coresidente no servidor de terminal em algumas implantaes menores. O TS Licensing um servio de baixo impacto. Requer muito pouca CPU ou memria para operaes regulares, e seus requisitos de disco rgido so pequenos, mesmo para um nmero significativo de clientes. Atividades ociosas so insignificantes. O uso de memria de menos de 10 MB. O banco de dados de licenas cresce em incrementos de 5 MB para cada 6.000 tokens de licena emitidos. O servidor de licenas ativo apenas quando um
77
servidor de terminal solicita um token de licena, e seu impacto sobre o desempenho do servidor muito baixo, mesmo em cenrios de cargas altas. O TS Licensing inclui os seguintes recursos e benefcios: Administrao centralizada para TS CALs e os tokens correspondentes Acompanhamento e relatrios de licenas para o modo de licenciamento Por Usurio Suporte simples para vrios canais de comunicao e programas de compra Impacto mnimo sobre rede e servidores
O gerenciamento efetivo de TS CALS usando o TS Licensing ser do interesse de organizaes que atualmente usam ou esto interessadas em usar os Servios de Terminal. Os Servios de Terminal oferecem tecnologias que permitem acesso, a partir de quase qualquer dispositivo de computao, a um servidor que execute programas baseados em Windows ou rea de trabalho Windows plena. Os usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. O TS Licensing para Windows Server Longhorn agora inclui a capacidade de acompanhar a emisso de TS CALs Por Usurio usando o Gerenciador de TS Licensing. Se o servidor de terminal estiver no modo de licenciamento Por Usurio, o usurio conectando-se a ele deve ter uma TS CAL Por Usurio. Se o usurio no tiver a TS CAL Por Usurio necessria, o servidor de terminal entrar em contato com o servidor de licenas para obter a CAL para o usurio. Depois que o servidor de licenas emitir uma TS CAL Por Usurio para o usurio, o administrador pode rastrear a emisso da CAL usando o Gerenciador de TS Licensing. Para usar o TS Licensing para gerenciar TS CALs, voc precisar do seguinte em um servidor executando o Windows Server Longhorn: Para configurar o TS Licensing para gerenciar TS CALs, faa o seguinte: 1. Instale o servio de funo de TS Licensing. 2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenas de Servios de Terminal. 3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenas de Servios de Terminal. 4. Instale as licenas de acesso de cliente necessrias no servidor de licenas.
78
Para mais informaes sobre a instalao e configurao do TS Licensing no Windows Server Longhorn, consulte o Licenciamento de Servidor de Terminal do Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=79607). Para tirar vantagem do TS Licensing, voc deve atender os seguintes pr-requisitos: Instalar o servio de funo de TS Licensing em um servidor executando o Windows Server Longhorn. O rastreio e apresentao de relatrios de TS CALs Por Usurio suportado apenas em cenrios unidos por domnio (o servidor de terminal e o servidor de licenas so membros de um domnio) e no suportado no modo de grupo de trabalho. Os Servios de Domnio do Active Directory so usados para o acompanhamento de licenas no modo Por Usurio. Os Servios de Domnio do Active Directory podem ser baseados no Windows Server Longhorn ou no Windows Server 2003. Nota No so necessrias atualizaes para o esquema dos Servios de Domnio do Active Directory para implementar o rastreio e apresentao de relatrios de TS CALs Por Usurio. Um servidor de terminal executando o Windows Server Longhorn no se comunica com um servidor de licenas executando o Windows Server 2003. Contudo. possvel um servidor de terminal executando o Windows Server 2003 se comunicar com um servidor de licenas executando o Windows Server Longhorn.
79
3.09 Gerenciador de Recursos de Sistema do Windows

O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows Server Longhorn permite que voc controle como os recursos de CPU e memria so alocados para aplicaes, servios e processos no computador. Gerenciar recursos dessa maneira melhora o desempenho do sistema e reduz a chance de que aplicaes, servios ou processos tirem recursos de CPU ou memria uns dos outros e reduzam o desempenho do computador. Gerenciar recursos tambm cria uma experincia mais coerente e previsvel para usurios de aplicaes e servios sendo executados no computador. Voc pode usar o WSRM para gerenciar mltiplas aplicaes em um nico computador ou usurios em um computador no qual os Servios de Terminal estejam instalados. Para mais informaes sobre o WSRM, consulte a seguinte documentao: Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server Longhorn Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
A capacidade de usar o WSRM para gerenciar aplicaes ou usurios em um servidor de terminal do Windows Server Longhorn ser interessante para organizaes que atualmente usem ou estejam interessadas em usar Servios de Terminal. Os Servios de Terminal fornecem tecnologias que possibilitam o acesso, a partir de qualquer dispositivo de computao, a um servidor executando programas baseados em Windows ou a uma rea de trabalho Windows plena. Usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. O WSRM para Windows Server Longhorn agora inclui uma diretiva de alocao de recursos Igual_Por_Sesso (Equal_Per_Session). Para usar o WSRM para gerenciar aplicaes ou usurios em um servidor de terminal do Windows Server Longhorn, voc vai precisar fazer o seguinte: Para configurar o WSRM para gerenciar aplicaes ou usurios, faa o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o servio de funo de Servidor de Terminal. 2. Instale o WSRM. 3. Configure o WSRM para Servios de Terminal
Instalando o Servidor de Terminal

80
Instale o servio de funo de Servidor de Terminal em seu computador antes de instalar e configurar o WSRM. O servio de funo de Servidor de Terminal, conhecido como componente de Servidor de Terminal no Microsoft Windows Server 2003, permite a um servidor baseado no Windows Server Longhorn hospedar programas baseados no Windows ou a rea de trabalho Windows plena. A partir de seus dispositivos de computao, os usurios podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. No Windows Server Longhorn, voc deve fazer o seguinte para instalar o servio de funo de Servidor de Terminal, e para configurar o servidor de terminal para hospedar programas: Para instalar o servio de funo de Servidor de Terminal e configur-lo para hospedar programas, faa o seguinte: 1. Use o snap-in Gerenciador de Servidor para instalar o servio de funo de Servidor de Terminal. 2. Instale programas no servidor. 3. Configure configuraes de conexo remota. Isso inclui adicionar usurios e grupos que precisam conectar-se ao servidor de terminal. Para mais informaes sobre instalar o servio de funo de Servidor de Terminal, consulte o TechCenter de Servidor de Terminal do Windows Server Longhorn (http://go.microsoft.com/fwlink/?LinkId=79608).
Instalando o WSRM
Para instalar o servio de funo de Servidor de Terminal e configur-lo para hospedar programas, faa o seguinte: 1. Abra o Gerenciador de Servidor. Clique em Start, aponte para Administrative Tools, e em seguida clique em Server Manager. 2. Em Features Summary, clique em Add features. 3. Na pgina Select Features, assinale a caixa de seleo Windows System Resource Manager (WSRM). 4. Uma caixa de dilogo aparecer informando que o servio de funo SQL Server 2005 Embedded Edition (Windows) tambm precisa ser instalada para que o WSRM funcione corretamente. Clique em Add Required Role Services, e em seguida clique em Next. 5. Na pgina Confirm Installation Options, certifique-se de que o SQL Server 2005 Embedded Edition (Windows) e o
81
Gerenciador de Recursos do Windows Server (WSRM) sero instalados e em seguida clique em Install. 6. Na pgina Installation Results, confirme que a instalao do SQL Server 2005 Embedded Edition (Windows) e do e o Gerenciador de Recursos do Windows Server (WSRM) foi bem sucedida, e clique em Close. Depois de instalar o WSRM, voc precisa iniciar o servio do Gerenciador de Recursos de Sistema do Windows. Para iniciar o servio do Gerenciador de Recursos de Sistema do Windows, faa o seguinte: 1. Abra o snap-in Servios. Para abrir o snap-in Servios, clique em Start, aponte para Administrative Tools, e clique em Services. 2. Na caixa de dilogo Services, na coluna Name, clique com o boto direito do mouse em Windows System Resource Manager, e em seguida clique em Start.
Configurando o WSRM para Servios de Terminal

Para configurar o WSRM, voc usa o snap-in Gerenciador de Recursos de Sistema do Windows. Para abrir o snap-in Gerenciador de Recursos de Sistema do Windows, faa o seguinte: 1. clique em Start, aponte para Administrative Tools, e clique em Windows System Resource Manager. 2. Na caixa de dilogo Connect to computer, clique em This computer, e em seguida clique em Connect para fazer o Gerenciador de Recursos de Sistema do Windows administrar o computador que voc est usando.
Diretivas de Alocao de Recursos

O WSRM usa diretivas de alocao de recursos para determinar como recursos de computador, como CPU e memria, so alocados a processos sendo executados no computador. H duas diretivas de alocao de recursos especificamente projetadas para computadores executando Servios de Terminal: Igual_Por_Usurio (Equal_Per_User) Igual_Por_Sesso (Equal_Per_Session) Nota A diretiva de alocao Igual_Por_Sesso nova no Windows Server Longhorn.
82
Se voc implementar a diretiva de alocao Igual_Por_Sesso, cada sesso de usurio (e seus processos associados) recebe uma parcela igual de recursos da CPU do computador. Para implementar a diretiva de alocao Igual_Por_Sesso, faa o seguinte: 1. Abra o snap-in Windows System Resource Manager. 2. Na rvore do console, expanda o n Resource Allocation Policies. 3. Clique com o boto direito do mouse em Clique com o boto direito do mouse em Equal_Per_Session, e em seguida clique em Set as Managing Policy. 4. Se uma caixa de dilogo aparecer informando que o calendrio ser desativado, clique em OK. Para informaes sobre a diretiva de alocao de recursos Igual_Por_Usurio e configuraes e configuraes adicionais do WSRM (como criar um critrio correspondente ao processo atravs da utilizao de correspondncia de usurio ou grupo), consulte a seguinte documentao: Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server Longhorn Beta 2 no Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
Desempenho de Monitoramento
Voc deve coletar dados sobre o desempenho de seu servidor de terminal antes e depois de implementar a diretiva de alocao de recursos Igual_Por_Sesso (ou de fazer qualquer outra alterao de configurao relacionada ao WSRM). Voc pode usar o Monitor de Recursos do snap-in Gerenciador de Recursos de Sistema do Windows para coletar e visualizar dados sobre o uso de recursos de hardware e a atividade de servios de sistema no computador.
83
Seo 4: Escritrios Remotos
84
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais
Este cenrio se concentra no aperfeioamento da comunicao, segurana e gerenciamento, os quais estaro disponveis para as filiais onde o Windows Server Longhorn for instalado.

As principais proposies de valor disponveis para as filiais so as seguintes: Melhorar a eficincia da instalao e administrao do servidor da filial. Diminuir os riscos de segurana fsica nas filiais. Melhorar a eficincia das comunicaes WAN da filial.

Os requisitos adicionais de hardware so os seguintes: Trusted Platform Module 1.2 (somente para Criptografia de Disco BitLocker)
85
4.02 Controlador de Domnio Somente Leitura

Um controlador de domnio somente leitura (RODC) um novo tipo de controlador de domnio no sistema operacional do Windows Server Longhorn. Com o RODC, as empresas podem facilmente implantar um controlador de domnio nos locais onde no possvel garantir a segurana fsica. Um RODC hospeda parties somente leitura da base de dados dos Servios de Domnio do Active Directory. Antes do lanamento do Windows Server Longhorn, os usurios no possuam alternativas caso quisessem realizar a autenticao com um controlador de domnio em uma Rede Remota (WAN). Em muitos casos, esta no era uma soluo eficaz. As filiais raramente oferecem a segurana fsica necessria a um controlador de domnio gravvel. Alm disso, as filiais geralmente contam com pouca largura de banda de rede quando so conectadas a um site hub, o que pode vir a aumentar o tempo necessrio para o logon e inclusive atrasar o acesso aos recursos de rede. Atravs da utilizao do Windows Server Longhorn, uma empresa pode implantar um RODC para resolver estes problemas. Como resultado, os usurios podem receber os seguintes benefcios: Maior segurana Logon mais rpido Acesso mais eficiente aos recursos de rede
A falta de segurana fsica a razo mais comum para se considerar a implantao de um RODC. Com o RODC, possvel implantar um controlador de domnio de forma mais segura, em locais que exigem servios de autenticao rpidos e confiveis, mas que no entanto no podem assegurar segurana fsica para um controlador de domnio gravvel. Entretanto, sua empresa tambm pode optar pela implantao de um RODC para requisitos administrativos especiais. Por exemplo: uma aplicao LOB pode ser executada com sucesso somente se for instalada em um controlador de domnio; ou ainda, o controlador de domnio poder ser o nico servidor da filial, e ento poder ter que hospedar as aplicaes do servidor. Nestes casos, o proprietrio da aplicao LOB precisa se registrar seguidamente no controlador de domnio de forma interativa ou utilizar os Servios de Terminal para configurar e gerenciar a aplicao. Esta situao cria um risco de segurana que pode se tornar inaceitvel em um controlador de domnio gravvel. Neste cenrio, o RODC fornece um mecanismo mais seguro para a implantao de um controlador de domnio. Voc pode oferecer ao usurio no administrativo do domnio o direito de acessar o
86
RODC, ao mesmo tempo em que reduz o risco de segurana para a floresta do Active Directory. Voc tambm pode implantar um RODC em outros cenrios onde o armazenamento local de todas as senhas de usurio do domnio no garanta segurana, como em uma extranet ou uma funo de aplicao. O RODC foi desenvolvido especialmente para ser implantado em ambientes remotos e em filiais. As filiais geralmente apresentam as seguintes caractersticas: Nmero reduzido de usurios Pouca Segurana fsica Pouca largura de banda para um site hub Baixo conhecimento de TI
Voc deveria revisar este captulo, bem como a documentao de suporte complementar sobre o RODC, caso voc pertena a algum dos seguintes grupos: Planejadores de TI e analistas que estejam avaliando tecnicamente o produto Planejadores de TI corporativos e designers corporativos Profissionais responsveis pela segurana de TI Administradores dos Servios de Domnio do Active Directory que lidam com escritrios pequenos de filiais
Para oferecer suporte Diretiva de Replicao de Senhas do RODC, os Servios de Domnio do Active Directory do Windows Server Longhorn incorporam novos atributos. A Diretiva de Replicao de Senhas o mecanismo que determina se as credenciais de um usurio ou de um computador possuem a permisso para operar a replicao de um controlador de domnio somente leitura para um RODC. A Diretiva de Replicao de Senhas sempre configurada em um controlador de domnio gravvel que execute o Windows Server Longhorn. Os atributos dos Servios de Domnio do Active Directory adicionados ao plano do Windows Server Longhorn Active Directory para oferecer suporte aos RODCs incluem o seguinte: msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedUsers msDS-AuthenticatedToAccountList
Para mais informaes sobre estes atributos, veja o Guia Passo a Passo para Planejamento, Implantao e Utilizao do Controlador de Domnio Somente Leitura do Windows Server Longhorn: (http://go.microsoft.com/fwlink/?LinkId=49779).
87
Para implantar um RODC, o controlador de domnio que possui o papel mestre de emulador do controlador de domnio principal (PDC), tambm conhecido como FSMO (Flexible Single Master Operations) para o domnio, precisa executar o Windows Server Longhorn. Alm disso, o nvel funcional para o domnio e a floresta deve ser o Microsoft Windows Server 2003 ou superior. O RODC aborda alguns dos problemas normalmente encontrados nas filiais. Estes locais nem sempre possuem um controlador de domnio. Ou talvez eles possuam um controlador de domnio gravvel, porm sem a segurana fsica, a largura de banda ou tcnicos locais especializados para lhes oferecer suporte. A funcionalidade do RODC a seguir mitiga estes problemas: Banco de dados somente leitura dos Servios de Domnio do Active Directory. Replicao unidirecional Caching de credenciais Separao do papel de administrador DNS Somente Leitura
Base de Dados Somente Leitura dos Servios de Domnio do Active Directory .

Com exceo das senhas de contas, um RODC contm todos os objetos e atributos do Active Directory encontrados em um controlador de domnio gravvel. Entretanto, no possvel efetuar mudanas na base de dados armazenada no RODC. As mudanas devem ser feitas em um controlador de domnio gravvel e ento replicadas para o RODC. Esta medida previne contra alguma mudana que possa ser realizada nas filiais, levando a poluir ou corromper a floresta inteira. Aplicaes locais que exigem acesso de Leitura para o diretrio, podem obter este acesso. As aplicaes do protocolo LDAP (Lightweight Directory Application Protocol)que exigem o acesso de Gravao recebem uma resposta de indicao LDAP. Esta resposta ir direcion-las para um controlador de domnio gravvel, normalmente em um site hub.
Replicao Unidirecional
Nenhuma mudana gravada diretamente no RODC, pois nenhuma mudana se origina no RODC. Como resultado, os controladores de domnio gravvel, que so parceiros na replicao, no precisam extrair mudanas do RODC. Isto reduz a carga de trabalho dos servidores bridgehead no hub e o esforo necessrio para monitorar a replicao. A replicao unidirecional do RODC se aplica tanto aos Servios de Domnio do Active Directory como Replicao do Sistema de Arquivos Distribudo (DFS). O RODC desempenha a replicao normal
88
de chegada para os Servios de Domnio do Active Directory e mudanas na Replicao DFS.
Caching de Credenciais
Caching de credenciais o armazenamento de credenciais do usurio ou do computador. As credenciais consistem em um pequeno conjunto de aproximadamente 10 senhas que esto associadas aos diretores de segurana. Por padro, um RODC no armazena as credenciais do usurio ou do computador. As excees so a conta de computador do RODC e uma conta krbtgt especial existente em cada RODC. necessrio conceder permisso explcita a qualquer outro caching de credencial explicitamente em um RODC. O RODC anunciado como o Principal Centro de Distribuio (KDC Key Distribution Center) para a filial. O RODC utiliza uma conta krbtgt e senha diferente do KDC em um controlador de domnio gravvel, quando este assina ou criptografa pedidos TGT (ticketgranting ticket). Aps uma conta ser devidamente autenticada, o RODC tenta contatar um controlador de domnio gravvel no site hub e pede uma cpia das credenciais apropriadas. O controlador de domnio gravvel reconhece que o pedido se origina de um RODC e consulta a Diretiva de Replicao de Senhas em vigor para aquele RODC. A Diretiva de Replicao de Senhas determina se podem ser replicadas as credenciais de um usurio ou de um computador do controlador de domnio gravvel para o RODC. Se a Diretiva de Replicao de Senhas permitir, o controlador de domnio gravvel replica as credenciais para o RODC, que faz o caching. Depois de fazer o caching das credenciais, o RODC pode atender diretamente os pedidos de registro do usurio at o momento de troca de credenciais. (Quando um TGT assinado com a conta krbtgt do RODC, este reconhece que existe uma cpia cache das credenciais. Caso outro controlador de domnio assine o TGT, o RODC envia os pedidos ao controlador de domnio gravvel.) Ao limitar o caching de credenciais somente aos usurios certificados com o RODC, a exposio potencial de credenciais do RODC tambm limitada. De maneira geral, apenas um pequeno grupo de usurios do domnio possui o caching das credenciais em qualquer RODC. Portanto, no caso de o RODC ser roubado, somente as credenciais cacheadas podem potencialmente ser quebradas. O ato de deixar o caching de credenciais desabilitado pode mais adiante limitar a exposio, mas faz com que todos os pedidos de autenticao sejam encaminhados para um controlador de domnio gravvel. Um administrador pode modificar a Diretiva de Replicao de Senhas para permitir o caching de credenciais dos usurios no RODC.
Separao do Papel de Administrador

89
Voc pode delegar o papel de administrador local de RODC a qualquer usurio do domnio, sem a necessidade de lhe oferecer quaisquer direitos relativos ao domnio ou outros controladores de domnio. Assim, possvel um usurio da filial efetuar o logon em um RODC e realizar o trabalho de manuteno no servidor, como, por exemplo, a atualizao de uma unidade. Entretanto, o usurio da filial no pode efetuar o logon em nenhum outro controlador de domnio ou realizar qualquer outra tarefa administrativa no domnio. Desta forma, pode-se delegar ao usurio da filial a capacidade de gerenciar o RODC no escritrio da filial, sem comprometer a segurana do restante do domnio.
DNS Somente Leitura

Voc pode instalar o servio de Servidor DNS em um RODC. O RODC possui a capacidade de replicar todas as parties do diretrio de aplicaes utilizados pelo DNS, inclusive ForestDNSZones e DomainDNSZones. Se o Servidor DNS estiver instalado em um RODC, os clientes podem examin-lo para a resoluo de nomes da mesma forma que fazem com outros servidores DNS. Porm, o Servidor DNS em um RODC no suporta atualizaes de clientes diretamente. Por conseqncia, o RODC no registra as gravaes de recursos de name server (NS) para nenhuma zona integrada ao Active Directory que ele hospeda. Quando um cliente faz a tentativa de atualizar suas gravaes frente a um RODC, o servidor retorna uma orientao. O cliente ento pode tentar fazer a atualizao frente a um servidor DNS, o qual fornecido na mensagem de orientao. No fundo, o servidor DNS no RODC tenta replicar o relatrio atualizado pelo servidor DNS. Este pedido de replicao se refere a um nico objeto (a gravao DNS). A lista completa da zona modificada ou dos dados de domnio no replicada durante este pedido especial para a replicao de objeto nico.
Implantao
Os pr-requisitos para a implantao de um RODC so os seguintes: O controlador de domnio que contm a funo de mestre de operaes do emulador PDC (controlador de domnio primrio) precisa executar o Windows Server Longhorn. Isto necessrio para a criao da nova conta krbtgt para o RODC e suas operaes. O RODC precisa encaminhar pedidos de autenticao para um controlador de domnio gravvel que tenha instalado o Windows Server Longhorn. A Diretiva de Replicao de Senhas instalada neste controlador de domnio para determinar que as credenciais sejam replicadas para a filial, em um pedido encaminhado pelo RODC. O nvel funcional do domnio deve ser Windows Server 2003 ou superior, em que esteja disponvel uma delegao limitada por kerberos. Uma delegao limitada utilizada
90
para chamadas de segurana, que devem personificar o contexto do visitante. O nvel funcional da floresta deve ser Windows Server 2003 ou superior, para que esteja disponvel a replicao de valor relacionado. Isto permite um nvel mais alto de consistncia de replicao. preciso executar adprep /rodcprep uma vez na floresta, a fim de atualizar as permisses em todas as parties do diretrio de aplicaes DNS da floresta. Desta forma, todos os RODCs que tambm so servidores DNS podem replicar com sucesso as permisses.
91
4.03 Criptografia de Unidade de Disco BitLocker

O Criptografia de Unidade de Disco BitLocker do Windows um recurso de segurana nos sistemas operacionais Windows Vista Enterprise e Ultimate, e Windows Server Longhorn. Este recurso fornece proteo ao sistema operacional de seu computador e aos dados armazenados no volume do sistema operacional. No Windows Server Longhorn, a proteo do BitLocker tambm pode ser estendida aos volumes utilizados para o armazenamento de dados. O BitLocker exerce duas funes: O BitLocker criptografa todos os dados armazenados no volume do sistema (e volumes de dados configurados). Isto inclui o sistema operacional Windows, arquivos de pgina e hibernao, aplicaes e dados utilizados pelas aplicaes. O BitLocker configurado por padro para utilizar um TPM (Trusted Platform Module), a fim de garantir a integridade dos primeiros componentes de inicializao(componentes empregados nos primeiros estgios do processo de inicializao). Como ele trava quaisquer volumes protegidos pelo BitLocker, estes permanecem criptografados mesmo quando o sistema operacional no estiver sendo executado e o computador for mexido.
O BitLocker um componente opcional que precisa ser instalado antes de ser usado em um sistema baseado no Windows Server Longhorn. Para instalar o BitLocker, preciso selecion-lo no Gerenciador de Servidor ou digitar no prompt de comando o seguinte: start /w pkgmgr /iu:BitLocker /norestart O BitLocker pode interessar aos seguintes grupos: Administradores, profissionais de segurana de TI e oficiais responsveis por garantir que dados confidenciais no sejam revelados sem autorizao Administradores responsveis pela segurana dos computadores em escritrios remotos ou filiais Administradores responsveis por servidores ou computadores clientes Windows Vista que sejam mveis
Para fazer uso de sua total funcionalidade, O BitLocker requer um sistema com microchip TPM compatvel e BIOS. Um TPM compatvel se define como verso 1.2 TPM. Um BIOS compatvel deve suportar o TPM e o Static Root of Trust Measurement, conforme definido pelo Trusted Computing Group. Para mais informaes sobre as especificaes do TPM, visite a seo TPM Specifications no site do Trusted Computing Group:
92
(http://go.microsoft.com/fwlink/?LinkId=72757). O BitLocker exige que a partio ativa (tambm chamada de partio de sistema) no seja criptografada. O sistema operacional Windows instalado em uma segunda partio, a qual criptografada pelo BitLocker. Ao trabalhar com a criptografia de dados, especialmente em um ambiente corporativo, necessrio ter em mente como estes dados podero ser recuperados no caso de uma falha de hardware, de mudanas no quadro de funcionrios, ou outras situaes em que h perda das chaves de criptografia. O BitLocker suporta um cenrio robusto de recuperao, o qual ser descrito neste artigo mais adiante. Os principais recursos do BitLocker incluem criptografia de unidade de disco, verificao da integridade dos primeiros componentes de inicializao e o mecanismo de recuperao.
Criptografia de Unidade de Disco

Tudo que gravado em um disco protegido pelo BitLocker criptografado, inclusive o prprio sistema operacional, todos os dados e aplicaes. Isso ajuda na proteo dos dados contra acessos no autorizados. Embora a segurana fsica dos servidores seja importante, o BitLocker pode ajudar a proteger os dados em situaes em que um computador roubado, enviado de um lugar a outro, ou esteja de alguma forma fora de seu controle fsico. A criptografia de disco auxilia na preveno de ataques offline, como a remoo de uma unidade de disco de um computador e sua instalao em outro, numa tentativa de burlar medidas de segurana do Windows, tais como permisses estabelecidas pelas listas de controle de acesso (ACLs)do NTF. O BitLocker implementado em cdigo nos primeiros componentes da inicializao (registro mestre de inicializao (MBR), setor de partida, gerenciador de inicializao, Windows Loader), e como uma unidade de filtro, que parte integral do sistema operacional. Na primeira ativao do BitLocker, deve ser efetuada a criptografia dos dados existentes no volume. Voc pode continuar utilizando o computador durante este processo, mas poder notar uma reduo no desempenho durante a criptografia inicial. Aps completar a criptografia inicial, o uso do volume criptografado provoca uma leve perda de desempenho no acesso ao disco. Embora dependa muito do tipo de hardware e dos padres de operao, esta perda estimada entre 3 e 5 por cento. Em sistemas clientes, a perda geralmente no notada pelos usurios. Nos casos de servidores muito carregados, preciso avaliar o desempenho do subsistema de disco.
93
O uso de um disco capacitado para BitLocker transparente para o sistema operacional e todas as aplicaes. Para informaes mais especficas do algoritmo de criptografia do BitLocker, consulte AES-CBC + Elephant diffuser: (http://go.microsoft.com/fwlink/?LinkId=82824)
Verificao de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos primeiros componentes da inicializao, para ajudar na preveno contra ataques offline adicionais, como por exemplo, tentativas de inserir cdigos maliciosos nesses componentes. Na primeira etapa do processo de inicializao, os componentes no podem estar criptografados, para que o computador possa iniciar. Por esta razo, um agressor pode efetuar mudana de cdigo nos primeiros componentes da inicializao, tendo acesso ao computador, mesmo que os dados do disco estejam criptografados. Assim, se o agressor conseguir acesso s informaes confidenciais, como as chaves do BitLocker ou senhas do usurio, o BitLocker, bem como outras protees de segurana do Windows, podem ser burladas. Cada vez que um computador equipado com TPM inicia, cada um dos primeiros componentes de inicializao (como BIOS, MBR, setor de partida e cdigo de gerenciamento de inicializao) examina o cdigo a ser executado, calcula um valor de seqncia e armazena este valor no TPM. Uma vez instalado no TPM, esse valor no pode ser mudado at que o sistema reinicialize. Uma combinao destes valores gravada e usada para proteger as chaves de criptografia. Os computadores que incorporam um TPM podem criar uma chave vinculada a estes valores. Quando este tipo de chave criada, ela criptografada pelo TPM, e somente o TPM pode descriptograf-la. Cada vez que o computador inicia, o TPM compara os valores produzidos durante a inicializao atual com os valores que existiam no momento da criao da chave. Ele somente criptografa a chave se os valores combinarem. Este processo chamado lacrar e deslacrar a chave. O BitLocker examina e lacra as chaves nas dimenses do CRTM (Core Root of Trust), do BIOS e de qualquer extenso de plataforma, opo de cdigo memria somente leitura (ROM), cdigo MBR, setor de partida e gerenciador de partida. Isto significa que, no caso de ocorrer alguma mudana inesperada em qualquer desses tens, o BitLocker travar a unidade e impedir que ela seja acessada ou descriptografada. O Bitlocker configurado para buscar e utilizar um TPM. Voc pode empregar a Diretiva de Grupo para permitir que o BitLocker opere sem um TPM e armazene as chaves em uma unidade externa USB; entretanto, o BitLocker no pode ento verificar os primeiros componentes da inicializao.
94
preciso levar em considerao a disponibilidade de um TPM no momento da compra de hardware. Na ausncia de um TPM, a segurana fsica do servidor torna-se ainda mais importante. O BitLocker deve ser desativado durante a manuteno programada que envolva mudana em algum dos primeiros componentes de inicializao dimensionados. Aps o trmino da manuteno, o BitLocker pode ser reativado, e novas dimenses de plataforma so usadas para as chaves. A desativao e reativao no exigem a criptografia e re-criptografia do disco.
Opes de Recuperao
O BitLocker suporta uma grande srie de opes de recuperao, de modo a garantir a disponibilidade dos dados aos seus usurios legtimos. fundamental que os dados de uma empresa possam ser descriptografados, mesmo que estejam disponveis as chaves de descriptorafia mais amplamente utilizadas. A capacidade de recuperao est inserida no BitLocker, sem back doors. Porm, as empresas podem facilmente assegurar-se de que seus dados esto protegidos e disponveis. Quando o BitLocker ativado, o usurio recebe uma solicitao para armazenar uma senha de recuperao, a qual ser utilizada para destravar um volume BitLocker que estiver travado. O assistente de instalao do BitLocker exige que pelo menos uma cpia da senha de recuperao seja salva. Porm, em muitos ambientes, no possvel confiar a usurios a guarda e proteo das senhas de recuperao. Assim sendo, voc pode configurar o BitLocker para salvar as informaes de recuperao no Active Directory ou nos Servios de Domnio do Active Directory. Ns recomendamos que as senhas de recuperao sejam salvas no Active Directory em ambientes corporativos. As configuraes da Diretiva de Grupo podem ser usadas para configurar o BitLocker, de forma a exigir ou proibir diferentes tipos de armazenamento de senhas de recuperao, ou torn-las opcionais. As configuraes da Diretiva de Grupo tambm podem ser usadas para evitar a desativao do BitLocker, caso no seja possvel o backup das chaves no Active Directory. Para mais informaes sobre como configurar o Active Directory para suportar as opes de recuperao, veja: Configuring Active Directory to Back up Windows Criptografia de Unidade de Disco BitLocker e Trusted Platform Module Recovery Information (http://go.microsoft.com/fwlink/?LinkId=82827).
95
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto atravs do Windows Management Instrumentation (WMI) ou de uma interface de comando por linha. Em um ambiente com muitos computadores ou computadores em escritrios remotos e filiais, fica difcil ou impossvel gerenciar recursos e configuraes de forma individual. Os recursos do BitLocker esto dispostos no subsistema WMI, que uma implementao das estruturas e funes do WBEM (Web-Based Enterprise Management). Por essa razo, os administradores podem usar qualquer software WBEM compatvel com WMI para gerenciar o BitLocker em computadores locais ou remotos. Para mais informaes sobre BitLocker e WMI, veja: Criptografia de Unidade de Disco BitLocker Provider (http://go.microsoft.com/fwlink/?LinkId=82828) O Windows tambm adiciona ao BitLocker uma interface de comando por linha, implementada como um script chamado managebde.wsf.Voc pode usar o manage-bde.wsf para controlar todos os aspectos do BitLocker em um computador local ou remoto. Para obter uma lista completa da sintaxe e dos comandos do of managebde, digite o seguinte em um prompt de comando: manage-bde.wsf /? O gerenciamento remoto do BitLocker um componente opcional que pode ser instalado no Windows Server Longhorn, para permitir que voc gerencie outros computadores sem ativar o BitLocker no servidor que voc esteja usando. O componente opcional para o gerenciamento remoto do BitLocker chamado BitLocker-RemoteAdminTool. Este pacote de componente opcional contm o manage-bde.wsf e o arquivo associado .ini. Para instalar somente o componente de gerenciamento remoto, voc deve digitar no prompt de comando: start /w pkgmgr /iu:BitLocker-RemoteAdminTool

Dois conjuntos novos de configuraes de Diretiva de Grupo foram introduzidos para oferecer suporte ao BitLocker e ao gerenciamento do TPM. Todas as configuraes da diretiva esto explicadas no Editor de Objetos de Diretiva de Grupo. Para obter mais detalhes, abra o Group Policy Object Editor (gpedit.msc) e examine cada configurao. As configuraes de Diretiva de Grupo que afetam o BitLocker encontram-se em: Computer Configuration/Administrative Templates/Windows Components/Criptografia de Unidade de Disco BitLocker. A tabela a seguir resume estas configuraes.
96
Criptografia do BitLocker Configuraes de Diretiva de Grupo
Nome da Configurao
Ativar backup do BitLocker para Servios de Domnio do Active Directory
Padro
Desativado
Descrio
Esta configurao verifica se a informao de recuperao do BitLocker foi copiada para o Servios de Domnio do Active Directory. Se ativada, ela tambm pode verificar se o backup obrigatrio ou opcional e se somente uma senha de recuperao ou um pacote inteiro est salvo. Esta configurao especifica a posio padro mostrada ao usurio para salvar chaves de recuperao. Pode ser uma posio local ou em rede. O usurio livre para escolher outras posies. Esta configurao permite escolher se o assistente de configurao do Criptografia de Unidade de Disco BitLocker pedir ao usurio para salvar as opes de recuperao do BitLocker. Duas opes de recuperao podem destravar o acesso aos dados criptografados do BitLocker. O usurio pode digitar uma senha de recuperao numrica de 48 dgitos, sua escolha . O usurio tambm pode inserir uma unidade USB que contenha uma chave de recuperao aleatria de 256 bits. Cada uma delas pode ser exigida ou proibida. Caso voc proba as duas opes o backup para os Servios de Domnio do Active Directory precisa ser ativado. Esta configurao permite escolher se o BitLocker pode ser ativado em computadores sem TPM, e se a autenticao multifactor pode ser usada em computadores sem TPM.
Configurao do Painel de Controle: Configurar pasta de recuperao Configurao do Painel de Controle: Configurar opes de recuperao
Nenhum(Seleo do usurio)
Nenhum (Seleo do usurio)
Configurao do Painel de Controle: Ativar opes de configurao avanadas Configurar mtodo de criptografia Prevenir regravao de memria na reinicializao
Desativado
AES 128-bit com Difusor Desativado (a memria ser regravada)
Esta configurao estabelece a extenso da chave de criptografia AES e a utilizao ou no do Difusor. As chaves do BitLocker podem continuar na memria entre uma inicializao e outra se o computador no for desligado. Portanto, o BitLocker instrui os BIOS a limpar toda a memria em reinicializaes mornas, o que pode resultar em demora em sistemas com grande quantidade de memria. Ativar esta configurao pode melhorar o desempenho da reinicializao, mas no aumenta o risco de segurana. Determina quais dimenses de plataforma do TPM, armazenadas nos registros de controle de plataforma (PCRs), sero utilizadas para lacrar as chaves do BitLocker.
Configurar perfil de validao de plataforma do TPM
PCRs 0, 2, 4, 8, 9, 11
As configuraes de Diretiva de Grupo que controlam o comportamento do TPM podem ser encontradas em: Computer Configuration/Administrative Templates/System/Trusted Platform Module services. A tabela a seguir resume estas configuraes.
97
Comportamento do TPM Configuraes de Diretiva de Grupo

Nome da Configurao
Ativar backup do TPM para Servios de Domnio do Active Directory Configurar lista de comandos bloqueados do TPM
Padro
Desativado
Descrio
Esta configurao controla o backup da informao de senha do proprietrio do TPM nos Servios de Domnio do Active Directory.Caso esteja ativada, ela tambm pode controlar se o backup obrigatrio ou opcional. Esta diretiva permite que funes especficas do TPM sejam ativadas ou desativadas. Porm, as duas prximas configuraes podem restringir os comandos disponveis. As listas baseadas em Diretiva de Grupo prevalecem sobre as listas locais. As listas locais podem ser configuradas no console de Gerenciamento do TPM. Por padro, alguns comandos do TPM so bloqueados. Para ativar estes comandos, esta configurao de diretiva precisa ser ativada. Por padro, um administrador local pode bloquear os comandos no console de Gerenciamento do TPM. Esta configurao pode ser usada para evitar tal comportamento.
Nenhum
Ignorar a lista padro dos comandos do TPM bloqueados Ignorar a lista local dos comandos do TPM bloqueados
Desativado
Desativado
Para mais informaes sobre a operao do TPM e a utilizao do console de Gerenciamento do TPM, veja o Guia Passo a Passo Windows Trusted Platform Module Management: (http://go.microsoft.com/fwlink/?LinkId=82830).
Implantao
O BitLocker um componente opcional em todas as edies do Windows Server Longhorn. O BitLocker est disponvel no Windows Vista Enterprise e no Windows Vista Ultimate, e pode ser muito til na proteo de dados armazenados em computadores clientes, especialmente nos mveis. Antes de ativar o BitLocker, voc deve levar em considerao: Requisitos de Hardware. Se o hardware existente no tiver potncia suficiente para realizar a criptografia, considere fazer uma atualizao. Para utilizar a totalidade de recursos do sistema, como ser descrito adiante, a plataforma de hardware deve estar equipada com um TPM verso 1.2. Diretivas corporativas. Avalie suas diretivas relacionadas reteno de dados, criptografia e compatibilidade. Certifique-se de ter um plano para recuperao de dados, como ser discutido na prxima seo.
98
Como sero armazenadas as informaes de recuperao. Ns recomendamos a utilizao do Active Directory para backups de informaes de recuperao em ambientes corporativos.
Informaes Adicionais
Para informaes adicionais sobre o BitLocker, visite: Criptografia de Unidade de Disco BitLocker: Viso Geral Tcnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-aPasso Windows Criptografia de Unidade de Disco BitLocker (http://go.microsoft.com/fwlink/?LinkID=53779). Artigos e recursos adicionais sobre o BitLocker esto disponveis no TechCenter do Microsoft Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82914).
99

No Windows Server Longhorn, os administradores agora podem optar por instalar um ambiente mnimo, que evita sobrecargas. Embora esta opo limite o papel a ser desempenhado pelo servidor, ela pode melhorar a segurana e reduzir o gerenciamento. Este tipo de instalao chamado de instalao do Ncleo do Servidor. Para mais informaes sobre o Ncleo do Servidor, veja a seo 7.05 Ncleo do Servidor na pgina 242.
Para saber mais, veja a seo 7.05 Ncleo do Servidor na pgina 242.
100
Seo 5: Aplicao de Diretivas e Segurana

101
5.01 Introduo Aplicao de Diretivas e Segurana

O foco deste cenrio a conformidade aprimorada de segurana e gerenciamento que se torna possvel por meio dos recursos de acesso voltados s diretivas para as organizaes que implantaram o Windows Server Longhorn com Windows Vista, Windows XP SP2 e o Windows Server 2003 R2. Esse cenrio tambm inclui o conjunto completo de servios de identidade e acesso de que os clientes precisam para fornecer o gerenciamento d de usurios, a consolidao de diretrios, o logon nico, a autenticao forte e a proteo e federao de informaes.
Proposta de Valor para os Cenrios

O reforo de diretivas e de segurana permite: Determinar a integridade e o status de laptops e computadores domsticos no-gerenciados (desktop e laptop), verificar a conformidade e reforar a remediao de dispositivos no-conformes. Simplificar tarefas administrativas, como atualizaes de sistema e instalaes de aplicativos. Determinar a integridade de laptops visitantes e reforar a inspeo de dados de camada de aplicativos, verificando a existncia de malware. Simplificar tarefas administrativas, como atualizaes de sistema e instalaes de aplicativos. Utilizar a qualidade de servio baseada em diretivas para priorizar e gerenciar a taxa de envio do trfego de rede contnuo e a filtragem do trfego de entrada e sada. Aprimorar o acesso sem fio rede, dando suporte a redes que utilizam switches de autenticao, mecanismos aprimorados de criptografia e a integrao com o NAP (Network Access Protection) para diretivas especficas sem fio que do suporte autenticao 802.1x. Ajudar a estender, de forma segura, as informaes e os aplicativos aos parceiros de negcios, como tambm dar proteo a eles. Reduzir o risco de acesso no-autorizado por meio da autenticao forte. Reduzir o nmero de contas de usurio e repositrios que precisam de gerenciamento. Ajudar no gerenciamento seguro das contas e informaes de usurio fora do datacenter. Ativar a troca flexvel de informaes dentro e fora da organizao, enquanto o controle de acesso granular mantido.
102

Os requisitos de hardware adicionais so estes: Os smart cards so exigidos para clientes que desejam implantar uma soluo de autenticao forte e, dessa forma, reduzir o risco de acesso sem autorizao. Placas de acesso sem fio e pontos de acesso so exigidos para o acesso seguro sem fio.
103
5.02 Servios de Acesso e Diretiva de Rede

Os Servios de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem uma variedade de mtodos para oferecer conectividade de rede remota e local aos usurios, para conectar segmentos de rede e permitir que os administradores de rede gerenciem, de forma centralizada, o acesso rede e as diretivas de integridade do cliente. Com os Servios de Acesso Rede (Network Access Services), possvel implantar servidores VPN e de discagem, roteadores e o acesso sem fio protegido pela autenticao 802.11. Voc tambm pode implantar servidores e proxies RADIUS e utilizar o Connection Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os computadores cliente conectem-se a sua rede. Os Servios de Acesso e Diretiva de Rede fornecem as seguintes solues de conectividade de rede: Proteo Contra Acesso Rede. A Proteo Contra Acesso Rede, ou NAP (Network Access Protection), uma criao de diretiva de integridade de cliente, uma tecnologia de reforo e remediao includa nos sistemas operacionais Windows Vista Business, Enterprise e Ultimate, como tambm no Windows Server Longhorn. Com o NAP, os administradores de sistema podem estabelecer e, automaticamente, forar diretivas de integridade, as quais podem incluir requisitos de software, de atualizao de rede, configuraes exigidas de computador, alm de outras configuraes. Computadores cliente que no estiverem de acordo com a diretiva de integridade podem ter o acesso de rede restringido at que suas configuraes sejam atualizadas, fazendo com que estejam de acordo com a diretiva. Dependendo da forma com que implantar o NAP, os clientes no-conformes sero automaticamente atualizados, de forma que os usurios possam rapidamente obter novamente o acesso completo rede, sem a necessidade de atualizar ou reconfigurar manualmente seus computadores. Proteo contra Acesso com e sem fio. Ao implantar pontos de acesso sem fio 802.1X, o acesso seguro sem fio fornece aos usurios um mtodo de autenticao baseado em senhas e com segurana aprimorada fcil de ser implantado. Ao implantar switches de autenticao 802.1X, o acesso com fio permite que voc assegure sua rede, garantindo que os usurios da intranet sejam autenticados antes que possam conectar-se rede ou obter um endereo IP utilizando o DHCP. Solues de acesso remoto. Com as solues de acesso remoto, voc pode fornecer aos usurios o acesso discado e VPN rede da organizao. Alm disso, possvel conectar
104
os escritrios de filiais a sua rede por meio de solues VPN, implantar roteadores de software com diversos recursos em sua rede, como tambm compartilhar conexes da Internet pela intranet. Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS. Em vez de configurar diretivas de acesso rede em cada servidor de acesso rede, como pontos de acesso sem fio, switches de autenticao, servidores VPN e servidores de discagem, voc poder criar diretivas em um nico local que especifique todos os aspectos das solicitaes de conexo rede, incluindo quem tem permisso para conectar-se, quando a conexo poder ser feita e o nvel de segurana que deve ser utilizado para conectar-se a sua rede.
Servios de Funo para Servios de Acesso e Diretiva de Rede

Ao instalar os Servios de Acesso e Diretiva de Rede, os seguintes servios de funo estaro disponveis: Network Policy Server. O NPS a implementao da Microsoft de um servidor e proxy RADIUS. Ele pode ser utilizado para gerenciar, de forma centralizada, o acesso rede por meio de uma variedade de servidores de acesso rede, incluindo pontos de acesso sem fio, servidores VPN (virtual private networking) servidores de discagem e switches de autenticao 802.1X. Alm disso, voc pode utilizar o NPS para implantar a autenticao segura de senhas com o protocolo PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 para conexes sem fio. O NPS tambm contm componentes principais para a implantao do NAP na rede.
As seguintes tecnologias podem ser implantadas aps a instalao do servio de funo NPS: o Servidor de diretiva NAP. Quando voc configura o NPS como um servidor de diretiva NAP, o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se rede. Voc pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configuraes de forma que estejam de acordo com a diretiva de rede de sua organizao. IEEE 802.11 Sem fio. Com a utilizao do snap-in do MMC (Microsoft Management Console) NPS, voc pode configurar diretivas de solicitao de conexo baseadas na autenticao 802.1X para o acesso rede cliente sem fio IEEE 802.11. Alm disso, voc pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service)
105
no NPS e utilizar o NPS como um servidor RADIUS para processar solicitaes de conexo, bem como realizar a autenticao, autorizao e registro de conexes sem fio 802.11. possvel integrar totalmente o acesso sem fio IEEE 802.11 com o NAP durante a implantao de uma infra-estrutura de autenticao sem fio 802.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permisso para conectar-se rede. o IEEE 802.3 Com fio. Com a utilizao do snap-in do MMC NPS, voc pode configurar diretivas de solicitao de conexo baseadas na autenticao 802,1X para o acesso rede Ethernet com fio IEEE 802.3. Voc pode configurar switches em conformidade com o 802.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitaes de conexo, bem como realizar autenticao, autorizao e registro de conexes Ethernet 802.3. possvel integrar totalmente o acesso cliente com fio IEEE 802.3 com o NAP durante a implantao de uma infra-estrutura de autenticao com fio 802.1X. Servidor RADIUS. O NPS realiza a autenticao de conexo centralizada, a autorizao e o registro de conexes VPN, discadas de acesso remoto e de switch de autenticao. - Dvida Ao utilizar o NPS como um servidor RADIUS, voc configura servidores de acesso rede, tais como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Voc tambm pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitaes de conexo, alm de poder configurar o registro RADIUS para que os logs do NPS registrem informaes nos arquivos de log no disco rgido local ou em um banco de dados do Microsoft SQL Server. Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS, voc poder configurar diretivas de solicitao de conexo que informem o servidor NPS quais solicitaes de conexo devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS voc deseja encaminhar solicitaes de conexo. O NPS tambm pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos.
Roteamento e Acesso Remoto. Com o Roteamento e Acesso Remoto, voc pode implantar servios de acesso remoto, servios de roteamento NAT de rede e multiprotocolos LANto-LAN e LAN-to-WAN. (Dvida)
106
As seguintes tecnologias podem ser implantadas durante a instalao do servio de funo de Roteamento e Acesso Remoto: o Servio de Acesso Remoto. Com o Roteamento e Acesso Remoto, voc pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexes VPN IPsec (Internet Protocol security) a fim de fornecer aos usurios finais o acesso remoto rede de sua organizao. Voc tambm pode criar uma conexo VPN de site para site entre dois servidores em diferentes locais. Cada servidor configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. A conexo entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda). O Acesso Remoto tambm fornece acesso remoto tradicional para dar suporte a usurios mveis ou domsticos que se conectam a intranets de uma organizao. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitaes de conexes de entrada a partir de clientes de rede dial-up. O servidor de acesso remoto responde chamada, autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organizao. o Roteamento. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet. Alm disso, ele oferece servios de roteamento aos negcios em ambientes LAN (local area network) e WAN (wide area network). Ao implantar o NAT, o servidor que executa o Roteamento e Acesso Remoto configurado para compartilhar uma conexo da Internet com os computadores de uma rede privada e traduzir o trfego entre seu endereo pblico e a rede privada. Utilizando o NAT, os computadores na rede privada obtm alguma medida de proteo, pois o roteador com o NAT configurado no encaminha o trfego a partir da Internet para a rede privada, a menos que um cliente de rede privada tenha solicitado ou que o trfego esteja explicitamente permitido. Ao implantar a VPN e o NAT, o servidor que executa o Roteamento e Acesso Remoto configurado para fornecer o NAT para a rede privada e para aceitar conexes VPN. Os computadores na Internet no podero determinar os endereos IP dos computadores na rede privada. Entretanto, os clientes VPN podero conectar-se aos computadores na rede privada, como se estivessem fisicamente ligados mesma rede.
107
Health Registration Authority (HRA). O HRA um componente NAP que emite certificados de integridade a clientes que passam pela verificao de diretiva de integridade realizada pelo NPS utilizando o SoH cliente. O HRA utilizado somente quando o mtodo de reforo NAP um reforo do IPsec. Host Credential Authorization Protocol (HCAP). O HCAP permite que voc integre sua soluo Microsoft NAP ao Cisco Network Access Control Server. Ao implantar o HCAP com o NPS e o NAP, o NPS pode realizar a avaliao de integridade do cliente e a autorizao dos clientes de aceso Cisco 802.1X.
Gerenciando a Funo de Network Policy Server and Access Services

As seguintes ferramentas so fornecidas para gerenciar a funo de Network Policy Server and Access Services: Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP. Comandos Netsh para o NPS. Os comandos Netsh para o NPS fornecem um conjunto de comandos equivalentes a todas as configuraes disponveis por meio do snap-in MMC NPS. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Snap-in MMC HRA Utilize o MMC HRA para designar a CA (certification authority - autoridade de certificao) utilizada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS ao qual o HRA enviar SoHs cliente para verificao mediante a diretiva de integridade. Comandos Netsh para o HRA. Os comandos Netsh para o HRA fornecem um conjunto de comandos equivalentes a todas as configuraes disponveis por meio do snap-in MMC HRA. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Snap-in MMC snap-in NAP segurana e com suporte NAP Client Management. Voc pode utilizar o Client Management para definir configuraes de de interface de usurio em computadores cliente para a arquitetura NAP.
Comandos Netsh para definir configuraes de cliente NAP. Os comandos Netsh para as configuraes de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configuraes disponveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Snap-in MMC Routing and Remote Access. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de rede
108
dial-up, um roteador, um conexo site-site VPN, VPN e NAT ou NAT. Comandos Netsh para acesso remoto (RAS). Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configuraes de acesso remoto disponveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Comandos Netsh para roteamento. Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configuraes de acesso remoto disponveis por meio do snap-in de Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Wireless Network (IEEE 802.11) Policies snap-in (MMC) Group Policy Object Editor. A extenso Wireless Network (IEEE 802.11) Policies automatiza a definio das configuraes de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service - servio de configurao automtica de LAN sem fio). Voc pode utilizar a extenso Wireless Network (IEEE 802.11) Policies no Group Policy Object Editor para especificar as configuraes para clientes sem fio Windows XP e Windows Vista. As extenses Wireless Network (IEEE 802.11) Policies Group Policy incluem configuraes globais sem fio, a lista de redes preferidas, as configuraes WPA (Wi-Fi Protected Access), alm das configuraes IEEE 802.1X. Quando essas configuraes so definidas, o download delas feito para os clientes sem fio do Windows que so membros do domnio. As configuraes sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configurao de Computador. Por padro, a extenso Wireless Network (IEEE 802,11) Policies no configurada ou ativada. Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configuraes de segurana do Windows Vista. Voc pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar mltiplos computadores que utilizem um script de logon. Alm disso, possvel utilizar os comandos Netsh wlan para visualizar as configuraes de Diretiva de Grupo e administrar as configuraes do WISP (Wireless Internet Service Provider) e as configuraes sem fio de usurio. A interface Netsh sem fio fornece os seguintes benefcios: o Suporte para o modo misto. Isso permite que os administradores configurem clientes para dar suporte
109
s mltiplas opes de segurana. Por exemplo, um cliente pode ser configurado para os padres de autenticao WPA2 e WPA. Isso permite que o cliente utilize o WPA2 para conectar-se s redes com suporte ao WPA2 e utilize o WPA para conectar-se s redes com suporte apenas ao WPA. o Bloqueio de redes no desejadas. Os administradores podem bloquear e ocultar o acesso s redes sem fio no-corporativas, adicionando redes ou tipos de redes lista de redes negadas. De forma semelhante, possvel permitir o acesso s redes sem fio corporativas.
Wireless Network (IEEE 802.3) Policies snap-in (MMC) Group Policy Object Editor. Voc pode utilizar o Wired Network (IEEE 802.3) Policies para especificar e modificar as configuraes para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extenses Wireless Network (IEEE 802.11) Policies Group Policy incluem configuraes globais com fio e IEEE 802.1X. Essas configuraes incluem o conjunto completo de itens de configurao com fio associados s guias Geral e Segurana. Quando essas configuraes so definidas, o download delas feito para os clientes sem fio do Windows que so membros do domnio. As configuraes sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. Por padro, a extenso Wired Network (IEEE 802.3) Policies no configurada ou ativada.
Comandos Netsh para a LAN. A interface Netsh LAN uma alternativa para utilizar a Diretiva de Grupo no Windows Server Longhorn a fim de configurar as configuraes de segurana e a conectividade com fio do Windows Vista. Voc pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar mltiplos computadores. Alm disso, possvel utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802.3) Policies e administrar as configuraes 1x com fio do cliente.
Recursos Adicionais
Para saber mais sobre os Servios de Acesso e Diretiva de Rede, abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda: Snap-in MMC NPS Snap-in MMC Routing and Remote Access. Snap-in MMC HRA Snap-in MMC Group Policy Object Editor
110
5.03 Proteo contra Acesso Rede

Um dos maiores desafios encontrados nos negcios dos dias de hoje a exposio crescente dos dispositivos de clientes a softwares maliciosos, como vrus e worms. Esses programas podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem em outros dispositivos na rede corporativa. Os administradores de rede podem utilizar a plataforma NAP para melhor proteger suas redes, ajudando a garantir que os sistemas cliente mantenham as atualizaes de software e as configuraes de sistema apropriadas para proteg-los contra softwares maliciosos. O NAP (Network Access Protection) um novo conjunto de componentes de sistema operacional includo no Windows Server Longhorn e no Windows Vista que fornece uma plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa atendam aos requisitos quanto integridade do sistema definidos pelo administrador. As diretivas NAP definem a configurao e o status de atualizao exigidos para o sistema operacional e o software principal do computador de um cliente. Por exemplo, pode ser exigido que os computadores possuam um software antivrus com as mais recentes assinaturas instaladas, com as atualizaes instaladas no sistema operacional atual e com um firewall baseado em host ativado. Reforando o cumprimento desses requisitos de integridade, o NAP pode ajudar os administradores de rede na diminuio de alguns riscos causados por computadores cliente configurados de forma imprpria que podem ser expostos a vrus e a outros softwares maliciosos. O NAP refora os requisitos de integridade, monitorando e avaliando o funcionamento dos computadores cliente quando estes tentam conectar-se rede ou comunicar-se com ela. Caso seja determinado que os computadores cliente no estejam em conformidade com os requisitos de integridade, eles podero ser colocados em uma rede restrita que contenha os recursos para dar assistncia na remediao de sistemas de clientes de forma que eles possam estar em conformidade com as diretivas de integridade. Os administradores de sistemas e de rede que desejam reforar os requisitos de integridade do sistema para computadores cliente que se conectam s redes suportadas por eles tero interesse em utilizar o NAP. Com o NAP, os administradores de rede podero: Garantir a integridade dos computadores desktop na LAN, ou que esto configurados para o DHCP, ou que se conectam por meio de dispositivos de autenticao 802.1X, ou ainda que possuam diretivas IPsec NAP aplicadas em suas comunicaes.
111
Reforar os requisitos de integridade para laptops mveis quando estes forem conectados novamente na rede da empresa. Verificar a integridade e a conformidade de diretivas dos computadores domsticos no-gerenciados que se conectam rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto. Determinar a integridade e restringir o acesso dos laptops trazidos para uma organizao pelos visitantes e parceiros.
Dependendo de suas necessidades, os administradores podem configurar uma soluo para lidar com qualquer um desses cenrios. O NAP tambm inclui um conjunto API para desenvolvedores e fornecedores para que estes possam criar seus prprios componentes para validao de diretivas de rede, para a conformidade contnua e o isolamento de rede. As implantaes do NAP exigem servidores que executem o Windows Server Longhorn. Alm disso, so exigidos computadores cliente que executem o Windows Vista, o Windows Server Longhorn ou o Windows XP com SP2 e o Network Access Protection Client para Windows XP. O servidor central que realiza a anlise de determinao da integridade para o NAP um computador que executa o Windows Server Longhorn e o NPS. O NPS a implementao do Windows de um servidor e proxy RADIUS. O NPS o substituto do IAS (Internet Authentication Service) no Windows Server 2003. Os dispositivos de acesso e os servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a autenticao e a autorizao de uma tentativa de conexo rede e, com base nas diretivas de integridade do sistema, determina a conformidade da integridade do computador e tambm como limitar o acesso rede de um computador que no est em conformidade com as diretivas. A plataforma NAP uma nova tecnologia de reforo e validao de integridade do cliente includa nos sistemas operacionais Windows Server Longhorn e Windows Vista. Nota O framework do NAP no o mesmo do Network Access Quarantine Control, o qual um recurso fornecido com o Windows Server 2003 e o ISA Server 2004. O Network Access Quarantine Control pode fornecer proteo adicional para conexes de acesso remoto (dial-up e VPN). Para mais informaes sobre o Network Access Quarantine Control no Windows Server 2003, veja Network Access Quarantine Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447). Para mais informaes sobre esse recurso no ISA Server 2004, veja Clientes Mveis VPN e Quarantine Control no ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).
112
Principais Processos do NAP

Diversos processos importantes so exigidos para que o NAP funcione de forma apropriada: a validao de diretivas, o reforo NAP e a restrio de rede, a remediao e o monitoramento contnuo para garantir a conformidade.
Validao de Diretivas
Os SHVs (System health validators validadores de integridade do sistema) so utilizados pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs so incorporados s diretivas de rede que determinam as aes a serem realizadas com base no status da integridade do cliente, como conceder acesso total rede ou restringir o acesso rede. O status da integridade monitorado pelos componentes NAP do lado do cliente, chamados de SHAs (system health agents agentes de integridade do sistema). O NAP utiliza os SHAs e os SHVs para monitorar, reforar e remediar configuraes de computadores cliente. O Windows Security Health Agent e o Windows Security Health Validator esto includos nos sistemas operacionais Windows Server Longhorn e Windows Vista e reforam as seguintes configuraes para computadores ativados para o NAP: O computador cliente deve possuir software de firewall instalado e ativado. O computador cliente deve possuir software antivrus instalado e em execuo. O computador cliente deve possuir atualizaes de antivrus atuais instaladas. O computador cliente deve possuir software anti-spyware instalado e em execuo. O computador cliente deve possuir atualizaes de antispywares atuais instaladas. O Microsoft Update Services deve estar ativado no computador cliente.
Alm disso, se computadores clientes ativados para o NAP estiverem executando o Windows Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update Service), o NAP poder verificar se a maioria das atualizaes de segurana de software est instalada, com base em um dos quatro valores possveis que correspondem classificao de severidade de segurana do MSRC(Microsoft Security Response Center).
Reforo do NAP e Restrio de Rede

O NAP pode ser configurado para negar o acesso rede para computadores cliente em no-conformidade e permitir que esses computadores acessem somente uma rede restrita. Uma rede restrita
113
deve conter os servios NAP principais, como os servidores HRA e os servidores de remediao, para que clientes NAP em no-conformidade possam atualizar suas configuraes e estar em conformidade com os requisitos de integridade. As configuraes de reforo NAP permitem que voc limite o acesso rede de clientes em no-conformidade ou apenas observe e registre o status de integridade de computadores cliente ativados para o NAP. Voc pode optar por restringir o acesso, adiar a restrio de acesso ou ainda permitir o acesso por meio da utilizao das seguintes configuraes: Do not enforce (No aplicar). Esta a configurao padro. Os clientes que atendem s condies de diretiva so considerados como estando em conformidade com os requisitos de integridade de rede e a eles concedido acesso irrestrito rede caso a solicitao de conexo seja autenticada e autorizada. O status de conformidade de integridade dos computadores cliente ativados para o NAP registrado. Enforce (Aplicar). Os computadores cliente que atendem s condies de diretivas so considerados como no estando em conformidade com os requisitos de integridade de rede. Esses computadores so colocados na rede restrita. Defer enforcement (Adiar aplicao). Os clientes que atendem s condies de diretivas recebem, temporariamente, acesso irrestrito. O NAP adiado at a data e o horrio especificados.
Remediao
Os computadores cliente no-conformes que so colocados em uma rede restrita podem ser submetidos remediao. Remediao o processo de atualizar um computador cliente de forma que ele passe a atender aos requisitos atuais de integridade. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais de vrus de forma que os computadores cliente em no-conformidade possam atualizar suas assinaturas. possvel utilizar as configuraes do NAP nas diretivas de integridade NPS para configurar a remediao automtica, de forma que os componentes do cliente NAP tentem, automaticamente, atualizar o computador cliente quando este estiver em noconformidade com os requisitos de integridade de rede. Voc pode utilizar a seguinte configurao de diretiva para configurar a remediao automtica: Atualizaes de computador. Se a opo Update noncompliant computers automatically estiver selecionada, a remediao automtica estar ativada, e os computadores ativados para o que no estiverem em conformidade com os requisitos de integridade tentaro, automaticamente, fazer a atualizao.
114
Monitoramento Contnuo para Garantir a Conformidade

O NAP pode reforar a conformidade da integridade em computadores cliente em conformidade que j estejam conectados rede. Esta funcionalidade muito til para garantir que uma rede esteja protegida em uma base continua conforme vo ocorrendo mudanas nas diretivas de integridade e nos computadores cliente. Por exemplo, se a diretiva de integridade exigir que o Windows Firewall esteja ativado, e um usurio, inadvertidamente, desabilit-lo, o NAP poder determinar se o computador cliente est em um estado de noconformidade. O NAP ir ento colocar o computador cliente na rede restrita at que o Windows Firewall seja ativado novamente. Se a remediao automtica estiver ativada, os componentes do cliente NAP podero ativar automaticamente o Firewall do Windows sem a interveno do usurio.
Mtodos de Reforo NAP

Baseado no estado de funcionamento de um computador cliente, o NAP pode permitir o acesso total rede, limitar o acesso a uma rede restrita ou negar o acesso rede. Os computadores cliente que so determinados como estando em no-conformidade com as diretivas de integridade tambm podem ser automaticamente atualizados a fim de atender a esses requisitos. A forma com que o NAP reforado depende no mtodo de reforo escolhido. O NAP refora as diretivas de integridade para: O trfego protegido pelo IPsec O controle de acesso rede com e sem fio baseado na porta 802.1X A VPN com o Routing and Remote Access O lease e a renovao de endereos IPv4 DHCP
As sees a seguir descrevem esses mtodos de reforo.
Reforo NAP para Comunicaes IPsec

O reforo NAP para o trfego protegido pelo IPsec implantado com um servidor de certificado de integridade, um servidor HRA, um servidor NPS e um cliente de reforo IPsec. O servidor de certificado de integridade emite certificados X.509 aos clientes NAP quando determinado que esses clientes esto em conformidade com os requisitos de integridade de rede. Ento, esses certificados so utilizados para autenticar clientes NAP quando estes iniciam comunicaes protegidas pelo IPsec com outros clientes NAP em uma intranet. O reforo IPsec limita a comunicao em sua rede aos clientes em conformidade e fornece a forma mais forte do reforo NAP. Como esse mtodo de reforo utiliza o IPsec, possvel definir requisitos para comunicaes protegidas em uma base por endereo IP ou por nmero de porta TCP/UDP.
115
Reforo NAP para 802.1X

O reforo NAP para o controle de acesso rede baseado na porta 802.1X implantado com um servidor NPS e um componente cliente de reforo EAPHost. Com o reforo baseado na porta 802.1X, um servidor NPS ordena que um switch de autenticao 802.1X ou um ponto de acesso sem fio em conformidade com o 802.1X coloque clientes 802.1X em no-conformidade em uma rede restrita. O servidor NPS limita o acesso rede do cliente rede restrita, ordenando que o ponto de acesso aplique filtros IP ou um identificador de LAN conexo. O reforo 802.1X fornece forte restrio de rede para todos os computadores que acessam a rede por meio de dispositivos de acesso rede ativados para 802.1X.
Reforo NAP para VPN

O reforo NAP para VPN implantado com um componente de servidor de reforo VPN e um componente cliente de reforo VPN. Com o reforo NAP para VPN, os servidores VPN podero reforar a diretiva de integridade quando computadores clientes tentarem conectar-se rede utilizando uma conexo VPN de acesso remoto. O reforo VPN fornece forte acesso limitado rede para todos os computadores que acessam a rede por meio de uma conexo VPN de acesso remoto.
Reforo NAP para DHCP

O reforo DHCP implantado com um componente de servidor de reforo NAP DHCP, um componente cliente de reforo DHCP e o NPS. Utilizando o reforo DHCP, os servidores DHCP e o NPS podero reforar a diretiva de integridade quando um computador tentar obter ou renovar um endereo IPv4. O servidor NPS limita o acesso rede do cliente rede restrita, ordenando que o servidor DHCP atribua uma configurao limitada de endereo IP. Entretanto, se os computadores cliente estiverem configurados para tirar vantagem (circumvent) da configurao de endereo IP, o DHCP no ser eficiente.
Abordagens Combinadas
Cada um desses mtodos de reforo NAP possui diferentes vantagens. Combinando os mtodos de reforo, ser possvel combinar as vantagens desses mtodos. Entretanto, ao implantar mltiplos mtodos de reforo NAP, voc poder fazer com que sua implementao NAP seja mais complexa de ser gerenciada. O framework do NAP tambm fornece um conjunto de APIs que permite que outras empresas que no sejam a Microsoft integrem seus softwares com a NAP. Utilizando as APIs do NAP, fornecedores e desenvolvedores de software podero fornecer solues de fim a fim que validem o funcionamento e faam a remediao de clientes em no-conformidade.
Implantao
116
Os preparativos necessrios para a implantao do NAP dependem do mtodo (ou mtodos) de reforo escolhido e dos requisitos de integridade que se pretende reforar quando os computadores cliente tentam conectar-se rede ou comunicar-se com ela. Se voc for um administrador de sistemas ou de rede, ser possvel implantar o NAP com o Windows Security Health Agent e o Windows Security Health Validator. Voc tambm poder verificar com outros fornecedores de software se eles possuem SHAs e SHVs para seus produtos. Por exemplo, se um fornecedor de software antivrus desejar criar uma soluo NAP que inclua um SHA e um SHV personalizado, ele poder utilizar um conjunto de APIs para criar esses componentes, os quais podero ser integrados com as solues NAP implantadas pelos clientes desse fornecedor. Alm dos SHAs e SHVs, a plataforma NAP utilize mltiplos componentes de servidor e cliente para detectar e monitorar o status da integridade do sistema dos computadores cliente quando estes tentam conectar-se rede ou comunicar-se com ela. Na figura abaixo, so ilustrados alguns componentes comuns utilizados na implantao do NAP:
117
Componentes do Cliente NAP

Um cliente ativado para o NAP um computador que possui os componentes NAP instalados e que pode verificar seu estado de funcionamento, enviando uma lista de SoH (statements of health) ao NPS. A seguir, esto os componentes do cliente NAP comuns: Agente de integridade do sistema. Um SHA monitora e relata o estado de funcionamento do computador cliente de forma que o NPS possa determinar se as configuraes monitoradas pelo SHA esto atualizadas e configuradas corretamente. Por exemplo, o Microsoft SHA pode monitorar o Firewall do Windows; se um software antivrus estiver instalado, ativado e atualizado; se h softwares antispyware instalado, ativado e atualizado e se o Microsoft Update Services est ativado e o computador possui suas mais recentes atualizaes. Tambm pode haver SHAs disponveis em outras empresas que fornecem funcionalidades adicionais. NAP Agent (Agente NAP). O agente NAP coleta e gerencia informaes de funcionamento. O agente NAP tambm processa o SoH a partir dos SHAs e relata o funcionamento do cliente aos clientes de reforo instalados. Para indicar o estado completo de um cliente NAP, o agente NAP utiliza uma lista de SoH. NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um NAP EC (NAP enforcement client) deve estar instalado e ativado nos computadores cliente. NAP EC individuais so especficos ao mtodo, conforme descrito anteriormente. Os clientes de reforo NAP integram-se com tecnologias de acesso rede, como IPsec, o controle de acesso rede com e sem fio baseado em porta 802.1X, VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforo NAP solicita acesso rede, informa o status do funcionamento de um computador cliente ao servidor NPS e informa o status restrito do computador cliente aos outros componentes da arquitetura NAP. SoH (Statement of health). Um SoH uma declarao de um SHA que afirma seu status de funcionamento. Os SHAs criam SoHs, os quais so enviados ao agente NAP.
Componentes de Servidor NAP

A seguir, esto os componentes de servidor NAP comuns: Diretivas de funcionamento. As diretivas NPS definem os requisitos de integridade e as configuraes de reforo para os computadores cliente que solicitam acesso rede. O NPS processa as mensagens de Solicitao de Acesso RADIUS (RADIUS Access-Request) que contm a lista de SoH enviada pelo NAP EC e passa essas mensagens para o servidor de administrao NAP. Servidor de administrao NAP. O componente de servidor de administrao NAP fornece uma funo de processamento parecida com o agente NAP no lado do cliente. Ele recebe a lista de SoH do servidor de reforo NAP por meio do NPS e distribui cada SoH para o SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos
118
SHVs e envia essas respostas ao NPS para que este faa uma avaliao. SHVs (System health validators - validadores de integridade do sistema). Os SHVs so cpias de software de servidor para os SHAs. Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs verificam o SoH feito por seu SHA correspondente no computador cliente. Os SHAs e os SHVs so associados um ao outro, juntamente com um servidor de diretivas correspondente (se exigido) e, talvez, a um servidor de remediao. Um SHV tambm pode detectar que nenhum SoH foi recebido (por exemplo, se o SHA nunca tiver sido instalado, se tiver sido danificado ou removido). Se o SoH atender ou no diretiva definida, o SHV enviar uma mensagem SoHR (statement of health response - declarao de resposta de integridade) para o servidor de administrao NAP. Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o servidor NPS dever coordenar a sada de todos os SHVs e determinar se deve ser limitado o acesso de um computador em no-conformidade. Isso exige um planejamento cuidadoso ao definir diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs interagem. NAP enforcement server (servidor de reforo NAP). O NAP ES associado a um NAP EC correspondente para o mtodo de reforo NAP que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC, passando-os para que o NPS faa uma avaliao. Com base na resposta, fornecido acesso limitado ou ilimitado rede para o cliente ativado para o NAP. Dependendo do tipo de reforo NAP, o NAP ES pode ser uma autoridade de certificao (reforo IPsec), um switch de autenticao ou um ponto de acesso sem fio (reforo 802.1x), um servidor Roteamento e Acesso Remoto(reforo VPN) ou um servidor DHCP (reforo DHCP). Servidor de diretivas. Um servidor de diretivas um componente de software que se comunica com um SHV a fim de fornecer as informaes utilizadas na avaliao dos requisitos para a integridade do sistema. Por exemplo, um servidor de diretivas, como um servidor de assinaturas antivrus, pode fornecer a verso do arquivo atual de assinaturas para a validao de um SoH antivrus cliente. Os servidores de diretivas so associados aos SHVs, mas nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um SHV pode simplesmente ordenar que clientes ativados para o NAP verifiquem as configuraes locais de sistema a fim de assegurar que um firewall baseado em host esteja ativado. Servidor de remediao. Um servidor de remediao hospeda as atualizaes que podem ser utilizadas pelos SHAs para fazer com que computadores cliente em no-conformidade passem a estar em conformidade. Por exemplo, um servidor de remediao pode hospedar atualizaes de software. Se a diretiva de integridade exigir que
119
os computadores cliente NAP possuam as mais recentes atualizaes de software instaladas, o NAP EC ir restringir o acesso rede dos clientes que no possurem essas atualizaes. Os servidores de remediao devem estar acessveis aos clientes com acesso restrito rede para que os clientes obtenham as atualizaes exigidas para que estejam em conformidade com as diretivas de integridade. SoHR (Statement of health response). Depois que o SoH cliente for avaliado mediante a diretiva de integridade pelo SHV apropriado, um SoHR ser gerado, contendo os resultados da avaliao. O SoHR inverte o caminho do SoH e enviado de volta ao SHA do computador cliente. Se o computador cliente for considerado como estando em no-conformidade, o SoHR ir conter as instrues de remediao utilizadas pelo SHA para fazer com que a configurao do computador cliente esteja em conformidade com os requisitos de integridade. Assim como cada tipo de SoH contm diferentes tipos de informaes sobre o status do funcionamento do sistema, cada mensagem SoHR contm as informaes sobre como estar em conformidade com os requisitos de integridade.
Informaes Adicionais
Para mais informaes sobre o NAP, acesse o site sobre Network Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).
120
5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao

A rede e as comunicaes so muito importantes para que as organizaes consigam superar o desafio da grande competio no mercado global. Os funcionrios precisam conectar-se rede onde quer que eles estejam e a partir de qualquer dispositivo. Parceiros, fornecedores e outras pessoas fora da rede precisam interagir, de forma eficiente, com os recursos principais. Alm disso, segurana um fator mais importante do que nunca. A seguir, teremos uma viso geral tcnica sobre as melhorias de comunicao e rede TCP/IP encontradas no Microsoft Windows Server Longhorn e Windows Vista para lidar com questes de conectividade, facilidade de uso, gerenciamento, confiabilidade e segurana. Com o Windows Server Longhorn e o Windows Vista, os administradores de TI possuem mais opes flexveis para gerenciar a infra-estrutura de rede, rotear o trfego de rede de forma eficiente e implantar cenrios de trfego protegido. O Windows Server Longhorn e o Windows Vista incluem muitas alteraes e melhorias para os seguintes protocolos e componentes centrais de rede: Pilha TCP/IP de ltima gerao Melhorias no IPv6 QoS (Quality of Service) baseada em diretivas para redes corporativas.
Pilha TCP/IP de ltima Gerao

O Windows Server Longhorn e o Windows Vista incluem uma nova implementao da pilha do protocolo TCP/IP, conhecida como a Pilha TCP/IP de ltima gerao. A Pilha TCP/IP de ltima gerao um design completamente reformulado da funcionalidade do TCP/IP tanto para o IPv4 (Internet Protocol version 4) quanto para o IPv6 (Internet Protocol version 6) que atende s necessidades de desempenho e conectividade dos diversos ambientes e tecnologias de rede dos dias de hoje. Os seguintes recursos so novos ou aprimorados: Receive Window Auto-Tuning Compound TCP Melhorias para ambientes de alto ndice de perda Neighbor Un-reach-ability Detection for IPv4 Alteraes na deteco de gateways inativos Alteraes na deteco de roteadores de buraco negro PMTU Compartimentos de Roteamento
121
Suporte ao Network Diagnostics Framework Windows Filtering Platform Explicit Congestion Notification
Receive Window Auto-Tuning

O tamanho da janela de recebimento TCP (TCP receive window size) a quantidade de bytes em um buffer de memria em um host de recebimento utilizada para armazenar dados de entrada em uma conexo TCP. Para determinar corretamente o valor do tamanho mximo da janela de recebimento para uma conexo com base nas condies atuais da rede, a Pilha TCP/IP de ltima gerao d suporte ao Receive Window Auto-Tuning. O Receive Window AutoTuning determina o tamanho da janela de recebimento ideal por conexo, calculando o produto do atraso da largura de banda (a largura de banda multiplicada pela latncia da conexo) e o ndice de recuperao do aplicativo. Depois, o tamanho mximo da janela de recebimento ajustado em uma base regular. Com maior velocidade do processamento entre os pontos TCP, a utilizao da largura de banda de rede aumenta durante a transferncia de dados. Se todos os aplicativos forem otimizados para receber dados TCP, a utilizao total da rede poder aumentar de forma significativa.
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a velocidade do processamento do receptor, o CTCP (Compound TCP) na Pilha TCP/IP de ltima gerao otimiza a velocidade do processamento do emissor. Trabalhando juntos, eles podem aumentar a utilizao de links e produzir ganhos substanciais de desempenho para grandes conexes de produto de atraso de largura de banda. O CTCP utilizado para conexes TCP com um grande tamanho de janela de recebimento e um grande produto de atraso de largura de banda (a largura de banda de uma conexo multiplicada pelo seu atraso). Ele aumenta, de forma significativa, a quantidade de dados enviados por vez e ajuda a garantir que seu comportamento no cause impactos negativos em outras conexes TCP. Por exemplo, em testes realizados internamente na Microsoft, os horrios de backup para arquivos extensos foram reduzidos em quase metade para uma conexo de 1 gigabit por segundo com um RTT (round-trip time) de 50 milsimos de segundo. Conexes com um produto de atraso de largura de banda maior podem ter um melhor desempenho.
Melhorias para Ambientes de Alto ndice de Perda

A Pilha TCP/IP de ltima gerao tem suporte para as seguintes RFCs (Request for Comments) a fim de otimizar a velocidade do processamento em ambientes alto ndice de perda:
122
RFC 2582: Modificao NewReno para o Algoritmo de Recuperao Rpida do TCP
Quando mltiplos segmentos em uma janela de dados forem perdidos, e o emissor receber uma confirmao parcial informando que os dados foram recebidos, o algoritmo NewReno fornecer uma maior velocidade do processamento, alterando a forma com que um emissor pode aumentar sua taxa de envio. RFC 2883: Uma Extenso Opo SACK (Selective Acknowledgement) para TCP
O SACK, definido na RFC 2018, permite que um receptor indique at quatro blocos no-contguos de dados recebidos. A RFC 2883 define uma utilizao adicional da opo SACK TCP para reconhecer pacotes duplicados. Isso permite que o receptor do segmento TCP que contm a opo SACK determine quando um segmento foi retransmitido desnecessariamente e ajuste o comportamento para evitar futuras retransmisses. Reduzir o nmero de retransmisses enviadas melhora a velocidade do processamento. RFC 3517: Um Algoritmo de Recuperao de Perdas Baseado no SACK (Selective Acknowledgment) Conservador para TCP
Considerando que o Windows Server 2003 e o Windows XP utilizam as informaes do SACK somente para determinar quais segmentos TCP no chegaram no destino, a RFC 3517 define um mtodo de utilizar as informaes do SACK para realizar a recuperao de perda quando confirmaes duplicadas tiverem sido recebidas e substitui o algoritmo de recuperao rpida quando o SACK estiver ativado em uma conexo. A Pilha TCP/IP de ltima gerao controla as informaes do SACK em uma base por conexo e monitora as confirmaes de entrada a fim fazer a recuperao mais rapidamente quando segmentos no forem recebidos no destino. RFC 4138: Recuperao F-RTO (Forward RTO): Um Algoritmo para a Deteco de Falsos Timeouts de Retransmisso com o TCP e o SCTP (Stream Control Transmission Protocol)
O algoritmo F-RTO (Forward-Retransmission Timeout) evita a retransmisso desnecessria de segmentos TCP. Retransmisses desnecessrias de segmentos TCP podem ocorrer quando houver um aumento repentino ou temporrio no RTT (round-trip time). O resultado do algoritmo F-RTO indicado para ambientes com aumentos repentinos ou temporrios no RTT, como quando um cliente sem fio passa de um ponto de acesso sem fio (AP access point) para outro. O F-RTO evita a retransmisso desnecessria de segmentos e retorna mais rapidamente a sua taxa de envio normal.
Neighbor Un-reach-ability Detection for IPv4

O Neighbor Un-reach-ability Detection um recurso do IPv6 no qual um n mantm o status informando se um n vizinho pode ser
123
alcanado, fornecendo melhor deteco e recuperao de erros quando os ns, repentinamente, ficarem indisponveis. A Pilha TCP/IP de ltima gerao tambm d suporte ao trfego do Neighbor Un-reach-ability Detection for IPv4, por meio do controle do estado alcanvel dos ns IPv4 no cache de rota do IPv4. O Neighbor Un-reach-ability Detection for IPv4 determina a capacidade de alcance por meio de uma troca de mensagens ARP Reply e ARP (Address Resolution Protocol) Request ou por meio da relao de confiana em protocolos de camada superior, como o TCP.
Alteraes na deteco de gateways inativos

A deteco de gateways inativos no TCP/IP para o Windows Server 2003 e o Windows XP fornece uma funo de failover, mas no uma funo de failback, na qual um gateway inativo testado novamente a fim de determinar se ele se tornou disponvel. A Pilha TCP/IP de ltima gerao fornece failback para gateways inativos, tentando periodicamente enviar o trfego TCP, utilizando o gateway inativo detectado anteriormente. Se o trfego IP enviado por meio do gateway inativo obtiver sucesso, a Pilha TCP/IP de ltima gerao ir alternar do gateway padro para o gateway inativo detectado anteriormente. O suporte ao failback para os gateways padro primrios pode fornecer maior velocidade de processamento, enviando o trfego com a utilizao do gateway padro primrio na sub-rede.
Alteraes na Deteco de Roteadores de Buraco Negro PMTU

A descoberta PMTU (Path maximum transmission unit), definida na RFC 1191, confia no recebimento de mensagens ICMP (Internet Control Message Protocol) Destination Unreachable-Fragmentation Needed e DF (Dont Fragment) Set dos roteadores que contm o MTU do prximo link. Entretanto, em alguns casos, roteadores intermedirios descartam pacotes que no podem ser fragmentados. Esses tipos de roteadores so conhecidos como roteadores PMTU de buraco negro. Alm disso, os roteadores intermedirios podem bloquear mensagens ICMP devido s regras de firewall. Devido aos roteadores PMTU de buraco negro, as conexes TCP podem falhar e serem encerradas. A deteco de roteadores de buraco negro PMTU faz sentido quando extensos segmentos TCP esto sendo retransmitidos; o PMTU automaticamente ajustado para a conexo, em vez de confiar no recibo das mensagens de erro ICMP. No Windows Server 2003 e no Windows XP, a deteco de roteadores de buraco negro PMTU desabilitada por padro, pois estando ativada, o nmero mximo de transmisses executadas para um segmento de rede especfico aumenta. Por padro, a Pilha TCP/IP de ltima gerao ativa a deteco de roteadores de buraco negro PMTU a fim de evitar o encerramento das conexes TCP.
124
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do trfego entre interfaces para configuraes VPN, a Pilha TCP/IP de ltima gerao d suporte aos compartimentos de roteamento. Um compartimento de roteamento a combinao de um conjunto de interfaces com uma sesso de login que possui suas prprias tabelas de roteamento IP. Um computador pode possuir mltiplos compartimentos de roteamento isolados uns dos outros. Cada interface pode pertencer somente a um nico compartimento. Por exemplo, quando um usurio inicia uma conexo VPN pela Internet com a implementao TCP/IP no Windows XP, o computador do usurio ter conectividade parcial tanto para a Internet quanto para a intranet particular, manipulando entradas na tabela de roteamento IPv4. Em algumas situaes, possvel que o trfego da Internet seja encaminhado pela conexo VPN para a intranet particular. Para clientes VPN com suporte para compartimentos de roteamento, a Pilha TCP/IP de ltima gerao isola a conectividade da Internet da conectividade da intranet particular por meio de tabelas de roteamento IP separadas.
Suporte ao Network Diagnostics Framework

O Network Diagnostics Framework uma arquitetura extensvel que ajuda os usurios na recuperao e resoluo de problemas com conexes de rede. Para a comunicao baseada em TCP/IP, o Network Diagnostics Framework exibe ao usurio diversas opes para eliminar as possveis causas at que a causa do problema seja identificada ou que todas as possibilidades sejam eliminadas. Estes so os problemas especficos relacionados ao TCP/IP que podem ser diagnosticados pelo Network Diagnostics Framework: Endereo IP incorreto O gateway padro (roteador) no est disponvel Gateway padro incorreto Falha de resoluo de nomes NetBT (NetBIOS over TCP/IP) Configuraes de DNS incorretas A porta local j est sendo utilizada O servio DHCP Client no est sendo executado No h escuta remota A mdia est desconectada A porta local est bloqueada Pouca memria Suporte ESTATS (extended statistics)
A Pilha TCP/IP de ltima gerao d suporte ao esboo do IETF (Internet Engineering Task Force) TCP Extended Statistics MIB, o qual define as estatsticas de desempenho estendidas para o
125
TCP. Analisando o ESTATS em uma conexo, possvel determinar se o gargalo de desempenho para uma conexo o aplicativo de envio, de recepo ou se a rede. Por padro, o ESTATS desabilitado e pode ser ativado por conexo. Com o ESTATS, os ISVs (independent software vendors) que no so da Microsoft podem criar diagnsticos eficientes e aplicativos de anlise de velocidade de processamento de rede.
Windows Filtering Platform

O WFP (Windows Filtering Platform - Plataforma de Filtragem Windows) uma nova arquitetura na Nova Gerao da pilha TCP/IP que fornece APIs para que os ISVs no-Microsoft possam fazer a filtragem em diversas camadas na pilha do protocolo TCP/IP e por todo o sistema operacional. O WFP tambm integra e fornece suporte para a nova gerao de recursos de firewall, como a comunicao autenticada e a configurao de firewall dinmica baseadas na utilizao de um aplicativo do Windows Sockets API. Os ISVs podem criar firewalls, softwares antivrus, alm de outros tipos de aplicativos e servios. O Windows Firewall e o IPsec no Windows Server Longhorn e no Windows Vista utilizam o WFP API.
Explicit Congestion Notification

Quando um segmento TCP perdido, o TCP supe que o segmento foi perdido devido ao congestionamento em um roteador e executa o controle de congestionamento, o que diminui, de forma drstica, a taxa de transmisso do emissor TCP. Com o suporte ECN (Explicit Congestion Notification - Notificao Explcita de Congestionamento) nos pontos TCP e na infra-estrutura de roteamento, os roteadores que esto vivenciando o congestionamento marcam os pacotes como se estivessem encaminhando-os. Os pontos TCP que recebem os pacotes marcados diminuem sua taxa de transmisso a fim facilitar o congestionamento e evitar a perda de segmentos. Detectar o congestionamento antes das perdas de pacotes aumenta a velocidade de processamento entre os pontos TCP. O ECN no ativado por padro.
Melhorias no IPv6
A Pilha TCP/IP de ltima gerao d suporte s seguintes melhorias no IPv6: IPv6 ativado por padro Pilha IP dupla Configurao baseada em GUI Melhorias no Teredo Suporte IPsec integrado Multicast Listener Discovery verso 2
126
Link-Local Multicast Name Resolution IPv6 pelo PPP IDs aleatrios de interface para endereos IPv6 Suporte DHCPv6
IPv6 Ativado por Padro

No Windows Server Longhorn e no Windows Vista, o IPv6 instalado e ativado por padro. possvel definir as configuraes do IPv6 por meio das propriedades do componente TCP/IPv6 (Internet Protocol version 6) e tambm pelos comandos no contexto IPv6 da interface. O IPv6 no Windows Server Longhorn e no Windows Vista no pode ser desinstalado, mas pode ser desabilitado.
Pilha IP Dupla
A Pilha TCP/IP de ltima gerao d suporte arquitetura de camadas IP dupla, na qual as implementaes do IPv4 e IPv6 compartilham camadas comuns de frame e transporte (TCP e UDP). A Pilha TCP/IP de ltima gerao possui o IPv4 e o IPv6 ativados por padro. No necessrio instalar um componente separado para obter o suporte ao IPv6.
Configurao Baseada em GUI

No Windows Server Longhorn e no Windows Vista, voc pode definir manualmente as configuraes do IPv6, utilizando um conjunto de caixas de dilogo na pasta Conexes de Rede, semelhante ao processo de definir manualmente as configuraes do IPv4.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos ativados para o IPv6, fornecendo globalmente o endereamento IPv6 exclusivo e permitindo o trfego IPv6 para atravessar os NATs. Com o Teredo, os aplicativos ativados para o IPv6 que exigem o trfego de entrada no solicitado e o endereamento global, como aplicativos entre iguais, funcionaro pelo NAT. Esses mesmos tipos de aplicativos, se utilizassem o trfego IPv4, ou exigiriam a configurao manual do NAT, ou no funcionariam sem a modificao do protocolo do aplicativo de rede. O Teredo pode agora funcionar se houver um cliente Teredo atrs de um ou mais NATs simtricos. Um NAT simtrico mapeia o mesmo endereo (privado) e o mesmo nmero de porta internos para diferentes endereos e portas (pblicos) externos, dependendo do endereo externo de destino (para o trfego de sada). Este novo comportamento permite que o Teredo funcione entre um conjunto maior de hosts conectados Internet.
127
No Windows Vista, o componente Teredo estar ativado, mas inativo por padro. Para ativ-lo, um usurio deve instalar um aplicativo que precise utilizar o Teredo ou optar por alterar as configuraes de firewall a fim de permitir que um aplicativo utilize o Teredo.
Suporte IPsec Integrado

No Windows Server Longhorn e no Windows Vista, o suporte IPsec para o trfego IPv6 o mesmo existente para o IPv4, incluindo o suporte para o IKE (Internet Key Exchange) e a criptografia de dados. Os snap-ins Windows Firewall with Advanced Security e IP Security Policies agora possuem suporte para a configurao de diretivas IPsec para o trfego IPv6, igual ao que ocorre com o trfego IPv4. Por exemplo, quando voc configurar um filtro IP como parte de uma lista de filtros IP no snap-in IP Security Policies, ser possvel especificar endereos IPv6 e prefixos de endereos nos campos IP Address ou Subnet ao determinar um endereo IP especfico de origem ou destino.
Multicast Listener Discovery Verso 2

O MLDv2 (Multicast Listener Discovery verso 2), especificado na RFC 3810, fornece suporte para o trfego multicast especfico origem. O MLDv2 equivale ao IGMPv3 (Internet Group Management Protocol version 3) para IPv4.
Link-Local Multicast Name Resolution

O LLMNR (Link-Local Multicast Name Resolution) permite que hosts IPv6 em uma nica sub-rede sem um servidor de DNS resolvam os nomes uns dos outros. Essa capacidade muito til para redes domsticas de nica sub-rede e redes sem fio ad hoc.
IPv6 Pelo PPP

O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point Protocol), conforme definido na RFC 2472. O trfego IPv6 pode agora ser enviado por conexes baseadas em PPP. Por exemplo, o suporte IPv6 pelo PPP permite que voc se conecte a um ISP (Internet service provider) baseado no IPv6 por meio de conexes dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser utilizadas para o acesso de banda larga Internet.
IDs Aleatrios de Interface para Endereos IPv6

Por padro, com o intuito de evitar a varredura de endereos IPv6 baseados nos IDs conhecidos da empresa dos fabricantes de adaptadores de rede, o Windows Server Longhorn e o Windows Vista geram IDs aleatrios de interface para endereos IPv6 estticos autoconfigurados, incluindo endereos pblicos e locais de link.
Suporte DHCPv6
128
O Windows Server Longhorn e o Windows Vista incluem um cliente DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol version 6) que efetua a configurao automtica de endereos com monitoramento de estado com um servidor DHCP. O Windows Server Longhorn inclui um servio DHCP Server ativado para o DHCPv6.
Quality of Service (Qualidade de Servio)

No Windows Server 2003 e no Windows XP, a funcionalidade QoS (Quality of Service) est disponvel para os aplicativos por meio das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as APIs GQoS acessavam funes priorizadas de entrega. No Windows Server Longhorn e no Windows Vista, existem novos recursos para gerenciar o trfego de rede corporativa e domstica.
QoS Baseado em Diretivas para Redes Corporativas

As diretivas de QoS no Windows Server Longhorn e no Windows Vista permitem que os profissionais de TI dem prioridade taxa de envio para o trfego de rede de sada ou gerenciem essa taxa. O profissional de TI pode restringir as configuraes a nomes especficos de aplicativos, a endereos IP de origem e destino especficos e a portas UDP ou TCP de origem e destino. As configuraes de diretivas de QoS fazem parte da Diretiva de Grupo user configuration (configurao de usurio) ou computer configuration (configurao de computador) e so configuradas com a utilizao do Group Policy Object Editor. Elas so vinculadas aos containeres dos Servios de Domnio do Active Directory (domnios, sites e OUs - unidades organizacionais), por meio da utilizao do Group Policy Management Console (Console de Gerenciamento de Diretivas de Grupo). Para gerenciar a utilizao de largura de banda, voc pode configurar uma diretiva de QoS com uma taxa de acelerao para o trfego de sada. Utilizando a otimizao, uma diretiva de QoS pode limitar o trfego de rede de sada agregado para uma taxa especfica. Para especificar a entrega priorizada, o trfego marcado com um valor DSCP (Differentiated Services Code Point). Os roteadores ou os pontos de acesso sem fio na infra-estrutura de rede podem colocar pacotes marcados com o DSCP em filas diferentes para uma entrega diferenciada. A marcao com o DSCP e a otimizao podem ser utilizados em conjunto para gerenciar o trfego de forma eficiente. Como os processos de otimizao e de marcao de prioridade so aplicados na camada de rede, no preciso modificar os aplicativos.
129
5.05 Firewall do Windows com Segurana Avanada

Comeando com o Windows Vista e o Windows Server Longhorn, a configurao do Firewall do Windows e do IPsec combinada em uma nica ferramenta, o snap-in MMC Windows Firewall with Advanced Security. O snap-in MMC Windows Firewall with Advanced Security substitui ambas as verses anteriores dos snap-ins do IPsec, o IP Security Policies e o IP Security Monitor, para a configurao de computadores que executam o Windows Server 2003, o Windows XP ou o Windows 2000. Embora os computadores que executam o Windows Vista e o Windows Server Longhorn tambm possam ser configurados e monitorados por meio da utilizao dos snap-ins anteriores do IPsec, no possvel utilizar as ferramentas mais antigas para configurar os diversos novos recursos e opes de segurana apresentados no Windows Vista e no Windows Server Longhorn. Para obter as vantagens desses novos recursos, voc deve definir as configuraes, utilizando o snap-in Windows Firewall with Advanced Security ou os comandos no contexto advfirewall da ferramenta Netsh. O Windows Firewall with Advanced Security fornece diversas funes em um computador que executa o Windows Vista ou o Windows Server Longhorn: Filtragem de todo o trfego do IPv6 e do IPv4 que entra no computador ou sai dele. Por padro, todo o trfego de entrada bloqueado, a menos que ele seja uma resposta a uma solicitao de sada anterior do computador (trfego solicitado) ou que ele seja especificamente permitido por uma regra criada para permitir esse trfego. Por padro, todo o trfego de sada permitido, exceto para regras de fortalecimento de servio que evita a comunicao de servios padro de formas inesperadas. possvel optar por permitir o trfego baseado em nmeros de portas, em endereos do IPv4 ou IPv6, no caminho e nome de um aplicativo ou no nome de um servio executado no computador ou, ainda, em outros critrios. Proteo do trfego de rede que entra no computador ou sai dele, utilizando o protocolo IPsec a fim de verificar a integridade do trfego de rede, autenticar a identidade dos computadores ou usurios de envio e recepo e, opcionalmente, criptografar o trfego a fim de fornecer confidencialidade.
Comeando com o Windows XP Service Pack 2, o Firewall do Windows foi ativado por padro nos sistemas operacionais da Microsoft. O Windows Server Longhorn o primeiro sistema operacional de servidor da Microsoft a ter o Firewall do Windows ativado por
130
padro. Pelo fato de o Firewall do Windows estar ativado por padro, todo administrador de um servidor que executa o Windows Server Longhorn deve estar atento a esse recurso e entender como o firewall deve ser configurado a fim de permitir o trfego de rede exigido. O console Windows Firewall with Advanced Security pode ser completamente configurado, utilizando o snap-in MMC Windows Firewall with Advanced Security ou os comandos disponveis no contexto advfirewall da ferramenta de linha de comando Netsh. Tanto as ferramentas grficas quanto as de linha de comando do suporte ao gerenciamento do Windows Firewall with Advanced Security no computador local ou em um computador remoto que executa o Windows Server Longhorn ou Windows Vista que esteja na rede. As configuraes criadas com a utilizao dessas ferramentas podem ser implantadas nos computadores vinculados rede, utilizando a Diretiva de Grupo. Ser preciso rever esta seo sobre o Windows Firewall with Advanced Security se voc fizer parte de um dos seguintes grupos: Planejadores e analistas de TI que esto avaliando tecnicamente o produto. Planejadores e designers corporativos de TI. Profissionais de TI que implantam ou administram solues de segurana de rede em uma organizao.
O Windows Firewall with Advanced Security consolida duas funes que eram gerenciadas separadamente em verses anteriores do Windows. Alm disso, a principal funcionalidade dos componentes do IPsec e de firewall do Windows Firewall with Advanced Security foi aprimorada de forma significativa no Windows Vista e Windows Server Longhorn. Se voc criar um software projetado para ser instalado no Windows Vista ou no Windows Server Longhorn, ser preciso ter a certeza de que o firewall configurado corretamente pela sua ferramenta de instalao, criando ou ativando regras que permitam que o trfego de rede do programa passe pelo firewall. O seu programa dever reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows, domnio, privado e pblico, e responder corretamente a uma alterao no tipo de local de rede. importante lembrar que uma alterao no tipo de local de rede poder resultar em diferentes regras de firewall sendo aplicadas no computador. Por exemplo, se voc quiser que seu aplicativo seja executado somente em um ambiente seguro, como um domnio ou uma rede privada, as regras de firewall devero evitar que o seu aplicativo envie o trfego de rede quando o computador estiver em uma rede pblica. Se o tipo de local de rede for alterado de forma inesperada durante a execuo de seu aplicativo, ele dever lidar muito bem com essa situao.
131
O Firewall do Windows Ativado Por Padro

O Firewall do Windows vem ativado por padro nos sistemas operacionais cliente Windows desde o Windows XP Service Pack 2, mas, o Windows Server Longhorn a primeira verso de servidor do sistema operacional Windows que possui o Firewall do Windows ativado por padro. Isso causa conseqncias sempre que um aplicativo ou servio instalado e deve ter permisso para receber o trfego de entrada no-solicitado pela rede. Muitos aplicativos antigos no so projetados para funcionar com um firewall baseado em host e podem no operar de forma correta, a menos que sejam definidas regras que permitam que o aplicativo aceite o trfego de entrada de rede no-solicitado. Ao instalar uma funo ou recurso de servidor includo no Windows Server Longhorn, o instalador ir ativar ou criar regras para garantir que a funo ou recurso de servidor funcione corretamente. Para determinar quais configuraes de firewall devem ser definidas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configuraes de firewall so sempre publicadas no site de suporte do fornecedor. Nota Um computador que executa o Windows Server 2003 e atualizado para o Windows Server Longhorn mantm o mesmo estado operacional do firewall que tinha antes da atualizao. Se o firewall for desabilitado antes da atualizao, ele permanecer nesse estado aps a atualizao. Recomendamos que voc ative o firewall assim que houver a confirmao de que os aplicativos na rede funcionam com o firewall conforme configurado ou assim que as regras de firewall apropriadas forem configuradas para os aplicativos executados em seu computador.
O Gerenciamento da Diretiva IPsec Simplificado

Em verses anteriores do Windows, as implementaes de isolamento de domnio ou servidor exigiam a criao de um grande nmero de regras IPsec para garantir que o trfego de rede exigido estava protegido de forma apropriada, fazendo com que o trfego de rede exigido no pudesse ser assegurado com o IPsec. A necessidade de um conjunto grande e complexo de regras IPsec reduzida devido a um novo comportamento padro para a negociao IPsec que solicita , mas no exige a proteo IPsec. Ao utilizar essa configurao, o IPsec envia uma tentativa de negociao IPsec e, ao mesmo tempo, envia pacotes de texto plano para o computador de destino. Se o computador de destino responder negociao e conclu-la com sucesso, a comunicao de texto plano ser interrompida, e a comunicao subseqente ser protegida pelo IPsec. Entretanto, se o computador de destino no responder
132
negociao IPsec, a tentativa de texto plano ter permisso para prosseguir. Em verses anteriores do Windows, era preciso aguardar trs segundos aps a tentativa de negociao IPsec antes de tentar a comunicao utilizando o texto plano. Isso resultava em grandes atrasos no desempenho do trfego, que no podia ser protegido e tinha de ser testado novamente em texto plano. Para evitar esse atraso de desempenho, um administrador precisava criar mltiplas regras IPsec para lidar com os diferentes requisitos de cada tipo de trfego de rede. Esse novo comportamento permite solicitar, mas no exigir, que a proteo IPsec realize o trfego desprotegido, uma vez que o atraso de trs segundos no mais exigido. isso permite que voc proteja o trfego onde quer que ele seja exigido, sem a necessidade de criar regras que permitam explicitamente as excees necessrias. Isso resulta em um ambiente mais seguro, menos complexo e que facilita a soluo de problemas.
Suporte para IP Autenticado

Em verses anteriores do Windows, o IPsec dava suporte somente ao protocolo IKE (Internet Key Exchange) para negociar SAs (security association) do IPsec. O Windows Vista e o Windows Server Longhorn do suporte a uma extenso ao IKE conhecida como AuthIP (Authenticated IP). O AuthIP fornece capacidades adicionais de autenticao. So elas: Suporte para os novos tipos de credenciais que no esto disponveis no IKE isoladamente. Isso inclui: certificados de integridade fornecidos por um Health Certificate Server, o qual faz parte de uma implantao NAP (Network Access Protection; certificados baseados em usurios; credenciais de usurio Kerberos e credenciais de computador ou de usurio NTLM verso 2. Essas credenciais so adicionais para os tipos de credenciais suportados pelo IKE, como certificados baseados em computador, credenciais Kerberos para a conta de computador ou simplesmente chaves prcompartilhadas. Suporte para autenticao, utilizando mltiplas credenciais. Por exemplo, o IPsec pode ser configurado para exigir que tanto as credenciais do usurio quanto as do computador sejam processadas com sucesso antes que o trfego seja permitido. Isso aumenta a segurana da rede, reduzindo a chance de um computador confivel ser utilizado por um usurio no-confivel.
Suporte para Proteger um Membro de Domnio para o Trfego de Controlador de Domnio Utilizando o IPsec
Verses anteriores do Windows no suportam a utilizao do IPsec para proteger o trfego entre controladores de domnio e
133
computadores membro de domnio. O Windows Vista e o Windows Server Longhorn so suporte proteo do trfego de rede entre computadores membro de domnio e controladores de domnio, utilizando o IPsec, enquanto permitem que um computador que no membro de domnio passem a fazer parte de um domnio por meio da utilizao do controlador de domnio protegido pelo IPsec.
Suporte Aprimorado para Criptografia

A implementao do IPsec no Windows Vista e no Windows Server Longhorn d suporte a algoritmos adicionais para a negociao de modo principal de SAs: Curva Elptica Diffie-Hellman P-256 (Elliptic Curve DiffieHellman P-256), um algoritmo de curva elptica que utiliza um grupo de curva aleatria de 256 bits Curva Elptica Diffie-Hellman P-384 (Elliptic Curve DiffieHellman P-384), um algoritmo de curva elptica que utiliza um grupo de curva aleatria de 384 bits
Alm disso, os seguintes mtodos de criptografia que utilizam o AES (Advanced Encryption Standard) so suportados: AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128) AES com CBC e um tamanho de chave de 192 bits (AES 192) AES com CBC e um tamanho de chave de 256 bits (AES 256)
As Configuraes Podem Ser Alteradas Dinamicamente Com Base no Tipo de Local de Rede
O Windows Vista e o Windows Server Longhorn podem notificar aplicativos, ativados para a rede, como o Windows Firewall, quanto s alteraes nos tipos de local de rede disponveis por meio de adaptadores de rede anexados, conexes VPN e assim por diante. O Windows d suporte a trs tipos de local de rede, e os programas podem utilizar esses tipos para aplicar automaticamente o conjunto apropriado de opes de configurao. Os aplicativos devem ser criados de forma que possam obter a vantagem desse recurso e receber notificaes de alteraes feitas nos tipos de local de rede. O Windows Firewall with Advanced Security no Windows Vista e no Windows Server Longhorn pode fornecer diferentes nveis de proteo com base no tipo de local de rede ao qual o computador est ligado. Estes so os tipos de locais de rede: Domnio. Este tipo de local computador for membro de um determinar que o computador que hospeda o domnio. Essa de rede ser selecionado quando domnio, e o Windows ir est atualmente ligado rede seleo baseada na
134
autenticao bem-sucedida com um controlador de domnio na rede. Privado. Este tipo de local de rede pode ser selecionado para redes confiveis pelo usurio, como uma rede domstica ou uma rede de um pequeno escritrio, por exemplo. As configuraes atribudas a este tipo de local so mais restritivas do que uma rede de domnio, pois no se espera que uma rede domstica seja to ativamente gerenciada quanto uma rede de domnio. Uma rede recm detectada nunca ser automaticamente atribuda ao tipo de local Privado. Um usurio deve optar explicitamente por atribuir a rede ao tipo de local Privado. Pblico. Este tipo de local de rede atribudo por padro a todas as redes recm detectadas. As configuraes atribudas a este tipo de local so muito mais restritivas, devido aos riscos de segurana existentes em uma rede pblica.
Nota O recurso que permite definir o tipo de local de rede muito til em computadores cliente, principalmente em computadores portteis, os quais so movidos de uma rede para outra. No se espera que um servidor seja mvel. Por esse motivo, uma estratgia sugerida para um computador tpico que executa o Windows Server Longhorn configurar esses trs perfis da mesma forma.
Integrao do Firewall do Windows e do IPsec Management em uma nica Interface de Usurio

No Windows Vista e no Windows Server Longhorn, a interface de usurio para os componentes de firewall e do IPsec agora combinada no snap-in MMC Windows Firewall with Advanced Security e em comandos no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas utilizadas no Windows XP, Windows Server 2003 e na famlia Windows 2000 o modelo administrativo Windows Firewall, as configuraes de Diretiva de Grupo, o IP Security Policy, os snap-ins MMC do IP Security Monitor e os contextos ipsec e firewall do comando Netsh ainda esto disponveis, mas no do suporte aos mais novos recursos includos no Windows Vista e no Windows Server Longhorn. O cone do Windows Firewall no Painel de Controle tambm ainda est presente, mas uma interface de usurio final para gerenciar as funcionalidades bsicas do firewall e no apresenta as opes avanadas exigidas por um administrador. Utilizando as diversas ferramentas para o firewall e o IPsec em verses anteriores do Windows, aos administradores podem criar, acidentalmente, configuraes conflitantes, como uma regra IPsec que faz com que um tipo especfico de pacote de rede seja
135
interrompido, mesmo que exista uma regra de firewall para permitir que o mesmo tipo de pacote de rede esteja presente. Isso pode resultar em cenrios com problemas difceis de serem solucionados. Combinar as duas funes reduz a possibilidade de criar regras conflitantes e ajuda a garantir que o trfego que voc deseja proteger seja manipulado corretamente.
Suporte Total para a Proteo de Trfego de Rede IPv4 e IPv6

Todos os recursos de firewall e do IPsec disponveis no Windows Vista e no Windows Server Longhorn so utilizados para proteger o trfego de rede IPv4 e IPv6.
Referncias Adicionais
Os recursos a seguir fornecem informaes adicionais sobre o Windows Firewall with Advanced Security e o IPsec: Para mais informaes sobre o Windows Firewall with Advanced Security, veja Windows Firewall (http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft TechNet. Para mais informaes sobre o IPsec, veja IPsec (http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet. Para mais informaes sobre os cenrios de isolamento de servidor e domnio, veja Isolamento de Domnio e Servidor (http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft TechNet. Para mais informaes sobre o Network Access Protection, veja Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no site da Web Microsoft TechNet. Para mais informaes sobre como criar aplicativos que estejam cientes dos tipos de local de rede, consulte o Network Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft MSDN.
136
5.06 Cryptography Next Generation

O CNG (Cryptography Next Generation Criptografia de ltima Gerao) fornece uma plataforma de desenvolvimento criptogrfico flexvel que permite que profissionais de TI criem, atualizem e utilizem algoritmos de criptografia personalizados em aplicativos relacionados criptografia, como o Active Directory Certificate Services, o SSL e o IPsec. O CNG implementa os algoritmos de criptografia Suite B do governo dos E.U.A , os quais incluem algoritmos para criptografia, assinaturas digitais, troca de chaves e hashing. Alm disso, o CNG fornece um conjunto de APIs utilizadas para: Realizar operaes bsicas de criptografia, como a criao de hashes e a criptografia e descriptografia de dados. Criar, armazenar e recuperar chaves de criptografia. Instalar e utilizar provedores adicionais de criptografia.
O CNG possui as seguintes capacidades: O CNG permite que os clientes utilizem seus prprios algoritmos de criptografia ou implementaes de algoritmos padro de criptografia. possvel adicionar novos algoritmos. O CNG d suporte criptografia no modo kernel. A mesma API utilizada no modo kernel e no modo usurio para dar suporte total aos recursos de criptografia. O SSL/TLS e o IPsec, alm dos processos de inicializao que utilizam o CNG, operam no modo kernel. O plano para o CNG inclui a aquisio da certificao FIPS (Federal Information Processing Standards) 140-2 nvel 2 juntamente com as avaliaes de Critrios Comuns (Common Criteria). O CNG atende aos requisitos do Common Criteria, utilizando e armazenando chaves de longa durao em um processo seguro. O CNG d suporte ao conjunto atual de algoritmos 1.0. CryptoAPI
O CNG fornece suporte aos algoritmos ECC (elliptic curve cryptography - criptografia de curva elptica). Um grande nmero de algoritmos ECC exigido pelo Suite B do governo dos Estados Unidos. Qualquer computador com um TPM (Trusted Platform Module mdulo de plataforma confivel) poder fornecer isolamento e armazenamento de chave no TPM.
O CNG aplica PKI (public key infrastructure) implantaes que exigem a utilizao dos algoritmos Suite B e que no precisam
137
estar integrados s CAs (certification authorities) que no do suporte aos algoritmos Suite B, como as CAs instaladas em servidores que executam o Windows Server 2003 e o Windows 2000 Server. Para utilizar os novos algoritmos de criptografia, a CA e os aplicativos devero dar suporte ao ECC (ou a qualquer outro novo algoritmo implementado no CNG). Embora a CA precise emitir e gerenciar estes novos tipos de certificado, os aplicativos devem ser capazes de lidar com a validao da cadeia de certificados e utilizar as chaves geradas com os algoritmos Suite B. Os algoritmos Suite B, como o ECC, so suportados somente no Windows Vista e no Windows Server Longhorn. Isso significa que no possvel utilizar esses certificados em verses anteriores do Windows, como Windows XP ou Windows Server 2003. Entretanto, possvel utilizar os algoritmos clssicos, como o RSA (RivestShamir-Adleman) mesmo se as chaves tiverem sido gerada com um provedor de chaves CNG. Os clientes que executam o Windows Vista ou o Windows Server Longhorn podem utilizar tanto o CryptoAPI 1.0 quanto a nova API CNG, pois ambas as APIs podem ser executadas lado a lado. No entanto, aplicativos, como o SSL, IPsec, S/MIME (Secure/Multipurpose Internet Mail Extensions) e o Kerberos, devem ser atualizados a fim de utilizar os algoritmos Suite B.
Implantao
No implante certificados com algoritmos Suite B antes de verificar os seguintes requisitos: Antes de emitir certificados que utilizem algoritmos, tais como o ECC, verifique se suas CAs e seu sistema operacional do suporte a esses algoritmos. Verifique se os aplicativos ativados para a PKI de sua organizao podem utilizar certificados que confiam em provedores de criptografia CNG. Caso sua organizao utilize certificados para suportar o logon de smart card, entre em contato com o fornecedor de seu smart card e veja se os smart cards que ele fornece podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server Longhorn, os seguintes aplicativos ativados para certificados podem lidar com certificados que utilizam algoritmos de criptografia registrados no provedor CNG.
138
Aplicativos Ativados para Certificados

Nome do Aplicativo Verifica uma cadeia de certificados que contm certificados com algoritmos registrados em um provedor CNG
Sim
Utiliza algoritmos que no so suportados pelo CryptoAPI
EFS (Sistema de Arquivos Criptografado) IPsec Kerberos S/MIME logon via carto inteligente SSL Sem fio
No
Sim No Outlook 2003: no Outlook 2007: sim No Sim Sim
Sim No Outlook 2003: no Outlook 2007: sim No Sim Sim
Para utilizar os algoritmos para as operaes de criptografia, primeiro, voc precisa de uma CA baseada no Windows Server Longhorn para emitir certificados ativados para o Suite B. Caso voc ainda no possua uma PKI, ser possvel configurar uma CA baseada no Windows Server Longhorn em que os certificados da CA e os certificados da entidade final utilizem algoritmos Suite B. Entretanto, ainda ser preciso verificar se todos os seus aplicativos esto preparados para os algoritmos Suite B e se podem dar suporte a esses certificados. Caso voc j possua uma PKI com CAs sendo executadas no Windows Server 2003 ou na qual algoritmos clssicos esto sendo utilizados para dar suporte aos aplicativos existentes, ser possvel adicionar uma CA subordinada em um servidor que executa o Windows Server Longhorn. No entanto, voc dever continuar utilizando os algoritmos clssicos. Para inserir os algoritmos Suite B em um ambiente existente, no qual so utilizados os algoritmos clssicos, ser preciso considerar a insero de uma PKI secundria e a realizao de uma certificao cruzada entre as duas hierarquias de CA. Para mais informaes sobre o CNG, veja API de Criptografia: ltima Gerao (http://go.microsoft.com/fwlink/?LinkID=74141). Para mais informaes sobre o Suite B, veja Criptografia Suite B NSA (NSA Suite B Cryptography Fact Sheet) (http://go.microsoft.com/fwlink/?LinkId=76618).
139
5.07 Servios de Certificado do Active Directory

Os Servios de Certificado do Active Directory fornece servios personalizveis para criar e gerenciar certificados de chave pblica utilizados em sistemas de segurana de software que utilizam tecnologias de chave pblica. As organizaes podem utilizar os Servios de Certificado do Active Directory para aprimorar a segurana, unindo a identidade de uma pessoa, dispositivo ou servio a uma chave privada correspondente. Os Servios de Certificado do Active Directory tambm inclui recursos que permitem gerenciar o registro e a revogao de certificados em diversos ambientes escalonveis. Os seguintes tpicos descrevem as alteraes na funcionalidade dos Servios de Certificado do Active Directory disponvel neste lanamento: Servios de Certificado do Active Directory: Registro Web Servios de Certificado do Active Directory: Configuraes de Diretivas Servios de Certificado do Active Directory: Servio de Registro de Dispositivo de Rede Servios de Certificado do Active Directory: PKI Corporativo(PKIView) Servios de Certificado do Active Directory: Suporte ao Protocolo de Status de Certificado Online
Servios de Certificado do Active Directory: Registro Web

Um grande nmero de alteraes foi feito ao suporte de registro Web de certificados no Windows Server Longhorn. Essas alteraes resultam da excluso do controle anterior de registro ActiveX do Windows Vista e do Windows Server Longhorne sua substituio pelo controle de registros COM. As sees a seguir descrevem essas alteraes e suas respectivas implicaes. O registro Web de certificados est disponvel desde sua incluso nos sistemas operacionais Windows 2000. Ele projetado para fornecer um mecanismo de ambiente para as organizaes que precisam emitir e renovar certificados para usurios e computadores que no fazem parte de um domnio ou que no est conectados diretamente rede e para usurios de sistemas operacionais no-Microsoft. Em vez de confiar no mecanismo de registro automtico de uma CA ou utilizar o Certificate Request Wizard, o suporte de registro Web fornecido por uma CA baseada no em Windows permite que esses usurios solicitem e obtenham certificados novos e renovados por uma conexo da Internet ou da intranet.
140
Esse recurso indicado para organizaes que possuem PKIs com uma ou mais CAs que executam o Windows Server Longhorn e clientes que executam o Windows Vista e que desejam fornecer aos usurios a capacidade de obter novos certificados ou renovar os existentes, utilizando pginas da Web. Adicionar suporte para pginas de registro Web pode aprimorar, de forma significativa, a flexibilidade e a escalabilidade da PKI de uma organizao; portanto, esse recursos ser de interesse de: Arquitetos de PKI Planejadores de PKI Administradores de PKI
O controle de registro anterior, o XEnroll.dll, foi removido do Windows Vista e do Windows Server Longhorn, e um novo controle de registro, o CertEnroll.dll, foi inserido. Embora o processo de registro Web ocorra essencialmente como para o Windows 2000, Windows XP e Windows Server 2003, essa alterao nos controles de registro poder impactar na compatibilidade quando usurios e computadores que executam o Windows Vista ou o Windows Server Longhorn tentarem solicitar um certificado, utilizando pginas de registro Web instaladas nessas verses anteriores do Windows. O XEnroll.dll est sendo retirado pelas seguintes razes: O XEnroll.dll um controle de legado criado h alguns anos e no considerado to seguro quanto os controles criados recentemente. O XEnroll.dll possui uma interface monoltica que expe diversos conjuntos de funcionalidades. Ele possui mais de 100 mtodos e propriedades. Esses mtodos e propriedades foram inseridos com o passar dos anos, e chamar uma funo pode alterar o comportamento de outra funo, o que dificulta os processos de teste e manuteno. Nota O XEnroll.dll pode continuar a ser utilizado para o registro Web em computadores que executam o Windows 2000, Windows XP e Windows Server 2003. Por outro lado, o CertEnroll.dll foi criado para ser mais seguro, mais fcil de ser preparado e atualizado do que o XEnroll.dll. As CAs do Windows Server Longhorn continuaro a dar suporte s solicitaes de registro Web de certificados a provenientes de usurios em clientes Windows XP e Windows Server 2003. Se voc registra certificados por meio das pginas de registro Web do Windows Server Longhorn a partir de um computador baseado no Windows XP, Windows Server 2003 ou Windows 2000, as pginas de registro Web iro detectar esse fato e utilizaro o controle Xenroll.dll instalado localmente no cliente. Entretanto, alguns comportamentos do cliente sero diferentes daqueles das verses anteriores do Windows. So eles:
141
A capacidade de agente de registro (tambm conhecida como a estao de registro de smart card) foi removida do registro Web no Windows Server Longhorn, pois o Windows Vista fornece sua prpria capacidade de agente de registro. Se houver a necessidade de efetuar o registro em nome de outro cliente com um registro Web do Windows Server Longhorn, voc dever utilizar computadores que executem o Windows Vista como estaes de registro. De forma alternativa, voc poder utilizar um servidor baseado no Windows Server 2003 com o registro Web instalado e utilizar o servidor como um agente de registro a fim de registrar certificados por meio de uma CA do Windows Server Longhorn. Somente os usurios do Internet Explorer verso 6.x ou Netscape 8.1 Browser podero enviar solicitaes de certificado diretamente por meio das pginas de registro Web. Usurios de outros navegadores da Web ainda podero enviar solicitaes de registro, utilizando as pginas de registro Web, mas, primeiramente, devero gerar previamente uma solicitao PKCS#10 para ser enviada por meio das pginas de registro Web. O registro de Web de certificados no pode ser utilizado com os templates de certificado verso 3,0 (os quais esto sendo apresentados no Windows Server Longhorn para o suporte emisso de certificados em conformidade com o Suite B). O Internet Explorer no pode ser utilizado no contexto de segurana de computadores locais; portanto, os usurios no podem mais solicitar certificados de computador com a utilizao do registro Web. No Windows Server Longhorn Beta 2, o suporte de registro Web est disponvel somente nas edies dos idiomas alemo e ingls dos EUA O suporte de registro Web estar disponvel em todas as verses de idiomas do produto final do Windows Server Longhorn.
A configurao que deve ser feita para o suporte de registro Web de certificados , simplesmente, adicionar o servio de funo funo de servidor. Se o suporte de registro Web estiver instalado no mesmo computador que a CA, no ser exigida nenhuma configurao adicional. Se o servio de funo de registro Web e a CA estiverem instalados em computadores diferentes,ser preciso identificar a CA como parte da instalao do registro Web. Aps a instalao do servio de funo de registro Web, um novo site chamado CertSrv estar disponvel por meio do IIS. Nota
142
No Windows Server Longhorn Beta 2, o arquivo utilizado pelo suporte de registro Web para encontrar a CA est localizado no diretrio de linguagem especfica, como %SYSTEMROOT%\system32\certsrv\[language]\certdat.inc. Esse arquivo passar a ser um arquivo de configurao global que define a configurao para todos os pacotes de idioma instalados para o registro Web. Se voc possuir diversos pacotes de idioma instalados em um servidor IIS, todos os arquivos certdat.inc nos subdiretrios de linguagem especfica devero ser idnticos. As pginas de registro Web no-Microsoft sofrero um grande impacto, pois o controle XEnroll.dll no est disponvel no Windows Server Longhorn e no Windows Vista. Os administradores dessas CAs tero de criar solues alternativas para o suporte emisso de certificados e a renovao para clientes que utilizam o Windows Server Longhorn e o Windows Vista, enquanto continuam utilizando o Xenroll.dll para verses anteriores do Windows. Os administradores tambm precisam planejar a configurao apropriada de seus servidores que executam o IIS. O IIS pode ser executado somente nos modos de 64 ou 32 bits. Se voc instalar o IIS em um servidor que executa a verso de 64 bits do Windows Server Longhorn, voc no dever instalar nenhum aplicativo Web de 32 bits, como o WSUS, nesse computador. Caso contrrio, instalao do servio de funo de registro ir falhar.
Servios de Certificado do Active Directory: Configuraes de Diretivas

As configuraes de certificado na Diretiva de Grupo do Windows Server Longhorn permitem que os administradores gerenciem configuraes de validao de certificado de acordo com as necessidades de segurana da organizao. As configuraes de certificado na Diretiva de Grupo permite que os administradores gerenciem as configuraes de certificado em todos os computadores do domnio a partir de um local central. Definir as configuraes utilizando a Diretiva de Grupo poder causar alteraes em todo o domnio. Por exemplo, em situaes em que determinados certificados de CA expiram e os clientes no conseguem recuperar automaticamente um novo certificado, os administradores podero implantar esses certificados para os computadores cliente por meio da Diretiva de Grupo. Outro cenrio quando os administradores desejam garantir que os usurios nunca iro instalar aplicativos assinados com certificados de publicao no aprovada. Eles podero configurar timeouts de rede para um melhor controle dos timeouts de construo em cadeia para grandes CRLs (certification revocation lists - listas de revogao de certificao). Alm disso, os administradores podero utilizar as configuraes de revogao
143
para estender os tempos de expirao das CRLs caso um atraso na publicao de uma nova CRL afete os aplicativos. Esse recurso aplica-se s organizaes que possuem PKIs com uma ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para gerenciar computadores cliente. Utilizar as configuraes de validao de certificado na Diretiva de Grupo poder aprimorar, de forma significativa, a capacidade de: Arquitetos de segurana aprimorarem a utilizao da relao de confiana baseada em certificados. Administradores de segurana gerenciarem aplicativos ativados para a PKI em seus ambientes.
Pelo fato de as infra-estruturas de chave pblica X.509 terem se tornado mais amplamente utilizadas como uma base de confiana, muitas organizaes precisam de mais opes para gerenciar a descoberta de caminho de certificados e a validao de caminhos. Verses anteriores dos sistemas operacionais Windows possuam poucas configuraes para implementar esse tipo de controle. As configuraes de Diretiva de Grupo relacionadas a certificados podem ser encontradas no Group Policy Object Editor, em Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Diretivas de Chave Pblica. As seguintes opes de diretiva podem ser gerenciadas em guias separadas na pgina de propriedades Certificate Path Validation Settings: Stores (Armazenamentos) Trusted Publishers (Editores Confiveis) Network Retrieval (Recuperao de Rede) Revocation (Revogao)
Alm disso, quatro novos armazenamentos de diretiva foram adicionados em Diretivas de Chave Pblica (Public Key Policies) para serem utilizados na distribuio de diferentes tipos de certificados para os clientes: Intermediate Certification Authorities (Autoridades Intermedirias de Certificao) Trusted Publishers (Editores Confiveis) Untrusted Certificates (Certificados No-Confiveis) Trusted People (Pessoas Confiveis)
Esses novos armazenamentos so uma adio aos armazenamentos Enterprise Trust (Relao de confiana Corporativa) e Trusted Root Certification Authorities (Autoridades de Certificao de Raiz Confivel) disponveis no Windows Server 2003. Essas configuraes de validao de caminho e armazenamentos de certificados podem ser utilizadas para realizar as seguintes tarefas:
144
Gerenciar armazenamentos de certificado peer trust e trusted root. Gerenciar editores confiveis. Bloquear certificados que no sejam confiveis de acordo com a diretiva. Gerenciar a recuperao de dados relacionados a certificados. Gerenciar perodos de expirao para CRLs e respostas OCSP (online certificate status protocol). Implantar certificados.
Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root

Utilizando a guia Stores na caixa de dilogo Certificate Path Validation Settings, os administradores podem regular a capacidade de os usurios gerenciarem seus prprios certificados trusted root e peer trust. Este controle pode ser implementado para que os usurios no tenham permisso para tomar quaisquer decises quanto relao de confianas de ponto ou raiz (root or peer trust). Alm disso, ele pode ser utilizado para controlar quantos propsitos de certificado especficos, como assinatura e criptografia, os usurios podem gerenciar por relao de confiana entre iguais (peer trust). A guia Stores tambm permite que os administradores especifiquem se os usurios em um computador ligado a um domnio podero confiar somente em CAs de raiz corporativa ou em CAs de raiz noMicrosoft de raiz corporativa. Se, por um lado, um administrador precisa distribuir certificados selecionados de raiz confivel, para computadores no domnio, esses certificados sero propagados para o armazenamento de certificado apropriado na prxima vez em que a diretiva de domnio for restaurada. Devido crescente variedade de certificados em uso nos dias de hoje e grande importncia das decises a serem tomadas quanto ao fato de reconhecer ou no esses certificados, algumas organizaes podem desejar gerenciar a relao de confiana de certificados e evitar que os usurios no domnio configurem seu prprio conjunto de certificados de raiz confivel. Utilizar as configuraes de Diretiva de Grupo relacionadas relao de confiana de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usurios e computadores em sua organizao, alm de terminar como esses certificados devero ser controlados. Voc pode conseguir fornecer as usurios maior tolerncia se combinar a utilizao dessas configuraes com um treinamento claro e eficiente de forma que os usurios entendam a importncia dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.
145
Gerenciar Editores Confiveis

As opes de diretiva encontradas na guia Trusted Publishers da caixa de dilogo Configuraes de Validao de Caminho permitem que os administradores controlem quais certificados podem ser aceitos quando vierem de um editor confivel. A assinatura de software tem sido utilizada por um nmero crescente de editores de software e desenvolvedores de aplicativos a fim de verificar se seus aplicativos so provenientes de uma fonte confivel. No entanto, muitos usurios no compreendem os certificados de assinatura associados aos aplicativos que instalam ou sequer do ateno a esse fato. Especificar opes de diretiva de publicao confiveis por toda a organizao permite que as organizaes decidam de os certificados Authenticode podem ser gerenciados pelos usurios e administradores ou se apenas pelos administradores corporativos. Alm disso, esta seo da diretiva de validao de caminho pode exigir que as verificaes de revogao adicional e o time stamp sejam realizados antes que um certificado de publicao confivel seja aceito. Utilizar as configuraes de Diretiva de Grupo relacionadas relao de confiana de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usurios e computadores em sua organizao, alm de determinar como esses certificados devero ser controlados. Voc pode conseguir fornecer aos usurios maior tolerncia se combinar a utilizao dessas configuraes com um treinamento claro e eficiente de forma que os usurios entendam a importncia dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.
Bloquear Certificados Que No Sejam Confiveis de Acordo Com a Diretiva.

possvel evitar que determinados certificados sejam utilizados em sua organizao, adicionando-os no armazenamento Untrusted Certificates (Certificados No-Confiveis). Pelo fato de os administradores serem responsveis pela preveno da entrada de vrus e outros softwares maliciosos em seus ambientes, no futuro, eles podero desejar bloquear a utilizao de determinados certificados. Um certificado emitido por sua prpria CA pode ser revogado, sendo adicionado a uma lista de revogao de certificados. No possvel revogar certificados emitidos por CAs externas. Entretanto, possvel proibir esses certificados no-confiveis, adicionando-os no armazenamento Untrusted Certificates. Esses certificados sero copiados para o armazenamento Untrusted Certificates de cada computador cliente no domnio na prxima vez em que a Diretiva de Grupo for restaurada.
146
Utilizar as configuraes de Diretiva de Grupo relacionadas relao de confiana de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usurios e computadores em sua organizao, alm de terminar como esses certificados devero ser controlados. Voc pode conseguir fornecer aos usurios maior tolerncia se combinar a utilizao dessas configuraes com um treinamento claro e eficiente de forma que os usurios entendam a importncia dos certificados, os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.
Gerenciar a Recuperao de Dados Relacionados a Certificados.

As CRLs podem tornar-se muito grandes e, conseqentemente, falharem no processo de download, pois o processo mais demorado do que o timeout padro de 15 segundos. As opes encontradas na guia Network Retrieval da caixa de dilogo Configuraes de Validao de Caminho permitem que os administradores modifiquem os timeouts de recuperao padro a fim de resolver esse problema. Alm disso, as configuraes de validao de caminho e de recuperao de rede permitem que os administradores: Atualizem certificados automaticamente no Microsoft Root Certificate Program. Configurem valores de timeout de recuperao para as CRLS e a validao de caminho (valores padro maiores podero ser teis se as condies de rede no forem timas). Ativem a recuperao de certificados do emissor durante a validao de caminho. Definam a freqncia de realizao do download de certificados cruzados.
Para melhor eficincia, dados relacionados aos certificados, como certificados de raiz confivel e listas de revogao de certificados, devero ser atualizados adequadamente. No entanto, as condies de rede nem sempre so timas, como para usurios remotos ou escritrios de filiais. Essas configuraes de Diretiva de Grupo permitem que voc garanta que os dados relacionados aos certificados sejam atualizados mesmo quando as condies de rede forem inferiores ao estado otimizado. Ao preparar-se para esta alterao, determine se as condies de rede impactam nos tempos de download das CRLs.
Gerenciar Perodos de Expirao para CRLs e Respostas OCSP

A revogao de um certificado anula um certificado como uma credencial de segurana confivel antes da expirao natural de seu perodo de validade. Um PKI depende da verificao distribuda das credenciais, em que no h necessidade de
147
comunicao direta com a entidade confivel principal que atesta as credenciais. Para o suporte eficiente da revogao de certificados, o cliente deve determinar se o certificado vlido ou se ele foi revogado. Para dar suporte a uma variedade de cenrios, os Servios de Certificado do Active Directory tem suporte para os mtodos de padro industrial de revogao de certificados. Isso inclui a publicao de CRLs e CRLs em diversos locais para serem acessadas pelos clientes, incluindo os Servios de Domnio do Active Directory, servidores Web e compartilhamentos de arquivos de rede. No Windows, os dados de revogao podem ser disponibilizados em diversas configuraes por meio das respostas OCSP. As condies de rede podem evitar que as CRLs mais recentes sejam publicadas, o que poder fazer com que todos as validaes da cadeia de certificados falhem. Estender o tempo de expirao da CRL existente e da resposta OCSP pode prevenir que isso ocorra. Utilizar configuraes de Diretiva de Grupo relacionadas aos dados de revogao de certificados exige um planejamento cuidadoso para determinar o equilbrio apropriado entre a adeso rigorosa ao cronograma de publicao de CRL padro e as conseqncias potenciais de estender o perodo de validade da CRL caso uma CRL atualizada no esteja disponvel.
Implantando Certificados
Os certificados de usurio e computador podem ser implantados, usando-se diversos mecanismos, incluindo o registro automtico, o Assistente para Requisio de Certificado e o registro na Web. Mas implantar outros tipos de certificados em uma grande quantidade de computadores pode ser algo desafiador. No Windows Server 2003, era possvel distribuir um certificado CA de raiz confivel e certificados corporativos de confiana usando a Diretiva de Grupo. No Windows Server Longhorn, todos os tipos de certificados que seguem podem ser distribudos, quando so armazenados adequadamente na Diretiva de Grupo: Certificados CA de raiz confiveis Certificados corporativos de confiana Certificados CA Intermedirios Certificados confiveis do editor Certificados no-confiveis Pessoas confiveis (para os certificados de confiana)
A variedade crescente dos certificados e a sua utilizao exige que os administradores tenham meios eficientes para distribu-los a usurios e computadores em suas organizaes.
148
Usar configuraes de Diretiva de Grupo relacionadas relao de confiana requer um planejamento cauteloso para determinar as necessidades de usurios e computadores em sua organizao, alm da quantidade de controle que eles devem ter sobre esses certificados. Voc deve ter a capacidade de fornecer o livre arbtrio aos usurios, se combinar o uso dessas configuraes com um treinamento claro e efetivo, a fim de que os usurios entendam a importncia dos certificados, os riscos de um gerenciamento fraco de certificados e a maneira de gerenci-los de forma responsvel. Voc deve ser membro do grupo de Administradores de Domnio para configurar a Diretiva de Grupo neste domnio.
Servios de Certificado do Active Directory: Network Device Enrollment Service

O Network Device Enrollment Service (NDES) a implementao da Microsoft para o certificado Enrollment Protocol (SCEP), um protocolo de comunicao que possibilita que o software seja executado em dispositivos de rede, como roteadores e alternadores, que, por sua vez, no podem ser autenticados na rede, para registrar certificados de x509 a partir do CA. O NDES opera como um filtro da Interface de Programao de Aplicao para o Servidor da Internet (ISAPI) no IIS que desempenha as seguintes funes: Gerar e fornecer senhas nicas de registro aos administradores Receber e processar requisies de registro SCEP em nome de softwares executados nos dispositivos de rede Recuperar requisies pendentes do CA.
Este recurso aplica-se s organizaes que tm PKIs com um ou mais CAs do Windows Server Longhorn CAs e que desejam aprimorar a segurana das comunicaes, usando o IPsec com dispositivos de rede, como os roteadores e alternadores. Adicionar suporte ao NDES pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organizao; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores. As organizaes e os profissionais interessados nos NDES podem querer saber mais sobre as especificaes de SCEP em que ele se baseia. O SCEP foi desenvolvido pela Cisco Systems Inc. como extenso aos j existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padres, para permitir o registro de dispositivo de rede e certificado da aplicao com os CAs. No Windows Server 2003, o Microsoft SCEP (MSCEP) era um suplemento do Windows Server 2003 Resource Kit que precisava ser
149
instalado no mesmo computador que o CA. No Windows Server Longhorn, o suporte do MSCEP foi renomeado para NDES e faz parte do sistema operacional, podendo ser instalado em um computador diferente do CA. A extenso do NDES ao IIS utiliza o registro para armazenar configuraes de configuraes. Todas as configuraes so armazenadas sob a chave do Registro: HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP A tabela que segue define as chaves de registro usadas para configurar o MSCEP:
Chaves do Registro em MSCEP

Nome da Configurao
Atualizao
Opcional
No 7
Valor Padro
Valores Possveis
Quantidade de dias em que as requisies pendentes so mantidas no banco de dados NDESP. Define se as senhas so exigidas para requisies de registro. O valor 1 significa que o NDES requer uma senha para requisies de registro. O valor 0 (zero) significa as senhas no requeridas. Quantidade mxima de senhas disponveis que podem ser armazenadas. Nota: Nas verses anteriores, o padro era 1.000. Quantidade de minutos em que uma senha vlida. O nome do diretrio virtual pode ser usado para as requisies de senha. Se definido, o NDES aceita requisies de senha apenas do diretrio virtual estabelecido. Se o valor est vazio ou no configurado, o NDES aceita as requisies de senha de qualquer diretrio virtual.
Aplicar Senha
No
PasswordMax
No
PasswordValidity PasswordVDir
No Sim
60
CacheRequest
No
20
Quantidade de minutos em que os certificados emitidos so mantidos no banco de dados SCEP. Identifica o tipo de CA ao qual o NDES est ligado. O valor 1 significa que um CA corporativa; o valor 0 significa que um CA autnomo. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar o certificado. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para um certificado de criptografia. Se a chave estiver definida, o NDES usa um valor, como o nome modelo do certificado, quando os clientes se cadastram para assinar e criptografar
CAType
No
Baseado na configur ao No definido
SigningTemplate
Sim
EncryptionTemplate
Sim
No definido
SigningAndEncryptionTem Sim plate
No definido
150
um certificado, ou quando a requisio no inclui uma utilizao estendida da chave.
Antes de instalar o NDES, decida o seguinte: Se usar uma conta de usurio dedicada para o servio ou usar a conta do Network Service O nome da autoridade de registro (RA) do NDES e qual pas/regio usar. As informaes so includas em qualquer certificado MSCEP emitido O provedor de servio criptogrfico (CSP) para usar na chave de assinatura usada para criptografar a comunicao entre o CA e a RA O CSP a ser usado para a chave de criptografia usada para criptografar a comunicao entre a RA e o dispositivo de rede A extenso de cada chave
Alm disso, voc precisa criar e configurar modelos de certificado usados juntamente com o NDES. Instalar o NDES em um computador cria uma nova RA e exclui quaisquer certificados RA pr-existentes no computador. Portanto, se voc planeja instalar o NDES em um computador em que outra RA tenha sido configurada, quaisquer requisies pendentes de certificado devem ser processadas e todos os certificados no declarados devem ser antes de o NDES ser instalado.
Servios de Certificado do Active Directory: PKI Corporativo

Monitorar e ajustar a integridade de mltiplos CAs para a hierarquia de PKI corporativo, nos Servios de Certificado do Active Directory, so tarefas administrativas essenciais simplificadas pelo PKI Corporativo (PKIView). Originalmente parte do Microsoft Windows Server 2003 Resource Kit, chamado de ferramenta PKI Health, o PKIView agora um snap-in de MMC do Windows Server Longhorn. Como ele faz parte do sistema operacional ncleo do Windows Server Longhorn, voc pode us-lo depois da instalao do servidor, apenas adicionando-o ao MMC. Ele ento se torna disponvel para analisar o estado de integridade dos CAs e para ver detalhes dos certificados de CA publicados nos Servios de Certificados do Active Directory. O PKIView fornece uma visualizao do status do seu ambiente PKI da rede. Ter uma viso de todos os CAs e de seus estados permite que os administradores gerenciem as hierarquias de CA e solucionem problemas de possveis erros, de forma fcil e efetiva. Mais especificamente, o PKIView indica a validade ou acessibilidade dos locais de acesso s informaes de autoridade (AIA) e dos pontos de distribuio de CRL (CDP).
151
Para cada CA selecionado, o PKIView indica o estado de integridade do CA em rvore, como segue:
Estados de integridade do CA
Indicador
Ponto de Interrogao Indicador verde Indicador amarelo Indicador vermelho Cruz vermelha sobre o cone do CA
Estado do CA
Avaliao do estado de integridade do CA CA sem nenhum problema CA com problema no-crtico CA com problema crtico CA est offline
Ao adicionar um snap-in do PKIView ao MMC, voc v trs painis: rvore. Este painel exibe uma representao em rvore da sua hierarquia de PKI corporativo. Cada n abaixo de Enterprise PKI representa um CA com outros CAs atuando como ns filhos. Resultados. Para o CA selecionado na rvore, este painel exibe uma lista de CAs subordinados, certificados de CA, pontos de distribuio CRL (CDPs) e locais AIA. Se a raiz do console for selecionada na rvore, o painel de resultados exibe todos os CAs da raiz. H trs colunas no painel de resultados: o Nome. Se o n Enterprise PKI selecionado, os nomes dos CAs raiz, abaixo do primeiro, so exibidos. Se um CA ou um CA filho for selecionado, ento os nomes dos certificados de CA, locais AIA e CDPs so exibidos. Status. Breve descrio do status do CA (tambm indicado na rvore pelo cone associado ao CA selecionado) ou o status dos Certificados de CA, locais AIA ou CDPs (indicado pelas descries em texto do status, exemplos dos quais so OK e No possvel fazer o Download). Local. Os locais AIA e os CDPs (protocolo e caminho) para cada certificado. Alguns exemplos so file://, HTTP:// e LDAP://.
Aes. Este painel fornece a mesma funcionalidade encontrada nos menus Aes, Exibir e Ajuda.
Dependendo do item selecionado tanto na rvore como no painel de resultados, voc pode visualizar mais detalhes sobre os CAs e certificados de CA, incluindo informaes de AIA e CRL no painel de aes. Voc tambm pode gerenciar a estrutura do PKI corporativo e fazer correes ou alteraes nos certificados de CA ou CRLs.
152
Voc pode usar o PKIView em uma rede corporativa que utilize os Servios de Certificado do Active Directory e contenha um ou mais CAs, geralmente com mais de uma hierarquia de PKI. Os usurios mais avanados de PKIView incluem administradores e profissionais de TI familiarizados com o monitoramento da integridade do CA e a resoluo de problemas no ambiente de rede dos Servios de Certificado do Active Directory. Voc pode usar o PKIView apenas no ambiente dos Servios de Certificado do Active Directory. O PKIView agora suporta a codificao de caracteres Unicode.
Suporte a Caracteres Unicode

O PKIView fornece suporte completo para caracteres Unicode, juntamente com a codificao do PrintableString. Usar a codificao de caracteres Unicode permite que voc apresente textos e smbolos de todos os idiomas. A codificao Unicode usa um esquema de Formato de Transformao Unicode (UTF-8) que atribui dois bytes para cada caractere. possvel um total de 65.536 combinaes. Em contrapartida, a codificao PrintableString permite que voc use apenas um simples subconjunto de caracteres ASCII. Esses caracteres so de A-Z a-z 0-9 (espao) ' () + , . / : = ?.
Servios de Certificado do Active Directory: Suporte ao Protocolo de Status do Certificado Online

Cancelar um certificado uma parte necessria do processo de gerenciar certificados emitidos por CAs. Os meios mais comuns de comunicar um status do certificado distribuindo CRLs. Nas infra-estruturas de chave pblica do Windows Server Longhorn, em que o uso de CRLs convencionais no a melhor soluo, um Online Responder, baseado no OCSP, pode ser usado para gerenciar e distribuir as informaes de status da revogao. O uso dos Online Responders que distribuem respostas de OCSP, junto com o uso dos CRLs, um dos dois mtodos mais comuns para transmitir informaes sobre a validade dos certificados. Diferente dos CRLs, distribudos periodicamente, com informaes sobre todos os certificados que foram cancelados ou suspensos, um Online Responder recebe e responde apenas as requisies de clientes que pedem informaes sobre o status de um nico certificado. A quantidade de dados recuperados por requisio permanece constante, independente de quantos certificados cancelados possam haver. Em muitos casos, os Online Responders podem processar requisies de status do certificado de forma mais eficiente do que usando listas de revogao de certificado.
153
Os clientes se conectam remotamente rede e no precisam, ou no tm, conexes de alta velocidade para o download de grandes CRLs. Uma rede precisa controlar altos picos de atividade de verificao de revogao, como quando grande nmero de usurios efetua login ou envia um e-mail assinado ao mesmo tempo. Uma organizao precisa de meios eficientes para distribuir os dados de revogao para certificados emitidos por um CA que no seja Microsoft. Uma organizao deseja fornecer apenas os dados de revogao necessrios para verificar as requisies individuais do status do certificado, e no s tornar disponveis as informaes sobre todos os certificados cancelados ou suspensos.
Este recurso aplica-se a organizaes que tm PKIs com um ou mais CAs do Windows. Adicionar um ou mais Online Responders pode aprimorar, de forma significativa, a flexibilidade e escalabilidade do PKI de uma organizao; portanto, este recurso pode interessar os arquitetos de PKI, planejadores e administradores. Para instalar um Online Responder, voc deve ser administrador do computador em que ele est instalado. Os Online Responders, no Windows Server Longhorn, incluem os seguintes recursos. Caching do proxy da Web. O armazenamento do proxy da Web do Online Responder a interface de servios para o Online Responder. Ele implementado como uma extenso ISAPI hospedada pelo IIS. Suporte a requisies nicas ou contnuas. As opes de configurao para requisio nica ou contnua podem ser usadas para prevenir ataques freqentes de respostas do Online Responder. Integrao de configurao do Windows. Um Online Responder pode ser configurado, usando-se a Ferramenta de Gerenciamento de Funes do Windows Server. Suporte avanado criptografia. Um Online Responder pode ser configurado para usar uma criptografia de curva elptica (ECC) e SHA-256 para operaes criptogrficas. Modelos pr-configurados de certificados de assinatura OCSP. A implantao de um Online Responder simplificado pelo uso de um modelo de certificado de assinatura OCSP, disponvel no Windows Server Longhorn. Integrao do protocolo Kerberos. As requisies e respostas do Online Responder podem ser processadas junto
154
com a autenticao de senha do para uma validao imediata dos certificados de servidor ao efetuar login. Os Microsoft Online Responders so baseados no RFC 2560 para OCSP e esto em conformidade com eles. Por essa razo, as respostas quanto ao status do certificado dos Online Responders so geralmente referidas como respostas OCSP. Para mais informaes sobre o RFC 2560, visite o site do Internet Engineering Task Force em (http://go.microsoft.com/fwlink/?LinkId=67082). Dois novos conjuntos de funcionalidades podem ser originados do servio Online Responder: Online Responders. A funcionalidade bsica do Online Responder fornecida por um nico computador em que seu Servio est instalado. Matrizes do Responder. Diversos computadores ligados que hospedam o Online Responders e processam as requisies de status do certificado.
Online Responder
Um Online Responder um computador em que o servio do Online Responder executado. Um computador que hospeda um CA tambm pode ser configurado como um Online Responder, mas recomenda-se manter os CAs e os Online Responders em computadores separados. Um nico Online Responder pode fornecer informaes de status de revogao para certificados emitidos por um nico CA ou diversos. As informaes de revogao de CA podem ser distribudas usando mais de um Online Responder. As aplicaes que dependem de certificados X.509, como S/MIME, SSL, EFS e smart cards precisam validar o status dos certificados sempre que so usados para realizar autenticao, assinatura ou criptografia. A verificao de revogao e status do certificado analisa a validade dos certificados com base em: Tempo. Os certificados so emitidos em um perodo de tempo fixo e considerado vlido, contanto que no se atinja a data de vencimento do certificado e que ele no seja cancelado antes da data. Status da revogao. Os certificados podem ser cancelados antes da sua data de vencimento, por uma srie de motivos, como a suspenso ou comprometimento da chave.
As listas de revogao do certificado contm os nmeros de srie de todos os certificados emitidos por um CA que tenha sido cancelado. Para um cliente verificar o status de revogao de um certificado, ele deve fazer o download de um CRL que contenha informaes sobre todos os certificados que tenham sido cancelados pelo CA. H duas principais desvantagens nisso: Com o tempo, os CRLs podem se tornar extremamente grandes, o que pode exigir recursos significativos de rede e armazenamento para o CA, alm da parte
155
componente. Isso pode resultar em compensaes entre uma distribuio mais freqente de CRLs atualizados e o tempo e largura de banda da rede para distribu-los. Se os CRLs forem publicados com menor freqncia, os clientes devero contar com informaes sobre a revogao menos precisas. J houve inmeras tentativas de resolver o tamanho do CRL por meio da introduo de CRLs particionados, CRLs delta e CRLs indiretos. Todas essas abordagens acrescentaram complexidade e custo ao sistema, sem fornecer uma soluo. Quando voc utiliza o Online Responders, em vez de contar com os clientes, eles recebem todos os dados de revogao do certificado. Uma parte confivel envia uma requisio de status sobre um certificado individual para um Online Responder, que retorna uma resposta definitiva e digitalmente assinada, indicando o status apenas do certificado solicitado. A quantidade de dados recuperados por requisio constante, independente de quantos certificados cancelados existam no banco de dados, dentro do CA. Os Online Responders podem ser instalados em computadores que executam o Windows Server Longhorn. Eles devem ser instalados depois dos CAs, mas antes que os certificados clientes sejam emitidos. Os dados de revogao do certificado so derivados de um CRL publicado que pode vir de um CA em um computador que execute o Windows Server Longhorn, um que execute o Windows Server 2003, ou de um CA no-Microsoft. Antes de configurar um CA para suportar o servio Online Responder, deve-se apresentar o seguinte: O IIS deve estar instalado no computador, antes que o Online Responder possa ser instalado. A configurao correta do IIS para o Online Responder instalada automaticamente quando voc instala um Online Responder. Um modelo de certificado de assinatura OCSP deve ser configurado no CA, alm do registro automtico usado para emitir um certificado de assinatura OCSP para o computador em que o Online Responder ser instalado. A URL do Online Responder deve ser includa na extenso AIA dos certificados emitidos pelo CA. Essa URL usada pelo cliente Online Responder para validar o status do certificado.
Depois que um Online Responder foi instalado, voc tambm precisa criar uma configurao de revogao para cada CA e certificado CA atendido por um Online Responder. Uma configurao de revogao inclui todas as configuraes necessrias para responder s requisies de status quanto aos certificados que foram emitidos usando uma chave especfica de CA. Essas configuraes de configurao incluem o seguinte:
156
certificado CA. Este certificado pode ser encontrado em um controlador de domnio, em seu armazenamento local ou importado de um arquivo. Assinando um certificado para o Online Responder. Este certificado pode ser selecionado automaticamente para voc, manualmente (que envolve uma instruo separada de importao depois que voc concluir o procedimento regular de configurao da revogao), ou voc pode usar o certificado CA selecionado. Provedor de revogao que revogao usados por essa so inseridas na forma de vlida e CRLs delta podem Importante Antes de comear a adicionar uma nova configurao de revogao, verifique se possui essas informaes disponveis. ir fornecer os dados de configurao. Essas informaes um ou mais URLs, em que uma base ser obtidos.
Matrizes do Responder
Mltiplos Online Responders podem ser ligados a uma Matriz do Online Responder. Os Online Responders, em uma Matriz, so referidos como membros da Matriz. Um membro da Matriz pode ser designado o Controlador da Matriz. Embora cada Online Responder em uma Matriz possa ser configurado de forma independente, no caso de conflitos, as informaes de configurao do Controlador da Matriz iro superar as opes definidas em outros membros da Matriz. Uma Matriz de Online Responder pode ser criada e outros Online Responders podem ser adicionados por uma srie de razes, incluindo tolerncia a falhas no caso de um Online Responder individual se tornar indisponvel, por consideraes geogrficas, escalabilidade ou estrutura da rede. Por exemplo, as filiais remotas consistentes com suas matrizes, Portanto, nem sempre possvel Responder remoto para processar revogao. podem no ter conexes onde o CA est localizado. contatar o CA ou um Online uma requisio do status de
Como os membros de uma Matriz do Online Responder podem ser remotos e estar sujeitos a condies de rede insatisfatrias, cada membro da matriz pode ser monitorado e gerenciado de forma independente. Configurar uma Matriz do Online Responder conhecimentos de planejamento baseado em: requer bons
Nmero e local dos CAs que esto sendo atendidos pela matriz
157
Nmero de clientes que iro solicitar partir dos CAs e seus locais
certificados a
Conectividade de rede entre clientes, CAs e Online Responders potenciais Volume de registros de certificado, revogaes e requisies de status que a infra-estrutura da chave pblica da organizao controla Necessidade de redundncia no caso de os Online Responders se tornarem disponveis
Depois que a Matriz do Online Responder foi planejada, configurar uma Matriz envolve uma quantidade de procedimentos que devem ser coordenados.
Diretiva de Grupo
Diversas configuraes da Diretiva de Grupo foram adicionadas para aprimorar o gerenciamento do OCSP e uso dos dados do CRL. Por exemplo, os CRLs possuem datas de vencimento, como os certificados, e, se essa data passar antes de uma atualizao ser publicada ou disponibilizada, a validao da cadeia de certificados pode falhar, mesmo com a presena de um Online Responder. Isso acontece, pois o Online Responder conta com os dados de uma CRL expirada. Em situaes em que as condies de rede podem atrasar a publicao adequada e o recebimento das CRLs atualizadas, os administradores podem usar essas configuraes da Diretiva de Grupo para estender o tempo de validade de um CRL existente ou resposta do OCSP. Voc pode estender o perodo dos CRLs e respostas do OCSP, indo guia revogao nas configuraes de Validao (Configurao do Computador, Configuraes do Windows, Configuraes de Segurana e Diretivas da Chave Pblica). Para configurar essas opes, faa o seguinte: Clique em Definir essas configuraes de segurana. Clique em Permitir que todos os CRLs e respostas do OCSP sejam vlidas por mais tempo. Selecione Tempo padro em que o perodo de validade pode ser estendido, e informe o valor desejado de tempo (em horas).
Uma opo separada da guia revogao permite que voc sobrescreva as respostas do OCSP com informaes contidas nos CRLs. Assim, um certificado que tenha sido cancelado, adicionando-o a um CRL local, pode ser verificado como vlido, se um cliente tiver um CRL que no inclua seu status de revogao. Embora esta opo no seja recomendada, pode ser til em casos em que as alteraes de revogao feitas por um administrador local no sejam finais at que um administrador de CA verifique a mudana.
158
Essas configuraes esto localizadas em Configurao do Computador, Configuraes do Windows, Configuraes de Segurana e Diretivas da Chave Pblica. Importante As credenciais administrativas so necessrias para modificar as configuraes da Diretiva de Grupo.
Implantao
Como os Online Responders so feitos para atender requisies individuais de status do certificado, uma Matriz de Online Responder geralmente requer mltiplos Online Responders, geograficamente dispersos, para equilibrar a carga. Como cada resposta do status assinada, cada Online Responder deve ser instalado em um servidor confivel. Os Online Responders do Windows Server Longhorn podem ser instalados nas seguintes configuraes matrizes: Online Responder nico para mltiplos CAs. O Online Responder requer uma chave e um certificado assinado para cada CA suportado. Um Online Responder deve ser emitido com um certificado assinado a partir do CA emitido. Um Online Responder no pode fornecer o status de um certificado maior na cadeia do que um CA que tenha emitido o certificado assinado. Online Responders Mltiplos para um nico CA. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Esse suporte vem por meio de clustering. A lgica do clustering se responsabiliza por conduzir o cliente a requisies de um Online Responder especfico. Mltiplos Online Responders para mltiplos CAs. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Online Responders fazendo
Voc pode se preparar para implantar o o seguinte:
Avaliar os benefcios potenciais de suplementar CRLs usando Online Responders para gerenciar a verificao de revogao na sua organizao Identificar os locais possveis onde o Online Responders possa ser til Dependendo do nmero de CAs e locais que voc est suportando, o volume de requisies de validao do certificado que voc antecipar e as condies de rede entre os CAs e os locais, identificar a configurao da instalao a partir de uma lista precedente que melhor se adapte sua organizao
159
Identificar os locais para cada Online Responder e a forma como eles devem ser gerenciados Testar o Online Responder e a configurao do PKI em um ambiente de laboratrio para validar o modelo de PKI e identificar as opes de configurao para cada Online Responder e configurao de revogao Instalar e configurar cada Online Responder
160
5.08 Servios de Domnio do Active Directory

Os Servios de Domnio do Active Directory armazena informaes sobre usurios, computadores e outros dispositivos na rede. Os Servios de Domnio do Active Directory ajuda os administradores a gerenciar, de forma segura, essas informaes e facilita o compartilhamento de recursos e colaborao entre os usurios. Exige-se tambm que ele seja instalado na rede para instalar as aplicaes ativadas pelo diretrio, como o Microsoft Exchange Server, e para aplicar outras tecnologias do Windows Server, como a Diretiva de Grupo. Os tpicos que seguem descrevem alteraes na funcionalidade dos Servios de Domnio do Active Directory disponvel nesta verso: Servios de Domnio do Active Directory: Auditoria Servios de Domnio do Active Directory: Diretivas de Senha Granuladas Servios de Domnio do Active Directory: Controladores de Domnio de Somente Leitura Servios de Domnio do Active Directory: Servios de Domnio do Active Directory Reinicializveis Servios de Domnio do Active Directory: Exibio em Telas Servios de Domnio do Active Directory: Melhorias na Interface de Usurio
Servios de Domnio do Active Directory: Auditoria

No Windows Server Longhorn, voc agora pode configurar a auditoria dos Servios de Domnio do Active Directory por uma nova sub-categoria da diretiva de auditoria (Alteraes no Servio de Diretrio) para registrar valores novos e antigos quando houver alteraes nos objetos dos Servios de Domnio do Active Directory e seus atributos. Nota Este novo recurso de auditoria tambm se aplica ao Active Directory Lightweight Directory Services. No entanto, a discusso refere-se apenas aos Servios de Domnio do Active Directory. A diretiva global de auditoria, Auditoria do acesso ao servio de diretrio, controla se a auditoria para os eventos do servio de diretrio esta ativada ou no. Essa configurao de segurana determina se os eventos esto registrados no log de Segurana, quando certas operaes so realizadas em objetos do diretrio. Voc pode controlar quais operaes auditar, modificando a lista de controle de acesso ao sistema (SACL) em um objeto. No Windows Server Longhorn, esta diretiva est ativada por padro.
161
Se voc definir a configurao da diretiva (modificando a Diretiva padro dos Controladores de Domnio), pode especificar auditar os sucessos, falhas ou ento no auditar nada. As auditorias de sucesso geram uma entrada sempre que um usurio acessa, com sucesso, um objeto dos Servios de Domnio do Active Directory que tenha um SACL especificado. As auditorias de falha geram uma entrada sempre que um usurio acessa, sem sucesso, um objeto dos Servios de Domnio do Active Directory que tenha um SACL especificado. Voc pode definir um SACL em um objeto dos Servios de Domnio do Active Directory na guia Segurana, na caixa de dilogo de propriedades do objeto. A Auditoria de acesso ao servio de diretrio aplicada da mesma forma como na Auditoria de acesso ao objeto; no entanto, ela se aplica apenas aos objetos dos Servios de Domnio do Active Directory e no aos objetos do sistema de arquivo e do registro. Esse recurso aplica-se aos administradores de Servios de Domnio do Active Directory, responsveis por configurar a auditoria no diretrio. Os administradores definem SACLs apropriados para fazer a auditoria. Em geral, as permisses para modificar SACLs e visualizar o log de Segurana so atribudos apenas a membros dos grupos de Administradores, incluindo de Domnio Domain, Builtin\Administradores e de Empresa. O Windows Server Longhorn est incluindo a capacidade de a auditoria dos Servios de Domnio do Active Directory registrar valores novos e antigos de um atributo quando uma alterao bem sucedida feita nele. Antes, a auditoria dos Servios de Domnio do Active Directory registrava apenas o nome do atributo que era alterado; e no seus valores antigos e atuais.
Auditoria de Acesso aos Servios de Domnio do Active Directory

No Windows 2000 Server e Windows Server 2003, havia uma diretiva de auditoria, o Audit Directory Service Access, que controlava se a auditoria dos eventos de servio de diretrio era ativada ou no. No Windows Server Longhorn, essa diretiva dividida em quatro sub-categorias: Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication
A capacidade de auditar alteraes nos objetos dos Servios de Domnio do Active Directory ativada com a nova sub-categoria de auditoria, o Directory Service Changes. Os tipos de alteraes que voc pode auditar so criar, modificar, mover e no excluir operaes feitas em um objeto. Os eventos que so gerados por essas operaes aparecem no log de Segurana.
162
Essa nova sub-categoria da diretiva adiciona as seguintes capacidades aos Servios de Domnio do Active Directory: Quando uma operao bem sucedida de modificao realizada em um atributo de um objeto, os Servios de Domnio do Active Directory registra seus valores novos e atuais. Se o atributo possuir mais de um valor, apenas os valores que mudam, como resultado da operao de modificao, so registrados. Caso um novo objeto seja criado, os valores dos atributos populados no momento da criao so registrados. Se os atributos so adicionados durante a operao de criao, esses novos valores so registrados. Na maioria dos casos, os Servios de Domnio do Active Directory atribui valores padres aos atributos (como o sAMAccountName). Os valores desses atributos do sistema no so registrados. Se um objeto movido dentro de um domnio, o local novo e o anterior (na forma de nome diferente) registrado. Quando um objeto movido para um domnio diferente, um evento de criao gerado no controlador de domnio do domnio alvo. Se um objeto no excludo, o local para o qual ele foi movido registrado. Alm disso, se os atributos forem adicionados, modificados ou excludos durante uma operao de no-excluso, seus valores no sero registrados. Nota Caso um objeto seja excludo, no so gerados eventos de auditoria de alterao. No entanto, um evento de auditoria gerado caso a sub-categoria do Directory Service Access seja ativado. Depois que Domnio do quando so configurou eventos. o Directory Service Changes ativado, os Servios de Active Directory registra eventos no log de Segurana, feitas alteraes aos objetos que um administrador para auditoria. A tabela que segue descreve esses
Alteraes no Directory Service Eventos dos Servios de Domnio do Active Directory

ID do Evento
5136
Tipo de Evento
Modificar
Descrio do Evento
O evento registrado quando uma modificao bem sucedida feita a um atributo no diretrio. Este evento registrado quando um novo objeto criado no diretrio. Este evento registrado quando um objeto no excludo do diretrio. Este evento registrado quando um objeto movido dentro do domnio.
5137
Criar
5138
No excluir
5139
Mover
163
A capacidade de identificar como os atributos do objeto mudam torna os logs de eventos mais teis como um mecanismo de acompanhamento a alteraes que ocorrem por toda a durao de um projeto. No Windows Server Longhorn, voc implementa um novo recurso de auditoria, usando os seguintes controles: Diretiva de auditoria global SACL Esquema
Diretiva de auditoria global

Ativar a diretiva de auditoria global, Auditoria do acesso ao servio de diretrio, ativa todas as sub-categorias da diretiva do servio de diretrio. Voc pode definir essa diretiva global na Diretiva de Grupo dos Controladores de Domnio Padro (abaixo de Configuraes de Segurana\Diretivas Locais\Diretiva de Auditoria). No Windows Server Longhorn, esta diretiva est ativada por padro. Portanto, a sub-categoria Directory Service Changes tambm est ativada por padro. Esta sub-categoria est definida apenas para os eventos de sucesso. No Windows 2000 Server e Windows Server 2003, a diretiva Auditoria do acesso ao servio de diretrio era o nico controle disponvel para o Active Directory. Os eventos que eram gerados por esse controle no mostravam os valores novos e antigos de nenhuma modificao. Essa configurao gerava eventos de auditoria no log de Segurana, com o nmero de ID 566. No Windows Server Longhorn, a sub-categoria Directory Service Access ainda gera os mesmos eventos, mas seu nmero de ID alterado para 4662. Com a nova sub-categoria Directory Service Changes, alteraes bem sucedidas so registradas junto com os valores novos e antigos do atributo. As configuraes para Directory Service Access e Directory Service Changes esto armazenadas no banco de dados da Autoridade de Segurana Local (LSA). Elas podem ser consultadas com novos LSA APIs. As duas sub-categorias de auditoria so independentes uma da outra. Voc pode desabilitar Directory Service Access e ainda ser capaz de ver eventos de alterao gerados caso a sub-categoria Directory Service Changes esteja ativada. Da mesma forma, se voc desabilitar Directory Service Changes e ativar Directory Service Access, pode ver os eventos do log de Segurana com o nmero de ID 4662. Voc pode usar a ferramenta Auditpol.exe da linha de comando ou definir sub-categorias da diretiva de auditoria. No existe uma ferramenta de interface do Windows disponvel no Windows Server
164
Longhorn Beta 2 para visualizar ou definir sub-categorias da diretiva de auditoria.
SACL
O SACL a especifica segurana. determinar parte de um descritor de segurana do objeto que as operaes a serem auditadas para princpio de O SACL do objeto ainda a autoridade principal para se uma verificao de acesso deve ou no ser auditada.
O contedo do SACL controlado pelos administradores de segurana do sistema local. Os administradores de segurana so usurios atribudos aos privilgio de Gerenciar Log de Auditoria e Segurana (SeSecurityPrivilege). Por padro, esse privilgio atribudo ao grupo de Administradores integrado. Se no houver entrada de controle de acesso (ACE) no SACL que requer o registro das modificaes do atributo, mesmo que a subcategoria de Directory Service Changes esteja ativada, nenhum evento de auditoria de alterao registrado. Por exemplo, se no houver ACE no SACL que requer acesso Propriedade de Escrita no atributo do nmero de telefone de um objeto de usurio a ser auditado, nenhum evento de auditoria gerado quando esse atributo modificado, mesmo que a sub-categoria Directory Service Changes esteja ativada.
Esquema
Para evitar a possibilidade de um nmero excessivo de eventos que esto sendo gerados, existe um controle adicional no esquema, que pode ser usado para criar excees ao que auditado. Por exemplo, se voc deseja ver alteraes a todas as modificaes de atributo em um objeto de usurio exceto a um ou dois atributos voc pode definir uma indicao no esquema para atributos que no deseja auditar. A propriedade searchFlags de cada atributo define se ele indexado, replicado ao catlogo global ou algum outro tipo de comportamento. Existem sete bits atualmente definidos para a propriedade searchFlags. Se o bit 9 (valor 256) for definido para um atributo, os Servios de Domnio do Active Directory no registrar eventos de alterao quando as modificaes forem feitas. Isso se aplica a todos os objetos que contm aquele atributo.
Configuraes do Registro
Os seguintes valores de chave do registro so usados para configurar a auditoria dos Servios de Domnio do Active Directory.
Valores de Chave do Registro Auditoria dos Servios de Domnio do Active Directory

Nome da Configurao
MaximumStringBytesToAudit
Local
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\
Valores Possveis
Valor mnimo do registro: 0
165
Services\NTDS\Parameters
Valor mximo do registro: 64000 Valor padro: 1000
5137
Criar
Este evento registrado quando um novo objeto criado no diretrio. Este evento registrado quando um objeto no excludo do diretrio. Este evento registrado quando um objeto movido dentro do domnio.
5138
No excluir
5139
Mover
Configuraes da Diretiva de Grupo

Voc no pode visualizar as sub-categorias da diretiva de auditoria com o Editor de Objeto da Diretiva de Grupo (GPedit.msc). Voc pode apenas visualiz-las com a ferramenta Auditpol.exe de linha de comando. O comando auditpol do exemplo que segue ativa a sub-categoria Directory Service Changes: auditpol /set /subcategory:"directory service changes" /success:enable
Servios de Domnio do Active Directory: Diretivas de Senhas Detalhadas

O Windows Server Longhorn fornece s organizaes uma forma de definir diretivas diferentes de senha e bloqueio de conta para diferentes grupos de usurios em um domnio. Nos domnios do Windows 2000 e Windows Server 2003 Active Directory, apenas uma diretiva de senha e bloqueio de conta pode ser aplicada a todos os usurios no domnio. Essas diretivas foram especificadas na Diretiva de Domnio Padro do domnio. Como resultado, as organizaes que desejavam configuraes diferentes de senha e bloqueio de conta, para grupos diferentes de usurios, precisavam tanto criar um filtro para senha como implantar mltiplos domnios. As duas opes tm alto custo, por diversas razes. Voc pode usar diretivas de senhas granuladas para especificar mltiplas diretivas dentro de um nico domnio. Pode us-las tambm para aplicar diferentes restries a senhas e diretivas de bloqueio de conta para diferentes grupos de usurios em um domnio. Por exemplo, voc pode aplicar configuraes mais rigorosas s contas privilegiadas e outras menos rigorosas s contas de outros usurios. Em outros casos, voc pode aplicar uma diretiva de senha especial a contas cujas senhas so sincronizadas com outras fontes de dados. Os seguintes indivduos devem verificar essas informaes sobre diretivas de senhas granuladas: Planejadores e analistas de TI que avaliam tecnicamente o produto
166
Planejadores corporativos de TI e designers de organizaes Administradores ou gerentes responsveis pela segurana da TI
Essas diretivas aplicam-se apenas a objetos do usurio (ou objetos inetOrgPerson caso sejam usados no lugar de objetos do usurio) e grupos de segurana global. Por padro, apenas membros do grupo de Administradores do Domnio podem definir diretivas de senhas granuladas. No entanto, voc tambm pode delegar a habilidade de definir essas diretivas a outros usurios. O nvel funcional do domnio deve ser Windows Server Longhorn. Essas diretivas de senhas granuladas no interferem nos filtros regulares que voc deve usar no mesmo domnio. As organizaes que tm filtros de senha implantados em controladores de domnio que executam o Windows 2000 ou Windows Server 2003 podem continuar usando esses filtros para reforar restries adicionais de senhas.
Armazenando Diretivas de Senhas Detalhadas

Para armazenar essas diretivas de senhas detalhadas, o Windows Server Longhorn inclui duas novas classes de objetos no esquema dos Servios de Domnio do Active Directory: Container de Configurao de Senha Configuraes de Senha
O Container de Configurao de Senha criado por padro, abaixo do container Sistema, no domnio. Ele armazena os objetos de Configurao de Senha (PSOs) para esse domnio. Voc no pode renomear, mover ou excluir esse container. Um PSO possui atributos para todas as configuraes que podem ser definidas na Diretiva de Domnio Padro (exceto as configuraes Kerberos). Essas configuraes incluem atributos para as seguintes configuraes de senha: Reforar o histrico de senha Tempo mximo da senha Tempo mnimo da senha Extenso mnima da senha As senhas devem suprir os requisitos de complexidade Armazenar senhas usando criptografia reversvel
Essas configuraes tambm incluem atributos para as seguintes configuraes de bloqueio de conta: Durao do bloqueio da conta Limite de bloqueio da conta Redefinio de bloqueio da conta aps
Alm disso, um PSO possui os dois seguintes novos atributos:

167
PSO link. Este um atributo multivalorizado, ligado a usurios e/ou objetos de grupo. Precedncia. Este um valor inteiro usado para resolver conflitos, se muitos PSOs so aplicados a um usurio ou objeto de grupo.
Estes nove atributos so do tipo mustHave. Isso significa que voc deve definir um valor a cada um. As configuraes de mltiplos PSOs no podem ser mescladas.
Definindo o Escopo das Diretivas de Senhas Detalhadas

Um PSO pode ser vinculado a um usurio (ou inetOrgPerson) ou objeto de grupo que esteja no mesmo domnio que o PSO. Um PSO possui um atributo chamado PSOAppliesTo que contm um link de encaminhamento a somente usurio ou objetos do grupo. O atributo PSOAppliesTo multivalorizado, o que quer dizer que voc pode aplicar um PSO a mltiplos usurios ou grupos. Voc pode criar uma diretiva de senha e aplic-la a diferentes conjuntos de usurios ou grupos. Um novo atributo chamado PSOApplied foi adicionado ao usurio e objetos de grupo no Windows Server Longhorn. O atributo PSOApplied contm um link de retorno ao PSO. Como o atributo PSOApplied possui um link de retorno, um usurio ou grupo pode ter diversos PSOs aplicados a ele. Nesse caso, as configuraes aplicadas so calculadas pelo Conjunto Resultante da Diretiva (RSOP). Para mais informaes, confira o RSOP, mais adiante, neste tpico.
Voc pode vincular um PSO a outros tipos de grupos, alm dos grupos globais de segurana. Mas quando um conjunto resultante de diretivas determinado a um usurio ou grupo, apenas os PSOs vinculados a grupos globais de segurana ou objetos de usurios so considerados. Os PSOs vinculados a grupos de distribuio ou outros tipos de grupos de segurana so ignorados.
RSOP
Um usurio ou objeto de grupo pode ter mltiplos PSOs vinculados a ele, tanto porque os membros, em mltiplos grupos, tm, cada um, PSOs diferentes vinculados a eles, como porque mltiplos PSOs so aplicados diretamente ao objeto. No entanto, apenas um PSO pode ser aplicado como diretiva efetiva de senha. Apenas as configuraes daquele PSO podem afetar o usurio ou grupo. As configuraes de outros PSOs, que esto ligados ao usurio ou grupo, no podem ser mescladas de maneira alguma. O RSOP pode apenas ser calculado para um objeto do usurio. O PSO pode ser aplicado ao objeto de usurio nas duas maneiras que seguem: Diretamente. O PSO vinculado ao usurio
168
Indiretamente. O PSO vinculado ao grupo(s) do qual o usurio membro
Cada PSO possui um atributo adicional chamado precedncia, que ajuda no clculo do RSOP. O atributo precedncia possui um valor inteiro de 1 ou mais. Um valor mais baixo para o atributo precedncia indica que o PSO tem uma classificao maior, ou maior prioridade, do que outros PSOs. Por exemplo, suponha que um objeto tenha dois PSOs vinculados a ele. Um PSO possui valor de precedncia 2 e o outro tenha um valor 4. Neste caso, o PSO que possui o valor de precedncia 2 tem maior classificao e, portanto, aplicado ao objeto. Se mltiplos PSOs so vinculados a um usurio ou grupo, o PSO resultante aplicado determinado conforme o seguinte: Um PSO que seja vinculado diretamente ao objeto de usurio o PSO resultante. Se mais de um PSO for diretamente vinculado ao objeto de usurio, uma mensagem de aviso ser registrada no log de evento, e o PSO com o menor valor de precedncia ser o PSO resultante. Se no houver um PSO vinculado ao objeto de usurio, os membros do grupo global de segurana do usurio, e todos os PSOs que so aplicveis ao usurio com base nos membros do grupo global, so comparados. O PSO com o valor de precedncia mais baixo o PSO resultante. Se nenhum PSO for obtido a partir das condies (1) e (2), A Diretiva de Domnio Padro ser aplicada.
Recomendamos que voc atribua um valor de precedncia nico para cada PSO que voc criar. No entanto, voc pode criar mltiplos PSOs com o mesmo valor. Se mltiplos PSOs com o mesmo valor de precedncia so obtidos para um usurio, o primeiro PSO obtido ser aplicado. Outro novo atributo chamado ResultantPSO foi adicionado ao objeto de usurio. Um administrador pode consultar este atributo para recuperar o nome distinto do PSO, que aplicado quele usurio (baseado nas regras listadas anteriormente). Se no houver um objeto de PSO que se aplique ao usurio, tanto direta quanto virtualmente dos membros do grupo, a consulta retorna o nome distinto do domnio. Ao aplicar um PSO que seja diretamente ligado a um usurio ou grupo, antes de outros PSOs, voc pode criar excees para certos usurios de um grupo. Voc pode atribuir um PSO a um grupo de usurios, mas atribuir uma diretiva diferente a alguns dos membros. Em vez de ter de criar uma nova diretiva e reorganizar a precedncia de todas as diretivas anteriores para um usurio em particular, voc pode criar uma diretiva com qualquer precedncia. Quando voc aplica a diretiva diretamente ao usurio, ela aplicada primeiro.
169
O objeto de usurio possui trs bits, que podem ser definidos no atributo userAccountControl do objeto de usurio que pode sobrescrever as configuraes presentes no PSO resultante (muitos desses bits sobrescrevem as configuraes da Diretiva de Domnio Padro, no Windows 2000 e Windows Server 2003). Esses bits incluem o seguinte: Criptografia de senha reversvel exigida Senha no exigida Senha no expira
Esses bits continuam a superar as configuraes no PSO resultante que aplicado ao objeto de usurio.
Segurana e Delegao
Por padro, apenas membros do grupo de Administradores de Domnio podem criar PSOs. Apenas membros deste grupo possuem as permisses Criar Filho e Excluir Filho, no objeto Password Settings Container. Alm disso, apenas membros do grupo de Administradores de Domnio tm permisses de Propriedade de Escrita no PSO, por padro. Portanto, apenas membros deste grupo podem aplicar um PSO a um grupo ou usurio. Voc pode delegar essa permisso a outros grupos ou usurios. Voc no precisa de permisses sobre o objeto do grupo ou usurio para poder aplicar um PSO a ele. Ter permisses de Escrita no usurio ou objeto de grupo no fornece a voc a capacidade de vincular um PSO a um usurio ou grupo. O proprietrio de um grupo no possui permisses de vincular um PSO ao grupo, pois o link de encaminhamento est no PSO. O poder de vincular um PSO ao grupo ou usurio dado ao proprietrio do PSO. As configuraes no PSO podem ser consideradas confidenciais; portanto, por padro, os Usurios Autenticados no tm permisses de Propriedade de Leitura para um PSO. Por padro, apenas membros do grupo de Administradores de Domnio possuem permisses da Propriedade de Leitura no descritor de segurana padro do objeto PSO no esquema. Voc pode delegar essas permisses a qualquer grupo (como o help desk ou aplicao de gerenciamento) no domnio ou floresta. Isso tambm pode prevenir um usurio de ver suas configuraes de senha no diretrio. O usurio pode ler os atributos ResultantPSO ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que se aplica ao usurio. O usurio no pode ver as configuraes dentro do PSO. Antes de adicionar um controlador de domnio que execute no Windows Server Longhorn a um domnio existente do Active Directory, voc deve executar o adprep /domainprep. Ao executar o adprep /domainprep, o esquema do Active Directory estendido para incluir novas classes de objetos que as diretivas de senhas granuladas requerem.
170
Caso voc no crie essas diretivas para diferentes grupos de usurios, as configuraes da Diretiva de Domnio Padro aplicamse a todos os usurios no domnio, assim como no Windows 2000 e Windows Server 2003.
Para saber mais, recorra seo 4.02
Servios de Domnio do Active Directory: Controladores de Domnio de Somente Leitura

Um controlador de domnio de somente leitura (RODC) um novo tipo de controlador no sistema operacional do Windows Server Longhorn. Com o RODC, as organizaes so capazes de implantar, facilmente, um controlador de domnio em locais onde a segurana fsica no garantida. Um RODC hospeda parties de somenteleitura dos Servios de Domnio do Active Directory. Para mais informaes sobre os Controladores de Domnio de Somente Leitura, recorra seo 4.02 Controlador de Domnio de Somente Leitura, na pgina 85.
Controlador de Domnio de Somente Leitura na

pgina 85.
Servios de Domnio do Active Directory: Servios de Domnio do Active Directory Reinicializveis

Os administradores podem parar e reiniciar os Servios de Domnio do Active Directory no Windows Server Longhorn, usando os snapins do MMC ou a linha de comando. Os Servios de Domnio do Active Directory Reinicializvel reduz o tempo requerido para realizar certas operaes. Os Servios de Domnio do Active Directory pode ser parado para que as atualizaes possam ser aplicadas a um controlador de domnio; e tambm, eles podem parar os Servios de Domnio do Active Directory para realizar tarefas, como a desfragmentao offline do banco de dados do Active Directory, sem reiniciar o controlador de domnio. Outros servios que esto sendo executados no servidor e que no dependem dos Servios de Domnio do Active Directory para funcionar, como o Dynamic Host Configuration Protocol (DHCP), permanecem disponveis para satisfazer as requisies de clientes, enquanto os Servios de Domnio do Active Directory parado. Os Servios de Domnio do Active Directory Reinicializvel fornece benefcios para o seguinte: Planejadores e administradores da atualizao da segurana Equipes de gerenciamento dos Servios de Domnio do Active Directory Administradores dos Servios de Domnio do Active Directory
Os Servios de Domnio do Active Directory Reinicializvel disponvel por padro em todos os controladores de domnio que executam o Windows Server Longhorn. No existem requisitos funcionais, ou outros pr-requisitos, para usar esse recurso.
171
No Active Directory do sistema operacional Microsoft Windows 2000 Server e Windows Server 2003, a desfragmentao offline do banco de dados exigia uma reinicializao do controlador de domnio no Modo de Recuperao do Directory Services. Aplicar as atualizaes de segurana geralmente requer uma reinicializao do controlador de domnio. No Windows Server Longhorn, no entanto, os administradores podem parar e reiniciar os Servios de Domnio do Active Directory. Isso torna possvel desempenhar as operaes offline dos Servios de Domnio do Active Directory de forma mais rpida. Os Servios de Domnio do Active Directory Reinicializvel adiciona as menores alteraes aos snap-ins do MMC. Um controlador de domnio que executa o Windows Server Longhorn Active Directory Domain Services exibe o Controlador de Domnio no n Servios (Local) do snap-in Servios de Componente e do Gerenciamento do Computador. Usando qualquer um deles, um administrador pode facilmente parar e reiniciar os Servios de Domnio do Active Directory da mesma forma como com qualquer outro servio que esteja sendo executado localmente no servidor. Embora parar os Servios de Domnio do Active Directory seja como efetuar logon no Modo de Recuperao do Directory Services, o Active Directory Domain Services reinicializvel fornece um estado nico para um controlador de domnio que execute o Windows Server Longhorn. Esse estado conhecido como Active Directory Domain Services Stopped. Os trs estados possveis para um controlador de domnio que execute o Windows Server Longhorn so os seguintes: Active Directory Domain Services Started. Neste estado, os Servios de Domnio do Active Directory iniciado. Para os clientes e outros servios executados no servidor, um controlador de domnio do Windows Server Longhorn executado neste estado o mesmo que o controlador executado no Windows 2000 Server ou Windows Server 2003. Active Directory Domain Services Stopped. Neste estado, os Servios de Domnio do Active Directory parado. Embora este modo seja exclusivo, o servidor possui algumas caractersticas tanto de controlador de domnio no Modo de Recuperao do Directory Services quanto como um servidor membro ligado ao domnio. Assim como no Modo de Recuperao do Directory Services, o banco de dados do Active Directory (Ntds.dit) est offline. Alm disso, a senha do Modo de Recuperao do Directory Services pode ser usada para um login local, caso outro controlador de domnio no possa ser contatado. Assim como com um servidor membro, o servidor ligado ao domnio. Alm disso, os usurios podem efetuar logon de forma interativa, ou pela rede, usando outro controlador de domnio para o logon. No entanto, um controlador de domnio
172
no deve permanecer neste estado por um longo perodo de tempo, pois ele no consegue atender as requisies de logon ou replicar com outros controladores de domnio. Modo de Recuperao do Directory Services. Este modo (ou estado) inaltervel a partir do Windows Server 2003.
O seguinte fluxograma apresenta como um controlador de domnio que executa o Windows Server Longhorn pode fazer a transio entre esses trs estados possveis.
Servios de Domnio do Active Directory: Exibio em Instantneo

A Exibio em Telas dos Servios de Domnio do Active Directory um novo recurso do Windows Server Longhorn. Ele o ajuda a identificar objetos que foram acidentalmente excludos ao expor informaes sobre os objetos, em imagens (instantneos) dos Servios de Domnio do Active Directory obtidas com o tempo. Esses instantneos podem ser visualizados em um controlador de domnio, sem iniciar o controlador de domnio no Modo de Restaurao do Directory Services. Comparando os diversos estados dos objetos assim que eles aparecem nos instantneos, ser possvel decidir mais facilmente qual backup dos Servios de Domnio do Active Directory utilizar para restaurar os objetos excludos. Ao usar a Exposio de Telas dos Servios de Domnio do Active Directory, voc pode examinar todas as alteraes feitas aos dados armazenados nos Servios de Domnio do Active Directory. Por exemplo, se um objeto da Diretiva de Grupo acidentalmente modificado, voc pode usar a Exposio de Telas dos Servios de
173
Domnio do Active Directory para examinar as alteraes e ajudar a decidir como corrigi-las, se necessrio. Embora a Exposio de Telas dos Servios de Domnio do Active Directory no recupere objetos excludos, ele ajuda a dinamizar o processo de recuperao de objetos que tenham sido acidentalmente excludos. Antes do Windows Server Longhorn, quando os objetos ou unidades organizacionais (OUs) foram acidentalmente excludas, a nica forma de determinar exatamente quais objetos haviam sido excludos era restaurando os dados a partir de backups. Mas isso trazia duas desvantagens: O Active Directory precisava ser reiniciado no Modo de Recuperao do Directory Services para desempenhar uma restaurao autorizada. Um administrador no podia comparar os dados nos backups que eram obtidos em momentos diferentes (a menos que os backups fossem restaurados a vrios controladores de domnio; um processo que no vivel).
A finalidade do recurso de Exposio de Telas dos Servios de Domnio do Active Directory expor os dados dos Servios de Domnio do Active Directory armazenados nas imagens de forma online. Os administradores podem ento comparar os dados das imagens obtidas em diferentes momentos, que, por sua vez, ajudam a decidir sobre os dados a serem restaurados, sem acabar em uma parada de servio. Os seguintes indivduos devem ver essas informaes sobre a Exposio de Telas do Active Directory Domain Services: Planejadores e analistas de TI que avaliam tecnicamente o produto Planejadores corporativos de TI e organizaes designers de
Administradores, operadores e gerentes responsveis pelas operaes de TI, incluindo a recuperao de dados excludos dos Servios de Domnio do Active Directory
H dois aspectos para o problema de se recuperar dados excludos: Preservar os dados excludos para que eles possam ser recuperados Recuperar os dados excludos recentemente quando solicitado
A Exposio de Telas dos Servios de Domnio do Active Directory torna possvel para os dados excludos dos Servios de Domnio do Active Directory serem preservados em forma de imagens dos Servios de Domnio do Active Directory, obtidas pelo Servio de Cpia de Sombra do Volume. A Exposio de Telas dos Servios de Domnio do Active Directory Snapshot, na verdade, no recupera objetos e containeres excludos. O administrador deve desempenhar a recuperao como um passo subseqente.
174
Voc pode usar a ferramenta LDAP, como o Ldp.exe, que uma ferramenta integrada no Windows Server Longhorn, para ver os dados expostos nas imagens. Esses dados so de somente leitura. Por padro, apenas os membros dos grupos de Administradores de Domnio e Corporativos podem visualizar as imagens, pois elas contm dados sensveis dos Servios de Domnio do Active Directory. Proteja as imagens dos Servios de Domnio do Active Directory contra acesso no-autorizado, assim como voc o faz com backups dos Servios de Domnio do Active Directory. Um usurio malicioso que tenha acesso s imagens pode us-las para revelar dados sensveis que possam estar armazenados nos Servios de Domnio do Active Directory. Por exemplo, um usurio malicioso pode copiar as imagens dos Servios de Domnio do Active Directory de uma floresta A para B e depois usar as credenciais de Administrador do Domnio ou Corporativo da floresta B para examinar os dados. Use a criptografia ou outras precaues de segurana dos dados com as imagens do Active Directory Domain Services a fim de ajudar a reduzir a chance de acesso no-autorizado s imagens dos Servios de Domnio do Active Directory. O processo de uso da Exposio de Telas dos Servios de Domnio do Active Directory inclui os seguintes passos: 1. Programe uma tarefa que regularmente execute o Ntdsutil.exe para obter imagens do volume que contm o banco de dados dos Servios de Domnio do Active Directory. 2. Execute o Ntdsutil.exe para listar as imagens disponveis e monte a imagem que deseja visualizar. 3. Execute o Dsamain.exe para expor o volume de imagens como um servidor LDAP. O Dsamain.exe tem os seguintes argumentos: Caminho do banco de dados dos Servios de Domnio do Active Directory (NTDS.dit). Por padro, esse caminho aberto somente como leitura, mas ele deve estar em ASCII. Caminho do Log. Esse pode ser um caminho temporrio, mas voc deve ter acesso de escrita. Quatro nmeros de portas para LDAP, LDAP-SSL, Global Catalog e Global CatalogSSL.
Voc pode parar o Dsamain, pressionando CTRL+C ou definindo o atributo stopservice no objeto rootDSE. 4. Execute e anexe o Ldp.exe porta LDAP da imagem que voc especificou quando exps a imagem como um servidor LDAP, no passo anterior. 5. Navegue pela imagem como faria com qualquer controlador de domnio dinmico.
175
Caso voc tenha idia de qual OU ou objetos foram excludos, pode procurar nos objetos excludos, nas imagens, e gravar os atributos e links de retorno que pertenciam aos objetos excludos. Reanime esses objetos, usando o recurso de reanimao em cones. Depois, alimente manualmente esses objetos com os atributos e links de retorno, assim que identificados nas imagens. No entanto, voc no pode realimentar os atributos apenas do sistema, que foram divididos quando os objetos foram excludos. Embora voc deva recriar manualmente os atributos e links de retorno, o navegador de imagens torna possvel recriar os objetos excludos e seus links sem precisar reiniciar o controlador de domnio no Modo de Recuperao do Directory Services. Alm disso, voc pode usar o navegador de imagens para analisar configuraes anteriores dos Servios de Domnio do Active Directory, incluindo as permisses e a Diretiva de Grupo.
Servios de Domnio do Active Directory: Melhorias na Interface de Usurio

Para aprimorar a instalao e o gerenciamento dos Servios de Domnio do Active Directory, o Windows Server Longhorn inclui um Assistente de Instalao atualizado para o Active Directory Domain Services. O Windows Server Longhorn tambm inclui alteraes nas funes de snap-in do MMC que gerenciam os Servios de Domnio do Active Directory. As melhorias na UI dos Servios de Domnio do Active Directory fornecem novas opes de instalao para os controladores de domnio. Alm disso, o Assistente de Instalao atualizado dinamiza e simplifica a instalao dos Servios de Domnio do Active Directory. As melhorias na UI dos Servios de Domnio do Active Directory tambm fornecem novas opes de gerenciamento para os recursos dos Servios de Domnio do Active Directory, como os controladores de domnio de somente leitura (RODCs). Alteraes adicionais s ferramentas de gerenciamento fornecem a capacidade de encontrar os controladores de domnio por toda a empresa. Eles tambm fornecem controles importantes para novos recursos, como a Diretiva de Replicao de Senha para RODCs. As melhorias da UI dos Servios de Domnio do Active Directory so importantes para os seguintes usurios: Administradores dos Servios de Domnio do Active Directory responsveis por gerenciar controladores de domnio em locais centrais e data centers Administradores de filiais Desenvolvedores de sistema que realizam instalaes e desautorizam servidores
176
As melhorias na UI dos Servios de Domnio do Active Directory no requerem consideraes especiais. As melhorias ao Assistente de Instalao tambm esto todas disponveis por padro. No entanto, algumas pginas do assistente aparecem apenas se a caixa de verificao de Usar instalao no modo avanado estiver selecionada na pgina de Boas Vindas do assistente. O modo de instalao avanado fornece aos usurios mais experientes um controle maior sobre o processo de instalao, sem confundir os usurios mais novos quanto s opes de configurao que podem no ser familiares. Para os usurios que no selecionam a caixa Usar instalao no modo avanado, o assistente utiliza opes padres que se aplicam maior parte das configuraes. As melhorias na UI dos Servios de Domnio do Active Directory fornecem novas funcionalidades para o Assistente de Instalao dos Servios de Domnio do Active Directory e funes de snap-in do MMC.
Novo Assistente de Instalao dos Servios de Domnio do Active Directory

Para adicionar a funo de servidor dos Servios de Domnio do Active Directory de forma interativa, voc pode acessar o Assistente de Instalao nas seguintes maneiras: Voc pode clicar em Adicionar Funes, nas Tarefas Iniciais de Configurao, que aparece quando voc instala o sistema pela primeira vez. Voc pode clicar em Adicionar Funes no Gerenciador do Servidor. O Gerenciador do Servidor est disponvel no menu Ferramentas Administrativas, ou por meio de um cone na rea de notificao. Voc pode clicar em Iniciar, clicar em Executar e depois digitar dcpromo. Uma alternativa digitar dcpromo no prompt de comando, como nas verses anteriores do sistema operacional do Microsoft Windows Server. Nota Embora no seja uma melhoria de UI, novas opes para executar instalaes falhas dos Servios de Domnio do Active Directory esto disponveis no Windows Server Longhorn. Diferente de uma instalao falha no Windows Server 2003, uma instalao falha no Windows Server Longhorn nunca requer uma resposta a um prompt da UI, como aquele que reinicia o controlador de domnio. Isso necessrio para instalar os Servios de Domnio do Active Directory no Ncleo do Servidor do Windows Server Longhorn, uma nova opo de instalao do Windows Server Longhorn que no fornece opes de UI, como um Assistente de Instalao interativo dos Servios de Domnio do Active Directory.
177
Voc pode iniciar uma instalao RODC, usando o snap-in do MMC Active Directory Users and Computers. Voc pode tanto clicar com o boto direito em Controladores de Domnio como clicar em Controladores de Domnio e depois em Pr-criar uma conta Somente-leitura de Controlador de Domnio. Este mtodo instala o RODC em dois estgios. Durante o estgio seguinte da instalao, voc executa o Assistente dos Servios de Domnio do Active Directory no servidor que deseja anexar conta do RODC.
O Assistente de Instalao dos Servios de Domnio do Active Directory contm uma nova opo na pgina de Boas Vindas para ativar o modo avanado como uma alternativa para executar o Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo avanado exibe opes adicionais que permitem configuraes mais avanadas e fornecem aos usurios mais experientes um controle maior sobre a operao. As opes adicionais do modo avanado incluem o seguinte: Criar uma nova rvore de domnio Usar uma mdia de backup a partir de um controlador de domnio existente no mesmo domnio, a fim de reduzir o trfego de rede que est associado com a replicao inicial Selecionar o controlador de domnio de origem para a instalao Modificar o nome do NetBIOS que o assistente gera por padro Definir a diretiva de replicao de senha para um RODC
Alm dessas alteraes, o Assistente de Instalao dos Servios de Domnio do Active Directory possui novas pginas, que so descritas na tabela que segue.
Assistente de Instalao dos Servios de Domnio do Active Directory

Nova Pgina do Assistente
Opes Adicionais
Descrio
Especifica que, durante a instalao do controlador de domnio, ele tambm ser configurado para ser um DNS server, servidor do catlogo global ou RODC. Especifica o local onde o controlador de domnio deve ser instalado. Define o domnio e o nvel funcional da floresta durante a instalao do novo domnio ou floresta. Especifica quais senhas de contas so permitidas ou negadas de serem armazenadas no RODC. Essa pgina aparece apenas quando a caixa Usar instalao no modo avanado est selecionada. Fornece uma opo padro para criar uma delegao DNS no tipo de instalao do controlador de domnio (conforme especificado na pgina Escolha uma Configurao de Implantao) e o ambiente DNS.
Seleo de local Definio de nveis de funo
Diretiva de Replicao de Senha
Criao de delegao do DNS
178
Outras melhorias reduzem as chances de erro durante a instalao dos Servios de Domnio do Active Directory. Por exemplo, se voc est instalando um controlador de domnio adicional, pode selecionar o nome do domnio a partir de uma rvore de domnio, em vez de digit-la. Para assegurar que um DNS server recm-instalado esteja operando corretamente, o DNS automaticamente configurado para as configuraes do cliente DNS, encaminhadores e dicas de raiz, se necessrio, com base nas opes de instalao que so selecionadas.
Instalao em Fases para o RODCs

Voc pode realizar uma instalao em fases de um RODC, em que a instalao concluda em duas fases, por diferentes pessoas. Voc pode usar o Assistente de Instalao dos Servios de Domnio do Active Directory para concluir cada fase da instalao. A primeira fase cria uma conta para o RODC nos Servios de Domnio do Active Directory. A segunda fase anexa o servidor atual, que ser o RODC, conta que foi anteriormente criada para isso. Durante a primeira fase, o assistente grava todos os dados sobre o RODC que sero armazenados no banco de dados distribudo do Active Directory, assim como seu nome da conta do controlador de domnio e o local em que sero colocados. Essa fase deve ser realizada por um membro do grupo de Administradores de Domnio. O usurio que cria a conta RODC tambm pode especificar, naquele momento, quais usurios ou grupos podem concluir o prximo passo da instalao. A prxima fase pode ser realizada na filial, por qualquer usurio ou grupo a quem tenha sido delegado o direito de concluir a instalao quando a conta foi criada. A fase no requer membros nos grupos integrados, como o grupo de Administradores do Domnio. Se o usurio que cria a conta RODC no especificar qualquer delegao para concluir a instalao (e administrar o RODC), apenas um membro dos Administradores de Domnio ou Corporativo pode concluir a instalao. A segunda fase instala os Servios de Domnio do Active Directory no servidor que se tornar o RODC. Essa fase ocorre, basicamente, na filial onde o RODC implantado. Durante essa fase, todos os dados dos Servios de Domnio do Active Directory que residem localmente, arquivos de log e etc, so criados no prprio RODC. Os arquivos de origem da instalao podem ser replicados para o RODC a partir de um controlador de domnio sobre a rede, ou ento voc pode usar a instalao do recurso de mdia (IFM). Para usar o IFM, use o Ntdsutil.exe para criar a mdia de instalao. O servidor que se tornar o RODC no deve ser ligado ao domnio antes de voc tentar anex-lo conta do RODC. Como parte da instalao, o assistente detecta, automaticamente, se o nome do
179
servidor associa-se aos nomes de qualquer conta do RODC que tenha sido criada antes para o domnio. Quando o assistente encontra um nome associado da conta, ele alerta o usurio para usar aquela conta para concluir a instalao do RODC.
Melhorias Adicionais no Assistente

O novo Assistente de Instalao dos Servios de Domnio do Active Directory tambm inclui as seguintes melhorias: Por padro, o assistente agora utiliza as credenciais do usurio que est conectado no momento. Voc alertado sobre as credenciais adicionais, caso elas sejam necessrias. Ao criar um controlador de domnio adicional em um domnio filho, o assistente detecta se o papel principal da infraestrutura est hospedado em um servidor de catlogo global naquele domnio, alertando-o para transferir essa infraestrutura para o controlador de domnio que voc est criando. Isso ajuda a prevenir uma m colocao do papel principal da infra-estrutura. Na pgina Sumrio do assistente, voc pode exportar as configuraes que selecionou para um arquivo de respostas correspondente que pode usar para operaes subseqentes (instalaes ou desinstalaes). Voc agora pode omitir a senha do seu administrador a partir do arquivo de respostas. Em vez disso, digite senha=* no arquivo de respostas, para garantir que o usurio est avisado sobre as credenciais da conta. Voc pode pr-alimentar o assistente, especificando alguns parmetros na linha de comando, reduzindo a quantidade de interao de usurio que exigida com o assistente. Voc agora pode forar o rebaixamento de um controlador de domnio iniciado no Modo de Recuperao do Directory Services).
Novas Funes de Snap-In do MMC

O snap-in do Active Directory Sites and Services no Windows Server Longhorn inclui um comando Localizar, na barra de ferramentas e no menu Ao. Esse comando facilita encontrar o local onde o controlador de domnio est, o que pode ajudar na soluo de problemas de replicaes. Antes, o Active Directory Sites and Services no indicavam facilmente onde certo controlador de domnio estava localizado. Isso aumentava o tempo requerido para solucionar problemas, como os de replicao. Para ajudar a gerenciar os RODCs, agora existe uma guia de Diretiva de Replicao de Senha na pgina de Propriedades do controlador de domnio. Clicando no boto Avanado, nesta guia,um administrador pode ver o seguinte:
180
Quais senhas foram enviadas ao RODC Quais senhas esto atualmente armazenadas no RODC Quais contas foram autenticadas para o RODC, incluindo contas no definidas nos grupos de segurana, que tm a replicao permitida ou negada. Como resultado, o administrador pode ver quem est usando o RODC e determinar se permite ou nega a replicao da senha.
181
5.09 Servios Federados do Active Directory

Os Servios Federados do Active Directory uma funo de servidor no Windows Server "Longhorn" que pode ser utilizado para criar uma soluo de acesso de identidade segura e escalonvel com a Internet, altamente extensvel que opere por diversas plataformas, incluindo ambientes Windows e no-Windows. As sees que seguem fornecem informaes sobre os Servios Federados do Active Directory no Windows Server Longhorn, incluindo informaes sobre as funcionalidades adicionais dos Servios Federados do Active Directory no Windows Server Longhorn comparadas com a verso dos Servios Federados do Active Directory no Windows Server 2003 R2. Os Servios Federados do Active Directory uma soluo de acesso identidade que fornece aos clientes baseados em navegadores (internos ou externos rede) um acesso dinmico e nico a aplicaes mais protegidas quanto Internet, mesmo quando as contas e aplicaes esto localizadas em redes completamente diferentes ou organizaes. Quando uma aplicao est em uma rede e as contas de usurio em outra rede, importante que os usurios estejam avisados sobre as credenciais secundrias quando tentarem acessar a aplicao. Essas credenciais secundrias representam a identidade dos usurios no local em que a aplicao reside. O Web server que hospeda a aplicao geralmente requer essas credenciais para que possa tomar a deciso mais apropriada. Os Servios Federados do Active Directory torna as contas secundrias desnecessrias, fornecendo relaes de confiana que voc pode usar para projetar uma identidade digital do usurio e acessar direitos dos parceiros confiveis. Em um ambiente federado, cada organizao continua a gerenciar suas prprias identidades, mas cada uma pode projetar de forma mais segura e aceitar identidades de outras organizaes. Alm disso, voc pode implantar os servidores de federao em mltiplas organizaes, para facilitar as transaes de businessto-business (B2B) entre as organizaes de parceiros confiveis. As parcerias federadas de B2B identificam os parceiros de negcios como um dos seguintes tipos de organizao: Organizao de Recursos As organizaes que possuem e gerenciam recursos acessveis a partir da Internet podem implantar os servidores de federao dos Servios Federados do Active Directory e os servidores da Web baseados nos Servios Federados do Active Directory que gerenciam o acesso aos recursos protegidos de parceiros confiveis. Esses parceiros podem incluir partes internas e externas ou outros departamentos ou subsidirias na mesma organizao.
182
Organizao da Conta As organizaes que possuem e gerenciam as contas de usurio podem implantar os Servios Federados do Active Directory que autenticam usurios locais e criam tokens que, mais adiante, so usados na organizao de recurso para tomar decises quanto autorizao.
O processo de autenticao de uma rede enquanto se acessam recursos em outra rede sem o incmodo de aes repetidas de login pelos usurios conhecido como longo nico (SSO). Os Servios Federados do Active Directory fornece uma soluo baseada na Web, de SSO, que autentica os usurios em mltiplas aplicaes da Web pela durao de uma simples sesso de navegao. Os Servios Federados do Active Directory designado para ser implantado em organizaes de mdio a grande porte, que possuem o seguinte: No mnimo, um servio de diretrio: tanto o Active Directory Domain Services ou Active Directory Lightweight Directory Services (antes conhecido como Active Directory Application Mode) Computadores executados em diversas plataformas de sistemas operacionais Computadores ligados a um domnio Computadores conectados Internet Uma ou mais aplicaes baseadas na Web
Veja essas informaes, juntamente com a documentao adicional sobre os Servios Federados do Active Directory, se voc faz parte de um dos seguintes grupos: Profissional de TI responsvel pelo suporte de uma infraestrutura existente dos Servios Federados do Active Directory Planejador de TI, analista ou arquiteto em fase de avaliao dos produtos de federao da identidade
Se voc tem uma infra-estrutura existente dos Servios Federados do Active Directory, existem algumas consideraes especiais a saber antes de voc comear a atualizar os servidores de federao, proxies e servidores da Web ativados pelos Servios Federados do Active Directory que executam o Windows Server 2003 R2 para o Windows Server Longhorn. Essas consideraes aplicamse apenas quando voc tem servidores dos Servios Federados do Active Directory que tenham sido manualmente configurados para usar contas exclusivas do servio. Os Servios Federados do Active Directory usa a conta do Network Service como padro para os Servios Federados do Active
183
Directory Web Agent Authentication Service e a identidade do pool de aplicao do ADFSAppPool. Se voc configurou manualmente um ou mais servidores dos Servios Federados do Active Directory em sua implantao existente dos Servios Federados do Active Directory para usar uma conta de servio que no seja a conta padro do Network Service, verifique qual dos servidores dos Servios Federados do Active Directory utiliza essas contas de servio e grave o nome de usurio e a senha de cada conta. Quando voc atualiza um servidor para o Windows Server Longhorn, o processo recupera, automaticamente, todas as contas de servio para seus valores padres originais. Portanto, voc deve fornecer as informaes da conta do servio novamente, manualmente, para cada servidor aplicvel depois que o Windows Server Longhorn est completamente instalado. Para o Windows Server Longhorn, os Servios Federados do Active Directory inclui novas funcionalidades que no esto disponveis no Windows Server 2003 R2. Essas novas funcionalidades so feitas para facilitar a sobrecarga administrativa e para estender ainda mais o suporte s principais aplicaes: Instalao Aprimorada. Os Servios Federados do Active Directory est includo no Windows Server Longhorn como uma funo de servidor, havendo ainda novas verificaes de validao do servidor no assistente de instalao. Suporte aprimorado da aplicao. Os Servios Federados do Active Directory mais integrado com o Microsoft Office SharePoint Services 2007 e os Servios de Gerenciamento de Direitos do Active Directory. Melhor experincia administrativa ao estabelecer relao de confiana federada. A funcionalidade aprimorada de importar e exportar uma diretiva de relao de confiana ajuda a minimizar os problemas de configurao baseados nos parceiros, geralmente associados com o estabelecimento de uma relao de confiana federada.
Instalao Aprimorada.
Os Servios Federados do Active Directory no Windows Server Longhorn traz diversas melhorias experincia de instalao. Para instalar os Servios Federados do Active Directory no Windows Server 2003 R2, voc deve ir at Adicionar/Remover Programas para encontrar e instalar o componente dos Servios Federados do Active Directory. No entanto, no Windows Server Longhorn, voc pode instalar os Servios Federados do Active Directory como uma funo de servidor que utiliza o Server Manager. Voc pode usar o assistente de configurao aprimorado dos Servios Federados do Active Directory para realizar as
184
verificaes de validao do servidor antes de continuar com a instalao dos Servios Federados do Active Directory. Alm disso, o Server Manager automaticamente lista e instala todos os servios dos quais os Servios Federados do Active Directory depende durante a instalao dos Servios Federados do Active Directory. Esses servios incluem o Microsoft ASP.NET 2.0 e outros servios que fazem parte da funo de servidor do Web Server (IIS).
Suporte Aprimorado da Aplicao.

Os Servios Federados do Active Directory no Windows Server Longhorn inclui melhorias que aumentam a capacidade de integrao com outras aplicaes, como o Office SharePoint Services 2007 e os Servios de Gerenciamento de Direitos do Active Directory. Integrao com o Office SharePoint Services 2007 O Office SharePoint Services 2007 tira o mximo proveito das capacidades do SSO que so integradas nesta verso dos Servios Federados do Active Directory. Os Servios Federados do Active Directory no Windows Server Longhorn inclui funcionalidades para suportar os membros do Office SharePoint Services 2007 e os provedores de funes. Isso significa que voc pode, de forma efetiva, configurar o Office SharePoint Services 2007 como uma aplicao consciente dos Servios Federados do Active Directory, podendo ainda administrar quaisquer sites do Office SharePoint Services 2007, usando os membros e controle de acesso baseado em funo. Os membros e os provedores de funes includos nesta verso dos Servios Federados do Active Directory servem para consumo apenas pelo Office SharePoint Services 2007. Integrao com o Active Directory Rights Management Server Os Servios de Gerenciamento de Direitos do Active Directory e os Servios Federados do Active Directory podem ser integrados de forma que as organizaes possam obter vantagens das relaes confiveis federadas existentes, a fim de colaborar com parceiros externos e compartilhar contedos protegidos pelos direitos. Por exemplo, uma organizao que tenha implantado os Servios de Gerenciamento de Direitos do Active Directory pode configurar uma federao com uma organizao externa, usando os Servios Federados do Active Directory. A organizao pode ento usar essa relao para compartilhar contedo protegido por meio de duas organizaes, sem exigir uma implantao dos Servios de Gerenciamento de Direitos do Active Directory nas duas organizaes.
Melhor Experincia Administrativa ao Estabelecer Relaes de Confiana Federadas
185
Tanto no Windows Server 2003 R2 como no Windows Server Longhorn, os administradores dos Servios Federados do Active Directory podem criar uma relao de confiana federada entre duas organizaes, usando tanto um processo de importar e exportar arquivos de diretivas como um processo manual que envolva uma troca mtua entre os valores dos parceiros, como o Uniform Resource Indicators (URIs), tipos de declarao, mapeamento de declarao, exibio de nomes etc. O processo manual requer que o administrador, que recebe esses dados, digite todos os dados recebidos nas pginas apropriadas do Assistente para Adicionar Parceiro, o que pode resultar em erros tipogrficos. Alm disso, o processo manual exige que o administrador parceiro da conta envie uma cpia do certificado de verificao para o servidor de federao, a fim de que o certificado possa ser adicionado pelo assistente. Embora a capacidade de importar e exportar arquivos da diretiva fosse disponvel no Windows Server 2003 R2, criar relaes de confiana federadas entre as organizaes dos parceiros mais fcil no Windows Server Longhorn, como um resultado da funcionalidade de importar e exportar baseada na diretiva. Essas melhorias foram feitas para aprimorar a experincia administrativa, permitindo mais flexibilidade para a funcionalidade de importao no Assistente para Adicionar Parceiro. Por exemplo, quando uma diretiva de parceiro importada, o administrador pode usar esse Assistente para modificar todos os valores que foram importados antes de o processo do assistente ser concludo. Isso inclui a capacidade de especificar um certificado diferente de verificao da conta do parceiro e a de mapear as declaraes de entrada e sada entre os parceiros. Usando os recursos de importar e exportar, includos nos Servios Federados do Active Directory no Windows Server Longhorn, os administradores podem apenas exportar suas configuraes da diretiva de relao de confiana para um arquivo .xml e ento enviar o arquivo ao administrador parceiro. Essa troca de arquivos de diretiva de parceiros fornece todas as URIs, tipos de declarao, mapeamentos de declarao e outros valores e certificados de verificao necessrios para criar uma relao de confiana federada entre duas organizaes parceiras. A ilustrao que segue e as instrues que acompanham mostram como uma troca bem sucedida de diretivas entre os parceiros neste caso, iniciada pelo administrador da organizao parceira da conta pode ajudar a dinamizar o processo de estabelecer uma relao de confiana federada entre duas organizaes fictcias: A. Datum Corp. e Trey Research. O seguinte fluxograma apresenta como um controlador de domnio que executa o Windows Server Longhorn pode fazer a transio entre esses trs estados possveis.
186
1. O administrador parceiro da conta especifica a opo Exportar Diretiva Parceira Bsica, clicando com o boto direito na pasta Diretiva Confivel, e exporta um arquivo de diretiva parceira que contm a URL, o nome de exibio, a URL do proxy do servidor da federao e o certificado de verificao da A. Datum Corp. O administrador parceiro da
187
conta ento envia o arquivo da diretiva parceira (por email ou outros meios) ao administrador parceiro do recurso. 2. Esse administrador cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a opo para importar um arquivo de diretiva parceira da conta. O administrador parceiro do recurso continua a especificar o local e o arquivo de diretiva parceira e a verificar se todos os valores apresentados em cada pgina do assistente que so pr-alimentados como resultado da importao da diretiva so precisos. O administrador ento conclui o assistente. 3. O administrador parceiro do recurso agora pode configurar declaraes adicionais ou configuraes da diretiva de relao de confiana para aquele parceiro da conta. Aps concluir essa configurao,o administrador especifica a opo Exportar Diretiva, clicando com o boto direito no parceiro de conta de A. Datum Corp. O administrador parceiro do recurso exporta um arquivo da diretiva do parceiro que contm valores, como a URL, a URL do proxy do servidor de federao, o nome de exibio, tipos de declarao e mapeamentos de declarao para a organizao Trey Research. O administrador parceiro do recurso ento envia o arquivo da diretiva parceira ao administrador parceiro da conta. 4. Esse administrador cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Conta e seleciona a opo para importar um arquivo de diretiva parceira do recurso. O administrador parceiro da conta continua a especificar o local e o arquivo de diretiva parceira do recurso e a verificar se todos os valores apresentados em cada pgina do assistente que so pr-alimentados como resultado da importao da diretiva so precisos. O administrador ento conclui o assistente. Quando este processo est concludo, uma relao de confiana bem sucedida da federao entre os parceiros estabelecida. Os administradores parceiros de recursos tambm podem iniciar um processo de diretiva para importar e exportar, embora o processo no seja descrito aqui.
Novas Configuraes
Voc configura as configuraes do Web Agent baseado no token do Windows NT com o snap-in do IIS Manager. Para suportar as novas funcionalidades fornecidas com o IIS 7.0, os Servios Federados do Active Directory do Windows Server Longhorn inclui atualizaes na UI para o servio de funo do Web Agent dos Servios Federados do Active Directory. A tabela que segue lista os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0
188
para cada uma das pginas de propriedades do Web Agent do Active Directory Federation, dependendo da verso do IIS que est sendo usada.
Pginas de Propriedades do Web Agent dos Servios Federados do Active Directory

Pgina de Propriedades do IIS 6.0
Guia de Servios Federados do Active Directory Web Agent Guia de Servios Federados do Active Directory Web Agent
Local Antigo
IIS 7.0 Propriedade Pgina

URL do Federation Service
Novo Local
<COMPUTERNAME>\Web Sites
<COMPUTERNAME> (na seo Outros do painel central) <COMPUTERNAME>\Web Sites\<Site ou Virtual Directory> (na seo IIS\Authentication do painel centra)
<COMPUTERNAME>\Web Sites\<Site ou Virtual Directory>
Web Agent dos Servios Federados do Active Directory
Nota No existem diferenas significativas de UI entre o snap-in dos Servios Federados do Active Directory no Windows Server Longhorn e o dos Servios Federados do Active Directory no Windows Server 2003 R2.
189
5.10 Active Directory Lightweight Directory Services

A funo do servidor do Active Directory Lightweight Directory Services um servio de diretrio do LDAP. Ele fornece armazenamento e recuperao de dados para as aplicaes ativadas pelo diretrio, sem as dependncias requeridas para os Servios de Domnio do Active Directory. O Active Directory Lightweight Directory Services no Windows Server Longhorn abrange as funcionalidades fornecidas pelo Modo de Aplicao do Active Directory, que esto disponveis no Microsoft Windows XP Professional e Windows Server 2003. O Active Directory Lightweight Directory Services fornece s organizaes um suporte flexvel s aplicaes ativadas pelo diretrio. Uma aplicao ativada pelo diretrio usa um diretrio em vez de um banco de dados, arquivo ou outra estrutura para armazenar dados para manter seus dados. Os servios de diretrio (como o Active Directory Lightweight Directory Services) e os bancos de dados relacionais fornecem o armazenamento e recuperao dos dados, mas eles diferem na otimizao. Os servios de diretrio so otimizados para o processamento da leitura, enquanto os bancos de dados relacionais so para o processamento de transao. Muitas aplicaes personalizadas e outras regulares utilizam um design ativado para diretrio. Enter esses exemplos esto: Aplicaes de gerenciamento da relao com clientes (CRM) Aplicaes de recursos humanos (HR) Aplicaes de catlogo de endereos global
O Active Directory Lightweight Directory Services fornece muitas das mesmas funcionalidades dos Servios de Domnio do Active Directory (e, na verdade, ambos so construdos sob a mesma base de cdigo), mas ele no requer a implantao de domnios ou controladores de domnio. Voc pode executar mltiplas instncias do Active Directory Lightweight Directory Services ao mesmo tempo em um nico computador, com um esquema independentemente gerenciado para cada instncia ou configurao do Active Directory Lightweight Directory Services (caso a instncia faa parte do conjunto de configuraes). Os servidores membros, controladores de domnio e servidores autnomos podem ser configurados para executar o Active Directory Lightweight Directory Services. O Active Directory Lightweight Directory Services semelhante aos Servios de Domnio do Active Directory ao fornecer o seguinte: Replicao Multimaster Suporte API de Interfaces do Active Directory Service Parties do diretrio da aplicao LDAP sobre o SSL
190
O Active Directory Lightweight Directory Services se difere dos Servios de Domnio do Active Directory principalmente no que se refere a no armazenar os princpios de segurana do Windows. Embora o Active Directory Lightweight Directory Services possa usar os princpios de segurana do Windows (como os usurios do domnio) nos ACLs que controlam o acesso aos objetos no Active Directory Lightweight Directory Services, o Windows no pode autenticar os usurios armazenados no Active Directory Lightweight Directory Services ou utilizar os usurios do Active Directory Lightweight Directory Services em seus ACLs. Alm disso, o Active Directory Lightweight Directory Services no suporta domnios e florestas, Diretiva de Grupo ou catlogos globais. As organizaes que tm os seguintes requisitos iro considerar o Active Directory Lightweight Directory Services particularmente til: Diretrios especficos da aplicao que usam esquemas personalizados ou que dependem de um gerenciamento descentralizado de diretrio Diretrios do Active Directory Lightweight Directory Services que sejam separados da infra-estrutura de domnio dos Servios de Domnio do Active Directory. Como resultado, eles podem suportar aplicaes que dependam das extenses de esquemas no desejveis no diretrio do Active Directory Domain Services como as que so teis a uma nica aplicao. Alm disso, o administrador do servidor local pode gerenciar os diretrios do Active Directory Lightweight Directory Services; os administradores de domnio no precisam fornecer suporte administrativo. Desenvolvimento da aplicao ativada pelo diretrio e os ambientes de prottipo separados da estrutura de domnio da empresa Os desenvolvedores de aplicao que esto criando aplicaes ativadas pelo diretrio podem instalar a funo do Active Directory Lightweight Directory Services em qualquer servidor, mesmo nos autnomos. Como resultado, os desenvolvedores podem controlar e modificar o diretrio em seu ambiente de desenvolvimento, sem interferir na infraestrutura de Active Directory Domain Services da organizao. Essas aplicaes podem ser implantadas de forma subseqente, tanto com o Active Directory Lightweight Directory Services como com os Servios de Domnio do Active Directory como servio de diretrio da aplicao, conforme apropriado. Os administradores de rede podem usar o Active Directory Lightweight Directory Services como ambiente prottipo ou piloto para aplicaes que, eventualmente, sero implantadas com os Servios de Domnio do Active Directory como seu armazenamento de diretrio, contanto que a aplicao no dependa de recursos especficos dos Servios de Domnio do Active Directory.
191
Gerenciamento de acesso de computadores de clientes externos aos recursos da rede Empresas que precisam autenticar computadores, como os de Web client ou visitantes, podem usar o Active Directory Lightweight Directory Services como local de diretrio para autenticao. Isso ajuda as empresas a evitarem precisar manter informaes de clientes externos no diretrio de domnio da empresa.
Ativando computadores clientes LDAP em um ambiente heterogneo para autenticar os Servios de Domnio do Active Directory Quando as organizaes se fundem, geralmente h uma necessidade de integrar os computadores clientes LDAP que executam diferentes sistemas operacionais de servidores em uma nica infra-estrutura de rede. Nesses casos, em vez de atualizar imediatamente os computadores clientes que executam aplicaes em LDAP ou modificar o esquema dos Servios de Domnio do Active Directory para funcionar com os clientes existentes, os administradores de rede podem instalar o Active Directory Lightweight Directory Services em um ou mais servidores. A funo de servidor do Active Directory Lightweight Directory Services age como um diretrio intermedirio que usa um esquema existente at que os computadores clientes possam ser atualizados para usar os Servios de Domnio do Active Directory, de forma nativa, para acesso LDAP e autenticao.
Como o Active Directory Lightweight Directory Services feito para ser um servio de diretrio para aplicaes, espera-se que elas criem, gerenciem e removam objetos de diretrio. Como servio de diretrio de propsito geral, o Active Directory Lightweight Directory Services no suportado por ferramentas orientadas a domnio, como estas: Domnios e Relaes de Confiana do Active Directory Usurios e Computadores do Active Directory Locais e Servios do Active Directory
No entanto, os administradores podem gerenciar os diretrios do Active Directory Lightweight Directory Services, usando as ferramentas de diretrio, como as seguintes: ADSI Edit (para visualizar, modificar, criar e excluir qualquer objeto do Active Directory Lightweight Directory Services) Ldp.exe (para administrao geral em LDAP) Outros utilitrios do gerenciamento de esquema
As aplicaes que foram designadas para trabalhar no Modo de Aplicao do Active Directory no exigem alteraes para funcionar com o Active Directory Lightweight Directory Services.
192
5.11 Servios de Gerenciamento de Direitos do Active Directory

Para o Windows Server Longhorn, os Servios de Gerenciamento de Direitos do Active Directory inclui diversos recursos novos que no estavam disponveis no Microsoft Windows Rights Management Services (RMS). Esses novos recursos foram feitos para facilitar a sobrecarga administrativa dos Servios de Gerenciamento de Direitos do Active Directory e para estender seu uso para foram da sua organizao. Entre os novos recursos, esto: Incluso dos Servios de Gerenciamento de Direitos do Active Directory no Windows Server Longhorn como funo de servidor Administrao por meio de um MMC Integrao com os Servios Federados do Active Directory Registro automtico dos servidores dos Servios de Gerenciamento de Direitos do Active Directory Habilidade de delegar responsabilidades por meio de novas funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory Nota Este tpico concentra-se nos recursos especficos dos Servios de Gerenciamento de Direitos do Active Directory que esto sendo lanados com o Windows Server Longhorn. As verses anteriores do RMS esto disponveis em um download separado. Para mais informaes sobre os recursos que eram disponveis no RMS, confira o Windows Server 2003 Rights Management Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637). Os Servios de Gerenciamento de Direitos do Active Directory, uma tecnologia agnstica de formato e aplicao, fornece servios que ativam a criao de solues de proteo s informaes. Ele funcionar com qualquer aplicao ativada pelos Servios de Gerenciamento de Direitos do Active Directory a fim de fornecer diretivas persistentes de utilizao de informaes sensveis. O contedo pode ser protegido, usando os Servios de Gerenciamento de Direitos do Active Directory, que inclui sites da intranet, mensagens de e-mail e documentos. Os Servios de Gerenciamento de Direitos do Active Directory inclui uma srie de funes centrais que permitem aos desenvolvedores adicionar proteo s informaes nas funcionalidades de aplicaes existentes. Um sistema dos Servios de Gerenciamento de Direitos do Active Directory, que inclui componentes de cliente e servidor, realiza os seguintes processos: Licenciamento de informaes protegidas por direitos. Um sistema dos Servios de Gerenciamento de Direitos do Active Directory emite certificados de contas de direitos, que
193
identificam as entidades confiveis (como usurios, grupos e servios) que possam publicar o contedo protegido por direito. Uma vez que a relao de confiana estabelecida, os usurios podem atribuir direitos e condies de utilizao ao contedo que desejam proteger. Esses direitos especificam quem pode acessar o contedo protegido e o que a pessoa deseja fazer com ele. Quando o contedo protegido, uma licena de publicao criada para ele. Essa licena vincula os direitos especficos de utilizao a certa parte do contedo, para que o contedo possa ser distribudo. Por exemplo, os usurios podem enviar documentos protegidos a outros usurios, dentro ou fora da organizao, sem que o contedo perca sua proteo. Adquirindo licenas para descriptografar o contedo protegido por direito e aplicar diretivas de utilizao. Os usurios que receberam um certificado de conta dos direitos podem acessar o contedo protegido, usando uma aplicao ativada pelos Servios de Gerenciamento de Direitos do Active Directory que permite que eles vejam o contedo e trabalhem com ele. Quando os usurios tentam acessar um contedo protegido, so enviadas requisies aos Servios de Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o contedo. Quando um usurio tenta usar o contedo protegido, o servio de licenciamento dos Servios de Gerenciamento de Direitos do Active Directory, no cluster dos Servios de Gerenciamento de Direitos do Active Directory, emite uma licena nica de utilizao que l, interpreta e aplica os direitos e condies especificados nas licenas de publicao. Os direitos e condies de utilizao so aplicados de forma persistente e automtica a qualquer lugar a que o contedo possa ir. Criando arquivos e modelos protegidos por direitos. Os usurios que so entidades confiveis no sistema dos Servios de Gerenciamento de Direitos do Active Directory podem criar e gerenciar arquivos aprimorados pela proteo, usando ferramentas conhecidas de autoria de uma aplicao ativada pelos Servios de Gerenciamento de Direitos do Active Directory, que incorpora os recursos de tecnologia dos Servios de Gerenciamento de Direitos do Active Directory. Alm disso, as aplicaes ativadas pelos Servios de Gerenciamento de Direitos do Active Directory podem usar modelos de utilizao centralmente definidos e oficialmente autorizados para ajudar os usurios a aplicar, efetivamente, uma srie pr-definida de diretivas de utilizao.
Os Servios de Gerenciamento de Direitos do Active Directory feito para ajudar a tornar o contedo mais seguro, independente de para onde ele tenha sido movido. Os seguintes grupos de profissionais devem analisar esta seo dos Servios de Gerenciamento de Direitos do Active Directory: Planejadores e analistas de TI que avaliam os produtos de gerenciamento de direitos na empresa Profissionais de TI responsveis por suportar uma infraestrutura existente de RMS
194
Arquitetos de segurana em TI interessados em implantar uma tecnologia de proteo s informaes que fornea proteo a todos os tipos de dados
Os Servios de Gerenciamento de Direitos do Active Directory conta como Active Directory Domain Services para verificar se o usurio que tenta usar o contedo protegido est autorizado para fazer isso. Ao registrar um ponto de conexo do servio (SCP) dos Servios de Gerenciamento de Direitos do Active Directory durante a instalao, o usurio deve ter acesso de Escrita ao container Services nos Servios de Domnio do Active Directory. Por fim, todas as informaes de configurao e registro so armazenadas no Banco de Dados de Registro dos Servios de Gerenciamento de Direitos do Active Directory. Em um ambiente de teste, voc pode usar o Banco de Dados Interno do Windows, mas, em um ambiente de produo, recomenda-se usar um servidor de banco de dados separado. Os Servios de Gerenciamento de Direitos do Active Directory inclui uma srie de melhorias quanto s verses anteriores do RMS. Essas melhorias incluem o seguinte: Instalao aprimorada e experincia em administrao. Os Servios de Gerenciamento de Direitos do Active Directory est includo no Windows Server Longhorn, sendo instalado como uma funo de servidor. Alm disso, a administrao dos Servios de Gerenciamento de Direitos do Active Directory feita por um MMC, ao contrrio da administrao do Web site apresentada nas verses anteriores. Registro automtico do cluster dos Servios de Gerenciamento de Direitos do Active Directory O cluster dos Servios de Gerenciamento de Direitos do Active Directory pode ser registrado sem uma conexo com o Microsoft Enrollment Service. Pelo uso de um certificado de registro automtico do servidor, o processo de registro feito totalmente em um computador local. Integrao com os Servios Federados do Active Directory Os Servios de Gerenciamento de Direitos do Active Directory e os Servios Federados do Active Directory foram integrados para que as empresas possam alavancar relaes federadas existentes para colaborar com os parceiros externos. Novas funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory. A capacidade de delegar tarefas dos Servios de Gerenciamento de Direitos do Active Directory a diferentes administradores para diferentes administradores necessria em qualquer ambiente corporativo com esta verso dos Servios de Gerenciamento de Direitos do Active Directory. Trs funes administrativas foram criadas: Administradores Corporativos de Servios de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory e Auditores de Servios de Gerenciamento de Direitos do Active Directory.
Instalao Aprimorada e Experincia em Administrao.

195
Os Servios de Gerenciamento de Direitos do Active Directory no Windows Server Longhorn traz diversas melhorias para a experincia de instalao e de administrao. Nas verses anteriores do RMS, um pacote separado de instalao precisava de download para depois ser instalado, mas, nesta verso, os Servios de Gerenciamento de Direitos do Active Directory foi integrado no sistema operacional e instalado como funo de servidor pelo Server Manager. A configurao e fornecimento so encontrados pela instalao da funo do servidor. Alm disso, o Server Manager lista e instala, automaticamente, todos os servios dos quais os Servios de Gerenciamento de Direitos do Active Directory dependente, como o Message Queuing e o Web Server (IIS), durante a instalao da funo de servidor dos Servios de Gerenciamento de Direitos do Active Directory. Durante a instalao, se voc no especificar um banco de dados remoto como os Servios de Gerenciamento de Direitos do Active Directory Configuration e Logging, os Servios de Gerenciamento de Direitos do Active Directory instala e configura, automaticamente, o Banco de Dados Interno do Windows para usar com os Servios de Gerenciamento de Direitos do Active Directory. Nas verses anteriores do RMS, a administrao era feita por uma interface da Web. Nos Servios de Gerenciamento de Direitos do Active Directory, a interface administrativa foi migrada para um console snap-in do MMC. O console dos Servios de Gerenciamento de Direitos do Active Directory fornece a voc todas as funcionalidades disponveis, com a verso anterior do RMS, mas com uma interface muito mais fcil de usar. Oferecer os Servios de Gerenciamento de Direitos do Active Directory como funo de servidor includa com o Windows Server Longhorn torna o processo de instalao menos incmodo, por no exigir que voc faa o download dos Servios de Gerenciamento de Direitos do Active Directory separadamente, antes de instal-lo. Usar o console dos Servios de Gerenciamento de Direitos do Active Directory para a administrao, em vez de uma interface de navegador, torna as opes mais disponveis para aprimorar a interface de usurio. O console dos Servios de Gerenciamento de Direitos do Active Directory emprega os elementos da interface de usurio que so consistentes pelo Windows Server Longhorn, sendo mais fcil de seguir e de navegar. Alm disso, com o incluso das funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory, o console dos Servios de Gerenciamento de Direitos do Active Directory exibe apenas as partes que o usurio pode acessar. Por exemplo, um usurio que est usando a funo de administrao dos Servios de Gerenciamento de Direitos do Active Directory Template Administrators est restrito a tarefas que so especficas aos modelos dos Servios de Gerenciamento de Direitos do Active Directory. Todas as outras tarefas administrativas no esto disponveis no console dos Servios de Gerenciamento de Direitos do Active Directory.
Registro automtico dos Servios de Gerenciamento de Direitos do Active Directory Server

196
O registro do servidor nos Servios de Gerenciamento de Direitos do Active Directory o processo de criao e assinatura de um certificado de licenciamento de servidor (SLC) que garante ao servidor dos Servios de Gerenciamento de Direitos do Active Directory o direito de emitir certificados e licenas. Nas verses anteriores do RMS, o SLC tinha de ser assinado por um Servio de Registro da Microsoft por meio de uma conexo Internet. Isso exigia que o servidor do RMS tivesse conectividade com a Internet para fazer o registro online no Servio de Registro da Microsoft ou fosse capaz de se conectar a outro computador com acesso Internet que pudesse fazer o registro offline no servidor. Nos Servios de Gerenciamento de Direitos do Active Directory com o Windows Server Longhorn, o requisito de o servidor dos Servios de Gerenciamento de Direitos do Active Directory contatar-se diretamente com o Servio de Registro da Microsoft foi removido. Em vez disso, um certificado de registro automtico do servidor includo com o Windows Server Longhorn, que assina o SLC do servidor dos Servios de Gerenciamento de Direitos do Active Directory. Exigir que o SLC seja assinado pelo Servio de Registro da Microsoft mostrou uma dependncia operacional, que muitos clientes no queriam em seu ambiente. O Servio de Registro da Microsoft no mais requerido para assinar o SLC. Em vez disso, para assinar o SLC do servidor dos Servios de Gerenciamento de Direitos do Active Directory server, o certificado de registro automtico, includo com o Windows Server Longhorn, pode assinar o SLC localmente. Esse certificado permite que os Servios de Gerenciamento de Direitos do Active Directory opere em uma rede que seja inteiramente isolada da Internet. Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser atualizado antes do cluster de licenciamento apenas. Isso exigido para que o cluster de licenciamento apenas receba o SLC recm-registrado do cluster raiz.
Integrao com os Servios Federados do Active Directory

As empresas vm continuamente sentindo a necessidade de colaborar fora dos seus limites corporativos, procurando a federao como uma soluo possvel. O suporte da federao com os Servios de Gerenciamento de Direitos do Active Directory ir permitir que as empresas alavanquem suas relaes federadas j estabelecidas para permitir a colaborao com entidades externas. Por exemplo, uma organizao que tenha implantado os Servios de Gerenciamento de Direitos do Active Directory pode definir uma federao com uma entidade externa, usando os Servios Federados do Active Directory, alavancando sua relao para compartilhar contedos protegidos entre duas organizaes, sem exigir uma implantao dos Servios de Gerenciamento de Direitos do Active Directory nos dois locais. Nas verses de contedo Integrar os Servios de anteriores do RMS, as opes para colaborao externa protegido eram limitadas ao Microsoft Passport. Servios Federados do Active Directory com os Gerenciamento de Direitos do Active Directory fornece
197
a capacidade de estabelecer identidades federadas entre as organizaes e compartilhar contedos protegidos por direitos. Se voc est interessado em usar os Servios Federados do Active Directory com os Servios de Gerenciamento de Direitos do Active Directory, deve ter uma relao de confiana federada entre a sua organizao e os parceiros externos com quem gostaria de colaborar antes de os Servios de Gerenciamento de Direitos do Active Directory ser instalado. Alm disso, voc deve usar o cliente dos Servios de Gerenciamento de Direitos do Active Directory, includo com o Windows Vista ou o RMS Client com SP2 para tirar proveito da integrao dos Servios Federados do Active Directory com os Servios de Gerenciamento de Direitos do Active Directory. Os clientes do RMS anteriores ao RMS Client com SP2 no iro suportar a colaborao dos Servios Federados do Active Directory.
Novas funes administrativas dos Servios de Gerenciamento de Direitos do Active Directory.

Para delegar um maior controle sobre o seu ambiente dos Servios de Gerenciamento de Direitos do Active Directory, foram criadas novas funes administrativas. Essas funes so grupos de segurana locais criadas quando os Servios de Gerenciamento de Direitos do Active Directory est instalado. Cada uma dessas funes possui nveis diferentes de acesso aos Servios de Gerenciamento de Direitos do Active Directory associado a elas. As novas funes so: Grupo de Servios de Gerenciamento de Direitos do Active Directory, Administradores Corporativos de Servios de Gerenciamento de Direitos do Active Directory, Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory e Auditores Servios de Gerenciamento de Direitos do Active Directory. O Grupo Servios de Gerenciamento de Direitos do Active Directory mantm a conta do servio dos Servios de Gerenciamento de Direitos do Active Directory. Quando a funo dos Servios de Gerenciamento de Direitos do Active Directory adicionada, a conta de servio configurada durante a instalao adicionada automaticamente funo administrativa. A funo dos Administradores Corporativos de Servios de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem todas as diretivas e configuraes dos Servios de Gerenciamento de Direitos do Active Directory. Durante o fornecimento dos Servios de Gerenciamento de Direitos do Active Directory, a conta de usurio que instala a funo dos Servios de Gerenciamento de Direitos do Active Directory e o grupo de administradores locais so adicionados funo dos Administradores Corporativos de Servios de Gerenciamento de Direitos do Active Directory. Como uma melhor prtica, os membros deste grupo devem ser restringidos a apenas contas de usurios que precisam de controle administrativo total sobre os Servios de Gerenciamento de Direitos do Active Directory.
198
Os Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory permitem que os membros deste grupo gerenciem os modelos de diretiva de direitos. Especificamente, os Administradores de Modelos de Servios de Gerenciamento de Direitos do Active Directory podem ler as informaes do cluster, listar modelos de diretivas, criar novos modelos de diretivas, modificar um modelo existente e exportar esses modelos. A funo dos Auditores de Servios de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem logs e relatrios. Essa uma funo de somente leitura que limitada a ler informaes do cluster, ler as configuraes de logging e executar relatrios disponveis no cluster dos Servios de Gerenciamento de Direitos do Active Directory. As funes administrativas do novos Servios de Gerenciamento de Direitos do Active Directory fornecem a oportunidade de delegar tarefas dos Servios de Gerenciamento de Direitos do Active Directory sem fornecer controle total sobre todo o cluster desses servios. Os clientes que querem implantar os Servios de Gerenciamento de Direitos do Active Directory em sua organizao no precisam fazer nada para se preparar para essa mudana. De forma opcional, recomenda-se criar grupos de segurana do Active Directory para cada uma dessas funes administrativas e adicion-los aos grupos de segurana locais. Isso dar a voc a capacidade de escalar a sua implantao dos Servios de Gerenciamento de Direitos do Active Directory por meio de diversos servidores, sem precisar adicionar contas de usurio a cada servidor dos Servios de Gerenciamento de Direitos do Active Directory.
199
Seo 6: Plataforma de Aplicaes e da Web

200
6.01 Introduo Plataforma de Aplicaes e da Web

Este cenrio enfoca as melhorias em gerenciamento, segurana, desempenho e capacidade de extenso que estaro disponveis quando o Windows Server Longhorn for implantando no host e gerenciar aplicaes e servios em execuo no servidor e/ou atravs da Web.

O Windows Server Longhorn fornece uma plataforma mais segura e fcil de ser gerenciada para o desenvolvimento e hospedagem de aplicaes e servios executados no servidor e/ou atravs da Web. Estas so as principais propostas de valor que a plataforma de aplicaes e da Web oferece: Gerenciamento mais eficiente de servios e aplicaes da Web e do servidor Configurao e implantao mais rpidas de servios e aplicaes da Web em farms de servidores Plataforma Web personalizada, dinamizada e mais segura Maior desempenho e/ou escalabilidade para servios e aplicaes da Web Controle e visibilidade sobre como e quando os servios e aplicaes utilizam recursos importantes do sistema operacional

Nenhum
201
6.02 Internet Information Services 7.0

O Windows Server Longhorn fornece uma plataforma unificada para publicao da Web que integra o IIS, o ASP.NET, o Windows Communication Foundation e o Microsoft Windows SharePoint Services. O IIS verso 7.0 uma importante melhoria para o servidor Web IIS existente e exerce funo central na integrao de tecnologias de plataforma Web. O IIS 7.0 construdo para ser compatvel com os lanamentos existentes. Espera-se que todas as aplicaes ASP, ASP.NET 1.1 e ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma mudana de cdigo (usando o suporte de ISAPI compatvel). Todas as extenses ISAPI existentes e a maioria dos filtros ISAPI tambm continuaro funcionando, sem mudanas. Entretanto, os filtros ISAPI que dependem da notificao LER DADOS NO PROCESSADOS no so suportados no IIS 7.0. Para todas as Interfaces de Servio do Active Directory e scripts WMI existentes, o IIS 7.0 fornecer paridade de recursos com os lanamentos anteriores, possibilitando que estes sejam executados diretamente do novo armazenamento de configurao. Os principais pilares do lanamento do IIS 7.0 so: Modelo de extensibilidade flexvel para poderosa personalizao Poderosas ferramentas de diagnstico e resoluo de problemas Administrao delegada Segurana aprimorada e superfcie de ataque reduzida por meio de personalizao Implantao real de xcopy de aplicaes Gerenciamento integrado de aplicaes e integridade para servios WCF Ferramentas de administrao aprimoradas
Modelo de Extensibilidade Flexvel para Personalizao Poderosa

O IIS 7.0 permite aos desenvolvedores estender o IIS para fornecer funcionalidade personalizada de novas e mais poderosas maneiras. A extensibilidade do IIS 7.0 inclui um conjunto totalmente novo de interfaces de programao de aplicao (API) de servidor principal, que permite que os mdulos de recursos sejam desenvolvidos tanto em cdigo nativo (C/C++) como em cdigo gerenciado (linguagens como C#, e o Visual Basic 2005, que usa o .NET Framework). O IIS 7.0 tambm permite extensibilidade de configurao, scripts, registro de eventos e conjuntos de recursos de
202
ferramentas de administrao, proporcionando aos desenvolvedores de software uma plataforma de servidor completa sobre a qual possvel construir extenses de servidor Web.
Ferramentas Poderosas de Diagnstico e Resoluo de Problemas

O IIS 7.0 possibilita aos desenvolvedores e profissionais de TI resolver mais facilmente problemas de erros em aplicaes e sites da Web. O IIS 7.0 fornece uma visualizao clara das informaes de diagnstico interno sobre o IIS, alm de coletar e apresentar eventos de diagnstico detalhados para ajudar a solucionar problemas com servidores.
Administrao Delegada
O IIS 7.0 permite queles que hospedam ou administram sites da Web ou servios WCF delegar controle administrativo aos desenvolvedores ou donos do contedo, reduzindo assim o custo de propriedade e os encargos administrativos para o administrador. Novas ferramentas de administrao so fornecidas para suportar esses recursos de delegao.
Segurana Aprimorada e Superfcie de Ataque Reduzida por meio de Personalizao

Voc pode controlar quais recursos podem ser instalados e executados em seu servidor Web. O IIS 7.0 composto por mais de 40 mdulos de recursos diferentes. Cada mdulo pode ser instalado de forma independente no servidor, para reduzir a superfcie de ataque do servidor e diminuir o overhead administrativo onde no for necessrio. Para mais informaes sobre os diversos mdulos de recursos, consulte: Mdulos do IIS 7.0 (http://go.microsoft.com/fwlink/?LinkId=68740).
Implantao de Xcopy em Aplicaes Verdadeiras

O IIS 7.0 permite armazenar as configuraes do IIS em arquivos Web.config, o que torna muito mais fcil usar o comando xcopy para copiar aplicaes em mltiplos servidores Web front-end, evitando assim a replicao dispendiosa e sujeita a erros, alm de problemas de sincronizao manual.
Gerenciamento de Aplicaes e Integridade para Servios WCF

Para aprimorar o desenvolvimento e a hospedagem dos servios WCF em diversos protocolos, o Windows Server Longhorn inclui o Windows Activation Service (WAS), que suporta a ativao conectvel de escuta arbitrria de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicaes ativadas por mensagem, ativao de processo por demanda, monitoramento de integridade, alm de deteco e reciclagem automticas de falhas. O WAS baseado no modelo de processo de solicitao do IIS 6.0.
Ferramentas de Administrao Aprimoradas

203
O IIS 7.0 apresenta uma nova interface grfica e uma nova ferramenta de linha de comando para o gerenciamento e administrao de servidores Web, sites e aplicaes da Web.
Suporte de Gerenciamento Integrado para Servios da Web

Para aprimorar o desenvolvimento e a hospedagem dos servios WCF em diversos protocolos, o Windows Server Longhorn inclui o Windows Activation Service (WAS), que suporta a ativao conectvel de escuta arbitrria de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicaes ativadas por mensagem, ativao de processo por demanda, monitoramento de integridade, alm de deteco e reciclagem automticas de falhas. O WAS baseado no modelo de processo de solicitao do IIS.
Firewall do Windows Ativado por Padro

O Firewall do Windows ativado por padro no Windows Server Longhorn. Durante a instalao da funo do servidor Web (IIS), o processo de instalao adiciona as seguintes regras de entrada do Firewall do Windows, para permitir o trfego de todos os servios funcionais selecionados: Caso sejam instalados servios funcionais relacionados a HTTP e HTTPS, uma regra adicionada ao Firewall do Windows para permitir o trfego para HTTP na porta 80 e para HTTPS na porta 443. Tais regras aparecem na lista do Firewall do Windows como Trfego HTTP de Entrada dos Servios da World Wide Web e Trfego HTTPS de Entrada dos Servios da World Wide Web. Essas regras so ativadas automaticamente. Caso sejam instalados servios funcionais relacionados a FTP, uma regra adicionada ao Firewall do Windows para permitir o trfego para FTP na porta 21. Tal regra aparece na lista do Firewall do Windows como Trfego de Entrada do Servidor FTP. Essa regra ativada automaticamente. Caso seja instalado o Servio de Gerenciamento, uma regra adicionada ao Firewall do Windows para permitir o trfego para o servio na porta 8172. Tal regra aparece na lista do Firewall do Windows como Trfego de Entrada do Servio de Gerenciamento da Web. Essa regra deve ser ativada pelo administrador do servidor.
Edies
O IIS 7.0 est disponvel em todas as edies do Windows Server. No h diferena de funcionalidade entre as edies. O IIS 7.0 est disponvel em plataformas de 32 bits e 64 bits.
Configurao
O IIS 7.0 apresenta algumas importantes melhorias na maneira como os dados de configurao so armazenados e acessados. Um dos principais objetivos do lanamento do IIS 7.0 possibilitar a
204
configurao distribuda das configuraes do IIS, que permite aos administradores especificar as configuraes do IIS nos arquivos armazenados com o cdigo e o contedo. A configurao distribuda permite aos administradores especificar as configuraes para um site ou aplicao da Web no mesmo diretrio do cdigo ou contedo. Ao especificar as configuraes em um nico arquivo, a configurao distribuda permite aos administradores delegar a administrao dos recursos selecionados de sites ou aplicaes da Web de forma que desenvolvedores de aplicaes possam modificar tais recursos. Os administradores tambm podem bloquear configuraes especficas, de modo que elas no possam ser alteradas por mais ningum. Usando a configurao distribuda, as configuraes para um site ou aplicao especfica podem ser copiadas de um computador para outro, medida que a aplicao passa do desenvolvimento para teste e, finalmente, para produo. A configurao distribuda tambm permite que a configurao de um site ou aplicao seja compartilhada atravs de um farm de servidor, em que todos os servidores recuperam as configuraes e o contedo de um servidor de arquivos. A configurao do IIS 7.0 baseada no armazenamento de configurao existente do .NET Framework, o que possibilita que as configuraes do IIS sejam armazenadas em conjunto com a configurao do ASP.NET em arquivos Web.config. Essa mudana fornece um armazenamento de configurao para todas as configuraes da plataforma Web, que podem ser acessadas atravs de um conjunto comum de APIs e armazenadas em um formato homogneo. O sistema de configurao do IIS 7.0 tambm totalmente extensvel, de forma que os desenvolvedores podem estender o armazenamento de configurao para incluir uma configurao personalizada com a mesma fidelidade e prioridade da configurao do IIS. O IIS 7.0 armazena a configurao global, ou de todo o computador, no diretrio %windir%\system32\inetsrv, em um arquivo chamado ApplicationHost.config. Nesse arquivo h dois principais grupos de seo de configurao: system.applicationHost system.WebServer
O grupo de seo system.applicationHost contm a configurao para site, aplicao, diretrio virtual e pools de aplicaes. O grupo de seo system.WebServer contm a configurao para todas as demais configuraes, incluindo os padres globais da Web. A configurao especfica de URL tambm pode ser armazenada em ApplicationHost.config usando as tags <location>. O IIS 7.0 tambm pode fazer leitura e escrita de configurao especfica de URL dentro dos diretrios de cdigo ou contedo de sites e aplicaes da Web do servidor nos arquivos Web.config, junto com a configurao do ASP.NET.
205
Como o Windows Server Longhorn uma nova verso, possvel que voc leve algum tempo para familiarizar-se como as novas opes de configurao. Os sites de produo e os servios WCF que atualmente so executados atravs do IIS 6.0 devem ser cuidadosamente testados antes de passarem para produo no IIS 7.0, embora o IIS 7.0 seja projetado para ser compatvel. Se voc usa scripts de linha de comando personalizados do IIS 6.0, pode precisar convert-los para o IIS 7.0.
Ferramentas de Administrao
O IIS 7.0 apresenta as seguintes ferramentas de administrao, novas e completamente reescritas, para o gerenciamento do IIS: GUI (Interface Grfica do Usurio), IIS Manager Ferramenta de linha de comando, appcmd.exe Armazenamento de configurao, baseado no armazenamento de configurao do .NET Framework 2.0, que suporta a edio direta de configuraes Provedor WMI que pode ler ou alterar configuraes no armazenamento de configurao Interface gerenciada, Microsoft.Web.Administration, que expe as mesmas informaes exibidas pelo provedor WMI
Alm disso, o snap-in MMC do IIS 6.0 tambm fornecido com o Windows Server Longhorn para suportar administrao remota e administrar sites FTP. possvel instalar as ferramentas de administrao e os componentes de servidor Web separadamente. O IIS 7.0 tambm inclui um novo provedor WMI que amplia o acesso a scripts para todas as configuraes do IIS e do ASP.NET. A interface Microsoft.Web.Administration fornece uma interface gerenciada fortemente tipificada para recuperar os mesmos dados exibidos pelos scripts WMI. Os scripts de linha de comando do IIS 6.0 tambm foram substitudos por uma nova e poderosa ferramenta de linha de comando, a appcmd.exe. As novas ferramentas de administrao suportam integralmente a configurao distribuda e a delegao da responsabilidade administrativa. A delegao pode ser muito especfica, permitindo ao administrador decidir exatamente quais funes delegar, caso a caso. As novas ferramentas de administrao suportam integralmente a nova configurao distribuda do IIS 7.0. Elas suportam o o acesso delegado (no administrativo) para configurao de sites e aplicaes individuais. As ferramentas de administrao suportam
206
credenciais que no sejam do Administrador e nem do Windows para a autenticao de um site ou aplicao especfica e o gerenciamento de configurao somente para aquele escopo. A nova interface grfica do IIS Manager suporta administrao remota de HTTP, permitindo administrao contnua local, remota e mesmo atravs da Internet, sem requerer DCOM ou que outras portas administrativas sejam abertas no firewall. As ferramentas de administrao so totalmente extensveis, permitindo aos desenvolvedores construir novos mdulos de administrao usando o .NET Framework, para se conectarem facilmente a novos mdulos de interface grfica de administrao que trabalham de forma to transparente como aqueles que fazem parte do IIS 7.0.
Ncleo do Servidor Web

O Ncleo do Servidor Web do IIS 7.0 apresenta algumas mudanas fundamentais em relao ao IIS 6.0. Por exemplo, tanto o cdigo nativo como o cdigo gerenciado so processados por meio de um nico pipeline de requisies. Alm disso, o IIS 7.0 apresenta um mecanismo de servidor Web onde os componentes, chamados mdulos, podem ser adicionados ou removidos, dependendo da necessidade. Tais mudanas permitem uma reduo significativa na superfcie de ataque, maior extensibilidade e melhoria do suporte para estender a funcionalidade bsica do IIS 7.0, pela criao de mdulos de cdigo gerenciados. O novo ncleo Web de processo de trabalho tambm fornece acesso para todos os eventos de notificao no pipeline de requisio. O nvel de integrao sem precedentes, permitindo que os recursos existentes do ASP.NET (como autenticao baseada em formulrios ou autorizao de URL) sejam usados para todos os tipos de contedo da Web. Em verses anteriores do IIS, toda a funcionalidade era construda por padro, e no havia uma maneira fcil de estender ou substituir tal funcionalidade. Entretanto, o ncleo do IIS 7.0 dividido em mais de 40 mdulos de recursos distintos. O ncleo tambm inclui uma nova API do Win32 para construir os mdulos bsicos do servidor. Os mdulos bsicos do servidor so novos e substitutos mais poderosos dos filtros e extenses ISAPI de Servidor da Internet, embora tais filtros e extenses sejam ainda suportados no IIS 7.0. Como todos os recursos bsicos do servidor do IIS foram desenvolvidos de forma que o IIS 7.0 possa usar a nova API do Win32 e os mdulos de recursos em separado, possvel adicionar, remover ou mesmo substituir os mdulos de recursos do IIS. O IIS 7.0 tambm inclui suporte para o desenvolvimento de extenses bsicas do servidor Web usando o .NET Framework. O IIS 7.0 integrou a API IHttpModule existente ao ASP.NET, permitindo que os mdulos de cdigo gerenciados acessem todos os eventos no pipeline de requisio, para todas as solicitaes.
207
Diagnstico
O IIS 7.0 inclui duas principais melhorias que ajudam no diagnstico e na resoluo de problemas de sites e aplicaes da Web. As mudanas no diagnstico e na resoluo de problemas no IIS 7.0 permitem que o desenvolvedor ou o administrador visualize, em tempo real, as solicitaes que esto sendo executadas no servidor. Agora possvel filtrar condies de erro difceis de reproduzir e interromper automaticamente o erro com um registro de rastreamento detalhado. O IIS 7.0 inclui uma nova API de Controle e Estado do Execuo, que proporciona informaes, em tempo real, estado de pools de aplicaes, processos de trabalho, domnios de aplicaes e ainda sobre solicitaes que executadas. Tempo de sobre o sites, esto sendo
Tais informaes so exibidas por meio de uma API COM nativa. A prpria API agrupada e exibida atravs do novo provedor WMI do IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usurios verifiquem o status do servidor Web de forma mais rpida e fcil, qualquer que seja o ambiente de gerenciamento utilizado. O IIS 7.0 tambm inclui eventos de rastreamento detalhados durante o caminho de solicitao e resposta, permitindo aos desenvolvedores rastrear uma solicitao medida que ela abre caminho para o IIS, atravs do pipeline de requisio de processo do IIS, em qualquer cdigo de nvel de pgina existente, e retornar para a resposta. Tais eventos de rastreamento detalhados permitem que os desenvolvedores tenham conhecimento no apenas do caminho da solicitao e de quaisquer informaes de erro que surjam em decorrncia de uma solicitao, como tambm do tempo decorrido e de outras informaes depuradas, para ajudar na resoluo de todos os tipos de erros e quando um sistema pra de responder. Para permitir a coleta desses eventos de rastreamento, o IIS 7.0 pode ser configurado para capturar automaticamente todos os registros de rastreamento para uma determinada solicitao, com base no tempo decorrido ou nos cdigos de resposta de erros.
Recursos Adicionais
Para mais informaes sobre o IIS, consulte o Internet Information Services no site da Microsoft: (http://go.microsoft.com/fwlink/?LinkId=66138). Para mais informaes sobre APIs de extensibilidade do IIS, consulte o SDK do Internet Information Services 7.0 no site da Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).
208
6.03 Windows Media Services

O Microsoft Windows Media Services 9 Series uma plataforma de nvel industrial para transmitir contedo de mdia digital atravs de redes, ao vivo ou por demanda, que inclui o contedo do Windows Media Audio (WMA) e do Windows Media Video (WMV). O Windows Media Services pode ser usado para gerenciar um ou mais servidores Windows Media que fornecem contedo de mdia digital para os seguintes tipos de clientes: Computadores ou dispositivos que reproduzem o contedo usando um player, como o Windows Media Player Outros servidores Windows Media que atuem como proxy, armazenem em cache ou redistribuam o contedo Programas personalizados que foram desenvolvidos usando os Kits de Desenvolvimento de Software do Windows Media (http://go.microsoft.com/fwlink/?LinkId=82886)
O Windows Media Services pode ser deseja fornecer contedo de mdia de redes (tanto a Internet quanto tipos de organizao consideram o especialmente til:
usado por qualquer pessoa que digital para clientes atravs uma intranet). Os seguintes Windows Media Services
Empresas de hospedagem que fornecem uma experincia de fluxo contnuo rpido aos usurios - seja em casa ou no escritrio Empresas nas reas comercial, educacional ou governo que gerenciam recursos de rede e fornecem comunicaes valiosas para transmisses corporativas, alm de aprendizado, marketing e vendas on-line Empresas com tecnologia sem fio que fornecem servios de entretenimento de banda larga sem fio, usando os escalonveis e confiveis servidores Windows Media Difusoras da Internet que fornecem contedo para rdio, televiso, cabo ou satlite Distribuidoras de filmes e msica que fornecem contedo de udio e vdeo de maneira segura, sem excesso de armazenamento em buffer ou congestionamento da rede Profissionais de IPTV que fornecem uma experincia de IPTV de alta qualidade em LANs
Como nos lanamentos anteriores, alguns recursos do Windows Media Services no esto disponveis em determinadas edies do Windows Server Longhorn. Se a implantao do servidor Windows Media requerer um recurso especfico (por exemplo, o fornecimento de contedo para clientes como o fluxo contnuo multicast), consulte
209
a Comparao de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do Windows Server Longhorn deve ser instalada. Aps a instalao da edio correta do Windows Server Longhorn, a funo Servios de Mdia de Fluxo Contnuo, que inclui o servio funcional do Windows Media Services (Administrador do Windows Media Services) e servios opcionais (Administrador do Windows Media Services para a Web e Agente de Log de Difuso Seletiva e Anncio), no est disponvel para instalao no Server Manager. Antes de usar o Server Manager para instalar a funo Servios de Mdia de Fluxo Contnuo, deve-se fazer o download do Windows Media Services 9 Series. Para mais informaes sobre como instalar a funo Servios de Mdia de Fluxo Contnuo no Windows Server Longhorn, consulte: Instalao e Configurao da Funo Servios de Mdia de Fluxo Contnuo (http://go.microsoft.com/fwlink/?LinkId=82888). Se voc ainda no usou o Windows Media Services, recomendamos que voc se familiarize com os conceitos de fluxo contnuo. Um bom lugar para comear : Usando o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82889). Nota Voc pode adicionar a funo Servios de Mdia de Fluxo Contnuo para a instalao do Ncleo do Servidor do Windows Server Longhorn. Para mais informaes sobre a opo de instalao do Ncleo do Servidor do Windows Server Longhorn, consulte o Ncleo do Servidor neste documento. Para mais informaes sobre como adicionar a funo Servios de Mdia de Fluxo Contnuo ao Ncleo do Servidor do Windows Server Longhorn, consulte: Instalao e Configurao da Funo Servios de Mdia de Fluxo Contnuo (http://go.microsoft.com/fwlink/?LinkId=82888).
Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contm um novo plug-in de Gerenciamento de Cache/Proxy que controla a capacidade do servidor Windows Media de executar funes de cache e proxy. O plug-in Cache Proxy do WMS pode ser usado para configurar um servidor Windows Media como um servidor de cache/proxy que mantm a largura de banda, reduz a latncia imposta pela rede e diminui a carga sobre o servidor de origem. Esses trs fatores reduzem os custos operacionais e criam uma melhor experincia de visualizao para seus clientes.
Atributos das Listas de Reproduo

Os atributos das listas de reproduo do lado servidor noSkip e noRecede so agora suportados. Clientes suportados (Windows Media Player 9 Series ou verses mais recentes) que se conectam a listas de reproduo do lado servidor enviadas para pontos de publicao por demanda num servidor Windows Media podem obter
210
avano, retrocesso, busca ou salto rpidos em toda a mdia. Esses clientes tambm podem avanar para a mdia anterior ou seguinte na lista de reproduo. (Esses controles esto agora ativados no cliente.)
Fluxo Contnuo de MMS

O protocolo MMS no suportado para fluxo contnuo e o plug-in do Protocolo de Controle de Servidor MMS foi removido do Administrador do Windows Media Services. Observe que embora o protocolo MMS no seja suportado, o prefixo do MMS (mms://) ainda suportado. Quando os clientes que suportam o protocolo RTSP (Real Time Streaming Protocol) se conectam a um servidor Windows Media usando uma URL com prefixo mms:// (por exemplo, mms://server_name/clip_name.wmv), o servidor tentar usar a sobreposio de protocolos para transferir o contedo para o cliente usando RTSP, para fornecer uma tima experincia de fluxo contnuo. Os clientes que suportam RTSP so o Windows Media Player 9 Series (ou verses mais recentes do Windows Media Player) ou outros players que usam o Controle ActiveX do Windows Media Player 9 Series. Quando verses anteriores do Windows Media Player, outros players que no suportam o protocolo RTSP ou players em ambientes que no sejam de RTSP se conectam ao servidor usando uma URL com prefixo mms://, o servidor tentar usar a sobreposio de protocolos para transferir o contedo para o cliente usando HTTP. Para garantir que seu contedo esteja sempre disponvel para clientes que se conectam ao seu servidor usando uma URL com prefixo mms://, ative o plug-in do Protocolo de Controle de Servidor HTTP do WMS no Administrador do Windows Media Services e abra portas em seu firewall para todos os protocolos de conexo que possam ser usados durante a sobreposio de protocolos. Para mais informaes, consulte: Informaes sobre Firewall para o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).
Configurao de Sistema HTTP do Windows Media Services

Se voc usa o Windows Media Services e outro servio da Web, como o Microsoft IIS nesse servidor, ambos os servios tentaro se conectar porta 80 para o fluxo contnuo de HTTP. Esse conflito pode ser evitado ao atribuir uma porta diferente para cada servio. Caso um servio seja atribudo para outra porta que no a 80, a porta correspondente tambm deve ser aberta no firewall da rede. Para mais informaes, consulte: Informaes sobre Firewall para o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890). Como alternativa, pode-se atribuir endereos IP adicionais para o servidor. Isso possibilita que cada servio tenha seu prprio endereo IP e, ao mesmo tempo, compartilhe a porta 80 para o fluxo contnuo de HTTP. A maneira mais simples para essa execuo instalar mltiplos adaptadores de rede no servidor. Entretanto, caso essa soluo no seja possvel, pode-se criar mltiplos
211
endereos IP em um nico adaptador de rede e atribuir-lhes endereos distintos da porta 80. Em seguida, deve-se configurar o Windows Media Services e o servio da Web para se conectarem a diferentes combinaes de endereo IP/porta 80. A ferramenta de Configurao de Sistema HTTP do Windows Media Services, usada em verses anteriores do Windows Media Services para atribuir endereos IP adicionais para os servios, no est disponvel nesta verso. Agora, a lista de incluso de IP na pilha de protocolos HTTP (HTTP.sys) deve ser configurada usando os aprimorados comandos netsh. Para mais informaes, consulte os comandos Netsh em: Novos Recursos de Rede no Windows Server Longhorn e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).
Configurao do Firewall
No mais necessrio adicionar o programa Windows Media Services (Wmserver.exe) como uma exceo no Firewall do Windows para abrir as portas de entrada padro para fluxo contnuo unicast. Quando a funo Servios de Mdia de Fluxo Contnuo instalada no Windows Server Longhorn, o programa Windows Media Services automaticamente adicionado como uma exceo no Firewall do Windows.
Utilitrio de Teste de Fluxo Contnuo

O Server Manager deve ser usado para instalar o recurso Experincia Desktop antes que o Utilitrio de Teste de Fluxo Contnuo possa ser usado no Administrador do Windows Media Services.
Incio Rpido Avanado

O Incio Rpido Avanado minimiza a latncia de inicializao no Windows Media Player 10 (ou verses mais recentes) ou no Windows CE verso 5.0 (ou verses mais recentes) e ativado por padro. Nas verses anteriores do Windows Media Services, o Incio Rpido Avanado era desativado por padro.
Qualidade de Servio
O Windows Media Services foi atualizado para usar as diretivas de Qualidade de Servio (QoS) no Windows Server Longhorn para gerenciar o trfego de sada de rede, em vez de usar o Tipo de Servio (ToS) para fornecer fluxo contnuo unicast. Para mais informaes, consulte: Qualidade de Servio (http://go.microsoft.com/fwlink/?LinkId=82892).
Implantao
As aplicaes projetadas para trabalhar com o Windows Media Services nos sistemas operacionais Windows anteriores no requerem mudanas para trabalhar com o Windows Media Services no Windows Server Longhorn. Em comparao com a verso anterior, o Windows Media Services no requer nenhuma melhoria especial na rede ou na infra-estrutura de
212
segurana de sua empresa. Caso o Windows Media Services esteja sendo instalado no Windows Server Longhorn pela primeira vez, os Requisitos de Sistema do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente. Nota Em primeiro lugar, preciso fazer o download e instalar o Windows Media Services a partir do site da Microsoft (http://www.microsoft.com) para o Windows Server Longhorn. O Windows Media Services pode ser implantado em diversos cenrios. Depois da instalao do Windows Media Services, recomendamos a leitura do Guia de Implantao do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos e as recomendaes para o cenrio de fluxo contnuo. Alguns recursos do Windows Media Services no esto disponveis em determinadas edies do Windows Server Longhorn. Se a implantao do servidor Windows Media requerer um recurso especfico (por exemplo, o fornecimento de contedo para clientes como o fluxo contnuo multicast), consulte a Comparao de Recursos do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do Windows Server Longhorn deve ser instalada.
6.04 Servidor de Aplicao

O Servidor de Aplicao uma nova funo de servidor do Windows Server Longhorn. O Servidor de Aplicao fornece um ambiente integrado para implantao e execuo de aplicaes de negcios personalizadas construdas com o Microsoft .NET Framework verso 3.0 (anteriormente WinFX). O mesmo ambiente integrado do Servidor de Aplicao pode ser usado para implantar e executar as aplicaes de legado de sua organizao, como as aplicaes construdas para usar COM+, Message Queuing, servios da Web e transaes distribudas. O Servidor de Aplicao fornece os seguintes benefcios: Um tempo de execuo bsico que suporta implantao e gerenciamento eficazes das aplicaes de negcios de alto desempenho O ambiente de desenvolvimento do .NET Framework, que fornece um modelo de programao simplificado e um modelo de execuo de alto desempenho para aplicaes baseadas em servidor, ativa os servios da Web e integra as novas aplicaes s aplicaes e infra-estrutura existentes O Assistente para Adicionar Funes, fcil de usar, que ajuda a escolher os servios funcionais e os recursos necessrios para executar as aplicaes
213
Instalao automtica de todos os recursos necessrios para um determinado servio funcional
Um ambiente do Servidor de Aplicao pode incluir, dentre outros, o que segue: Computadores clientes conectados por domnio e seus usurios Computadores conectados a uma intranet ou Internet num ambiente de servios da Web Servidores que interoperam em plataformas e sistemas operacionais distintos Servidores que hospedam aplicaes construdas com o .NET Framework 3.0 Servidores que hospedam aplicaes construdas para usar COM+, Message Queuing, servios da Web e transaes distribudas Servidores mltiplos que hospedam mltiplos bancos de dados em uma rede
O Servidor de Aplicao uma nova funo de servidor instalada atravs do Assistente para Adicionar Funes no Server Manager. Os administradores que implantam aplicaes LOB construdas com o .NET Framework 3.0 descobriro que a instalao de um ambiente de hospedagem para aplicaes se torna mais simples com essa funo de servidor. O Assistente para Adicionar Funes orienta o administrador atravs do processo de seleo dos servios funcionais ou do suporte dos recursos necessrios para executar as aplicaes.
Ncleo do Servidor de Aplicao

O Ncleo do Servidor de Aplicao o grupo de tecnologias instaladas por padro quando a funo Servidor de Aplicao instalada. Basicamente, o Ncleo do Servidor de Aplicao o .NET Framework 3.0. O Windows Server Longhorn inclui o .NET Framework 2.0, seja qual for a funo de servidor instalada. O .NET Framework 2.0 contm o CLR, que fornece um ambiente de execuo de cdigo que promove a execuo segura do cdigo, implantao de cdigo simplificada e suporte para a interoperabilidade de mltiplas linguagens. O Ncleo do Servidor de Aplicao acrescenta os recursos do .NET Framework 3.0 aos recursos bsicos do .NET Framework 2.0. Para mais informaes sobre o .NET Framework 3.0, consulte: .NET Framework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263). Os principais componentes do Ncleo do Servidor de Aplicao so instalados como um conjunto de bibliotecas e montagens do .NET. Os principais componentes do Ncleo do Servidor de Aplicao so:
214
Windows Communication Foundation (WCF) Windows Workflow Foundation (WF) Windows Presentation Foundation (WPF)
Os componentes mais importantes para as aplicaes baseadas em servidor so o WCF e o WF. O WPF usado principalmente em aplicaes baseadas em cliente. O WCF o modelo de programao unificado da Microsoft para construir aplicaes que usam os servios da Web para se comunicarem entre si. Essas aplicaes tambm so conhecidas como aplicaes orientadas para servios. Os desenvolvedores podem usar o WCF para construir aplicaes transacionadas mais seguras e confiveis, que se integram s plataformas e interoperam com os sistemas e aplicaes existentes. Para mais informaes sobre o WCF, consulte: O que o Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=81260). O WF o mecanismo e modelo de programao para construir rapidamente aplicaes ativadas por fluxo de trabalho no Windows Server Longhorn. Um fluxo de trabalho um conjunto de atividades que descrevem um processo no mundo real. O fluxo de trabalho comumente descrito e visualizado graficamente como um fluxograma. A descrio do fluxo de trabalho com freqncia chamada de modelo. Os trabalhos passam pelo modelo de fluxo de trabalho do incio ao fim. Os trabalhos ou atividades dentro do modelo podem ser executados por pessoas, sistemas ou computadores. Embora seja possvel descrever um fluxo de trabalho em linguagens de programao tradicionais como uma srie de etapas e condies, para fluxos de trabalho mais complexos ou que suportam revises mais simples, em geral muito mais apropriado projetar graficamente o fluxo de trabalho e armazenar o projeto como um modelo. Alm de permitir a modelagem grfica dos fluxos de trabalho, o WF tambm possibilita a execuo dos modelos de fluxo de trabalho. Aps a compilao do modelo de fluxo de trabalho, ele pode ser executado em qualquer processo do Windows, inclusive aplicaes baseadas em cliente, como aplicaes de console e aplicaes de formulrios grficos do Windows, ou aplicaes baseadas em servidor, incluindo o Windows Services, sites do ASP.NET e servios da Web do WCF. O WF fornece suporte para fluxo de trabalho humano e de sistemas em uma variedade de cenrios, incluindo os seguintes: Fluxo de trabalho em aplicaes LOB Fluxo seqencial de telas, pginas e caixas de dilogo como apresentadas ao usurio em resposta interao do usurio com a interface grfica Fluxo de trabalho centralizado em documentos
215
Fluxo de trabalho humano Fluxo de trabalho composto para aplicaes orientadas para servios Fluxo de trabalho direcionado s regras de negcios Fluxo de trabalho para gerenciamento de sistemas
O Servidor de Aplicao essencialmente novo para o Windows Server Longhorn. A nova funo Servidor de Aplicao disponvel no Windows Server Longhorn no uma atualizao das tecnologias de servidor de aplicaes que possam ter sido instaladas anteriormente como parte do Windows Server 2003 ou de sistemas operacionais anteriores. Como a funcionalidade completamente nova, os administradores devem estar cientes de que no h caminho de migrao do Windows Server 2003 ou de sistemas operacionais anteriores para o Application Server. Caso um servidor do Windows Server 2003 ou de um sistema operacional anterior seja atualizado para o Windows Server Longhorn, a funo Application Server tambm dever ser reinstalada, usando o Assistente para Adicionar Funes no Server Manager. Como parte da preparao para instalao da nova funo Servidor de Aplicao, crie um inventrio das aplicaes que sero executadas nesse servidor. Se voc for um administrador, trabalhe com seus desenvolvedores para identificar as tecnologias e configuraes suportadas que devem estar presentes no servidor para executar as aplicaes. Em seguida, organize essas tecnologias para os servios funcionais descritos nas prximas sees, de forma que voc possa selecionar e configurar adequadamente os servios durante a instalao da funo de servidor.
Servidor Web
Essa opo instala o IIS verso 7.0, o servidor Web construdo no Windows Server Longhorn. O IIS fornece os seguintes benefcios: Ativa o Servidor de Aplicao para hospedar sites ou servios internos e externos com contedo fixo ou dinmico. Fornece suporte para a execuo de aplicaes ASP.NET acessadas de um navegador da Web. Fornece suporte para a execuo de servios da Web construdos com o Microsoft ASP.NET ou o WCF.
COM+ Network Access

Essa opo adiciona o COM+ Network Access para chamada remota de aplicaes construdas ou hospedadas em COM+ e componentes do Enterprise Services. O COM+ Network Access um dos recursos de chamada remota do Windows Server Longhorn. Aplicaes mais recentes podem usar o WCF para suportar chamadas remotas.
216
Servio de Ativao de Processos no Windows

Essa opo adiciona o Servio de Ativao de Processos no Windows (WAS - Windows Process Activation Service). O WAS pode iniciar e finalizar aplicaes de forma dinmica, baseado em mensagens recebidas da rede atravs de HTTP, Message Queuing, TCP e os chamados protocolos de canalizao.
Compartilhamento de Porta TCP

Essa opo adiciona o Compartilhamento de Porta TCP (TCP Port Sharing). Esse servio funcional possibilita que mltiplas aplicaes HTTP usem uma nica porta TCP. Quando esse servio funcional instalado como parte da funo Servidor de Aplicao, mltiplas aplicaes WCF podem compartilhar uma nica porta para receber mensagens da rede. Isso pode ajudar a limitar a rea de superfcie potencialmente aberta para ataques, j que o administrador abre apenas uma porta nos firewalls. O servio funcional trabalha aceitando conexes que usam o protocolo Net.Tcp. O servio ento transfere automaticamente as mensagens de entrada para os diversos servios WCF com base no contedo das mensagens. Isso simplifica o gerenciamento dos servidores de aplicaes quando muitas ocorrncias de uma mesma aplicao esto sendo executadas.
Transaes Distribudas
Essa opo ativa as transaes distribudas, que ajudam a assegurar transaes completas e bem-sucedidas em mltiplos bancos de dados hospedados em diversos computadores em uma rede.
217
6.05 NTFS Transacional

O sistema de arquivos NTFS Transacional e o Registro Transacional, a tecnologia transacional do kernel no Windows Server Longhorn, foram aprimorados para coordenar seu trabalho por meio de transaes. Como as transaes so necessrias para preservar a integridade dos dados e lidar com condies de erro de forma confivel, o NTFS Transacional pode ser usado para desenvolver solues poderosas para sistemas executados no Windows. O NTFS Transacional permite que as operaes de arquivos em um volume de sistema de arquivos NTFS sejam executadas de forma transacional. Isso fornece suporte para todas as propriedades ACID (atmica, consistente, isolada e durvel) das transaes. Por exemplo, voc pode agrupar conjuntos de arquivos e operaes de registro com uma transao, de forma que todos obtenham sucesso ou nenhum obtenha sucesso. Embora a transao seja ativa, as mudanas no so vsiveis para leitura fora da transao. Mesmo que ocorra falha no sistema, o trabalho iniciado gravado no disco e o trabalho transacional incompleto restabelecido. As transaes usadas com o sistema de arquivos ou registro podem ser coordenadas com qualquer outro recurso transacional, como o SQL Server ou MSMQ. A linha de comando foi extendida com o comando Transact para permitir scripts simples de linha de comando usando transaes. O NTFS Transacional destina-se aos profissionais de TI que precisam de uma maneira de garantir que determinadas operaes de arquivos sejam finalizadas sem interrupo ou possveis erros. O NTFS Transacional fornece a seguinte funcionalidade: NTFS Transacional integrado a COM+. O COM+ estendido para usar as APIs do Windows NT para ligar automaticamente o equivalente da transao COM+ do Windows NT ao thread em que um objeto programado. Portanto, as aplicaes que usam o modelo de transao COM+ podem simplesmente especificar uma propriedade de objeto adicional que indica a inteno de acesso do arquivo transacional. As aplicaes de legado que usam o modelo COM+ que no especificarem essa propriedade adicional acessaro os arquivos sem usar o NTFS Transacional. Cada volume NTFS um gerenciador de recursos. Uma transao que transpe mltiplos volumes coordenada pelo Kernel Transaction Manager (KTM). Compatvel com a arquitetura do Windows NT, esse recurso fornece suporte para recuperao independente de volume do Windows NT. Por exemplo, um sistema pode ser reinicializado com alguns dos volumes perdidos, sem afetar a recuperao de outros volumes.
218
Um identificador de arquivos pode ser fechado antes da confirmao ou interrupo da transao. Em geral, a confirmao ou interrupo executada por um thread totalmente diferente daquele que executou o trabalho de arquivo. Espera-se que os identificadores transacionais sejam usados apenas enquanto a transao estiver ativa. O sistema marca os identificadores como inativos depois que a transao finalizada. A tentativa de modificar o arquivo fracassada e o sistema apresenta uma mensagem de erro. Um arquivo pode ser visualizado como uma unidade de armazenamento. Atualizaes parciais e sobregravaes de arquivo completas so suportadas. No se espera que transaes mltiplas modifiquem partes do arquivo ao mesmo tempo isso no suportado. A E/S mapeada na memria trabalha de forma transparente e compatvel com a E/S regular de arquivos. O nico trabalho adicional necessrio que a aplicao esvazie e feche uma seo aberta antes de confirmar uma transao. Falhas nesse procedimento resultaro em mudanas parciais na transao. O acesso a um arquivo remoto por meio do servio SMB e do WebDAV (Web-Based Distributed Authoring and Versioning) suportado de forma transparente. O contexto da transao transmitido automaticamente pelo sistema ao n remoto. A prpria transao distribuda e coordenada para confirmao ou interrupo. Isso permite que as aplicaes sejam distribudas para mltiplos ns com um alto grau de flexibilidade. Esse um recurso poderoso, j que permite transferncias transacionais de arquivos na rede, imitando uma forma de mensageria transacional. Cada volume possui seu prprio log. O formato comum de log usado para fornecer recuperao e interrupes. O formato comum de log tambm constri um meio comum de registro de transaes do Windows para ser usado por outros armazenamentos.
219
Seo 7: Gerenciamento de Servidores

7.01 Introduo ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configurao Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Ncleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Servios de Implantao do Windows ............................254
220
7.01 Introduo ao Gerenciamento de Servidores

Este cenrio se concentra em ferramentas, tecnologias e opes de instalao disponveis para uso no Windows Server Longhorn, para melhorar a experincia de gerenciamento de servidores nicos e mltiplos dentro de uma empresa. Para a administrao local de um servidor nico, o Server Manager um Console de Gerenciamento integrado da Microsoft que oferece aos profissionais de TI uma experincia integrada e contnua para adicionar, remover e configurar funes de servidor, servios e recursos das funes. Ele tambm atua como um portal para gerenciamento, monitoramento e operaes de servidor constantes, expondo tarefas de gerenciamento importantes com base na funo do servidor, e fornecendo acesso a ferramentas avanadas de administrao. Em empresas maiores, o gerenciamento de servidores mltiplos pode ser automatizado com o Windows PowerShell, que consiste de um novo shell de linha de comando e linguagem de script projetado especificamente para automatizar as tarefas de administrao para funes de servidor, tais como IIS e Active Directory. Os profissionais de TI tambm podem usar a ferramenta Windows Remote Shell (WinRS) para gerenciar os servidores remotamente ou para obter dados de gerenciamento atravs dos objetos Windows Remote Management (WinRM) e Windows Management Instrumentation (WMI) nos servidores remotos. WinRM um novo protocolo de acesso remoto baseado nos Servios da Web de padro DMTF para Gerenciamento. O Ncleo do Servidor fornece uma opo de instalao mnima para certas funes de servidor, oferecendo uma memria de servidor e uma superfcie de ataque menor, para reduzir as necessidades de gerenciamento e servios.
Proposta de Valores do Cenrio

As principais propostas de valores que o gerenciamento de servidores oferece so: Realizar configurao inicial de um servidor local atravs de uma nica interface Adicionar e remover funes e recursos de servidor de modo mais seguro e confivel Examinar o estado de funo de servidor, realizar tarefas de gerenciamento importantes e acessar ferramentas avanadas de gerenciamento a partir de uma nica ferramenta de gerenciamento local Automatizar a administrao de servidores mltiplos atravs de uma linguagem de script orientada a tarefas
221
Acelerar a autoria, os testes e a depurao de scripts e escrever as ferramentas do cliente em um novo ambiente de shell de comando Realizar o gerenciamento de servidores locais e remotos atravs do acesso a mltiplos armazenamentos de gerenciamento de dados, tais como WMI, ADSI, COM, Certificados, Registro e arquivos de configurao XML Reduzir as necessidades de gerenciamento e servios, melhorando, ao mesmo tempo, a confiabilidade e a segurana

Nenhum
222
7.02 Tarefas de Configurao Inicial

A janela de Tarefas de Configurao Inicial um novo recurso do Windows Server Longhorn que abre automaticamente depois que o processo de instalao do sistema operacional completado, e ajuda o administrador a terminar a instalao e a configurao inicial de um novo servidor. Ele inclui tarefas como configurar a senha do Administrador, alterar o nome da conta do Administrador para melhorar a segurana de seu servidor, vincular o servidor a um domnio existente, ativar a rea de trabalho Remota para o servidor, e ativar o Windows Update e o Firewall do Windows. Antes do Windows Server Longhorn, a instalao do sistema operacional de classe de servidor do Windows pausava para que os administradores fornecessem informaes sobre sua conta, domnio e rede. O feedback indica que essa prtica tornava lento o processo de implantao do sistema operacional e servidor, pois a concluso da instalao do sistema operacional seria adiada at que os administradores respondessem aos avisos e fornecessem as informaes.
As Tarefas de Configurao Inicial permitem aos administradores adiar essas tarefas at que a instalao esteja completa, o que significa menos interrupes durante a instalao. Alm disso, como a ativao do produto pode ser feita dentro de um perodo de tolerncia (normalmente 30 dias), e no essencial para a configurao inicial do servidor, o comando Ativar Seu Servidor, presente na janela Gerenciar Seu Servidor no Windows Server 2003, foi removido das Tarefas de Configurao Inicial. Os comandos Adicionar Funes e Adicionar Recursos na janela Tarefas de Configurao Inicial permite que voc comece a adicionar funes e recursos ao seu servidor imediatamente. A janela Tarefas de Configurao Inicial ajuda o administrador a configurar um servidor e reduzir o tempo entre a instalao do sistema operacional e a implantao do servidor em uma empresa.
223
Ela permite que o administrador especifique, de maneira lgica, as configuraes do sistema operacional que foram previamente expostas na Instalao do Windows Server 2003, tais como a conta do Administrador, informaes sobre o domnio, e configuraes de rede. A janela Tarefas de Configurao Inicial tambm permite que voc participe dos seguintes programas que fornecem um feedback annimo Microsoft sobre o desempenho do software em sua empresa: Programa de Aperfeioamento da Experincia do Cliente com o Windows Server Relatrio de Erros do Windows
Configuraes Padro nas Tarefas de Configurao Inicial

Configurao
Senha do Administrador Nome do computador
Configurao Padro
O padro que a senha da conta do Administrador fique em branco. O nome do computador atribudo de modo randmico durante a instalao. Voc pode modificar o nome do computador usando comandos na janela Tarefas de Configurao Inicial. O computador no vinculado a um domnio por padro; vinculado a um grupo de trabalho chamado WORKGROUP. O Windows Update desligado por padro. Todas as conexes de rede so programadas para obter endereos de IP automaticamente usando o DHCP. O Firewall do Windows ligado por padro. Nenhuma funo instalada por padro.
Membros do domnio Windows Update Conexes de rede Firewall do Windows Funes instaladas
224
7.03 Server Manager

O Windows Server Longhorn facilita a tarefa de gerenciar e proteger mltiplas funes de servidor em uma empresa com o novo console Server Manager (Gerenciador de Servidor). O Server Manager no Windows Server Longhorn fornece uma nica fonte para gerenciar a identidade e as informaes do sistema de um servidor, exibir o estado do servidor, identificar problemas na configurao de funes do servidor, e gerenciar todas as funes instaladas no servidor. O Server Manager substitui vrios recursos includos no Windows Server 2003, inclusive o Gerenciar Seu Servidor, Configurar Seu Servidor, e Adicionar ou Remover Componentes do Windows. O Server Manager tambm elimina a necessidade de o administrador executar o Assistente de Configurao de Segurana antes de implantar os servidores; as funes do servidor so configuradas com configuraes de segurana recomendadas por padro, e esto prontas para implantar assim que instaladas e configuradas adequadamente. O Server Manager um MMC expandido que permite visualizar a gerenciar virtualmente todas as informaes e ferramentas que afetam a produtividade de seu servidor. Os comandos do Server Manager permitem que voc instale ou remova funes e recursos do servidor, e aumente funes j instaladas no servidor adicionando servios de funo. O Server Manager torna a administrao do servidor mais eficiente, por permitir que os administradores faam o seguinte com uma nica ferramenta: Visualizar e fazer alteraes nas funes e recursos instalados no servidor Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional do servidor, tais como iniciar ou parar servios e gerenciar contas de usurio local Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional das funes instaladas no servidor
225
Determinar o estado do servidor, identificar eventos crticos e analisar e resolver problemas ou falhas de configurao Instalar ou remover funes, servios de funo e recursos usando uma linha de comando do Windows
O Server Manager foi projetado para fornecer os melhores benefcios a qualquer um dos seguintes profissionais de TI: Um administrador, planejador ou analista de TI que est avaliando o Windows Server Longhorn Um planejador ou designer de TI corporativo Um early adopter do Windows Server Longhorn Um arquiteto de TI responsvel pelo gerenciamento e segurana dos computadores de uma organizao
Antes de usar o Server Manager, recomendvel que voc se familiarize com as funes, terminologia, requisitos e tarefas dirias de gerenciamento de qualquer funo que planeja instalar em seu servidor. Para informaes mais detalhadas sobre funes de servidor, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). O Server Manager instalado por padro como parte do processo de instalao do Windows Server Longhorn. Para usar o Server Manager, voc deve fazer logon no computador como membro do grupo de Administradores no computador local.
Funes
Embora a adio e remoo de funes e recursos de servidor no representem algo novo, o Server Manager unifica a funcionalidade de mltiplas ferramentas anteriores em uma nica interface de usurio, simples e baseada em MMC. Funes e recursos instalados com o Server Manager so ativados por padro, para maior segurana. Os administradores no precisam executar o Assistente de Configurao de Segurana aps a instalao ou remoo de funes, a menos que queiram alterar configuraes padro. O Server Manager fornece um nico ponto de acesso a snap-ins de gerenciamento para todas as funes instaladas. Adicionar uma funo automaticamente cria uma pgina inicial de console de gerenciamento no Server Manager para essa funo, que exibe eventos e estado de todos os servios que fazem parte da funo. Servios ou sub-componentes de uma funo so listados em uma seo desta pgina. Os administradores podem abrir assistentes para adicionar ou remover servios de funo usando comandos desta pgina inicial.
226
Uma funo de servidor descreve a funo primria do servidor. Os administradores podem optar por dedicar um computador inteiro a uma funo de servidor, ou instalar mltiplas funes de servidor em um nico computador. Cada funo pode incluir um ou mais servios de funo, melhor descritos como sub-elementos de uma funo. As seguintes funes de servidor esto disponveis no Windows Server Longhorn, e podem ser instaladas e gerenciadas com o Server Manager.
Funes de Servidor no Server Manager

Nome da Funo
Servios de Certificado do Active Directory
Descrio
Os Servios de Certificado do Active Directory fornecem servios personalizveis para criar e gerenciar certificados de chave pblica usados em sistemas de segurana de software, empregando tecnologias de chave pblica. As organizaes podem usar os Servios de Certificado do Active Directory para melhorar a segurana vinculando a identidade de uma pessoa, dispositivo ou servio a uma chave privada correspondente. Os Servios de Certificado do Active Directory tambm incluem recursos que permitem gerenciar o registro e a revogao do certificado em uma variedade de ambientes escalonveis. As aplicaes suportadas pelos Servios de Certificado do Active Directory incluem Secure/Multipurpose Internet Mail Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema de Arquivos Encriptados (EFS), logon de cartes inteligentes, SSL/TLS e assinaturas digitais. Os Servios de Domnio do Active Directory armazenam informaes sobre usurios, computadores e outros dispositivos na rede. Os Servios de Domnio do Active Directory ajudam os administradores a gerenciar com mais segurana essas informaes e facilitam o compartilhamento de recursos e a colaborao entre usurios. Os Servios de Domnio do Active Directory tambm precisam ser instalados na rede para instalar aplicaes ativadas para diretrio, tais como o Microsoft Exchange Server e para aplicar outras tecnologias do Windows Server como a Diretiva de Grupo. Os Servios de Federao do Active Directory fornecem tecnologias de logon nico da Web para autenticar um usurio para mltiplas aplicaes da Web usando uma nica conta de usurio. Os Servios de Federao do Active Directory realizam isso federando ou compartilhando, de modo seguro, identidades de usurio e direitos de acesso, nos pedidos digitais ou formulrios, entre organizaes parceiras. As organizaes que tm aplicaes que requerem um diretrio para armazenar dados de aplicaes podem usar os Servios de Domnio do Active Directory Lightweight como armazenamento de dados. Os Servios de Domnio do Active Directory Lightweight funcionam como um servio de sistema no operacional e, como tal, no requer implantao em um controlador de domnio. O funcionamento como servio de sistema no operacional permite que mltiplas instncias dos Servios de Domnio do Active Directory Lightweight sejam executadas simultaneamente em um nico servidor, e que cada instncia possa ser configurada independentemente para prestar servios a mltiplas aplicaes. Os Servios de Gerenciamento de Direitos do Active Directory so uma tecnologia de proteo de informaes que trabalha com aplicaes ativadas para esses servios, para ajudar a proteger informaes digitais contra o uso no autorizado. Os proprietrios do contedo podem definir exatamente como um recipiente pode usar as informaes, como quem pode abrir, modificar, imprimir, encaminhar ou usar outros procedimentos com as informaes. As organizaes podem criar modelos de direitos de uso personalizados como Confidencial Somente Leitura, que podem ser aplicados diretamente a informaes como relatrios financeiros, especificaes do produto, dados
Servios de Domnio do Active Directory
Servios de Federao do Active Directory
Servios de Domnio do Active Directory Lightweight
Servios de Gerenciamento de Direitos do Active Directory
227
de clientes e mensagens de e-mail. Application Server O Application Server (Servidor de Aplicaes) fornece uma soluo completa para hospedar e gerenciar aplicaes de negcios de alto desempenho distribudas. Servios integrados, tais como .NET Framework, Suporte a Servidor da Web, Enfileiramento de Mensagens, COM+, Windows Communication Foundation e suporte a Clustering Failover impulsionam a produtividade durante todo o ciclo de vida da aplicao, desde o projeto e o desenvolvimento at a implantao e as operaes. O DHCP permite que os servidores atribuam ou aluguem endereos de IP a computadores e outros dispositivos ativados como clientes de DHCP. A implantao de servidores de DHCP na rede fornece automaticamente, aos computadores e outros dispositivos de rede baseados em TCP/IP, endereos de IP vlidos e os parmetros de configurao adicionais de que esses dispositivos precisam, chamados opes de DHCP, que lhes permitem conectarse a outros recursos de rede, tais como servidores DNS, servidores WINS e roteadores. O DNS fornece um mtodo padro para associar nomes a endereos de Internet numricos. Isso possibilita aos usurios o acesso a computadores da rede atravs de nomes fceis de lembrar, em vez de uma longa srie de nmeros. Os Servios de DNS podem ser integrados a servios de DHCP no Windows, eliminando a necessidade de adicionar registros de DNS quando os computadores so adicionados rede. O Servidor de Fax envia e recebe fax, e permite gerenciar recursos de fax como tarefas, configuraes, relatrios e dispositivos de fax nesse computador ou na rede. Os Servios de Arquivo fornecem tecnologias para gerenciamento de armazenamentos, replicao de arquivos, gerenciamento de espaos de nomes distribudos, busca rpida de arquivos e acesso dinamizado de cliente aos arquivos. Os Servios de Acesso e Diretiva de Rede oferecem uma variedade de mtodos para fornecer aos usurios conectividade rede remota e local, para conectar-se a segmentos da rede, e para permitir que os administradores da rede gerenciem centralmente o acesso rede e as diretivas de integridade do cliente. Com os Servios de Acesso Rede, voc pode implantar servidores de VPN, servidores de conexo discada, roteadores e acesso sem fio protegido 802.11. Voc tambm pode implantar servidores e proxies RADIUS, e usar o Kit de Administrao de Gerenciador de Conexo para criar perfis de acesso remoto que permitem aos computadores cliente conectar-se sua rede. Os Servios de Impresso ativam o gerenciamento de servidores de impresso e impressoras. Um servidor de impresso reduz a carga de trabalho administrativa e de gerenciamento atravs da centralizao de tarefas de gerenciamento de impressoras. Os Servios de Terminal fornecem tecnologias que permitem aos usurios acessar programas baseados em Windows que esto instalados em um servidor de terminal, ou acessar a prpria rea de trabalho do Windows a partir de quase todos os dispositivos de computao. Os usurios podem conectar-se a um servidor de terminal para executar programas e para usar recursos de rede nesse servidor. O Servio UDDI fornece capacidades de UDDI para compartilhar informaes sobre servios da Web dentro do intranet de uma organizao, entre parceiros de negcios em um extranet ou na Internet. O Servio UDDI pode ajudar a melhorar a produtividade de desenvolvedores e profissionais de TI com aplicaes mais confiveis e gerenciveis. Com o Servio UDDI voc pode evitar a duplicao de esforos promovendo a reutilizao do trabalho de desenvolvimento existente. O Servidor Web (IIS) ativa o compartilhamento de informaes na Internet, em um intranet ou um extranet. uma plataforma da Web unificada que integra IIS 7.0, ASP.NET, Windows Communication Foundation e Windows SharePoint Services. O IIS 7.0 tambm oferece maior segurana, diagnsticos simplificados
Servidor de Protocolo de Configurao Dinmica de Host (DHCP)
Servidor DNS
Servidor de Fax Servios de Arquivo
Servios de Acesso e Diretiva de Rede
Servios de Impresso
Servios de Terminal
Servio Universal de Descrio, Descoberta e Integrao (UDDI)
Servidor Web (IIS)
228
e administrao delegada. Servios de Implantao do Windows Voc pode usar os Servios de Implantao do Windows para instalar e configurar os sistemas operacionais do Microsoft Windows remotamente em computadores com ROMs de inicializao do Ambiente de Pre-boot Execution (PXE). O overhead de administrao reduzido atravs da implementao do snap-in WdsMgmt MMC, que gerencia todos os aspectos dos Servios de Implantao do Windows. Os Servios de Implantao do Windows tambm fornecem aos usurios finais uma experincia consistente com a Instalao do Windows. A funo Windows SharePoint Services ajuda as organizaes a aumentar a produtividade criando sites em que os usurios podem colaborar com documentos, tarefas e eventos, e compartilhar facilmente contatos e outras informaes. O ambiente foi projetado para implantao, desenvolvimento de aplicaes e administrao flexveis.
Windows SharePoint Services
O seguinte grfico mostra a pgina inicial da funo Servios de Arquivo no Server Manager.
Recursos
Recursos, de modo geral, no descrevem a funo primria de um servidor. Eles fornecem funes auxiliares ou de suporte aos servidores. Normalmente, os administradores adicionam recursos no como a funo primria de um servidor, mas para aumentar a funcionalidade das funes instaladas. Por exemplo, o Clustering Failover um recurso que os administradores podem instalar aps a instalao de certas funes de servidor, como os Servios de Arquivo, para adicionar
229
redundncia aos Servios de Arquivo e diminuir o tempo de recuperao de possveis desastres. Os seguintes recursos esto disponveis no Windows Server Longhorn, e podem ser instalados usando comandos do Server Manager.
Recursos no Server Manager

Nome do Recurso
Recursos do Microsoft .NET Framework 3.0
Descrio
O Microsoft .NET Framework 3.0 combina a potncia das APIs do .NET Framework 2.0 com novas tecnologias para construir aplicaes que oferecem interfaces de usurio atraentes, ajudam a proteger as informaes de identidade pessoal de seus clientes, ativam a comunicao contnua e mais segura, e fornecem a habilidade de modelar uma srie de processos de negcios. A Criptografia da Unidade BitLocker ajuda a proteger dados em computadores perdidos, roubados ou encerrados inadequadamente, criptografando todo o volume e verificando a integridade de componentes de inicializao antecipada. Os dados so decriptografados apenas se esses componentes forem verificados com sucesso e a unidade criptografada estiver localizada no computador original. A verificao de integridade requer um mdulo de TPM (trusted platform module) compatvel. As Extenses do Servidor de Servio de Transferncia Inteligente de Segundo Plano (BITS) permitem que um servidor receba arquivos carregados por clientes usando o BITS. O BITS permite aos computadores cliente transferir arquivos em primeiro ou segundo plano de modo assncrono, preservar a capacidade de reao de outras aplicaes da rede, e retomar transferncias de arquivo aps falhas da rede e reinicializaes do computador. O CMAK gera perfis do Gerenciador de Conexo.
Criptografia da Unidade BitLocker
Extenses do Servidor BITS
Kit de Administrao do Gerenciador de Conexo (CMAK) Experincia Desktop
A Experincia Desktop inclui recursos do Windows Vista, como o Windows Media Player, temas de rea de trabalho e gerenciamento de fotos. A Experincia Desktop no ativa nenhum dos recursos do Windows Vista por padro; voc precisa ativlos manualmente. O Cliente de Impresso da Internet permite usar HTTP para conectar-se a e usar impressoras que esto em servidores de impresso da Web. A impresso da Internet ativa conexes entre usurios e impressoras que no esto no mesmo domnio ou rede. Um exemplo de uso de um funcionrio que est viajando, e agora est em um escritrio em local remoto, ou em uma lanchonete equipada com acesso Wi-Fi. O iSNS fornece servios de descoberta para redes da rea de armazenamento da Interface de Sistemas Computacionais Pequenos na Internet (iSCSI). O iSNS processa pedidos de registro, de anulao e consultas a partir de clientes de iSNS. O Monitor de Porta LPR permite que os usurios que tm acesso a computadores baseados em UNIX imprimam em dispositivos anexados a eles. O Enfileiramento de Mensagens fornece entrega garantida de mensagens, roteamento eficiente, segurana e troca de mensagens entre as aplicaes baseada em prioridades. O Enfileiramento de Mensagens tambm acomoda a troca de mensagens entre aplicaes que executam sistemas operacionais diferentes, que usam infraestruturas de rede no similares, que esto temporariamente
Cliente de Impresso da Internet
Servidor de Nome de Armazenamento na Internet (iSNS) Monitor de Porta LPR (LPR) Enfileiramento de Mensagens
230
off-line, ou que esto executando em tempos diferentes. Multipath I/O (MPIO) O MPIO, junto com o Mdulo Especfico de Dispositivo da Microsoft (DSM) ou um DSM de terceiros, fornece suporte para usar mltiplos caminhos de dados para um dispositivo de armazenamento no Microsoft Windows. O PNRP permite que as aplicaes registrem e resolvam nomes a partir de seu computador, para que outros computadores possam comunicar-se com essas aplicaes. O qWave uma plataforma de rede para aplicaes de fluxo contnuo de udio e vdeo (AV) em redes domsticas de protocolo da Internet. O qWave melhora o desempenho e a confiabilidade do fluxo contnuo de AV por garantir a qualidade do servio de rede para aplicaes de AV. Ele fornece controle de admisso, monitoramento e cumprimento de tempo de execuo, feedback de aplicaes e priorizao de trfego. Em plataformas do Windows Server, o qWave fornece apenas servios de taxa de fluxo e priorizao. O Disco de Recuperao um utilitrio para criao de um disco de instalao do sistema operacional Windows. Usando o Disco de Recuperao, voc pode recuperar dados em seu computador se no tiver um disco do produto Windows, ou no puder acessar ferramentas de recuperao fornecidas pelo fabricante de seu computador. A Assistncia Remota permite que voc (ou uma pessoa do suporte) oferea assistncia aos usurios com problemas ou dvidas nos computadores. A Assistncia Remota permite que voc visualize e compartilhe o controle da rea de trabalho do usurio para resolver os problemas. Os usurios tambm podem pedir ajuda de amigos e colegas de trabalho. As Ferramentas de Administrao do Servidor Remoto ativam o gerenciamento remoto do Windows Server 2003 e do Windows Server Longhorn a partir de um computador que est executando o Windows Server Longhorn, permitindo que voc execute algumas das ferramentas de gerenciamento para funes, servios de funo e recursos em um computador remoto. O RSM gerencia e cataloga a mdia removvel e opera dispositivos automticos de mdia removvel.
Protocolo de Resoluo de Nome Similar (PNRP) Experincia de udio e Vdeo de Qualidade do Windows (qWave)
Disco de Recuperao
Assistncia Remota
Ferramentas de Administrao do Servidor Remoto
Gerenciador de Armazenamento Removvel (RSM) Proxy RPC sobre HTTP
O RPC Over HTTP Proxy um proxy usado por objetos que recebem chamadas de procedimento remoto por HTTP. Esse Proxy permite que os clientes descubram esses objetos mesmo que estes forem movidos entre servidores ou se existirem em reas discretas da rede, geralmente por razes de segurana. Os Servios para NFS so um protocolo que atua como um sistema de arquivos distribudos, permitindo que um computador acesse arquivos por uma rede facilmente, como se eles estivessem nos discos locais. Esse recurso est disponvel para instalao apenas em verses de 64 bits do Windows Server Longhorn; em outras verses, os Servios para NFS esto disponveis como um servio de funo da funo Servios de Arquivo. O Servidor SMTP suporta a transferncia de mensagens de e-mail entre sistemas de e-mail. As SANs ajudam a criar e gerenciar nmeros de unidade lgica em subsistemas de unidade de disco iSCSI e Fibre Channel que suportam o Servio de Disco Virtual (VDS) em sua SAN.
Network Filesystem Services (NFS)
Servidor SMTP Gerenciador de Armazenamento para Redes da rea de Armazenamento (SANs) Servios de TCP/IP Simples
Os Servios de TCP/IP Simples suportam os seguintes servios de TCP/IP: Character Generator (Gerador de Caracteres), Daytime (Dia), Discard (Descartar), Echo (Eco) e Quote of the Day (Citao do Dia). Os Servios de TCP/IP Simples so fornecidos para retro-compatibilidade e no devem ser instalados a menos que seja solicitado.
231
Simple Network Management Protocol (SNMP)
O SNMP o protocolo padro da Internet para troca de informaes de gerenciamento entre aplicaes de console de gerenciamento tais como HP Openview, Novell NMS, IBM NetView ou Sun Net Manager e entidades gerenciadas. Entidades gerenciadas podem incluir hosts (anfitries), roteadores, bridges (pontes) e hubs. O Subsistema para Aplicaes baseadas em UNIX (SUA), junto com um pacote de utilitrios de suporte disponveis para download no site da Microsoft, permite que voc execute programas baseados em UNIX, e compile e execute aplicaes baseadas em UNIX personalizadas no ambiente do Windows. O Cliente Telnet usa o protocolo Telnet para conectar-se a um servidor telnet remoto e executar aplicaes nesse servidor. O Servidor Telnet permite que usurios remotos, incluindo os que executam sistemas operacionais baseados em UNIX, realizem tarefas de administrao de linha de comando e executem programas usando um cliente telnet. O Cliente de TFTP usado para ler arquivos de, ou escrever arquivos para, um servidor de TFTP remoto. o TFTP usado principalmente por dispositivos ou sistemas embutidos que recuperam firmware, informaes de configurao, ou uma imagem de sistema durante o processo de inicializao a partir de um servidor de TFTP. O Clustering Failover permite que mltiplos servidores trabalhem juntos para fornecer alta disponibilidade de servios e aplicaes. O Clustering Failover usado com freqncia para servios de arquivo e impresso, bancos de dados e aplicaes de e-mail. O NLB distribui o trfego para vrios servidores, usando o protocolo de rede TCP/IP. O NLB particularmente til para garantir que aplicaes sem estado, como um servidor Web executando IIS, sejam escalonveis atravs da adio de outros servidores conforme o aumento da carga. O Backup do Windows Server permite que voc faa backup e recupere seu sistema operacional, aplicaes e dados. Voc pode agendar backups para serem executados uma vez por dia ou com mais freqncia, e pode proteger todo o servidor ou volumes especficos. O WSRM uma ferramenta administrativa do sistema operacional Windows Server que pode controlar como os recursos da CPU e da memria so atribudos. O gerenciamento da atribuio de recursos melhora o desempenho do sistema e reduz o risco de as aplicaes, servios ou processos interferirem uns nos outros, o que reduziria a eficincia do servidor e a reao do sistema. O WINS fornece um banco de dados distribudo para registrar e consultar mapeamentos dinmicos de nomes de NetBIOS para computadores e grupos usados em sua rede. O WINS mapeia os nomes de NetBIOS para endereos de IP e resolve os problemas que surgem da resoluo de nomes de NetBIOS em ambientes roteados. O Servio de WLAN configura e inicia o servio de AutoConfigurao de WLAN, no importando se o computador tem ou no adaptadores sem fio. A Auto-Configurao de WLAN enumera adaptadores sem fio, e gerencia tanto as conexes como os perfis sem fio que contm as configuraes necessrias para configurar um cliente sem fio para conectar-se a uma rede sem fio. O Banco de Dados Interno do Windows um armazenamento de dados relacional que pode ser usado apenas pelas funes e recursos do Windows, como os Servios de UDDI, os Servios de Gerenciamento de Direitos do Active Directory, o Windows Sharepoint Services, o Windows Server Update Services e o Gerenciador de Recursos de Servios de Terminal do Windows. Windows PowerShell um shell de linha de comando e linguagem de script que ajuda os profissionais de TI a alcanar maior produtividade. Ele fornece uma nova linguagem de script voltada
Subsistema para Aplicaes baseadas em UNIX Cliente Telnet Servidor Telnet
Cliente de Protocolo de Transferncia de Arquivos Simples (TFTP) Clustering Failover
Balanceamento de Carga de Rede (NLB)
Backup do Windows Server
Gerenciador de Recursos de Servios de Terminal do Windows (WSRM) Windows Internet Name Services (WINS)
Servio de LAN Sem Fio (WLAN)
Banco de Dados Interno do Windows
Windows PowerShell
232
ao administrador e mais de 130 ferramentas de linha de comando padro para possibilitar uma administrao de sistema mais fcil e uma automatizao acelerada. Servio de Ativao de Processo do Windows (WPAS) O WPAS generaliza o modelo de processo de IIS, removendo a dependncia ao HTTP. Todos os recursos de IIS previamente disponveis apenas para aplicaes de HTTP esto agora disponveis para aplicaes que hospedam servios de WCF, usando protocolos que no so de HTTP. O IIS 7.0 tambm usa WPAS para ativao baseada em mensagens por HTTP.
O seguinte grfico mostra a pgina inicial da funo Recursos no Server Manager.
Console do Server Manager

O Console do Server Manager um novo snap in de MMC que fornece uma viso consolidada do servidor, incluindo informaes sobre configurao do servidor, estado das funes instaladas e comandos para adicionar e remover funes e recursos. O painel hierrquico do console do Server Manager contm ns expansveis que os administradores podem usar para ir diretamente aos consoles para gerenciar funes especficas, ferramentas de resoluo de problemas, ou opes de backup e recuperao de desastres. O console do Server Manager bastante parecido primeira pgina de um jornal sobre seu servidor. Ele fornece um nico local para que os administradores tenham uma viso geral concisa de um servidor, alterem as propriedades de sistema do servidor, e instalem ou removam funes ou recursos.
233
O seguinte grfico mostra a pgina inicial do Server Manager com mltiplas funes e recursos instalados.
A janela principal do console do Server Manager contm estas quatro sees flexveis: Sumrio do Servidor A seo Sumrio do Servidor inclui duas subsees: Informaes do Sistema e Sumrio de Segurana. A subseo Informaes do Sistema exibe o nome do computador, o domnio, o nome de conta do administrador local, conexes de rede e o ID de produto do sistema operacional. Os comandos dessa subseo permitem que voc edite essas informaes. A subseo Sumrio de Segurana mostra se o Windows Update e o Firewall do Windows esto ativados. Os comandos dessa subseo permitem que voc edite essas configuraes ou visualize opes avanadas. Sumrio de Funes A seo Sumrio de Funes contm uma tabela indicando quais funes esto instaladas no servidor. Os comandos desta seo permitem que voc adicione ou remova funes, ou v a um console mais detalhado no qual poder gerenciar uma funo especfica. Sumrio de Recursos
234
A seo Sumrio de Recursos contm uma tabela indicando quais recursos esto instalados no servidor. Os comandos dessa seo permitem que voc adicione ou remova recursos. Recursos e Suporte A seo Recursos e Suporte mostra se esse servidor est participando dos programas de feedback Windows Server CEIP e Relatrio de Erros do Windows. A seo Recursos e suporte tambm foi projetada para ser um ponto de partida para entrar em grupos de notcias tpicos, ou para localizar mais ajuda e pesquisar tpicos disponveis on-line no TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Os comandos dessa seo permitem que voc modifique a participao do servidor em programas de feedback, e encontre mais ajuda e suporte.
Assistentes do Server Manager

Os Assistentes do Server Manager dinamizam a tarefa de implantar servidores em sua empresa, pois reduzem o tempo que levava em verses anteriores do Windows Server para instalar, configurar ou remover funes, servios de funo e recursos. Mltiplas funes, servios de funo ou recursos podem ser instalados ou removidos em uma nica sesso com os assistentes do Server Manager. E o mais importante, o Windows Server Longhorn realiza verificaes de dependncia conforme voc avana nos assistentes do Server Manager, garantindo que estejam instaladas todas as funes e servios de funo necessrios para uma funo que voc seleciona, e que no seja removido nenhum que ainda possa ser requisitado por funes ou servios de funo remanescentes. As verses anteriores do Windows Server solicitavam que voc usasse as opes Configurar Seu Servidor, Gerenciar Seu Servidor ou Adicionar ou Remover Componentes do Windows para adicionar ou remover funes de servidor ou outros softwares. As verificaes de dependncia eram limitadas, e a opo Adicionar ou Remover Componentes do Windows limitava os administradores instalao de apenas uma funo por vez. Antes de poder adicionar mais funes, a instalao de cada uma tinha que ser completada. A coleo de assistentes do Server Manager permite adicionar, remover ou aumentar mltiplas funes em uma nica sesso. possvel ter seu servidor completamente pronto para implantao aps a realizao de uma nica sesso em um dos assistentes do Server Manager. As configuraes de funes so feitas com configuraes de segurana recomendadas por padro; no h requisitos para executar o Assistente de Configurao de Segurana aps a instalao de funes ou recursos, a menos que seja necessrio modificar padres de segurana.
235
Assistente para Adicionar Funes

O Assistente para Adicionar Funes, que pode ser usado para adicionar uma ou mais funes ao servidor, verifica automaticamente se h dependncias entre funes e se todas as funes e servios de funo necessrios esto instalados para cada funo selecionada. Para algumas funes, tais como Servios de Terminal e Servios de Certificado do Active Directory, o Assistente para Adicionar Funes tambm fornece pginas de configurao que permitem ao usurio especificar de que modo a funo deve ser configurada como parte do processo de instalao.
Assistente para Adicionar Servios de Funo

A maioria das funes, como Servios de Arquivo, Servios de Terminal e Servios de Certificado do Active Directory, composta de mltiplos sub-elementos, identificados como servios de funo na interface do Server Manager. Depois que uma dessas funes complexas instalada, voc pode adicionar servios de funo a ela durante o Assistente para Adicionar Funes inicial, ou usando o Assistente para Adicionar
236
Servios de Funo. O comando que abre o Assistente para Adicionar Servios de Funo encontrado na pgina inicial de cada funo no console do Server Manager. Um novo aviso inteligente permite que voc adicione automaticamente os servios de funo necessrios se a funo que voc est instalando requer servios e recursos para ser instalada.
Assistente para Adicionar Recursos

O Assistente para Adicionar Recursos permite que voc instale um ou mais recursos ao computador em uma nica sesso. Recursos so programas de software que suportam ou aumentam a funcionalida de de uma ou mais funes, ou melhoram a funcionalida de do prprio servidor, sejam quais forem as funes instaladas. Os comandos que abrem o Assistente para Adicionar Recursos esto na rea Personalizar esse servidor, na janela Tarefas de Configurao Inicial, e tambm na seo Sumrio de Recursos da janela do console do Server Manager.
Assistente para Remover Funes

O Assistente para Remover Funes, que pode ser usado para remover uma ou mais funes do servidor, verifica automaticamente se h dependncias entre funes e se as funes e servios de funo necessrios continuam instalados para as funes que voc no quer remover. O processo do Assistente para Remover Funes evita a remoo acidental de funes ou servios de funo necessrios para funes remanescentes no servidor.
Assistente para Remover Servios de Funo

Voc pode remover servios de funo de uma funo instalada usando o Assistente para Remover Servios de Funo. O comando que abre o Assistente para Remover Servios de Funo encontrado na pgina inicial de cada funo no console do Server Manager.
Assistente para Remover Recursos

237
O Assistente para Remover Recursos permite que voc remova um ou mais recursos do computador em uma nica sesso. Recursos so programas de software que suportam ou aumentam a funcionalidade de uma ou mais funes, ou melhoram a funcionalidade do prprio servidor, sejam quais forem as funes instaladas. Os comandos que abrem o Assistente para Remover Recursos esto na rea Personalizar esse servidor, na janela Tarefas de Configurao Inicial, e tambm na seo Sumrio de Recursos da janela do Console do Server Manager.
Linha de Comando do Server Manager

O Server Manager oferece uma ferramenta de linha de comando ServerManagerCmd.exe que automatiza a implantao de funes e recursos em computadores com Windows Server Longhorn. Voc pode usar o ServerManagerCmd.exe para instalar e remover funes, servios de funo e recursos. Os parmetros do ServerManagerCmd.exe tambm exibem uma lista de todas as funes, servios de funo e recursos instalados e disponveis para instalao no computador. A linha de comando do Server Manager possibilita instalao ou remoo autnoma de funes, servios de funo e recursos. Voc pode usar a linha de comando do Server Manager para instalar ou remover uma nica funo, servio de funo ou recurso em uma instncia de comando, ou pode usar um arquivo de resposta XML com o comando do Server Manager para adicionar ou remover mltiplas funes, servios de funo e recursos em uma nica instncia de comando. As opes do ServerManagerCmd.exe permitem que os usurios visualizem registros de suas operaes, e executem consultas para exibir listas de funes, servios de funo e recursos instalados e disponveis para instalao no computador. Para informaes detalhadas sobre como usar a linha de comando do Server Manager, veja a Ajuda do Server Manager. Importante Devido a restries de segurana impostas pelo Controle de Contas de Usurio no Windows Server Longhorn, voc deve executar o ServerManagerCmd.exe em uma janela de Aviso de Comando aberta com privilgios elevados. Para isso, clique com o boto direito no executvel do Aviso de Comando, ou no objeto do Aviso de Comando no menu Iniciar, e depois clique em Executar como administrador. Antes da implementao da linha de comando do Server Manager, as nicas ferramentas de linha de comando disponveis para instalar pacotes de software do Windows em um computador eram ocsetup e pkgmgr. A sintaxe da linha de comando para essas ferramentas complexa, e os nomes de funes, servios de funo e recursos disponveis para instalao ou remoo com o uso dessas duas
238
ferramentas no eram intuitivos. O ServerManagerCmd.exe simplifica a instalao e remoo por linha de comando de funes, servios de funo e recursos.
Configuraes de Registro
As seguintes configuraes de registro se aplicam ao Server Manager e s Tarefas de Configurao Inicial em todas as variaes disponveis do Windows Server Longhorn. As configuraes de registro da seguinte tabela controlam o comportamento padro de abertura do Server Manager e das janelas de Tarefas de Configurao Inicial.
Configuraes de Registro
Nome da Configurao
No abrir o Server Manager no logon
Localizao
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server Manager
Valor Padro
0
Valores Possveis
0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela 0 para desativar e abrir a janela normalmente; 1 para ativar e impedir a abertura da janela.
No abrir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial 0 Tarefas de Configuration Tasks Configurao Inicial no logon
Como Inicio o Server Manager?

O Server Manager abre por padro quando a janela Tarefas de Configurao Inicial fechada. Aps completar as tarefas de configurao inicial, o Server Manager abre por padro quando um administrador faz logon em um computador que est executando o Windows Server Longhorn. Se voc fechar o Server Manager e quiser abri-lo novamente, pode fazer isso usando o comando do Server Manager em qualquer um dos seguintes locais: No menu Start, sob Administrative Tools. No menu Start(se voc fez logon no computador como membro do grupo de Administradores). No menu Start, clique com o boto direito em Computer, e depois clique em Manage. Na barra de ferramentas Quick Launch, adjacente ao boto Start.
239
Em Control Panel, clique em Programs, em Programs and Features, e depois em Turn Windows features on or off.
O Server Manager instalado por padro como parte do Windows Server Longhorn. Para usar o Server Manager, voc deve fazer logon no computador como membro do grupo de Administradores. Nota Se voc fizer logon no computador usando uma conta de Administrador diferente da padro, uma caixa de dilogo pode abrir para alert-lo sobre sua permisso para executar o Server Manager. Clique em Permitir o incio do Server Manager.
Recursos Adicionais
Para mais informaes sobre o Server Manager, veja o TechCenter do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Voc tambm pode aprender a realizar operaes especficas no Server Manager com a Ajuda do Server Manager, disponvel ao apertar F1 em uma janela aberta do Console do Server Manager.
240
7.04 Windows PowerShell

O Windows PowerShell um novo Shell de linha de comando do Windows projetado especialmente para administradores de sistemas. O shell inclui um aviso interativo e um ambiente de script que podem ser usados independentemente ou em combinao. Diferente da maioria dos shells, que aceitam e retornam texto, o Windows PowerShell foi construdo sobre o .NET common language runtime (CLR) e o .NET Framework, e aceita e retorna objetos .NET. Essa alterao fundamental no ambiente traz ferramentas e mtodos inteiramente novos para o gerenciamento e a configurao do Windows. O Windows PowerShell introduz o conceito de um cmdlet (pronunciase command-let), uma ferramenta de linha de comando simples e de funo nica construda dentro do shell. Voc pode usar cada cmdlet separadamente, mas seu poder notado quando voc usa essas ferramentas simples em combinao para desempenhar tarefas complexas. O Windows PowerShell inclui mais de cem cmdlets bsicos, e voc pode escrever seus prprios cmdlets e compartilh-los com outros usurios. Como muitos shells, o Windows PowerShell d a voc acesso ao sistema de arquivos do computador. Alm disso, os provedores do Windows PowerShell permitem acessar outros armazenamentos de dados, como o registro e os armazenamentos de certificados de assinatura digital, e to fcil como acessar o sistema de arquivos. A maioria dos shells, incluindo Cmd.exe e os shells do Unix SH, KSH, CSH e BASH, operam executando um comando ou utilitrio em um novo processo, e apresentando os resultados ao usurio em forma de texto. Com o passar dos anos, muitos utilitrios de processamento de texto, tais como sed, AWK e PERL, evoluram para suportar essa interao. Esses shells tambm tm comandos construdos dentro do shell e executados no processo do shell, como o comando typeset no KSH e o comando dir no Cmd.exe. Na maioria dos shells, como h poucos comandos embutidos, muitos utilitrios foram criados. O Windows PowerShell muito diferente. O Windows PowerShell no processa texto. Em vez disso, processa objetos baseados na plataforma .NET. O Windows PowerShell vem com um grande conjunto de comandos embutidos com uma interface consistente. Todos os comandos de Shell usam o mesmo analisador de comandos, em vez de analisadores diferentes para cada ferramenta. Assim muito mais fcil aprender a usar cada comando.
241
E o melhor, voc no precisa abandonar as ferramentas que se acostumou a usar. Ainda pode usar as ferramentas tradicionais do Windows, como Net, SC e Reg.exe no Windows PowerShell.
Cmdlets do Windows PowerShell

Um cmdlet (pronunciado command-let) um comando de recurso nico que manipula objetos no Windows PowerShell. Voc pode reconhecer os cmdlets pelo formato de seus nomes um verbo e um substantivo separados por um trao (-), como Get-Help (BuscarAjuda), Get-Process (Buscar-Processo) e Start-Service (IniciarServio). Em shells tradicionais, os comandos so programas executveis que variam do muito simples (como o attrib.exe) ao muito complexo (como o netsh.exe). No Windows PowerShell, a maioria dos cmdlets muito simples, e eles so projetados para uso em combinao com outros cmdlets. Por exemplo, os cmdlets get apenas recuperam dados, os cmdlets set apenas estabelecem ou alteram dados, os cmdlets format apenas formatam dados, e os cmdlets out apenas direcionam os dados de sada para um destino especificado. Cada cmdlet tem um arquivo de ajuda que voc pode acessar digitando: get-help <cmdlet-name> -detailed
A viso detalhada do arquivo de ajuda do cmdlet inclui uma descrio do cmdlet, a sintaxe do comando, descries dos parmetros, e exemplos que demonstram o uso do cmdlet.
Uma Nova Linguagem de Script

O Windows PowerShell necessitava de uma linguagem para gerenciar os objetos .NET. A linguagem precisava fornecer um ambiente consistente para usar cmdlets. Precisava suportar tarefas complexas, sem tornar as tarefas simples mais complexas. Precisava tambm ser consistente com linguagens de nvel mais alto usadas na programao .NET, como C#.
Comandos e Utilitrios do Windows

Voc pode executar programas de linha de comando do Windows no Windows PowerShell, e pode iniciar os programas do Windows que tm uma interface grfica de usurio, como o Bloco de Notas e a Calculadora, dentro do shell. Voc tambm pode capturar o texto que os programas geram e us-lo no shell, praticamente do mesmo modo que faria no Cmd.exe.
242

No Windows Server Longhorn, os administradores agora podem optar por instalar um ambiente mnimo que evita carga extra. Embora essa opo limite as funes que podem ser desempenhadas pelo servidor, ela pode melhorar a segurana e reduzir o gerenciamento. Esse tipo de instalao chamado de instalao do Ncleo do Servidor. Uma instalao do Ncleo do Servidor uma opo de instalao de servidor mnima, para nextref longhorn. As instalaes no Ncleo do Servidor fornecem um ambiente para executar as seguintes funes de servidor: Servidor DHCP Servios de Arquivo Servidor de Impresso Servidor DNS Servios de Domnio do Active Directory Servios de Domnio do Active Directory Lightweight (AD LDS)
Escolhendo usar a opo de instalao no Ncleo do Servidor em um servidor, voc pode reduzir seu trabalho administrativo e ajudar a limitar os riscos segurana. Uma instalao no Ncleo do Servidor fornece esses benefcios de trs maneiras: Reduzindo a manuteno de software necessria Reduzindo o gerenciamento necessrio Reduzindo a superfcie de ataque
Para isso, a opo de instalao no Ncleo do Servidor instala apenas o subconjunto dos arquivos binrios que so necessrios para as funes de servidor suportadas. Por exemplo, a interface de usurio (ou shell) do Windows Explorer no instalada como parte de uma instalao no Ncleo do Servidor . Em vez disso, a interface de usurio padro para um servidor Server Core o aviso de comando. Uma instalao no Ncleo do Servidor do Windows Server Longhorn suporta os seguintes recursos opcionais: Cluster Failover da Microsoft Balanceamento de Carga de Rede Subsistema para aplicaes baseadas em UNIX Backup Multipath IO
243
Gerenciamento de Armazenamento Removvel Criptografia da Unidade BitLocker Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet
A opo de instalao no Ncleo do Servidor foi projetada para uso em organizaes que tm muitos servidores, onde alguns apenas precisam desempenhar tarefas dedicadas, ou em ambientes em que os requisitos de alta segurana exigem uma superfcie de ataque mnima no servidor. Como nenhuma interface grfica de usurio est disponvel para muitas operaes do Windows, a opo de instalao no Ncleo do Servidor requer administradores experientes no uso de avisos de comando ou tcnicas de script para administrao local do servidor. Alternativamente, voc pode gerenciar a instalao no Ncleo do Servidor com os snap-ins do Console de Gerenciamento da Microsoft (MMC) a partir de outro computador que esteja executando o Windows Server Longhorn, selecionando o computador Server Core como computador remoto para gerenciar. Voc deve analisar esse tpico e a documentao adicional sobre a opo de instalao no Ncleo do Servidor se estiver em algum dos seguintes grupos: Planejadores e analistas de TI que esto avaliando tecnicamente o produto Planejadores e designers de TI corporativos para organizaes Os responsveis pela segurana do TI Profissionais de TI que esto gerenciando as seguintes funes de servidor: Servidor DHCP, Servios de Arquivo, Servidor de Impresso, Servidor DNS, Servios de Domnio do Active Directory Lightweight (AD LDS), ou Servios de Domnio do Active Directory
A opo de instalao no Ncleo do Servidor no adiciona nova funcionalidade s funes de servidor que suporta. Cada funo de servidor, no entanto, pode ter alteraes no Windows Server Longhorn. As instalaes no Ncleo do Servidor oferecem os seguintes benefcios: Manuteno reduzida. Como uma instalao no Ncleo Servidor instala apenas o que necessrio para as especificadas (Servidor DHCP, Servios de Arquivo, de Impresso, Servidor DNS, AD LDS, ou Servios de do funes Servidor Domnio
244
do Active Directory), so requisitados menos servios que em uma instalao completa do Windows Server Longhorn. Superfcie de ataque reduzida. Como as instalaes no Ncleo do Servidor so mnimas, h menos aplicaes sendo executadas no servidor, o que diminui a superfcie de ataque. Gerenciamento reduzido. Como menos aplicaes e servios esto instalados em um servidor com instalao no Ncleo do Servidor, h menos para gerenciar. Menos espao em disco necessrio. Uma instalao no Ncleo do Servidor requer apenas cerca de 1 gigabyte (GB) de espao em disco para instalar, e aproximadamente 2 GB para operaes aps a instalao.
Os servidores Server Core no tm uma interface de usurio, nem oferecem a habilidade de executar aplicaes. Uma instalao no Ncleo do Servidor mnima, para executar as seguintes funes: Servidor DHCP, Servios de Arquivo, Servidor de Impresso, Servidor DNS, AD LDS, ou Servios de Domnio do Active Directory. A experincia de gerenciamento tambm ser diferente ao usar uma instalao no Ncleo do Servidor. Ela requer que voc configure inicialmente o sistema a partir da linha de comando, ou usando mtodos de script como uma instalao autnoma, pois no inclui a tradicional interface de usurio completa. Uma vez que o servidor est configurado, voc pode gerenci-lo a partir da linha de comando, local ou remotamente, com uma conexo de rea de trabalho remota de Servios de Terminal. Voc tambm pode usar snap-ins do MMC ou ferramentas de linha de comando que suportam conexes remotas para gerenciar o servidor remotamente. Os administradores que gerenciam uma instalao no Ncleo do Servidor precisam estar cientes de que no h uma interface grfica de usurio (GUI) disponvel. Embora nenhuma alterao seja necessria para a configurao de sua rede, voc talvez precise se familiarizar com as ferramentas de linha de comando. A opo de instalao no Ncleo do Servidor no adiciona ou altera nenhuma configurao. Entretanto, voc deve analisar a documentao para cada uma das funes de servidor suportadas que esto disponveis na opo de instalao no Ncleo do Servidor, para verificar se h alteraes no Windows Server Longhorn. As alteraes em cada uma dessas funes so as mesmas, esteja voc usando a instalao no Ncleo do Servidor ou a instalao completa. A opo de instalao no Ncleo do Servidor no uma plataforma de aplicao, e voc no pode executar ou desenvolver aplicaes
245
de servidor em uma instalao no Ncleo do Servidor. Uma instalao no Ncleo do Servidor s pode ser usada para executar as funes de servidor e ferramentas de gerenciamento suportadas. Os servidores Server Core suportam o desenvolvimento de ferramentas e agentes de gerenciamento, que podem ser divididos em duas categorias: Ferramentas de gerenciamento remoto. Essas ferramentas no requerem nenhuma alterao, contanto que usem um dos protocolos suportados nas instalaes no Ncleo do Servidor para comunicar-se com a rea de trabalho de gerenciamento remoto, como a chamada de procedimento remoto (RPC). Ferramentas e agentes de gerenciamento local. Essas ferramentas podem necessitar de alteraes para trabalhar com instalaes no Ncleo do Servidor, pois no podem ter nenhuma dependncia a shell ou interface de usurio, e no podem usar cdigo gerenciado.
O Kit de Desenvolvimento de Software (SDK) do Windows Server Longhorn inclui uma lista de APIs que so suportados em instalaes no Ncleo do Servidor. Voc precisa verificar se todos os APIs chamados por seu cdigo esto listados, e tambm precisa testar seu cdigo em uma instalao no Ncleo do Servidor para garantir que ele se comportar como o esperado. Nenhuma alterao em seu ambiente ou infra-estrutura necessria. A opo de instalao no Ncleo do Servidor suporta apenas uma instalao do zero em um servidor. Voc no pode atualizar para uma instalao no Ncleo do Servidor a partir de uma verso prvia do Windows. Para fazer uma instalao no Ncleo do Servidor do Windows Server Longhorn, inicie o computador do servidor com um DVD inicializvel do Windows Server Longhorn na unidade de DVD do computador. Quando aparecer a caixa de dilogo Autorun, clique em Install Now, e siga as instrues na tela para completar a instalao. Em muitos casos, uma instalao no Ncleo do Servidor ser feita usando um script de instalao autnoma. Os seguintes recursos opcionais requerem hardware apropriado para que possam ser usados: Cluster Failover Balanceamento de Carga de Rede Armazenamento Removvel Criptografia da Unidade BitLocker
246
Alguma funcionalidade de BitLocker est disponvel sem hardware especfico. No h pr-requisitos para os seguintes recursos opcionais: Subsistema para aplicaes baseadas em UNIX Backup Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet
Os seguintes recursos oferecem informaes adicionais sobre instalaes no Ncleo do Servidor: Se voc precisa de suporte ao produto, visite o Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). Para acessar grupos de notcias para esse recurso, siga as instrues fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067). Se voc um beta tester e parte do programa beta especial chamado Programa de Adoo de Tecnologia (TAP), tambm pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistncia.
Os seguintes recursos no site da Microsoft fornecem informaes adicionais sobre alguns dos comandos que voc pode usar para configurar instalaes no Ncleo do Servidor e ativar as funes de servidor: Referncias sobre linha de comando de A-Z (http://go.microsoft.com/fwlink/?LinkId=20331) Arquivos de instalao autnoma dcpromo o Netsh o Dnscmd o o o Dfscmd o Referncias do Dfscmd (http://go.microsoft.com/fwlink/?LinkId=49658) Viso geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656) Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659) Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660) Viso geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654) Realizando uma Instalao Autnoma do Active Directory (http://go.microsoft.com/fwlink/?LinkId=49661)
247
O seguinte recurso fornece informaes adicionais para implantar, configurar e gerenciar uma instalao no Ncleo do Servidor, e tambm para ativar uma funo de servidor nessa instalao: Guia Passo a Passo Beta 2 sobre o Ncleo do Servidor em Windows Server "Longhorn" no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
248
7.07 Backup do Windows Server

O recurso Backup do Windows Server Longhorn oferece uma soluo bsica de backup e recuperao para o servidor em que est instalado. Voc tambm pode usar esse recurso para gerenciar backups em servidores remotos. Essa verso do Backup introduz uma nova tecnologia de backup e recuperao e substitui o recurso que estava disponvel em verses anteriores do sistema operacional Windows. Voc pode usar o recurso Backup para proteger todo o seu servidor de modo eficiente e confivel sem se preocupar com detalhes da tecnologia de backup e recuperao. Assistentes simples o guiaro atravs da instalao de um agendamento automtico de backups, criando backups manuais se necessrio, e recuperando itens ou volumes inteiros. Voc pode usar esse recurso para fazer um backup de um servidor inteiro ou de volumes selecionados. E, em caso de desastres como falhas do disco rgido, voc pode realizar uma recuperao de sistema, que vai restaurar completamente seu sistema para o novo disco rgido usando um backup de servidor completo e o Ambiente de Recuperao do Windows. O Backup foi projetado para ser usado por todos, de proprietrios de pequenas empresas a administradores de TI em grandes empresas, que precisam de uma soluo de backup fcil de implantar e usar, e que esteja disponvel sem nenhum custo extra. No entanto, seu design simples o torna especialmente adequado para organizaes menores ou indivduos que no so profissionais de TI. Voc deve ser um membro do grupo de Administradores ou do grupo de Operadores de Backup para usar o Backup. O recurso Backup inclui as seguintes melhorias: T e c n o l o g i a de backup nova e mais rpida. O
249
Backup usa o Servio de Cpias por Volume de Sombra (VSS) e a tecnologia de backup em nvel de blocos para realizar o backup de modo eficiente e recuperar seu sistema operacional, arquivos, pastas e volumes. Aps o primeiro backup completo ser criado, o Backup pode ser configurado para executar, automaticamente, backups incrementais, salvando apenas os dados que foram alterados desde o ltimo backup. Entretanto, mesmo que voc opte por sempre fazer backups completos, ele levar menos tempo que o recurso Backup das verses anteriores do Windows. Restaurao simplificada. Voc agora pode restaurar itens escolhendo o backup a partir do qual a recuperao ser feita, e selecionando ento os itens a serem restaurados. Pode recuperar arquivos especficos ou todos os contedos de uma pasta. Anteriormente, voc precisava restaurar manualmente a partir de mltiplos backups se o item estivesse armazenado em um backup incremental. Agora, simplesmente escolhe a data em que fez o backup da verso do item que quer restaurar. Recuperao simplificada de seu sistema operacional. O Backup trabalha com novas ferramentas de recuperao do Windows para facilitar a tarefa de recuperar seu sistema operacional. Voc pode recuperar para o mesmo servidor, ou, se o hardware falhar, pode recuperar para um novo servidor que no tem sistema operacional. Habilidade de recuperar aplicaes. O Backup usa a funcionalidade VSS que construda dentro de aplicaes como o Microsoft SQL Server e o Windows SharePoint Services para proteger os dados da aplicao. Agendamento aperfeioado. O Backup agora inclui um assistente que guia atravs do processo de criao de backups dirios. Os volumes do sistema so automaticamente includos em todos os backups agendados, para que voc esteja sempre protegido contra desastres. Fcil remoo de backups externos para proteo contra desastres. Voc pode executar backups para mltiplos discos em rotao para que seja fcil mover discos externos. Basta adicionar cada disco como um local de backup agendado e, se o primeiro disco retirado, o Backup vai automaticamente executar backups para o disco seguinte na rotao. Administrao remota. O Backup agora usa um snap-in do MMC para dar a voc uma experincia familiar e consistente no gerenciamento seus backups. Aps instalar o snap-in do Backup, voc pode acessar essa ferramenta atravs do Server Manager ou adicionando o snap-in a um console do MMC novo ou j existente. Ento, pode usar o Backup para gerenciar backups em outros servidores clicando em Ao, e depois em Conectar-se a Outro Computador. Gerenciamento automtico de uso de disco. Uma vez que voc configura um disco para um backup agendado, o Backup vai automaticamente gerenciar o uso do disco voc no precisa se preocupar com o espao em disco aps vrios backups. O Backup vai automaticamente reutilizar o espao de backups anteriores quando criar os novos. A ferramenta de
250
gerenciamento exibe os backups que esto disponveis e as informaes sobre uso do disco, que podem ajudar a preparar um armazenamento adicional para atender seus objetivos relacionados ao tempo de recuperao. Suporte extensivo de linha de comando. O Backup agora vem com suporte e documentao extensivos de linha de comando para permitir que voc desempenhe quase todas as mesmas tarefas que podem ser feitas com a ferramenta de gerenciamento. Voc tambm pode automatizar as atividades de backup atravs dos scripts. Suporte para mdia de DVD. Voc pode fazer backups manuais de volumes diretamente para DVD. Isso pode ser uma soluo fcil se voc quiser criar backups externos para fins especficos. O Backup tambm tem suporte a backup manual para pastas e discos rgidos compartilhados. Backups agendados so armazenados em discos rgidos. Nota A nova ferramenta Backup no usa dispositivos de armazenamento em fita o uso de discos externos e internos, DVDs e pastas compartilhadas so suportados. No entanto, o suporte de drivers para fita ainda est includo no Windows Server Longhorn. Se voc atualmente usurio do Backup do Windows (Ntbackup.exe) e planeja mudar para o novo Backup do Windows Server, pode ser surpreendido pelas seguintes questes e alteraes: As configuraes do Backup no sero atualizadas quando voc mudar para o Windows Server Longhorn. Voc ter que reconfigurar as configuraes. Voc precisar de um disco separado e dedicado para executar backups agendados. No pode mais fazer backups em fita. No pode recuperar backups que criou com o Backup do Windows usando o Backup do Windows Server. O Backup do Windows est disponvel como um download para os usurios do Windows Server Longhorn que querem recuperar dados de backups feitos com o NTBackup. No entanto a verso para download do Backup do Windows no pode ser usada para criar backups no Windows Server Longhorn. Para fazer o download do Backup do Windows (Ntbackup.exe), veja http://go.microsoft.com/fwlink/?LinkId=82917.
251
7.08 Monitor de Confiabilidade e Desempenho do Windows

O Windows Server Longhorn inclui o Monitor de Confiabilidade e Desempenho do Windows, que fornece aos profissionais de TI as ferramentas para monitorar e avaliar o desempenho e a confiabilidade do sistema. Nota Em algumas verses prlanamento do Windows, esse recurso foi chamado de Console de Diagnstico de Desempenho do Windows. O Monitor de Confiabilidade e Desempenho do Windows um snap-in do MMC que combina a funcionalidade de ferramentas independentes anteriores, incluindo os Registros e Alertas de Desempenho, o Consultor de Desempenho do Servidor, e o Monitor de Sistema. Ele oferece uma interface grfica para personalizar a coleo de dados do desempenho e as Sesses de Acompanhamento de Eventos. Ele tambm inclui o Monitor de Confiabilidade, um snap-in do MMC que acompanha as alteraes no sistema e as compara a alteraes na estabilidade do sistema, fornecendo uma visualizao grfica de seu relacionamento. O Monitor de Confiabilidade e Desempenho do Windows uma ferramenta destinada ao uso por profissionais de TI ou administradores de computador. Para visualizar o estado em tempo real na Visualizao de Recursos, o console deve ser executado como membro do grupo de Administradores. Para criar Conjuntos de Coletores de Dados, configurar registros ou visualizar relatrios, o console deve ser executado como membro do grupo de Administradores ou do Grupo de Usurios de Registro do Desempenho. Os contadores de desempenho, provedores de acompanhamento de eventos e outros elementos de cdigo anteriores, relacionados a desempenho, no precisam mudar para trabalhar com o novo Monitor de Confiabilidade e Desempenho do Windows ou seus recursos.
252
Os recursos do Monitor de Confiabilidade e Desempenho do Windows que so novos para o Windows Server Longhorn incluem o seguinte.
Conjuntos de Coletores de Dados

Um novo recurso importante do Monitor de Confiabilidade e Desempenho do Windows o Conjunto de Coletores de Dados, que agrupa coletores de dados em elementos reutilizveis para uso em diferentes cenrios de monitoramento de desempenho. Uma vez que um grupo de coletores de dados armazenado como um Conjunto de Coletores de Dados, operaes como o agendamento podem ser aplicadas a todo o conjunto atravs de uma nica alterao de propriedade. O Monitor de Confiabilidade e Desempenho do Windows tambm inclui modelos padro de Conjunto de Coletores de Dados para ajudar os administradores de sistema a comear a coletar dados de desempenho especficos de uma Funo de Servidor ou cenrio de monitoramento imediatamente.
Assistentes e Modelos para Criao de Registros

A adio de contadores a arquivos de registro e o agendamento de seu incio, interrupo e durao agora podem ser feitos atravs da interface de um Assistente. Alm disso, salvando essa configurao como um modelo, os administradores de sistema podem coletar o mesmo registro em computadores subseqentes sem repetir a seleo de coletores de dados e processos de agendamento. Os recursos de Registros e Alertas de Desempenho foram incorporados ao Monitor de Confiabilidade e Desempenho do Windows para uso com qualquer Conjunto de Coletores de Dados.
Visualizao de Recursos
A pgina inicial do Monitor de Confiabilidade e Desempenho do Windows a nova tela de Visualizao de Recursos, que fornece uma viso geral grfica em tempo real da CPU, disco, rede e uso da memria. Expandido cada um desses elementos monitorados, os administradores de sistema podem identificar quais processos esto usando quais recursos. Em verses anteriores do Windows,
253
esses dados especficos de processos em tempo real s eram disponveis de forma limitada no Gerenciador de Tarefas.
Monitor de Confiabilidade
O Monitor de Confiabilidade calcula o ndice de Estabilidade do Sistema, que reflete se problemas inesperados reduziram a confiabilidade do sistema. Um grfico do ndice de Estabilidade em um perodo de tempo identifica rapidamente as datas em que os problemas comearam a ocorrer. O Relatrio de Estabilidade do Sistema que acompanha o ndice fornece detalhes para ajudar a resolver a causa raiz da reduo de confiabilidade. Visualizando as alteraes do sistema (instalao ou remoo de aplicaes, atualizaes no sistema operacional, adio ou modificao de drivers) lado a lado com as falhas (de aplicao, de sistema operacional ou de hardware), uma estratgia para lidar com os problemas pode ser desenvolvida rapidamente.
Configurao Unificada de Propriedades para Toda a Coleo de Dados, Inclusive o Agendamento

Seja na criao de um Conjunto de Coletores de Dados para uso em uma nica vez ou para atividade contnua de registro, a interface para criao, agendamento e modificao a mesma. Se um Conjunto de Coletores de Dados prova que til para o futuro monitoramento de desempenho, no precisa ser recriado. Pode ser reconfigurado ou copiado como um modelo.
Relatrios de Diagnstico Fceis de Usar

Os usurios do Consultor de Desempenho do Servidor no Windows Server 2003 podem agora encontrar os mesmos tipos de relatrios de diagnstico no Monitor de Confiabilidade e Desempenho do Windows no Windows Server Longhorn. O tempo de gerao dos relatrios foi melhorado e os relatrios podem ser criados com dados coletados atravs do Conjunto de Coletores de Dados. Assim os administradores de sistema podem repetir relatrios e avaliar como as alteraes afetaram o desempenho ou as recomendaes do relatrio.
254
7.09 Servios de Implantao do Windows

Os Servios de Implantao do Windows, verso atualizada e reprojetada dos Servios de Instalao Remota (RIS), so um pacote de componentes que trabalham juntos no Windows Server Longhorn para ativar a implantao de sistemas operacionais Windows, particularmente o Windows Vista. Esses componentes so organizados nestas trs categorias: Componentes de servidor. Esses componentes incluem um servidor de Ambiente de Pr-Boot Execution (PXE) e um servidor de Protocolo de Transferncia de Arquivos Simples (TFTP) para inicializar por rede um cliente para carregar e instalar um sistema operacional. Tambm esto includos um repositrio de imagem e uma pasta compartilhada, que contm imagens de inicializao, de instalao, e arquivos que voc precisa especificamente para inicializao por rede. Componentes de cliente. Esses componentes incluem uma GUI que executada dentro do Ambiente de Pr-Instalao do Windows (Windows PE) e se comunica com os componentes de servidor para selecionar e instalar uma imagem de sistema operacional. Componentes de gerenciamento. Esses componentes so um conjunto de ferramentas que voc usa para gerenciar o servidor, as imagens do sistema operacional e as contas do computador cliente.
Os Servios de Implantao do Windows ajudam na rpida adoo e implantao de sistemas operacionais Microsoft Windows. Voc pode us-los para instalar novos computadores usando uma instalao baseada em rede. Isso significa que voc no tem que estar fisicamente presente diante de cada computador e no tem que instalar diretamente a partir de um CD ou DVD. Voc tambm pode usar os Servios de Implantao do Windows para redefinir os propsitos dos computadores existentes. Voc pode usar os Servios de Implantao do Windows em qualquer organizao que esteja interessada em simplificar as implantaes e aumentar a consistncia de seus computadores baseados em Windows. O pblico-alvo inclui: Planejadores ou designers de TI corporativos Especialistas em implantao interessados em implantar imagens em computadores sem sistemas operacionais
Os seguintes requisitos devem ser atendidos antes de instalar a funo Servios de Implantao do Windows:
255
Servios de Domnio do Active Directory. Um servidor com Servios de Implantao do Windows deve ser membro de um domnio do Active Directory ou ser um controlador de domnio para um domnio do Active Directory. As verses do domnio e da floresta do Active Directory so irrelevantes; todas as configuraes de domnio e floresta suportam os Servios de Implantao do Windows. DHCP. Voc deve ter um servidor de Protocolo de Configurao Dinmica de Host (DHCP) em funcionamento com um escopo ativo na rede, pois os Servios de Implantao do Windows usam o Ambiente de Pre-Boot Execution (PXE), que por sua vez usa o DHCP. DNS. Um servidor de Sistema de Nomes de Domnio em funcionamento na rede necessrio para executar os Servios de Implantao do Windows. Um volume de NTFS no servidor de Servios de Implantao do Windows. O servidor que est executando os Servios de Implantao do Windows requer um volume de sistema de arquivos NTFS para o armazenamento de imagem. Credenciais administrativas. A instalao dos Servios de Implantao do Windows requer que o administrador seja um membro do grupo de Administradores Locais no servidor de Servios de Implantao do Windows. Para iniciar o cliente de Servios de Implantao do Windows, voc deve ser um membro do grupo de Usurios do Domnio.
Esses Servios incluem o snap-in do MMC de Servios de Implantao do Windows, que fornece gerenciamento rico de todos os recursos dos Servios de Implantao do Windows. Os Servios de Implantao do Windows tambm oferecem vrios aperfeioamentos feitos no conjunto de recursos dos Servios de Instalao Remota (RIS). Esses aperfeioamentos suportam a implantao dos sistemas operacionais Windows Vista e Windows Server Longhorn. Com os Servios de Implantao do Windows voc pode: Criar uma imagem de captura. Imagens de captura so usadas para capturar imagens do Windows preparadas com Sysprep.exe para implantao como imagens de instalao. Criar uma imagem de instalao. Imagens de instalao so as imagens que voc implanta no computador cliente. Associar arquivos de instalao autnoma a uma imagem. Criar uma imagem de descoberta. Imagens de descoberta so usadas para implantar o sistema operacional Windows em computadores que no suportam a inicializao PXE.
256
Ativar transmisso multicast de uma imagem. Quando voc ativa uma transmisso multicast para uma imagem, os dados so enviados pela rede apenas uma vez.
Criar uma Imagem de Captura

Voc pode capturar imagens dos sistemas operacionais Windows que foram preparadas com o Sysprep, e depois implant-las como imagens de instalao. Imagens de captura so imagens de inicializao que iniciam o Assistente de Captura de Imagens. Imagens de captura so salvas primeiro em um arquivo e depois adicionadas ao armazenamento de imagens. Para criar uma imagem de captura, faa o seguinte: 1. Abra o Server Manager. 2. Abra o snap-in do MMC de Windows Deployment Services. 3. Expanda a pasta Boot Image folder. 4. Clique com o boto direito na imagem a ser usada como imagem de captura. 5. Clique em Create Capture Boot Image. 6. Siga as instrues no assistente, e quando ele terminar, clique em Finish. 7. Clique com o boto direito na pasta da imagem de inicializao. 8. Clique em Add Boot Image. 9. Procure e selecione a nova imagem de captura, e ento clique em Next. 10. Siga as instrues no assistente.
Antes a imagem de captura era um procedimento complexo de linha de comando. O Assistente de Captura de Imagens abre a captura de imagens para administradores de nvel mais baixo que talvez no estejam familiarizados com o trabalho em um aviso de comando.
Criar uma Imagem de Instalao

Voc pode construir imagens de instalao a partir de instalaes de referncia do sistema operacional Windows e implant-las nos computadores cliente. Uma instalao de referncia pode ser uma instalao padro do Windows ou uma instalao do Windows que foi configurada para um ambiente ou usurio especfico antes da criao da imagem.
257
Para capturar uma imagem de instalao usando o Assistente de Captura de Imagens, faa o seguinte: 1. Realize uma instalao de referncia em um computador que ser usado como referncia. 2. Em uma janela de Aviso de Comando no computador de referncia, mova as pastas para \Windows\System32\Sysprep ou a pasta que contm Sysprep.exe e Setupcl.exe. Nota Essa estrutura de pastas vlida somente para o Windows Server Longhorn e o Windows Vista. Para o Windows Server 2003 e o Windows XP, use a verso apropriada do Sysprep a partir do Deploy.cab. 3. Digite sysprep /OOBE /generalize /reboot Nota Essa sintaxe vlida somente para o Windows Server Longhorn e o Windows Vista. Para verificar a sintaxe para outra verso do Windows, digite sysprep /? 4. Quando o computador de referncia reiniciar, aperte F12. 5. No Gerenciador de Inicializao do Windows, role para a imagem de captura que voc criou anteriormente. 6. Na pgina do Image Capture Wizard (Assistente de Captura de Imagens), clique em Next. 7. Na pgina de Image Capture Source, use o controle de seleo Volume to Capture para escolher o volume apropriado, e ento fornea um nome e uma descrio para a imagem. Clique em Next para continuar. 8. Na pgina Image Capture Destination, clique em Browse e navegue para o local em que quer armazenar a imagem capturada. 9. Na caixa de texto File name, digite um nome para a imagem usando a extenso de nome de arquivo .wim, e ento clique em Save. 10. 11. Clique em Upload image to WDS server. Digite o nome do servidor de Servios de Implantao do Windows, e ento clique em Connect. Se for alertado sobre credenciais, fornea um nome e uma senha de usurio para uma conta com privilgio
12.
258
suficiente para conectar-se ao servidor de Servios de Implantao do Windows. 13. Na lista de Grupo de Imagens, escolha o grupo de imagens no qual quer armazenar a imagem. Clique em Finish.
14.
Voc pode usar o Assistente de Captura de Imagens em vez de ferramentas de linha de comando, eliminando a necessidade de suportar e gerenciar utilitrios de linha de comando sensveis verso. Usando o Assistente de Captura de Imagens voc pode inicializar um computador para capturar uma imagem de sistema operacional do mesmo modo que faria para instalar um sistema operacional.
Associar um Arquivo de Instalao Autnoma a uma Imagem

Os Servios de Implantao do Windows permitem que voc automatize o cliente de Servios de Implantao do Windows e os ltimos estgios da Instalao do Windows. Essa abordagem de dois estgios realizada atravs de dois arquivos diferentes de instalao autnoma. Arquivo autnomo do cliente de Servios de Implantao do Windows. Esse arquivo usa o formato Unattend.xml e armazenado no servidor de Servios de Implantao do Windows na pasta \WDSClientUnattend. Ele usado para automatizar as telas da interface de usurio do cliente de Servios de Implantao do Windows (tais como a insero de credenciais, a escolha de uma imagem de instalao e a configurao do disco). Arquivo autnomo de imagem. Esse arquivo usa o Unattend.xml ou o Sysprep.inf, dependendo da verso do sistema operacional na imagem. Ele usado para configurar opes de instalao autnoma durante a Instalao do Windows e armazenado em uma subpasta (estrutura $OEM$ ou \Unattend) na pasta por imagem. usado para automatizar as fases remanescentes de instalao (por exemplo, servios offline, especializao do Sysprep e mini-instalao).
Para automatizar qualquer um dos estgios, crie um arquivo Unattend.xml, copie-o para o local apropriado e atribua-o para uso. Voc pode atribu-lo no nvel do servidor ou do cliente. A atribuio no nvel do servidor pode depois ser quebrada pela arquitetura, permitindo que voc tenha configuraes diferentes para clientes baseados em x86 e x64. A atribuio no nvel do cliente ignora as configuraes do nvel do servidor. Voc pode configurar a instalao autnoma usando os seguintes passos:
259
1. Crie um arquivo autnomo apropriado, de acordo com o que voc est configurando o cliente de Servios de Implantao do Windows ou a Instalao do Windows. Recomendamos que voc use o Gerenciador de Imagens de Sistema do Windows (includo como parte do Kit de Instalao Automatizada do Windows (AIK)) para a autoria dos arquivos de instalao autnoma. 2. Associe o arquivo de instalao autnoma a um tipo de imagem ou computador.
Configurando Arquivo Autnomo para Cliente de Servios de Implantao do Windows

Para associar um arquivo autnomo de cliente pela arquitetura, faa o seguinte: 1. Crie um arquivo Unattend.xml com configuraes aplicveis ao cliente de Servios de Implantao do Windows. 2. Copie o arquivo Unattend.xml para RemoteInstall\WDSClientUnattend. 3. Abra o snap-in do MMC de Servios de Implantao do Windows. 4. Expanda a lista no painel esquerdo para expor a lista de Servers. 5. Clique com o boto direito no servidor de Servios de Implantao do Windows que contm a imagem do Windows Vista ou Windows Server Longhorn qual voc quer associar o arquivo autnomo, e clique em Properties. 6. Na guia Cliente, selecione Enable unattended installation, navegue para o arquivo autnomo apropriado, e ento clique em Open. 7. Clique em OK duas vezes para fechar a pgina de propriedades. Para associar um arquivo autnomo de cliente por computador 1. Em uma janela de Aviso de Comando, digite o seguinte, em que <relative path> o caminho da pasta compartilhada REMINST pasta que contm WdsClientUnattend.xml: WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC address> /WdsClientUnattend:<relative path>
Configurando a Instalao Autnoma na Instalao do Windows

Para associar um arquivo autnomo de imagem a uma imagem, faa o seguinte:
260
1. A partir do snap-in do MMC de Servios de Implantao do Windows, clique para expandir o grupo de imagens que contm imagens do Windows Vista ou Windows Server Longhorn. 2. Clique com o boto direito na imagem qual quer associar o arquivo autnomo, e ento clique em Properties. 3. Clique em Allow image to install in unattend mode. 4. Clique em Select File. 5. Insira o nome e o caminho, ou navegue para escolher o arquivo autnomo, e ento clique em OK. 6. Para fechar Image Properties, clique em OK. Para associar o Sysprep.inf a uma imagem do Windows XP ou Windows Server 2003, faa o seguinte: 1. Em uma janela de Aviso de Comando, mova as pastas para o grupo de imagens que contm uma imagem do Windows XP ou Windows Server 2003. 2. No grupo de imagens que contm a imagem do Windows XP, crie uma pasta com o mesmo nome da imagem qual voc quer associar o arquivo Sysprep.inf. Por exemplo: md C:\RemoteInstall\Images\imagegroupname\imagename 3. Copie um arquivo Sysprep.inf que seja apropriado para a imagem para a pasta $OEM$. Por exemplo: copy C:\Sysprep.inf C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$ 4. Adicione arquivos (por exemplo um diretrio de ferramentas) e faa outras alteraes conforme o necessrio (por exemplo, modifique o registro usando um script), seguindo as convenes de $OEM$. 5. Aps aplicar a imagem a um novo computador usando os Servios de Implantao do Windows, toda a pasta $OEM$ copiada a uma unidade no novo computador, e os contedos so aplicados imagem. Nota Para mais informaes sobre o Sysprep.inf e a pasta $OEM$, veja Projetando Tarefas de Instalao Automatizada em (http://go.microsoft.com/fwlink/?LinkId=66136). Os arquivos autnomos permitem que voc automatize tarefas de instalao comuns e padronize configuraes para sua organizao.
261
Os Servios de Implantao do Windows fornecem vrias opes para associar arquivos autnomos a imagens de inicializao e instalao.
Associar um Pacote de Idiomas a uma Imagem de Instalao

Voc pode associar mltiplos pacotes de idiomas a uma nica imagem, reduzindo o nmero de imagens que precisa manter. Para usar um pacote de idiomas, crie a estrutura de pastas apropriada e copie o pacote de idiomas. O seguinte procedimento descreve como associar um pacote de idiomas a uma imagem do Windows. Nota Pacotes de idiomas so suportados apenas nos sistemas operacionais Windows Vista e Windows Server Longhorn. Para associar um pacote de idiomas a uma imagem, faa o seguinte: 1. Na pasta do grupo de imagens que contm a imagem, crie uma pasta com o mesmo nome do arquivo de imagem. 2. Nessa pasta, crie uma pasta chamada langpacks. Por exemplo, se o grupo de imagens se chama Vista e a imagem se chama Install, digite: md c:\remoteinstall\images\vista\install\langpacks 3. Na pasta langpacks, crie uma pasta para cada pacote de idiomas que voc quer instalar. Para criar uma pasta langpacks para a lngua japonesa, digite: md c:\remoteinstall\images\vista\install\langpacks\ja-jp 4. Copie o pacote de idioma Japons para: C:\Remoteinstall\images\vista\install\langpacks\ja-jp. Voc pode associar um pacote de idiomas a uma imagem em vez de criar imagens nicas para cada lngua. Se sua organizao suporta vrias lnguas, os pacotes de idiomas vo poupar tempo na criao e atualizao de imagens. Por exemplo, se voc suporta atualmente 13 lnguas por imagem, pode agora construir uma imagem e associar 13 pacotes de idiomas imagem.
Criar uma Imagem de Descoberta

Imagens de descoberta so usadas para implantar o sistema operacional Windows em computadores que no suportam a inicializao PXE. Imagens de descoberta so imagens de inicializao que iniciam o Assistente de Descoberta dos Servios de Implantao do Windows. As imagens de descoberta so salvas em um arquivo, convertidas para um formato ISO, e ento copiadas para um CD ou DVD.
262
Para associar um pacote de idiomas a uma imagem, faa o seguinte: 1. Abra o snap-in do MMC de Servios de Implantao do Windows. 2. Expanda a pasta Imagem de Inicializao. 3. Clique com o boto direito na imagem a ser usada como imagem de descoberta. 4. Clique em Create Discover Boot Image. 5. Escolha um nome e uma descrio para a imagem de descoberta. 6. Escolha um local e um nome para o novo arquivo, usando a extenso de nome de arquivo .wim. 7. Clique em Next para criar a imagem de captura. 8. Clique em Finish. Para criar mdia inicializvel, faa o seguinte: 1. Em uma janela de Aviso de Comando, digite os seguintes comandos: Md c:\Winpe\Boot Md c:\Winpe\Sources 2. Para copiar a imagem de descoberta criada no procedimento anterior, digite: Copy c:\boot.wim c:\Winpe\Sources 3. Para copiar arquivos de inicializao do Windows AIK, digite: Xcopy c:\Program Files\Windows AIK\tools\<architecture>\boot c:\WinPE\boot 4. Mova a pasta para C:\Program files\Windows AIK\tools\<architecture>. 5. Para criar a imagem ISO inicializvel, digite: Oscdimg -n -bc:\winpe\ISO\boot\etfsboot.com c:\winpe\ISO c:\winpe.iso 6. Use uma ferramenta de cpia em CD que pode criar um CD ou DVD para transferir a imagem ISO mdia apropriada.
263
Voc pode usar uma imagem de descoberta de um computador que no suporta a inicializao PXE para iniciar a instalao a partir de um servidor de Servios de Implantao do Windows. Sem um disco de descoberta, os computadores que no suportam a inicializao PXE no podem acessar os recursos dos Servios de Implantao do Windows.
Ativar Transmisso Multicast de uma Imagem

O multicasting permite que voc implante uma imagem em um grande nmero de computadores cliente sem sobrecarregar a rede. O multicasting fica desativado por padro. Voc tem duas opes para criar uma transmisso multicast: Clique com o boto direito no n Multicast Transmission, e ento clique em Create Multicast Transmission. Clique com o boto direito em uma imagem, e ento clique em Create Multicast Transmission.
Quando voc cria uma transmisso, tem duas opes para o tipo de multicast: Auto-Cast. Essa opo indica que o multicasting est sempre ligado. Quando voc seleciona essa opo, assim que um cliente aplicvel solicita uma imagem de instalao, uma transmisso multicast da imagem selecionada inicia. Ento, conforme outros clientes solicitam a mesma imagem, eles tambm so vinculados transmisso que j iniciou. Nota Os contedos apenas so transferidos pela rede se os clientes estiverem solicitando dados. Se nenhum cliente estiver conectado (isto , a transmisso est inativa), os dados no sero enviados pela rede. Cast Agendado. Essa opo estabelece os critrios de incio para a transmisso, com base no nmero de clientes que esto solicitando uma imagem e/ou um dia e horrio especficos. Se voc no selecionar um desses quadros de seleo, tem que iniciar manualmente a transmisso. Note que alm desses critrios, voc pode iniciar uma transmisso manualmente a qualquer momento, clicando com o boto direito na transmisso e depois em Iniciar.
Quando voc cria uma transmisso multicast para uma imagem, os dados so enviados pela rede apenas uma vez, o que pode reduzir drasticamente a largura de banda da rede que usada.
264
Implantao
O modo como voc implanta os Servios de Implantao do Windows depende de um fator - se voc j tem servidores de RIS instalados em seu ambiente: Se voc tem servidores de RIS j existentes ou servidores do Windows Server 2003 com a atualizao dos Servios de Implantao do Windows, pode atualizar esses servidores diretamente para o Windows Server Longhorn. Se voc est implantando novos servidores de Servios de Implantao do Windows com o Windows Server Longhorn, precisa instalar a funo de servidor Servios de Implantao do Windows. Nota Os servidores de Servios de Implantao do Windows com Windows Server Longhorn no so capazes de implantar imagens de RIS mais antigas (RISETUP ou RIPREP). Voc precisar converter suas imagens atuais para o formato WIM. Se voc tem uma infra-estrutura de RIS existente, precisa converter suas imagens atuais para o formato WIM. Os Servios de Implantao do Windows no Windows Server Longhorn no suportam imagens RIPREP ou RISETUP criadas por ferramentas de RIS. Alm disso, as telas de RIS OSChooser no so suportadas. Em vez disso, voc usar uma combinao de imagens, opes de instalao autnoma, e pacotes de idiomas para personalizar instalaes individuais. Para preservar sua infra-estrutura de RIS existente enquanto utiliza os Servios de Implantao do Windows para implantar o Windows Vista e o Windows Server Longhorn, voc pode seguir um destes passos em seus servidores de RIS existentes: Instalar a atualizao dos Servios de Implantao do Windows a partir do Windows AIKt (http://go.microsoft.com/fwlink/?LinkId=81030). Aplicar o Windows Server 2003 SP2, e depois instalar o componente opcional em Adicionar/Remover Componentes do Windows.
Recursos Adicionais
Os seguintes recursos oferecem informaes adicionais sobre os Servios de Implantao do Windows: Para informaes mais detalhadas sobre os Servios de Implantao do Windows, v Viso Geral dos Servios de Implantao do Windows(http://go.microsoft.com/fwlink/?LinkId=81031).
265
Para o Guia Passo a Passo dos Servios de Implantao do Windows, veja o site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=66145). Se voc precisa de suporte ao produto, visite o site do Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779). Para acessar grupos de notcias para os Servios de Implantao do Windows, siga as instrues fornecidas no Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067). Se voc um beta tester e membro do programa beta chamado Programa de Adoo de Tecnologia (TAP), pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistncia. Para mais informaes sobre o Windows AIK, veja o Guia do Usurio sobre o Kit de Instalao Automatizada do Windows para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552).
266
Seo 8: Alta Disponibilidade

267
8.01 Introduo Alta Disponibilidade

Fornecer servios altamente disponveis para aplicaes e servios crticos fundamental para qualquer departamento de TI. Este cenrio enfoca alta disponibilidade: Melhorias em Clustering Failover que estaro disponveis para aplicaes implantadas no Windows Server Longhorn. Como parte do Windows Server Longhorn, o Clustering Failover fornece um recurso fcil de ser usado em servios e aplicaes de misso crtica.

O Clustering Failover no Windows Server Longhorn fornece novos recursos que podem ser usados por uma organizao para implementar uma estratgia de alta disponibilidade ao tornar os servidores de cluster uma opo inteligente de negcios para a corporao. As principais propostas de valor que a alta disponibilidade oferece so: Com a nova interface de gerenciamento, a complexidade reduzida, proporcionando ao usurio uma interface mais simples para criao, gerenciamento e utilizao dos servidores clusterizados. Ao minimizar os problemas iniciais de configurao atravs das novas ferramentas, os custos de suporte e o tempo para implementao tambm foram reduzidos. A nova funcionalidade possibilita a implementao em ambientes geograficamente dispersos, permitindo que a tecnologia se adapte ao ambiente do cliente.

O hardware deve estar na Lista de Compatibilidade de Hardware.
268
8.02 Clustering Failover

No Microsoft Windows Server Longhorn, as melhorias dos clusters failover (antes chamados de clusters de servidores) tm como objetivos simplificar os clusters, tornando-os mais seguros e aprimorando a estabilidade. A configurao e o gerenciamento de clusters tornaram-se mais fceis. A segurana e a rede de clusters foram aprimoradas, assim como a forma como um Cluster Failover se comunica com um armazenamento. Um Cluster Failover um grupo independente de computadores que trabalha em conjunto para aumentar a disponibilidade de aplicaes e servios. Os servidores clusterizados (chamados de ns) so conectados por cabos fsicos e por software. Se um n de cluster falhar, outro n passa a oferecer o servio (um processo chamado de failover). Os usurios vivenciam interrupes mnimas no servio. Os Clusters Failover so usados por profissonais de TI que precisam oferecer alta disponibilidade para servios ou aplicaes.
A Microsoft apenas suporta uma soluo de cluster se todos os componentes de hardware da soluo estiverem com o logotipo de compatibilidade Designed for Windows Server Longhorn. Alm disso, a configurao completa (servidores, rede, e armazenamento) deve passar por todos os testes do assistente Validate a Configuration (Validar uma Configurao), que est includo no software de gerenciamento de Cluster Failover.
Novo Assistente de Validao

Ao usar o novo assistente de validao nos Clusters Failover, voc pode executar testes para determinar se sua configurao do sistema, do armazenamento e da rede adequada para um cluster. O assistente inclui os seguintes tipos de testes: Testes de ns. Estes testes analisam se os servidores selecionados atendem a requisitos especficos que estabelecem, por exemplo, que os servidores devem executar a mesma verso do sistema operacional e as atualizaes de software. Testes de rede. Estes testes analisam se as redes de clusters planejadas atendem a requisitos especficos que estabelecem, por exemplo, que deve haver pelo menos duas sub-redes separadas para a redundncia de rede. Testes de armazenamento. Estes testes analisam se o armazenamento atende a requisitos especficos que estabelecem, por exemplo, se o armazenamento suporta
269
corretamente os comandos SCSI necessrios e se ele lida corretamente com as aes de clusters simuladas.
Suporte para Discos GPT no Armazenamento de Clusters

Os discos da tabela de partio GUID (GPT) so suportados no armazenamento de Clusters Failover. Os discos de GPT fornecem maior robustez e tamanho de disco. Especificamente, os discos GPT podem ter parties maiores do que 2 terabytes e possuem redundncia nativa na forma como a informao armazenada nas parties, diferentemente dos discos de registro mestre de inicializao (MBR). Com os Clusters Failover, voc pode usar os dois tipos de discos.
Melhorias na Configurao e Migrao

Os Clusters Failover no Windows Server Longhorn permitem que voc execute tarefas de configurao e migrao mais facilmente do que nos clusters de servidor das verses anteriores. Configure um cluster. O assistente de Configurao de Cluster foi simplificado para que voc possa fazer a configurao em um s passo. A configurao do cluster tambm pode ser feita totalmente atravs de scripts para que voc possa automatizar sua implantao. Migre as informaes de configurao de um cluster para outro. As configuraes do grupo de recursos podem ser capturadas de um cluster que esteja executando o Windows Server 2003, e depois elas so aplicadas a um cluster executando o Windows Server Longhorn.
Melhorias nas Interfaces de Gerenciamento

Os Clusters Failover no Windows Server Longhorn permitem que voc execute tarefas de gerenciamento e operaes mais facilmente do que nos clusters de servidor das verses anteriores. Adicione rapidamente recursos clusterizados sua configurao. A interface para administrar um cluster mais simples e intuitiva, facilitando o desempenho de tarefas como a criao de uma pasta compartilhada altamente disponvel. Voc pode enfocar o gerenciamento de suas aplicaes, e no de seu cluster. Use a linha de comando ou o WMI para trabalhar com um cluster. Voc pode usar a linha de comando ou o Windows Management Instrumentation (WMI) para executar mais tarefas do que nas verses anteriores. Solucione problemas em um cluster. Em vez de trabalhar com o log do cluster, voc pode usar o Rastreamento de Eventos do Windows para agregar, gerenciar e relatar informaes sobre a seqncia de eventos que ocorreram no cluster.
270
Use o Servio de Cpia de Volume de Sombra para capturar backups. A integrao completa com o Servio de Cpia de Volume de Sombra facilita o backup e a restaurao da configurao de seu cluster. Controle a forma como voc visualiza as pastas compartilhadas que foram clusterizadas. Voc pode controlar ou definir o escopo de sua vizualizao das pastas compartilhadas para que fique mais fcil saber quais pastas foram clusterizadas e em qual cluster uma pasta compartilhada est disponvel.
Melhorias na Estabilidade e na Segurana para Maior Disponibilidade

Com os Clusters Failover no Windows Server Longhorn, as melhorias na infra-estrutura de clusters o ajudam maximizar a disponibilidade dos servios que voc disponibiliza para os usurios. Podem fazer o seguinte: Configure seu cluster para que o recurso de quorum no seja um ponto de falha nico. Com as melhorias nos Clusters Failover, voc pode usar dois modelos de clusters que j existiam antes o modelo de recursos de quorum e o modelo de conjunto de ns principais ou ainda, um hbrido dos dois modelos. Por exemplo, em um cluster de dois ns, voc pode especificar que caso o quorum se torne indisponvel, o cluster continuar em execuo enquanto as cpias do banco de dados de configurao do cluster nos dois ns permanecerem disponveis. Alcance maior confiabilidade e disponibilidade graas s melhorias na infra-estrutura do cluster. A infra-estrutura do cluster foi aprimorada para ajud-lo a alcanar maior confiabilidade e disponibilidade com os Clusters Failover. Por exemplo, a infra-estrutura de software que lida com os recursos clusterizados vai isolar as bibliotecas de vnculos dinmicos (DLLs) que executam aes incorretamente, minimizando o impacto sobre o cluster. Outro exemplo: o cluster ir usar mtodos aprimorados para garantir a consistncia entre as cpias do banco de dados de configurao do cluster.
Melhorias na Forma como um Cluster Trabalha com o Armazenamento

Os Clusters Failover no Windows Server Longhorn permitem que voc alcance melhor desempenho com seu armazenamento do que nos clusters de servidor das verses anteriores. Podem fazer o seguinte: Disponibilize discos adicionais para o cluster enquanto as aplicaes estiverem online. Voc pode modificar as dependncias dos recursos enquanto eles estiverem online, o
271
que significa que voc pode disponibilizar um disco adicional sem interromper o acesso aplicao que ir utiliz-lo. Obtenha melhor desempenho e estabilidade com o seu armazenamento. Quando um Cluster Failover se comunica com o seu SAN ou DAS, ele utiliza os comandos que menos atrapalham (evitando reconfiguraes no barramento SCSI). Os discos nunca so deixados em um estado desprotegido, o que significa que o risco de corrupo em volume reduzido. Os Clusters Failover tambm suportam mtodos aprimorados de descoberta e recuperao de disco. Os Clusters Failover suportam trs tipos de conexes de armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre Channel. Execute tarefas de manuteno de disco mais facilmente. O modo de manuteno foi aprimorado para que voc possa executar ferramentas para verificar, corrigir, fazer o backup ou a restaurao de discos mais facilmente, com menos interrupes para o cluster.
Melhorias na Rede e na Segurana

Com os Clusters Failover no Windows Server Longhorn, o desempenho da rede e da segurana foi aprimorado em relao aos lanamentos anteriores. Podem fazer o seguinte: Use o IPv6, que totalmente integrado com os Clusters Failover. Os Clusters Failover suportam totalmente o IPv6 tanto na comunicao de n para n, quanto na comunicao de n para cliente. Use o DNS sem as dependncias do NetBIOS do legado. Isto simplifica o transporte do trfego SMB (Server Message Block) e significa que voc no tem as transmisses de resoluo de nome do Windows Internet Name Service (WINS) e NetBIOS. Alcance maior confiabilidade atravs de outras melhorias na rede. Por exemplo, voc pode ajudar as dependncias entre um nome da rede e os endereos de IP associados para que o nome da rede esteja disponvel se um dos endereos de IP (e no ambos) estiver disponvel. Alm disso, quando os ns transmitem e recebem pulsaes para confirmar que cada n ainda est disponvel, eles utilizam o protocolo TCP (Transmission Control Protocol) em vez do protocolo UDP (User Datagram Protocol), que menos confivel. Alcance maior segurana atravs das melhorias na segurana e da auditoria do acesso ao cluster. As melhorias na segurana nos Clusters Failover aprimoram os processos de autenticao e criptografia. Alm disso, voc pode usar a auditoria para capturar informaes sobre quem acessou seu cluster e quando ele foi acessado.
272
Compatibilidade
Se voc possui uma aplicao que era executada em um cluster de servidor com o Windows Server 2003, e a aplicao depende da conta do servio de Cluster obrigatria para clusters de servidores, talvez seja necessrio trocar a aplicao para que ela no dependa mais da conta. Os Clusters Failover que executam o Windows Server Longhorn no utilizam uma conta de servio de Cluster separada.
Implantao
Analise cuidadosamente o hardware no qual voc planeja implantar um Cluster Failover para garantir que ele seja compatvel com o Windows Server Longhorn. Isto ser necessrio principalmente se voc estiver usando este hardware atualmente para um cluster de servidor executando o Windows Server 2003. O hardware que suporta um cluster de servidor executando o Windows Server 2003 no necessariamente suportar um Cluster Failover executando o Windows Server Longhorn. Observe que Voc no pode executar a atualizao de um cluster de servidor que esteja executando o Windows Server 2003 para um Cluster Failover executando o Windows Server Longhorn. No entanto, aps ter criado um Cluster Failover executando o Windows Server Longhorn, voc poder usar um assistente para migrar algumas configuraes de recursos para um cluster de servidor executando o Windows Server 2003.
273
8.03 Balanceamento de Carga de Rede

No Microsoft Windows Server Longhorn, as melhorias no Balanceamento de Carga de Rede (NLB - Network Load Balancing) incluem suporte para Protocolo IP Verso 6 (IPv6) e NDIS 6.0 (especificao da interface do driver de rede , melhorias no Windows Management Instrumentation (WMI) e funcionalidade aprimorada com o Microsoft Internet Security and Acceleration (ISA) Server. O NLB um recurso que distribui a carga para as aplicaes cliente/servidor em rede por diversos servidores de cluster. Faz parte da funcionalidade de escalabilidade horizontal do Windows e uma das trs tecnologias do Windows Clustering. O NLB usado por profissionais de TI que precisam distribuir solicitaes em um conjunto de servidores. O NLB particularmente til para garantir que aplicaes sem monitoramento de estado, como um servidor Web executando IIS, possam ser escalonadas horizontalmente atravs da adio de outros servidores conforme ocorre um aumento da carga. O NLB oferece escalabilidade ao permitir que voc substitua facilmente um servidor defeituoso ou adicione um novo servidor. Voc deve ser membro do grupo de Administradores no host que voc est configurando para usar o NLB, ou deve ter a autoridade apropriada para isso. O NLB inclui as seguintes melhorias: Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas as comunicaes. Suporte para NDIS 6.0. O driver NLB foi completamente reescrito para usar o novo modelo de filtro leve do NDIS 6.0. O NDIS 6.0 retm compatibilidade reversa com verses anteriores do NDIS. As melhorias no design do NDIS 6.0 incluem maior escalabilidade, desempenho aprimorado e modelo de driver NDIS simplificado. Melhorias no WMI. As melhorias no WMI para o namespace MicrosoftNLB so para o Ipv6 e para suporte a mltiplos endereos de IP dedicados. o o As classes no namespace MicrosoftNLB suportam endereo IPv6 (alm dos endereos IPv4). A classe MicrosoftNLB_NodeSetting suporta mltiplos endereos de IP dedicados ao especific-los em DedicatedIPAddresses e DedicatedNetMasks.
Funcionalidade aprimorada com o ISA Server. O ISA Server pode configurar mltiplos endereos de IP dedicados para cada n NLB em cenrios onde os clientes consistem em trfego IPv4 e IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar determinado ISA Server para gerenciar o trfego. O ISA tambm
274
pode fornecer NLB com notificaes de timer e ataque SYN (estes cenrios geralmente ocorrem quando um computador sobrecarregado ou infectado por um vrus da Internet). Suporte para mltiplos endereos dedicados de IP por n. O NLB suporta totalmente a definio de mais de um endereo dedicado de IP por n. (Anteriormente, apenas um endereo dedicado de IP por n era suportado).
275
Seo 9: Windows Server e Windows Vista - Melhores juntos

276
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista

Os sistemas operacinais Windows Server Longhorn e Windows Vista oferecem vrios recursos novos e aprimorados ao serem instalados separadamente, alm de benefcios para os negcios. Contudo, quando os dois sistemas so instalados no mesmo ambiente, as empresas podem notar benefcios extras, como o gerenciamento mais eficiente, a maior disponibilidade e comunicaes mais rpidas. Originalmente, o desenvolvimento do Windows Server Longhorn e o Windows Vista era um nico projeto, chamado Longhorn. Os dois possuem um nmero significativos de tecnologias em comum na plataforma. Seus sistemas operacionais apresentam diversos avanos na rede, armazenamento, segurana e gerenciamento. Embora muitos destes aprimoramentos se apliquem tanto ao Windows Server Longhorn quanto ao Windows Vista, quando as empresas implantam os dois sistemas operacionais, percebem que a estrutura clienteservidor combinada apresenta ainda mais mais benefcios. As empresas que implantarem o Windows Vista hoje, percebero benefcios imediatos, os quais se combinaro aos benefcios extras com a implantao do Windows Server Longhorn assim que este estiver disponvel.
Gerenciamento Mais Eficiente

Os profissionais de TI que administram a infraestrutura do Windows Vista e do Windows Server Longhorn notaro diversos aprimoramentos na forma de gerenciar e controlar seu ambiente. A manuteno ser simplificada de maneira significativa atravs do uso de um modelo nico para autalizaes e pacotes de servio de clientes e servidores. No futuro, os administradores de TI podero utilizar um nica atualizao para o cliente e para o servidor de linguagens e mltiplas plataformas. Os computadores do cliente podem monitorar eventos especficos e os remeter ao Windows Server Longhorn para obteno de um relatrio e monitoramento centralizados e vice-versa. A subscrio de eventos permite que os administradores de TI sejam alertados sobre a ocorrncia de determinados eventos para dessa forma tomarem medidas corretivas imediatas. O recurso da subscrio de eventos tambm permite a transmisso de eventos entre as estaes de trabalho do Windows Vista sem a presena do Windows Server Longhorn. Os Servios de Implantao do Windows fornecem uma rpida e confivel instalao do sistema operacional com o uso do novo Windows Image Format (WIM)e da ferramenta diskGuia do Revisor do Windows Server Longhorn Beta 3
277
imaging, o ImageX. Os adminsitradores de TI podero utilizar-se de prticas e tcnicas similares e de excelncia para a implatao tanto do sistema operacional do servidor, quando do cliente, utilizando a nova tcnica de criao de imagens. A instalao com base na imagem permitir que uma nica imagem seja utilizada em quase todos os hardware, sem qualquer restrio de localidade. O fato reduzir a quantidade imagens a serem mantidas na memria. possvel at mesmo adicionar drivers, componentes e atualizaes imagens, sem ter que iniciar o sistema operacional imaged. O componente Servios de Implantao do Windows parte do Windows Server Longhorn e uma atualizao dos Servios de Implantao do Windows tambm est disponvel para Microsoft Windows Server 2003 SP2. Os recursos do Proteo Contra Acesso Rede (NAP) do Windows Server Longhorn ajudam a assegurar que os clientes Windows Vista conectados rede, esto obedecendo s politicas de segurana, e que aqueles que no as esto seguindo tenham seu acesso limitado. A NAP fornece uma validao das diretivas de integridade, as limitaes de acesso a rede, reparo automtico, e aquiescncia permanente, com os componentes do cliente j construdos dentro do Windows Vista e os componentes do servidor integrados dentro do Windows Server Longhorn. O Internet Information Services 7.0 (IIS7) fornece aos programadores a habilidade de criar aplicaes da Web novas e potentes em um desktop com base Windows Vista e ao concluir, os enviar para o servidor do Windows Server Longhorn, desde que a mesma verso do IIS7 esteja operando no cliente e no servidor.
Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da infra-estrutura do cliente e do servidor esto bastantes ampliadas por aprimoramentos feitos tanto no Windows Vista quanto no Windows Server Longhorn. O Windows Vista pode tornar trabalhos de impresso acessveis localmente antes de os enviar aos serrvidores de impresso, para dessa forma reduzir a carga de trabalho do servidor de impresso, tornando-o mais acessvel. Os dados so enviados aos servidores de impresso pelo formato de impresso no processada: EMF. O nvel de disponibilidade ser maior porque mais processamentos realizado no cliente. A carga de trabalho da rede de filiais sem um servidor de impresso local tambm ser reduzida. No entanto, esta capacidade requer que as impressoras possuam drivers compatveis. Porm, quando unido a entrega de tabalhos de impresso do lado do cliente do Windows Server
278
Longhorn, os problemas relacionados a incompatibilidade dos drivers so reduzidos. As capacidade de caching do lado do cliente do Windows Vista esto muito mais acentuadas e trabalham tanto com o Windows Server Longhorn quanto com verses anteriores do Windows Server. Os recursos do servidor esto armazenados (cached) localmente, por isso esto acessveis mesmo no caso de o servidor no estar acessvel. Alm disso, as cpias so atualizadas automaticamente quando o servidor e o clientes so reconectados. Entre os aprimoramentos do caching do lado-clientes esta a transio de estado facilitada, o que faz com que no seja necessria interveno por parte do usurio, pois mudanas realizadas off-line so sincronizadas no plano de fundo de maneira silenciosa. Alm disso, um modo de link low (lento) permite que os pedidos do usurio sejam satisfeitos do cache local, assim as conexes com o servidor acontecem somente quando requeridas. Igualmente, Windows Vista utiliza uma sincronizao rpida e transferncia diferenciadas, assim somente modificaes modified nos arquivos so transmitidas entre cliente e servidor, em vez do arquivo inteiro, no importando o tipo de aplicativo. As capacidades de caching do lado-cliente do Windows Vista acumulam benefcios extras quando trabalham com o Windows Server Longhorn devido aos aprimoramentos de rede subjacente discutidos na seocomunicao mais rpida . Os aplicativos ou scripts que precisam operar tanto no cliente quanto no servidor podem se beneficiar com o Transactional File System, na reduo do risco de erro durante as operaes de arquivo e de registro. Alm disso, poder retornar a um estado conhecido como bom, no caso de falha ou cancelamento. possvel criar diretivas que assegurem uma maior qualidade de servio para certos aplicativos ou servios, que requeiram atribuio de prioridades da largura de banda de rede entre clientes e servidor. Atravs do uso da Diretiva de Grupo os administradores tambm podem restringir a quantidade de largura de banda que um aplicativo pode utilizar e determinar valores de code point de servios diferenciados (DSCP) atravs da implementao dos padres de indstria de RFCs.
Comunicaes Mais Rpidas

Os clientes Windows Vista que estiverem conectados redes nas quais o Windows Server Longhorn tenha sido implantado podem perceber uma enorme melhora na rapidez e na confiabilidade da comunicao. A procura por servidores do Windows Server Longhorn a partir do cliente Windows Vista, torna acessveis aos dois
279
as tecnologias aprimoradas de indexao e de caching, fornecendo enormes ganhos de desempenho a toda a empresa. O suporte ao Native IPv6 por todos os clientes e servios do servidor cria uma rede mais escalonvel e confivel; ao mesmo tempo, a plataforma de rede de ltima gerao, somente disponvel na pilha do Windows Vista e do Windows Server Longhorn, torna a comunicao de rede muito mais rpida e eficiente. Novas tecnologias como o Receive Side Scaling e o Receive Window Auto-Tuning permitem uma comunicao mais rpida quando os clintes Windows Vista esto realizando o download de arquivos dos arquivos compartilhados do Windows Server Longhorn . O novo protocolo do Server Message Block (SMB) 2.0 fornece vrios aprimoramentos de comunicao, entre eles um melhor desempenho ao conectar-se com os arquivos compartilhados atravs de links de latncia alta e maior segurana com o uso de autenticao conjunta e assinatura de mensagens. Os Servios de Terminal do Windows Server Longhorn apresentam muitos aprimoramentos; entre eles, fornecer aos clientes Windows Vista, o acesso remoto a recursos internos, atravs de um portal http e aplicativos que operam como sendo de um desktop local.
Servios de Implantao do Windows

Depois que seus os engenheiros de sistema criarem a plataforma do cliente, preciso buscar uma forma de implantar o aplicativo em todos os computadores. Nas verses anteriores do Windows, a maioria das empresas utilizou a tcnica chamada imaging (tratamento de imagens), atravs da qual um sistema operacional e aplicativos so implantados nos computadores como um nico arquivo. Com o Windows Server Longhorn, todos usaro o imaging, mesmo se voc decidir instal-los um de cada vez, indo at cada computador com CD-ROM na mo. No entanto, voc no vai precisar fazer isto porque o Windows Server Longhorn torna fceis as implantaes automticas e as migrations. Primeiro, o Windows Imaging Format facilita a tarefa de criao de imagens se comparada a ferramentas de outras empresas de TI que voc tenha utilizado no passado. Ser possvel utilizar uma nica imagem em praticamente todos os hardwares sem qualquer restrio local. Com isso, no ser necessrio manter tantas imagens, o que implicar em um enorme ganho de tempo. Voc poder inclusive adicionar drivers, componentes e atualizaes s imagens sem iniciar o sistema operacional imaged, isto far com que voc poupe horas a cada atualizao.
Proteo contra Acesso Rede

O Windows Vista inclui o agente NAP (Network Access Protection), o qual oferece informaes sobre o estado de integridade de um cliente e configuraes de acesso rede de servidores ou ponto a
280
ponto. Os clientes que no possuam atualizaes de segurana ou assinaturas de vrus atuais; ou ainda, aqueles que falham com o cumprimento dos requisitos de integridade do mandato corporativo, tero o acesso rede restrito, at que possam ser reconfigurados e atualizados de acordo com os requisitos. A infra-estrutura NAP, presente Windows Server Longhorn, estabelece a concesso do acesso rede privada ou rede restrita ao cliente, com base na aquiescncia deste s diretivas de integridade estabelecidas. Uma vez na rede restrita, o cliente pode ter concedido o acesso a servios de reparao para conseguir patches (correes), assinaturas de anti-vrus entre outras aes necessrias para a observncia aos requisitos das diretivas de integridade. A NAP tambm pode ser usada para proteger a sua rede contra o acesso remoto de clientes insalubres, bem como clientes de LAN insalubres, atravs do uso de conexes com ou sem fio 802.1X autenticadas.
Qualidade do Servio baseada em Diretivas

A QoS baseada em diretivas, dos sistemas operacionais do Windows Vista e do Windows Server Longhorn, diminui o congestionamento da rede permitindo o gerenciamento central da largura de banda host. Por exemplo, caso seja concedida alta prioridade ao trfego de um aplicativo ERP para filial sobre o link WAN; ento, um gerente de vendas da filial, ao acessar ou introduzir dados do ERP, pode obter benefcios de um tempo de resposta invariavelmente rpido, mesmo quando o link WAN estiver carregado com outros trfegos. Historicamente, o trfego de rede no tem sido fcil de priorizar e gerenciar. O trfego sensvel a latncia e o trfego de tarefa crtica, tiveram que competir por uma largura de banda com trfego de prioridade baixa e tolerante a latncia, como por exemplo, a transferncia de dados em massa. Ao mesmo tempo, usurios e computadores com necessidades de desempenho de rede especficos, exigiram nveis de servio diferenciados. Assim,o desafio de fornecer nveis de desempenho de rede previsveis, apareceram primerio, com frequncia, nas conexes WAN ou nos aplicativos sensveis a latncia, como Voz sobre IP (VoIP) e o vdeo. Contudo, o objetivo de fornecer nveis de servio de rede previsveis se aplica a qualquer ambiente de rede e vai alm dos aplicativos VOIP: inclui qualquer aplicativo tradicional de linha de negcios. Com o QoS baseada em diretivas, o departamento de TI pode definir diretivas de QoS flexveis para priorizar ou controlar o trfego de sada de rede sem que seja necessrio efetuar modificaes nos aplicativos. Estas diretivas de QoS se aplicam ao trfego de sada com base em algum ou todos os seguintes triggers (sinais): o envio de aplicativos, a implantao atravs de Diretivas de Grupo (como por exemplo, um grupo de usurios ou computadores), endereos de IP da fonte ou destino, porta da fonte ou destino e protocolo.
281
SMB 2.0
O SMB (Server Message Block), tambm conhecido como Sistema de Arquivo de Internet (CIFS), trata-se de um protocolo de compartilhamento de arquivos, utilizado por padro em computadores com base Windows. No Windows Vista, o SMB suporta a nova verso SMB 2.0, a qual foi recriada para os ambientes de rede atuais e as necessidades dos servidores de arquivo de ltima gerao. O SMB 2.0 apresenta aprimoramentos que reduzem o nmero de pacotes necessrios para os comandos SMB e permitem maiores buffers e mais arquivos abertos a escalabilidade. Os computadores que operam o Windows Vista suportam tanto o SMB 1.0 (para verses anteriores do Windows) como os SMB 2.0 (para Windows Vista e Windows Server Longhorn).
Acesso Remoto Simplificado

O Recurso de Conexo Remota com o Windows Vista facilita o acesso remoto a qualquer recurso ou aplicativo que tenha sido disponibilizado voc por sua emprsa. Por exemplo, se voc for um vendedor necessitando realizar um acesso remoto a um aplicativo financeiro ou a um aplicativo CRM, o Windows Vista possibilita ao gerente de TI corporativo colocar um cone para este aplicativo no seu desktop. Dessa forma, basta clicar no cone para que uma conexo automtica ao Programa Remoto de Servios do Terminal seja feita empresa pela internet e ao Servidor Terminal do Windows Server Longhorn, , sem a necessidade de uma rede privada virtual (VPN). O Gateway de Servios do Terminal do Windows Server Longhorn fornece recursos extras para os computadores domsticos utilizados no acesso redes corporativas. Se voc acessar do computador da sua casa, basta entrar no Website da empresa atravs da internet e em seguida clicar nos links que o levaro aos recursos corporativos que voc necessita.
Recuperao e Soluo de Problemas

Todo o operador de centro de suporte j foi, em algum momento, obrigado a terminar seu trabalho bem mais tarde do que de costume, devida a problemas com o computador de um executivo, os quais precisavam ser solucionados naquele mesmo dia. O Windows Server Longhorn no tornar os executivos menos exigentes, mas o auxiliar a resolver os problemas de maneira mais rpida ou at mesmo os resolver antes que o assistente do executivo pea sua assistncia. Os arquivos de ajuda do Windows Server Longhorn so muito mais aproveitveis e quase todos os usurios podero entend-los, inclusive os executivos. possvel adicionar seu prprio contedo ao Centro de Suporte e Ajuda, assim os usurios podem ser assistidos por recursos da rede interna, bem como aplicativos tradicionais. As ferramentas de resoluo de problemas podem ser personalizadas e voc poder escalar os problemas no
282
solucionados direto do seu centro de suporte interno. As mensagens de erro do Windows Server Longhorn so muito mais significativas do que as de verses anteriores do Windows e auxiliaro os usurios a resolver problemas por conta prpria, em vez de pedir a eles que o chamem. O Windows Server Longhorn foi criado para solucionar de maneira automtica alguns dos problemas mais srios. Por exemplo, caso os arquivos do sistema se corrompam, o Windows XP pode simplesmente se recusar a proceder a inicializao. No entanto, o Windows Server Longhorn, poder ir automaticamente para um compartimento de recuperao. Em seguida, o Windows Server Longhorn oferece ao usurios o Startup Repair StR), uma recuperao no modo passo a passo, para a soluo de problemas com base em diagnsticos. O StR analisa as conexes startup para determinar a causa da falha, resolvendo muitas delas automaticamente. Caso o StR no consiga resolver o problema, uma administrador pode optar por fazer com que o sistema retorne a seu ltimo estado operante. Se o StR no for capaz de recuperar o sistema, ele fornecer ao usurio informaes para o diagnstico, bem como opes de suporte para facilitar a resoluo de problemas.
283
Seo 10: Diversos

284
10.01 Requisitos do Sistema

Requisitos do Sistema para o Windows Server Longhorn Beta 3
Processador Mnimo: 1 GHz Recomendado: 2 GHz Ideal: 3 GHz ou mais rpido Memoria Mnimo: 512 MB RAM Recomendado: 1 GB RAM Ideal: 2 GB RAM (Instalao Completa) ou 1 GB RAM (Instalao no Ncleo do Servidor) ou mais Mximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM (sistemas 64 bits) Espao Disponvel no Disco Mnimo: 8 GB Recomendado: 40 GB (Instalao Completa) ou 10 GB (Instalao no Ncleo do Servidor) ou mais Observe que Os computadores com mais de 16 GB de RAM necessitaro de mais espao no disco para paginao, hibernao e despejo de memria. Unidade de DVD-ROM Super VGA monitor com 800x600 pixels ou superior Teclado Teclado Microsoft ou compatvel Mouse Mouse Microsoft uu dispositivo apontador compatvel * Os requisitos atuais variaro de acordo com a configurao do seu sistema, bem como os aplicativos que voc optou por instalar. Talvez mais espao disponvel no disco rgido seja necessrio caso voc esteja instalando em uma rede. Obtenha mais informaes no site http://www.microsoft.com/brasil/windowsserver/longhorn. Observe que Este produto requer uma chave do produto vlida para sua ativao. possvel instalar o produto sem ativao; porm, se
285
voc no ativar o protudo com uma chave do produto vlida 30 dias aps a instalao, o software deixar de funcionar. Durante a instalao, voc dever selecionar qual a edio do Windows Server Longhorn Beta 3 deseja instalar. Tenha certeza de escolher a mesma edio do Windows Server Longhorn Beta 3 da chave do produto que voc possui, caso contrrio, voc no conseguir ativ-lo.
Instalao Completa Versus Instalao no Ncleo do Servidor

Algumas edies do Windows Server Longhorn Beta 3 podem ser configuradas como instalao complete ou utilizando a nova opo de instalao no Ncleo do Servidor. As instalaes feitas no Ncleo do Servidor podem ser administradas localmente, apenas com as ferramentas da linha de comando. A administrao das instalaes da Base do Servidor, utilizando as ferramentas de gerenciamento grfico, devem ser efetuadas distncia, com o uso de um software que suporte a administrao remota do Windows Server Longhorn Beta 3. Repare que uma vez que a instalao complete tenha sido feita, no ser possvel modificar a opo de instalao de Base do Servidor para Completa, ou vice-versa, sem reinstalar o software.
286
10.02 Tabela Detalhada de Contedo

Sobre o documento ...............................................1 Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
Seo 2: Virtualizao do Servidor 18
Seo 3: Acesso Centralizado a Aplicaes 34
Seo 4: Escritrios Remotos 83
Seo 5: Aplicao de Diretivas e Segurana 100
Seo 6: Plataforma de Aplicaes e da Web 199
Seo 7: Gerenciamento de Servidores 219
287
7.01 Introduo ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configurao Inicial .................................222 7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Ncleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
Seo 9: Windows Server e Windows Vista - Melhores juntos 275

Seo 10: Diversos 283

Guide Windows Server 2008

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guide Windows Server 2008

Enviado por

Direitos autorais:

Formatos disponíveis

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276

10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Contedo ................................286

Seo 1: Introduo ao Windows Server Longhorn

Guia do Revisor do Windows Server Longhorn Beta 3

1.01 Introduo ao Windows Server Longhorn

Introduo aos Cenrios

Guia do Revisor do Windows Server Longhorn Beta 3

A figura a seguir descreve os sete cenrios do Windows Server Longhorn:

Guia do Revisor do Windows Server Longhorn Beta 3

1.02 Maior Controle

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

1.03 Mais Flexibilidade

Guia do Revisor do Windows Server Longhorn Beta 3

1.04 Maior Proteo

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

Seo 2: Virtualizao do Servidor

Guia do Revisor do Windows Server Longhorn Beta 3

2.01 Introduo Virtualizao de Servidor

Proposta de Valor do Cenrio

Requisitos Especiais de Hardware

Guia do Revisor do Windows Server Longhorn Beta 3

2.02 Virtualizao do Windows Server

proporciona um aprovisionamento mais flexvel de recursos e centros de dados.

Roadmap da Virtualizao da Microsoft

Virtual Server 2005 R2

Virtual Server 2005 R2: Administration Website

Guia do Revisor do Windows Server Longhorn Beta 3

Virtualizao do Windows Server

Guia do Revisor do Windows Server Longhorn Beta 3

System Center Virtual Machine Manager

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

2.03 Ncleo do Servidor

Guia do Revisor do Windows Server Longhorn Beta 3

Seo 3: Acesso Centralizado a Aplicaes

Guia do Revisor do Windows Server Longhorn Beta 3

3.01 Introduo ao Acesso Centralizado a Aplicaes

Proposta de Valor do Cenrio

Requisitos Especiais de Hardware

3.02 Funcionalidade Bsica de Servios de Terminal

Em alguns casos, ser necessrio tambm usar o Windows Vista.

Guia do Revisor do Windows Server Longhorn Beta 3

Conexo de rea de Trabalho Remota 6.0

Guia do Revisor do Windows Server Longhorn Beta 3

Redirecionamento de Dispositivo Microsoft Point of Services for .NET

Configurando um Servidor de Terminal

Guia do Revisor do Windows Server Longhorn Beta 3

Configurando um Arquivo de Protocolo de rea de trabalho Remota

Usando Dispositivos Microsoft POS for .NET

Exibio de Conexo de rea de trabalho Remota

Alm disso, priorizao experincia servidor de

Resolues de Exibio Personalizadas

Composio de rea de trabalho

Guia do Revisor do Windows Server Longhorn Beta 3

Ajustando Configuraes Adicionais

Priorizao de Dados de Exibio

Pr-requisitos para Implantar o Logon nico

Configurao Recomendada de um Servidor de Terminal ao Usar o Logon nico

Guia do Revisor do Windows Server Longhorn Beta 3