Escolar Documentos
Profissional Documentos
Cultura Documentos
Sobre o documento
ESTE DOCUMENTO NO UMA ESPECIFICAO DE PRODUTO.
Contedo
Sobre o documento ...............................................1
Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn
18
34
83
100
199
219
266
275
283
Seo 1: Introduo ao
Windows Server Longhorn
1.01 Introduo ao Windows Server Longhorn...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade ............................................11
1.04 Maior Proteo..............................................14
10
11
12
plataforma de
em monitor
permite que voc
e virtuais.
13
14
15
16
17
18
Seo 2: Virtualizao do
Servidor
2.01 Introduo Virtualizao de Servidor .............................19
2.02 Virtualizao do Windows Server.................................20
2.03 Ncleo do Servidor ...........................................33
19
20
21
Benefcios da Virtualizao
Organizaes de TI hoje esto sob uma presso incrvel para
fornecer mais valor a seus clientes comerciais e tipicamente
com pouco ou nenhum aumento no oramento. Otimizar o uso de
ativos fsicos de TI se torna imperativo medida que os centros
de dados atingem sua capacidade de potncia e espao. A Microsoft
reconhece que o problema se intensifica para empresas cujos
servidores trabalham com utilizao muito baixa. Taxas de
utilizao de servidor de menos de 5 por cento no so incomuns,
e as taxas de utilizao de muitos clientes caem dentro da faixa
de 10- a 15 por cento. Muitos desses desafios, compartilhados
entre administradores de servidor e desenvolvedores, podem ser
tratados com a ajuda das solues de virtualizao da Microsoft.
A tecnologia de virtualizao de mquina usada para consolidar
vrias mquinas fsicas em uma nica mquina fsica. A
virtualizao tambm pode ser usada para re-hospedar ambientes de
legado, especialmente conforme o hardware de gerao mais antiga
se torna mais difcil e dispendioso para manter. E como o
software separado do hardware, a virtualizao uma boa
soluo para ambientes de recuperao de desastres, tambm.
Como uma parte essencial de qualquer estratgia de consolidao
de servidor, as solues de virtualizao da Microsoft aumentam a
utilizao do hardware e permitem que as organizaes configurem
e implantem rapidamente novos servidores com os seguintes
importantes benefcios:
22
23
Cenrios de Uso
O Virtual Server 2005 R2 oferece eficincia de hardware melhorada
oferecendo uma tima soluo para isolamento e gerenciamento de
recursos, o que possibilita a coexistncia de mltiplas cargas de
trabalho em menos servidores. O Virtual Server pode ser usado
Guia do Revisor do Windows Server Longhorn Beta 3
24
para melhorar a eficincia operacional na consolidao de infraestrutura, cargas de trabalho de servidor de aplicaes e em
escritrios remotos, consolidando e re-hospedando aplicaes de
legado, automatizando e consolidando ambientes de testes e de
desenvolvimento de software, e reduzindo o impacto de desastres.
25
Principais Recursos
A virtualizao facilita ampla compatibilidade de dispositivos e
suporte completo para ambientes de servidor Windows.
Ampla
compatibilidade
com sistema
operacional x86
guest. O Virtual
Server pode
executar todos
os principais
26
27
Cenrios de Uso
A Virtualizao do Windows Server integrada como a funo de
virtualizao no Windows Server Longhorn e oferece um ambiente
virtual mais dinmico para consolidar cargas de trabalho. Ela
fornece uma plataforma de virtualizao que permite eficincia
operacional aprimorada para consolidao de cargas de trabalho,
gerenciamento de continuidade de negcios, automatizar e
consolidar ambientes de testes de software, e criar um centro de
dados dinmico.
28
Principais Recursos
H vrios novos recursos na Virtualizao do Windows Server que
ajudam a criar uma plataforma de virtualizao escalonvel,
segura e altamente disponvel como parte do Windows Server
Longhorn. Os seguintes so alguns dos principais componentes e
recursos da Virtualizao do Windows Server.
29
Cenrios de Uso
O System Center Virtual Machine Manager oferece suporte simples e
completo para consolidar hardware em infra-estrutura virtual e
otimizar a utilizao. Ele tambm proporciona rpido
aprovisionamento de mquinas virtuais a partir de mquinas
fsicas ou modelos na biblioteca de imagens ou por usurios
finais.
30
Principais Recursos
O System Center Virtual Machine Manager se concentra em
requisitos nicos de mquinas virtuais e projetado para
permitir utilizao aumentada de servidor fsico, gerenciamento
centralizado de infra-estrutura de mquina virtual e rpido
aprovisionamento de novas mquinas virtuais. Os seguintes so
alguns dos recursos principais do System Center Virtual Machine
Manager.
31
32
33
Para saber
mais,
consulte
7.05
Ncleo do
Servidor
(Server
Core) na
pgina
242.
34
35
36
Vrios monitores
37
38
Nota
Voc tambm pode redirecionar unidades de disco que
sero conectadas depois de uma sesso para um
computador remoto que esteja ativo. Para tornar uma
unidade de disco a que voc se conectar mais tarde
disponvel para redirecionamento, expanda Drives, e
em seguida assinale a caixa de seleo Drives that I
connect to later.
7. Clique em OK, e conecte-se ao computador remoto.
O arquivo (.rdp) do Protocolo de rea de trabalho Remota (Remote
Desktop Protocol) criado pelo Assistente RemoteApp ativa
automaticamente o redirecionamento de dispositivo Plug and Play.
Para mais informaes sobre o RemoteApps, consulte o Guia Passo a
Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para
acessar esse guia, visite o Windows Server Longhorn TS
RemoteApp e o TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609).
Quando a sesso para o computador remoto lanada, voc deve ver
o dispositivo Plug and Play que redirecionado ser instalado
automaticamente no computador remoto. Notificaes do Plug and
Play aparecero na barra de tarefas no computador remoto.
Se voc tiver assinalado a caixa de seleo Drives that I connect
to later na Conexo de rea de trabalho Remota (Remote Desktop
Connection), deve ver o dispositivo Plug and Play ser instalado
no computador remoto quando lig-lo em seu computador local
enquanto a sesso para o computador remoto estiver ativa.
Depois que o dispositivo Plug and Play instalado no computador
remoto, ele fica disponvel para uso em sua sesso com o
computador remoto. Por exemplo, se voc redirecionar um
dispositivo porttil baseado em Windows como uma cmera digital,
o dispositivo pode ser acessado diretamente a partir de uma
aplicao como o Assistente de Cmera e Scanner no computador
remoto.
O redirecionamento de dispositivo Plug and Play no suportado
em conexes em cascata de servidor de terminal. Por exemplo, se
voc tiver um dispositivo Plug and Play ligado a seu computador
cliente local, pode redirecionar e usar esse dispositivo quando
se conectar a um servidor de terminal (Server1, por exemplo). Se,
de dentro de sua sesso remota no Server1, voc ento se conectar
a outro servidor de terminal (Server2, por exemplo), no ser
capaz de redirecionar e usar o dispositivo Plug and Play em sua
sesso remota com o Server2.
Voc pode controlar o redirecionamento de dispositivos Plug and
Play usando qualquer das seguintes configuraes de Diretiva de
Grupo:
39
Computer Configuration\Administrative
Templates\System\Device Installation\ definio de diretiva
de Device Installation Restrictions
40
41
Computer Configuration\Administrative
Templates\System\Device Installation\ definio de diretiva
de Device Installation Restrictions
42
Alm disso,
priorizao
experincia
servidor de
Abrangncia do Monitor
A abrangncia de monitores permite que voc exiba sua sesso de
rea de trabalho remota atravs de vrios monitores.
Os monitores usados para a abrangncia de monitores devem
satisfazer os seguintes requisitos:
43
Nota
Para mais informaes sobre as configuraes de arquivo
.rdp, consulte o artigo 885187 na Base de Conhecimento
Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).
Para ativar a abrangncia de monitores a partir de um prompt
de comando, faa o seguinte:
Experincia Desktop
O software de Conexo de rea de trabalho Remota 6.0 (Remote
Desktop Connection 6.0) reproduz a rea de trabalho que existe no
computador remoto no computador cliente do usurio. Para fazer o
computador remoto se parecer com a Experincia Desktop do Windows
Vista local do usurio, voc pode instalar o recurso de
Experincia Desktop em seu servidor de terminal do Windows Server
Longhorn. A Experincia Desktop instala recursos do Windows
Vista, como o Windows Media Player 11, temas de rea de trabalho,
e gerenciamento de fotos.
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faa o seguinte:
Guia do Revisor do Windows Server Longhorn Beta 3
44
Janelas transparentes
45
46
47
Configurao de Cliente
Para tornar a composio de rea de trabalho disponvel para uma
conexo de rea de trabalho remota, siga este procedimento.
Para tornar uma composio de rea de trabalho disponvel,
faa o seguinte:
1. Abra a Conexo de rea de trabalho Remota (Remote Desktop
Connection). Para abrir a Conexo de rea de trabalho
Remota no Windows Vista, clique em Start, aponte para All
Programs, clique em Accessories, e em seguida clique em
Remote Desktop Connection.
2. Na caixa de dilogo Remote Desktop Connection, clique em
Options.
3. Na guia Experience, assinale a caixa de seleo Desktop
composition, e assegure-se de que a caixa de seleo Themes
esteja assinalada.
4. Configure quaisquer configuraes restantes, e em seguida
clique em Connect.
Quando voc permite a composio de rea de trabalho, est
especificando que as configuraes locais no computador cliente
do Windows Vista ajudaro a determinar a experincia do usurio
na conexo de rea de trabalho remota. Note que ao permitir a
composio de rea de trabalho, voc no muda as configuraes do
servidor de terminal do Windows Server Longhorn.
Como o Windows Aero requer e usa mais recursos de hardware, voc
precisar determinar que impacto sobre a escalabilidade isso ter
em quantas conexes simultneas de estaes de trabalho remotas
que o seu servidor de terminal Windows Server Longhorn pode
suportar.
Suavizao de Fonte
O Windows Server Longhorn suporta ClearType, que uma
tecnologia para exibir fintes de computador de modo que elas
Guia do Revisor do Windows Server Longhorn Beta 3
48
Windows Vista
49
FlowControlDisable
FlowControlDisableBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
50
Logon nico
O logon nico um mtodo de autenticao que permite a um
usurio com uma conta de domnio efetuar o logon uma nica vez,
usando uma senha ou smart card, e ento obter acesso a servidores
remotos sem precisar apresentar suas credenciais novamente.
Os principais cenrios para o logon nico so esses:
51
52
53
54
55
early adopters
Servio de Servidor de Diretiva de Rede (NPS Network Policy Server). Se um servidor de NPS
anteriormente conhecido como servidor de Servio de
Usurio de Discagem de Autenticao Remota (RADIUS Remote Authentication Dial-In User Service) j
estiver implantado para cenrios de acesso remoto
como VPN e rede discada, voc tambm pode usar o
servidor de NPS existente para cenrio de TS Gateway.
Usando o NPS para TS Gateway, voc pode centralizar o
armazenamento, gerenciamento e validao das
56
57
TS CAPs
As diretivas de autorizao de conexo dos Servios e Terminal
(TS CAPs) permitem que voc especifique grupos de usurios, e
opcionalmente, grupos de computadores, que podem acessar um
servidor de TS Gateway. Voc pode criar um TS CAP usando o
Gerenciador de TS Gateway.
As TS CAPs simplificam a administrao e aumentam a segurana
oferecendo um maior nvel de controle sobre o acesso a
computadores remotos em sua rede corporativa.
As TS CAPs permitem que voc especifique quem pode ser conectar a
um servidor de TS Gateway. Voc pode especificar um grupo de
usurios que existe no servidor de TS Gateway local ou nos
Servios de Domnio do Active Directory. Voc tambm pode
especificar outras condies que os usurios devem satisfazer
para acessar um servidor de TS Gateway. Pode listar condies
especficas em cada TS CAP. Por exemplo, voc pode exigir que um
usurio use um smart card para se conectar atravs do TS Gateway.
Os usurios recebem acesso a um servidor de TS Gateway se
atenderem as condies especificadas na TS CAP.
Importante
Voc tambm deve criar uma diretiva de autorizao de
recurso de Servios de Terminal (TS RAP). Uma TS RAP
permite que voc especifique os recursos de rede aos quais
os usurios podem se conectar atravs do TS Gateway. At
voc criar uma TS CAP e uma TS RAP, os usurios no podem
se conectar a recursos de rede atravs desse servidor de TS
Gateway.
58
TS RAPs
As TS RAPs permitem que voc especifique os recursos de rede aos
quais os usurios podem se conectar atravs de um servidor de TS
Gateway. Quando voc cria uma TS RAP, pode criar um grupo de
computadores e associ-lo com a TS RAP.
Usurios conectando-se rede atravs do TS Gateway recebem
acesso a computadores remotos na rede corporativa se satisfizerem
as condies especificadas em pelo menos uma TS CAP e uma TS RAP.
Nota
Usurios de clientes podem especificar um nome de NetBIOS
ou um nome de domnio completamente qualificado (FQDN fully qualified domain name) para o computador remoto que
querem acessar atravs do servidor de TS Gateway. Para
suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP
para cada nome de computador possvel.
Juntas, as TS CAPs e TS RAPs oferecem dois nveis diferentes de
autorizao para dar a voc a capacidade de configurar um nvel
mais especfico de controle de acesso a recursos de redes
corporativas.
Capacidades de Monitoramento
Voc pode usar o Gerenciador de TS Gateway para visualizar
informaes sobre conexes ativas de clientes de Servios de
Guia do Revisor do Windows Server Longhorn Beta 3
59
O endereo IP do cliente
Nota
Se sua configurao de rede inclui servidores Proxy, o
endereo IP que aparece na coluna Client IP Address (no
painel de detalhes Monitoring) pode refletir o endereo IP
do servidor Proxy, e no o endereo IP do cliente de
Servios de Terminal.
60
61
62
63
Arquitetos corporativos
64
Referncias Adicionais
Para mais informaes sobre o TS RemoteApp, consulte o Guia Passo
a Passo do TS RemoteApp. Para acessar esse guia, visite o
TechCenter do Windows Server Longhorn TS RemoteApp e TS Web
Access (http://go.microsoft.com/fwlink/?LinkId=79609).
65
66
Windows Vista
Nota
O software de Conexo de rea de trabalho Remota verso 6.0
est disponvel para uso no Windows XP com Service Pack 2 e
Windows Server 2003 com Service Pack 1. Para usar qualquer
recurso novo de Servios de Terminal em qualquer dessas
plataformas, faa o download do pacote de instalao na
Central de Downloads Microsoft
(http://go.microsoft.com/fwlink/?LinkId=79373).
Alm disso, tenha em mente que o Windows Server Longhorn Beta 3
pode no incluir toda a funcionalidade planejada para o TS Web
Access.
67
Implantao
Se voc quer implantar o TS Web Access, pode se preparar analisando
o tpico Terminal Services RemoteApp (TS RemoteApp) neste documento
para informaes sobre o novo recurso TS RemoteApp. Informaes
mais detalhadas de implantao esto disponveis no Guia Passo a
Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter
Windows Server Longhorn TS RemoteApp e TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609). Voc tambm pode querer analisar
as informaes sobre o IIS 7.0.
Se quiser usar o TS Web Access para tornar RemoteApps disponveis a
computadores atravs da Internet, deve analisar o tpico Gateway de
Servios de Terminal (TS Gateway) neste documento. O TS Gateway
ajuda voc a proteger conexes remotas a servidores de terminal em
sua rede corporativa.
68
A pgina de
Part) permitem
facilmente, e
pgina de Web
69
70
71
72
73
74
Nota
Para configurar um servidor para participar do
balanceamento de carga do TS Session Broker, e para
atribuir um valor de peso a um servidor, voc pode usar a
ferramenta Configurao de Servios de Terminal.
Alm disso, fornecido um novo mecanismo que possibilita que
voc permita ou recuse novas conexes de usurio ao servidor de
terminal. Esse mecanismo fornece a capacidade de se colocar um
servidor offline para manuteno sem interromper a experincia do
usurio. Se novas conexes forem recusadas em um servidor de
terminal na farm, o TS Session Broker redirecionar as sesses de
usurios para servidores de terminal configurados para permitir
novas conexes.
Nota
A configurao que voc pode usar para permitir ou recusar
novas conexes de usurios est localizada na guia Geral da
conexo RDP-Tcp na ferramenta Configurao de Servios de
Terminal.
Se voc quiser usar o recurso de balanceamento de carga do TS
Session Broker, tanto o servidor do TS Session Broker como os
servidores de terminal na mesma farm devem estar executando o
Windows Server Longhorn Beta 3.
voc deve registrar o endereo IP de todos os servidores de terminal
em uma nica entrada do DNS para a farm. Se preferir, pode usar
rodzio de DNS ou um balanceador de carga de hardware para espalhar
a carga de conexo e autenticao inicial entre mltiplos servidores
de terminal na farm.
75
76
77
78
79
80
Instalando o WSRM
Para instalar o servio de funo de Servidor de Terminal e
configur-lo para hospedar programas, faa o seguinte:
1. Abra o Gerenciador de Servidor. Clique em Start, aponte
para Administrative Tools, e em seguida clique em Server
Manager.
2. Em Features Summary, clique em Add features.
3. Na pgina Select Features, assinale a caixa de seleo
Windows System Resource Manager (WSRM).
4. Uma caixa de dilogo aparecer informando que o servio de
funo SQL Server 2005 Embedded Edition (Windows) tambm
precisa ser instalada para que o WSRM funcione
corretamente. Clique em Add Required Role Services, e em
seguida clique em Next.
5. Na pgina Confirm Installation Options, certifique-se de
que o SQL Server 2005 Embedded Edition (Windows) e o
Guia do Revisor do Windows Server Longhorn Beta 3
81
Igual_Por_Usurio (Equal_Per_User)
Igual_Por_Sesso (Equal_Per_Session)
Nota
A diretiva de alocao Igual_Por_Sesso nova no Windows
Server Longhorn.
82
Desempenho de Monitoramento
Voc deve coletar dados sobre o desempenho de seu servidor de
terminal antes e depois de implementar a diretiva de alocao de
recursos Igual_Por_Sesso (ou de fazer qualquer outra alterao
de configurao relacionada ao WSRM). Voc pode usar o Monitor de
Recursos do snap-in Gerenciador de Recursos de Sistema do Windows
para coletar e visualizar dados sobre o uso de recursos de
hardware e a atividade de servios de sistema no computador.
83
84
85
Maior segurana
86
Baixo conhecimento de TI
msDS-Reveal-OnDemandGroup
msDS-NeverRevealGroup
msDS-RevealedUsers
msDS-AuthenticatedToAccountList
87
Replicao unidirecional
Caching de credenciais
Replicao Unidirecional
Nenhuma mudana gravada diretamente no RODC, pois nenhuma
mudana se origina no RODC. Como resultado, os controladores de
domnio gravvel, que so parceiros na replicao, no precisam
extrair mudanas do RODC. Isto reduz a carga de trabalho dos
servidores bridgehead no hub e o esforo necessrio para
monitorar a replicao.
A replicao unidirecional do RODC se aplica tanto aos Servios
de Domnio do Active Directory como Replicao do Sistema de
Arquivos Distribudo (DFS). O RODC desempenha a replicao normal
88
Caching de Credenciais
Caching de credenciais o armazenamento de credenciais do
usurio ou do computador. As credenciais consistem em um pequeno
conjunto de aproximadamente 10 senhas que esto associadas aos
diretores de segurana. Por padro, um RODC no armazena as
credenciais do usurio ou do computador. As excees so a conta
de computador do RODC e uma conta krbtgt especial existente em
cada RODC. necessrio conceder permisso explcita a qualquer
outro caching de credencial explicitamente em um RODC.
O RODC anunciado como o Principal Centro de Distribuio (KDC
Key Distribution Center) para a filial. O RODC utiliza uma conta
krbtgt e senha diferente do KDC em um controlador de domnio
gravvel, quando este assina ou criptografa pedidos TGT (ticketgranting ticket).
Aps uma conta ser devidamente autenticada, o RODC tenta contatar
um controlador de domnio gravvel no site hub e pede uma cpia
das credenciais apropriadas. O controlador de domnio gravvel
reconhece que o pedido se origina de um RODC e consulta a
Diretiva de Replicao de Senhas em vigor para aquele RODC.
A Diretiva de Replicao de Senhas determina se podem ser
replicadas as credenciais de um usurio ou de um computador do
controlador de domnio gravvel para o RODC. Se a Diretiva de
Replicao de Senhas permitir, o controlador de domnio gravvel
replica as credenciais para o RODC, que faz o caching.
Depois de fazer o caching das credenciais, o RODC pode atender
diretamente os pedidos de registro do usurio at o momento de
troca de credenciais. (Quando um TGT assinado com a conta
krbtgt do RODC, este reconhece que existe uma cpia cache das
credenciais. Caso outro controlador de domnio assine o TGT, o
RODC envia os pedidos ao controlador de domnio gravvel.)
Ao limitar o caching de credenciais somente aos usurios
certificados com o RODC, a exposio potencial de credenciais do
RODC tambm limitada. De maneira geral, apenas um pequeno grupo
de usurios do domnio possui o caching das credenciais em
qualquer RODC. Portanto, no caso de o RODC ser roubado, somente
as credenciais cacheadas podem potencialmente ser quebradas.
O ato de deixar o caching de credenciais desabilitado pode mais
adiante limitar a exposio, mas faz com que todos os pedidos de
autenticao sejam encaminhados para um controlador de domnio
gravvel. Um administrador pode modificar a Diretiva de
Replicao de Senhas para permitir o caching de credenciais dos
usurios no RODC.
89
Implantao
Os pr-requisitos para a implantao de um RODC so os seguintes:
90
91
92
(http://go.microsoft.com/fwlink/?LinkId=72757).
O BitLocker exige que a partio ativa (tambm chamada de
partio de sistema) no seja criptografada. O sistema
operacional Windows instalado em uma segunda partio, a qual
criptografada pelo BitLocker.
Ao trabalhar com a criptografia de dados, especialmente em um
ambiente corporativo, necessrio ter em mente como estes dados
podero ser recuperados no caso de uma falha de hardware, de
mudanas no quadro de funcionrios, ou outras situaes em que h
perda das chaves de criptografia. O BitLocker suporta um cenrio
robusto de recuperao, o qual ser descrito neste artigo mais
adiante.
Os principais recursos do BitLocker incluem criptografia de
unidade de disco, verificao da integridade dos primeiros
componentes de inicializao e o mecanismo de recuperao.
93
Verificao de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos
primeiros componentes da inicializao, para ajudar na preveno
contra ataques offline adicionais, como por exemplo, tentativas
de inserir cdigos maliciosos nesses componentes.
Na primeira etapa do processo de inicializao, os componentes
no podem estar criptografados, para que o computador possa
iniciar. Por esta razo, um agressor pode efetuar mudana de
cdigo nos primeiros componentes da inicializao, tendo acesso
ao computador, mesmo que os dados do disco estejam
criptografados. Assim, se o agressor conseguir acesso s
informaes confidenciais, como as chaves do BitLocker ou senhas
do usurio, o BitLocker, bem como outras protees de segurana
do Windows, podem ser burladas.
Cada vez que um computador equipado com TPM inicia, cada um dos
primeiros componentes de inicializao (como BIOS, MBR, setor de
partida e cdigo de gerenciamento de inicializao) examina o
cdigo a ser executado, calcula um valor de seqncia e armazena
este valor no TPM. Uma vez instalado no TPM, esse valor no pode
ser mudado at que o sistema reinicialize. Uma combinao destes
valores gravada e usada para proteger as chaves de
criptografia.
Os computadores que incorporam um TPM podem criar uma chave
vinculada a estes valores. Quando este tipo de chave criada,
ela criptografada pelo TPM, e somente o TPM pode
descriptograf-la. Cada vez que o computador inicia, o TPM
compara os valores produzidos durante a inicializao atual com
os valores que existiam no momento da criao da chave. Ele
somente criptografa a chave se os valores combinarem. Este
processo chamado lacrar e deslacrar a chave.
O BitLocker examina e lacra as chaves nas dimenses do CRTM (Core
Root of Trust), do BIOS e de qualquer extenso de plataforma,
opo de cdigo memria somente leitura (ROM), cdigo MBR, setor
de partida e gerenciador de partida. Isto significa que, no caso
de ocorrer alguma mudana inesperada em qualquer desses tens, o
BitLocker travar a unidade e impedir que ela seja acessada ou
descriptografada.
O Bitlocker configurado para buscar e utilizar um TPM. Voc
pode empregar a Diretiva de Grupo para permitir que o BitLocker
opere sem um TPM e armazene as chaves em uma unidade externa USB;
entretanto, o BitLocker no pode ento verificar os primeiros
componentes da inicializao.
Guia do Revisor do Windows Server Longhorn Beta 3
94
Opes de Recuperao
O BitLocker suporta uma grande srie de opes de recuperao, de
modo a garantir a disponibilidade dos dados aos seus usurios
legtimos.
fundamental que os dados de uma empresa possam ser
descriptografados, mesmo que estejam disponveis as chaves de
descriptorafia mais amplamente utilizadas. A capacidade de
recuperao est inserida no BitLocker, sem back doors. Porm,
as empresas podem facilmente assegurar-se de que seus dados esto
protegidos e disponveis.
Quando o BitLocker ativado, o usurio recebe uma solicitao
para armazenar uma senha de recuperao, a qual ser utilizada
para destravar um volume BitLocker que estiver travado. O
assistente de instalao do BitLocker exige que pelo menos uma
cpia da senha de recuperao seja salva.
Porm, em muitos ambientes, no possvel confiar a usurios a
guarda e proteo das senhas de recuperao. Assim sendo, voc
pode configurar o BitLocker para salvar as informaes de
recuperao no Active Directory ou nos Servios de Domnio do
Active Directory.
Ns recomendamos que as senhas de recuperao sejam salvas no
Active Directory em ambientes corporativos.
As configuraes da Diretiva de Grupo podem ser usadas para
configurar o BitLocker, de forma a exigir ou proibir diferentes
tipos de armazenamento de senhas de recuperao, ou torn-las
opcionais.
As configuraes da Diretiva de Grupo tambm podem ser usadas
para evitar a desativao do BitLocker, caso no seja possvel o
backup das chaves no Active Directory.
Para mais informaes sobre como configurar o Active Directory
para suportar as opes de recuperao, veja: Configuring Active
Directory to Back up Windows Criptografia de Unidade de Disco
BitLocker e Trusted Platform Module Recovery Information
(http://go.microsoft.com/fwlink/?LinkId=82827).
95
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto atravs do Windows
Management Instrumentation (WMI) ou de uma interface de comando
por linha.
Em um ambiente com muitos computadores ou computadores em
escritrios remotos e filiais, fica difcil ou impossvel
gerenciar recursos e configuraes de forma individual.
Os recursos do BitLocker esto dispostos no subsistema WMI, que
uma implementao das estruturas e funes do WBEM (Web-Based
Enterprise Management). Por essa razo, os administradores podem
usar qualquer software WBEM compatvel com WMI para gerenciar o
BitLocker em computadores locais ou remotos.
Para mais informaes sobre BitLocker e WMI, veja: Criptografia
de Unidade de Disco BitLocker Provider
(http://go.microsoft.com/fwlink/?LinkId=82828)
O Windows tambm adiciona ao BitLocker uma interface de comando
por linha, implementada como um script chamado managebde.wsf.Voc pode usar o manage-bde.wsf para controlar todos os
aspectos do BitLocker em um computador local ou remoto. Para
obter uma lista completa da sintaxe e dos comandos do of managebde, digite o seguinte em um prompt de comando:
manage-bde.wsf /?
O gerenciamento remoto do BitLocker um componente opcional que
pode ser instalado no Windows Server Longhorn, para permitir
que voc gerencie outros computadores sem ativar o BitLocker no
servidor que voc esteja usando.
O componente opcional para o gerenciamento remoto do BitLocker
chamado BitLocker-RemoteAdminTool. Este pacote de componente
opcional contm o manage-bde.wsf e o arquivo associado .ini. Para
instalar somente o componente de gerenciamento remoto, voc deve
digitar no prompt de comando:
start /w pkgmgr /iu:BitLocker-RemoteAdminTool
96
Nome da
Configurao
Padro
Descrio
Ativar backup
do BitLocker
para Servios
de Domnio do
Active
Directory
Desativado
Configurao do
Painel de
Controle:
Configurar
pasta de
recuperao
Nenhum(Seleo do
usurio)
Configurao do
Painel de
Controle:
Configurar
opes de
recuperao
Nenhum (Seleo do
usurio)
Configurao do
Painel de
Controle:
Ativar opes
de configurao
avanadas
Desativado
Configurar
mtodo de
criptografia
Prevenir
regravao de
memria na
reinicializao
Desativado (a
memria ser
regravada)
Configurar
perfil de
validao de
plataforma do
TPM
PCRs 0, 2, 4, 8,
9, 11
97
Padro
Descrio
Ativar backup
do TPM para
Servios de
Domnio do
Active
Directory
Desativado
Configurar
lista de
comandos
bloqueados do
TPM
Nenhum
Ignorar a lista
padro dos
comandos do TPM
bloqueados
Desativado
Ignorar a lista
local dos
comandos do TPM
bloqueados
Desativado
Implantao
O BitLocker um componente opcional em todas as edies do
Windows Server Longhorn.
O BitLocker est disponvel no Windows Vista Enterprise e no
Windows Vista Ultimate, e pode ser muito til na proteo de
dados armazenados em computadores clientes, especialmente nos
mveis.
Antes de ativar o BitLocker, voc deve levar em considerao:
98
Informaes Adicionais
99
Para saber
mais, veja
a seo
7.05
Ncleo do
Servidor
na pgina
242.
100
101
102
103
104
105
106
107
Snap-in MMC
snap-in NAP
segurana e
com suporte
108
Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN uma
alternativa para utilizar a Diretiva de Grupo para
configurar a conectividade sem fio e as configuraes de
segurana do Windows Vista. Voc pode utilizar os comandos
Netsh wlan para configurar o computador local ou para
configurar mltiplos computadores que utilizem um script de
logon. Alm disso, possvel utilizar os comandos Netsh
wlan para visualizar as configuraes de Diretiva de Grupo
e administrar as configuraes do WISP (Wireless Internet
Service Provider) e as configuraes sem fio de usurio.
A interface Netsh sem fio fornece os seguintes benefcios:
o
109
Recursos Adicionais
Para saber mais sobre os Servios de Acesso e Diretiva de Rede,
abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de
exibir a Ajuda:
110
111
112
Validao de Diretivas
Os SHVs (System health validators validadores de integridade do
sistema) so utilizados pelo NPS para analisar o status de
integridade dos computadores cliente. OS SHVs so incorporados s
diretivas de rede que determinam as aes a serem realizadas com
base no status da integridade do cliente, como conceder acesso
total rede ou restringir o acesso rede. O status da
integridade monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents agentes de
integridade do sistema). O NAP utiliza os SHAs e os SHVs para
monitorar, reforar e remediar configuraes de computadores
cliente.
O Windows Security Health Agent e o Windows Security Health
Validator esto includos nos sistemas operacionais Windows Server
Longhorn e Windows Vista e reforam as seguintes configuraes
para computadores ativados para o NAP:
113
Remediao
Os computadores cliente no-conformes que so colocados em uma rede
restrita podem ser submetidos remediao. Remediao o
processo de atualizar um computador cliente de forma que ele passe
a atender aos requisitos atuais de integridade. Por exemplo, uma
rede restrita pode conter um servidor FTP (File Transfer Protocol)
que fornece assinaturas atuais de vrus de forma que os
computadores cliente em no-conformidade possam atualizar suas
assinaturas.
possvel utilizar as configuraes do NAP nas diretivas de
integridade NPS para configurar a remediao automtica, de forma
que os componentes do cliente NAP tentem, automaticamente,
atualizar o computador cliente quando este estiver em noconformidade com os requisitos de integridade de rede. Voc pode
utilizar a seguinte configurao de diretiva para configurar a
remediao automtica:
114
115
Abordagens Combinadas
Cada um desses mtodos de reforo NAP possui diferentes vantagens.
Combinando os mtodos de reforo, ser possvel combinar as
vantagens desses mtodos. Entretanto, ao implantar mltiplos
mtodos de reforo NAP, voc poder fazer com que sua implementao
NAP seja mais complexa de ser gerenciada.
O framework do NAP tambm fornece um conjunto de APIs que permite
que outras empresas que no sejam a Microsoft integrem seus
softwares com a NAP. Utilizando as APIs do NAP, fornecedores e
desenvolvedores de software podero fornecer solues de fim a fim
que validem o funcionamento e faam a remediao de clientes em
no-conformidade.
Implantao
Guia do Revisor do Windows Server Longhorn Beta 3
116
117
118
SHVs e envia essas respostas ao NPS para que este faa uma
avaliao.
SHVs (System health validators - validadores de integridade do
sistema). Os SHVs so cpias de software de servidor para os SHAs.
Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs
verificam o SoH feito por seu SHA correspondente no computador
cliente.
Os SHAs e os SHVs so associados um ao outro, juntamente com um
servidor de diretivas correspondente (se exigido) e, talvez, a um
servidor de remediao.
Um SHV tambm pode detectar que nenhum SoH foi recebido (por
exemplo, se o SHA nunca tiver sido instalado, se tiver sido
danificado ou removido). Se o SoH atender ou no diretiva
definida, o SHV enviar uma mensagem SoHR (statement of health
response - declarao de resposta de integridade) para o servidor
de administrao NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o
servidor NPS dever coordenar a sada de todos os SHVs e determinar
se deve ser limitado o acesso de um computador em no-conformidade.
Isso exige um planejamento cuidadoso ao definir diretivas de
integridade para o seu ambiente e avaliar na diferente forma com
que os SHVs interagem.
NAP enforcement server (servidor de reforo NAP). O NAP ES
associado a um NAP EC correspondente para o mtodo de reforo NAP
que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,
passando-os para que o NPS faa uma avaliao. Com base na
resposta, fornecido acesso limitado ou ilimitado rede para o
cliente ativado para o NAP. Dependendo do tipo de reforo NAP, o
NAP ES pode ser uma autoridade de certificao (reforo IPsec), um
switch de autenticao ou um ponto de acesso sem fio (reforo
802.1x), um servidor Roteamento e Acesso Remoto(reforo VPN) ou um
servidor DHCP (reforo DHCP).
Servidor de diretivas. Um servidor de diretivas um componente de
software que se comunica com um SHV a fim de fornecer as
informaes utilizadas na avaliao dos requisitos para a
integridade do sistema. Por exemplo, um servidor de diretivas, como
um servidor de assinaturas antivrus, pode fornecer a verso do
arquivo atual de assinaturas para a validao de um SoH antivrus
cliente. Os servidores de diretivas so associados aos SHVs, mas
nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um
SHV pode simplesmente ordenar que clientes ativados para o NAP
verifiquem as configuraes locais de sistema a fim de assegurar
que um firewall baseado em host esteja ativado.
Servidor de remediao. Um servidor de remediao hospeda as
atualizaes que podem ser utilizadas pelos SHAs para fazer com que
computadores cliente em no-conformidade passem a estar em
conformidade. Por exemplo, um servidor de remediao pode hospedar
atualizaes de software. Se a diretiva de integridade exigir que
Guia do Revisor do Windows Server Longhorn Beta 3
119
Informaes Adicionais
Para mais informaes sobre o NAP, acesse o site sobre Network
Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).
120
Melhorias no IPv6
Compound TCP
Compartimentos de Roteamento
Guia do Revisor do Windows Server Longhorn Beta 3
121
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a
velocidade do processamento do receptor, o CTCP (Compound TCP) na
Pilha TCP/IP de ltima gerao otimiza a velocidade do
processamento do emissor. Trabalhando juntos, eles podem aumentar
a utilizao de links e produzir ganhos substanciais de
desempenho para grandes conexes de produto de atraso de largura
de banda.
O CTCP utilizado para conexes TCP com um grande tamanho de
janela de recebimento e um grande produto de atraso de largura de
banda (a largura de banda de uma conexo multiplicada pelo seu
atraso). Ele aumenta, de forma significativa, a quantidade de
dados enviados por vez e ajuda a garantir que seu comportamento
no cause impactos negativos em outras conexes TCP.
Por exemplo, em testes realizados internamente na Microsoft, os
horrios de backup para arquivos extensos foram reduzidos em
quase metade para uma conexo de 1 gigabit por segundo com um RTT
(round-trip time) de 50 milsimos de segundo. Conexes com um
produto de atraso de largura de banda maior podem ter um melhor
desempenho.
122
123
124
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do trfego entre
interfaces para configuraes VPN, a Pilha TCP/IP de ltima
gerao d suporte aos compartimentos de roteamento. Um
compartimento de roteamento a combinao de um conjunto de
interfaces com uma sesso de login que possui suas prprias
tabelas de roteamento IP. Um computador pode possuir mltiplos
compartimentos de roteamento isolados uns dos outros. Cada
interface pode pertencer somente a um nico compartimento.
Por exemplo, quando um usurio inicia uma conexo VPN pela
Internet com a implementao TCP/IP no Windows XP, o computador
do usurio ter conectividade parcial tanto para a Internet
quanto para a intranet particular, manipulando entradas na tabela
de roteamento IPv4. Em algumas situaes, possvel que o
trfego da Internet seja encaminhado pela conexo VPN para a
intranet particular. Para clientes VPN com suporte para
compartimentos de roteamento, a Pilha TCP/IP de ltima gerao
isola a conectividade da Internet da conectividade da intranet
particular por meio de tabelas de roteamento IP separadas.
Endereo IP incorreto
No h escuta remota
Pouca memria
125
Melhorias no IPv6
A Pilha TCP/IP de ltima gerao d suporte s seguintes
melhorias no IPv6:
Pilha IP dupla
Melhorias no Teredo
126
Suporte DHCPv6
Pilha IP Dupla
A Pilha TCP/IP de ltima gerao d suporte arquitetura de
camadas IP dupla, na qual as implementaes do IPv4 e IPv6
compartilham camadas comuns de frame e transporte (TCP e UDP). A
Pilha TCP/IP de ltima gerao possui o IPv4 e o IPv6 ativados
por padro. No necessrio instalar um componente separado para
obter o suporte ao IPv6.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos
ativados para o IPv6, fornecendo globalmente o endereamento IPv6
exclusivo e permitindo o trfego IPv6 para atravessar os NATs.
Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
trfego de entrada no solicitado e o endereamento global, como
aplicativos entre iguais, funcionaro pelo NAT. Esses mesmos
tipos de aplicativos, se utilizassem o trfego IPv4, ou exigiriam
a configurao manual do NAT, ou no funcionariam sem a
modificao do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrs
de um ou mais NATs simtricos. Um NAT simtrico mapeia o mesmo
endereo (privado) e o mesmo nmero de porta internos para
diferentes endereos e portas (pblicos) externos, dependendo do
endereo externo de destino (para o trfego de sada). Este novo
comportamento permite que o Teredo funcione entre um conjunto
maior de hosts conectados Internet.
127
Suporte DHCPv6
Guia do Revisor do Windows Server Longhorn Beta 3
128
129
130
131
132
133
Curva Elptica Diffie-Hellman P-256 (Elliptic Curve DiffieHellman P-256), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 256 bits
Curva Elptica Diffie-Hellman P-384 (Elliptic Curve DiffieHellman P-384), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 384 bits
134
Nota
O recurso que permite definir o tipo de local de rede muito
til em computadores cliente, principalmente em computadores
portteis, os quais so movidos de uma rede para outra. No se
espera que um servidor seja mvel. Por esse motivo, uma
estratgia sugerida para um computador tpico que executa o
Windows Server Longhorn configurar esses trs perfis da mesma
forma.
135
Referncias Adicionais
Os recursos a seguir fornecem informaes adicionais sobre o
Windows Firewall with Advanced Security e o IPsec:
136
Qualquer computador com um TPM (Trusted Platform Module mdulo de plataforma confivel) poder fornecer isolamento
e armazenamento de chave no TPM.
CryptoAPI
137
Implantao
No implante certificados com algoritmos Suite B antes de
verificar os seguintes requisitos:
138
EFS (Sistema de
Arquivos
Criptografado)
Sim
No
IPsec
Sim
Sim
Kerberos
No
No
S/MIME
Outlook 2003: no
Outlook 2007: sim
Outlook 2003: no
Outlook 2007: sim
No
No
SSL
Sim
Sim
Sem fio
Sim
Sim
139
140
Arquitetos de PKI
Planejadores de PKI
Administradores de PKI
141
142
143
Stores (Armazenamentos)
Revocation (Revogao)
144
Implantar certificados.
145
146
147
Implantando Certificados
Os certificados de usurio e computador podem ser implantados,
usando-se diversos mecanismos, incluindo o registro automtico, o
Assistente para Requisio de Certificado e o registro na Web.
Mas implantar outros tipos de certificados em uma grande
quantidade de computadores pode ser algo desafiador. No Windows
Server 2003, era possvel distribuir um certificado CA de raiz
confivel e certificados corporativos de confiana usando a
Diretiva de Grupo. No Windows Server Longhorn, todos os tipos
de certificados que seguem podem ser distribudos, quando so
armazenados adequadamente na Diretiva de Grupo:
Certificados CA Intermedirios
Certificados no-confiveis
148
149
Opcional
Valor
Padro
Valores Possveis
Atualizao
No
Aplicar Senha
No
PasswordMax
No
PasswordValidity
No
60
PasswordVDir
Sim
CacheRequest
No
20
CAType
No
Baseado
na
configur
ao
SigningTemplate
Sim
No
definido
EncryptionTemplate
Sim
No
definido
SigningAndEncryptionTem Sim
plate
No
definido
150
um certificado, ou quando a
requisio no inclui uma utilizao
estendida da chave.
151
Estados de integridade do CA
Indicador
Estado do CA
Ponto de Interrogao
Indicador verde
Indicador amarelo
Indicador vermelho
CA est offline
152
153
154
Online Responder
Um Online Responder um computador em que o servio do Online
Responder executado. Um computador que hospeda um CA tambm
pode ser configurado como um Online Responder, mas recomenda-se
manter os CAs e os Online Responders em computadores separados.
Um nico Online Responder pode fornecer informaes de status de
revogao para certificados emitidos por um nico CA ou diversos.
As informaes de revogao de CA podem ser distribudas usando
mais de um Online Responder.
As aplicaes que dependem de certificados X.509, como S/MIME,
SSL, EFS e smart cards precisam validar o status dos certificados
sempre que so usados para realizar autenticao, assinatura ou
criptografia. A verificao de revogao e status do certificado
analisa a validade dos certificados com base em:
155
156
ir fornecer os dados de
configurao. Essas informaes
um ou mais URLs, em que uma base
ser obtidos.
Importante
Antes de comear a adicionar uma nova configurao de
revogao, verifique se possui essas informaes
disponveis.
Matrizes do Responder
Mltiplos Online Responders podem ser ligados a uma Matriz do
Online Responder. Os Online Responders, em uma Matriz, so
referidos como membros da Matriz. Um membro da Matriz pode ser
designado o Controlador da Matriz. Embora cada Online Responder
em uma Matriz possa ser configurado de forma independente, no
caso de conflitos, as informaes de configurao do Controlador
da Matriz iro superar as opes definidas em outros membros da
Matriz.
Uma Matriz de Online Responder pode ser criada e outros Online
Responders podem ser adicionados por uma srie de razes,
incluindo tolerncia a falhas no caso de um Online Responder
individual se tornar indisponvel, por consideraes geogrficas,
escalabilidade ou estrutura da rede.
Por exemplo, as filiais remotas
consistentes com suas matrizes,
Portanto, nem sempre possvel
Responder remoto para processar
revogao.
requer bons
157
certificados a
Diretiva de Grupo
Diversas configuraes da Diretiva de Grupo foram adicionadas
para aprimorar o gerenciamento do OCSP e uso dos dados do CRL.
Por exemplo, os CRLs possuem datas de vencimento, como os
certificados, e, se essa data passar antes de uma atualizao ser
publicada ou disponibilizada, a validao da cadeia de
certificados pode falhar, mesmo com a presena de um Online
Responder. Isso acontece, pois o Online Responder conta com os
dados de uma CRL expirada. Em situaes em que as condies de
rede podem atrasar a publicao adequada e o recebimento das CRLs
atualizadas, os administradores podem usar essas configuraes da
Diretiva de Grupo para estender o tempo de validade de um CRL
existente ou resposta do OCSP.
Voc pode estender o perodo dos CRLs e respostas do OCSP, indo
guia revogao nas configuraes de Validao (Configurao do
Computador, Configuraes do Windows, Configuraes de Segurana
e Diretivas da Chave Pblica). Para configurar essas opes, faa
o seguinte:
158
Implantao
Como os Online Responders so feitos para atender requisies
individuais de status do certificado, uma Matriz de Online
Responder geralmente requer mltiplos Online Responders,
geograficamente dispersos, para equilibrar a carga. Como cada
resposta do status assinada, cada Online Responder deve ser
instalado em um servidor confivel.
Os Online Responders do Windows Server Longhorn podem ser
instalados nas seguintes configuraes matrizes:
159
160
161
162
Depois que
Domnio do
quando so
configurou
eventos.
Tipo de Evento
Descrio do Evento
5136
Modificar
5137
Criar
5138
No excluir
5139
Mover
163
SACL
Esquema
164
SACL
O SACL a
especifica
segurana.
determinar
Esquema
Para evitar a possibilidade de um nmero excessivo de eventos que
esto sendo gerados, existe um controle adicional no esquema, que
pode ser usado para criar excees ao que auditado.
Por exemplo, se voc deseja ver alteraes a todas as
modificaes de atributo em um objeto de usurio exceto a um ou
dois atributos voc pode definir uma indicao no esquema para
atributos que no deseja auditar. A propriedade searchFlags de
cada atributo define se ele indexado, replicado ao catlogo
global ou algum outro tipo de comportamento. Existem sete bits
atualmente definidos para a propriedade searchFlags.
Se o bit 9 (valor 256) for definido para um atributo, os Servios
de Domnio do Active Directory no registrar eventos de
alterao quando as modificaes forem feitas. Isso se aplica a
todos os objetos que contm aquele atributo.
Configuraes do Registro
Os seguintes valores de chave do registro so usados para
configurar a auditoria dos Servios de Domnio do Active
Directory.
Local
HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Valores Possveis
Valor mnimo do
registro: 0
165
Services\NTDS\Parameters
Valor mximo do
registro: 64000
5137
Criar
5138
No excluir
5139
Mover
166
Configuraes de Senha
167
RSOP
Um usurio ou objeto de grupo pode ter mltiplos PSOs vinculados
a ele, tanto porque os membros, em mltiplos grupos, tm, cada
um, PSOs diferentes vinculados a eles, como porque mltiplos PSOs
so aplicados diretamente ao objeto. No entanto, apenas um PSO
pode ser aplicado como diretiva efetiva de senha. Apenas as
configuraes daquele PSO podem afetar o usurio ou grupo. As
configuraes de outros PSOs, que esto ligados ao usurio ou
grupo, no podem ser mescladas de maneira alguma.
O RSOP pode apenas ser calculado para um objeto do usurio. O PSO
pode ser aplicado ao objeto de usurio nas duas maneiras que
seguem:
168
169
Senha no exigida
Senha no expira
Segurana e Delegao
Por padro, apenas membros do grupo de Administradores de Domnio
podem criar PSOs. Apenas membros deste grupo possuem as
permisses Criar Filho e Excluir Filho, no objeto Password
Settings Container. Alm disso, apenas membros do grupo de
Administradores de Domnio tm permisses de Propriedade de
Escrita no PSO, por padro. Portanto, apenas membros deste grupo
podem aplicar um PSO a um grupo ou usurio. Voc pode delegar
essa permisso a outros grupos ou usurios.
Voc no precisa de permisses sobre o objeto do grupo ou usurio
para poder aplicar um PSO a ele. Ter permisses de Escrita no
usurio ou objeto de grupo no fornece a voc a capacidade de
vincular um PSO a um usurio ou grupo. O proprietrio de um grupo
no possui permisses de vincular um PSO ao grupo, pois o link de
encaminhamento est no PSO. O poder de vincular um PSO ao grupo
ou usurio dado ao proprietrio do PSO.
As configuraes no PSO podem ser consideradas confidenciais;
portanto, por padro, os Usurios Autenticados no tm permisses
de Propriedade de Leitura para um PSO. Por padro, apenas membros
do grupo de Administradores de Domnio possuem permisses da
Propriedade de Leitura no descritor de segurana padro do objeto
PSO no esquema.
Voc pode delegar essas permisses a qualquer grupo (como o help
desk ou aplicao de gerenciamento) no domnio ou floresta. Isso
tambm pode prevenir um usurio de ver suas configuraes de
senha no diretrio. O usurio pode ler os atributos ResultantPSO
ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que
se aplica ao usurio. O usurio no pode ver as configuraes
dentro do PSO.
Antes de adicionar um controlador de domnio que execute no
Windows Server Longhorn a um domnio existente do Active
Directory, voc deve executar o adprep /domainprep. Ao executar o
adprep /domainprep, o esquema do Active Directory estendido
para incluir novas classes de objetos que as diretivas de senhas
granuladas requerem.
Guia do Revisor do Windows Server Longhorn Beta 3
170
Para saber
mais,
recorra
seo 4.02
Controlador
de Domnio
de Somente
Leitura na
pgina 85.
171
172
Servios de Domnio do
Active Directory: Exibio
em Instantneo
A Exibio em Telas dos Servios de
Domnio do Active Directory um novo
recurso do Windows Server Longhorn.
Ele o ajuda a identificar objetos que
foram acidentalmente excludos ao expor
informaes sobre os objetos, em
imagens (instantneos) dos Servios de
Domnio do Active Directory obtidas com
o tempo. Esses instantneos podem ser
visualizados em um controlador de
domnio, sem iniciar o controlador de
domnio no Modo de Restaurao do
Directory Services. Comparando os
diversos estados dos objetos assim que eles aparecem nos
instantneos, ser possvel decidir mais facilmente qual backup
dos Servios de Domnio do Active Directory utilizar para
restaurar os objetos excludos.
Ao usar a Exposio de Telas dos Servios de Domnio do Active
Directory, voc pode examinar todas as alteraes feitas aos
dados armazenados nos Servios de Domnio do Active Directory.
Por exemplo, se um objeto da Diretiva de Grupo acidentalmente
modificado, voc pode usar a Exposio de Telas dos Servios de
Guia do Revisor do Windows Server Longhorn Beta 3
173
Planejadores corporativos de TI e
organizaes
designers de
174
175
Administradores de filiais
176
177
Descrio
Opes Adicionais
Seleo de local
178
179
180
181
182
Profissional de TI responsvel pelo suporte de uma infraestrutura existente dos Servios Federados do Active
Directory
183
Instalao Aprimorada.
Os Servios Federados do Active Directory no Windows Server
Longhorn traz diversas melhorias experincia de instalao.
Para instalar os Servios Federados do Active Directory no
Windows Server 2003 R2, voc deve ir at Adicionar/Remover
Programas para encontrar e instalar o componente dos Servios
Federados do Active Directory. No entanto, no Windows Server
Longhorn, voc pode instalar os Servios Federados do Active
Directory como uma funo de servidor que utiliza o Server
Manager.
Voc pode usar o assistente de configurao aprimorado dos
Servios Federados do Active Directory para realizar as
184
185
186
187
conta ento envia o arquivo da diretiva parceira (por email ou outros meios) ao administrador parceiro do recurso.
2. Esse administrador cria um novo parceiro de conta usando o
Assistente para Adicionar Parceiro de Conta e seleciona a
opo para importar um arquivo de diretiva parceira da
conta. O administrador parceiro do recurso continua a
especificar o local e o arquivo de diretiva parceira e a
verificar se todos os valores apresentados em cada pgina
do assistente que so pr-alimentados como resultado da
importao da diretiva so precisos. O administrador
ento conclui o assistente.
3. O administrador parceiro do recurso agora pode configurar
declaraes adicionais ou configuraes da diretiva de
relao de confiana para aquele parceiro da conta. Aps
concluir essa configurao,o administrador especifica a
opo Exportar Diretiva, clicando com o boto direito no
parceiro de conta de A. Datum Corp. O administrador
parceiro do recurso exporta um arquivo da diretiva do
parceiro que contm valores, como a URL, a URL do proxy do
servidor de federao, o nome de exibio, tipos de
declarao e mapeamentos de declarao para a organizao
Trey Research. O administrador parceiro do recurso ento
envia o arquivo da diretiva parceira ao administrador
parceiro da conta.
4. Esse administrador cria um novo parceiro de recurso usando
o Assistente para Adicionar Parceiro de Conta e seleciona a
opo para importar um arquivo de diretiva parceira do
recurso. O administrador parceiro da conta continua a
especificar o local e o arquivo de diretiva parceira do
recurso e a verificar se todos os valores apresentados em
cada pgina do assistente que so pr-alimentados como
resultado da importao da diretiva so precisos. O
administrador ento conclui o assistente.
Quando este processo est concludo, uma relao de confiana bem
sucedida da federao entre os parceiros estabelecida. Os
administradores parceiros de recursos tambm podem iniciar um
processo de diretiva para importar e exportar, embora o processo
no seja descrito aqui.
Novas Configuraes
Voc configura as configuraes do Web Agent baseado no token do
Windows NT com o snap-in do IIS Manager. Para suportar as novas
funcionalidades fornecidas com o IIS 7.0, os Servios Federados
do Active Directory do Windows Server Longhorn inclui
atualizaes na UI para o servio de funo do Web Agent dos
Servios Federados do Active Directory. A tabela que segue lista
os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0
188
Local Antigo
IIS 7.0
Propriedade
Pgina
Novo Local
Guia de Servios
Federados do
Active Directory
Web Agent
<COMPUTERNAME>\Web
Sites
URL do Federation
Service
Guia de Servios
Federados do
Active Directory
Web Agent
<COMPUTERNAME>\Web
Sites\<Site ou
Virtual Directory>
<COMPUTERNAME>\Web
Sites\<Site ou Virtual
Directory> (na seo
IIS\Authentication do
painel centra)
Nota
No existem diferenas significativas de UI entre o snap-in
dos Servios Federados do Active Directory no Windows
Server Longhorn e o dos Servios Federados do Active
Directory no Windows Server 2003 R2.
189
Replicao Multimaster
190
191
192
193
194
195
196
197
198
199
Seo 6: Plataforma de
Aplicaes e da Web
6.01 Introduo Plataforma de Aplicaes e da Web ....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicao ........................................212
6.05 NTFS Transacional..........................................217
200
201
Administrao delegada
202
Administrao Delegada
O IIS 7.0 permite queles que hospedam ou administram sites da
Web ou servios WCF delegar controle administrativo aos
desenvolvedores ou donos do contedo, reduzindo assim o custo de
propriedade e os encargos administrativos para o administrador.
Novas ferramentas de administrao so fornecidas para suportar
esses recursos de delegao.
203
Edies
O IIS 7.0 est disponvel em todas as edies do Windows Server.
No h diferena de funcionalidade entre as edies. O IIS 7.0
est disponvel em plataformas de 32 bits e 64 bits.
Configurao
O IIS 7.0 apresenta algumas importantes melhorias na maneira como
os dados de configurao so armazenados e acessados. Um dos
principais objetivos do lanamento do IIS 7.0 possibilitar a
Guia do Revisor do Windows Server Longhorn Beta 3
204
system.applicationHost
system.WebServer
205
Ferramentas de Administrao
O IIS 7.0 apresenta as seguintes ferramentas de administrao,
novas e completamente reescritas, para o gerenciamento do IIS:
206
207
Diagnstico
O IIS 7.0 inclui duas principais melhorias que ajudam no
diagnstico e na resoluo de problemas de sites e aplicaes da
Web.
As mudanas no diagnstico e na resoluo de problemas no IIS 7.0
permitem que o desenvolvedor ou o administrador visualize, em
tempo real, as solicitaes que esto sendo executadas no
servidor. Agora possvel filtrar condies de erro difceis de
reproduzir e interromper automaticamente o erro com um registro
de rastreamento detalhado.
O IIS 7.0 inclui uma nova API de Controle e Estado do
Execuo, que proporciona informaes, em tempo real,
estado de pools de aplicaes, processos de trabalho,
domnios de aplicaes e ainda sobre solicitaes que
executadas.
Tempo de
sobre o
sites,
esto sendo
Recursos Adicionais
Para mais informaes sobre o IIS, consulte o Internet
Information Services no site da Microsoft:
(http://go.microsoft.com/fwlink/?LinkId=66138).
Para mais informaes sobre APIs de extensibilidade do IIS,
consulte o SDK do Internet Information Services 7.0 no site da
Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).
208
209
Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contm um novo plug-in
de Gerenciamento de Cache/Proxy que controla a capacidade do
servidor Windows Media de executar funes de cache e proxy. O
plug-in Cache Proxy do WMS pode ser usado para configurar um
servidor Windows Media como um servidor de cache/proxy que mantm
a largura de banda, reduz a latncia imposta pela rede e diminui
a carga sobre o servidor de origem. Esses trs fatores reduzem os
custos operacionais e criam uma melhor experincia de
visualizao para seus clientes.
210
211
Configurao do Firewall
No mais necessrio adicionar o programa Windows Media Services
(Wmserver.exe) como uma exceo no Firewall do Windows para abrir
as portas de entrada padro para fluxo contnuo unicast. Quando a
funo Servios de Mdia de Fluxo Contnuo instalada no Windows
Server Longhorn, o programa Windows Media Services
automaticamente adicionado como uma exceo no Firewall do
Windows.
Qualidade de Servio
O Windows Media Services foi atualizado para usar as diretivas de
Qualidade de Servio (QoS) no Windows Server Longhorn para
gerenciar o trfego de sada de rede, em vez de usar o Tipo de
Servio (ToS) para fornecer fluxo contnuo unicast. Para mais
informaes, consulte: Qualidade de Servio
(http://go.microsoft.com/fwlink/?LinkId=82892).
Implantao
As aplicaes projetadas para trabalhar com o Windows Media
Services nos sistemas operacionais Windows anteriores no
requerem mudanas para trabalhar com o Windows Media Services no
Windows Server Longhorn.
Em comparao com a verso anterior, o Windows Media Services no
requer nenhuma melhoria especial na rede ou na infra-estrutura de
Guia do Revisor do Windows Server Longhorn Beta 3
212
213
214
215
Servidor Web
Essa opo instala o IIS verso 7.0, o servidor Web construdo no
Windows Server Longhorn. O IIS fornece os seguintes benefcios:
216
Transaes Distribudas
Essa opo ativa as transaes distribudas, que ajudam a
assegurar transaes completas e bem-sucedidas em mltiplos
bancos de dados hospedados em diversos computadores em uma rede.
217
218
219
Seo 7: Gerenciamento de
Servidores
7.01 Introduo ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Ncleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Servios de Implantao do Windows ............................254
220
221
222
223
Configurao Padro
Senha do
Administrador
Nome do computador
Membros do domnio
Windows Update
Conexes de rede
Firewall do Windows
Funes instaladas
224
225
Funes
Embora a adio e remoo de funes e recursos de servidor no
representem algo novo, o Server Manager unifica a funcionalidade
de mltiplas ferramentas anteriores em uma nica interface de
usurio, simples e baseada em MMC.
Funes e recursos instalados com o Server Manager so ativados
por padro, para maior segurana. Os administradores no precisam
executar o Assistente de Configurao de Segurana aps a
instalao ou remoo de funes, a menos que queiram alterar
configuraes padro.
O Server Manager fornece um nico ponto de acesso a snap-ins de
gerenciamento para todas as funes instaladas. Adicionar uma
funo automaticamente cria
uma pgina inicial de
console de gerenciamento no
Server Manager para essa
funo, que exibe eventos e
estado de todos os servios
que fazem parte da funo.
Servios ou sub-componentes
de uma funo so listados em uma seo desta pgina. Os
administradores podem abrir assistentes para adicionar ou remover
servios de funo usando comandos desta pgina inicial.
Guia do Revisor do Windows Server Longhorn Beta 3
226
Descrio
Servios de
Certificado do
Active
Directory
Servios de
Domnio do
Active
Directory
Servios de
Federao do
Active
Directory
Servios de
Domnio do
Active
Directory
Lightweight
Servios de
Gerenciamento
de Direitos do
Active
Directory
227
Servidor de
Protocolo de
Configurao
Dinmica de
Host (DHCP)
Servidor DNS
Servidor de
Fax
Servios de
Arquivo
Servios de
Acesso e
Diretiva de
Rede
Servios de
Impresso
Servios de
Terminal
Servio
Universal de
Descrio,
Descoberta e
Integrao
(UDDI)
Servidor Web
(IIS)
228
e administrao delegada.
Servios de
Implantao do
Windows
Windows
SharePoint
Services
Recursos
Recursos, de modo geral, no descrevem a funo primria de um
servidor. Eles fornecem funes auxiliares ou de suporte aos
servidores. Normalmente, os administradores adicionam recursos
no como a funo primria de um servidor, mas para aumentar a
funcionalidade das funes instaladas.
Por exemplo, o Clustering Failover um recurso que os
administradores podem instalar aps a instalao de certas
funes de servidor, como os Servios de Arquivo, para adicionar
229
Descrio
Recursos do
Microsoft .NET
Framework 3.0
Criptografia
da Unidade
BitLocker
Extenses do
Servidor BITS
Kit de
Administrao
do Gerenciador
de Conexo
(CMAK)
Experincia
Desktop
Cliente de
Impresso da
Internet
Servidor de
Nome de
Armazenamento
na Internet
(iSNS)
Monitor de
Porta LPR
(LPR)
Enfileiramento
de Mensagens
230
Protocolo de
Resoluo de
Nome Similar
(PNRP)
Experincia de
udio e Vdeo
de Qualidade
do Windows
(qWave)
Disco de
Recuperao
Assistncia
Remota
Ferramentas de
Administrao
do Servidor
Remoto
Gerenciador de
Armazenamento
Removvel
(RSM)
Proxy RPC
sobre HTTP
O RPC Over HTTP Proxy um proxy usado por objetos que recebem
chamadas de procedimento remoto por HTTP. Esse Proxy permite
que os clientes descubram esses objetos mesmo que estes forem
movidos entre servidores ou se existirem em reas discretas da
rede, geralmente por razes de segurana.
Network
Filesystem
Services (NFS)
Servidor SMTP
Gerenciador de
Armazenamento
para Redes da
rea de
Armazenamento
(SANs)
Servios de
TCP/IP Simples
231
Simple Network
Management
Protocol
(SNMP)
Subsistema
para
Aplicaes
baseadas em
UNIX
Cliente Telnet
Servidor
Telnet
Cliente de
Protocolo de
Transferncia
de Arquivos
Simples (TFTP)
Clustering
Failover
Balanceamento
de Carga de
Rede (NLB)
Backup do
Windows Server
Gerenciador de
Recursos de
Servios de
Terminal do
Windows (WSRM)
Windows
Internet Name
Services
(WINS)
Servio de LAN
Sem Fio (WLAN)
O Servio de WLAN configura e inicia o servio de AutoConfigurao de WLAN, no importando se o computador tem ou no
adaptadores sem fio. A Auto-Configurao de WLAN enumera
adaptadores sem fio, e gerencia tanto as conexes como os
perfis sem fio que contm as configuraes necessrias para
configurar um cliente sem fio para conectar-se a uma rede sem
fio.
Banco de Dados
Interno do
Windows
Windows
PowerShell
232
233
Sumrio do Servidor
A seo Sumrio do Servidor inclui duas subsees:
Informaes do Sistema e Sumrio de Segurana. A subseo
Informaes do Sistema exibe o nome do computador, o
domnio, o nome de conta do administrador local, conexes
de rede e o ID de produto do sistema operacional. Os
comandos dessa subseo permitem que voc edite essas
informaes.
A subseo Sumrio de Segurana mostra se o Windows Update
e o Firewall do Windows esto ativados. Os comandos dessa
subseo permitem que voc edite essas configuraes ou
visualize opes avanadas.
Sumrio de Funes
A seo Sumrio de Funes contm uma tabela indicando
quais funes esto instaladas no servidor. Os comandos
desta seo permitem que voc adicione ou remova funes,
ou v a um console mais detalhado no qual poder gerenciar
uma funo especfica.
Sumrio de Recursos
234
Recursos e Suporte
A seo Recursos e Suporte mostra se esse servidor est
participando dos programas de feedback Windows Server CEIP
e Relatrio de Erros do Windows. A seo Recursos e suporte
tambm foi projetada para ser um ponto de partida para
entrar em grupos de notcias tpicos, ou para localizar
mais ajuda e pesquisar tpicos disponveis on-line no
TechCenter do Windows Server
(http://go.microsoft.com/fwlink/?LinkId=48541).
Os comandos dessa seo permitem que voc modifique a
participao do servidor em programas de feedback, e
encontre mais ajuda e suporte.
235
236
237
238
Configuraes de Registro
As seguintes configuraes de registro se aplicam ao Server
Manager e s Tarefas de Configurao Inicial em todas as
variaes disponveis do Windows Server Longhorn.
As configuraes de registro da seguinte tabela controlam o
comportamento padro de abertura do Server Manager e das janelas
de Tarefas de Configurao Inicial.
Configuraes de Registro
Nome da
Configurao
Localizao
Valor
Padro
Valores
Possveis
0 para
desativar e
abrir a
janela
normalmente;
1 para ativar
e impedir a
abertura da
janela
No abrir
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial 0
Tarefas de
Configuration Tasks
Configurao
Inicial no
logon
0 para
desativar e
abrir a
janela
normalmente;
1 para ativar
e impedir a
abertura da
janela.
No abrir o
Server
Manager no
logon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server
Manager
239
Recursos Adicionais
Para mais informaes sobre o Server Manager, veja o TechCenter
do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Voc tambm
pode aprender a realizar operaes especficas no Server Manager
com a Ajuda do Server Manager, disponvel ao apertar F1 em uma
janela aberta do Console do Server Manager.
240
241
242
Servidor DHCP
Servios de Arquivo
Servidor de Impresso
Servidor DNS
Backup
Multipath IO
Guia do Revisor do Windows Server Longhorn Beta 3
243
Cliente Telnet
do
funes
Servidor
Domnio
244
245
Cluster Failover
Armazenamento Removvel
246
Backup
Cliente Telnet
Netsh
o
Dnscmd
o
Dfscmd
o
Referncias do Dfscmd
(http://go.microsoft.com/fwlink/?LinkId=49658)
247
248
T
e
c
n
o
l
o
g
i
a
de backup nova
e mais rpida. O
Guia do Revisor do Windows Server Longhorn Beta 3
249
250
251
252
Visualizao de Recursos
A pgina inicial do Monitor de Confiabilidade e Desempenho do
Windows a nova tela de Visualizao de Recursos, que fornece
uma viso geral grfica em tempo real da CPU, disco, rede e uso
da memria. Expandido cada um desses elementos monitorados, os
administradores de sistema podem identificar quais processos
esto usando quais recursos. Em verses anteriores do Windows,
253
Monitor de Confiabilidade
O Monitor de
Confiabilidade calcula o
ndice de Estabilidade do
Sistema, que reflete se
problemas inesperados
reduziram a confiabilidade
do sistema. Um grfico do
ndice de Estabilidade em
um perodo de tempo
identifica rapidamente as
datas em que os problemas
comearam a ocorrer. O
Relatrio de Estabilidade
do Sistema que acompanha o
ndice fornece detalhes para ajudar a resolver a causa raiz da
reduo de confiabilidade. Visualizando as alteraes do sistema
(instalao ou remoo de aplicaes, atualizaes no sistema
operacional, adio ou modificao de drivers) lado a lado com as
falhas (de aplicao, de sistema operacional ou de hardware), uma
estratgia para lidar com os problemas pode ser desenvolvida
rapidamente.
254
255
256
257
11.
12.
258
14.
259
260
261
262
263
Quando voc cria uma transmisso, tem duas opes para o tipo de
multicast:
264
Implantao
O modo como voc implanta os Servios de Implantao do Windows
depende de um fator - se voc j tem servidores de RIS instalados
em seu ambiente:
Recursos Adicionais
Os seguintes recursos oferecem informaes adicionais sobre os
Servios de Implantao do Windows:
265
266
267
268
269
270
271
272
Compatibilidade
Se voc possui uma aplicao que era executada em um cluster de
servidor com o Windows Server 2003, e a aplicao depende da
conta do servio de Cluster obrigatria para clusters de
servidores, talvez seja necessrio trocar a aplicao para que
ela no dependa mais da conta. Os Clusters Failover que executam
o Windows Server Longhorn no utilizam uma conta de servio de
Cluster separada.
Implantao
Analise cuidadosamente o hardware no qual voc planeja implantar
um Cluster Failover para garantir que ele seja compatvel com o
Windows Server Longhorn. Isto ser necessrio principalmente se
voc estiver usando este hardware atualmente para um cluster de
servidor executando o Windows Server 2003. O hardware que suporta
um cluster de servidor executando o Windows Server 2003 no
necessariamente suportar um Cluster Failover executando o
Windows Server Longhorn.
Observe que
Voc no pode executar a atualizao de um cluster de
servidor que esteja executando o Windows Server 2003 para
um Cluster Failover executando o Windows Server Longhorn.
No entanto, aps ter criado um Cluster Failover executando
o Windows Server Longhorn, voc poder usar um assistente
para migrar algumas configuraes de recursos para um
cluster de servidor executando o Windows Server 2003.
273
274
275
276
277
Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da
infra-estrutura do cliente e do servidor esto bastantes
ampliadas por aprimoramentos feitos tanto no Windows Vista quanto
no Windows Server Longhorn.
278
279
280
281
SMB 2.0
O SMB (Server Message Block), tambm conhecido como Sistema de
Arquivo de Internet (CIFS), trata-se de um protocolo de
compartilhamento de arquivos, utilizado por padro em
computadores com base Windows. No Windows Vista, o SMB suporta a
nova verso SMB 2.0, a qual foi recriada para os ambientes de
rede atuais e as necessidades dos servidores de arquivo de ltima
gerao. O SMB 2.0 apresenta aprimoramentos que reduzem o nmero
de pacotes necessrios para os comandos SMB e permitem maiores
buffers e mais arquivos abertos a escalabilidade. Os computadores
que operam o Windows Vista suportam tanto o SMB 1.0 (para verses
anteriores do Windows) como os SMB 2.0 (para Windows Vista e
Windows Server Longhorn).
282
283
284
Processador
Mnimo: 1 GHz
Recomendado: 2 GHz
Ideal: 3 GHz ou mais rpido
Memoria
Mnimo: 512 MB RAM
Recomendado: 1 GB RAM
Ideal: 2 GB RAM (Instalao Completa) ou 1 GB RAM
(Instalao no Ncleo do Servidor) ou mais
Mximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM
(sistemas 64 bits)
Unidade de DVD-ROM
Super VGA
monitor com 800x600 pixels ou superior
Teclado
Teclado Microsoft ou compatvel
Mouse
Mouse Microsoft uu dispositivo apontador compatvel
285
286
18
34
83
100
199
219
287
266
275
283