Guiawindowsserver2008pdf 130402091435 Phpapp02 PDF

Guia do Revisor do Windows Server Longhorn Beta 3

Sobre o documento

ESTE DOCUMENTO NO UMA ESPECIFICAO DE PRODUTO.
Este documento suporta a verso Beta 3 do Windows Server

Longhorn. As informaes contidas no mesmo representam a viso
atual da Microsoft Corporation sobre os assuntos discutidos at a
data da publicao. A Microsoft deve reagir s constantes
alteraes nas condies do mercado, e sendo assim este documento
no deve ser interpretado como um compromisso por parte
Microsoft, e a Microsoft no pode garantir a preciso de qualquer
informao aqui. Este documento tem propsito exclusivamente
informativo. A MICROSOFT NO OFERECE GARANTIAS, EXPRESSAS,
IMPLCITAS OU REGULAMENTARES ACERCA DAS INFORMAES CONTIDAS
NESTE DOCUMENTO.
As informaes contidas neste documento, incluindo URL e outras
referncias a sites da Internet, esto sujeitas a alteraes a
qualquer momento. Salvo disposio em contrrio, os exemplos de
empresas, organizaes, produtos, nomes de domnio, endereos de
e-mail, logotipos, pessoas, lugares e eventos aqui descritos so
fictcios e no tm relao alguma com qualquer empresa,
organizao, produto, nome de domnio, endereo de e-mail,
logotipo, pessoa, lugar ou evento real. de responsabilidade do
usurio o respeito a toda a legislao de copyright aplicvel. A
Microsoft concede o direito de reproduo deste guia, no todo ou em
parte.
A Microsoft pode deter as patentes, as solicitaes de patentes,
as marcas comerciais, os direitos autorais ou outras propriedades
intelectuais pertinentes ao objeto deste documento. Salvo
expressamente disposto em qualquer contrato de licena escrito da
Microsoft, o fornecimento deste documento no confere a voc
qualquer licena em relao a essas patentes, marcas comerciais,
direitos autorais ou outras propriedades intelectuais.
2007 Microsoft Corp. Todos os direitos reservados.
Microsoft, Windows Server, o logo do Windows, Windows, Active
Directory, Windows Vista, BitLocker, Internet Explorer, Windows
Server System, Windows NT, Windows Mobile, Windows Media, Aero,
ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode,
Visual Basic, Win32, WinFX, Windows PowerShell e MSDN so marcas
comerciais da Microsoft.

Os nomes das empresas e dos produtos mencionados aqui podem ser
marcas comerciais de seus respectivos proprietrios.

O guia dos revisores do Windows Server
Longhorn
Beta 3 fornece uma viso geral tcnica abrangente dos
recursos e funes inovadores que tornam o
Windows Server Longhorn um sistema operacional de
ltima gerao e o sucessor do Microsoft
Windows Server 2003. Este guia tambm fornece
informaes sobre os benefcios que o Windows Server
Longhorn oferece a diversos usurios, bem como
informaes sobre cenrios variados.

Contedo

Sobre o documento ...............................................1
Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.01 Introduo ao Windows Server Longhorn...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade............................................11
1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19
2.02 Virtualizao do Windows Server.................................20
2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35
3.02 Funcionalidade Bsica de Servios de Terminal ......................36
3.03 Gateway de Servios de Terminal ................................53
3.04 RemoteApp de Servios de Terminal ..............................62
3.05 Acesso a Web de Servios de Terminal ............................65
3.06 Impresso de Servios de Terminal ...............................69
3.07 Session Broker de Servios de Terminal ...........................73
3.08 Licenciamento de Servios de Terminal ............................76
3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84
4.02 Controlador de Domnio Somente Leitura...........................85
4.03 Criptografia de Unidade de Disco BitLocker .........................91
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101
5.02 Servios de Acesso e Diretiva de Rede ...........................103
5.03 Proteo contra Acesso Rede ................................110
5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120
5.05 Firewall do Windows com Segurana Avanada.....................129
5.06 Cryptography Next Generation .................................136
5.07 Servios de Certificado do Active Directory ........................139
5.08 Servios de Domnio do Active Directory ..........................160
5.09 Servios Federados do Active Directory...........................181
5.10 Active Directory Lightweight Directory Services .....................189
5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicao........................................212
6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
7.01 Introduo ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configurao Inicial .................................222

7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Ncleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267
8.02 Clustering Failover ..........................................268
8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276
Seo 10: Diversos 283
10.01 Requisitos do Sistema ......................................284
10.02 Tabela Detalhada de Contedo ................................286
3
Seo 1: Introduo ao
Windows Server Longhorn

1.02 Maior Controle ...............................................8
1.04 Maior Proteo..............................................14

4
1.01 Introduo ao Windows Server Longhorn

O Microsoft Windows Server Longhorn Fornece Maior Controle, Mais
Flexibilidade e Proteo Aperfeioada para Sua Infra-Estrutura de
Servidor Ajudando Voc a Otimizar Tempo e Custos
As pessoas buscam resultados comerciais. Amplie seu impacto e
voc criar um sucesso maior. Na Microsoft acreditamos que as
pessoas, quando equipadas adequadamente com as ferramentas
corretas, podem superar at mesmo os desafios comerciais mais
complexos. Das muitas opes disponveis para empresas, o
software demonstrou uma capacidade nica de amplificar o impacto
positivo das pessoas, ajudando-as a superar desafios de
gerenciamento de empresas e a contribuir de maneira mais
eficiente para o
resultado final.
Como parte do auxlio
s pessoas alcanarem o
sucesso comercial, a
Microsoft est buscando
ajud-las a gerenciar a
complexidade e alcanar
agilidade, proteger
informaes e controlar
o acesso, desenvolver a
empresa com solues de
TI, e aumentar seu
impacto. Oferecendo uma
plataforma produtiva
para impulsionar redes
de aplicaes, servios
de Web e Virtualizao
como o Windows Server
Longhorn, a Microsoft ajuda voc a

melhorar os nveis de servio a um custo mais baixo, permite que
construa e opere uma plataforma flexvel para atender as
exigncias comerciais sempre em mudana, e lhe d recursos para
proteger melhor a plataforma de TI em que sua organizao se
apia. Quanto melhor capacitarmos seu pessoal a ser produtivo e
capaz, mais podemos ajudar voc e as pessoas em sua organizao a
alcanar o sucesso comercial hoje e na direo do futuro.
A infra-estrutura de TI um ativo estratgico e a fundao
crtica sobre a qual o software pode fornecer servios e
aplicaes de usurios de que uma empresa precisa para operar de
maneira eficiente e ter sucesso. O Windows Server Longhorn
possibilita um maior sucesso comercial oferecendo uma plataforma
que suporta solues e aplicaes crticas, tornando-as
disponveis para a sua organizao quando precisa delas.
O Microsoft
Windows Server Longhorn, com tecnologia de

virtualizao de ltima gerao disponvel, permite que voc

5
aumente a flexibilidade sua infra-estrutura de servidores ao
mesmo tempo em que o ajuda a poupar tempo, reduzir custos, e
oferecer uma plataforma para um centro de dados dinmico e
otimizado. Poderosas novas ferramentas como o Gerenciador de
Windows
Server (Windows
Server Manager) e Windows PowerShell

permitem mais controle sobre seus servidores e dinamizao de
configurao e tarefas de gerenciamento para que voc possa
passar menos tempo em tarefas cotidianas e mais tempo
proporcionando mais valor para sua organizao. Melhorias
avanadas de segurana e confiabilidade como a Proteo contra
Acesso Rede (NAP - Network Access Protection) e o Controlador
de Domnio de Somente Leitura (RODC - Read Only Domain
Controller) fortalecem o sistema operacional e ajudam a proteger
seu ambiente de servidor para lhe proporcionar uma fundao
slida sobre a qual construir seus negcios.
A figura a seguir descreve os trs pilares do Windows Server
Longhorn:

Introduo aos Cenrios
O Windows Server Longhorn o lanamento de servidor Microsoft
mais focado no cliente de todos os tempos; isso fica evidente em
como o servidor configurado e gerenciado por funo atravs do
utilitrio Gerenciador de Windows Server. Quando os clientes
consideram um servidor, tentem a pensar nele como se ocupasse uma
funo especfica em sua infra-estrutura, embora possa ser um
servidor de mltiplos propsitos hospedando mais de uma funo.
6
Alm disso, no caso da funo de Virtualizao de Servidor, pode
ser uma plataforma sobre a qual executar mltiplos servidores em
que cada qual possui funes diferentes. De qualquer maneira, os
profissionais de TI iro se referir tipicamente a um servidor de
impresso, servidor de arquivos, servidor de Web ou
controlador de domnio, descrevendo aquele servidor por sua
funo primria.
Da mesma forma que um servidor implantado em uma funo
especfica, ele tambm realizar parte ou toda uma carga de
trabalho, ou contribuir para o cenrio de uma empresa. Cargas
de trabalho tipicamente empregam mltiplos servidores executando
diferentes funes para fornecer uma soluo geral para um dado
cenrio. Por exemplo, servidores executando os Servios de
Domnio do Active Directory

(Active Directory
Domain Services),
Servios de Certificado do Active Directory (Active Directory
Certificate Services) e Servios de Federao do Active Directory
(Active Directory Federation Services) podem executar funes
distintas, mas todos eles contribuem pra uma carga de trabalho ou
cenrio de nvel mais alto de Gerenciamento de Identidade e
Acesso.
Quando os clientes implantarem o Windows Server Longhorn,
provavelmente escolhero certos cenrios e cargas de trabalho em
que sintam que o produto proporciona maior valor ou facilidade de
implementao com mnima interrupo de sua infra-estrutura
existente. Por essa razo, consideramos o Windows Server
Longhorn como ser implantado pelos clientes em cenrios
especficos.
Vamos nos concentrar em sete principais cenrios de produto que
suportam os pilares de proposta de valor para o Windows Server
Longhorn. Para cada pilar temos dois cenrios que mapeiam
aproximadamente as cargas de trabalho de servidor reconhecidas.
Tambm fizemos uma srie de melhorias no Windows Server
Longhorn que podem dar valor a implantaes em escritrios
remotos.
7
A figura a seguir descreve os sete cenrios do Windows Server
Longhorn:

8
1.02 Maior Controle

Passe Menos Tempo em Tarefas Cotidianas
O Windows Server Longhorn permite que voc tenha mais controle
sobre sua infra-estrutura de servidor e de rede, permitindo que se
concentrem em suas
necessidades comerciais mais
crticas.
Os clientes precisam de
melhor controle e
gerenciamento em sua infra-
estrutura de servidor.

As questes dos clientes incluem as seguintes:
Quero saber de problemas e corrigi-los antes que meus
usurios sejam afetados.
Quero automatizar o mximo possvel de meu gerenciamento.
O sistema operacional do servidor deve ter ferramentas de
gerenciamento melhores. Eu no deveria ter de comprar
aplicaes de terceiros para fazer o gerenciamento bsico
de sistemas.
Posso ser alertado para um problema com um servidor, mas o
alerta no d informaes suficientes para eu entender e
solucionar a falha.
Muitas tarefas cotidianas tomam muito tempo.
A infra-estrutura cresceu pela necessidade. Conforme
quisemos fazer mais, precisamos adicionar mais e
gerenciar mais.
Quero utilizar o TI para me tornar mais eficiente e ver a
TI como um ativo estratgico para a empresa.
Preciso reduzir custos e complexidade.

9
Simplifique o gerenciamento de sua infra-estrutura de TI usando
novas ferramentas que proporcionam uma interface concentrada para
configurao e monitoramento de servidor, assim como a capacidade
de automatizar tarefas de rotina.
O Gerenciador de Windows Server acelera a instalao e
configurao de servidor, e simplifica o gerenciamento em
andamento de funes de servidor atravs de um console
unificado de gerenciamento.
O Windows PowerShell, um novo shell de linha de comando com
mais de 130 ferramentas e uma linguagem de script
integrada, permite que os administradores controle mais
facilmente e automatizem mais seguramente tarefas
rotineiras de administrao de sistemas, especialmente ao
longo de mltiplos servidores.
Dinamize a instalao e gerenciamento do Windows Server
Longhorn instalando apenas as funes e recursos de que
precisa. A personalizao da configurao do servidor simplifica
a manuteno permanente minimizando a rea da superfcie de
ataque e reduzindo a necessidade de atualizaes de software.
A Instalao Baseada em Funo instala somente os
componentes de que voc precisa para uma determinada
funo, simplificando a configurao e manuteno do
sistema operacional, reduzindo os custos de implantao e
gerenciamento do Windows Server.
O Ncleo do Servidor Windows (Windows Server Core) uma
nova opo de instalao para funes selecionadas
(Virtualizao do Windows Server, Active Directory, Modo de
Aplicao do Active Directory (Active Directory Application
Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impresso)
que inclui uma interface grfica de usurio ou recursos e
servios no-relacionados, proporcionando um servidor
altamente disponvel que requer menos atualizaes e menos
manuteno.
Identifique com preciso e resolva pontos de problemas com
poderosas ferramentas de diagnstico que lhe do visibilidade
contnua do ambiente de seu servidor, tanto fsico como virtual.
Console integrado de desempenho e confiabilidade oferece
diagnsticos incorporados para ajudar a evitar e reduzir o
impacto de falhas, inclusive o Framework de Diagnstico de
Rede (Network Diagnostic Framework).
Visualizar Eventos (Event Viewer) mais rico proporciona uma
percepo mais profunda para o administrador que ajuda a
resolver problemas antes que afetem os usurios.
Pacotes de Gerenciamento para cada funo de servidor
fornecem integrao aprimorada com o Gerenciador de
Operaes do Microsoft System Center (Microsoft System
Center Operations Manager).
10
Aumente o controle sobre servidores situados em locais distantes,
como o escritrio remoto. Com administrao de servidor e
replicao de dados otimizados, voc pode fornecer aos usurios
um melhor servio ao mesmo tempo em que reduz as dores de cabea
do gerenciamento.
Priorizao de trfego de WAN entre clientes do Windows
Vista e servidores do Windows Server Longhorn
Otimizao de trfego de WAN e auto-ajuste de rede para
replicao de SysVol, Replicao de Sistema de Arquivos
Distribudo, e outros protocolos como SMB
O Controlador de Domnio de Somente Leitura permite que
voc fornea autenticao local para usurios de escritrio
remoto sem implantar uma cpia completa e gravvel do banco
de dados do Active Directory database, que poderia estar
sujeita a corrupo ou exposta a riscos.
O Microsoft BitLocker permite que voc exera controle
adicional sobre os dados em um disco rgido de servidor em
locais remotos menos seguros.
O Gerenciamento Centralizado de Impressora permite que voc
controle todas as impressoras a partir de um nico local e
passe menos tempo gerenciando impressoras remotas.
Simplifique o gerenciamento de servidores de Web com o Internet
Information Services 7.0, que uma poderosa plataforma de Web
para aplicaes e servios. Essa plataforma modular oferece uma
interface de gerenciamento simplificada, baseada em tarefa, maior
controle entre sites, aprimoramentos de segurana, e
gerenciamento integrado de integridade para Web Services.
A interface baseada em tarefa simplifica tarefas comuns de
gerenciamento de servidor de Web.
Cpias entre sites permitem que voc copie facilmente
configuraes de Websites ao longo de mltiplos servidores
de Web sem configurao adicional.
A administrao delegada de aplicaes e sites permite que
voc d controle de diferentes partes do servidor de Web
queles que precisam dele.
Aumente o controle sobre suas configuraes de usurio com
Diretiva de Grupo Expandida: Administradores podem poupar tempo e
dinheiro configurando configuraes de rede por ou sem fio, de
dispositivos de armazenamento removveis, impressoras, Microsoft
Internet Explorer
, e at mesmo configuraes de gerenciamento de

energia usando a Diretiva de Grupo.

11
1.03 Mais Flexibilidade

Reaja Rapidamente s Necessidades de Sua Empresa
As companhias precisam que sua infra-estrutura se adapte s
necessidades de seus negcios para permanecerem geis.

As questes dos clientes incluem as seguintes:
Preciso usar meus servidores atuais de maneira mais
eficiente, ento no preciso comprar hardware adicional
sempre que adiciono uma aplicao ou servio.
Atualizar o sistema operacional de meu servidor demorado
e perturbador; deveria ser mais fcil implantar e gerenciar
atualizaes de servidor.
No tenho flexibilidade suficiente com as ferramentas em
meu sistema operacional para solucionar novos problemas.
difcil demais implantar novas tecnologias com meus
sistemas existentes.
Plataformas de legado que exigem muita mo-de-obra levam a
aumentos nos custos de administrao e suporte.
A implantao e manuteno de sistemas so caras, e
consomem muito tempo e esforo.
Preciso consolidar e virtualizar meus servidores e
aplicaes.
Preciso adicionar recursos dinamicamente a mquinas
virtuais para satisfazer cargas aumentadas.
Preciso mover dinamicamente mquinas virtuais para outra
mquina com mais capacidade.

12
Novas implantaes precisam se integrar com meu ambiente
existente do Windows Server e outros sistemas.
Virtualize mltiplos sistemas operacionais Windows, Linux e
outros em um nico servidor. Com a virtualizao incorporada no
sistema operacional e com diretivas de licenciamento mais simples
e flexveis, agora mais fcil que nunca tirar proveito de todos
os benefcios e economias de custos da virtualizao.
A Virtualizao do Windows Server uma plataforma de
virtualizao de ltima gerao baseada em monitor
integrada com o sistema operacional que permite que voc
adicione dinamicamente recursos fsicos e virtuais.
Plataforma dinmica. A Virtualizao do Windows Server
proporciona grande confiabilidade, avanada escalabilidade,
e recursos dinmicos que permitem que voc virtualize a
maioria das cargas de trabalho em sua infra-estrutura.
Gerenciamento integrado. A integrao com o Gerenciador de
Mquina Virtual do System Center permite um rpido
aprovisionamento de mquinas virtuais e um nico conjunto
de ferramentas integradas para gerenciar seus recursos
fsicos e virtuais.
Suporte abrangente. A Microsoft fornece suporte 24x7 para
Windows Server, Linux e convidados Linux ativados para Xen
na plataforma de Virtualizao do Windows Server.
Amplo suporte da indstria. A Microsoft e seu ecossistema
de parceiros fornecem amplo suporte que permite a voc
implantar aplicaes na plataforma de virtualizao da
Microsoft com confiana e paz de esprito, alm de utilizar
o conhecimento individual e coletivo existentes sobre o
Windows Server e conjuntos de habilidades da comunidade
profissional da TI.
Centralize o acesso a aplicaes e proporcione integrao sem
interrupes de aplicaes publicadas remotamente. As melhorias
tambm somam a capacidade de conectar-se a aplicaes remotas
atravs de firewalls e sem o uso de uma rede virtual privada (VPN
- virtual private network) assim voc pode reagir rapidamente
s necessidades de seus usurios, independentemente da
localizao.
Programas Remotos de Servios de Terminal permitem um
acesso remoto sem interrupes e publicao de aplicaes
para implantao simples e rpida de aplicaes e
gerenciamento centralizado.
O Gateway de Servios de Terminal permite o acesso remoto a
aplicaes sem o uso de uma VPN para que os usurios possam
acessar facilmente as aplicaes quando precisam delas,
independentemente de onde se localizem.
Escolha a partir de novas opes de implantao para proporcionar
o mtodo mais adequado para seu ambiente.
13
Os Servios de Implantao do Windows (Windows Deployment
Services) oferece instalao e implantao baseados em
imagem que simplifica a implantao de cliente e servidor e
gerenciamento contnuo de imagem.
Um nico modelo mundial de manuteno simplifica a
manuteno contnua de clientes e servidores.
Construa aplicaes flexveis e abrangentes que conectam usurios
e seus dados, permitindo que eles visualizem, compartilhem e ajam
com as informaes.
O componente Windows Communication Foundation (WCF) oferece
um framework unificado para a construo rpida de
aplicaes orientadas ao servio, facilitando construir e
consumir servios de Web de segurana aperfeioada,
confiveis e transacionados.
O componente Windows Workflow Foundation (WF) permite a
desenvolvedores oferecer transparncia ao modelo e suportar
o fluxo de trabalho do sistema e humano.
O componente Windows Presentation Foundation (WPF) fornece
um framework unificado para construir aplicaes e
experincias de alta fidelidade no Windows que combina
interface de usurio, dados e contedo de mdia das
aplicaes, ao mesmo tempo em que explora toda a capacidade
do computador.
A profunda integrao do Internet Information Services 7 e
do ASP.NET resulta em um nico sistema unificado de
configurao, um tempo de execuo de processamento de
solicitao e modo de extensibilidade integrados, e uma
experincia de diagnsticos e soluo de problemas
vastamente aperfeioada.
Assegure a interoperabilidade com o ambiente existente.
Potencialize a robusta e vibrante comunidade tcnica atravs do
ciclo de vida do produto.
O programa Microsoft TechNet oferece informaes tcnicas
oportunas, precisas e relevantes atravs de seu site,
boletins informativos, v-labs, eventos, Webcasts,
assinaturas e outras ofertas.
As comunidades tcnicas enriquecem a experincia do Windows
Server proporcionando experincia no tema e opinies
atravs de blogs, grupos de usurios, fruns e eventos.

14
1.04 Maior Proteo

Fortalece o Sistema Operacional e Protege Seu Ambiente
As empresas precisam de uma plataforma de servidor com que possam
contar ao mesmo tempo em que oferea mxima segurana e proteo
para seus usurios. Os clientes precisam reduzir quaisquer
interrupes que tenham impacto direto sobre a produtividade do
TI e do usurio
final.

As questes levantadas pelos clientes incluem:
Quando os funcionrios, fornecedores e fabricantes trazem
dispositivos mveis ao meu escritrio, no posso garantir
que minha rede permanecer segura.
Aplicar atualizaes de segurana constantemente demorado
e incmodo.
O Windows Server no to seguro quanto os outros sistemas
operacionais.
desafiador gerenciar a segurana do sistema e informaes
de identidade dos usurios em sistemas corporativos.
Proteger sistemas complexo e difcil de gerenciar.
No tento manuteno de sistemas durante o expediente
porque fazer isso pode provocar uma interrupo do servio
e no quero perturbar a produtividade de meus usurios.
Quero integrar redundncia e recuperao de desastres em
meus servios de TI.
Preciso assegurar conformidade com normas de controle
(HIPAA, Sarbanes-Oxley).
Proteja seu servidor: O Windows Server Longhorn oferece
inovaes de segurana que reduzem a rea da superfcie de ataque

15
do kernel, resultando em um ambiente de servidor mais seguro e
robusto.
O Windows Service Hardening ajuda a manter os sistemas mais
seguros evitando que servios Windows crticos sejam usados
por atividade anormal no sistema de arquivos, registro ou
rede.
Seguro na instalao significa que o sistema operacional
completamente bloqueado e pronto para usar.
Proteja o acesso a sua rede: A Proteo contra Acesso Rede
(Network Access Protection) lhe d o poder de isolar computadores
que no obedeam s diretivas de segurana que voc estabelece. A
capacidade de impor requisitos de segurana um meio poderoso de
proteger sua rede.
A Proteo contra Acesso Rede permite validao de
diretiva, restrio de rede, correes e conformidade
contnua para o acesso de usurios a recursos de rede.
Ajude a evitar que dispositivos no saudveis acessem
recursos corporativos e solicite acesso a recursos de
domnio a partir de PCs gerenciados.
Crie regras e diretivas inteligentes para melhorar o controle de
acesso e proteo sobre funes de rede, permitindo que voc
tenha uma rede orientada por diretiva.
O gerenciamento centralizado de firewall e IPsec reduz
conflitos e overhead de coordenao entre tecnologias
atravs da combinao de criao e manuteno de diretiva
para filtragem de trfego e segurana de conexo.
O Isolamento de servidor e domnio, baseado no Windows
IPsec e Active Directory, permite uma implementao eficaz
em termos de custo de autenticao de extremidade para
segmentar dinamicamente um ambiente Windows em redes
lgicas isoladas mais seguras com base em diretiva em vez
de topologia de rede.
Regras inteligentes de firewall podem especificar
requisitos como autenticao e criptografia, com base em
computador ou grupos de usurios do Active Directory.
O Servidor de Diretiva de Rede (Network Policy Server) atua
como um servidor de diretiva de integridade de rede para
Proteo contra Acesso Rede (NAP - network access
protection), desempenho, autenticao de conexo
centralizada, autenticao, e controle de vrios tipos de
acessos de rede, incluindo conexes sem fio e de VPN.
Proteja seus dados: O Windows Server inclui protees adicionais
para seus dados para ajudar a garantir que s possam ser
acessados por usurios com o contexto de segurana correto, e
para torn-los disponveis quando falhas de hardware acontecerem.
16
Os Servios de Gerenciamento de Direitos (Rights Management
Services) oferecem proteo persistente para dados
sigilosos, ajudam a reduzir riscos e permite conformidade,
e fornecem uma plataforma para proteo abrangente de
informaes.
O Microsoft BitLocker fornece segurana adicional para seus
dados atravs de criptografia completa de volume em
mltiplas unidades de disco, mesmo quando o sistema estiver
em mos no autorizadas ou executando um sistema
operacional diferente.
O Controle de Diretiva de Grupo sobre Instalao de
Dispositivos (Group Policy Control over Device
Installation) permite a administradores de TI usarem
Diretiva de Grupo no Windows Server Longhorn para
bloquear a instalao de dispositivos removveis, como pen-
drives e discos rgidos externos, para ajudar a evitar que
propriedade intelectual corporativa ou dados sigilosos
sejam expostos ou roubados.
O Controlador de Domnio de Somente Leitura (Read-Only
Domain Controller) permite que voc implante o Active
Directory ao mesmo tempo em que restringe a replicao do
banco de dados completo do Active Directory; para proteger
melhor contra roubo ou exposio.
Proteja contra softwares mal-intencionados com o Controle de
Conta de Usurio, uma nova arquitetura de autenticao.
O Controle de Conta de Usurio aumenta a segurana exigindo
confirmao manual de muitas funes administrativas para
proteger contra softwares mal-intencionados que possam
tentar obter ou usar privilgios administrativos.
Cumpra seus contratos de nvel de servio: O Windows Server
Longhorn gil e oferece mais disponibilidade reduzindo tempos
de interrupo potenciais.
Reinicializaes reduzidas devido configurao e
atualizaes, e subsistemas que podem ser ligados a quente
permitem alteraes no sistema sem ter de desligar o
servidor.
Reinicializaes reduzidas da Virtualizao do Windows
Server devido ao suporte a incluses a quente de recursos
de processo, memria, rede e armazenamento.
Active Directory reinicivel permite que voc realize
manuteno nos Servios de Domnio do Active Directory
(Active Directory Domain Services) sem a necessidade de
deixar o servidor offline.
Aumente o desempenho da rede com a Rede Escalonvel e Auto-
Tuning de Rede.
17
Aumente a confiabilidade: O Windows Server Longhorn oferece
aprimoramentos avanados de confiabilidade para reduzir a perda
de acesso, trabalho, tempo, dados e controle.
O Clustering Failover facilita configurar clusters de
servidor ao mesmo tempo em que proporciona proteo e
disponibilidade de seus dados e aplicaes.
O geo-clustering ajuda a assegurar alta disponibilidade de
sistema e aplicaes no caso de um desastre no site.
O clustering de host virtualizado permite que mquinas
virtuais efetuem o failover automaticamente de uma mquina
fsica para outra no caso de falha fsica, e a Migrao em
Tempo Real permitir mudar mquinas virtuais de uma mquina
para outra sem nenhum tempo de inatividade.
Melhorias de disponibilidade significam menos quedas ou
travamentos e reinicializaes, permitindo que voc
minimize a freqncia e impacto de interrupes para
melhorar a produtividade e reduzir os custos de suporte.

18
Seo 2: Virtualizao do
Servidor


19
2.01 Introduo Virtualizao de Servidor

Este cenrio enfoca a funo de virtualizao do Windows Server

Longhorn que permite a organizaes de TI reduzir custos e
criar um centro de dados gil e dinmico.
A funo de virtualizao oferece um paradigma inteiramente novo
de implantao e licenciamento para que permitir mltiplas
instncias de sistema operacional tanto da Microsoft como
potencialmente de outros fabricantes sejam executados em uma
infra-estrutura virtual separada do hardware por uma tecnologia
de virtualizao baseada em um monitor fino.
Conforme examinarmos este cenrio, ser importante manter o foco
no apenas no que o cenrio oferece, mas tambm naquilo que
possibilita que possivelmente todas as outras funes de
servidor do Windows Server Longhorn e potencialmente Linux e
outros sistemas operacionais.
Proposta de Valor do Cenrio
A funo de virtualizao possibilita que organizaes criem um
centro de dados gil e dinmico e reduzam custos. As principais
propostas de valor que a virtualizao de servidor permitem so
essas:
Consolidao de servidor: Possibilitar que os clientes
reduzam a quantidade total e o custo de propriedade de
servidor minimizando a utilizao do hardware, consolidando
cargas de trabalho e reduzindo os custos de gerenciamento.
Ambientes de desenvolvimento e teste. Criar um ambiente
mais flexvel e fcil de gerenciar que maximize o hardware
de teste, reduza custos, melhore o gerenciamento do ciclo
de vida e melhore a cobertura dos testes.
Gerenciamento de continuidade de negcios. Eliminar o
impacto de tempos de inatividade programados e no
programados e permitir capacidades de recuperao de
desastres com recursos como a Migrao ao Vivo e clustering
de host.
Centro de dados dinmico. Utilizar os benefcios da
virtualizao para criar uma infra-estrutura mais gil
combinada com novos recursos de gerenciamento para permitir
a voc mover mquinas virtuais sem causar impacto sobre os
usurios.
Requisitos Especiais de Hardware
A funo de virtualizao requer o seguinte:
Processadores Intel VT ou AMD-V ativados

20
2.02 Virtualizao do Windows Server

A virtualizao uma tecnologia chave de capacitao que pode
ser utilizada para alcanar benefcios comerciais. A tecnologia
de virtualizao permite que os clientes executem vrios sistemas
operacionais de maneira concorrente em um nico servidor fsico,
em que cada um dos sistemas operacionais executado como um
computador independente.
Hoje h mais presso que nunca sobre o TI com oramentos
reduzidos, tecnologias que mudam rapidamente e questes
crescentes de segurana. Conforme as empresas crescem, suas
infra-estruturas de TI crescem com elas. Mas, freqentemente, o
ritmo desse crescimento irregular, impulsionado tanto pelas
condies sob as quais a empresa opera quanto pelo modelo a que
aspira. O TI est sendo cada vez mais visto como um gerador-chave
de valor para a maioria das organizaes, e o foco do TI mudar
de meramente manter a empresa em funcionamento para ser um
mecanismo para produzir reatividade e agilidade por toda a
organizao.
Produzir agilidade pelo TI, reduzir custos e gerenciar
complexidade precisam todos acontecer de uma forma integrada. A
Iniciativa de Sistemas Dinmicos da Microsoft (DSI - Dynamic
Systems Initiative) utiliza a virtualizao como um pilar
principal para tratar dessas preocupaes comerciais, e se une
estreitamente com a adio de informaes s aplicaes e na
camada de gerenciamento para permitir a viso de sistemas
dinmicos gerenciados automaticamente em todo o ciclo de vida e
por todas as funes dentro da organizao. A virtualizao como
tecnologia tem a capacidade de tratar de algumas dessas
preocupaes e necessidades comerciais como partes da estratgia
geral de TI.
Hoje, O Microsoft
Virtual Server 2005 R2 hospedado no sistema

operacional Windows Server 2003 proporciona os recursos
necessrios para cumprir tarefas que poupam tempo e custo atravs
da tecnologia de virtualizao em um ambiente de computao
"enterpise-ready" com nveis avanados de escalabilidade,
gerenciamento e disponibilidade. A abordagem da Microsoft para
integrar os recursos de gerenciamento com a famlia de produtos
System Center existente permite aos clientes gerenciar suas
infra-estruturas fsica e virtual d uma forma integrada e
facilita a adoo da tecnologia.
A estratgia de virtualizao da Microsoft contrasta com
as alternativas atuais para gerenciamento de mquina
virtual, que tendem a ser complexas, caras e exigir
habilidades especializadas. Vemos a virtualizao como uma
tecnologia-chave para ajudar os clientes a alcanarem
sistemas dinmicos auto-gerenciados. Ao longo das camadas
da plataforma, sistema operacional, aplicaes e
21
gerenciamento, estamos proporcionando funcionalidade e
recursos que permitem a nossos clientes reduzir
significativamente custos operacionais, aumentar a
utilizao do servidor e alcanar um ROI melhor atravs de
solues de virtualizao de recursos plenos.
Bob Muglia, Vice-Presidente Snior, Negcios de Servidor e
Ferramentas, Microsoft
A Virtualizao do Windows Server, como parte do Windows Server
Longhorn, d um grande passo frente na aplicao de algumas
das avanadas capacidades da virtualizao e em proporcionar aos
clientes uma plataforma de virtualizao escalonvel, segura e
altamente disponvel. Conforme as tecnologias de plataforma
avanam, importante assegurar que o gerenciamento geral
continue simplificado. O Gerenciador de Mquina Virtual do System
Center Microsoft a aplicao de gerenciamento para centro de
dados virtualizado oferece uma soluo de gerenciamento unificada
e integrada como parte da famlia System Center e ajuda a baixar
os custos na medida que o ambiente de TI se torna mais gil.
Benefcios da Virtualizao
Organizaes de TI hoje esto sob uma presso incrvel para
fornecer mais valor a seus clientes comerciais e tipicamente
com pouco ou nenhum aumento no oramento. Otimizar o uso de
ativos fsicos de TI se torna imperativo medida que os centros
de dados atingem sua capacidade de potncia e espao. A Microsoft
reconhece que o problema se intensifica para empresas cujos
servidores trabalham com utilizao muito baixa. Taxas de
utilizao de servidor de menos de 5 por cento no so incomuns,
e as taxas de utilizao de muitos clientes caem dentro da faixa
de 10- a 15 por cento. Muitos desses desafios, compartilhados
entre administradores de servidor e desenvolvedores, podem ser
tratados com a ajuda das solues de virtualizao da Microsoft.
A tecnologia de virtualizao de mquina usada para consolidar
vrias mquinas fsicas em uma nica mquina fsica. A
virtualizao tambm pode ser usada para re-hospedar ambientes de
legado, especialmente conforme o hardware de gerao mais antiga
se torna mais difcil e dispendioso para manter. E como o
software separado do hardware, a virtualizao uma boa
soluo para ambientes de recuperao de desastres, tambm.
Como uma parte essencial de qualquer estratgia de consolidao
de servidor, as solues de virtualizao da Microsoft aumentam a
utilizao do hardware e permitem que as organizaes configurem
e implantem rapidamente novos servidores com os seguintes
importantes benefcios:
Uso eficiente de recursos de hardware. O isolamento e
gerenciamento de recursos de mquina virtual possibilitam a
coexistncia de vrias cargas de trabalho em menos
servidores, permitindo que as organizaes faam um uso
mais eficiente de seus recursos de hardware. A
22
Virtualizao do Windows Server, parte do Windows Server
Longhorn e do Virtual Server 2005 R2 com Windows Server
2003, proporciona a maior interoperabilidade com infra-
estruturas existentes de armazenamento, rede e segurana.
Com avanos em hardware de servidor com tecnologia de 64
bits, sistemas multiprocessados e de mltiplos ncleos, a
virtualizao oferece uma maneira fcil de otimizar a
utilizao de hardware.
Produtividade e reatividade administrativas melhoradas. A
Virtualizao do Windows Server possibilita a organizaes
de TI melhorar sua produtividade administrativa e implantar
rapidamente novos servidores para tratar das necessidades
corporativas sempre em transformao. A integrao fcil
com ferramentas de gerenciamento de servidor existentes,
como o System Center Operations Manager e ferramentas
sofisticadas como o Gerenciador de Mquina Virtual do
System Center (SCVMM), facilita o gerenciamento de mquinas
virtuais Windows. A capacidade de consolidar cargas de
trabalho em um ambiente de hardware no virtual e um
framework fsico e virtual integrado de gerenciamento de TI
permite que administradores reduzam os custos operacionais
e criem centros de dados mais geis.
Soluo de virtualizao de servidor bem suportada. O
Virtual Server 2005 R2 extensivamente testado e suportado
pela Microsoft em conjunto com seus sistemas operacionais e
aplicaes de servidor. Por isso o Virtual Server 2005 R2
uma soluo de virtualizao bem suportada tanto dentro da
Microsoft como na comunidade de ISVs mais ampla. Com a
Virtualizao do Windows Server como um componente
integrante do Windows Server Longhorn e o Gerenciador de
Mquina Virtual como parte da famlia System Center, voc
pode ter certeza de que as futuras solues de
virtualizao da Microsoft tambm sero extensivamente
testadas e bem suportadas. O uso de um formato de disco
rgido virtual comum (VHD) assegura a proteo do
investimento para todas as mquinas virtuais criadas para o
Servidor Virtual com um caminho transparente de migrao
para a Virtualizao do Windows Server.
Um produto-chave para a Iniciativa de Sistemas Dinmicos da
Microsoft. Como parte da DSI, o esforo da Microsoft
abrangendo toda a indstria para simplificar e automatizar
dramaticamente como as empresas projetam, implantam e
operam sistemas de TI para permitir sistemas dinmicos
auto-gerenciados, a Microsoft est oferecendo s empresas
ferramentas para ajud-las a utilizar de maneira mais
flexvel seus recursos de hardware. O Virtual Server 2005
R2, a Virtualizao do Windows Server e o Gerenciador de
Mquina Virtual so exemplos importantes de como a
Microsoft est continuando a fornecer tecnologia que
resulta em melhor utilizao de hardware de servidor e
23
proporciona um aprovisionamento mais flexvel de recursos e
centros de dados.
Roadmap da Virtualizao da Microsoft
O roadmap da Virtualizao da Microsoft combina o seguinte:
Uma viso de longo prazo que mostra como os clientes podem
reduzir drasticamente a complexidade da infra-estrutura de
TI como parte da DSI global.
Um cronograma de produto slido que oferece solues atuais
e de curto prazo, permitindo que os clientes tomem uma
srie de passos prticos de acordo com a viso de longo
prazo.
A Microsoft est fornecendo solues de ferramentas de
desenvolvimento de aplicaes, aplicaes de servidor, sistemas
operacionais e gerenciamento que proporcionam melhorias imediatas
para tratar da complexidade no ambiente de TI dos clientes. Como
parte das solues de virtualizao, os clientes vero melhorias
na oferta atual de produtos para o Virtual Server 2005 R2; novos
produtos avanados como o Gerenciador de Mquina Virtual do
System Center que trataro de importantes desafios de
gerenciamento; e a Virtualizao do Windows Server como parte do
Windows Server Longhorn que fornecer uma plataforma melhorada
de virtualizao com escalabilidade, desempenho e confiabilidade
aumentados.
Com a capacidade de hardware crescendo e recursos mais robustos
de plataforma de virtualizao e gerenciamento, mais clientes
podem se beneficiar dos recursos de consolidao, gerenciamento
mais fcil e automao. A virtualizao a principal tecnologia
para reduzir o custo e complexidade do gerenciamento de TI, e a
Microsoft comprometeu recursos significativos para tornar a
virtualizao mais amplamente acessvel para os clientes.
As prximas sees enfocaro os principais produtos de
virtualizao, tanto no nvel da plataforma como no de
gerenciamento.
Virtual Server 2005 R2
O Microsoft Virtual Server 2005 R2 tecnologia de
virtualizao de servidor mais eficaz em termos de custo
projetada para a plataforma Windows Server System. Como parte
essencial de qualquer estratgia de consolidao de servidor, o
Virtual Server aumenta a utilizao de hardware e permite que as
organizaes configurem e implantem novos servidores rapidamente.
Cenrios de Uso
O Virtual Server 2005 R2 oferece eficincia de hardware melhorada
oferecendo uma tima soluo para isolamento e gerenciamento de
recursos, o que possibilita a coexistncia de mltiplas cargas de
trabalho em menos servidores. O Virtual Server pode ser usado
24
para melhorar a eficincia operacional na consolidao de infra-
estrutura, cargas de trabalho de servidor de aplicaes e em
escritrios remotos, consolidando e re-hospedando aplicaes de
legado, automatizando e consolidando ambientes de testes e de
desenvolvimento de software, e reduzindo o impacto de desastres.
Consolide infra-estrutura, cargas de trabalho de servidor
de aplicaes e em escritrios remotos. O Virtual Server
permite a consolidao de cargas de trabalho para ambientes
de servio de infra-estrutura, de escritrios remotos, e
recuperao de desastres, resultando em menos sistemas
fsicos para memria de hardware reduzida. O Virtual Server
2005 R2 ideal para consolidao de servidor tanto no
centro de dados como no escritrio remoto, permitindo s
organizaes fazerem um uso mais eficiente de seus recursos
de hardware. Ele permite que as organizaes de TI aumentem
sua produtividade administrativa e implantem rapidamente
novos servidores para tratar de necessidades comerciais e
aumenta as taxas de utilizao de hardware para uma infra-
estrutura de TI otimizada.
Consolide e automatize seu ambiente de teste e
desenvolvimento de software. Clientes em todos os segmentos
procuram maneiras de diminuir os custos e acelerar
instalaes e atualizaes de aplicaes e infra-estrutura,
ao mesmo tempo em que fornecem um nvel abrangente de
garantia de qualidade. O Virtual Server permite que voc
consolide sua farm de servidores de testes e
desenvolvimento e automatize o aprovisionamento de mquinas
virtuais, melhorando a utilizao de hardware e a
flexibilidade operacional. Para desenvolvedores, o Virtual
Server permite uma fcil implantao e testes de uma
aplicao de servidor distribuda usando mltiplas mquinas
virtuais em um servidor fsico.
Re-hospede aplicaes de legado. O Virtual Server permite a
migrao de sistemas operacionais de legado (Windows NT
4.0
Server e Windows
2000 Server) e suas aplicaes

personalizadas associadas de hardwares mais antigos para
servidores novos executando o Windows Server 2003. O
Virtual Server 2005 R2 oferece o melhor dos dois mundos:
compatibilidade de aplicao com ambientes de legado, ao
mesmo tempo em que tira proveito da confiabilidade,
gerenciamento e recursos de segurana do Windows Server
2003 sendo executado no hardware mais recente. O Virtual
Server 2005 R2 oferece essa capacidade permitindo que os
clientes executem aplicaes de legado em seu ambiente
nativo de software em mquinas virtuais, sem reescrever a
lgica da aplicao, reconfigurar redes ou treinar
novamente os usurios finais. Isso d aos clientes tempo
para primeiro atualizar sistemas mais antigos da infra-
estrutura, depois para atualizar ou reescrever aplicaes
fora de servio em um cronograma que atenda melhor suas
25

Virtual Server 2005 R2: Administration Website
necessidades comerciais. O Virtual Server 2005 R2
possibilita uma melhor escolha do cliente para migrao de
aplicaes de legado com excepcional compatibilidade.
Solues de recuperao de desastre. O Virtual Server 2005
R2 pode ser usado como parte de um plano de recuperao de
desastres que requeira portabilidade e flexibilidade de
aplicao ao longo de plataformas de hardware. Consolidar
servidores fsicos em poucas mquinas fsicas executando
mquinas virtuais diminui o nmero de ativos fsicos que
deve estar disponveis em um local de recuperao de
desastre. No caso de recuperao, mquinas virtuais podem
ser hospedadas em qualquer local, em mquinas host
diferentes daquelas afetadas pelo desastre, acelerando os
tempos d recuperao e maximizando a flexibilidade da
organizao.
Principais Recursos
A virtualizao facilita ampla compatibilidade de dispositivos e
suporte completo para ambientes de servidor Windows.
Isolamento de mquina virtual. O isolamento de mquina
virtual garante que se uma mquina virtual cair ou travar,
no tenha impacto sobre nenhuma outra mquina virtual ou
sobre o sistema host. A compatibilidade mxima da aplicao
alcanada atravs do isolamento. Isso permite que os
clientes potencializem ainda mais suas infra-estruturas
existentes de armazenamento, rede e segurana.
Ampla compatibilidade de dispositivos. O Virtual Server
executado no Windows Server 2003, que suporta a maioria dos
dispositivos do Catlogo do Windows Server, oferecendo
compatibilidade com uma ampla gama de hardwares de sistemas
de host.
VMM multithread. O Monitor de Mquina Virtual do Virtual
Server fornece a
infra-estrutura
de software para
criar, gerenciar
e interagir com
mquinas
virtuais em
hardware
multiprocessado.
Ampla
compatibilidade
com sistema
operacional x86
guest. O Virtual
Server pode
executar todos
os principais
26
sistemas operacionais x86 no ambiente guest da mquina
virtual. A Microsoft tambm suportar distribuies
especficas de Linux sendo executadas no ambiente da
mquina virtual.
Clustering iSCSI. Cenrios flexveis de clustering
proporcionam alta disponibilidade para ambientes crticos
ao mesmo tempo em que melhoram os processos de atualizao
e manuteno de hardware. O clustering de iSCSI entre hosts
fsicos do Virtual Server 2005 R2 oferece um meio eficaz em
termos de custo de aumentar a disponibilidade do servidor.
Suporte a x64. O Virtual Server 2005 R2 executado nos
seguintes sistemas operacionais host de 64 bits: Windows
Server 2003 Standard x64 Edition, Windows Server 2003
Enterprise x64 Edition Windows XP Professional x64 Edition,
proporcionando desempenho e maior espao de memria.
API de COM abrangente. Isso permite completo controle em
script de ambientes de mquina virtual. O Virtual Server
suporta uma Interface de Programao de Aplicaes (API) de
Modelo de Objeto Componente (COM) que contm 42 interfaces
e centenas de chamadas, permitindo que scripts controlem
quase todos os aspectos do produto.
Discos Rgidos Virtuais (VHDs - Virtual Hard Disks). O
Virtual Server encapsula mquinas virtuais e, VHDs
portteis, permitindo uma configurao, verso e
implantao flexveis.
Boot PXE. Esta placa de rede emulada no Virtual Server 2005
R2 agora suporta boot de Ambiente de Execuo Pr-
Inicializao (PXE - Pre-Boot Execution Environment). Esse
boot de rede permite que os clientes aprovisionem suas
mquinas virtuais de todas as maneiras que fazem com os
servidores fsicos.
Integrao com o Active Directory. As mquinas virtuais no
Virtual Server funcionam como se esperaria de uma mquina
fsica, oferecendo integrao completa com o Active
Directory
. Esse nvel de integrao permite administrao

delegada e acesso de convidado seguro e autenticado.
Microsoft Operations Manager 2005 Management Pack for
Virtual Server. Um pacote de gerenciamento desenvolvido
especificamente para o Virtual Server possibilita recursos
avanados de gerenciamento dentro de mquinas virtuais.
Virtualizao do Windows Server
A Virtualizao do Windows Server uma tecnologia baseada em
monitor que parte do Windows Server Longhorn. O hypervisor
Windows uma camada fina de software sendo executada diretamente
no hardware, que trabalha em conjunto com uma instncia otimizada
do Windows Server Longhorn que permite que mltiplas instncias
do sistema operacional sejam executadas simultaneamente em um
27
servidor fsico. Ela utiliza as poderosas melhorias de
processadores e oferece aos clientes uma plataforma de
virtualizao escalonvel, confivel, de segurana aprimorada, e
altamente disponvel.
Cenrios de Uso
A Virtualizao do Windows Server integrada como a funo de
virtualizao no Windows Server Longhorn e oferece um ambiente
virtual mais dinmico para consolidar cargas de trabalho. Ela
fornece uma plataforma de virtualizao que permite eficincia
operacional aprimorada para consolidao de cargas de trabalho,
gerenciamento de continuidade de negcios, automatizar e
consolidar ambientes de testes de software, e criar um centro de
dados dinmico.
Consolidao de servidor de produo. Organizaes procuram
servidores de produo em seus centros de dados e encontram
nveis de utilizao geral de hardware entre 5 e 15 por
cento da capacidade do servidor. Alm disso, limitaes
fsicas como espao e potncia as esto impedindo de
expandir seus centros de dados. Consolidar vrios
servidores de produo com a Virtualizao do Windows
Server pode ajudar as empresas a se beneficiarem da
utilizao aumentada do hardware e do custo total de
propriedade geral reduzido.
Gerenciamento de continuidade de negcios. Os
administradores de TI esto sempre tentando encontrar
maneiras de reduzir ou eliminar o tempo de inatividade de
seu ambiente. A Virtualizao do Windows Server oferecer
recursos para recuperao eficiente de desastres para
minimizar o tempo de inatividade. O ambiente de
virtualizao robusto e flexvel criado pela Virtualizao
do Windows Server minimiza o impacto de tempos de
inatividade programados e no programados.
Teste e desenvolvimento de software. Uma das maiores reas
onde a tecnologia de virtualizao continuar sendo
relevante a de teste e desenvolvimento de software para
criar ambientes automatizados e consolidados que sejam
geis o suficiente para acomodar as exigncias em constante
mudana. A Virtualizao do Windows Server ajuda a
minimizar o hardware de teste, melhora o gerenciamento de
ciclo de vida e melhora a cobertura dos testes.
Centro de dados dinmico. O rico conjunto de recursos da
Virtualizao do Windows Server combinado com os novos
recursos de gerenciamento estendidos pelo Gerenciador de
Mquina Virtual permite que as organizaes criem uma
infra-estrutura mais gil. Os administradores sero capazes
de adicionar recursos dinamicamente a mquinas virtuais e
mov-las atravs de mquinas fsicas de maneira
transparente sem causar impacto nos usurios.
28

Windows Server Virtualization: User Interface and multi-proc support
Principais Recursos
H vrios novos recursos na Virtualizao do Windows Server que
ajudam a criar uma plataforma de virtualizao escalonvel,
segura e altamente disponvel como parte do Windows Server
Longhorn. Os seguintes so alguns dos principais componentes e
recursos da Virtualizao do Windows Server.
Monitor Windows. uma camada finssima de software que
utiliza o suporte a driver e a tecnologia de virtualizao
assistida por hardware do Windows Server. A base de cdigo
mnimo sem nenhum cdigo ou driver de terceiros ajuda a
criar uma base mais segura e robusta para solues de
virtualizao.
Gerenciamento dinmico de recursos. A Virtualizao do
Windows Server oferece a capacidade de incluir a quente
recursos como CPU, memria, redes e armazenamento s
mquinas virtuais sem tempo de inatividade. Combinado com
os recursos de conexo a quente do Windows Server
Longhorn, isso permite que os administradores gerenciem
seus recursos de hardware sem impacto sobre seus
compromissos de SLA.
Suporte a guest (convidado) de 64 bits. Um novo recurso
importante
da
plataforma
de
Virtuali-
zao do
Windows
Server
guests de
64 bits.
Isso
permite que
organiza-
es
virtualizem
mais
aplicaes
que so exigentes em termos de memria e se beneficiem do
pool de memria aumentado acessvel em um ambiente de 64
bits.
Suporte a multiprocessador guest (convidado). A
Virtualizao do Windows Server agora oferece a capacidade
de alocar mltiplos recursos de CPU a uma nica mquina
virtual e permite a virtualizao de aplicaes
multithread. Este recurso, combinado com o suporte a guests
de 64 bits, torna a Virtualizao do Windows Server uma
plataforma escalonvel para virtualizao.
29
Migrao em tempo real de mquinas virtuais. A
Virtualizao do Windows Server proporcionar a capacidade
de mover uma mquina virtual de uma mquina fsica para
outra com um mnimo de tempo de inatividade. Esta
capacidade, somada ao clustering de host de mquinas
fsicas, proporciona alta disponibilidade e flexibilidade
para se alcanar um centro de dados gil e dinmico.
Nova arquitetura de virtualizao de dispositivos. A
Virtualizao do Windows Server oferece uma nova
arquitetura virtualizada de E/S. Isso d aos clientes um
alto desempenho e baixo overhead.
Manipulao offline de VHD. A Virtualizao do Windows
Server oferece aos administradores a capacidade de acessar
em segurana arquivos dento de um VHD sem ter de criar uma
instncia de mquina virtual. Isso d aos administradores
acesso granular a VHDs e a capacidade de realizar algumas
tarefas de gerenciamento offline.
System Center Virtual Machine Manager
Como parte da famlia System Center de produtos de gerenciamento,
o System Center Virtual Machine Manager facilita o gerenciamento
de mquinas virtuais Windows. O System Center Virtual Machine
Manager permite uma utilizao aumentada de servidor fsico
permitindo consolidao simples e rpida de infra-estrutura
virtual com identificao integrada de candidato de consolidao,
P2V rpida, e disposio inteligente da carga de trabalho com
base no conhecimento de desempenho e diretivas comerciais
definidas pelo usurio. O System Center Virtual Machine Manager
possibilita o rpido aprovisionamento de novas mquinas virtuais
pelo administrador e usurios finais usando uma ferramenta de
aprovisionamento de auto-atendimento. O System Center Virtual
Machine Manager um membro estreitamente integrado da famlia de
produtos de gerenciamento System Center.
Cenrios de Uso
O System Center Virtual Machine Manager oferece suporte simples e
completo para consolidar hardware em infra-estrutura virtual e
otimizar a utilizao. Ele tambm proporciona rpido
aprovisionamento de mquinas virtuais a partir de mquinas
fsicas ou modelos na biblioteca de imagens ou por usurios
finais.
Consolidao de servidor de produo. medida que as
organizaes buscam consolidar seus servidores de produo,
o System Center Virtual Machine Manager oferece uma maneira
de transferir o conhecimento sobre o sistema e o ambiente
atravs do processo de virtualizao e ajuda a manter a
continuidade do conhecimento. Pela consolidao de vrios
servidores de produo com o Virtual Server 2005 R2 ou
Virtualizao do Windows Server, as empresas reduzem o
30
custo total de propriedade geral e ainda mantm um
framework unificado de gerenciamento em seus ambientes
fsico e virtual.
Aumento da agilidade operacional. Empresas em todos os
segmentos procuram maneiras de aumentar a eficincia
atravs de seus ambientes de TI e aumentar a agilidade
operacional. O System Center Virtual Machine Manager
oferece um mecanismo para permitir funcionalidade como
rpido aprovisionamento de servidor, rpida recuperao, e
capacidade de migrao escalonvel para tornar toda a
infra-estrutura virtual robusta e fcil de gerenciar.
Gerenciamento integrado. O System Center Virtual Machine
Manager ajuda a criar uma infra-estrutura de gerenciamento
centralizado de mquina virtual em mltiplos sistemas host
do Virtual Server 2005 R2 e de hosts da Virtualizao do
Windows Server. Organizaes esto adotando a virtualizao
nas reas de produo, teste e desenvolvimento, e conforme
os recursos de gerenciamento se sofisticam, ela ajuda os
administradores a implantar e gerenciar ambientes virtuais
e fsicos em uma abordagem integrada.
Principais Recursos
O System Center Virtual Machine Manager se concentra em
requisitos nicos de mquinas virtuais e projetado para
permitir utilizao aumentada de servidor fsico, gerenciamento
centralizado de infra-estrutura de mquina virtual e rpido
aprovisionamento de novas mquinas virtuais. Os seguintes so
alguns dos recursos principais do System Center Virtual Machine
Manager.
Identificao de candidato a consolidao. O primeiro passo
na migrao de um centro de dados fsico com um modelo de
uma carga de trabalho por servidor identificar as cargas
de trabalho fsicas apropriadas para consolidao no
hardware virtual. Os fatores de deciso para determinar os
candidatos adequados se baseiam em vrios fatores, como
desempenho histrico, caractersticas de pico de carga e
padres de acesso. O System Center Virtual Machine Manager
utiliza os dados histricos de desempenho existentes no
banco de dados do System Center Operations Manager para
listar os candidatos a consolidao em ordem de
classificao.
31

Virtual Machine Manager: Centralized management view
Disposio inteligente. O ato de designar e ativar uma
determinada
carga de
trabalho
virtual em um
servidor de
host virtual
fsico
citado como
disposio. A
disposio
est no mago
de maximizar a
utilizao de
ativos
fsicos. O
System Center
Virtual
Machine
Manager traz
uma abordagem
profunda e holstica disposio e combina o conhecimento
de dados histricos de desempenho da carga de trabalho e as
informaes sobre o sistema de host virtual. Regras
comerciais e modelos associados tambm so utilizadas pelo
System Center Virtual Machine Manager para determinar as
opes de disposio.
Aprovisionamento de host. O System Center Virtual Machine
Manager identifica os hosts virtuais fsicos na empresa
atravs de descoberta integrada com o Active Directory.
Isso ajuda as organizaes a escalar facilmente o
gerenciamento de mquinas e hosts virtuais no centro de
dados e escritrios remotos.
Biblioteca central. O System Center Virtual Machine Manager
oferece um repositrio central para todos os blocos de
construo para uma mquina virtual como VHDs, mquinas
virtuais offline, modelos e at mesmo imagens ISO. Cada
item da biblioteca possui modelos ou ricos metadados que
permitem um gerenciamento mais controlado dos objetos. O
modelo um novo objeto que permite ao administrador criar
configuraes de mquina virtual aprovadas que servem como
um padro ouro para subseqentes implantaes de mquinas
virtuais.
Aprovisionamento de auto-atendimento. A infra-estrutura
virtual comumente usada em ambientes de teste e
desenvolvimento em que h aprovisionamento coerente e
desmontagem de mquinas virtuais para fins de teste. Com o
System Center Virtual Machine Manager, os administradores
podem estender seletivamente os recursos de auto-
aprovisionamento a grupos de usurios e ser capazes de
32
definir cotas. A ferramenta de aprovisionamento automtico
gerencia as mquinas virtuais atravs de seus ciclos de
vida, incluindo desmontagens.

33
2.03 Ncleo do Servidor

No Windows Server Longhorn, os administradores agora podem
escolher instalar um ambiente mnimo que evita carga extra.
Embora esta opo limite as funes que podem ser executadas pelo
servidor, pode aumentar a segurana e reduzir o gerenciamento.
Esse tipo de instalao chamado de instalao do Ncleo do
Servidor.
Para mais informaes sobre o Ncleo do Servidor, consulte a
seo 7.05 Ncleo do Servidor na pgina 242.

Para saber
mais,
consulte
7.05
Ncleo do
Servidor
(Server
Core) na
pgina
242.
34
Seo 3: Acesso Centralizado a
Aplicaes


35
3.01 Introduo ao Acesso Centralizado a Aplicaes

Este cenrio enfoca a centralizao de acesso a aplicaes a
aplicaes comerciais com os Servios de Terminal (Terminal
Services). Os Servios de Terminal possibilitam aos usurios
estabelecer um sistema centralizado que lhes permite fornecer
acesso rpida e seguramente a aplicaes baseadas em Windows a
partir de qualquer local conectado por rede. Clientes podem
fornecer essa funcionalidade usando uma variedade de clientes,
inclusive PCs baseados em Windows
, clientes finos baseados em

Windows ou dispositivos baseados em Windows Mobile
.
Quando os usurios executam uma aplicao com os Servios de
Terminal, a execuo da aplicao se d no servidor, e somente
informaes de teclado, mouse e monitor so transmitidas pela
rede Os usurios podem apenas ver suas sesses individuais,
gerenciadas de maneira transparente pelo sistema operacional do
servidor, e permanecem independentes de qualquer outra sesso de
cliente.
As principais propostas de valor que o acesso centralizado a
aplicaes possibilita so:
Fornecer acesso centralizado a aplicaes comerciais na LAN
ou pela Internet.
Eliminar o risco de perda de dados de laptops usando acesso
remoto seguro a aplicaes e dados localizados
centralmente.
Reduzir os custos de gerenciamento atravs da eliminao da
necessidade de servidores de aplicaes em locais
distribudos.
Oferecer acesso seguro a aplicaes sem a necessidade de
permitir acesso total rede atravs de VPN ou outros
mecanismos.
Consolidar os Servios de Terminal existentes usando
tecnologia x64.
Melhorar a produtividade do usurio final com integrao
contnua de aplicaes baseadas no local e nos Servios de
Terminal no cliente local.
A seguir est um requisito adicional de:
Firewall baseado em hardware ou software (ou outro
dispositivo de segurana de borda) para ser colocado entre
o Gateway de Servios de Terminal e a Internet.

36
3.02 Funcionalidade Bsica de Servios de Terminal

Para o Windows Server
Longhorn, os Servios de Terminal incluem

nova funcionalidade bsica que melhora a experincia do usurio
final quando se conecta remotamente a um servidor de terminal do
Windows Server Longhorn.
A nova funcionalidade bsica nos Servios de Terminal ser
interessante para organizaes que atualmente usam ou tm a
inteno de usar os Servios de Terminal. Os Servios de Terminal
fornecem tecnologias que permitem o acesso, a partir de qualquer
dispositivo de computao, a um servidor executando programas
baseados em Windows ou rea de trabalho Windows plena. Os
usurios podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede nele.
Para o Windows Server Longhorn, voc pode se interessar na nova
funcionalidade bsica nos Servios de Terminal se usar um dos
seguintes hardwares:
Dispositivos portteis baseados em Windows
Microsoft
Point of Service para dispositivos Microsoft .NET

Monitores que suportem resolues mais altas, como
1680x1050 ou 1920x1200
Vrios monitores
Voc tambm pode se interessar na nova funcionalidade bsica nos
Servios de Terminal se quiser dar suporte a qualquer dos
seguintes cenrios:
Fazer usurios se conectarem a um servidor de terminal e
fazer o computador remoto se parecer mais com a experincia
da rea de trabalho Windows Vista local do usurio.
Garantir que os dados de monitor, teclado e mouse passados
atravs de uma conexo remota no sejam afetados de maneira
adversa por aes que exijam muita largura de banda, como
grandes tarefas de impresso.
Permitir que usurios com uma conta de domnio efetuem o
logon uma vez, usando uma senha ou smart card, e ento
obtenham acesso a um servidor de terminal sem a necessidade
de apresentar as credenciais novamente.
Para tirar proveito da nova funcionalidade bsica de Servios de
Terminal, voc vai precisar usar o seguinte:
Conexo de rea de trabalho Remota 6.0
Windows Server Longhorn configurado como servidor de
terminal
Em alguns casos, ser necessrio tambm usar o Windows Vista.
37
Conexo de rea de Trabalho Remota 6.0
A Conexo de rea de trabalho Remota 6.0 est disponvel com o
Windows Vista e com o Windows Server Longhorn.
O software da Conexo de rea de trabalho Remota 6.0 tambm est
disponvel para uso no Microsoft Windows Server 2003 com Service
Pack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usar
quaisquer novos recursos de Servios de Terminal em qualquer
dessas plataformas, faa o download do pacote de instalao na
Central de Downloads Microsoft http://go.microsoft.com/fwlink/?LinkId=79373.
Redirecionamento de Dispositivos Plug and Play
para Media Players e Cmeras Digitais
No Windows Server Longhorn, o redirecionamento foi aperfeioado
e expandido. Agora voc pode redirecionar dispositivos portteis
baseados em Windows, especificamente media players baseados no
Protocolo MTP (Media Transfer Protocol) e cmeras digitais
baseadas no Protocolo de Transferncia de Imagem (PTP - Picture
Transfer Protocol).
Para redirecionar dispositivos Plug and Play
1. Abra a Conexo de rea de trabalho Remota. Para abrir a
Conexo de rea de trabalho Remota no Microsoft Windows
Vista, clique em Start, aponte para All Programs, clique em
Accessories, e em seguida clique em Remote Desktop
Connection.
2. Na caixa de dilogo Remote Desktop Connection, clique em
Options.
3. Na guia Resources, clique em More.
4. Em Local devices and resources, expanda Supported Plug and
Play devices.
Os dispositivos Plug and Play atualmente ligados e
suportados para redirecionamento sero exibidos nesta
lista. Se o dispositivo que voc ligou no aparecer na
lista, ele no suportado atualmente para
redirecionamento. Verifique o manual do dispositivo para
ver se ele suporta o MTP ou PTP.
5. Escolha o dispositivo que deseja redirecionar assinalando a
caixa de seleo prxima ao nome do dispositivo.
6. Voc tambm pode redirecionar dispositivos que ainda no
foram ligados, mas que sero posteriormente quando uma
sesso a um computador estiver ativa. Para tornar os
dispositivos Plug and Play que voc ligar mais tarde
disponveis para redirecionamento, assinale a caixa de
seleo Devices that I plug in later.
38
Nota
Voc tambm pode redirecionar unidades de disco que
sero conectadas depois de uma sesso para um
computador remoto que esteja ativo. Para tornar uma
unidade de disco a que voc se conectar mais tarde
disponvel para redirecionamento, expanda Drives, e
em seguida assinale a caixa de seleo Drives that I
connect to later.
7. Clique em OK, e conecte-se ao computador remoto.
O arquivo (.rdp) do Protocolo de rea de trabalho Remota (Remote
Desktop Protocol) criado pelo Assistente RemoteApp ativa
automaticamente o redirecionamento de dispositivo Plug and Play.
Para mais informaes sobre o RemoteApps, consulte o Guia Passo a
Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para
acessar esse guia, visite o Windows Server Longhorn TS
RemoteApp e o TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609).
Quando a sesso para o computador remoto lanada, voc deve ver
o dispositivo Plug and Play que redirecionado ser instalado
automaticamente no computador remoto. Notificaes do Plug and
Play aparecero na barra de tarefas no computador remoto.
Se voc tiver assinalado a caixa de seleo Drives that I connect
to later na Conexo de rea de trabalho Remota (Remote Desktop
Connection), deve ver o dispositivo Plug and Play ser instalado
no computador remoto quando lig-lo em seu computador local
enquanto a sesso para o computador remoto estiver ativa.
Depois que o dispositivo Plug and Play instalado no computador
remoto, ele fica disponvel para uso em sua sesso com o
computador remoto. Por exemplo, se voc redirecionar um
dispositivo porttil baseado em Windows como uma cmera digital,
o dispositivo pode ser acessado diretamente a partir de uma
aplicao como o Assistente de Cmera e Scanner no computador
remoto.
O redirecionamento de dispositivo Plug and Play no suportado
em conexes em cascata de servidor de terminal. Por exemplo, se
voc tiver um dispositivo Plug and Play ligado a seu computador
cliente local, pode redirecionar e usar esse dispositivo quando
se conectar a um servidor de terminal (Server1, por exemplo). Se,
de dentro de sua sesso remota no Server1, voc ento se conectar
a outro servidor de terminal (Server2, por exemplo), no ser
capaz de redirecionar e usar o dispositivo Plug and Play em sua
sesso remota com o Server2.
Voc pode controlar o redirecionamento de dispositivos Plug and
Play usando qualquer das seguintes configuraes de Diretiva de
Grupo:
39
Computer Configuration\Administrative Templates\Windows
Components\Terminal Services\Terminal Server\Device and
Resource Redirection\definio de diretiva de Do not allow
supported Plug and Play device redirection
Computer Configuration\Administrative
Templates\System\Device Installation\ definio de diretiva
de Device Installation Restrictions
Voc tambm pode controlar o redirecionamento de dispositivos
Plug and Play na guia Client Settings na ferramenta de
Configurao de Servios de Terminal (tsconfig.msc).
Redirecionamento de Dispositivo Microsoft Point
of Services for .NET
No Windows Server Longhorn voc tambm pode redirecionar
dispositivos que usam o Microsoft Point of Service (POS) for .NET
1.1.
Importante
O redirecionamento de dispositivo Microsoft POS for .NET
somente suportado se o servidor de terminal estiver
executando uma verso baseada em x86 do Windows Server
Longhorn.
Voc pode fazer o download do Microsoft POS for .NET 1.1 na
Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?linkid=66169).
Configurando um Servidor de Terminal
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faa o seguinte:
1. Instale o Microsoft POS for .NET 1.1.
2. Instale os objetos ou arquivos XML de configurao do
servio. NET para o dispositivo do Microsoft POS for .NET.
Os objetos de servio do dispositivo ou arquivos XML de
configurao geralmente so fornecidos pelo fabricante do
dispositivo e so escritos para trabalhar com o POS for
.NET usando o SDK (Software Development Kit) do Microsoft
POS for .NET 1.1. Voc pode instalar os objetos de servio
do dispositivo ou arquivos XML de configurao atravs do
software padro de instalao que acompanha o dispositivo.
Para instrues de instalao do dispositivo Microsoft POS
for .NET especfico que voc estiver usando, consulte o
manual do dispositivo.
3. Depois de instalar os objetos de servio do dispositivo ou
os arquivos XML de configurao para todos os dispositivos
Microsoft POS for .NET que estiver suportando no servidor
de terminal, voc precisa parar e iniciar o servio
40
Redirecionador de Porta UserMode de Servios de Terminal.
Para reiniciar o servio, siga esses passos:
a. Abra o snap-in Servios. Para abri-lo, clique em
Start, aponte para Administrative Tools, e ento
clique em Services.
b. Na caixa de dilogo Services,na coluna Name, clique
com o boto direito em Terminal Services UserMode
Port Redirector, e em seguida clique em Restart.
Nota
Reinicie o Redirecionador de Porta UserMode de Servios de
Terminal (Terminal Services UserMode Port Redirector)
somente depois de ter instalado os objetos de servio do
servidor ou os arquivos XML de configurao para todos os
dispositivos Microsoft POS for .NET que estiver suportando
no servidor de terminal. Se voc instalar posteriormente um
novo objeto de servio do servidor ou arquivo XML de
configurao em seu servidor de terminal para um
dispositivo Microsoft POS for .NET, precisar reiniciar o
servio Redirecionador de Porta UserMode de Servios de
Terminal (Terminal Services UserMode Port Redirector).
Configurando um Arquivo de Protocolo de rea de trabalho Remota
Os dispositivos do Microsoft POS for .NET, por padro, no esto
listados em Local devices and resources na guia Local Resources
na Conexo de rea de trabalho Remota. Portanto, para permitir o
redirecionamento de dispositivos do Microsoft POS for .NET, voc
precisa editar o arquivo (.rdp) do Protocolo de rea de trabalho
Remota (Remote Desktop Protocol) que voc usa para conectar-se ao
servidor de terminal.
Para ativar o redirecionamento de dispositivos do Microsoft
POS for .NET em um arquivo .rdp, faa o seguinte
Abra o arquivo .rdp no editor de texto. Adicione ou altere
a seguinte configurao:
redirectposdevices:i:<value>
o Se <value> = 0, o redirecionamento de dispositivos do
Microsoft POS for .NET est desabilitado.
o Se <value> = 1, o redirecionamento de dispositivos do
Microsoft POS for .NET est ativado.
Para mais informaes sobre as configuraes de arquivo .rdp,
consulte o artigo 885187 na Base de Conhecimento Microsoft
(http://go.microsoft.com/fwlink/?linkid=66168).
Nota
41
O arquivo .rdp criado pelo Assistente RemoteApp ativa
automaticamente o redirecionamento de dispositivos do
Microsoft POS for .NET. Para mais informaes sobre o
RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp
(TS RemoteApp Step-by-Step Guide). Para acessar esse guia,
visite o TechCenter do Windows Server Longhorn TS
RemoteApp e o TS Web Access
Usando Dispositivos Microsoft POS for .NET
Depois de ter implementado o Microsoft POS for .NET 1.1 em seu
servidor de terminal e de ter ativado o redirecionamento de
dispositivos do Microsoft POS for .NET em seu arquivo .rdp,
conecte seu dispositivo do Microsoft POS for .NET e em seguida
conecte-se ao computador remoto usando o arquivo .rdp modificado.
Depois de se conectar ao computador remoto, voc deve ver o
dispositivo do Microsoft POS for .NET redirecionado ser instalado
automaticamente no computador remoto. Notificaes do Plug and
Play aparecero na barra de tarefas do computador remoto.
Depois que o dispositivo do Microsoft POS for .NET instalado no
computador remoto, qualquer aplicao do Microsoft POS for .NET
residindo no servidor de terminal pode acessar o dispositivo do
Microsoft POS for .NET como se este estivesse disponvel
localmente. H uma aplicao de amostra no SDK do POS for .NET
1.1 que voc pode usar para testar o acesso e a funcionalidade do
dispositivo do Microsoft POS for .NET redirecionado. A aplicao
de amostra chamada ccltestapp.exe e pode ser encontrada na
pasta \SDK\Exemplos\Exemplo de Aplicao (\SDK\Samples\Sample
Application) na pasta onde voc instalou o POS for .NET.
Voc pode controlar o redirecionamento de dispositivos do
Microsoft POS for .NET usando as seguintes configuraes de
Diretiva de Grupo:
Components\Terminal Services\Terminal Server\Device and
Resource Redirection\definio de diretiva de Do not allow
supported Plug and Play device redirection
Computer Configuration\Administrative
Templates\System\Device Installation\ definio de diretiva
de Device Installation Restrictions
Voc tambm pode controlar o redirecionamento de dispositivos
Plug and Play na guia Client Settings na ferramenta de
Configurao de Servios de Terminal (tsconfig.msc).
Exibio de Conexo de rea de trabalho Remota
O software Conexo de rea de trabalho Remota 6.0 (Remote Desktop
Connection 6.0) acrescenta suporte para estaes de trabalho de
resoluo mais alta e abrangendo mltiplos monitores
horizontalmente para formar uma nica grande rea de trabalho.
42
Alm disso, o recurso Experincia Desktop e as configuraes de
priorizao de dados de exibio so projetados para aumentar a
experincia do usurio final quando se conecta remotamente a um
servidor de terminal do Windows Server Longhorn.
Resolues de Exibio Personalizadas
A resoluo de exibio personalizada oferece suporte para
propores adicionais de exibio, como 16:9 ou 16:10. Por
exemplo, monitores mais novos com resolues de 1680x1050 ou
1920x1200 agora so suportados. A resoluo mxima suportada
4096x2048.
Nota
Anteriormente, somente propores de resoluo de 4:3 eram
suportadas, e a resoluo mxima suportada era 1600x1200.
Voc pode definir uma resoluo de exibio personalizada em um
arquivo .rdp ou a partir de um prompt de comando.
Para definir uma resoluo de exibio personalizada em um
arquivo .rdp, faa o seguinte:
Abra o arquivo .rdp em um editor de texto. Adicione ou
altere as seguintes configuraes:
desktopwidth:i:<value>
desktopheight:i:<value>
Onde <value> a resoluo, como 1680 ou 1050.
Nota
Para mais informaes sobre as configuraes de arquivo
.rdp, consulte o artigo 885187 na Base de Conhecimento
Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).
Para definir uma resoluo de exibio personalizada a partir
de um prompt de comando, faa o seguinte:
No prompt de comando, use o comando mstsc.exe com a
seguinte sintaxe, e em seguida pressione ENTER.
mstsc.exe /w:<width> /h:<height>
Abrangncia do Monitor
A abrangncia de monitores permite que voc exiba sua sesso de
rea de trabalho remota atravs de vrios monitores.
Os monitores usados para a abrangncia de monitores devem
satisfazer os seguintes requisitos:
Todos os monitores devem usar a mesma resoluo. Por
exemplo, dois monitores usando resoluo 1024x768 podem ser
43
abrangidos. Mas um monitor em 1024x768 e outro em 800x600
no podem ser abrangidos.
Todos os monitores devem estar alinhados horizontalmente
(isto , lado a lado). Atualmente no h suporte para
abranger mltiplos monitores verticalmente no sistema
cliente.
A resoluo total ao longo de todos os monitores no pode
exceder 4096x2048.
Voc pode ativar a abrangncia de monitores em um arquivo .rdp ou
a partir de um prompt de comando.
Para ativar a abrangncia de monitores em um arquivo .rdp,
faa o seguinte:
Abra o arquivo Abra o arquivo .rdp em um editor de
texto. Adicione ou altere as seguintes configuraes:
Span:i:<value>
o Se <value> = 0, a abrangncia de monitores est
desabilitada.
o Se <value> = 1, a abrangncia de monitores est
ativada.
Nota
Para mais informaes sobre as configuraes de arquivo
.rdp, consulte o artigo 885187 na Base de Conhecimento
Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).
Para ativar a abrangncia de monitores a partir de um prompt
de comando, faa o seguinte:
No prompt de comando, digite o seguinte comando, e em
seguida pressione ENTER.
mstsc.exe /span
Experincia Desktop
O software de Conexo de rea de trabalho Remota 6.0 (Remote
Desktop Connection 6.0) reproduz a rea de trabalho que existe no
computador remoto no computador cliente do usurio. Para fazer o
computador remoto se parecer com a Experincia Desktop do Windows
Vista local do usurio, voc pode instalar o recurso de
Experincia Desktop em seu servidor de terminal do Windows Server
Longhorn. A Experincia Desktop instala recursos do Windows
Vista, como o Windows Media
Player 11, temas de rea de trabalho,

e gerenciamento de fotos.
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faa o seguinte:
44
1. Abra o Gerenciador de Servidor. Clique em Start, aponte
para Administrative Tools, e em seguida clique em Server
Manager.
2. Em Features Summary, clique em Add features.
3. Na pgina Select Features, assinale a caixa de seleo
Desktop Experience, e em seguida clique em Next.
4. Na pgina Confirm Installation Options, certifique-se de
que o recurso Experincia Desktop ser instalado, e em
seguida clique em Install.
5. Na pgina Installation Results, voc instrudo a
reiniciar o servidor para concluir o processo de
instalao. Clique em Close, e em seguida clique em Yes
para reiniciar o servidor.
6. Depois que o servidor reiniciar, confirme que a Experincia
Desktop est instalada.
a. Inicie o Gerenciador de Servidor.
b. Em Features Summary, confirme que a Experincia
Desktop est listada como instalada.
Composio de rea de trabalho
O Windows Vista oferece uma experincia visualmente dinmica
chamada Windows Aero. O Windows Aero oferece recursos como
estes:
Janelas transparentes
Botes de barra de tarefas com visualizaes de janela em
tamanho miniatura
Uma vista de suas janelas abertas em um stack
tridimensional em sua rea de trabalho
Nota
Para mais informaes sobre os recursos do Windows Aero,
consulte o Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741).
Um servidor de terminal Windows Server Longhorn pode ser
configurado para fornecer recursos do Windows Aero quando um
computador cliente do Windows Vista se conecta ao servidor de
terminal Windows Server Longhorn usando Conexo de rea de
trabalho Remota. Esta funcionalidade mencionada como composio
de rea de trabalho.
Nota
Para que o computador cliente do Windows Vista use a
composio de rea de trabalho em uma conexo de rea de
45
trabalho remota com um servidor de terminal do Windows
Server Longhorn, o computador cliente do Windows Vista
deve ter hardware instalado capaz de suportar o Windows
Aero. Contudo, o servidor de terminal Windows Server
Longhorn no precisa ter hardware instalado capaz de
suportar o Windows Aero.
Para configurar a composio de rea de trabalho para conexes
de estaes de trabalho remotas em seu servidor de terminal, faa
o seguinte:
1. Instale o recurso Experincia Desktop.
2. Configure o tema:
a. Iniciando o servio de Temas
b. Definindo o tema em Windows Vista
3. Ajuste as configuraes de:
a. Cor e Aparncia das janelas
b. Configuraes de Exibio
c. Facilidade de Acesso
d. Mxima Profundidade de Cor
Para iniciar o servio de Temas em seu servidor de terminal,
faa o seguinte:
1. Cliquem em Start, aponte para Administrative Tools, e em
seguida clique em Services.
2. No painel de Services, clique com o boto direito em
Themes, e em seguida clique em Properties.
3. Na guia General, mude o Startup type para Automatic, e em
seguida clique em Apply.
4. Em Service status, clique em Start para iniciar o servio
de Temas, e em seguida clique em OK.
Para definir o tema em Windows Vista em seu servidor de
terminal, faa o seguinte:
1. Clique em Start, clique em Control Panel, e em seguida
clique em Appearance and Personalization.
2. Clique em Personalization, e em seguida cliquem em Theme.
46
3. Na guia Themes, altere o Theme for Windows Vista, e em
seguida clique em OK.
O sistema operacional determinar se o computador possui o
hardware necessrio para suportar e exibir os recursos do tema do
Windows Vista. Mesmo que o hardware no servidor de terminal
Windows Server Longhorn no suporte o tema do Windows Vista,
ele ser exibido na conexo de rea de trabalho remota se o
hardware do computador cliente o suportar.
Ajustando Configuraes Adicionais
Para assegurar que a composio de rea de trabalho oferea a
funcionalidade desejada durante conexes de estaes de trabalho
remotas, existem configuraes adicionais que precisam ser
configuradas no servidor de terminal do Windows Server
Longhorn. Para fazer esses ajustes, siga este procedimento.
Para configurar configuraes adicionais em seu servidor de
terminal, faa o seguinte:
1. Clique em Start, clique em Control Panel, e ento clique em
Appearance and Personalization.
2. Clique em Personalization, e em seguida clique em Window
Color and Appearance.
3. Na guia Appearance, clique em Effects, e em seguida
assinale a caixa de seleo Show window contents while
dragging.
4. Para salvar a configurao, clique em OK, e em seguida
clique em OK novamente para fechar a caixa de dilogo
Appearance.
5. Clique em Display Settings. Na guia Monitor, na lista de
Colors, clique em Highest (32 bits), e em seguida clique
em OK.
6. No painel esquerda, em See also, clique em Ease of
Access.
7. Em Explore all settings, clique em Make it easier to focus
on tasks.
8. Em Adjust time limits and flashing visuals, apague a marca
na caixa de seleo Turn off all unnecessary animations
(when possible).
9. Clique em Save.
Alm disso, o servidor de terminal deve ser configurado para
suportar uma profundidade mxima de cor de 323 bits por pixel
47
(bpp) para conexes remotas. A profundidade mxima de cor pode
ser configurada usando-se um dos mtodos a seguir:
Definindo a Limit Maximum Color Depth na guia Client
Settings na ferramenta de Configurao de Servios de
Terminal (tsconfig.msc)
Ativando Computer Configuration\Administrative
Templates\Windows Components\Terminal Services\Terminal
Server\Remote Session Environment\Limit maximum color depth
como a definio de diretiva
Note que a definio de Diretiva de Grupo ter prioridade sobre a
definio na ferramenta de Configurao de Servios de Terminal.
Configurao de Cliente
Para tornar a composio de rea de trabalho disponvel para uma
conexo de rea de trabalho remota, siga este procedimento.
Para tornar uma composio de rea de trabalho disponvel,
faa o seguinte:
1. Abra a Conexo de rea de trabalho Remota (Remote Desktop
Connection). Para abrir a Conexo de rea de trabalho
Remota no Windows Vista, clique em Start, aponte para All
Programs, clique em Accessories, e em seguida clique em
Remote Desktop Connection.
Options.
3. Na guia Experience, assinale a caixa de seleo Desktop
composition, e assegure-se de que a caixa de seleo Themes
esteja assinalada.
4. Configure quaisquer configuraes restantes, e em seguida
clique em Connect.
Quando voc permite a composio de rea de trabalho, est
especificando que as configuraes locais no computador cliente
do Windows Vista ajudaro a determinar a experincia do usurio
na conexo de rea de trabalho remota. Note que ao permitir a
composio de rea de trabalho, voc no muda as configuraes do
servidor de terminal do Windows Server Longhorn.
Como o Windows Aero requer e usa mais recursos de hardware, voc
precisar determinar que impacto sobre a escalabilidade isso ter
em quantas conexes simultneas de estaes de trabalho remotas
que o seu servidor de terminal Windows Server Longhorn pode
suportar.
Suavizao de Fonte
O Windows Server Longhorn suporta ClearType
, que uma
tecnologia para exibir fintes de computador de modo que elas
48
apaream claras e suaves, especialmente quando se usa um monitor
de LCD.
Um servidor de terminal Windows Server Longhorn pode ser
configurado para oferecer funcionalidade ClearType quando um
computador cliente se conecta a um servidor de terminal Windows
Server Longhorn usando Conexo de rea de trabalho Remota. Esta
funcionalidade chamada de suavizao de fonte. A suavizao de
fonte est disponvel se o computador cliente estiver executando
algum dos seguintes:
Windows Vista
Windows Server 2003 com SP1 e software de Conexo de rea
de trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Windows XP com SP2 e software de Conexo de rea de
trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Por padro, o ClearType est ativado no Windows Server
Longhorn. Para garantir que o ClearType esteja ativado no
servidor de terminal Windows Server Longhorn, siga este
procedimento.
Para garantir que o ClearType esteja ativado, faa o seguinte:

1. Clique em Start, clique em Control Panel, e ento clique em
Appearance and Personalization.
2. Clique em Personalization, e em seguida clique em Cor e
Window Color and Appearance.
3. Na guia Appearance, clique em Effects, e em seguida
assinale a caixa de seleo Use the following method to
smooth edges of screen fonts, selecione ClearType, e em
seguida clique em OK.
Para tornar a suavizao de fontes disponvel para uma conexo de
rea de trabalho remota, siga este procedimento no computador
cliente.
Para tornar a suavizao de fontes disponvel, faa o
seguinte:
1. Abra a Remote Desktop Connection. Para abrir a Conexo de
rea de trabalho Remota no Windows Vista, clique em Start,
aponte para All Programs, clique em Accessories, e em
seguida clique em Remote Desktop Connection.
Options.
3. Na guia Experience, assinale a caixa de seleo Font
smoothing.
49
4. Configure quaisquer configuraes de conexo restantes, e
em seguida clique em Connect.
Quando voc permite a suavizao de fonte, est especificando que
as configuraes locais no computador cliente ajudaro a
determinar a experincia do usurio na conexo de rea de trabalho
remota. Note que ao permitir a suavizao de fonte, voc no muda
as configuraes do servidor de terminal do Windows Server
Longhorn.
Usar a suavizao de fonte em uma conexo de rea de trabalho
remota aumenta a quantidade de largura de banda usada entre o
computador cliente e o servidor de terminal Windows Server
Longhorn.
Priorizao de Dados de Exibio
A priorizao de dados de exibio controla automaticamente o
trfego do canal virtual para que os dados do monitor, teclado e
mouse recebam maior prioridade que os outros, como impresses ou
transferncias de arquivos. Essa priorizao projetada para
garantir que o desempenho de sua janela no seja afetado de
maneira adversa por aes de consumo intensivo de largura de
banda, como grandes tarefas de impresso.
A proporo padro de largura de banda 70:30. Dados de exibio
e entrada tero alocados 70 por cento da largura de banda, e todo
o trfego restante, como rea de transferncia, transferncia de
arquivos ou tarefas de impresso, recebero 30 por cento da
largura de banda.
Voc pode ajudar as configuraes de priorizao dos dados de
exibio fazendo alteraes no registro do servidor de terminal.
Voc pode alterar o valor das seguintes informaes na sub-chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD:
FlowControlDisable
FlowControlDisableBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
Se esses registros no aparecerem, voc pode adicion-los. Para
fazer isso, clique com o boto direito do mouse em TermDD, aponte
para Novo (New), e em seguida clique em DWORD (32-bit) Value.
Voc pode desabilitar a priorizao dos dados de exibio
definindo o valor de FlowControlDisable em 1. Se a priorizao
dos dados de exibio estiver desabilitada, todas as solicitaes
so tratadas em uma base primeiro a entrar, primeiro a sair. O
valor padro para FlowControlDisable 0.
Voc pode estabelecer a prioridade relativa de largura de banda
para exibio (e dados de entrada) definindo o valor de
FlowControlDisplayBandwidth. O valor padro 70; o valor mximo
permitido 255.
50
Voc pode estabelecer a prioridade relativa de largura de banda
para outros canais virtuais (como rea de transferncia,
transferncias de arquivos ou tarefas de impresso) definindo o
valor de FlowControlChannelBandwidth. O valor padro 30; o
valor mximo permitido 255.
A proporo de largura de banda para priorizao de dados de
exibio se baseia nos valores de FlowControlDisplayBandwidth e
FlowControlChannelBandwidth. Por exemplo, se
FlowControlDisplayBandwidth estiver definido em 150 e
FlowControlChannelBandwidth em 50, a proporo 150:50, assim a
exibio e dados de entrada tero alocados 75 por cento da
largura de banda.
O valor FlowControlChargePostCompression determina se o controle
de fluxo controlar a alocao de largura de banda com base em
bytes de pr-compresso ou de ps-compresso. O valor padro 0,
o que significa que o clculo ser feito em bytes pr-compresso.
Se voc fizer alguma alterao nos valores do registro, precisar
reiniciar o servidor de terminal para que as alteraes tenham
efeito.
Logon nico
O logon nico um mtodo de autenticao que permite a um
usurio com uma conta de domnio efetuar o logon uma nica vez,
usando uma senha ou smart card, e ento obter acesso a servidores
remotos sem precisar apresentar suas credenciais novamente.
Os principais cenrios para o logon nico so esses:
Implantao de aplicaes de gesto de negcios (LOB)
Implantao centralizada de aplicao
Devido a custos mais baixos de manuteno, muitas companhias
preferem instalar suas aplicaes de gesto de negcios em um
servidor de terminal e tornar essas aplicaes disponveis
atravs do RemoteApps ou da rea de trabalho Remota. O logon
nico possibilita dar aos usurios uma melhor experincia
eliminando a necessidade de eles digitarem suas credenciais
sempre que iniciarem uma sesso remota.
Pr-requisitos para Implantar o Logon nico
Para implementar a funcionalidade de logon nico em Servios de
Terminal, assegure-se de que satisfaz os seguintes requisitos:
Voc pode usar o logon nico somente para conexes remotas
de um computador baseado em Windows Vista para um servidor
de terminal baseado no Windows Server Longhorn. Tambm
pode usar o logon nico para conexes remotas entre dois
servidores baseados no Windows Server Longhorn.
Certifique-se de que as contas de usurio usadas para
efetuar o logon possuem os direitos apropriados para se
51
registrar tanto no servidor de terminal como no cliente
Windows Vista.
Seu computador cliente e servidor de terminal devem ser
ligados a um domnio.
Configurao Recomendada de um Servidor de Terminal ao Usar o
Logon nico
Para definir as configuraes recomendadas para seu servidor de
terminal, complete os passos a seguir:
Configure a autenticao no servidor de terminal.
Configure o computador baseado em Windows Vista para
permitir que credenciais padro sejam usadas para efetuar o
logon nos servidores de terminal especificados.
Para configurar a autenticao no servidor de terminal, faa o
seguinte:
1. Abra a Configurao de Servios de Terminal (Terminal
Services Configuration). Para abrir a Configurao de
Servios de Terminal, clique em Start, clique em Run,
digite tsconfig.msc e em seguida clique em OK.
2. Em Connections, clique com o boto direito do mouse em RDP-
Tcp, e em seguida clique em Properties.
3. Na caixa de dilogo Properties, na guia General,
certifique-se de que o valor da Security Layer seja
Negotiate ou SSL (TLS 1.0), e em seguida clique em OK.
Para permitir o uso de credencial padro para logon nico,
faa o seguinte:
1. No computador baseado em Windows Vista, abra o Editor
Objeto de Diretiva de Grupo (Group Policy Object Editor).
Para abrir o Editor Objeto de Diretiva de Grupo, clique em
Start, e na caixa Start Search digite gpedit.msc e em
seguida pressione ENTER.
2. No painel esquerda, expanda o seguinte: Computer
Configuration, Administrative Templates, System, e em
seguida clique em Credentials Delegation.
3. D um clique duplo em Allow Delegating Default Credentials.
4. Na caixa de dilogo Properties, na guia Setting, clique em
Enabled, e ento clique em Show.
5. Na caixa de dilogo Start Contents, clique em Add para
adicionar servidores lista.
52
6. Na caixa de dilogo Add Item, na caixa Enter the item to be
added, digite o prefixo termsrv/ seguido pelo nome do
servidor de terminal, por exemplo, termsrv/Server1, e ento
clique em OK.

53
3.03 Gateway de Servios de Terminal

O Gateway de Servios de Terminal (TS Gateway) um servio de
funo na funo de servidor de Servios de Terminal que permite
que usurios remotos autorizados se conectem a servidores de
terminal e estaes de trabalho remotas (computadores remotos) em
uma rede corporativa, a partir de qualquer dispositivo conectado
Internet. O TS Gateway usa o Protocolo de rea de trabalho
Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar
uma conexo segura e criptografada entre usurios remotos na
Internet e os computadores remotos nos quais suas aplicaes de
produtividade so executadas.
O TS Gateway foi introduzido na verso Beta 1 do Windows Server
Longhorn.
O TS Gateway oferece os seguintes benefcios:
O TS Gateway possibilita a usurios remotos se conectarem
rede corporativa a partir da Internet, atravs de uma
conexo criptografada, sem precisar configurar conexes de
VPN.
O TS Gateway oferece um modelo abrangente de configurao
de segurana que permite que voc controle o acesso a
recursos especficos de rede (computadores).
O TS Gateway permite aos usurios se conectarem remotamente
a servidores de terminal e estaes de trabalho remotas
hospedados atrs de firewalls em redes privadas e atravs
de tradutores de endereo de rede (NATs).
Antes dessa verso do Windows Server, medidas de segurana
impediam que os usurios se conectassem a computadores
remotos passando por firewalls e NATs. Isso porque a porta
3389, aquela usada para conexes de RDP, tipicamente
bloqueada para fins de segurana de rede. O TS Gateway
transmite o trfego de RDP para a porta 443, usando um
tnel de Camada de Soquete Seguro/Segurana de Camada de
Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer
Security) de HTTP. Como a maioria das empresas abre a porta
443 para permitir a conectividade de Internet, o TS Gateway
tira proveito desse projeto de rede para fornecer
conectividade de acesso remoto atravs de vrios firewalls.
O snap-in console do Gerenciador de TS Gateway permite que
voc configure diretivas de autorizao para definir
condies que devem ser satisfeitas para que os usurios se
conectem a recursos de rede. Por exemplo, voc pode
especificar o seguinte:
o Quem pode se conectar a recursos da rede (em outras
palavras, os grupos de usurios que podem se
conectar). Esses grupos podem ser grupos existentes
54
em Usurios e Grupos Locais no servidor do TS
Gateway, grupos existentes nos Servios de Domnio do
Active Directory
, ou grupos gerenciados novos ou

existentes do TS Gateway. Grupos gerenciados pelo TS
Gateway so aqueles que voc configura usando o
Gerenciador do TS Gateway.
o Um ou mais recursos da rede aos quais os usurios
podem se conectar
o Se computadores clientes tm de ser membros de
domnios do Active Directory
o Se o redirecionamento de dispositivo ou disco
permitido
o Se clientes precisam usar autenticao de smart card
ou de senha, ou se podem usar qualquer dos mtodos
Voc pode configurar servidores de TS Gateway e clientes de
Servios de Terminal para usar a NAP para melhorar ainda
mais a segurana. A NAP uma tecnologia de criao,
imposio e correo de diretiva de integridade que est
includa no Windows Vista e Windows Server Longhorn. Com
a NAP, administradores de sistema podem impor requisitos de
integridade, que podem incluir requisitos de software, de
atualizaes de segurana, configuraes de computador
exigidas, e outras configuraes.
Para informaes sobre como configurar o TS Gateway para
usar a NAP para imposio de diretiva de integridade para
clientes de Servios de Terminal que se conectam a
servidores do TS Gateway, consulte o Guia Passo a Passo de
Instalao do Servidor de TS Gateway
(http://go.microsoft.com/fwlink/?linkid=79605).
Voc pode usar o servidor de TS Gateway com o Microsoft
Internet Security and Acceleration (ISA) Server para
aumentar a segurana. Neste cenrio, voc pode hospedar
servidores de TS Gateway em uma rede privada em vez de em
uma rede de permetro (tambm conhecida como DMZ, zona
desmilitarizada, e sub-rede de borda), e hospedar o ISA
Server na rede de permetro. A conexo SSL entre o cliente
de Servios de Terminal e o ISA Server pode ser encerrada
no ISA Server, que encara a Internet.
Para informaes sobre como configurar o ISA Server como um
dispositivo de encerramento para cenrios de servidor do TS
Gateway, consulte o Guia Passo a Passo de Instalao do
Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
O console do snap-in Gerenciador de TS Gateway oferece
ferramentas para ajudar voc a monitorar o status, de
conexo, integridade e eventos do TS Gateway. Usando o
Gerenciador do TS Gateway, voc pode especificar eventos
55
(como tentativas fracassadas de conexo com o servidor do
TS Gateway) que quer monitorar para fins de auditoria.
Se sua organizao torna aplicaes baseadas em Servios de
Terminal e computadores que executam rea de trabalho Remota
disponveis a usurios de fora do permetro de sua rede, o TS
Gateway pode simplificar a administrao da rede e reduzir a
exposio a riscos de segurana.
O TS Gateway tambm pode facilitar as coisas para os usurios
pois eles no precisam configurar conexes de VPN e podem acessar
servidores de nextref_ts_gateway a partir de sites que podem, de
outra forma, bloquear conexes de sada de RDP ou VPN.
Voc deve analisar esta seo e a documentao adicional de
suporte sobre o TS Gateway se estiver em qualquer dos seguintes
grupos:
Administradores de TI, planejadores e analistas que estejam
avaliando acesso remoto e produtos de soluo de e mvel
Arquitetos de TI corporativa e designers para organizaes
early adopters
Arquitetos de segurana responsveis pela implementao de
computao confivel
Profissionais de TI responsveis por servidores de terminal
ou acesso remoto a estaes de trabalho
Para que o TS Gateway funcione corretamente, voc deve satisfazer
esses pr-requisitos:
Voc deve ter um servidor com o Windows Server Longhorn
instalado.
Deve ser membro do grupo de Administradores no computador
que quer configurar como um servidor de TS Gateway.
Os seguintes servios e recursos de funo devem estar
instalados e em execuo para que o TS Gateway funcione:
o Chamada de procedimento remoto (RPC - remote
procedure call) sobre servio de Proxy HTTP
o Web Server (IIS) (Internet Information Services 7.0).
(O IIS 7.0 deve estar instalado e em execuo para
que o servio de RPC sobre Proxy HTTP funcione.)
o Servio de Servidor de Diretiva de Rede (NPS -
Network Policy Server). Se um servidor de NPS
anteriormente conhecido como servidor de Servio de
Usurio de Discagem de Autenticao Remota (RADIUS -
Remote Authentication Dial-In User Service) j
estiver implantado para cenrios de acesso remoto
como VPN e rede discada, voc tambm pode usar o
servidor de NPS existente para cenrio de TS Gateway.
Usando o NPS para TS Gateway, voc pode centralizar o
armazenamento, gerenciamento e validao das
56
diretivas de autorizao de conexo de Servios de
Terminal (TS CAPs).
Quando voc usa o Gerenciador de Servidor para instalar o
servio de funo de TS Gateway, esses servios e recursos
de funo adicionais so instalados automaticamente.
Voc deve obter um certificado de SSL para o servidor de TS
Gateway se j no tiver um. Por padro, no servidor de TS
Gateway, o servio de Balanceamento de Carga RPC/HTTP e o
servio de IIS usam TLS 1.0 para criptografar as
comunicaes entre clientes e servidores do TS Gateway
atravs da Internet. Para que o TLS funcione corretamente,
voc deve instalar um certificado de SSL no servidor de TS
Gateway.
O certificado deve satisfazer esses requisitos:
o O nome na linha Assunto (Subject) do certificado do
servidor (nome do certificado, ou CN) deve
corresponder ao nome configurado no servidor de TS
Gateway.
o O certificado um certificado de computador.
o O fim pretendido do certificado autenticao de
servidor. O Uso Estendido de Chave (EKU - Extended
Key Usage) Autenticao de Servidor
(1.3.6.1.5.5.7.3.1).
o O certificado tem uma chave privada correspondente.
o O certificado no expirou. Recomendamos que o
certificado seja vlido por um ano a partir da data
de instalao.
o Um identificador de objeto de certificado (tambm
conhecido como OID) de 2.5.29.15 no exigido.
Contudo, se o certificado que voc planeja usar
contiver um identificador de objeto de 2.5.29.15,
voc poder usar o certificado somente se pelo menos
um dos seguintes valores de uso de chave tambm
estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE,
CERT_KEY_AGREEMENT_KEY_USAGE, e
CERT_DATA_ENCIPHERMENT_KEY_USAGE.
Para mais informaes sobre esses valores, consulte
Registro e Gerenciamento Avanados de Certificados
(http://go.microsoft.com/fwlink/?LinkID=74577).
Para mais informaes sobre requisitos de certificados para o TS
Gateway e como obter e instalar um certificado se voc ainda no
tiver um, consulte o Guia Passo a Passo de Instalao do TS
Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
Alm disso, tenha em mente as seguintes consideraes:
57
O TS Gateway transmite todo o trfego de RDP (que
tipicamente teria sido enviado pela porta 3389) para a
porta 443 usando um tnel de HTTPS. Isso tambm significa
que todo o trfego entre o cliente e o TS Gateway
criptografado enquanto em trnsito pela Internet.
Voc deve analisar esse tpico e a documentao adicional
de suporte do TS Gateway, inclusive o Guia Passo a Passo de
Instalao do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
Voc deve se preparar para comprar um certificado SSL, ou
para emitir um a partir de sua prpria autoridade de
certificao (CA).
Deve se familiarizar com os protocolos TLS e SSL se ainda
no os conhecer.
O TS Gateway oferece os seguintes novos recursos para simplificar
a administrao e melhorar a segurana.
TS CAPs
As diretivas de autorizao de conexo dos Servios e Terminal
(TS CAPs) permitem que voc especifique grupos de usurios, e
opcionalmente, grupos de computadores, que podem acessar um
servidor de TS Gateway. Voc pode criar um TS CAP usando o
Gerenciador de TS Gateway.
As TS CAPs simplificam a administrao e aumentam a segurana
oferecendo um maior nvel de controle sobre o acesso a
computadores remotos em sua rede corporativa.
As TS CAPs permitem que voc especifique quem pode ser conectar a
um servidor de TS Gateway. Voc pode especificar um grupo de
usurios que existe no servidor de TS Gateway local ou nos
Servios de Domnio do Active Directory. Voc tambm pode
especificar outras condies que os usurios devem satisfazer
para acessar um servidor de TS Gateway. Pode listar condies
especficas em cada TS CAP. Por exemplo, voc pode exigir que um
usurio use um smart card para se conectar atravs do TS Gateway.
Os usurios recebem acesso a um servidor de TS Gateway se
atenderem as condies especificadas na TS CAP.
Importante
Voc tambm deve criar uma diretiva de autorizao de
recurso de Servios de Terminal (TS RAP). Uma TS RAP
permite que voc especifique os recursos de rede aos quais
os usurios podem se conectar atravs do TS Gateway. At
voc criar uma TS CAP e uma TS RAP, os usurios no podem
se conectar a recursos de rede atravs desse servidor de TS
Gateway.
Grupos de Computadores Associados com TS RAPs
58
Os usurios podem se conectar atravs do TS Gateway a recursos de
rede em um grupo de computadores. O grupo de computadores pode
ser qualquer um dos seguintes:
Membros de um grupo do Windows existente: O grupo do
Windows pode existir em Usurios e Grupos Locais no
servidor de TS Gateway, ou pode existir nos Servios de
Domnio do Active Directory.
Membros de um grupo de computadores gerenciado pelo TS
Gateway ou um novo grupo gerenciado pelo TS Gateway que
voc criar: Voc pode adicionar os computadores aos quais
queira fornecer acesso de usurio no grupo de computadores
gerenciado pelo TS Gateway usando o Gerenciador de TS
Gateway.
Qualquer recurso de rede: Neste caso, os usurios podem se
conectar a qualquer computador na rede a que podem se
conectar quando usam a rea de trabalho Remota.
Para garantir que os usurios apropriados tenham acesso a
recursos de rede adequados, planeje e crie grupos de computadores
cuidadosamente. Avalie os usurios que devem ter acesso a cada
agrupo de computadores, e ento associe os grupos de computadores
com as TS RAPs para conceder acesso aos usurios conforme
necessrio.
TS RAPs
As TS RAPs permitem que voc especifique os recursos de rede aos
quais os usurios podem se conectar atravs de um servidor de TS
Gateway. Quando voc cria uma TS RAP, pode criar um grupo de
computadores e associ-lo com a TS RAP.
Usurios conectando-se rede atravs do TS Gateway recebem
acesso a computadores remotos na rede corporativa se satisfizerem
as condies especificadas em pelo menos uma TS CAP e uma TS RAP.
Nota
Usurios de clientes podem especificar um nome de NetBIOS
ou um nome de domnio completamente qualificado (FQDN -
fully qualified domain name) para o computador remoto que
querem acessar atravs do servidor de TS Gateway. Para
suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP
para cada nome de computador possvel.
Juntas, as TS CAPs e TS RAPs oferecem dois nveis diferentes de
autorizao para dar a voc a capacidade de configurar um nvel
mais especfico de controle de acesso a recursos de redes
corporativas.
Capacidades de Monitoramento
Voc pode usar o Gerenciador de TS Gateway para visualizar
informaes sobre conexes ativas de clientes de Servios de
59
Terminal com recursos de rede atravs do TS Gateway. Essas
informaes incluem o seguinte:
O domnio e ID de usurio do usurio que efetuou logon no
cliente
O endereo IP do cliente
Nota
Se sua configurao de rede inclui servidores Proxy, o
endereo IP que aparece na coluna Client IP Address (no
painel de detalhes Monitoring) pode refletir o endereo IP
do servidor Proxy, e no o endereo IP do cliente de
Servios de Terminal.
O nome do computador de destino ao qual o cliente est
conectado
A porta de destino atravs da qual o cliente est conectado
A data e hora em que a conexo foi iniciada
O tempo que a conexo est inativa, se aplicvel
Voc tambm pode especificar os tipos de eventos que quer
monitorar, como tentativas bem sucedidas e fracassadas de conexo
a recursos internos de rede atravs de um servidor de TS Gateway.
Quando esses eventos ocorrem, voc pode monitorar os eventos
correspondentes usando Windows Event Viewer. Os eventos do TS
Gateway so armazenados em Application and Services
Logs\Microsoft\Windows\Terminal Services-Gateway\.
Configuraes de Diretiva de Grupo para TS Gateway
Voc pode usar Diretiva de Grupo e Servios de Domnio do Active
Directory para centralizar e simplificar a administrao de
configuraes de diretiva do TS Gateway. Voc usa o Editor de
Objeto de Diretiva de Grupo para configurar essas configuraes,
que ficam contidas dentro de objetos de Diretiva de Grupo. Voc
usa o Console de Gerenciamento de Diretiva de Grupo (GPMC) para
ligar GPOs a sites, domnios ou unidades organizacionais (OUs)
nos Servios de Domnio do Active Directory.
As configuraes de Diretiva de Grupo para conexes de cliente de
Servios de Terminal atravs do TS Gateway podem ser aplicadas de
duas maneiras. Essas configuraes de diretiva podem ser
sugeridas (ou seja, podem ser ativadas, mas no impostas) ou
podem ser ativadas e impostas. Sugerir uma definio de diretiva
permite aos usurios no cliente inserir configuraes
alternativas de conexo do TS Gateway. Impor uma definio de
diretiva evita que um usurio altere a definio de conexo do TS
Gateway, mesmo se ele selecionar a opo Use these TS Gateway
server settings (Usar essas configuraes de servidor do TS
Gateway) no cliente.
60
As trs configuraes de Diretiva de Grupo a seguir esto
disponveis para o servidor de TS Gateway:
Definir o mtodo de Autenticao do Servidor de TS Gateway.
Isso permite que voc especifique o mtodo de autenticao
que os clientes de Servios de Terminal devem usar quando
se conectarem a recursos de rede atravs de um servidor de
TS Gateway.
Permitir conexes atravs do TS Gateway. Isso permite que
voc especifique que, quando clientes de Servios de
Terminal no puderem se conectar diretamente a um recurso
de rede, eles tentaro se conectar ao recurso de rede
atravs do servidor de TS Gateway especificado na definio
de diretiva Set the TS Gateway server address (Definir o
endereo do servidor de TS Gateway).
Definir o endereo do servidor de TS Gateway. Isso permite
que voc especifique o servidor de TS Gateway que os
clientes de Servios de Terminal usam quando no conseguem
se conectar diretamente a um recurso da rede.
Importante
Se voc desativar ou no configurar essa definio de
diretiva, mas ativar a definio Enable connections through TS
Gateway (Ativar conexes atravs do TS Gateway), as tentativas
de conexo do cliente a qualquer recurso da rede falharo se o
cliente no puder se conectar diretamente ao recurso da rede.
Voc no precisa alterar nenhum cdigo existente para trabalhar
com o TS Gateway. O TS Gateway apenas gerencia a maneira como a
conexo ao computador remoto criada.
Nota
O TS Gateway pode rotear conexes para qualquer sesso
baseada em Servios de Terminal, inclusive aquelas em
computadores baseados no Windows Server Longhorn, Windows
Server 2003, Windows Vista e Windows XP.
Se o computador remoto estiver usando recursos novos de Servios
de Terminal, voc precisar usar o software de Conexo de rea de
trabalho Remota verso 6.0 (Remote Desktop Connection version
6.0), que est includo com o Windows Server Longhorn e Windows
Vista.
Nota
O software de Conexo de rea de trabalho Remota verso 6.0
(Remote Desktop Connection version 6.0) est disponvel
para uso no Windows XP com Service Pack 2 e Windows Server
2003 com Service Pack 1. Para usar qualquer novo recurso
de Servios de Terminal em qualquer dessas plataformas,
faa o download do pacote de instalao para o RDC 6.0.
Para fazer o download do pacote de instalao do RDC 6.0,
61
acesse a Central de Downloads Microsoft

62
3.04 RemoteApp de Servios de Terminal

O RemoteApp de Servios de Terminal(TS RemoteApp) permite a
organizaes oferecer acesso a programas padro baseados em
Windows a partir de virtualmente qualquer local a usurios de
qualquer computador baseado no Windows Vista ou Windows Server
Longhorn, ou a usurios de computadores baseados no Windows XP
com Service Pack 2 (SP2), ou no Windows Server 2003 com Service
Pack 1 (SP1) que tenham o novo cliente Conexo de rea de
trabalho Remota (RDC Remote Desktop Connection) instalado.
O TS RemoteApp integrado nos Servios de Terminal no Windows
Server Longhorn.
Os RemoteApps so programas acessados remotamente atravs de
Servios de Terminal e aparecem como se estivessem sendo
executados no computador local do usurio final. Os usurios
podem executar RemoteApps lado a lado com seus programas locais.
Um usurio pode minimizar, maximizar e redimensionar a janela do
programa, e pode facilmente iniciar vrios programas ao mesmo
tempo. Se um usurio estiver executando mais de um RemoteApp no
mesmo servidor de terminal, os RemoteApps compartilharo a sesso
de Servios de Terminal.
Para o Windows Server Longhorn Beta 3, os usurios podem
executar RemoteApps de vrias maneias. Podem fazer o seguinte:
Dar um clique duplo em um arquivo .rdp que tenha sido
criado e distribudo por seu administrador.
Dar um clique duplo no cone de um programa em sua rea de
trabalho ou no menu Iniciar que tenha sido criado e
distribudo por seu administrador com um pacote do Windows
Installer (.msi).
Dar um clique duplo em um arquivo cuja extenso seja
associada com um RemoteApp. (Isso pode ser configurado pelo
administrador com um pacote .msi.)
Acessar um link para o RemoteApp em um Website usando o
Acesso a Web de Servios de Terminal(TS Web Access).
Os arquivos .rdp e pacotes .msi contm as configuraes
necessrias para executar os RemoteApps. Depois de abrir o
RemoteApp em um computador local, o usurio pode interagir com o
programa em execuo no servidor de terminal como se estivesse
sendo executado localmente.
O TS RemoteApp pode reduzir a complexidade e o overhead
administrativo em muitas situaes, incluindo essas:
Escritrios remotos, onde pode haver suporte local de TI
limitado e largura de banda de rede limitada.
Situaes em que usurios precisam acessar aplicaes
remotamente
63
Implantao de aplicaes de gesto de negcios (LOB),
especialmente aplicaes de gesto de negcios
personalizadas.
Ambientes, como espaos de trabalho hot desk ou
hoteling, em que os usurios no tm computadores
designados.
Implantao de mltiplas verses de uma aplicao,
particularmente se instalar vrias verses localmente
causar conflitos.
Voc deve analisar esse tpico, e a documentao adicional de
suporte do TS RemoteApp, se estiver em qualquer dos seguintes
grupos:
Planejadores e analistas de TI avaliando tecnicamente o
produto
Arquitetos corporativos
Profissionais de TI que implantam ou administram servidores
de terminal, aplicaes de gesto de negcios (LOB), ou
aplicaes que podem ser implantadas mais eficientemente
com o TS RemoteApp
Para o Windows Server Longhorn Beta 3 voc deve usar o cliente
Conexo de rea de trabalho Remota (RDC - Remote Desktop
Connection) verso 6.0 ou posterior para executar RemoteApps no
computador local de um usurio final. O cliente RDC 6.0 est
includo no Windows Vista e Windows Server Longhorn Beta 3.
Nota
est disponvel para uso no Windows XP com SP2 e Windows
Server 2003 com SP1. Para usar qualquer recurso novo de
Servios de Terminal em qualquer dessas plataformas, faa o
download do pacote de instalao na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).
Os usurios podem executar programas a partir de um servidor de
terminal e ter a mesma experincia de se os programas fossem
executados no computador local do usurio final, incluindo
janelas redimensionveis e cones de notificao na rea de
notificao.
O TS RemoteApp melhora a experincia do usurio, abre novas
avenidas para implantao de programas, e reduz a quantidade de
esforo administrativo necessrio para suportar esses programas.
Em vez de ser apresentado ao usurio na rea de trabalho do
servidor de terminal remoto, o RemoteApp integrado com a rea
de trabalho do cliente, sendo executado em sua prpria janela
redimensionvel com seu prprio registro na barra de tarefas. Se
o programa usa um cone de rea de notificao, este aparece na
rea de notificao do cliente. Janelas pop-up so redirecionadas
para a rea de trabalho local. Unidades de disco locais e
64
impressoras podem ser redirecionadas para aparecer no RemoteApp.
Muitos usurios podem no ter cincia de que o RemoteApp um
programa diferente do local.
Como o TS RemoteApp uma melhoria nas tecnologias existentes de
Servios de Terminal e usa a mesma tecnologia e protocolos, no
apresenta nenhum novo problema.
Voc deve avaliar seus programas para ver quais podem ser
adequados para execuo como um RemoteApp, e ento testar os
programas. Para test-los siga os procedimentos descritos no Guia
Passo a Passo do TS RemoteApp para configurar seu servidor de
terminal para suportar RemoteApps e usar o snap-in Gerenciador de
TS RemoteApp para tornar RemoteApps disponveis para usurios.
Para um programa ser executado como um RemoteApp, o servidor de
terminal que hospeda o programa deve estar executando o Windows
Server Longhorn. Qualquer programa que possa ser executado em
uma sesso de Servios de Terminal ou em uma sesso de rea de
trabalho Remota deve ser capaz de ser executado como um
RemoteApp.
Algumas das mudanas fundamentais no sistema operacional do
Windows Server Longhorn podem ter impacto sobre verses
anteriores de programas que so executados corretamente sob
verses anteriores do sistema operacional Windows. Se voc tiver
dificuldades em executar um programa como um RemoteApp, verifique
se ele executado corretamente no console local de um servidor
que esteja executando o Windows Server Longhorn.
Analise outras sees deste guia para informaes adicionais
sobre questes de compatibilidade.
Referncias Adicionais
Para mais informaes sobre o TS RemoteApp, consulte o Guia Passo
a Passo do TS RemoteApp. Para acessar esse guia, visite o
TechCenter do Windows Server Longhorn TS RemoteApp e TS Web
Access (http://go.microsoft.com/fwlink/?LinkId=79609).
65
3.05 Acesso a Web de Servios de Terminal

O Acesso a Web de Servios de Terminal(TS Web Access) um
servio de funo na funo de Servios de Terminal que permite
que voc torne RemoteApps disponveis a usurios a partir de um
navegador da Web.
Como o TS Web Access, os usurios podem visitar um Website (a
partir da Internet ou de uma intranet) para acessar uma lista de
RemoteApps disponveis. Quando iniciam um RemoteApp, uma sesso
de Servios de Terminal iniciada no servidor de terminal
baseado no Windows Server Longhorn que hospeda o RemoteApp.
Depois de instalar o TS Web Access em um servidor de Web baseado
no Windows Server Longhorn, os usurios podem se conectar ao
servidor de TS Web Access para acessar RemoteApps disponveis em
um ou mais servidores de terminal baseados no Windows Server
Longhorn. O TS Web Access tem vrios benefcios. Eles incluem:
Os usurios podem acessar RemoteApps a partir de um Website
via Internet ou a partir de uma intranet. Para iniciar um
RemoteApp, eles simplesmente clicam no cone do programa.
Se um usurio inicia mais de um RemoteApp atravs do TS Web
Access, e os programas so executados no mesmo servidor de
terminal, o RemoteApps executado dentro da mesma sesso
de Servios de Terminal.
Usar o TS Web Access significa que h menos overhead
administrativo. Voc pode implantar programas facilmente a
partir de um local central. Alm disso, os programas so
executados em um servidor de terminal e no em um
computador cliente, assim so mais fceis de manter.
O TS Web Access oferece uma soluo que trabalha com
configurao mnima. A pgina de Web do TS Web Access
inclui uma Web Part personalizvel, que pode ser
incorporada em uma pgina de Web personalizada ou em um
site de Servios do Microsoft Windows SharePoint
.
A lista de RemoteApps disponveis que aparece na Parte de
Web do TS Web Access pode ser personalizada para o usurio
individual se voc implantar RemoteApps usando distribuio
de software de Diretiva de Grupo.
As informaes neste tpico se aplicam aos seguintes tipos de
profissionais de TI:
Profissionais de TI que j executam ou se interessam em
implantar programas para usurios usando Servios de Terminal
Profissionais de TI que queiram mais controle sobre a
experincia do usurio
Administradores e desenvolvedores de Web
66
Administradores de Servios do Windows SharePoint
Antes de instalar o TS Web Access, analise as seguintes diretrizes
de instalao:
Voc deve instalar o TS Web Access em um computador que
esteja executando o Windows Server Longhorn.
Deve instalar o TS Web Access junto com o Microsoft IIS 7.0.
O servidor do TS Web Access no precisa ser um servidor de
terminal.
Para usar o TS Web Access, computadores clientes deve estar
executando um dos seguintes sistemas operacionais:
o Microsoft Windows XP com Service Pack 2 ou posterior
o Microsoft Windows Server 2003 com Service Pack 1 ou
posterior
o Windows Vista
o Windows Server Longhorn
Nota
est disponvel para uso no Windows XP com Service Pack 2 e
Windows Server 2003 com Service Pack 1. Para usar qualquer
recurso novo de Servios de Terminal em qualquer dessas
plataformas, faa o download do pacote de instalao na
Central de Downloads Microsoft
Alm disso, tenha em mente que o Windows Server Longhorn Beta 3
pode no incluir toda a funcionalidade planejada para o TS Web
Access.
Permite Implantar Facilmente RemoteApps Atravs da Web
Com o TS Web Access, um usurio pode visitar um Website, visualizar
uma lista de RemoteApps, a em seguida clicar em um cone para
iniciar um programa. Os RemoteApps so contnuos, o que significa
que parecem um programa local. Os usurios podem minimizar,
maximizar e redimensionar a janela do programa, e podem facilmente
iniciar vrios programas ao mesmo tempo. Para um administrador, o
TS Web Access fcil de configurar e implantar. Esta
funcionalidade se traduz em facilidade e flexibilidade de uso e
implantao. Com o TS Web Access, voc pode oferecer aos usurios
acesso a RemoteApps a partir de qualquer local e computador que
tenha acesso a intranet ou Internet.
O TS Web Access oferece uma experincia de Web muito aprimorada em
comparao com verses anteriores de Servios de Terminal.
Com o TS Web Access, os usurios no tm de iniciar o cliente
de RDC para iniciar um RemoteApp. Em vez disso, acessam a
pgina da Web e em seguida clicam em um cone de programa.
67
O RemoteApps parece estar sendo executado na rea de trabalho
local.
Se o usurio iniciar vrios RemoteApps e os RemoteApps
estiverem todos sendo executados no mesmo servidor de
terminal, os programas so executados na mesma sesso.
Os usurios no tm de fazer o download de um controle
ActiveX
separado para acessar o TS Web Access. Em vez disso,

o cliente RDC verso 6.0 inclui o Controle ActiveX
necessrio.
Implantao
Se voc quer implantar o TS Web Access, pode se preparar analisando
o tpico Terminal Services RemoteApp (TS RemoteApp) neste documento
para informaes sobre o novo recurso TS RemoteApp. Informaes
mais detalhadas de implantao esto disponveis no Guia Passo a
Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter
Windows Server Longhorn TS RemoteApp e TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609). Voc tambm pode querer analisar
as informaes sobre o IIS 7.0.
Se quiser usar o TS Web Access para tornar RemoteApps disponveis a
computadores atravs da Internet, deve analisar o tpico Gateway de
Servios de Terminal (TS Gateway) neste documento. O TS Gateway
ajuda voc a proteger conexes remotas a servidores de terminal em
sua rede corporativa.
A Lista de RemoteApps Atualizada Dinamicamente
Quando voc implanta o TS Web Access, a lista de RemoteApps que
aparece na Parte de Web do TS Web Access (TS Web Access Web Part)
atualizada dinamicamente. A lista ocupada a partir da lista de
RemoteApps de um nico servidor de terminal ou a partir de
RemoteApps que so implantados atravs de distribuio de software
de Diretiva de Grupo.
Um administrador pode especificar a origem dos dados que sero
usados para ocupar a lista de RemoteApps. Por padro, a origem dos
dados um nico servidor de terminal.
Quando a origem dos dados um nico servidor de terminal, a
Parte de Web ocupada com todos os RemoteApps configurados
para acesso Web na lista de RemoteApps daquele servidor. A
lista de programas exibida na Parte de Web no especfica
do usurio atual.
Quando a origem dos dados so os Servios de Domnio do
Active Directory, a Parte de Web ocupada por pacotes
.rap.msi que so publicados para um usurio atravs da
distribuio de software de Diretiva de Grupo. Como as
informaes so obtidas atravs de Diretiva de Grupo, o TS
Web Access exibe apenas os RemoteApps especficos do usurio
individual. Note que, por padro, um RemoteApp colocado em
pacote com a extenso .rap.msi quando voc cria um pacote
68
.msi configurado para permitir o TS Web Access. Voc cria
pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador
de TS RemoteApp.
A lista de programas atualizada dinamicamente e a capacidade de
especificar a origem dos dados dos RemoteApps simplifica a
implantao de RemoteApps atravs da Web. Se voc tiver um nico
servidor de terminal, fcil implantar programas usando a fonte de
dados do servidor de terminal. Se voc j estiver usando a
implantao de programas baseada em Diretiva de Grupo, pode usar
pacotes .msi para distribuir RemoteApps a clientes.
Verses mais antigas de Servios de Terminal no ofereciam um
mecanismo para atualizar dinamicamente um Website com uma lista de
RemoteApps.
Se voc quiser ocupar a lista de RemoteApps usando Diretiva de
Grupo, deve ter um ambiente de Servios de Domnio do Active
Directory. Deve tambm se familiarizar com a distribuio de
software de Diretiva de Grupo.
Inclui a Parte de Web do TS Web Access
O TS Web Access oferece uma Parte de Web do TS Web Access
personalizvel, onde a lista de RemoteApps exibida. Voc pode
implantar a Parte de Web usando qualquer dos seguintes mtodos:
Implante a Parte de Web como parte da pgina de Web do TS Web
Access. (Esta a soluo pronta padro.)
Implante a Parte de Web como parte de uma pgina da Web
personalizada.
Adicione a Parte de Web a um site de Servios do Windows
SharePoint.
O TS Web Access oferece uma soluo pronta flexvel. A pgina de
Web do TS Web Access fornecida e a Parte de Web (Web Part) permitem
que voc implemente o site do TS Web Access rpida e facilmente, e
permite que voc implante o TS Web Access usando uma pgina de Web
ou Servios do Windows SharePoint.
Com o TS Web Access, voc no precisa adicionar manualmente uma
lista de programas disponveis em uma pgina da Web para
proporcionar acesso centralizado Web a RemoteApps. A Parte de Web
personalizvel d a voc flexibilidade no tocante a aparncia do
site e mtodo de implantao.
Se voc quiser personalizar a pgina de Web ou a Parte de Web
padro, deve planejar as alteraes no design que deseja fazer.
Deve tambm decidir se quer fornecer acesso ao TS Web Access usando
a pgina de Web do TS Web Access fornecida, uma pgina de Web
personalizada ou usando os Servios do Windows SharePoint.
69
3.06 Impresso de Servios de Terminal

A impresso de Servios de Terminal foi aprimorada no Windows
Server Longhorn Beta 3 pelo acrscimo do driver de impressora
Terminal Services Easy Print (Impresso Fcil de Servios de
Terminal) e uma definio de Diretiva de Grupo que permite a voc
redirecionar somente a impressora cliente padro.
O driver Terminal Services Easy Print um novo recurso no
Windows Server Longhorn Beta 3 que permite aos usurios
imprimir de maneira confivel a partir de um RemoteApp ou de uma
sesso de rea de trabalho de servidor de terminal para a
impressora correta em seu computador cliente. Ele tambm permite
uma experincia de impresso muito mais coerente entre sesses
local e remota.
A definio Redirect only the default client printer policy
(Redirecionar apenas a diretiva padro de impressora cliente)
permite que voc especifique se a impressora padro do cliente
a nica impressora redirecionada em sesses de Servios de
Terminal. Isso ajuda a limitar o nmero de impressoras que o
spooler deve enumerar, melhorando a escalabilidade do servidor de
terminal.
Para usar o driver Terminal Services Easy Print no Windows Server
Longhorn Beta 3, os clientes devem estar executando o Windows
Vista com SP1. Alm disso, o .NET Framework 3.0 SP1 deve estar
instalado. (O .NET Framework 3.0 SP1 est includo e instalado
por padro com o Windows Vista SP1.)
Os clientes baseados no Microsoft Windows Server 2003 com SP1 e
no Microsoft Windows XP com SP2 sero suportados quando a verso
Windows Vista SP1 do cliente de Conexo de rea de trabalho
Remota e o .NET Framework 3.0 SP1 estiverem disponveis para
esses sistemas operacionais.
O driver Terminal Services Easy Print oferece a seguinte
funcionalidade:
Confiabilidade melhorada da impresso de Servios de
Terminal para sesses de RemoteApp e rea de trabalho
remota.
Suporte para drivers de legado e novos sem a necessidade de
instalar esses drivers no servidor de terminal.
Melhorias de escalabilidade sobre o Windows Server 2003 em
termos de desempenho de enumerao de impressora, Durante o
processo de Winlogon, o spooler enumera apenas impressoras
disponveis para um usurio em uma determinada sesso em
vez de enumerar todas as impressoras redirecionadas.
Portanto, as impressoras so enumeradas em uma base por
sesso, em vez de por usurio.
70
Recursos de impressora disponvel melhorados. O driver
Terminal Services Easy Print proporciona recursos de
impressora ricos e completos em sesses remotas. Todos os
recursos do driver de impressora fsica esto disponveis
para uso quando um usurio visualiza as preferncias de
impresso.
A definio de Diretiva de Grupo Redirect only the default client
printer (Redirecionar apenas a impressora cliente padro) permite
que voc controle se a impressora cliente padro a nica
impressora redirecionada em uma sesso de Servios de Terminal,
ou se todas as impressoras so redirecionadas em uma sesso.
O driver de impressora de emergncia do servidor de terminal no
est mais includo no Windows Server Longhorn Beta 3. Embora a
definio de Diretiva de Grupo Specify terminal server fallback
printer driver behavior (Especificar comportamento do driver de
impressora de emergncia do servidor de terminal) ainda exista,
s pode ser usada para computadores baseados no Windows Server
2003 com SP1.
Por padro, o driver Terminal Services Easy Print ativado no
Windows Server Longhorn Beta 3. Para usar o driver Terminal
Services Easy Print, os computadores clientes devem satisfazer os
requisitos descritos na Seo H Alguma Considerao Especial
Sobre Esses Recursos?.
Se houver computadores clientes que no suportem o driver
Terminal Services Easy Print driver, e o driver da impressora
ainda no estiver disponvel no servidor de terminal, voc deve
fazer qualquer dos seguintes para dar suporte impresso do
cliente:
Garantir que os drivers de impressora do cliente para
impressoras local e de rede estejam instalados no servidor
de terminal. Se voc estiver instalando um driver de
terceiros, certifique-se de que ele tenha a assinatura dos
Laboratrios de Qualidade de Hardware Windows (WHQL -
Windows Hardware Quality Labs).
Adicionar os drivers de impressora do cliente para
impressoras local e de rede em um arquivo de mapeamento de
impressoras personalizado no servidor de terminal. Para
mais informaes sobre como criar um arquivo de mapeamento
de impressoras personalizado, consulte a seo Resoluo do
artigo 239088 na Base de Conhecimento Microsoft
Configuraes de Diretiva de Grupo
As seguintes configuraes de Diretiva de Grupo foram adicionadas
para a impresso de Servios de Terminal:
Use Terminal Services Easy Print driver first (Usar
primeiro o driver Terminal Services Easy Print). Esta
71
definio de diretiva est localizada no seguinte n do
Editor de Objetos de Diretiva de Grupo:
Components\Terminal Services\Terminal Server\Printer
Redirection
Os valores possveis so os seguintes:
o Enabled or not configured (Ativada ou no
configurada). Se esta definio de diretiva estiver
ativada ou no configurada, o servidor de terminal
tentar primeiro usar o driver Terminal Services Easy
Print para instalar todas as impressoras de clientes.
Se, por alguma razo, o driver Terminal Services Easy
Print no puder ser usado, um driver de impressora
que corresponda impressora do cliente ser usado.
Se o servidor de terminal no tiver um driver de
impressora que corresponda impressora do cliente, a
impressora do cliente no ficar disponvel para a
sesso de Servios de Terminal. Por padro, essa
definio de diretiva no configurada.
o Disabled (Desativada). Se voc desativar essa
definio de diretiva, o servidor de terminal tentar
encontrar um driver de impressora adequado para
instalar a impressora do cliente. Se o servidor de
terminal no tiver um driver de impressora que
corresponda impressora do cliente, o servidor de
terminal tentar usar o driver Terminal Services Easy
Print para instalar a impressora do cliente. Se, por
alguma razo, o driver Terminal Services Easy Print
no puder ser usado, a impressora do cliente no
ficar disponvel para a sesso de Servios de
Terminal.
Redirect only the default client printer (Redirecionar
apenas a impressora padro do cliente). Essa definio de
diretiva est localizada no seguinte n do Editor de
Objetos de Diretiva de Grupo:
Components\Terminal Services\Terminal Server\Printer
Redirection
Os valores possveis so:
o Enabled (Ativada). Se voc ativar essa definio de
diretiva, somente a impressora padro do cliente
redirecionada em sesses de Servios de Terminal.
o Disabled or not configured (Desativada ou no
configurada). Se voc desativar ou no configurar
essa definio de diretiva, todas as impressoras de
clientes so redirecionadas em sesses de Servios de
72
Terminal. Por padro, essa definio de diretiva no
configurada.

73
3.07 Session Broker de Servios de Terminal

O Session Broker de Servios de Terminal (TS Session Broker) um
servio de funo no Windows Server Longhorn Beta 3 que permite
que um usurio se reconecte a uma sesso existente em uma farm de
servidor de terminal de carga balanceada. O TS Session Broker
armazena informaes de estado da sesso que incluem IDs de
sesso e seus nomes de usurios associados, e o nome do servidor
onde cada sesso reside.
O Windows Server Longhorn Beta 3 introduz um novo recurso do TS
Session Broker o balanceamento de carga do TS Session Broker.
Esse recurso permite que voc distribua a carga da sesso entre
servidores em um farm de servidores de terminal de carga
balanceada. Essa soluo mais fcil de implantar que o
Balanceamento de Carga de Rede Windows (NLB - Windows Network
Load Balancing), e recomendada para farms de servidores de
terminal que consistam em dois a cinco servidores.
Nota
No Windows Server Longhorn Beta 3, o nome do recurso
Diretrio de Sesso de Servios de Terminal (TS Session
Directory) foi alterado para Session Broker de Servios de
Terminal (TS Session Broker).
Para participar do balanceamento de carga do TS Session Broker, o
servidor do TS Session Broker e os servidores de terminal na farm
devem estar executando o Windows Server Longhorn Beta 3.
Servidores de terminal baseados no Microsoft Windows Server 2003
usam o recurso de balanceamento de carga do TS Session Broker.
Em vez de ter de usar o NLB para balancear a carga das sesses de
usurios, com o recurso de balanceamento de carga do TS Session
Broker voc tem apenas de configurar entradas no Sistema de Nome
de Domnio (DNS - Domain Name System). Para configurar o DNS,
voc deve registrar o endereo IP de cada servidor de terminal na
farm em uma nica entrada de DNS para a farm. Todos os clientes
de entrada nos Servios de Terminal tentaro se conectar ao
primeiro endereo IP para o registro de DNS. Se isso falhar, o
cliente tentar automaticamente se conectar ao endereo IP
seguinte. Isso proporciona certo grau de tolerncia a falhas, no
caso de um dos servidores de terminal estar indisponvel. Embora
todos os clientes inicialmente se conectem ao endereo IP do
primeiro servidor de terminal, so rapidamente redirecionados
para o servidor na farm com a menor carga. Se um servidor de
terminal na farm estiver indisponvel ou sobrecarregado, a
sesso redirecionada para um terminal que possa aceitar a
conexo.
O recurso de balanceamento de carga do TS Session Broker tambm
permite que voc atribua um valor de peso para cada servidor.
Atribuindo um valor de peso a um servidor, voc pode ajudar a
distribuir a carga entre servidores mais e menos poderosos em uma
farm.
74
Nota
Para configurar um servidor para participar do
balanceamento de carga do TS Session Broker, e para
atribuir um valor de peso a um servidor, voc pode usar a
ferramenta Configurao de Servios de Terminal.
Alm disso, fornecido um novo mecanismo que possibilita que
voc permita ou recuse novas conexes de usurio ao servidor de
terminal. Esse mecanismo fornece a capacidade de se colocar um
servidor offline para manuteno sem interromper a experincia do
usurio. Se novas conexes forem recusadas em um servidor de
terminal na farm, o TS Session Broker redirecionar as sesses de
usurios para servidores de terminal configurados para permitir
novas conexes.
Nota
A configurao que voc pode usar para permitir ou recusar
novas conexes de usurios est localizada na guia Geral da
conexo RDP-Tcp na ferramenta Configurao de Servios de
Terminal.
Se voc quiser usar o recurso de balanceamento de carga do TS
Session Broker, tanto o servidor do TS Session Broker como os
servidores de terminal na mesma farm devem estar executando o
Windows Server Longhorn Beta 3.
voc deve registrar o endereo IP de todos os servidores de terminal
em uma nica entrada do DNS para a farm. Se preferir, pode usar
rodzio de DNS ou um balanceador de carga de hardware para espalhar
a carga de conexo e autenticao inicial entre mltiplos servidores
de terminal na farm.
A seguinte definio de Diretiva de Grupo foi acrescentada para o TS
Session Broker:
Components\Terminal Services\Terminal Server\TS Session Broker
Load Balancing
Os valores possveis so:
Enabled (Ativada). Se voc ativar essa definio de diretiva,
o TS Session Broker redirecionar os usurios que no tenham
uma sesso existente para o servidor de terminal na farm com o
menor nmero de sesses. O comportamento de redirecionamento
para usurios com sesses existentes no ser afetado. Se o
servidor estiver configurado para usar o TS Session Broker, os
usurios com uma sesso existente sero redirecionados para o
servidor de terminal em que sua sesso existir.
Disabled (Desativada). Se voc desativar essa definio de
diretiva, os usurios que no tiverem uma sesso existente
efetuaro o logon no servidor de terminal a que se conectarem
primeiro.
75
Not configured (No configurada). Se voc no configurar essa
definio de diretiva, o balanceamento de carga do TS Session
Broker no especificado no nvel de Diretiva de Grupo. Neste
caso, voc pode configurar o servidor de terminal para
participar do balanceamento de carga do TS Session Broker
usando a ferramenta Configurao de Servios de Terminal ou o
provedor de WMI de Servios de Terminal. Por padro essa
definio de diretiva no configurada.

76
3.08 Licenciamento de Servios de Terminal

O Windows Server Longhorn oferece um sistema de gerenciamento
de licenas conhecido como Licenciamento de Servios de Terminal
(TS Licensing). Este sistema permite a servidores de terminal
obter e gerenciar licenas de acesso de clientes de Servios de
Terminal (TS CALs) para dispositivos e usurios que se conectem a
um servidor de terminal. O TS Licensing gerencia clientes no-
licenciados, temporariamente licenciados, e licenciados para
acesso de cliente, e suporta servidores de terminal que executem
o Windows Server Longhorn assim como o sistema operacional
Microsoft Windows Server 2003. O TS Licensing simplifica
enormemente a tarefa de gerenciamento de licenas para o
administrador de sistemas, ao mesmo tempo em que minimiza a
deficincia ou excesso de licenas compradas por uma organizao.
Nota
O TS Licensing usado apenas com Servios de Terminal e
no com rea de trabalho Remota.
Um servidor de terminal um computador no qual o servio de
funo de Servidor de Terminal instalado. Ele fornece aos
clientes acesso a aplicaes baseadas em Windows sendo executadas
inteiramente no servidor e suporta mltiplas sesses de clientes
no servidor. Conforme os clientes se conectam ao servidor de
terminal, este determina se o cliente precisa de um token de
licena, solicita um ao servidor de licenas, e em seguida o
entrega ao cliente.
Um servidor de licenas de Servios de Terminal um computador
em que o servio de funo de TS Licencing est instalado. Um
servidor de licenas armazena todos os tokens de TS CAL que
tenham sido instaladas para um grupo de servidores de terminal e
acompanha os tokens de licena que foram emitidos. Um servidor de
licenas pode atender vrios servidores de terminal
simultaneamente. Para emitir tokens de licena permanentes a
dispositivos clientes, um servidor de terminal deve ser capaz de
se conectar a um servidor de licenas ativado. Um servidor de
licenas que tenha sido instalado, mas no ativado, emitir
apenas tokens de licena temporrios.
O TS Licensing uma entidade separada do servidor de terminal.
Na maioria das grandes implantaes, o servidor de licenas
implantado em um servidor separado, embora possa ser um co-
residente no servidor de terminal em algumas implantaes
menores.
O TS Licensing um servio de baixo impacto. Requer muito pouca
CPU ou memria para operaes regulares, e seus requisitos de
disco rgido so pequenos, mesmo para um nmero significativo de
clientes. Atividades ociosas so insignificantes. O uso de
memria de menos de 10 MB. O banco de dados de licenas cresce
em incrementos de 5 MB para cada 6.000 tokens de licena
emitidos. O servidor de licenas ativo apenas quando um
77
servidor de terminal solicita um token de licena, e seu impacto
sobre o desempenho do servidor muito baixo, mesmo em cenrios
de cargas altas.
O TS Licensing inclui os seguintes recursos e benefcios:
Administrao centralizada para TS CALs e os tokens
correspondentes
Acompanhamento e relatrios de licenas para o modo de
licenciamento Por Usurio
Suporte simples para vrios canais de comunicao e
programas de compra
Impacto mnimo sobre rede e servidores
O gerenciamento efetivo de TS CALS usando o TS Licensing ser do
interesse de organizaes que atualmente usam ou esto
interessadas em usar os Servios de Terminal. Os Servios de
Terminal oferecem tecnologias que permitem acesso, a partir de
quase qualquer dispositivo de computao, a um servidor que
execute programas baseados em Windows ou rea de trabalho
Windows plena. Os usurios podem se conectar a um servidor de
terminal para executar programas e usar recursos de rede naquele
servidor.
O TS Licensing para Windows Server Longhorn agora inclui a
capacidade de acompanhar a emisso de TS CALs Por Usurio usando
o Gerenciador de TS Licensing.
Se o servidor de terminal estiver no modo de licenciamento Por
Usurio, o usurio conectando-se a ele deve ter uma TS CAL Por
Usurio. Se o usurio no tiver a TS CAL Por Usurio necessria,
o servidor de terminal entrar em contato com o servidor de
licenas para obter a CAL para o usurio.
Depois que o servidor de licenas emitir uma TS CAL Por Usurio
para o usurio, o administrador pode rastrear a emisso da CAL
usando o Gerenciador de TS Licensing.
Para usar o TS Licensing para gerenciar TS CALs, voc precisar
do seguinte em um servidor executando o Windows Server
Longhorn:
Para configurar o TS Licensing para gerenciar TS CALs, faa o
seguinte:
1. Instale o servio de funo de TS Licensing.
2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor
de licenas de Servios de Terminal.
3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor
de licenas de Servios de Terminal.
4. Instale as licenas de acesso de cliente necessrias no
servidor de licenas.
78
Para mais informaes sobre a instalao e configurao do TS
Licensing no Windows Server Longhorn, consulte o Licenciamento
de Servidor de Terminal do Windows Server 2003
Para tirar vantagem do TS Licensing, voc deve atender os
seguintes pr-requisitos:
Instalar o servio de funo de TS Licensing em um servidor
executando o Windows Server Longhorn.
O rastreio e apresentao de relatrios de TS CALs Por
Usurio suportado apenas em cenrios unidos por domnio
(o servidor de terminal e o servidor de licenas so
membros de um domnio) e no suportado no modo de grupo
de trabalho. Os Servios de Domnio do Active Directory so
usados para o acompanhamento de licenas no modo Por
Usurio. Os Servios de Domnio do Active Directory podem
ser baseados no Windows Server Longhorn ou no Windows
Server 2003.
Nota
No so necessrias atualizaes para o esquema dos
Servios de Domnio do Active Directory para implementar o
rastreio e apresentao de relatrios de TS CALs Por
Usurio.
Um servidor de terminal executando o Windows Server
Longhorn no se comunica com um servidor de licenas
executando o Windows Server 2003. Contudo. possvel um
servidor de terminal executando o Windows Server 2003 se
comunicar com um servidor de licenas executando o Windows
Server Longhorn.

79
3.09 Gerenciador de Recursos de Sistema do Windows

O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows
Server Longhorn permite que voc controle como os recursos de
CPU e memria so alocados para aplicaes, servios e processos
no computador. Gerenciar recursos dessa maneira melhora o
desempenho do sistema e reduz a chance de que aplicaes,
servios ou processos tirem recursos de CPU ou memria uns dos
outros e reduzam o desempenho do computador. Gerenciar recursos
tambm cria uma experincia mais coerente e previsvel para
usurios de aplicaes e servios sendo executados no computador.
Voc pode usar o WSRM para gerenciar mltiplas aplicaes em um
nico computador ou usurios em um computador no qual os Servios
de Terminal estejam instalados.
Para mais informaes sobre o WSRM, consulte a seguinte
documentao:
Guia Passo a Passo do Gerenciador de Recursos de Sistema do
Windows do Microsoft Windows Server Longhorn Beta 2 no
Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
Ajuda do Windows Server 2003 Help para o Gerenciador de
Recursos do Sistema do Windows na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
A capacidade de usar o WSRM para gerenciar aplicaes ou usurios
em um servidor de terminal do Windows Server Longhorn ser
interessante para organizaes que atualmente usem ou estejam
interessadas em usar Servios de Terminal. Os Servios de
Terminal fornecem tecnologias que possibilitam o acesso, a partir
de qualquer dispositivo de computao, a um servidor executando
programas baseados em Windows ou a uma rea de trabalho Windows
plena. Usurios podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede naquele servidor.
O WSRM para Windows Server Longhorn agora inclui uma diretiva
de alocao de recursos Igual_Por_Sesso (Equal_Per_Session).
Para usar o WSRM para gerenciar aplicaes ou usurios em um
servidor de terminal do Windows Server Longhorn, voc vai
precisar fazer o seguinte:
Para configurar o WSRM para gerenciar aplicaes ou usurios,
faa o seguinte:
1. Use o snap-in Gerenciador de Servidor para instalar o
servio de funo de Servidor de Terminal.
2. Instale o WSRM.
3. Configure o WSRM para Servios de Terminal
Instalando o Servidor de Terminal
80
Instale o servio de funo de Servidor de Terminal em seu
computador antes de instalar e configurar o WSRM.
O servio de funo de Servidor de Terminal, conhecido como
componente de Servidor de Terminal no Microsoft Windows Server
2003, permite a um servidor baseado no Windows Server Longhorn
hospedar programas baseados no Windows ou a rea de trabalho
Windows plena. A partir de seus dispositivos de computao, os
usurios podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede naquele servidor.
No Windows Server Longhorn, voc deve fazer o seguinte para
instalar o servio de funo de Servidor de Terminal, e para
configurar o servidor de terminal para hospedar programas:
Para instalar o servio de funo de Servidor de Terminal e
configur-lo para hospedar programas, faa o seguinte:
1. Use o snap-in Gerenciador de Servidor para instalar o
servio de funo de Servidor de Terminal.
2. Instale programas no servidor.
3. Configure configuraes de conexo remota. Isso inclui
adicionar usurios e grupos que precisam conectar-se ao
servidor de terminal.
Para mais informaes sobre instalar o servio de funo de
Servidor de Terminal, consulte o TechCenter de Servidor de
Terminal do Windows Server Longhorn
Instalando o WSRM
Para instalar o servio de funo de Servidor de Terminal e
configur-lo para hospedar programas, faa o seguinte:
1. Abra o Gerenciador de Servidor. Clique em Start, aponte
para Administrative Tools, e em seguida clique em Server
Manager.
2. Em Features Summary, clique em Add features.
3. Na pgina Select Features, assinale a caixa de seleo
Windows System Resource Manager (WSRM).
4. Uma caixa de dilogo aparecer informando que o servio de
funo SQL Server 2005 Embedded Edition (Windows) tambm
precisa ser instalada para que o WSRM funcione
corretamente. Clique em Add Required Role Services, e em
seguida clique em Next.
5. Na pgina Confirm Installation Options, certifique-se de
que o SQL Server 2005 Embedded Edition (Windows) e o
81
Gerenciador de Recursos do Windows Server (WSRM) sero
instalados e em seguida clique em Install.
6. Na pgina Installation Results, confirme que a instalao
do SQL Server 2005 Embedded Edition (Windows) e do e o
Gerenciador de Recursos do Windows Server (WSRM) foi bem
sucedida, e clique em Close.
Depois de instalar o WSRM, voc precisa iniciar o servio do
Gerenciador de Recursos de Sistema do Windows.
Para iniciar o servio do Gerenciador de Recursos de Sistema
do Windows, faa o seguinte:
1. Abra o snap-in Servios. Para abrir o snap-in Servios,
clique em Start, aponte para Administrative Tools, e clique
em Services.
2. Na caixa de dilogo Services, na coluna Name, clique com o
boto direito do mouse em Windows System Resource Manager,
e em seguida clique em Start.
Configurando o WSRM para Servios de Terminal
Para configurar o WSRM, voc usa o snap-in Gerenciador de
Recursos de Sistema do Windows.
Para abrir o snap-in Gerenciador de Recursos de Sistema do
Windows, faa o seguinte:
1. clique em Start, aponte para Administrative Tools, e clique
em Windows System Resource Manager.
2. Na caixa de dilogo Connect to computer, clique em This
computer, e em seguida clique em Connect para fazer o
Gerenciador de Recursos de Sistema do Windows administrar o
computador que voc est usando.
Diretivas de Alocao de Recursos
O WSRM usa diretivas de alocao de recursos para determinar como
recursos de computador, como CPU e memria, so alocados a
processos sendo executados no computador. H duas diretivas de
alocao de recursos especificamente projetadas para computadores
executando Servios de Terminal:
Igual_Por_Usurio (Equal_Per_User)
Igual_Por_Sesso (Equal_Per_Session)
Nota
A diretiva de alocao Igual_Por_Sesso nova no Windows
Server Longhorn.
82
Se voc implementar a diretiva de alocao Igual_Por_Sesso, cada
sesso de usurio (e seus processos associados) recebe uma
parcela igual de recursos da CPU do computador.
Para implementar a diretiva de alocao Igual_Por_Sesso, faa
o seguinte:
1. Abra o snap-in Windows System Resource Manager.
2. Na rvore do console, expanda o n Resource Allocation
Policies.
3. Clique com o boto direito do mouse em Clique com o boto
direito do mouse em Equal_Per_Session, e em seguida clique
em Set as Managing Policy.
4. Se uma caixa de dilogo aparecer informando que o
calendrio ser desativado, clique em OK.
Para informaes sobre a diretiva de alocao de recursos
Igual_Por_Usurio e configuraes e configuraes adicionais do
WSRM (como criar um critrio correspondente ao processo atravs
da utilizao de correspondncia de usurio ou grupo), consulte a
seguinte documentao:
Guia Passo a Passo do Gerenciador de Recursos de Sistema do
Windows do Microsoft Windows Server Longhorn Beta 2 no
Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
Ajuda do Windows Server 2003 Help para o Gerenciador de
Recursos do Sistema do Windows na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
Desempenho de Monitoramento
Voc deve coletar dados sobre o desempenho de seu servidor de
terminal antes e depois de implementar a diretiva de alocao de
recursos Igual_Por_Sesso (ou de fazer qualquer outra alterao
de configurao relacionada ao WSRM). Voc pode usar o Monitor de
Recursos do snap-in Gerenciador de Recursos de Sistema do Windows
para coletar e visualizar dados sobre o uso de recursos de
hardware e a atividade de servios de sistema no computador.

83
Seo 4: Escritrios Remotos


84
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais

Este cenrio se concentra no aperfeioamento da comunicao,
segurana e gerenciamento, os quais estaro disponveis para as
filiais onde o Windows Server
Longhorn for instalado.

As principais proposies de valor disponveis para as filiais
so as seguintes:
Melhorar a eficincia da instalao e administrao do
servidor da filial.
Diminuir os riscos de segurana fsica nas filiais.
Melhorar a eficincia das comunicaes WAN da filial.
Os requisitos adicionais de hardware so os seguintes:
Trusted Platform Module 1.2 (somente para Criptografia de
Disco BitLocker)

85
4.02 Controlador de Domnio Somente Leitura

Um controlador de domnio somente leitura (RODC) um novo tipo
de controlador de domnio no sistema operacional do Windows
Server Longhorn. Com o RODC, as empresas podem facilmente
implantar um controlador de domnio nos locais onde no
possvel garantir a segurana fsica. Um RODC hospeda parties
somente leitura da base de dados dos Servios de Domnio do Active
Directory
.
Antes do lanamento do Windows Server Longhorn, os usurios no
possuam alternativas caso quisessem realizar a autenticao com um
controlador de domnio em uma Rede Remota (WAN). Em muitos casos,
esta no era uma soluo eficaz. As filiais raramente oferecem a
segurana fsica necessria a um controlador de domnio gravvel.
Alm disso, as filiais geralmente contam com pouca largura de banda
de rede quando so conectadas a um site hub, o que pode vir a
aumentar o tempo necessrio para o logon e inclusive atrasar o
acesso aos recursos de rede.
Atravs da utilizao do Windows Server Longhorn, uma empresa
pode implantar um RODC para resolver estes problemas. Como
resultado, os usurios podem receber os seguintes benefcios:
Maior segurana
Logon mais rpido
Acesso mais eficiente aos recursos de rede
A falta de segurana fsica a razo mais comum para se
considerar a implantao de um RODC. Com o RODC, possvel
implantar um controlador de domnio de forma mais segura, em
locais que exigem servios de autenticao rpidos e confiveis,
mas que no entanto no podem assegurar segurana fsica para um
controlador de domnio gravvel.
Entretanto, sua empresa tambm pode optar pela implantao de um
RODC para requisitos administrativos especiais. Por exemplo: uma
aplicao LOB pode ser executada com sucesso somente se for
instalada em um controlador de domnio; ou ainda, o controlador
de domnio poder ser o nico servidor da filial, e ento poder
ter que hospedar as aplicaes do servidor.
Nestes casos, o proprietrio da aplicao LOB precisa se
registrar seguidamente no controlador de domnio de forma
interativa ou utilizar os Servios de Terminal para configurar e
gerenciar a aplicao. Esta situao cria um risco de segurana
que pode se tornar inaceitvel em um controlador de domnio
gravvel.
Neste cenrio, o RODC fornece um mecanismo mais seguro para a
implantao de um controlador de domnio. Voc pode oferecer ao
usurio no administrativo do domnio o direito de acessar o
86
RODC, ao mesmo tempo em que reduz o risco de segurana para a
floresta do Active Directory.
Voc tambm pode implantar um RODC em outros cenrios onde o
armazenamento local de todas as senhas de usurio do domnio no
garanta segurana, como em uma extranet ou uma funo de
aplicao.
O RODC foi desenvolvido especialmente para ser implantado em
ambientes remotos e em filiais. As filiais geralmente apresentam
as seguintes caractersticas:
Nmero reduzido de usurios
Pouca Segurana fsica
Pouca largura de banda para um site hub
Baixo conhecimento de TI
Voc deveria revisar este captulo, bem como a documentao de
suporte complementar sobre o RODC, caso voc pertena a algum dos
seguintes grupos:
Planejadores de TI e analistas que estejam avaliando
tecnicamente o produto
Planejadores de TI corporativos e designers corporativos
Profissionais responsveis pela segurana de TI
Administradores dos Servios de Domnio do Active Directory

que lidam com escritrios pequenos de filiais
Para oferecer suporte Diretiva de Replicao de Senhas do RODC,
os Servios de Domnio do Active Directory

do Windows Server
Longhorn incorporam novos atributos. A Diretiva de Replicao
de Senhas o mecanismo que determina se as credenciais de um
usurio ou de um computador possuem a permisso para operar a
replicao de um controlador de domnio somente leitura para um
RODC. A Diretiva de Replicao de Senhas sempre configurada em
um controlador de domnio gravvel que execute o Windows Server
Longhorn.
Os atributos dos Servios de Domnio do Active Directory

adicionados ao plano do Windows Server Longhorn Active
Directory para oferecer suporte aos RODCs incluem o seguinte:
msDS-Reveal-OnDemandGroup
msDS-NeverRevealGroup
msDS-RevealedUsers
msDS-AuthenticatedToAccountList
Para mais informaes sobre estes atributos, veja o Guia Passo a
Passo para Planejamento, Implantao e Utilizao do Controlador
de Domnio Somente Leitura do Windows Server Longhorn:
87
Para implantar um RODC, o controlador de domnio que possui o
papel mestre de emulador do controlador de domnio principal
(PDC), tambm conhecido como FSMO (Flexible Single Master
Operations) para o domnio, precisa executar o Windows Server
Longhorn. Alm disso, o nvel funcional para o domnio e a
floresta deve ser o Microsoft
Windows Server 2003 ou superior.

O RODC aborda alguns dos problemas normalmente encontrados nas
filiais. Estes locais nem sempre possuem um controlador de
domnio. Ou talvez eles possuam um controlador de domnio
gravvel, porm sem a segurana fsica, a largura de banda ou
tcnicos locais especializados para lhes oferecer suporte. A
funcionalidade do RODC a seguir mitiga estes problemas:
Banco de dados somente leitura dos Servios de Domnio do
Active Directory
.
Replicao unidirecional
Caching de credenciais
Separao do papel de administrador
DNS Somente Leitura
Base de Dados Somente Leitura dos Servios de Domnio do Active
Directory .
Com exceo das senhas de contas, um RODC contm todos os objetos
e atributos do Active Directory encontrados em um controlador de
domnio gravvel. Entretanto, no possvel efetuar mudanas na
base de dados armazenada no RODC. As mudanas devem ser feitas em
um controlador de domnio gravvel e ento replicadas para o
RODC. Esta medida previne contra alguma mudana que possa ser
realizada nas filiais, levando a poluir ou corromper a floresta
inteira.
Aplicaes locais que exigem acesso de Leitura para o diretrio,
podem obter este acesso. As aplicaes do protocolo LDAP
(Lightweight Directory Application Protocol)que exigem o acesso
de Gravao recebem uma resposta de indicao LDAP. Esta resposta
ir direcion-las para um controlador de domnio gravvel,
normalmente em um site hub.
Replicao Unidirecional
Nenhuma mudana gravada diretamente no RODC, pois nenhuma
mudana se origina no RODC. Como resultado, os controladores de
domnio gravvel, que so parceiros na replicao, no precisam
extrair mudanas do RODC. Isto reduz a carga de trabalho dos
servidores bridgehead no hub e o esforo necessrio para
monitorar a replicao.
A replicao unidirecional do RODC se aplica tanto aos Servios
de Domnio do Active Directory
como Replicao do Sistema de

Arquivos Distribudo (DFS). O RODC desempenha a replicao normal
88
de chegada para os Servios de Domnio do Active Directory
e
mudanas na Replicao DFS.

Caching de Credenciais
Caching de credenciais o armazenamento de credenciais do
usurio ou do computador. As credenciais consistem em um pequeno
conjunto de aproximadamente 10 senhas que esto associadas aos
diretores de segurana. Por padro, um RODC no armazena as
credenciais do usurio ou do computador. As excees so a conta
de computador do RODC e uma conta krbtgt especial existente em
cada RODC. necessrio conceder permisso explcita a qualquer
outro caching de credencial explicitamente em um RODC.
O RODC anunciado como o Principal Centro de Distribuio (KDC
Key Distribution Center) para a filial. O RODC utiliza uma conta
krbtgt e senha diferente do KDC em um controlador de domnio
gravvel, quando este assina ou criptografa pedidos TGT (ticket-
granting ticket).
Aps uma conta ser devidamente autenticada, o RODC tenta contatar
um controlador de domnio gravvel no site hub e pede uma cpia
das credenciais apropriadas. O controlador de domnio gravvel
reconhece que o pedido se origina de um RODC e consulta a
Diretiva de Replicao de Senhas em vigor para aquele RODC.
A Diretiva de Replicao de Senhas determina se podem ser
replicadas as credenciais de um usurio ou de um computador do
controlador de domnio gravvel para o RODC. Se a Diretiva de
Replicao de Senhas permitir, o controlador de domnio gravvel
replica as credenciais para o RODC, que faz o caching.
Depois de fazer o caching das credenciais, o RODC pode atender
diretamente os pedidos de registro do usurio at o momento de
troca de credenciais. (Quando um TGT assinado com a conta
krbtgt do RODC, este reconhece que existe uma cpia cache das
credenciais. Caso outro controlador de domnio assine o TGT, o
RODC envia os pedidos ao controlador de domnio gravvel.)
Ao limitar o caching de credenciais somente aos usurios
certificados com o RODC, a exposio potencial de credenciais do
RODC tambm limitada. De maneira geral, apenas um pequeno grupo
de usurios do domnio possui o caching das credenciais em
qualquer RODC. Portanto, no caso de o RODC ser roubado, somente
as credenciais cacheadas podem potencialmente ser quebradas.
O ato de deixar o caching de credenciais desabilitado pode mais
adiante limitar a exposio, mas faz com que todos os pedidos de
autenticao sejam encaminhados para um controlador de domnio
gravvel. Um administrador pode modificar a Diretiva de
Replicao de Senhas para permitir o caching de credenciais dos
usurios no RODC.
Separao do Papel de Administrador
89
Voc pode delegar o papel de administrador local de RODC a
qualquer usurio do domnio, sem a necessidade de lhe oferecer
quaisquer direitos relativos ao domnio ou outros controladores
de domnio. Assim, possvel um usurio da filial efetuar o
logon em um RODC e realizar o trabalho de manuteno no servidor,
como, por exemplo, a atualizao de uma unidade. Entretanto, o
usurio da filial no pode efetuar o logon em nenhum outro
controlador de domnio ou realizar qualquer outra tarefa
administrativa no domnio. Desta forma, pode-se delegar ao
usurio da filial a capacidade de gerenciar o RODC no escritrio
da filial, sem comprometer a segurana do restante do domnio.
DNS Somente Leitura
Voc pode instalar o servio de Servidor DNS em um RODC. O RODC
possui a capacidade de replicar todas as parties do diretrio
de aplicaes utilizados pelo DNS, inclusive ForestDNSZones e
DomainDNSZones. Se o Servidor DNS estiver instalado em um RODC,
os clientes podem examin-lo para a resoluo de nomes da mesma
forma que fazem com outros servidores DNS.
Porm, o Servidor DNS em um RODC no suporta atualizaes de
clientes diretamente. Por conseqncia, o RODC no registra as
gravaes de recursos de name server (NS) para nenhuma zona
integrada ao Active Directory que ele hospeda. Quando um cliente
faz a tentativa de atualizar suas gravaes frente a um RODC, o
servidor retorna uma orientao. O cliente ento pode tentar
fazer a atualizao frente a um servidor DNS, o qual fornecido
na mensagem de orientao. No fundo, o servidor DNS no RODC tenta
replicar o relatrio atualizado pelo servidor DNS. Este pedido de
replicao se refere a um nico objeto (a gravao DNS). A lista
completa da zona modificada ou dos dados de domnio no
replicada durante este pedido especial para a replicao de
objeto nico.
Implantao
Os pr-requisitos para a implantao de um RODC so os seguintes:
O controlador de domnio que contm a funo de mestre de
operaes do emulador PDC (controlador de domnio primrio)
precisa executar o Windows Server Longhorn. Isto
necessrio para a criao da nova conta krbtgt para o RODC
e suas operaes.
O RODC precisa encaminhar pedidos de autenticao para um
controlador de domnio gravvel que tenha instalado o
Windows Server Longhorn. A Diretiva de Replicao de
Senhas instalada neste controlador de domnio para
determinar que as credenciais sejam replicadas para a
filial, em um pedido encaminhado pelo RODC.
O nvel funcional do domnio deve ser Windows Server 2003
ou superior, em que esteja disponvel uma delegao
limitada por kerberos. Uma delegao limitada utilizada
90
para chamadas de segurana, que devem personificar o
contexto do visitante.
O nvel funcional da floresta deve ser Windows Server 2003
ou superior, para que esteja disponvel a replicao de
valor relacionado. Isto permite um nvel mais alto de
consistncia de replicao.
preciso executar adprep /rodcprep uma vez na floresta, a
fim de atualizar as permisses em todas as parties do
diretrio de aplicaes DNS da floresta. Desta forma, todos
os RODCs que tambm so servidores DNS podem replicar com
sucesso as permisses.

91
4.03 Criptografia de Unidade de Disco BitLocker

O Criptografia de Unidade de Disco BitLocker do Windows
um
recurso de segurana nos sistemas operacionais Windows Vista
Enterprise e Ultimate, e Windows Server Longhorn. Este recurso
fornece proteo ao sistema operacional de seu computador e aos
dados armazenados no volume do sistema operacional. No Windows
Server Longhorn, a proteo do BitLocker tambm pode ser
estendida aos volumes utilizados para o armazenamento de dados.
O BitLocker exerce duas funes:
O BitLocker criptografa todos os dados armazenados no
volume do sistema (e volumes de dados configurados). Isto
inclui o sistema operacional Windows, arquivos de pgina e
hibernao, aplicaes e dados utilizados pelas aplicaes.
O BitLocker configurado por padro para utilizar um TPM
(Trusted Platform Module), a fim de garantir a integridade
dos primeiros componentes de inicializao(componentes
empregados nos primeiros estgios do processo de
inicializao). Como ele trava quaisquer volumes
protegidos pelo BitLocker, estes permanecem criptografados
mesmo quando o sistema operacional no estiver sendo
executado e o computador for mexido.

O BitLocker um componente opcional que precisa ser instalado
antes de ser usado em um sistema baseado no Windows Server
Longhorn. Para instalar o BitLocker, preciso selecion-lo no
Gerenciador de Servidor ou digitar no prompt de comando o
seguinte:
start /w pkgmgr /iu:BitLocker /norestart
O BitLocker pode interessar aos seguintes grupos:
Administradores, profissionais de segurana de TI e
oficiais responsveis por garantir que dados confidenciais
no sejam revelados sem autorizao
Administradores responsveis pela segurana dos
computadores em escritrios remotos ou filiais
Administradores responsveis por servidores ou computadores
clientes Windows Vista que sejam mveis
Para fazer uso de sua total funcionalidade, O BitLocker requer
um sistema com microchip TPM compatvel e BIOS. Um TPM compatvel
se define como verso 1.2 TPM. Um BIOS compatvel deve suportar o
TPM e o Static Root of Trust Measurement, conforme definido pelo
Trusted Computing Group. Para mais informaes sobre as
especificaes do TPM, visite a seo TPM Specifications no site
do Trusted Computing Group:
92
O BitLocker exige que a partio ativa (tambm chamada de
partio de sistema) no seja criptografada. O sistema
operacional Windows instalado em uma segunda partio, a qual
criptografada pelo BitLocker.
Ao trabalhar com a criptografia de dados, especialmente em um
ambiente corporativo, necessrio ter em mente como estes dados
podero ser recuperados no caso de uma falha de hardware, de
mudanas no quadro de funcionrios, ou outras situaes em que h
perda das chaves de criptografia. O BitLocker suporta um cenrio
robusto de recuperao, o qual ser descrito neste artigo mais
adiante.
Os principais recursos do BitLocker incluem criptografia de
unidade de disco, verificao da integridade dos primeiros
componentes de inicializao e o mecanismo de recuperao.
Criptografia de Unidade de Disco
Tudo que gravado em um disco protegido pelo BitLocker
criptografado, inclusive o prprio sistema operacional, todos os
dados e aplicaes.
Isso ajuda na proteo dos dados contra acessos no autorizados.
Embora a segurana fsica dos servidores seja importante, o
BitLocker pode ajudar a proteger os dados em situaes em que um
computador roubado, enviado de um lugar a outro, ou esteja de
alguma forma fora de seu controle fsico.
A criptografia de disco auxilia na preveno de ataques offline,
como a remoo de uma unidade de disco de um computador e sua
instalao em outro, numa tentativa de burlar medidas de
segurana do Windows, tais como permisses estabelecidas pelas
listas de controle de acesso (ACLs)do NTF.
O BitLocker implementado em cdigo nos primeiros componentes da
inicializao (registro mestre de inicializao (MBR), setor de
partida, gerenciador de inicializao, Windows Loader), e como
uma unidade de filtro, que parte integral do sistema
operacional.
Na primeira ativao do BitLocker, deve ser efetuada a
criptografia dos dados existentes no volume. Voc pode continuar
utilizando o computador durante este processo, mas poder notar
uma reduo no desempenho durante a criptografia inicial.
Aps completar a criptografia inicial, o uso do volume
criptografado provoca uma leve perda de desempenho no acesso ao
disco. Embora dependa muito do tipo de hardware e dos padres de
operao, esta perda estimada entre 3 e 5 por cento. Em
sistemas clientes, a perda geralmente no notada pelos
usurios. Nos casos de servidores muito carregados, preciso
avaliar o desempenho do subsistema de disco.
93
O uso de um disco capacitado para BitLocker transparente para o
sistema operacional e todas as aplicaes.
Para informaes mais especficas do algoritmo de criptografia
do BitLocker, consulte AES-CBC + Elephant diffuser:
(http://go.microsoft.com/fwlink/?LinkId=82824)
Verificao de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos
primeiros componentes da inicializao, para ajudar na preveno
contra ataques offline adicionais, como por exemplo, tentativas
de inserir cdigos maliciosos nesses componentes.
Na primeira etapa do processo de inicializao, os componentes
no podem estar criptografados, para que o computador possa
iniciar. Por esta razo, um agressor pode efetuar mudana de
cdigo nos primeiros componentes da inicializao, tendo acesso
ao computador, mesmo que os dados do disco estejam
criptografados. Assim, se o agressor conseguir acesso s
informaes confidenciais, como as chaves do BitLocker ou senhas
do usurio, o BitLocker, bem como outras protees de segurana
do Windows, podem ser burladas.
Cada vez que um computador equipado com TPM inicia, cada um dos
primeiros componentes de inicializao (como BIOS, MBR, setor de
partida e cdigo de gerenciamento de inicializao) examina o
cdigo a ser executado, calcula um valor de seqncia e armazena
este valor no TPM. Uma vez instalado no TPM, esse valor no pode
ser mudado at que o sistema reinicialize. Uma combinao destes
valores gravada e usada para proteger as chaves de
criptografia.
Os computadores que incorporam um TPM podem criar uma chave
vinculada a estes valores. Quando este tipo de chave criada,
ela criptografada pelo TPM, e somente o TPM pode
descriptograf-la. Cada vez que o computador inicia, o TPM
compara os valores produzidos durante a inicializao atual com
os valores que existiam no momento da criao da chave. Ele
somente criptografa a chave se os valores combinarem. Este
processo chamado lacrar e deslacrar a chave.
O BitLocker examina e lacra as chaves nas dimenses do CRTM (Core
Root of Trust), do BIOS e de qualquer extenso de plataforma,
opo de cdigo memria somente leitura (ROM), cdigo MBR, setor
de partida e gerenciador de partida. Isto significa que, no caso
de ocorrer alguma mudana inesperada em qualquer desses tens, o
BitLocker travar a unidade e impedir que ela seja acessada ou
descriptografada.
O Bitlocker configurado para buscar e utilizar um TPM. Voc
pode empregar a Diretiva de Grupo para permitir que o BitLocker
opere sem um TPM e armazene as chaves em uma unidade externa USB;
entretanto, o BitLocker no pode ento verificar os primeiros
componentes da inicializao.
94
preciso levar em considerao a disponibilidade de um TPM no
momento da compra de hardware. Na ausncia de um TPM, a segurana
fsica do servidor torna-se ainda mais importante.
O BitLocker deve ser desativado durante a manuteno programada
que envolva mudana em algum dos primeiros componentes de
inicializao dimensionados. Aps o trmino da manuteno, o
BitLocker pode ser reativado, e novas dimenses de plataforma so
usadas para as chaves. A desativao e reativao no exigem a
criptografia e re-criptografia do disco.
Opes de Recuperao
O BitLocker suporta uma grande srie de opes de recuperao, de
modo a garantir a disponibilidade dos dados aos seus usurios
legtimos.
fundamental que os dados de uma empresa possam ser
descriptografados, mesmo que estejam disponveis as chaves de
descriptorafia mais amplamente utilizadas. A capacidade de
recuperao est inserida no BitLocker, sem back doors. Porm,
as empresas podem facilmente assegurar-se de que seus dados esto
protegidos e disponveis.
Quando o BitLocker ativado, o usurio recebe uma solicitao
para armazenar uma senha de recuperao, a qual ser utilizada
para destravar um volume BitLocker que estiver travado. O
assistente de instalao do BitLocker exige que pelo menos uma
cpia da senha de recuperao seja salva.
Porm, em muitos ambientes, no possvel confiar a usurios a
guarda e proteo das senhas de recuperao. Assim sendo, voc
pode configurar o BitLocker para salvar as informaes de
recuperao no Active Directory ou nos Servios de Domnio do
Active Directory.
Ns recomendamos que as senhas de recuperao sejam salvas no
Active Directory em ambientes corporativos.
As configuraes da Diretiva de Grupo podem ser usadas para
configurar o BitLocker, de forma a exigir ou proibir diferentes
tipos de armazenamento de senhas de recuperao, ou torn-las
opcionais.
As configuraes da Diretiva de Grupo tambm podem ser usadas
para evitar a desativao do BitLocker, caso no seja possvel o
backup das chaves no Active Directory.
Para mais informaes sobre como configurar o Active Directory
para suportar as opes de recuperao, veja: Configuring Active
Directory to Back up Windows Criptografia de Unidade de Disco
BitLocker e Trusted Platform Module Recovery Information

95
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto atravs do Windows
Management Instrumentation (WMI) ou de uma interface de comando
por linha.
Em um ambiente com muitos computadores ou computadores em
escritrios remotos e filiais, fica difcil ou impossvel
gerenciar recursos e configuraes de forma individual.
Os recursos do BitLocker esto dispostos no subsistema WMI, que
uma implementao das estruturas e funes do WBEM (Web-Based
Enterprise Management). Por essa razo, os administradores podem
usar qualquer software WBEM compatvel com WMI para gerenciar o
BitLocker em computadores locais ou remotos.
Para mais informaes sobre BitLocker e WMI, veja: Criptografia
de Unidade de Disco BitLocker Provider
O Windows tambm adiciona ao BitLocker uma interface de comando
por linha, implementada como um script chamado manage-
bde.wsf.Voc pode usar o manage-bde.wsf para controlar todos os
aspectos do BitLocker em um computador local ou remoto. Para
obter uma lista completa da sintaxe e dos comandos do of manage-
bde, digite o seguinte em um prompt de comando:
manage-bde.wsf /?
O gerenciamento remoto do BitLocker um componente opcional que
pode ser instalado no Windows Server Longhorn, para permitir
que voc gerencie outros computadores sem ativar o BitLocker no
servidor que voc esteja usando.
O componente opcional para o gerenciamento remoto do BitLocker
chamado BitLocker-RemoteAdminTool. Este pacote de componente
opcional contm o manage-bde.wsf e o arquivo associado .ini. Para
instalar somente o componente de gerenciamento remoto, voc deve
digitar no prompt de comando:
start /w pkgmgr /iu:BitLocker-RemoteAdminTool

Dois conjuntos novos de configuraes de Diretiva de Grupo foram
introduzidos para oferecer suporte ao BitLocker e ao
gerenciamento do TPM. Todas as configuraes da diretiva esto
explicadas no Editor de Objetos de Diretiva de Grupo. Para obter
mais detalhes, abra o Group Policy Object Editor (gpedit.msc) e
examine cada configurao.
As configuraes de Diretiva de Grupo que afetam o BitLocker
encontram-se em: Computer Configuration/Administrative
Templates/Windows Components/Criptografia de Unidade de Disco
BitLocker. A tabela a seguir resume estas configuraes.
96
Criptografia do BitLocker Configuraes de Diretiva de Grupo

Nome da
Configurao
Padro Descrio
Ativar backup
do BitLocker
para Servios
de Domnio do
Active
Directory
Desativado Esta configurao verifica se a informao
de recuperao do BitLocker foi copiada
para o Servios de Domnio do Active
Directory. Se ativada, ela tambm pode
verificar se o backup obrigatrio ou
opcional e se somente uma senha de
recuperao ou um pacote inteiro est
salvo.
Configurao do
Painel de
Controle:
Configurar
pasta de
recuperao
Nenhum(Seleo do
usurio)
Esta configurao especifica a posio
padro mostrada ao usurio para salvar
chaves de recuperao. Pode ser uma posio
local ou em rede. O usurio livre para
escolher outras posies.
Configurao do
Painel de
Controle:
Configurar
opes de
recuperao
Nenhum (Seleo do
usurio)
Esta configurao permite escolher se o
assistente de configurao do Criptografia
de Unidade de Disco BitLocker pedir ao
usurio para salvar as opes de
recuperao do BitLocker.
Duas opes de recuperao podem destravar
o acesso aos dados criptografados do
BitLocker. O usurio pode digitar uma senha
de recuperao numrica de 48 dgitos,
sua escolha . O usurio tambm pode inserir
uma unidade USB que contenha uma chave de
recuperao aleatria de 256 bits.
Cada uma delas pode ser exigida ou
proibida. Caso voc proba as duas opes o
backup para os Servios de Domnio do Active Directory
precisa ser ativado.
Configurao do
Painel de
Controle:
Ativar opes
de configurao
avanadas
Desativado Esta configurao permite escolher se o
BitLocker pode ser ativado em computadores
sem TPM, e se a autenticao multifactor
pode ser usada em computadores sem TPM.
Configurar
mtodo de
criptografia
AES 128-bit com
Difusor
Esta configurao estabelece a extenso da
chave de criptografia AES e a utilizao ou
no do Difusor.
Prevenir
regravao de
memria na
reinicializao
Desativado (a
memria ser
regravada)
As chaves do BitLocker podem continuar na
memria entre uma inicializao e outra se
o computador no for desligado. Portanto, o
BitLocker instrui os BIOS a limpar toda a memria
em reinicializaes mornas, o que pode resultar em demora em
sistemas com grande quantidade de memria. Ativar esta
configurao pode melhorar o desempenho da reinicializao,
mas no aumenta o risco de segurana.
Configurar
perfil de
validao de
plataforma do
TPM
PCRs 0, 2, 4, 8,
9, 11
Determina quais dimenses de plataforma do
TPM, armazenadas nos registros de controle
de plataforma (PCRs), sero utilizadas para
lacrar as chaves do BitLocker.

As configuraes de Diretiva de Grupo que controlam o
comportamento do TPM podem ser encontradas em: Computer
Configuration/Administrative Templates/System/Trusted Platform
Module services. A tabela a seguir resume estas configuraes.
97
Comportamento do TPM Configuraes de Diretiva de Grupo
Nome da
Configurao
Padro Descrio
Ativar backup
do TPM para
Servios de
Domnio do
Active
Directory
Desativado Esta configurao controla o backup da
informao de senha do proprietrio do TPM
nos Servios de Domnio do Active
Directory.Caso esteja ativada, ela tambm
pode controlar se o backup obrigatrio ou
opcional.
Configurar
lista de
comandos
bloqueados do
TPM
Nenhum Esta diretiva permite que funes
especficas do TPM sejam ativadas ou
desativadas. Porm, as duas prximas
configuraes podem restringir os comandos
disponveis. As listas baseadas em Diretiva
de Grupo prevalecem sobre as listas locais.
As listas locais podem ser configuradas no
console de Gerenciamento do TPM.
Ignorar a lista
padro dos
comandos do TPM
bloqueados
Desativado Por padro, alguns comandos do TPM so
bloqueados. Para ativar estes comandos,
esta configurao de diretiva precisa ser
ativada.
Ignorar a lista
local dos
comandos do TPM
bloqueados
Desativado Por padro, um administrador local pode
bloquear os comandos no console de
Gerenciamento do TPM. Esta configurao
pode ser usada para evitar tal
comportamento.

Para mais informaes sobre a operao do TPM e a utilizao do
console de Gerenciamento do TPM, veja o Guia Passo a Passo
Windows Trusted Platform Module Management:
Implantao
O BitLocker um componente opcional em todas as edies do
O BitLocker est disponvel no Windows Vista Enterprise e no
Windows Vista Ultimate, e pode ser muito til na proteo de
dados armazenados em computadores clientes, especialmente nos
mveis.
Antes de ativar o BitLocker, voc deve levar em considerao:
Requisitos de Hardware. Se o hardware existente no tiver
potncia suficiente para realizar a criptografia, considere
fazer uma atualizao. Para utilizar a totalidade de
recursos do sistema, como ser descrito adiante, a
plataforma de hardware deve estar equipada com um TPM
verso 1.2.
Diretivas corporativas. Avalie suas diretivas relacionadas
reteno de dados, criptografia e compatibilidade.
Certifique-se de ter um plano para recuperao de dados,
como ser discutido na prxima seo.
98
Como sero armazenadas as informaes de recuperao. Ns
recomendamos a utilizao do Active Directory para backups
de informaes de recuperao em ambientes corporativos.
Informaes Adicionais
Para informaes adicionais sobre o BitLocker, visite:
Criptografia de Unidade de Disco BitLocker: Viso Geral
Tcnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a-
Passo Windows Criptografia de Unidade de Disco BitLocker
Artigos e recursos adicionais sobre o BitLocker esto
disponveis no TechCenter do Microsoft Windows Vista

99

optar por instalar um ambiente mnimo, que evita sobrecargas.
Embora esta opo limite o papel a ser desempenhado pelo
servidor, ela pode melhorar a segurana e reduzir o
gerenciamento. Este tipo de instalao chamado de instalao do
Ncleo do Servidor.
Para mais informaes sobre o Ncleo do Servidor, veja a seo 7.05
Ncleo do Servidor na pgina 242.

Para saber
mais, veja
a seo
7.05
Ncleo do
Servidor
na pgina
242.
100
Seo 5: Aplicao de Diretivas
e Segurana


101
5.01 Introduo Aplicao de Diretivas e Segurana

O foco deste cenrio a conformidade aprimorada de segurana e
gerenciamento que se torna possvel por meio dos recursos de
acesso voltados s diretivas para as organizaes que implantaram
o Windows Server
Longhorn com Windows Vista, Windows
XP SP2 e
o Windows Server 2003 R2.
Esse cenrio tambm inclui o conjunto completo de servios de
identidade e acesso de que os clientes precisam para fornecer o
gerenciamento d de usurios, a consolidao de diretrios, o
logon nico, a autenticao forte e a proteo e federao de
informaes.
Proposta de Valor para os Cenrios
O reforo de diretivas e de segurana permite:
Determinar a integridade e o status de laptops e
computadores domsticos no-gerenciados (desktop e laptop),
verificar a conformidade e reforar a remediao de
dispositivos no-conformes. Simplificar tarefas
administrativas, como atualizaes de sistema e instalaes
de aplicativos.
Determinar a integridade de laptops visitantes e reforar a
inspeo de dados de camada de aplicativos, verificando a
existncia de malware. Simplificar tarefas administrativas,
como atualizaes de sistema e instalaes de aplicativos.
Utilizar a qualidade de servio baseada em diretivas para
priorizar e gerenciar a taxa de envio do trfego de rede
contnuo e a filtragem do trfego de entrada e sada.
Aprimorar o acesso sem fio rede, dando suporte a redes
que utilizam switches de autenticao, mecanismos
aprimorados de criptografia e a integrao com o NAP
(Network Access Protection) para diretivas especficas sem
fio que do suporte autenticao 802.1x.
Ajudar a estender, de forma segura, as informaes e os
aplicativos aos parceiros de negcios, como tambm dar
proteo a eles.
Reduzir o risco de acesso no-autorizado por meio da
autenticao forte.
Reduzir o nmero de contas de usurio e repositrios que
precisam de gerenciamento.
Ajudar no gerenciamento seguro das contas e informaes de
usurio fora do datacenter.
Ativar a troca flexvel de informaes dentro e fora da
organizao, enquanto o controle de acesso granular
mantido.

102
Os requisitos de hardware adicionais so estes:
Os smart cards so exigidos para clientes que desejam
implantar uma soluo de autenticao forte e, dessa forma,
reduzir o risco de acesso sem autorizao.
Placas de acesso sem fio e pontos de acesso so exigidos
para o acesso seguro sem fio.

103
5.02 Servios de Acesso e Diretiva de Rede

Os Servios de Acesso e Diretiva de Rede (Network Policy and
Access Services) fornecem uma variedade de mtodos para oferecer
conectividade de rede remota e local aos usurios, para conectar
segmentos de rede e permitir que os administradores de rede
gerenciem, de forma centralizada, o acesso rede e as diretivas
de integridade do cliente.
Com os Servios de Acesso Rede (Network Access Services),
possvel implantar servidores VPN e de discagem, roteadores e o
acesso sem fio protegido pela autenticao 802.11. Voc tambm
pode implantar servidores e proxies RADIUS e utilizar o
Connection Manager Administration Kit para criar perfis de acesso
remoto os quais permitam que os computadores cliente conectem-se
a sua rede.
Os Servios de Acesso e Diretiva de Rede fornecem as seguintes
solues de conectividade de rede:
Proteo Contra Acesso Rede. A Proteo Contra Acesso
Rede, ou NAP (Network Access Protection), uma criao de
diretiva de integridade de cliente, uma tecnologia de
reforo e remediao includa nos sistemas operacionais
Windows Vista Business, Enterprise e Ultimate, como tambm
no Windows Server Longhorn. Com o NAP, os administradores
de sistema podem estabelecer e, automaticamente, forar
diretivas de integridade, as quais podem incluir requisitos
de software, de atualizao de rede, configuraes exigidas
de computador, alm de outras configuraes. Computadores
cliente que no estiverem de acordo com a diretiva de
integridade podem ter o acesso de rede restringido at que
suas configuraes sejam atualizadas, fazendo com que
estejam de acordo com a diretiva. Dependendo da forma com
que implantar o NAP, os clientes no-conformes sero
automaticamente atualizados, de forma que os usurios
possam rapidamente obter novamente o acesso completo
rede, sem a necessidade de atualizar ou reconfigurar
manualmente seus computadores.
Proteo contra Acesso com e sem fio. Ao implantar pontos
de acesso sem fio 802.1X, o acesso seguro sem fio fornece
aos usurios um mtodo de autenticao baseado em senhas e
com segurana aprimorada fcil de ser implantado. Ao
implantar switches de autenticao 802.1X, o acesso com fio
permite que voc assegure sua rede, garantindo que os
usurios da intranet sejam autenticados antes que possam
conectar-se rede ou obter um endereo IP utilizando o
DHCP.
Solues de acesso remoto. Com as solues de acesso
remoto, voc pode fornecer aos usurios o acesso discado e
VPN rede da organizao. Alm disso, possvel conectar
104
os escritrios de filiais a sua rede por meio de solues
VPN, implantar roteadores de software com diversos recursos
em sua rede, como tambm compartilhar conexes da Internet
pela intranet.
Gerenciamento central de diretivas de rede com o servidor e
o proxy RADIUS. Em vez de configurar diretivas de acesso
rede em cada servidor de acesso rede, como pontos de
acesso sem fio, switches de autenticao, servidores VPN e
servidores de discagem, voc poder criar diretivas em um
nico local que especifique todos os aspectos das
solicitaes de conexo rede, incluindo quem tem
permisso para conectar-se, quando a conexo poder ser
feita e o nvel de segurana que deve ser utilizado para
conectar-se a sua rede.
Servios de Funo para Servios de Acesso e
Diretiva de Rede
Ao instalar os Servios de Acesso e Diretiva de Rede, os
seguintes servios de funo estaro disponveis:
Network Policy Server. O NPS a implementao da Microsoft

de um servidor e proxy RADIUS. Ele pode ser utilizado para
gerenciar, de forma centralizada, o acesso rede por meio
de uma variedade de servidores de acesso rede, incluindo
pontos de acesso sem fio, servidores VPN (virtual private
networking) servidores de discagem e switches de
autenticao 802.1X. Alm disso, voc pode utilizar o NPS
para implantar a autenticao segura de senhas com o
protocolo PEAP (Protected Extensible Authentication
Protocol)-MS-CHAP v2 para conexes sem fio. O NPS tambm
contm componentes principais para a implantao do NAP na
rede.
As seguintes tecnologias podem ser implantadas aps a
instalao do servio de funo NPS:
o Servidor de diretiva NAP. Quando voc configura o NPS
como um servidor de diretiva NAP, o NPS avalia o SoH
(statements of health) enviado pelos computadores
clientes ativados para o NAP que desejam conectar-se
rede. Voc pode configurar diretivas NAP no NPS
que permitam que os computadores cliente atualizem
suas configuraes de forma que estejam de acordo com
a diretiva de rede de sua organizao.
o IEEE 802.11 Sem fio. Com a utilizao do snap-in do
MMC (Microsoft Management Console) NPS, voc pode
configurar diretivas de solicitao de conexo
baseadas na autenticao 802.1X para o acesso rede
cliente sem fio IEEE 802.11. Alm disso, voc pode
configurar pontos de acesso sem fio como clientes
RADIUS (Remote Authentication Dial-In User Service)
105
no NPS e utilizar o NPS como um servidor RADIUS para
processar solicitaes de conexo, bem como realizar
a autenticao, autorizao e registro de conexes
sem fio 802.11. possvel integrar totalmente o
acesso sem fio IEEE 802.11 com o NAP durante a
implantao de uma infra-estrutura de autenticao
sem fio 802.1X para que o status de integridade dos
clientes sem fio seja verificado diante da diretiva
de integridade antes que os clientes tenham permisso
para conectar-se rede.
o IEEE 802.3 Com fio. Com a utilizao do snap-in do
MMC NPS, voc pode configurar diretivas de
solicitao de conexo baseadas na autenticao
802,1X para o acesso rede Ethernet com fio IEEE
802.3. Voc pode configurar switches em conformidade
com o 802.1X como clientes RADIUS no NPS e utilizar o
NPS como um servidor RADIUS para processar
solicitaes de conexo, bem como realizar
autenticao, autorizao e registro de conexes
Ethernet 802.3. possvel integrar totalmente o
acesso cliente com fio IEEE 802.3 com o NAP durante a
implantao de uma infra-estrutura de autenticao
com fio 802.1X.
o Servidor RADIUS. O NPS realiza a autenticao de
conexo centralizada, a autorizao e o registro de
conexes VPN, discadas de acesso remoto e de switch
de autenticao. - Dvida Ao utilizar o NPS como um
servidor RADIUS, voc configura servidores de acesso
rede, tais como pontos de acesso sem fio e
servidores VPN, como clientes RADIUS no NPS. Voc
tambm pode configurar diretivas de rede utilizadas
pelo NPS para autorizar solicitaes de conexo, alm
de poder configurar o registro RADIUS para que os
logs do NPS registrem informaes nos arquivos de log
no disco rgido local ou em um banco de dados do
Microsoft SQL Server.
o Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS,
voc poder configurar diretivas de solicitao de
conexo que informem o servidor NPS quais
solicitaes de conexo devem ser encaminhadas a
outros servidores RADIUS e para quais servidores
RADIUS voc deseja encaminhar solicitaes de
conexo. O NPS tambm pode ser configurado para
encaminhar dados de registro a serem gravados por um
ou mais computadores em um grupo de servidores RADIUS
remotos.
Roteamento e Acesso Remoto. Com o Roteamento e Acesso
Remoto, voc pode implantar servios de acesso remoto,
servios de roteamento NAT de rede e multiprotocolos LAN-
to-LAN e LAN-to-WAN. (Dvida)
106
As seguintes tecnologias podem ser implantadas durante a
instalao do servio de funo de Roteamento e Acesso Remoto:
o Servio de Acesso Remoto. Com o Roteamento e Acesso
Remoto, voc pode implantar o PPTP (Point-to-Point
Tunneling Protocol) ou o L2TP (Layer Two Tunneling
Protocol) com conexes VPN IPsec (Internet Protocol
security) a fim de fornecer aos usurios finais o
acesso remoto rede de sua organizao. Voc tambm
pode criar uma conexo VPN de site para site entre
dois servidores em diferentes locais. Cada servidor
configurado com o Roteamento e Acesso Remoto para
enviar dados particulares de forma segura. A conexo
entre os dois servidores pode ser persistente (sempre
ativada) ou sob demanda (discagem sob demanda).
O Acesso Remoto tambm fornece acesso remoto
tradicional para dar suporte a usurios mveis ou
domsticos que se conectam a intranets de uma
organizao. O equipamento dial-up instalado no
servidor que executa o Roteamento e Acesso Remoto
responde solicitaes de conexes de entrada a partir
de clientes de rede dial-up. O servidor de acesso
remoto responde chamada, autentica e autoriza o
chamador e transfere os dados entre o cliente de rede
dial-up e a intranet da organizao.
o Roteamento. O roteamento fornece um roteador de
software com diversos recursos e uma plataforma
aberta para o roteamento e o uso da Internet. Alm
disso, ele oferece servios de roteamento aos
negcios em ambientes LAN (local area network) e WAN
(wide area network).
Ao implantar o NAT, o servidor que executa o
Roteamento e Acesso Remoto configurado para
compartilhar uma conexo da Internet com os
computadores de uma rede privada e traduzir o trfego
entre seu endereo pblico e a rede privada.
Utilizando o NAT, os computadores na rede privada
obtm alguma medida de proteo, pois o roteador com
o NAT configurado no encaminha o trfego a partir da
Internet para a rede privada, a menos que um cliente
de rede privada tenha solicitado ou que o trfego
esteja explicitamente permitido.
Ao implantar a VPN e o NAT, o servidor que executa o
Roteamento e Acesso Remoto configurado para
fornecer o NAT para a rede privada e para aceitar
conexes VPN. Os computadores na Internet no podero
determinar os endereos IP dos computadores na rede
privada. Entretanto, os clientes VPN podero
conectar-se aos computadores na rede privada, como se
estivessem fisicamente ligados mesma rede.
107
Health Registration Authority (HRA). O HRA um componente
NAP que emite certificados de integridade a clientes que
passam pela verificao de diretiva de integridade
realizada pelo NPS utilizando o SoH cliente. O HRA
utilizado somente quando o mtodo de reforo NAP um
reforo do IPsec.
Host Credential Authorization Protocol (HCAP). O HCAP
permite que voc integre sua soluo Microsoft NAP ao Cisco
Network Access Control Server. Ao implantar o HCAP com o
NPS e o NAP, o NPS pode realizar a avaliao de integridade
do cliente e a autorizao dos clientes de aceso Cisco
802.1X.
Gerenciando a Funo de Network Policy Server
and Access Services
As seguintes ferramentas so fornecidas para gerenciar a funo
de Network Policy Server and Access Services:
Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um
servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP.
Comandos Netsh para o NPS. Os comandos Netsh para o NPS
fornecem um conjunto de comandos equivalentes a todas as
configuraes disponveis por meio do snap-in MMC NPS. Os
comandos Netsh podem ser executados manualmente no prompt
Netsh ou em scripts do administrador.
Snap-in MMC HRA Utilize o MMC HRA para designar a CA
(certification authority - autoridade de certificao)
utilizada pelo HRA para obter certificados de integridade
para computadores cliente e para definir o servidor NPS ao
qual o HRA enviar SoHs cliente para verificao mediante a
diretiva de integridade.
Comandos Netsh para o HRA. Os comandos Netsh para o HRA
configuraes disponveis por meio do snap-in MMC HRA. Os
Netsh ou em scripts autorizados pelo administrador.
Snap-in MMC NAP Client Management. Voc pode utilizar o
snap-in NAP Client Management para definir configuraes de
segurana e de interface de usurio em computadores cliente
com suporte para a arquitetura NAP.
Comandos Netsh para definir configuraes de cliente NAP.
Os comandos Netsh para as configuraes de cliente NAP
configuraes disponveis por meio do snap-in MMC NAP. Os
Netsh ou em scripts autorizados pelo administrador.
Snap-in MMC Routing and Remote Access. Utilize este snap-in
MMC para configurar um servidor VPN, um servidor de rede
108
dial-up, um roteador, um conexo site-site VPN, VPN e NAT
ou NAT.
Comandos Netsh para acesso remoto (RAS). Os comandos Netsh
para o acesso remoto fornecem um conjunto de comandos
equivalentes a todas as configuraes de acesso remoto
disponveis por meio do snap-in Roteamento e Acesso Remoto.
Os comandos Netsh podem ser executados manualmente no
prompt Netsh ou em scripts do administrador.
Comandos Netsh para roteamento. Os comandos Netsh para o
roteamento fornecem um conjunto de comandos equivalentes a
todas as configuraes de acesso remoto disponveis por
meio do snap-in de Roteamento e Acesso Remoto. Os comandos
Netsh podem ser executados manualmente no prompt Netsh ou
em scripts do administrador.
Wireless Network (IEEE 802.11) Policies snap-in (MMC)
Group Policy Object Editor. A extenso Wireless Network
(IEEE 802.11) Policies automatiza a definio das
configuraes de rede sem fio em computadores com unidades
de adaptador de rede sem fio com suporte ao WLAN Autoconfig
Service (Wireless LAN Autoconfiguration Service - servio
de configurao automtica de LAN sem fio). Voc pode
utilizar a extenso Wireless Network (IEEE 802.11) Policies
no Group Policy Object Editor para especificar as
configuraes para clientes sem fio Windows XP e Windows
Vista. As extenses Wireless Network (IEEE 802.11) Policies
Group Policy incluem configuraes globais sem fio, a lista
de redes preferidas, as configuraes WPA (Wi-Fi Protected
Access), alm das configuraes IEEE 802.1X.
Quando essas configuraes so definidas, o download delas
feito para os clientes sem fio do Windows que so membros
do domnio. As configuraes sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group Policy
(Diretiva de Grupo de Configurao de Computador. Por
padro, a extenso Wireless Network (IEEE 802,11) Policies
no configurada ou ativada.
Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN uma
alternativa para utilizar a Diretiva de Grupo para
configurar a conectividade sem fio e as configuraes de
segurana do Windows Vista. Voc pode utilizar os comandos
Netsh wlan para configurar o computador local ou para
configurar mltiplos computadores que utilizem um script de
logon. Alm disso, possvel utilizar os comandos Netsh
wlan para visualizar as configuraes de Diretiva de Grupo
e administrar as configuraes do WISP (Wireless Internet
Service Provider) e as configuraes sem fio de usurio.
A interface Netsh sem fio fornece os seguintes benefcios:
o Suporte para o modo misto. Isso permite que os
administradores configurem clientes para dar suporte
109
s mltiplas opes de segurana. Por exemplo, um
cliente pode ser configurado para os padres de
autenticao WPA2 e WPA. Isso permite que o cliente
utilize o WPA2 para conectar-se s redes com suporte
ao WPA2 e utilize o WPA para conectar-se s redes com
suporte apenas ao WPA.
o Bloqueio de redes no desejadas. Os administradores
podem bloquear e ocultar o acesso s redes sem fio
no-corporativas, adicionando redes ou tipos de redes
lista de redes negadas. De forma semelhante,
possvel permitir o acesso s redes sem fio
corporativas.
Wireless Network (IEEE 802.3) Policies snap-in (MMC)
Group Policy Object Editor. Voc pode utilizar o Wired
Network (IEEE 802.3) Policies para especificar e modificar
as configuraes para os clientes do Windows Vista que
possuem adaptadores e unidades de rede com suporte ao Wired
AutoConfig Service. As extenses Wireless Network (IEEE
802.11) Policies Group Policy incluem configuraes globais
com fio e IEEE 802.1X. Essas configuraes incluem o
conjunto completo de itens de configurao com fio
associados s guias Geral e Segurana.
Quando essas configuraes so definidas, o download delas
feito para os clientes sem fio do Windows que so membros
do domnio. As configuraes sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group
Policy. Por padro, a extenso Wired Network (IEEE 802.3)
Policies no configurada ou ativada.
Comandos Netsh para a LAN. A interface Netsh LAN uma
alternativa para utilizar a Diretiva de Grupo no Windows
Server Longhorn a fim de configurar as configuraes de
segurana e a conectividade com fio do Windows Vista. Voc
pode utilizar a linha de comando Netsh LAN para configurar
o computador local ou utilizar os comandos em scripts de
logon para configurar mltiplos computadores. Alm disso,
possvel utilizar os comandos Netsh LAN para visualizar a
Wired Network (IEEE 802.3) Policies e administrar as
configuraes 1x com fio do cliente.
Recursos Adicionais
Para saber mais sobre os Servios de Acesso e Diretiva de Rede,
abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de
exibir a Ajuda:
Snap-in MMC NPS
Snap-in MMC Routing and Remote Access.
Snap-in MMC HRA
Snap-in MMC Group Policy Object Editor
110

5.03 Proteo contra Acesso Rede

Um dos maiores desafios encontrados nos negcios dos dias de hoje
a exposio crescente dos dispositivos de clientes a softwares
maliciosos, como vrus e worms. Esses programas podem obter a
entrada a sistemas de host configurados de forma incorreta ou
sistemas desprotegidos e podem utilizar esses sistemas como um
ponto inicial para se propagarem em outros dispositivos na rede
corporativa. Os administradores de rede podem utilizar a plataforma
NAP para melhor proteger suas redes, ajudando a garantir que os
sistemas cliente mantenham as atualizaes de software e as
configuraes de sistema apropriadas para proteg-los contra
softwares maliciosos.
O NAP (Network Access Protection) um novo conjunto de componentes
de sistema operacional includo no Windows Server Longhorn e no
Windows Vista que fornece uma plataforma que ajuda a garantir que
os computadores clientes em uma rede corporativa atendam aos
requisitos quanto integridade do sistema definidos pelo
administrador. As diretivas NAP definem a configurao e o status
de atualizao exigidos para o sistema operacional e o software
principal do computador de um cliente. Por exemplo, pode ser
exigido que os computadores possuam um software antivrus com as
mais recentes assinaturas instaladas, com as atualizaes
instaladas no sistema operacional atual e com um firewall baseado
em host ativado. Reforando o cumprimento desses requisitos de
integridade, o NAP pode ajudar os administradores de rede na
diminuio de alguns riscos causados por computadores cliente
configurados de forma imprpria que podem ser expostos a vrus e a
outros softwares maliciosos.
O NAP refora os requisitos de integridade, monitorando e avaliando
o funcionamento dos computadores cliente quando estes tentam
conectar-se rede ou comunicar-se com ela. Caso seja determinado
que os computadores cliente no estejam em conformidade com os
requisitos de integridade, eles podero ser colocados em uma rede
restrita que contenha os recursos para dar assistncia na
remediao de sistemas de clientes de forma que eles possam estar
em conformidade com as diretivas de integridade.
Os administradores de sistemas e de rede que desejam reforar os
requisitos de integridade do sistema para computadores cliente que
se conectam s redes suportadas por eles tero interesse em
utilizar o NAP. Com o NAP, os administradores de rede podero:
Garantir a integridade dos computadores desktop na LAN, ou
que esto configurados para o DHCP, ou que se conectam por
meio de dispositivos de autenticao 802.1X, ou ainda que
possuam diretivas IPsec NAP aplicadas em suas comunicaes.
111
Reforar os requisitos de integridade para laptops mveis
quando estes forem conectados novamente na rede da empresa.
Verificar a integridade e a conformidade de diretivas dos
computadores domsticos no-gerenciados que se conectam
rede da empresa por meio de um servidor VPN que executa o
Roteamento e Acesso Remoto.
Determinar a integridade e restringir o acesso dos laptops
trazidos para uma organizao pelos visitantes e parceiros.
Dependendo de suas necessidades, os administradores podem
configurar uma soluo para lidar com qualquer um desses cenrios.
O NAP tambm inclui um conjunto API para desenvolvedores e
fornecedores para que estes possam criar seus prprios componentes
para validao de diretivas de rede, para a conformidade contnua e
o isolamento de rede.
As implantaes do NAP exigem servidores que executem o Windows
Server Longhorn. Alm disso, so exigidos computadores cliente
que executem o Windows Vista, o Windows Server Longhorn ou o
Windows XP com SP2 e o Network Access Protection Client para
Windows XP. O servidor central que realiza a anlise de
determinao da integridade para o NAP um computador que executa
o Windows Server Longhorn e o NPS. O NPS a implementao do
Windows de um servidor e proxy RADIUS. O NPS o substituto do IAS
(Internet Authentication Service) no Windows Server 2003. Os
dispositivos de acesso e os servidores NAP atuam como clientes
RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a
autenticao e a autorizao de uma tentativa de conexo rede e,
com base nas diretivas de integridade do sistema, determina a
conformidade da integridade do computador e tambm como limitar o
acesso rede de um computador que no est em conformidade com as
diretivas.
A plataforma NAP uma nova tecnologia de reforo e validao de
integridade do cliente includa nos sistemas operacionais Windows
Server Longhorn e Windows Vista.
Nota
O framework do NAP no o mesmo do Network Access Quarantine
Control, o qual um recurso fornecido com o Windows Server 2003 e
o ISA Server 2004. O Network Access Quarantine Control pode
fornecer proteo adicional para conexes de acesso remoto (dial-up
e VPN). Para mais informaes sobre o Network Access Quarantine
Control no Windows Server 2003, veja Network Access Quarantine
Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447).
Para mais informaes sobre esse recurso no ISA Server 2004, veja
Clientes Mveis VPN e Quarantine Control no ISA Server 2004
Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).

112
Principais Processos do NAP
Diversos processos importantes so exigidos para que o NAP funcione
de forma apropriada: a validao de diretivas, o reforo NAP e a
restrio de rede, a remediao e o monitoramento contnuo para
garantir a conformidade.
Validao de Diretivas
Os SHVs (System health validators validadores de integridade do
sistema) so utilizados pelo NPS para analisar o status de
integridade dos computadores cliente. OS SHVs so incorporados s
diretivas de rede que determinam as aes a serem realizadas com
base no status da integridade do cliente, como conceder acesso
total rede ou restringir o acesso rede. O status da
integridade monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents agentes de
integridade do sistema). O NAP utiliza os SHAs e os SHVs para
monitorar, reforar e remediar configuraes de computadores
cliente.
O Windows Security Health Agent e o Windows Security Health
Validator esto includos nos sistemas operacionais Windows Server
Longhorn e Windows Vista e reforam as seguintes configuraes
para computadores ativados para o NAP:
O computador cliente deve possuir software de firewall
instalado e ativado.
O computador cliente deve possuir software antivrus
instalado e em execuo.
O computador cliente deve possuir atualizaes de antivrus
atuais instaladas.
O computador cliente deve possuir software anti-spyware
instalado e em execuo.
O computador cliente deve possuir atualizaes de anti-
spywares atuais instaladas.
O Microsoft Update Services deve estar ativado no computador
cliente.
Alm disso, se computadores clientes ativados para o NAP estiverem
executando o Windows Update Agent e estiverem registrados com um
servidor WSUS (Windows Server Update Service), o NAP poder
verificar se a maioria das atualizaes de segurana de software
est instalada, com base em um dos quatro valores possveis que
correspondem classificao de severidade de segurana do
MSRC(Microsoft Security Response Center).
Reforo do NAP e Restrio de Rede
O NAP pode ser configurado para negar o acesso rede para
computadores cliente em no-conformidade e permitir que esses
computadores acessem somente uma rede restrita. Uma rede restrita
113
deve conter os servios NAP principais, como os servidores HRA e os
servidores de remediao, para que clientes NAP em no-conformidade
possam atualizar suas configuraes e estar em conformidade com os
requisitos de integridade.
As configuraes de reforo NAP permitem que voc limite o acesso
rede de clientes em no-conformidade ou apenas observe e registre o
status de integridade de computadores cliente ativados para o NAP.
Voc pode optar por restringir o acesso, adiar a restrio de
acesso ou ainda permitir o acesso por meio da utilizao das
seguintes configuraes:
Do not enforce (No aplicar). Esta a configurao padro.
Os clientes que atendem s condies de diretiva so
considerados como estando em conformidade com os requisitos
de integridade de rede e a eles concedido acesso irrestrito
rede caso a solicitao de conexo seja autenticada e
autorizada. O status de conformidade de integridade dos
computadores cliente ativados para o NAP registrado.
Enforce (Aplicar). Os computadores cliente que atendem s
condies de diretivas so considerados como no estando em
conformidade com os requisitos de integridade de rede. Esses
computadores so colocados na rede restrita.
Defer enforcement (Adiar aplicao). Os clientes que atendem
s condies de diretivas recebem, temporariamente, acesso
irrestrito. O NAP adiado at a data e o horrio
especificados.
Remediao
Os computadores cliente no-conformes que so colocados em uma rede
restrita podem ser submetidos remediao. Remediao o
processo de atualizar um computador cliente de forma que ele passe
a atender aos requisitos atuais de integridade. Por exemplo, uma
rede restrita pode conter um servidor FTP (File Transfer Protocol)
que fornece assinaturas atuais de vrus de forma que os
computadores cliente em no-conformidade possam atualizar suas
assinaturas.
possvel utilizar as configuraes do NAP nas diretivas de
integridade NPS para configurar a remediao automtica, de forma
que os componentes do cliente NAP tentem, automaticamente,
atualizar o computador cliente quando este estiver em no-
conformidade com os requisitos de integridade de rede. Voc pode
utilizar a seguinte configurao de diretiva para configurar a
remediao automtica:
Atualizaes de computador. Se a opo Update noncompliant
computers automatically estiver selecionada, a remediao
automtica estar ativada, e os computadores ativados para o
que no estiverem em conformidade com os requisitos de
integridade tentaro, automaticamente, fazer a atualizao.
114
Monitoramento Contnuo para Garantir a Conformidade
O NAP pode reforar a conformidade da integridade em computadores
cliente em conformidade que j estejam conectados rede. Esta
funcionalidade muito til para garantir que uma rede esteja
protegida em uma base continua conforme vo ocorrendo mudanas nas
diretivas de integridade e nos computadores cliente. Por exemplo,
se a diretiva de integridade exigir que o Windows Firewall esteja
ativado, e um usurio, inadvertidamente, desabilit-lo, o NAP
poder determinar se o computador cliente est em um estado de no-
conformidade. O NAP ir ento colocar o computador cliente na rede
restrita at que o Windows Firewall seja ativado novamente.
Se a remediao automtica estiver ativada, os componentes do
cliente NAP podero ativar automaticamente o Firewall do Windows
sem a interveno do usurio.
Mtodos de Reforo NAP
Baseado no estado de funcionamento de um computador cliente, o NAP
pode permitir o acesso total rede, limitar o acesso a uma rede
restrita ou negar o acesso rede. Os computadores cliente que so
determinados como estando em no-conformidade com as diretivas de
integridade tambm podem ser automaticamente atualizados a fim de
atender a esses requisitos. A forma com que o NAP reforado
depende no mtodo de reforo escolhido. O NAP refora as diretivas
de integridade para:
O trfego protegido pelo IPsec
O controle de acesso rede com e sem fio baseado na porta
802.1X
A VPN com o Routing and Remote Access
O lease e a renovao de endereos IPv4 DHCP
As sees a seguir descrevem esses mtodos de reforo.
Reforo NAP para Comunicaes IPsec
O reforo NAP para o trfego protegido pelo IPsec implantado com
um servidor de certificado de integridade, um servidor HRA, um
servidor NPS e um cliente de reforo IPsec. O servidor de
certificado de integridade emite certificados X.509 aos clientes
NAP quando determinado que esses clientes esto em conformidade
com os requisitos de integridade de rede. Ento, esses
certificados so utilizados para autenticar clientes NAP quando
estes iniciam comunicaes protegidas pelo IPsec com outros
clientes NAP em uma intranet.
O reforo IPsec limita a comunicao em sua rede aos clientes em
conformidade e fornece a forma mais forte do reforo NAP. Como
esse mtodo de reforo utiliza o IPsec, possvel definir
requisitos para comunicaes protegidas em uma base por endereo IP
ou por nmero de porta TCP/UDP.
115
Reforo NAP para 802.1X
O reforo NAP para o controle de acesso rede baseado na porta
802.1X implantado com um servidor NPS e um componente cliente de
reforo EAPHost. Com o reforo baseado na porta 802.1X, um
servidor NPS ordena que um switch de autenticao 802.1X ou um
ponto de acesso sem fio em conformidade com o 802.1X coloque
clientes 802.1X em no-conformidade em uma rede restrita. O
servidor NPS limita o acesso rede do cliente rede restrita,
ordenando que o ponto de acesso aplique filtros IP ou um
identificador de LAN conexo. O reforo 802.1X fornece forte
restrio de rede para todos os computadores que acessam a rede por
meio de dispositivos de acesso rede ativados para 802.1X.
Reforo NAP para VPN
O reforo NAP para VPN implantado com um componente de servidor
de reforo VPN e um componente cliente de reforo VPN. Com o
reforo NAP para VPN, os servidores VPN podero reforar a diretiva
de integridade quando computadores clientes tentarem conectar-se
rede utilizando uma conexo VPN de acesso remoto. O reforo VPN
fornece forte acesso limitado rede para todos os computadores que
acessam a rede por meio de uma conexo VPN de acesso remoto.
Reforo NAP para DHCP
O reforo DHCP implantado com um componente de servidor de
reforo NAP DHCP, um componente cliente de reforo DHCP e o NPS.
Utilizando o reforo DHCP, os servidores DHCP e o NPS podero
reforar a diretiva de integridade quando um computador tentar
obter ou renovar um endereo IPv4. O servidor NPS limita o acesso
rede do cliente rede restrita, ordenando que o servidor DHCP
atribua uma configurao limitada de endereo IP. Entretanto, se
os computadores cliente estiverem configurados para tirar vantagem
(circumvent) da configurao de endereo IP, o DHCP no ser
eficiente.
Abordagens Combinadas
Cada um desses mtodos de reforo NAP possui diferentes vantagens.
Combinando os mtodos de reforo, ser possvel combinar as
vantagens desses mtodos. Entretanto, ao implantar mltiplos
mtodos de reforo NAP, voc poder fazer com que sua implementao
NAP seja mais complexa de ser gerenciada.
O framework do NAP tambm fornece um conjunto de APIs que permite
que outras empresas que no sejam a Microsoft integrem seus
softwares com a NAP. Utilizando as APIs do NAP, fornecedores e
desenvolvedores de software podero fornecer solues de fim a fim
que validem o funcionamento e faam a remediao de clientes em
no-conformidade.
Implantao
116
Os preparativos necessrios para a implantao do NAP dependem do
mtodo (ou mtodos) de reforo escolhido e dos requisitos de
integridade que se pretende reforar quando os computadores cliente
tentam conectar-se rede ou comunicar-se com ela.
Se voc for um administrador de sistemas ou de rede, ser possvel
implantar o NAP com o Windows Security Health Agent e o Windows
Security Health Validator. Voc tambm poder verificar com outros
fornecedores de software se eles possuem SHAs e SHVs para seus
produtos. Por exemplo, se um fornecedor de software antivrus
desejar criar uma soluo NAP que inclua um SHA e um SHV
personalizado, ele poder utilizar um conjunto de APIs para criar
esses componentes, os quais podero ser integrados com as solues
NAP implantadas pelos clientes desse fornecedor.
Alm dos SHAs e SHVs, a plataforma NAP utilize mltiplos
componentes de servidor e cliente para detectar e monitorar o
status da integridade do sistema dos computadores cliente quando
estes tentam conectar-se rede ou comunicar-se com ela. Na figura
abaixo, so ilustrados alguns componentes comuns utilizados na
implantao do NAP:

117
Componentes do Cliente NAP
Um cliente ativado para o NAP um computador que possui os
componentes NAP instalados e que pode verificar seu estado de
funcionamento, enviando uma lista de SoH (statements of health) ao
NPS. A seguir, esto os componentes do cliente NAP comuns:
Agente de integridade do sistema. Um SHA monitora e relata o estado
de funcionamento do computador cliente de forma que o NPS possa
determinar se as configuraes monitoradas pelo SHA esto
atualizadas e configuradas corretamente. Por exemplo, o Microsoft
SHA pode monitorar o Firewall do Windows; se um software antivrus
estiver instalado, ativado e atualizado; se h softwares anti-
spyware instalado, ativado e atualizado e se o Microsoft Update
Services est ativado e o computador possui suas mais recentes
atualizaes. Tambm pode haver SHAs disponveis em outras empresas
que fornecem funcionalidades adicionais.
NAP Agent (Agente NAP). O agente NAP coleta e gerencia informaes
de funcionamento. O agente NAP tambm processa o SoH a partir dos
SHAs e relata o funcionamento do cliente aos clientes de reforo
instalados. Para indicar o estado completo de um cliente NAP, o
agente NAP utiliza uma lista de SoH.
NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um
NAP EC (NAP enforcement client) deve estar instalado e ativado nos
computadores cliente. NAP EC individuais so especficos ao mtodo,
conforme descrito anteriormente. Os clientes de reforo NAP
integram-se com tecnologias de acesso rede, como IPsec, o
controle de acesso rede com e sem fio baseado em porta 802.1X,
VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforo
NAP solicita acesso rede, informa o status do funcionamento de um
computador cliente ao servidor NPS e informa o status restrito do
computador cliente aos outros componentes da arquitetura NAP.
SoH (Statement of health). Um SoH uma declarao de um SHA que
afirma seu status de funcionamento. Os SHAs criam SoHs, os quais
so enviados ao agente NAP.
Componentes de Servidor NAP
A seguir, esto os componentes de servidor NAP comuns:
Diretivas de funcionamento. As diretivas NPS definem os requisitos
de integridade e as configuraes de reforo para os computadores
cliente que solicitam acesso rede. O NPS processa as mensagens de
Solicitao de Acesso RADIUS (RADIUS Access-Request) que contm a
lista de SoH enviada pelo NAP EC e passa essas mensagens para o
servidor de administrao NAP.
Servidor de administrao NAP. O componente de servidor de
administrao NAP fornece uma funo de processamento parecida com
o agente NAP no lado do cliente. Ele recebe a lista de SoH do
servidor de reforo NAP por meio do NPS e distribui cada SoH para o
SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos
118
SHVs e envia essas respostas ao NPS para que este faa uma
avaliao.
SHVs (System health validators - validadores de integridade do
sistema). Os SHVs so cpias de software de servidor para os SHAs.
Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs
verificam o SoH feito por seu SHA correspondente no computador
cliente.
Os SHAs e os SHVs so associados um ao outro, juntamente com um
servidor de diretivas correspondente (se exigido) e, talvez, a um
servidor de remediao.
Um SHV tambm pode detectar que nenhum SoH foi recebido (por
exemplo, se o SHA nunca tiver sido instalado, se tiver sido
danificado ou removido). Se o SoH atender ou no diretiva
definida, o SHV enviar uma mensagem SoHR (statement of health
response - declarao de resposta de integridade) para o servidor
de administrao NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o
servidor NPS dever coordenar a sada de todos os SHVs e determinar
se deve ser limitado o acesso de um computador em no-conformidade.
Isso exige um planejamento cuidadoso ao definir diretivas de
integridade para o seu ambiente e avaliar na diferente forma com
que os SHVs interagem.
NAP enforcement server (servidor de reforo NAP). O NAP ES
associado a um NAP EC correspondente para o mtodo de reforo NAP
que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,
passando-os para que o NPS faa uma avaliao. Com base na
resposta, fornecido acesso limitado ou ilimitado rede para o
cliente ativado para o NAP. Dependendo do tipo de reforo NAP, o
NAP ES pode ser uma autoridade de certificao (reforo IPsec), um
switch de autenticao ou um ponto de acesso sem fio (reforo
802.1x), um servidor Roteamento e Acesso Remoto(reforo VPN) ou um
servidor DHCP (reforo DHCP).
Servidor de diretivas. Um servidor de diretivas um componente de
software que se comunica com um SHV a fim de fornecer as
informaes utilizadas na avaliao dos requisitos para a
integridade do sistema. Por exemplo, um servidor de diretivas, como
um servidor de assinaturas antivrus, pode fornecer a verso do
arquivo atual de assinaturas para a validao de um SoH antivrus
cliente. Os servidores de diretivas so associados aos SHVs, mas
nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um
SHV pode simplesmente ordenar que clientes ativados para o NAP
verifiquem as configuraes locais de sistema a fim de assegurar
que um firewall baseado em host esteja ativado.
Servidor de remediao. Um servidor de remediao hospeda as
atualizaes que podem ser utilizadas pelos SHAs para fazer com que
computadores cliente em no-conformidade passem a estar em
conformidade. Por exemplo, um servidor de remediao pode hospedar
atualizaes de software. Se a diretiva de integridade exigir que
119
os computadores cliente NAP possuam as mais recentes atualizaes
de software instaladas, o NAP EC ir restringir o acesso rede dos
clientes que no possurem essas atualizaes. Os servidores de
remediao devem estar acessveis aos clientes com acesso restrito
rede para que os clientes obtenham as atualizaes exigidas para
que estejam em conformidade com as diretivas de integridade.
SoHR (Statement of health response). Depois que o SoH cliente for
avaliado mediante a diretiva de integridade pelo SHV apropriado, um
SoHR ser gerado, contendo os resultados da avaliao. O SoHR
inverte o caminho do SoH e enviado de volta ao SHA do computador
cliente. Se o computador cliente for considerado como estando em
no-conformidade, o SoHR ir conter as instrues de remediao
utilizadas pelo SHA para fazer com que a configurao do computador
cliente esteja em conformidade com os requisitos de integridade.
Assim como cada tipo de SoH contm diferentes tipos de informaes
sobre o status do funcionamento do sistema, cada mensagem SoHR
contm as informaes sobre como estar em conformidade com os
requisitos de integridade.
Informaes Adicionais
Para mais informaes sobre o NAP, acesse o site sobre Network
Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).

120
5.04 Protocolos TCP/IP e Componentes de Rede de
ltima Gerao

A rede e as comunicaes so muito importantes para que as
organizaes consigam superar o desafio da grande competio no
mercado global. Os funcionrios precisam conectar-se rede onde
quer que eles estejam e a partir de qualquer dispositivo.
Parceiros, fornecedores e outras pessoas fora da rede precisam
interagir, de forma eficiente, com os recursos principais. Alm
disso, segurana um fator mais importante do que nunca.
A seguir, teremos uma viso geral tcnica sobre as melhorias de
comunicao e rede TCP/IP encontradas no Microsoft Windows Server
Longhorn e Windows Vista para lidar com questes de
conectividade, facilidade de uso, gerenciamento, confiabilidade e
segurana. Com o Windows Server Longhorn e o Windows Vista, os
administradores de TI possuem mais opes flexveis para
gerenciar a infra-estrutura de rede, rotear o trfego de rede de
forma eficiente e implantar cenrios de trfego protegido.
O Windows Server Longhorn e o Windows Vista incluem muitas
alteraes e melhorias para os seguintes protocolos e componentes
centrais de rede:
Pilha TCP/IP de ltima gerao
Melhorias no IPv6
QoS (Quality of Service) baseada em diretivas para redes
corporativas.
Pilha TCP/IP de ltima Gerao
O Windows Server Longhorn e o Windows Vista incluem uma nova
implementao da pilha do protocolo TCP/IP, conhecida como a
Pilha TCP/IP de ltima gerao. A Pilha TCP/IP de ltima gerao
um design completamente reformulado da funcionalidade do TCP/IP
tanto para o IPv4 (Internet Protocol version 4) quanto para o
IPv6 (Internet Protocol version 6) que atende s necessidades de
desempenho e conectividade dos diversos ambientes e tecnologias
de rede dos dias de hoje.
Os seguintes recursos so novos ou aprimorados:
Receive Window Auto-Tuning
Compound TCP
Melhorias para ambientes de alto ndice de perda
Neighbor Un-reach-ability Detection for IPv4
Alteraes na deteco de gateways inativos
Alteraes na deteco de roteadores de buraco negro PMTU
Compartimentos de Roteamento
121
Suporte ao Network Diagnostics Framework
Windows Filtering Platform
Explicit Congestion Notification
Receive Window Auto-Tuning
O tamanho da janela de recebimento TCP (TCP receive window size)
a quantidade de bytes em um buffer de memria em um host de
recebimento utilizada para armazenar dados de entrada em uma
conexo TCP. Para determinar corretamente o valor do tamanho
mximo da janela de recebimento para uma conexo com base nas
condies atuais da rede, a Pilha TCP/IP de ltima gerao d
suporte ao Receive Window Auto-Tuning. O Receive Window Auto-
Tuning determina o tamanho da janela de recebimento ideal por
conexo, calculando o produto do atraso da largura de banda (a
largura de banda multiplicada pela latncia da conexo) e o
ndice de recuperao do aplicativo. Depois, o tamanho mximo da
janela de recebimento ajustado em uma base regular.
Com maior velocidade do processamento entre os pontos TCP, a
utilizao da largura de banda de rede aumenta durante a
transferncia de dados. Se todos os aplicativos forem otimizados
para receber dados TCP, a utilizao total da rede poder
aumentar de forma significativa.
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a
velocidade do processamento do receptor, o CTCP (Compound TCP) na
Pilha TCP/IP de ltima gerao otimiza a velocidade do
processamento do emissor. Trabalhando juntos, eles podem aumentar
a utilizao de links e produzir ganhos substanciais de
desempenho para grandes conexes de produto de atraso de largura
de banda.
O CTCP utilizado para conexes TCP com um grande tamanho de
janela de recebimento e um grande produto de atraso de largura de
banda (a largura de banda de uma conexo multiplicada pelo seu
atraso). Ele aumenta, de forma significativa, a quantidade de
dados enviados por vez e ajuda a garantir que seu comportamento
no cause impactos negativos em outras conexes TCP.
Por exemplo, em testes realizados internamente na Microsoft, os
horrios de backup para arquivos extensos foram reduzidos em
quase metade para uma conexo de 1 gigabit por segundo com um RTT
(round-trip time) de 50 milsimos de segundo. Conexes com um
produto de atraso de largura de banda maior podem ter um melhor
desempenho.
Melhorias para Ambientes de Alto ndice de Perda
A Pilha TCP/IP de ltima gerao tem suporte para as seguintes
RFCs (Request for Comments) a fim de otimizar a velocidade do
processamento em ambientes alto ndice de perda:
122
RFC 2582: Modificao NewReno para o Algoritmo de
Recuperao Rpida do TCP
Quando mltiplos segmentos em uma janela de dados forem
perdidos, e o emissor receber uma confirmao parcial
informando que os dados foram recebidos, o algoritmo NewReno
fornecer uma maior velocidade do processamento, alterando a
forma com que um emissor pode aumentar sua taxa de envio.
RFC 2883: Uma Extenso Opo SACK (Selective
Acknowledgement) para TCP
O SACK, definido na RFC 2018, permite que um receptor indique
at quatro blocos no-contguos de dados recebidos. A RFC 2883
define uma utilizao adicional da opo SACK TCP para
reconhecer pacotes duplicados. Isso permite que o receptor do
segmento TCP que contm a opo SACK determine quando um
segmento foi retransmitido desnecessariamente e ajuste o
comportamento para evitar futuras retransmisses. Reduzir o
nmero de retransmisses enviadas melhora a velocidade do
processamento.
RFC 3517: Um Algoritmo de Recuperao de Perdas Baseado no
SACK (Selective Acknowledgment) Conservador para TCP
Considerando que o Windows Server 2003 e o Windows XP utilizam
as informaes do SACK somente para determinar quais segmentos
TCP no chegaram no destino, a RFC 3517 define um mtodo de
utilizar as informaes do SACK para realizar a recuperao de
perda quando confirmaes duplicadas tiverem sido recebidas e
substitui o algoritmo de recuperao rpida quando o SACK
estiver ativado em uma conexo. A Pilha TCP/IP de ltima
gerao controla as informaes do SACK em uma base por
conexo e monitora as confirmaes de entrada a fim fazer a
recuperao mais rapidamente quando segmentos no forem
recebidos no destino.
RFC 4138: Recuperao F-RTO (Forward RTO): Um Algoritmo
para a Deteco de Falsos Timeouts de Retransmisso com o
TCP e o SCTP (Stream Control Transmission Protocol)
O algoritmo F-RTO (Forward-Retransmission Timeout) evita a
retransmisso desnecessria de segmentos TCP. Retransmisses
desnecessrias de segmentos TCP podem ocorrer quando houver um
aumento repentino ou temporrio no RTT (round-trip time). O
resultado do algoritmo F-RTO indicado para ambientes com
aumentos repentinos ou temporrios no RTT, como quando um
cliente sem fio passa de um ponto de acesso sem fio (AP -
access point) para outro. O F-RTO evita a retransmisso
desnecessria de segmentos e retorna mais rapidamente a sua
taxa de envio normal.
Neighbor Un-reach-ability Detection for IPv4
O Neighbor Un-reach-ability Detection um recurso do IPv6 no
qual um n mantm o status informando se um n vizinho pode ser
123
alcanado, fornecendo melhor deteco e recuperao de erros
quando os ns, repentinamente, ficarem indisponveis. A Pilha
TCP/IP de ltima gerao tambm d suporte ao trfego do Neighbor
Un-reach-ability Detection for IPv4, por meio do controle do
estado alcanvel dos ns IPv4 no cache de rota do IPv4. O
Neighbor Un-reach-ability Detection for IPv4 determina a
capacidade de alcance por meio de uma troca de mensagens ARP
Reply e ARP (Address Resolution Protocol) Request ou por meio da
relao de confiana em protocolos de camada superior, como o
TCP.
Alteraes na deteco de gateways inativos
A deteco de gateways inativos no TCP/IP para o Windows Server
2003 e o Windows XP fornece uma funo de failover, mas no uma
funo de failback, na qual um gateway inativo testado
novamente a fim de determinar se ele se tornou disponvel. A
Pilha TCP/IP de ltima gerao fornece failback para gateways
inativos, tentando periodicamente enviar o trfego TCP,
utilizando o gateway inativo detectado anteriormente. Se o
trfego IP enviado por meio do gateway inativo obtiver sucesso, a
Pilha TCP/IP de ltima gerao ir alternar do gateway padro
para o gateway inativo detectado anteriormente. O suporte ao
failback para os gateways padro primrios pode fornecer maior
velocidade de processamento, enviando o trfego com a utilizao
do gateway padro primrio na sub-rede.
Alteraes na Deteco de Roteadores de Buraco Negro PMTU
A descoberta PMTU (Path maximum transmission unit), definida na
RFC 1191, confia no recebimento de mensagens ICMP (Internet
Control Message Protocol) Destination Unreachable-Fragmentation
Needed e DF (Dont Fragment) Set dos roteadores que contm o MTU
do prximo link. Entretanto, em alguns casos, roteadores
intermedirios descartam pacotes que no podem ser fragmentados.
Esses tipos de roteadores so conhecidos como roteadores PMTU de
buraco negro. Alm disso, os roteadores intermedirios podem
bloquear mensagens ICMP devido s regras de firewall. Devido aos
roteadores PMTU de buraco negro, as conexes TCP podem falhar e
serem encerradas.
A deteco de roteadores de buraco negro PMTU faz sentido quando
extensos segmentos TCP esto sendo retransmitidos; o PMTU
automaticamente ajustado para a conexo, em vez de confiar no
recibo das mensagens de erro ICMP. No Windows Server 2003 e no
Windows XP, a deteco de roteadores de buraco negro PMTU
desabilitada por padro, pois estando ativada, o nmero mximo de
transmisses executadas para um segmento de rede especfico
aumenta.
Por padro, a Pilha TCP/IP de ltima gerao ativa a deteco de
roteadores de buraco negro PMTU a fim de evitar o encerramento
das conexes TCP.
124
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do trfego entre
interfaces para configuraes VPN, a Pilha TCP/IP de ltima
gerao d suporte aos compartimentos de roteamento. Um
compartimento de roteamento a combinao de um conjunto de
interfaces com uma sesso de login que possui suas prprias
tabelas de roteamento IP. Um computador pode possuir mltiplos
compartimentos de roteamento isolados uns dos outros. Cada
interface pode pertencer somente a um nico compartimento.
Por exemplo, quando um usurio inicia uma conexo VPN pela
Internet com a implementao TCP/IP no Windows XP, o computador
do usurio ter conectividade parcial tanto para a Internet
quanto para a intranet particular, manipulando entradas na tabela
de roteamento IPv4. Em algumas situaes, possvel que o
trfego da Internet seja encaminhado pela conexo VPN para a
intranet particular. Para clientes VPN com suporte para
compartimentos de roteamento, a Pilha TCP/IP de ltima gerao
isola a conectividade da Internet da conectividade da intranet
particular por meio de tabelas de roteamento IP separadas.
Suporte ao Network Diagnostics Framework
O Network Diagnostics Framework uma arquitetura extensvel que
ajuda os usurios na recuperao e resoluo de problemas com
conexes de rede. Para a comunicao baseada em TCP/IP, o Network
Diagnostics Framework exibe ao usurio diversas opes para
eliminar as possveis causas at que a causa do problema seja
identificada ou que todas as possibilidades sejam eliminadas.
Estes so os problemas especficos relacionados ao TCP/IP que
podem ser diagnosticados pelo Network Diagnostics Framework:
Endereo IP incorreto
O gateway padro (roteador) no est disponvel
Gateway padro incorreto
Falha de resoluo de nomes NetBT (NetBIOS over TCP/IP)
Configuraes de DNS incorretas
A porta local j est sendo utilizada
O servio DHCP Client no est sendo executado
No h escuta remota
A mdia est desconectada
A porta local est bloqueada
Pouca memria
Suporte ESTATS (extended statistics)
A Pilha TCP/IP de ltima gerao d suporte ao esboo do IETF
(Internet Engineering Task Force) TCP Extended Statistics MIB,
o qual define as estatsticas de desempenho estendidas para o
125
TCP. Analisando o ESTATS em uma conexo, possvel determinar se
o gargalo de desempenho para uma conexo o aplicativo de envio,
de recepo ou se a rede. Por padro, o ESTATS desabilitado e
pode ser ativado por conexo. Com o ESTATS, os ISVs (independent
software vendors) que no so da Microsoft podem criar
diagnsticos eficientes e aplicativos de anlise de velocidade de
processamento de rede.
Windows Filtering Platform
O WFP (Windows Filtering Platform - Plataforma de Filtragem
Windows) uma nova arquitetura na Nova Gerao da pilha TCP/IP
que fornece APIs para que os ISVs no-Microsoft possam fazer a
filtragem em diversas camadas na pilha do protocolo TCP/IP e por
todo o sistema operacional.
O WFP tambm integra e fornece suporte para a nova gerao de
recursos de firewall, como a comunicao autenticada e a
configurao de firewall dinmica baseadas na utilizao de um
aplicativo do Windows Sockets API. Os ISVs podem criar firewalls,
softwares antivrus, alm de outros tipos de aplicativos e
servios. O Windows Firewall e o IPsec no Windows Server
Longhorn e no Windows Vista utilizam o WFP API.
Explicit Congestion Notification
Quando um segmento TCP perdido, o TCP supe que o segmento foi
perdido devido ao congestionamento em um roteador e executa o
controle de congestionamento, o que diminui, de forma drstica, a
taxa de transmisso do emissor TCP. Com o suporte ECN (Explicit
Congestion Notification - Notificao Explcita de
Congestionamento) nos pontos TCP e na infra-estrutura de
roteamento, os roteadores que esto vivenciando o
congestionamento marcam os pacotes como se estivessem
encaminhando-os. Os pontos TCP que recebem os pacotes marcados
diminuem sua taxa de transmisso a fim facilitar o
congestionamento e evitar a perda de segmentos. Detectar o
congestionamento antes das perdas de pacotes aumenta a velocidade
de processamento entre os pontos TCP. O ECN no ativado por
padro.
Melhorias no IPv6
A Pilha TCP/IP de ltima gerao d suporte s seguintes
melhorias no IPv6:
IPv6 ativado por padro
Pilha IP dupla
Configurao baseada em GUI
Melhorias no Teredo
Suporte IPsec integrado
Multicast Listener Discovery verso 2
126
Link-Local Multicast Name Resolution
IPv6 pelo PPP
IDs aleatrios de interface para endereos IPv6
Suporte DHCPv6
IPv6 Ativado por Padro
No Windows Server Longhorn e no Windows Vista, o IPv6
instalado e ativado por padro. possvel definir as
configuraes do IPv6 por meio das propriedades do componente
TCP/IPv6 (Internet Protocol version 6) e tambm pelos comandos no
contexto IPv6 da interface.
O IPv6 no Windows Server Longhorn e no Windows Vista no pode
ser desinstalado, mas pode ser desabilitado.
Pilha IP Dupla
A Pilha TCP/IP de ltima gerao d suporte arquitetura de
camadas IP dupla, na qual as implementaes do IPv4 e IPv6
compartilham camadas comuns de frame e transporte (TCP e UDP). A
Pilha TCP/IP de ltima gerao possui o IPv4 e o IPv6 ativados
por padro. No necessrio instalar um componente separado para
obter o suporte ao IPv6.
Configurao Baseada em GUI
No Windows Server Longhorn e no Windows Vista, voc pode
definir manualmente as configuraes do IPv6, utilizando um
conjunto de caixas de dilogo na pasta Conexes de Rede,
semelhante ao processo de definir manualmente as configuraes do
IPv4.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos
ativados para o IPv6, fornecendo globalmente o endereamento IPv6
exclusivo e permitindo o trfego IPv6 para atravessar os NATs.
Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
trfego de entrada no solicitado e o endereamento global, como
aplicativos entre iguais, funcionaro pelo NAT. Esses mesmos
tipos de aplicativos, se utilizassem o trfego IPv4, ou exigiriam
a configurao manual do NAT, ou no funcionariam sem a
modificao do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrs
de um ou mais NATs simtricos. Um NAT simtrico mapeia o mesmo
endereo (privado) e o mesmo nmero de porta internos para
diferentes endereos e portas (pblicos) externos, dependendo do
endereo externo de destino (para o trfego de sada). Este novo
comportamento permite que o Teredo funcione entre um conjunto
maior de hosts conectados Internet.
127
No Windows Vista, o componente Teredo estar ativado, mas inativo
por padro. Para ativ-lo, um usurio deve instalar um aplicativo
que precise utilizar o Teredo ou optar por alterar as
configuraes de firewall a fim de permitir que um aplicativo
utilize o Teredo.
Suporte IPsec Integrado
No Windows Server Longhorn e no Windows Vista, o suporte IPsec
para o trfego IPv6 o mesmo existente para o IPv4, incluindo o
suporte para o IKE (Internet Key Exchange) e a criptografia de
dados. Os snap-ins Windows Firewall with Advanced Security e IP
Security Policies agora possuem suporte para a configurao de
diretivas IPsec para o trfego IPv6, igual ao que ocorre com o
trfego IPv4. Por exemplo, quando voc configurar um filtro IP
como parte de uma lista de filtros IP no snap-in IP Security
Policies, ser possvel especificar endereos IPv6 e prefixos de
endereos nos campos IP Address ou Subnet ao determinar um
endereo IP especfico de origem ou destino.
Multicast Listener Discovery Verso 2
O MLDv2 (Multicast Listener Discovery verso 2), especificado na
RFC 3810, fornece suporte para o trfego multicast especfico
origem. O MLDv2 equivale ao IGMPv3 (Internet Group Management
Protocol version 3) para IPv4.
Link-Local Multicast Name Resolution
O LLMNR (Link-Local Multicast Name Resolution) permite que hosts
IPv6 em uma nica sub-rede sem um servidor de DNS resolvam os
nomes uns dos outros. Essa capacidade muito til para redes
domsticas de nica sub-rede e redes sem fio ad hoc.
IPv6 Pelo PPP
O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point
Protocol), conforme definido na RFC 2472. O trfego IPv6 pode
agora ser enviado por conexes baseadas em PPP. Por exemplo, o
suporte IPv6 pelo PPP permite que voc se conecte a um ISP
(Internet service provider) baseado no IPv6 por meio de conexes
dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser
utilizadas para o acesso de banda larga Internet.
IDs Aleatrios de Interface para Endereos IPv6
Por padro, com o intuito de evitar a varredura de endereos IPv6
baseados nos IDs conhecidos da empresa dos fabricantes de
adaptadores de rede, o Windows Server Longhorn e o Windows
Vista geram IDs aleatrios de interface para endereos IPv6
estticos autoconfigurados, incluindo endereos pblicos e locais
de link.
Suporte DHCPv6
128
O Windows Server Longhorn e o Windows Vista incluem um cliente
DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol
version 6) que efetua a configurao automtica de endereos com
monitoramento de estado com um servidor DHCP. O Windows Server
Longhorn inclui um servio DHCP Server ativado para o DHCPv6.
Quality of Service (Qualidade de Servio)
No Windows Server 2003 e no Windows XP, a funcionalidade QoS
(Quality of Service) est disponvel para os aplicativos por meio
das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as
APIs GQoS acessavam funes priorizadas de entrega. No Windows
Server Longhorn e no Windows Vista, existem novos recursos para
gerenciar o trfego de rede corporativa e domstica.
QoS Baseado em Diretivas para Redes Corporativas
As diretivas de QoS no Windows Server Longhorn e no Windows
Vista permitem que os profissionais de TI dem prioridade taxa
de envio para o trfego de rede de sada ou gerenciem essa taxa.
O profissional de TI pode restringir as configuraes a nomes
especficos de aplicativos, a endereos IP de origem e destino
especficos e a portas UDP ou TCP de origem e destino.
As configuraes de diretivas de QoS fazem parte da Diretiva de
Grupo user configuration (configurao de usurio) ou computer
configuration (configurao de computador) e so configuradas com
a utilizao do Group Policy Object Editor. Elas so vinculadas
aos containeres dos Servios de Domnio do Active Directory
(domnios, sites e OUs - unidades organizacionais), por meio da
utilizao do Group Policy Management Console (Console de
Gerenciamento de Diretivas de Grupo).
Para gerenciar a utilizao de largura de banda, voc pode
configurar uma diretiva de QoS com uma taxa de acelerao para o
trfego de sada. Utilizando a otimizao, uma diretiva de QoS
pode limitar o trfego de rede de sada agregado para uma taxa
especfica. Para especificar a entrega priorizada, o trfego
marcado com um valor DSCP (Differentiated Services Code Point).
Os roteadores ou os pontos de acesso sem fio na infra-estrutura
de rede podem colocar pacotes marcados com o DSCP em filas
diferentes para uma entrega diferenciada. A marcao com o DSCP e
a otimizao podem ser utilizados em conjunto para gerenciar o
trfego de forma eficiente. Como os processos de otimizao e de
marcao de prioridade so aplicados na camada de rede, no
preciso modificar os aplicativos.

129
5.05 Firewall do Windows com Segurana Avanada

Comeando com o Windows Vista e o Windows Server Longhorn, a
configurao do Firewall do Windows e do IPsec combinada em uma
nica ferramenta, o snap-in MMC Windows Firewall with Advanced
Security.
O snap-in MMC Windows Firewall with Advanced Security substitui
ambas as verses anteriores dos snap-ins do IPsec, o IP Security
Policies e o IP Security Monitor, para a configurao de
computadores que executam o Windows Server 2003, o Windows XP ou
o Windows 2000. Embora os computadores que executam o Windows
Vista e o Windows Server Longhorn tambm possam ser
configurados e monitorados por meio da utilizao dos snap-ins
anteriores do IPsec, no possvel utilizar as ferramentas mais
antigas para configurar os diversos novos recursos e opes de
segurana apresentados no Windows Vista e no Windows Server
Longhorn. Para obter as vantagens desses novos recursos, voc
deve definir as configuraes, utilizando o snap-in Windows
Firewall with Advanced Security ou os comandos no contexto
advfirewall da ferramenta Netsh.
O Windows Firewall with Advanced Security fornece diversas
funes em um computador que executa o Windows Vista ou o Windows
Server Longhorn:
Filtragem de todo o trfego do IPv6 e do IPv4 que entra no
computador ou sai dele. Por padro, todo o trfego de
entrada bloqueado, a menos que ele seja uma resposta a
uma solicitao de sada anterior do computador (trfego
solicitado) ou que ele seja especificamente permitido por
uma regra criada para permitir esse trfego. Por padro,
todo o trfego de sada permitido, exceto para regras de
fortalecimento de servio que evita a comunicao de
servios padro de formas inesperadas. possvel optar por
permitir o trfego baseado em nmeros de portas, em
endereos do IPv4 ou IPv6, no caminho e nome de um
aplicativo ou no nome de um servio executado no computador
ou, ainda, em outros critrios.
Proteo do trfego de rede que entra no computador ou sai
dele, utilizando o protocolo IPsec a fim de verificar a
integridade do trfego de rede, autenticar a identidade dos
computadores ou usurios de envio e recepo e,
opcionalmente, criptografar o trfego a fim de fornecer
confidencialidade.
Comeando com o Windows XP Service Pack 2, o Firewall do Windows
foi ativado por padro nos sistemas operacionais da Microsoft. O
Windows Server Longhorn o primeiro sistema operacional de
servidor da Microsoft a ter o Firewall do Windows ativado por
130
padro. Pelo fato de o Firewall do Windows estar ativado por
padro, todo administrador de um servidor que executa o Windows
Server Longhorn deve estar atento a esse recurso e entender
como o firewall deve ser configurado a fim de permitir o trfego
de rede exigido.
O console Windows Firewall with Advanced Security pode ser
completamente configurado, utilizando o snap-in MMC Windows
Firewall with Advanced Security ou os comandos disponveis no
contexto advfirewall da ferramenta de linha de comando Netsh.
Tanto as ferramentas grficas quanto as de linha de comando do
suporte ao gerenciamento do Windows Firewall with Advanced
Security no computador local ou em um computador remoto que
executa o Windows Server Longhorn ou Windows Vista que esteja
na rede. As configuraes criadas com a utilizao dessas
ferramentas podem ser implantadas nos computadores vinculados
rede, utilizando a Diretiva de Grupo.
Ser preciso rever esta seo sobre o Windows Firewall with
Advanced Security se voc fizer parte de um dos seguintes grupos:
Planejadores e analistas de TI que esto avaliando
tecnicamente o produto.
Planejadores e designers corporativos de TI.
Profissionais de TI que implantam ou administram solues
de segurana de rede em uma organizao.
O Windows Firewall with Advanced Security consolida duas funes
que eram gerenciadas separadamente em verses anteriores do
Windows. Alm disso, a principal funcionalidade dos componentes
do IPsec e de firewall do Windows Firewall with Advanced Security
foi aprimorada de forma significativa no Windows Vista e Windows
Server Longhorn.
Se voc criar um software projetado para ser instalado no Windows
Vista ou no Windows Server Longhorn, ser preciso ter a certeza
de que o firewall configurado corretamente pela sua ferramenta
de instalao, criando ou ativando regras que permitam que o
trfego de rede do programa passe pelo firewall. O seu programa
dever reconhecer os diferentes tipos de locais de rede
reconhecidos pelo Windows, domnio, privado e pblico, e
responder corretamente a uma alterao no tipo de local de rede.
importante lembrar que uma alterao no tipo de local de rede
poder resultar em diferentes regras de firewall sendo aplicadas
no computador. Por exemplo, se voc quiser que seu aplicativo
seja executado somente em um ambiente seguro, como um domnio ou
uma rede privada, as regras de firewall devero evitar que o seu
aplicativo envie o trfego de rede quando o computador estiver em
uma rede pblica. Se o tipo de local de rede for alterado de
forma inesperada durante a execuo de seu aplicativo, ele dever
lidar muito bem com essa situao.
131
O Firewall do Windows Ativado Por Padro
O Firewall do Windows vem ativado por padro nos sistemas
operacionais cliente Windows desde o Windows XP Service Pack 2,
mas, o Windows Server Longhorn a primeira verso de servidor
do sistema operacional Windows que possui o Firewall do Windows
ativado por padro. Isso causa conseqncias sempre que um
aplicativo ou servio instalado e deve ter permisso para
receber o trfego de entrada no-solicitado pela rede. Muitos
aplicativos antigos no so projetados para funcionar com um
firewall baseado em host e podem no operar de forma correta, a
menos que sejam definidas regras que permitam que o aplicativo
aceite o trfego de entrada de rede no-solicitado. Ao instalar
uma funo ou recurso de servidor includo no Windows Server
Longhorn, o instalador ir ativar ou criar regras para garantir
que a funo ou recurso de servidor funcione corretamente. Para
determinar quais configuraes de firewall devem ser definidas
para um aplicativo, entre em contato com o fornecedor do
aplicativo. As configuraes de firewall so sempre publicadas no
site de suporte do fornecedor.
Nota
Um computador que executa o Windows Server 2003 e
atualizado para o Windows Server Longhorn mantm o mesmo
estado operacional do firewall que tinha antes da
atualizao. Se o firewall for desabilitado antes da
atualizao, ele permanecer nesse estado aps a
atualizao. Recomendamos que voc ative o firewall assim
que houver a confirmao de que os aplicativos na rede
funcionam com o firewall conforme configurado ou assim que
as regras de firewall apropriadas forem configuradas para
os aplicativos executados em seu computador.

O Gerenciamento da Diretiva IPsec Simplificado
Em verses anteriores do Windows, as implementaes de isolamento
de domnio ou servidor exigiam a criao de um grande nmero de
regras IPsec para garantir que o trfego de rede exigido estava
protegido de forma apropriada, fazendo com que o trfego de rede
exigido no pudesse ser assegurado com o IPsec.
A necessidade de um conjunto grande e complexo de regras IPsec
reduzida devido a um novo comportamento padro para a negociao
IPsec que solicita , mas no exige a proteo IPsec. Ao utilizar
essa configurao, o IPsec envia uma tentativa de negociao
IPsec e, ao mesmo tempo, envia pacotes de texto plano para o
computador de destino. Se o computador de destino responder
negociao e conclu-la com sucesso, a comunicao de texto plano
ser interrompida, e a comunicao subseqente ser protegida
pelo IPsec. Entretanto, se o computador de destino no responder
132
negociao IPsec, a tentativa de texto plano ter permisso
para prosseguir. Em verses anteriores do Windows, era preciso
aguardar trs segundos aps a tentativa de negociao IPsec antes
de tentar a comunicao utilizando o texto plano. Isso resultava
em grandes atrasos no desempenho do trfego, que no podia ser
protegido e tinha de ser testado novamente em texto plano. Para
evitar esse atraso de desempenho, um administrador precisava
criar mltiplas regras IPsec para lidar com os diferentes
requisitos de cada tipo de trfego de rede.
Esse novo comportamento permite solicitar, mas no exigir, que a
proteo IPsec realize o trfego desprotegido, uma vez que o
atraso de trs segundos no mais exigido. isso permite que voc
proteja o trfego onde quer que ele seja exigido, sem a
necessidade de criar regras que permitam explicitamente as
excees necessrias. Isso resulta em um ambiente mais seguro,
menos complexo e que facilita a soluo de problemas.
Suporte para IP Autenticado
Em verses anteriores do Windows, o IPsec dava suporte somente ao
protocolo IKE (Internet Key Exchange) para negociar SAs (security
association) do IPsec. O Windows Vista e o Windows Server
Longhorn do suporte a uma extenso ao IKE conhecida como
AuthIP (Authenticated IP). O AuthIP fornece capacidades
adicionais de autenticao. So elas:
Suporte para os novos tipos de credenciais que no esto
disponveis no IKE isoladamente. Isso inclui: certificados
de integridade fornecidos por um Health Certificate Server,
o qual faz parte de uma implantao NAP (Network Access
Protection; certificados baseados em usurios; credenciais
de usurio Kerberos e credenciais de computador ou de
usurio NTLM verso 2. Essas credenciais so adicionais
para os tipos de credenciais suportados pelo IKE, como
certificados baseados em computador, credenciais Kerberos
para a conta de computador ou simplesmente chaves pr-
compartilhadas.
Suporte para autenticao, utilizando mltiplas
credenciais. Por exemplo, o IPsec pode ser configurado para
exigir que tanto as credenciais do usurio quanto as do
computador sejam processadas com sucesso antes que o
trfego seja permitido. Isso aumenta a segurana da rede,
reduzindo a chance de um computador confivel ser utilizado
por um usurio no-confivel.
Suporte para Proteger um Membro de Domnio para o Trfego de
Controlador de Domnio Utilizando o IPsec
Verses anteriores do Windows no suportam a utilizao do IPsec
para proteger o trfego entre controladores de domnio e
133
computadores membro de domnio. O Windows Vista e o Windows
Server Longhorn so suporte proteo do trfego de rede entre
computadores membro de domnio e controladores de domnio,
utilizando o IPsec, enquanto permitem que um computador que no
membro de domnio passem a fazer parte de um domnio por meio da
utilizao do controlador de domnio protegido pelo IPsec.
Suporte Aprimorado para Criptografia
A implementao do IPsec no Windows Vista e no Windows Server
Longhorn d suporte a algoritmos adicionais para a negociao
de modo principal de SAs:
Curva Elptica Diffie-Hellman P-256 (Elliptic Curve Diffie-
Hellman P-256), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 256 bits
Curva Elptica Diffie-Hellman P-384 (Elliptic Curve Diffie-
Hellman P-384), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 384 bits
Alm disso, os seguintes mtodos de criptografia que utilizam o
AES (Advanced Encryption Standard) so suportados:
AES com CBC (cipher block chaining) e um tamanho de chave
de 128 bits (AES 128)
AES com CBC e um tamanho de chave de 192 bits (AES 192)
AES com CBC e um tamanho de chave de 256 bits (AES 256)
As Configuraes Podem Ser Alteradas Dinamicamente Com Base no
Tipo de Local de Rede
O Windows Vista e o Windows Server Longhorn podem notificar
aplicativos, ativados para a rede, como o Windows Firewall,
quanto s alteraes nos tipos de local de rede disponveis por
meio de adaptadores de rede anexados, conexes VPN e assim por
diante. O Windows d suporte a trs tipos de local de rede, e os
programas podem utilizar esses tipos para aplicar automaticamente
o conjunto apropriado de opes de configurao. Os aplicativos
devem ser criados de forma que possam obter a vantagem desse
recurso e receber notificaes de alteraes feitas nos tipos de
local de rede. O Windows Firewall with Advanced Security no
Windows Vista e no Windows Server Longhorn pode fornecer
diferentes nveis de proteo com base no tipo de local de rede
ao qual o computador est ligado.
Estes so os tipos de locais de rede:
Domnio. Este tipo de local de rede ser selecionado quando
computador for membro de um domnio, e o Windows ir
determinar que o computador est atualmente ligado rede
que hospeda o domnio. Essa seleo baseada na
134
autenticao bem-sucedida com um controlador de domnio na
rede.
Privado. Este tipo de local de rede pode ser selecionado
para redes confiveis pelo usurio, como uma rede domstica
ou uma rede de um pequeno escritrio, por exemplo. As
configuraes atribudas a este tipo de local so mais
restritivas do que uma rede de domnio, pois no se espera
que uma rede domstica seja to ativamente gerenciada
quanto uma rede de domnio. Uma rede recm detectada nunca
ser automaticamente atribuda ao tipo de local Privado. Um
usurio deve optar explicitamente por atribuir a rede ao
tipo de local Privado.
Pblico. Este tipo de local de rede atribudo por padro
a todas as redes recm detectadas. As configuraes
atribudas a este tipo de local so muito mais restritivas,
devido aos riscos de segurana existentes em uma rede
pblica.
Nota
O recurso que permite definir o tipo de local de rede muito
til em computadores cliente, principalmente em computadores
portteis, os quais so movidos de uma rede para outra. No se
espera que um servidor seja mvel. Por esse motivo, uma
estratgia sugerida para um computador tpico que executa o
Windows Server Longhorn configurar esses trs perfis da mesma
forma.
Integrao do Firewall do Windows e do IPsec Management em uma
nica Interface de Usurio
No Windows Vista e no Windows Server Longhorn, a interface de
usurio para os componentes de firewall e do IPsec agora
combinada no snap-in MMC Windows Firewall with Advanced Security
e em comandos no contexto advfirewall da ferramenta de linha de
comando Netsh. As ferramentas utilizadas no Windows XP, Windows
Server 2003 e na famlia Windows 2000 o modelo administrativo
Windows Firewall, as configuraes de Diretiva de Grupo, o IP
Security Policy, os snap-ins MMC do IP Security Monitor e os
contextos ipsec e firewall do comando Netsh ainda esto
disponveis, mas no do suporte aos mais novos recursos
includos no Windows Vista e no Windows Server Longhorn. O
cone do Windows Firewall no Painel de Controle tambm ainda est
presente, mas uma interface de usurio final para gerenciar as
funcionalidades bsicas do firewall e no apresenta as opes
avanadas exigidas por um administrador.
Utilizando as diversas ferramentas para o firewall e o IPsec em
verses anteriores do Windows, aos administradores podem criar,
acidentalmente, configuraes conflitantes, como uma regra IPsec
que faz com que um tipo especfico de pacote de rede seja
135
interrompido, mesmo que exista uma regra de firewall para
permitir que o mesmo tipo de pacote de rede esteja presente.
Isso pode resultar em cenrios com problemas difceis de serem
solucionados. Combinar as duas funes reduz a possibilidade de
criar regras conflitantes e ajuda a garantir que o trfego que
voc deseja proteger seja manipulado corretamente.
Suporte Total para a Proteo de Trfego de Rede IPv4 e IPv6
Todos os recursos de firewall e do IPsec disponveis no Windows
Vista e no Windows Server Longhorn so utilizados para proteger
o trfego de rede IPv4 e IPv6.

Referncias Adicionais
Os recursos a seguir fornecem informaes adicionais sobre o
Windows Firewall with Advanced Security e o IPsec:
Para mais informaes sobre o Windows Firewall with Advanced
Security, veja Windows Firewall
(http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft
TechNet.
Para mais informaes sobre o IPsec, veja IPsec
TechNet.
Para mais informaes sobre os cenrios de isolamento de
servidor e domnio, veja Isolamento de Domnio e Servidor
TechNet.
Para mais informaes sobre o Network Access Protection, veja
Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no
site da Web Microsoft TechNet.
Para mais informaes sobre como criar aplicativos que estejam
cientes dos tipos de local de rede, consulte o Network
Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e
Network Location Awareness Service Provider
(http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft
MSDN
.

136
5.06 Cryptography Next Generation

O CNG (Cryptography Next Generation Criptografia de ltima
Gerao) fornece uma plataforma de desenvolvimento criptogrfico
flexvel que permite que profissionais de TI criem, atualizem e
utilizem algoritmos de criptografia personalizados em aplicativos
relacionados criptografia, como o Active Directory
Certificate
Services, o SSL e o IPsec. O CNG implementa os algoritmos de
criptografia Suite B do governo dos E.U.A , os quais incluem
algoritmos para criptografia, assinaturas digitais, troca de
chaves e hashing.
Alm disso, o CNG fornece um conjunto de APIs utilizadas para:
Realizar operaes bsicas de criptografia, como a criao
de hashes e a criptografia e descriptografia de dados.
Criar, armazenar e recuperar chaves de criptografia.
Instalar e utilizar provedores adicionais de criptografia.
O CNG possui as seguintes capacidades:
O CNG permite que os clientes utilizem seus prprios
algoritmos de criptografia ou implementaes de algoritmos
padro de criptografia. possvel adicionar novos
algoritmos.
O CNG d suporte criptografia no modo kernel. A mesma API
utilizada no modo kernel e no modo usurio para dar
suporte total aos recursos de criptografia. O SSL/TLS e o
IPsec, alm dos processos de inicializao que utilizam o
CNG, operam no modo kernel.
O plano para o CNG inclui a aquisio da certificao FIPS
(Federal Information Processing Standards) 140-2 nvel 2
juntamente com as avaliaes de Critrios Comuns (Common
Criteria).
O CNG atende aos requisitos do Common Criteria, utilizando
e armazenando chaves de longa durao em um processo
seguro.
O CNG d suporte ao conjunto atual de algoritmos CryptoAPI
1.0.
O CNG fornece suporte aos algoritmos ECC (elliptic curve
cryptography - criptografia de curva elptica). Um grande
nmero de algoritmos ECC exigido pelo Suite B do governo
dos Estados Unidos.
Qualquer computador com um TPM (Trusted Platform Module -
mdulo de plataforma confivel) poder fornecer isolamento
e armazenamento de chave no TPM.
O CNG aplica PKI (public key infrastructure) implantaes que
exigem a utilizao dos algoritmos Suite B e que no precisam
137
estar integrados s CAs (certification authorities) que no do
suporte aos algoritmos Suite B, como as CAs instaladas em
servidores que executam o Windows Server 2003 e o Windows 2000
Server.
Para utilizar os novos algoritmos de criptografia, a CA e os
aplicativos devero dar suporte ao ECC (ou a qualquer outro novo
algoritmo implementado no CNG). Embora a CA precise emitir e
gerenciar estes novos tipos de certificado, os aplicativos devem
ser capazes de lidar com a validao da cadeia de certificados e
utilizar as chaves geradas com os algoritmos Suite B.
Os algoritmos Suite B, como o ECC, so suportados somente no
Windows Vista e no Windows Server Longhorn. Isso significa que
no possvel utilizar esses certificados em verses anteriores
do Windows, como Windows XP ou Windows Server 2003. Entretanto,
possvel utilizar os algoritmos clssicos, como o RSA (Rivest-
Shamir-Adleman) mesmo se as chaves tiverem sido gerada com um
provedor de chaves CNG.
Os clientes que executam o Windows Vista ou o Windows Server
Longhorn podem utilizar tanto o CryptoAPI 1.0 quanto a nova
API CNG, pois ambas as APIs podem ser executadas lado a lado. No
entanto, aplicativos, como o SSL, IPsec, S/MIME
(Secure/Multipurpose Internet Mail Extensions) e o Kerberos,
devem ser atualizados a fim de utilizar os algoritmos Suite B.
Implantao
No implante certificados com algoritmos Suite B antes de
verificar os seguintes requisitos:
Antes de emitir certificados que utilizem algoritmos, tais
como o ECC, verifique se suas CAs e seu sistema operacional
do suporte a esses algoritmos.
Verifique se os aplicativos ativados para a PKI de sua
organizao podem utilizar certificados que confiam em
provedores de criptografia CNG.
Caso sua organizao utilize certificados para suportar o
logon de smart card, entre em contato com o fornecedor de
seu smart card e veja se os smart cards que ele fornece
podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server Longhorn, os seguintes
aplicativos ativados para certificados podem lidar com
certificados que utilizam algoritmos de criptografia registrados
no provedor CNG.

138

Aplicativos Ativados para Certificados
Nome do Aplicativo Verifica uma cadeia de
certificados que
contm certificados
com algoritmos
registrados em um
provedor CNG
Utiliza algoritmos que no so suportados pelo
CryptoAPI
EFS (Sistema de
Arquivos
Criptografado)
Sim No
IPsec Sim Sim
Kerberos No No
S/MIME Outlook
2003: no
Outlook 2007: sim
Outlook 2003: no
Outlook 2007: sim
logon via carto
inteligente
No No
SSL Sim Sim
Sem fio Sim Sim

Para utilizar os algoritmos para as operaes de criptografia,
primeiro, voc precisa de uma CA baseada no Windows Server
Longhorn para emitir certificados ativados para o Suite B.
Caso voc ainda no possua uma PKI, ser possvel configurar uma
CA baseada no Windows Server Longhorn em que os certificados da
CA e os certificados da entidade final utilizem algoritmos Suite
B. Entretanto, ainda ser preciso verificar se todos os seus
aplicativos esto preparados para os algoritmos Suite B e se
podem dar suporte a esses certificados.
Caso voc j possua uma PKI com CAs sendo executadas no Windows
Server 2003 ou na qual algoritmos clssicos esto sendo
utilizados para dar suporte aos aplicativos existentes, ser
possvel adicionar uma CA subordinada em um servidor que executa
o Windows Server Longhorn. No entanto, voc dever continuar
utilizando os algoritmos clssicos.
Para inserir os algoritmos Suite B em um ambiente existente, no
qual so utilizados os algoritmos clssicos, ser preciso
considerar a insero de uma PKI secundria e a realizao de uma
certificao cruzada entre as duas hierarquias de CA.
Para mais informaes sobre o CNG, veja API de Criptografia:
ltima Gerao (http://go.microsoft.com/fwlink/?LinkID=74141).
Para mais informaes sobre o Suite B, veja Criptografia Suite B
NSA (NSA Suite B Cryptography Fact Sheet)

139
5.07 Servios de Certificado do Active Directory

Os Servios de Certificado do Active Directory fornece servios
personalizveis para criar e gerenciar certificados de chave
pblica utilizados em sistemas de segurana de software que
utilizam tecnologias de chave pblica. As organizaes podem
utilizar os Servios de Certificado do Active Directory para
aprimorar a segurana, unindo a identidade de uma pessoa,
dispositivo ou servio a uma chave privada correspondente. Os
Servios de Certificado do Active Directory tambm inclui
recursos que permitem gerenciar o registro e a revogao de
certificados em diversos ambientes escalonveis.
Os seguintes tpicos descrevem as alteraes na funcionalidade
dos Servios de Certificado do Active Directory disponvel neste
lanamento:
Servios de Certificado do Active Directory: Registro Web
Servios de Certificado do Active Directory: Configuraes
de Diretivas
Servios de Certificado do Active Directory: Servio de
Registro de Dispositivo de Rede
Servios de Certificado do Active Directory: PKI
Corporativo(PKIView)
Servios de Certificado do Active Directory: Suporte ao
Protocolo de Status de Certificado Online
Servios de Certificado do Active Directory:
Registro Web
Um grande nmero de alteraes foi feito ao suporte de registro
Web de certificados no Windows Server Longhorn. Essas
alteraes resultam da excluso do controle anterior de registro
ActiveX
do Windows Vista e do Windows Server Longhorne sua

substituio pelo controle de registros COM. As sees a seguir
descrevem essas alteraes e suas respectivas implicaes.
O registro Web de certificados est disponvel desde sua incluso
nos sistemas operacionais Windows 2000. Ele projetado para
fornecer um mecanismo de ambiente para as organizaes que
precisam emitir e renovar certificados para usurios e
computadores que no fazem parte de um domnio ou que no est
conectados diretamente rede e para usurios de sistemas
operacionais no-Microsoft. Em vez de confiar no mecanismo de
registro automtico de uma CA ou utilizar o Certificate Request
Wizard, o suporte de registro Web fornecido por uma CA baseada no
em Windows permite que esses usurios solicitem e obtenham
certificados novos e renovados por uma conexo da Internet ou da
intranet.
140
Esse recurso indicado para organizaes que possuem PKIs com
uma ou mais CAs que executam o Windows Server Longhorn e
clientes que executam o Windows Vista e que desejam fornecer aos
usurios a capacidade de obter novos certificados ou renovar os
existentes, utilizando pginas da Web.
Adicionar suporte para pginas de registro Web pode aprimorar, de
forma significativa, a flexibilidade e a escalabilidade da PKI de
uma organizao; portanto, esse recursos ser de interesse de:
Arquitetos de PKI
Planejadores de PKI
Administradores de PKI
O controle de registro anterior, o XEnroll.dll, foi removido do
Windows Vista e do Windows Server Longhorn, e um novo controle
de registro, o CertEnroll.dll, foi inserido. Embora o processo de
registro Web ocorra essencialmente como para o Windows 2000,
Windows XP e Windows Server 2003, essa alterao nos controles de
registro poder impactar na compatibilidade quando usurios e
computadores que executam o Windows Vista ou o Windows Server
Longhorn tentarem solicitar um certificado, utilizando pginas
de registro Web instaladas nessas verses anteriores do Windows.
O XEnroll.dll est sendo retirado pelas seguintes razes:
O XEnroll.dll um controle de legado criado h alguns anos
e no considerado to seguro quanto os controles criados
recentemente.
O XEnroll.dll possui uma interface monoltica que expe
diversos conjuntos de funcionalidades. Ele possui mais de
100 mtodos e propriedades. Esses mtodos e propriedades
foram inseridos com o passar dos anos, e chamar uma funo
pode alterar o comportamento de outra funo, o que
dificulta os processos de teste e manuteno.
Nota
O XEnroll.dll pode continuar a ser utilizado para o
registro Web em computadores que executam o Windows 2000,
Windows XP e Windows Server 2003. Por outro lado, o
CertEnroll.dll foi criado para ser mais seguro, mais fcil
de ser preparado e atualizado do que o XEnroll.dll.
As CAs do Windows Server Longhorn continuaro a dar suporte s
solicitaes de registro Web de certificados a provenientes de
usurios em clientes Windows XP e Windows Server 2003. Se voc
registra certificados por meio das pginas de registro Web do
Windows Server Longhorn a partir de um computador baseado no
Windows XP, Windows Server 2003 ou Windows 2000, as pginas de
registro Web iro detectar esse fato e utilizaro o controle
Xenroll.dll instalado localmente no cliente. Entretanto, alguns
comportamentos do cliente sero diferentes daqueles das verses
anteriores do Windows. So eles:
141
A capacidade de agente de registro (tambm conhecida como a
estao de registro de smart card) foi removida do registro
Web no Windows Server Longhorn, pois o Windows Vista
fornece sua prpria capacidade de agente de registro. Se
houver a necessidade de efetuar o registro em nome de outro
cliente com um registro Web do Windows Server Longhorn,
voc dever utilizar computadores que executem o Windows
Vista como estaes de registro. De forma alternativa, voc
poder utilizar um servidor baseado no Windows Server 2003
com o registro Web instalado e utilizar o servidor como um
agente de registro a fim de registrar certificados por meio
de uma CA do Windows Server Longhorn.
Somente os usurios do Internet Explorer
verso 6.x ou
Netscape 8.1 Browser podero enviar solicitaes de
certificado diretamente por meio das pginas de registro
Web. Usurios de outros navegadores da Web ainda podero
enviar solicitaes de registro, utilizando as pginas de
registro Web, mas, primeiramente, devero gerar previamente
uma solicitao PKCS#10 para ser enviada por meio das
pginas de registro Web.
O registro de Web de certificados no pode ser utilizado
com os templates de certificado verso 3,0 (os quais esto
sendo apresentados no Windows Server Longhorn para o
suporte emisso de certificados em conformidade com o
Suite B).
O Internet Explorer no pode ser utilizado no contexto de
segurana de computadores locais; portanto, os usurios no
podem mais solicitar certificados de computador com a
utilizao do registro Web.
No Windows Server Longhorn Beta 2, o suporte de registro
Web est disponvel somente nas edies dos idiomas alemo
e ingls dos EUA O suporte de registro Web estar
disponvel em todas as verses de idiomas do produto final
do Windows Server Longhorn.
A configurao que deve ser feita para o suporte de registro Web
de certificados , simplesmente, adicionar o servio de funo
funo de servidor.
Se o suporte de registro Web estiver instalado no mesmo
computador que a CA, no ser exigida nenhuma configurao
adicional.
Se o servio de funo de registro Web e a CA estiverem
instalados em computadores diferentes,ser preciso identificar a
CA como parte da instalao do registro Web.
Aps a instalao do servio de funo de registro Web, um novo
site chamado CertSrv estar disponvel por meio do IIS.
Nota
142
No Windows Server Longhorn Beta 2, o arquivo utilizado
pelo suporte de registro Web para encontrar a CA est
localizado no diretrio de linguagem especfica, como
%SYSTEMROOT%\system32\certsrv\[language]\certdat.inc. Esse
arquivo passar a ser um arquivo de configurao global que
define a configurao para todos os pacotes de idioma
instalados para o registro Web. Se voc possuir diversos
pacotes de idioma instalados em um servidor IIS, todos os
arquivos certdat.inc nos subdiretrios de linguagem
especfica devero ser idnticos.
As pginas de registro Web no-Microsoft sofrero um grande
impacto, pois o controle XEnroll.dll no est disponvel no
Windows Server Longhorn e no Windows Vista. Os administradores
dessas CAs tero de criar solues alternativas para o suporte
emisso de certificados e a renovao para clientes que utilizam
o Windows Server Longhorn e o Windows Vista, enquanto continuam
utilizando o Xenroll.dll para verses anteriores do Windows.
Os administradores tambm precisam planejar a configurao
apropriada de seus servidores que executam o IIS. O IIS pode ser
executado somente nos modos de 64 ou 32 bits. Se voc instalar o
IIS em um servidor que executa a verso de 64 bits do Windows
Server Longhorn, voc no dever instalar nenhum aplicativo Web
de 32 bits, como o WSUS, nesse computador. Caso contrrio,
instalao do servio de funo de registro ir falhar.
Configuraes de Diretivas
As configuraes de certificado na Diretiva de Grupo do Windows
Server Longhorn permitem que os administradores gerenciem
configuraes de validao de certificado de acordo com as
necessidades de segurana da organizao.
As configuraes de certificado na Diretiva de Grupo permite que
os administradores gerenciem as configuraes de certificado em
todos os computadores do domnio a partir de um local central.
Definir as configuraes utilizando a Diretiva de Grupo poder
causar alteraes em todo o domnio.
Por exemplo, em situaes em que determinados certificados de CA
expiram e os clientes no conseguem recuperar automaticamente um
novo certificado, os administradores podero implantar esses
certificados para os computadores cliente por meio da Diretiva de
Grupo.
Outro cenrio quando os administradores desejam garantir que os
usurios nunca iro instalar aplicativos assinados com
certificados de publicao no aprovada. Eles podero configurar
timeouts de rede para um melhor controle dos timeouts de
construo em cadeia para grandes CRLs (certification revocation
lists - listas de revogao de certificao). Alm disso, os
administradores podero utilizar as configuraes de revogao
143
para estender os tempos de expirao das CRLs caso um atraso na
publicao de uma nova CRL afete os aplicativos.
Esse recurso aplica-se s organizaes que possuem PKIs com uma
ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para
gerenciar computadores cliente.
Utilizar as configuraes de validao de certificado na Diretiva
de Grupo poder aprimorar, de forma significativa, a capacidade
de:
Arquitetos de segurana aprimorarem a utilizao da relao
de confiana baseada em certificados.
Administradores de segurana gerenciarem aplicativos
ativados para a PKI em seus ambientes.
Pelo fato de as infra-estruturas de chave pblica X.509 terem se
tornado mais amplamente utilizadas como uma base de confiana,
muitas organizaes precisam de mais opes para gerenciar a
descoberta de caminho de certificados e a validao de caminhos.
Verses anteriores dos sistemas operacionais Windows possuam
poucas configuraes para implementar esse tipo de controle.
As configuraes de Diretiva de Grupo relacionadas a certificados
podem ser encontradas no Group Policy Object Editor, em
Configurao do Computador\Configuraes do Windows\Configuraes
de Segurana\Diretivas de Chave Pblica. As seguintes opes de
diretiva podem ser gerenciadas em guias separadas na pgina de
propriedades Certificate Path Validation Settings:
Stores (Armazenamentos)
Trusted Publishers (Editores Confiveis)
Network Retrieval (Recuperao de Rede)
Revocation (Revogao)
Alm disso, quatro novos armazenamentos de diretiva foram
adicionados em Diretivas de Chave Pblica (Public Key Policies)
para serem utilizados na distribuio de diferentes tipos de
certificados para os clientes:
Intermediate Certification Authorities (Autoridades
Intermedirias de Certificao)
Trusted Publishers (Editores Confiveis)
Untrusted Certificates (Certificados No-Confiveis)
Trusted People (Pessoas Confiveis)
Esses novos armazenamentos so uma adio aos armazenamentos
Enterprise Trust (Relao de confiana Corporativa) e Trusted
Root Certification Authorities (Autoridades de Certificao de
Raiz Confivel) disponveis no Windows Server 2003.
Essas configuraes de validao de caminho e armazenamentos de
certificados podem ser utilizadas para realizar as seguintes
tarefas:
144
Gerenciar armazenamentos de certificado peer trust e
trusted root.
Gerenciar editores confiveis.
Bloquear certificados que no sejam confiveis de acordo
com a diretiva.
Gerenciar a recuperao de dados relacionados a
certificados.
Gerenciar perodos de expirao para CRLs e respostas OCSP
(online certificate status protocol).
Implantar certificados.
Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root
Utilizando a guia Stores na caixa de dilogo Certificate Path
Validation Settings, os administradores podem regular a
capacidade de os usurios gerenciarem seus prprios certificados
trusted root e peer trust. Este controle pode ser implementado
para que os usurios no tenham permisso para tomar quaisquer
decises quanto relao de confianas de ponto ou raiz (root or
peer trust). Alm disso, ele pode ser utilizado para controlar
quantos propsitos de certificado especficos, como assinatura e
criptografia, os usurios podem gerenciar por relao de
confiana entre iguais (peer trust).
A guia Stores tambm permite que os administradores especifiquem
se os usurios em um computador ligado a um domnio podero
confiar somente em CAs de raiz corporativa ou em CAs de raiz no-
Microsoft de raiz corporativa.
Se, por um lado, um administrador precisa distribuir certificados
selecionados de raiz confivel, para computadores no domnio,
esses certificados sero propagados para o armazenamento de
certificado apropriado na prxima vez em que a diretiva de
domnio for restaurada.
Devido crescente variedade de certificados em uso nos dias de
hoje e grande importncia das decises a serem tomadas quanto
ao fato de reconhecer ou no esses certificados, algumas
organizaes podem desejar gerenciar a relao de confiana de
certificados e evitar que os usurios no domnio configurem seu
prprio conjunto de certificados de raiz confivel.
Utilizar as configuraes de Diretiva de Grupo relacionadas
relao de confiana de certificados exige um planejamento
cuidadoso a fim de determinar as necessidades de certificado de
usurios e computadores em sua organizao, alm de terminar como
esses certificados devero ser controlados. Voc pode conseguir
fornecer as usurios maior tolerncia se combinar a utilizao
dessas configuraes com um treinamento claro e eficiente de
forma que os usurios entendam a importncia dos certificados, os
riscos de um mau gerenciamento de certificados e como eles devem
gerenciar seus certificados com responsabilidade.
145
Gerenciar Editores Confiveis
As opes de diretiva encontradas na guia Trusted Publishers da
caixa de dilogo Configuraes de Validao de Caminho permitem
que os administradores controlem quais certificados podem ser
aceitos quando vierem de um editor confivel.
A assinatura de software tem sido utilizada por um nmero
crescente de editores de software e desenvolvedores de
aplicativos a fim de verificar se seus aplicativos so
provenientes de uma fonte confivel. No entanto, muitos usurios
no compreendem os certificados de assinatura associados aos
aplicativos que instalam ou sequer do ateno a esse fato.
Especificar opes de diretiva de publicao confiveis por toda
a organizao permite que as organizaes decidam de os
certificados Authenticode
podem ser gerenciados pelos usurios e

administradores ou se apenas pelos administradores corporativos.
Alm disso, esta seo da diretiva de validao de caminho pode
exigir que as verificaes de revogao adicional e o time stamp
sejam realizados antes que um certificado de publicao confivel
seja aceito.
usurios e computadores em sua organizao, alm de determinar
como esses certificados devero ser controlados. Voc pode
conseguir fornecer aos usurios maior tolerncia se combinar a
utilizao dessas configuraes com um treinamento claro e
eficiente de forma que os usurios entendam a importncia dos
certificados, os riscos de um mau gerenciamento de certificados e
como eles devem gerenciar seus certificados com responsabilidade.
Bloquear Certificados Que No Sejam Confiveis de Acordo Com a
Diretiva.
possvel evitar que determinados certificados sejam utilizados
em sua organizao, adicionando-os no armazenamento Untrusted
Certificates (Certificados No-Confiveis).
Pelo fato de os administradores serem responsveis pela preveno
da entrada de vrus e outros softwares maliciosos em seus
ambientes, no futuro, eles podero desejar bloquear a utilizao
de determinados certificados. Um certificado emitido por sua
prpria CA pode ser revogado, sendo adicionado a uma lista de
revogao de certificados. No possvel revogar certificados
emitidos por CAs externas. Entretanto, possvel proibir esses
certificados no-confiveis, adicionando-os no armazenamento
Untrusted Certificates. Esses certificados sero copiados para o
armazenamento Untrusted Certificates de cada computador cliente
no domnio na prxima vez em que a Diretiva de Grupo for
restaurada.
146
usurios e computadores em sua organizao, alm de terminar como
esses certificados devero ser controlados. Voc pode conseguir
fornecer aos usurios maior tolerncia se combinar a utilizao
dessas configuraes com um treinamento claro e eficiente de
forma que os usurios entendam a importncia dos certificados, os
riscos de um mau gerenciamento de certificados e como eles devem
gerenciar seus certificados com responsabilidade.
Gerenciar a Recuperao de Dados Relacionados a Certificados.
As CRLs podem tornar-se muito grandes e, conseqentemente,
falharem no processo de download, pois o processo mais demorado
do que o timeout padro de 15 segundos. As opes encontradas na
guia Network Retrieval da caixa de dilogo Configuraes de
Validao de Caminho permitem que os administradores modifiquem
os timeouts de recuperao padro a fim de resolver esse
problema.
Alm disso, as configuraes de validao de caminho e de
recuperao de rede permitem que os administradores:
Atualizem certificados automaticamente no Microsoft Root
Certificate Program.
Configurem valores de timeout de recuperao para as CRLS e
a validao de caminho (valores padro maiores podero ser
teis se as condies de rede no forem timas).
Ativem a recuperao de certificados do emissor durante a
validao de caminho.
Definam a freqncia de realizao do download de
certificados cruzados.
Para melhor eficincia, dados relacionados aos certificados, como
certificados de raiz confivel e listas de revogao de
certificados, devero ser atualizados adequadamente. No entanto,
as condies de rede nem sempre so timas, como para usurios
remotos ou escritrios de filiais. Essas configuraes de
Diretiva de Grupo permitem que voc garanta que os dados
relacionados aos certificados sejam atualizados mesmo quando as
condies de rede forem inferiores ao estado otimizado.
Ao preparar-se para esta alterao, determine se as condies de
rede impactam nos tempos de download das CRLs.
Gerenciar Perodos de Expirao para CRLs e Respostas OCSP
A revogao de um certificado anula um certificado como uma
credencial de segurana confivel antes da expirao natural de
seu perodo de validade. Um PKI depende da verificao
distribuda das credenciais, em que no h necessidade de
147
comunicao direta com a entidade confivel principal que atesta
as credenciais.
Para o suporte eficiente da revogao de certificados, o cliente
deve determinar se o certificado vlido ou se ele foi revogado.
Para dar suporte a uma variedade de cenrios, os Servios de
Certificado do Active Directory tem suporte para os mtodos de
padro industrial de revogao de certificados.
Isso inclui a publicao de CRLs e CRLs em diversos locais para
serem acessadas pelos clientes, incluindo os Servios de Domnio
do Active Directory, servidores Web e compartilhamentos de
arquivos de rede. No Windows, os dados de revogao podem ser
disponibilizados em diversas configuraes por meio das respostas
OCSP.
As condies de rede podem evitar que as CRLs mais recentes sejam
publicadas, o que poder fazer com que todos as validaes da
cadeia de certificados falhem. Estender o tempo de expirao da
CRL existente e da resposta OCSP pode prevenir que isso ocorra.
Utilizar configuraes de Diretiva de Grupo relacionadas aos
dados de revogao de certificados exige um planejamento
cuidadoso para determinar o equilbrio apropriado entre a adeso
rigorosa ao cronograma de publicao de CRL padro e as
conseqncias potenciais de estender o perodo de validade da CRL
caso uma CRL atualizada no esteja disponvel.

Implantando Certificados
Os certificados de usurio e computador podem ser implantados,
usando-se diversos mecanismos, incluindo o registro automtico, o
Assistente para Requisio de Certificado e o registro na Web.
Mas implantar outros tipos de certificados em uma grande
quantidade de computadores pode ser algo desafiador. No Windows
Server 2003, era possvel distribuir um certificado CA de raiz
confivel e certificados corporativos de confiana usando a
Diretiva de Grupo. No Windows Server Longhorn, todos os tipos
de certificados que seguem podem ser distribudos, quando so
armazenados adequadamente na Diretiva de Grupo:
Certificados CA de raiz confiveis
Certificados corporativos de confiana
Certificados CA Intermedirios
Certificados confiveis do editor
Certificados no-confiveis
Pessoas confiveis (para os certificados de confiana)
A variedade crescente dos certificados e a sua utilizao exige
que os administradores tenham meios eficientes para distribu-los
a usurios e computadores em suas organizaes.
148
Usar configuraes de Diretiva de Grupo relacionadas relao de
confiana requer um planejamento cauteloso para determinar as
necessidades de usurios e computadores em sua organizao, alm
da quantidade de controle que eles devem ter sobre esses
certificados. Voc deve ter a capacidade de fornecer o livre
arbtrio aos usurios, se combinar o uso dessas configuraes com
um treinamento claro e efetivo, a fim de que os usurios entendam
a importncia dos certificados, os riscos de um gerenciamento
fraco de certificados e a maneira de gerenci-los de forma
responsvel.
Voc deve ser membro do grupo de Administradores de Domnio para
configurar a Diretiva de Grupo neste domnio.
Network Device Enrollment Service
O Network Device Enrollment Service (NDES) a implementao da
Microsoft para o certificado Enrollment Protocol (SCEP), um
protocolo de comunicao que possibilita que o software seja
executado em dispositivos de rede, como roteadores e
alternadores, que, por sua vez, no podem ser autenticados na
rede, para registrar certificados de x509 a partir do CA.
O NDES opera como um filtro da Interface de Programao de
Aplicao para o Servidor da Internet (ISAPI) no IIS que
desempenha as seguintes funes:
Gerar e fornecer senhas nicas de registro aos
administradores
Receber e processar requisies de registro SCEP em nome de
softwares executados nos dispositivos de rede
Recuperar requisies pendentes do CA.
Este recurso aplica-se s organizaes que tm PKIs com um ou
mais CAs do Windows Server Longhorn CAs e que desejam aprimorar
a segurana das comunicaes, usando o IPsec com dispositivos de
rede, como os roteadores e alternadores.
Adicionar suporte ao NDES pode aprimorar, de forma significativa,
a flexibilidade e escalabilidade do PKI de uma organizao;
portanto, este recurso pode interessar os arquitetos de PKI,
planejadores e administradores.
As organizaes e os profissionais interessados nos NDES podem
querer saber mais sobre as especificaes de SCEP em que ele se
baseia.
O SCEP foi desenvolvido pela Cisco Systems Inc. como extenso aos
j existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padres,
para permitir o registro de dispositivo de rede e certificado da
aplicao com os CAs.
No Windows Server 2003, o Microsoft SCEP (MSCEP) era um
suplemento do Windows Server 2003 Resource Kit que precisava ser
149
instalado no mesmo computador que o CA. No Windows Server
Longhorn, o suporte do MSCEP foi renomeado para NDES e faz
parte do sistema operacional, podendo ser instalado em um
computador diferente do CA.
A extenso do NDES ao IIS utiliza o registro para armazenar
configuraes de configuraes. Todas as configuraes so
armazenadas sob a chave do Registro:
HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP
A tabela que segue define as chaves de registro usadas para
configurar o MSCEP:
Chaves do Registro em MSCEP
Nome da Configurao Opcional Valor
Padro
Valores Possveis
Atualizao No 7 Quantidade de dias em que as
requisies pendentes so mantidas no
banco de dados NDESP.
Aplicar Senha No 1 Define se as senhas so exigidas para
requisies de registro. O valor 1
significa que o NDES requer uma senha
para requisies de registro. O valor
0 (zero) significa as senhas no
requeridas.
PasswordMax No 5 Quantidade mxima de senhas
disponveis que podem ser
armazenadas.
Nota:
Nas verses anteriores, o padro era
1.000.
PasswordValidity No 60 Quantidade de minutos em que uma
senha vlida.
PasswordVDir Sim O nome do diretrio virtual pode ser
usado para as requisies de senha.
Se definido, o NDES aceita
requisies de senha apenas do
diretrio virtual estabelecido. Se o
valor est vazio ou no configurado,
o NDES aceita as requisies de senha
de qualquer diretrio virtual.
CacheRequest No 20 Quantidade de minutos em que os
certificados emitidos so mantidos no
banco de dados SCEP.
CAType No Baseado
na
configur
ao
Identifica o tipo de CA ao qual o
NDES est ligado. O valor 1 significa
que um CA corporativa; o valor 0
significa que um CA autnomo.
SigningTemplate Sim No
definido
Se a chave estiver definida, o NDES
usa um valor, como o nome modelo do
certificado, quando os clientes se
cadastram para assinar o certificado.
EncryptionTemplate Sim No
definido
cadastram para um certificado de
criptografia.
SigningAndEncryptionTem
plate
Sim No
definido
cadastram para assinar e criptografar
150
um certificado, ou quando a
requisio no inclui uma utilizao
estendida da chave.

Antes de instalar o NDES, decida o seguinte:
Se usar uma conta de usurio dedicada para o servio ou
usar a conta do Network Service
O nome da autoridade de registro (RA) do NDES e qual
pas/regio usar. As informaes so includas em qualquer
certificado MSCEP emitido
O provedor de servio criptogrfico (CSP) para usar na
chave de assinatura usada para criptografar a comunicao
entre o CA e a RA
O CSP a ser usado para a chave de criptografia usada para
criptografar a comunicao entre a RA e o dispositivo de
rede
A extenso de cada chave
Alm disso, voc precisa criar e configurar modelos de
certificado usados juntamente com o NDES.
Instalar o NDES em um computador cria uma nova RA e exclui
quaisquer certificados RA pr-existentes no computador. Portanto,
se voc planeja instalar o NDES em um computador em que outra RA
tenha sido configurada, quaisquer requisies pendentes de
certificado devem ser processadas e todos os certificados no
declarados devem ser antes de o NDES ser instalado.
PKI Corporativo
Monitorar e ajustar a integridade de mltiplos CAs para a
hierarquia de PKI corporativo, nos Servios de Certificado do
Active Directory, so tarefas administrativas essenciais
simplificadas pelo PKI Corporativo (PKIView). Originalmente parte
do Microsoft Windows Server 2003 Resource Kit, chamado de
ferramenta PKI Health, o PKIView agora um snap-in de MMC do
Windows Server Longhorn. Como ele faz parte do sistema
operacional ncleo do Windows Server Longhorn, voc pode us-lo
depois da instalao do servidor, apenas adicionando-o ao MMC.
Ele ento se torna disponvel para analisar o estado de
integridade dos CAs e para ver detalhes dos certificados de CA
publicados nos Servios de Certificados do Active Directory.
O PKIView fornece uma visualizao do status do seu ambiente PKI
da rede. Ter uma viso de todos os CAs e de seus estados permite
que os administradores gerenciem as hierarquias de CA e
solucionem problemas de possveis erros, de forma fcil e
efetiva. Mais especificamente, o PKIView indica a validade ou
acessibilidade dos locais de acesso s informaes de autoridade
(AIA) e dos pontos de distribuio de CRL (CDP).
151
Para cada CA selecionado, o PKIView indica o estado de
integridade do CA em rvore, como segue:
Estados de integridade do CA
Indicador Estado do CA
Ponto de Interrogao Avaliao do estado de integridade
do CA
Indicador verde CA sem nenhum problema
Indicador amarelo CA com problema no-crtico
Indicador vermelho CA com problema crtico
Cruz vermelha sobre o
cone do CA
CA est offline

Ao adicionar um snap-in do PKIView ao MMC, voc v trs painis:
rvore. Este painel exibe uma representao em rvore da
sua hierarquia de PKI corporativo. Cada n abaixo de
Enterprise PKI representa um CA com outros CAs atuando como
ns filhos.
Resultados. Para o CA selecionado na rvore, este painel
exibe uma lista de CAs subordinados, certificados de CA,
pontos de distribuio CRL (CDPs) e locais AIA. Se a raiz
do console for selecionada na rvore, o painel de
resultados exibe todos os CAs da raiz. H trs colunas no
painel de resultados:
o Nome. Se o n Enterprise PKI selecionado, os nomes
dos CAs raiz, abaixo do primeiro, so exibidos. Se um
CA ou um CA filho for selecionado, ento os nomes dos
certificados de CA, locais AIA e CDPs so exibidos.
o Status. Breve descrio do status do CA (tambm
indicado na rvore pelo cone associado ao CA
selecionado) ou o status dos Certificados de CA,
locais AIA ou CDPs (indicado pelas descries em
texto do status, exemplos dos quais so OK e No
possvel fazer o Download).
o Local. Os locais AIA e os CDPs (protocolo e caminho)
para cada certificado. Alguns exemplos so file://,
HTTP:// e LDAP://.
Aes. Este painel fornece a mesma funcionalidade
encontrada nos menus Aes, Exibir e Ajuda.
Dependendo do item selecionado tanto na rvore como no painel de
resultados, voc pode visualizar mais detalhes sobre os CAs e
certificados de CA, incluindo informaes de AIA e CRL no painel
de aes. Voc tambm pode gerenciar a estrutura do PKI
corporativo e fazer correes ou alteraes nos certificados de
CA ou CRLs.
152
Voc pode usar o PKIView em uma rede corporativa que utilize os
Servios de Certificado do Active Directory e contenha um ou mais
CAs, geralmente com mais de uma hierarquia de PKI.
Os usurios mais avanados de PKIView incluem administradores e
profissionais de TI familiarizados com o monitoramento da
integridade do CA e a resoluo de problemas no ambiente de rede
dos Servios de Certificado do Active Directory.
Voc pode usar o PKIView apenas no ambiente dos Servios de
Certificado do Active Directory.
O PKIView agora suporta a codificao de caracteres Unicode.
Suporte a Caracteres Unicode
O PKIView fornece suporte completo para caracteres Unicode,
juntamente com a codificao do PrintableString. Usar a
codificao de caracteres Unicode permite que voc apresente
textos e smbolos de todos os idiomas. A codificao Unicode usa
um esquema de Formato de Transformao Unicode (UTF-8) que
atribui dois bytes para cada caractere. possvel um total de
65.536 combinaes. Em contrapartida, a codificao
PrintableString permite que voc use apenas um simples sub-
conjunto de caracteres ASCII. Esses caracteres so de A-Z a-z 0-9
(espao) ' () + , . / : = ?.
Suporte ao Protocolo de Status do Certificado
Online
Cancelar um certificado uma parte necessria do processo de
gerenciar certificados emitidos por CAs. Os meios mais comuns de
comunicar um status do certificado distribuindo CRLs. Nas
infra-estruturas de chave pblica do Windows Server Longhorn,
em que o uso de CRLs convencionais no a melhor soluo, um
Online Responder, baseado no OCSP, pode ser usado para gerenciar
e distribuir as informaes de status da revogao.
O uso dos Online Responders que distribuem respostas de OCSP,
junto com o uso dos CRLs, um dos dois mtodos mais comuns para
transmitir informaes sobre a validade dos certificados.
Diferente dos CRLs, distribudos periodicamente, com informaes
sobre todos os certificados que foram cancelados ou suspensos, um
Online Responder recebe e responde apenas as requisies de
clientes que pedem informaes sobre o status de um nico
certificado. A quantidade de dados recuperados por requisio
permanece constante, independente de quantos certificados
cancelados possam haver.
Em muitos casos, os Online Responders podem processar requisies
de status do certificado de forma mais eficiente do que usando
listas de revogao de certificado.
153
Os clientes se conectam remotamente rede e no precisam,
ou no tm, conexes de alta velocidade para o download de
grandes CRLs.
Uma rede precisa controlar altos picos de atividade de
verificao de revogao, como quando grande nmero de
usurios efetua login ou envia um e-mail assinado ao mesmo
tempo.
Uma organizao precisa de meios eficientes para distribuir
os dados de revogao para certificados emitidos por um CA
que no seja Microsoft.
Uma organizao deseja fornecer apenas os dados de
revogao necessrios para verificar as requisies
individuais do status do certificado, e no s tornar
disponveis as informaes sobre todos os certificados
cancelados ou suspensos.
Este recurso aplica-se a organizaes que tm PKIs com um ou mais
CAs do Windows.
Adicionar um ou mais Online Responders pode aprimorar, de forma
significativa, a flexibilidade e escalabilidade do PKI de uma
organizao; portanto, este recurso pode interessar os arquitetos
de PKI, planejadores e administradores.
Para instalar um Online Responder, voc deve ser administrador do
computador em que ele est instalado.
Os Online Responders, no Windows Server Longhorn, incluem os
seguintes recursos.
Caching do proxy da Web. O armazenamento do proxy da Web do
Online Responder a interface de servios para o Online
Responder. Ele implementado como uma extenso ISAPI
hospedada pelo IIS.
Suporte a requisies nicas ou contnuas. As opes de
configurao para requisio nica ou contnua podem ser
usadas para prevenir ataques freqentes de respostas do
Online Responder.
Integrao de configurao do Windows. Um Online Responder
pode ser configurado, usando-se a Ferramenta de
Gerenciamento de Funes do Windows Server.
Suporte avanado criptografia. Um Online Responder pode
ser configurado para usar uma criptografia de curva
elptica (ECC) e SHA-256 para operaes criptogrficas.
Modelos pr-configurados de certificados de assinatura
OCSP. A implantao de um Online Responder simplificado
pelo uso de um modelo de certificado de assinatura OCSP,
disponvel no Windows Server Longhorn.
Integrao do protocolo Kerberos. As requisies e
respostas do Online Responder podem ser processadas junto
154
com a autenticao de senha do para uma validao imediata
dos certificados de servidor ao efetuar login.
Os Microsoft Online Responders so baseados no RFC 2560 para OCSP
e esto em conformidade com eles. Por essa razo, as respostas
quanto ao status do certificado dos Online Responders so
geralmente referidas como respostas OCSP. Para mais informaes
sobre o RFC 2560, visite o site do Internet Engineering Task
Force em (http://go.microsoft.com/fwlink/?LinkId=67082).
Dois novos conjuntos de funcionalidades podem ser originados do
servio Online Responder:
Online Responders. A funcionalidade bsica do Online
Responder fornecida por um nico computador em que seu
Servio est instalado.
Matrizes do Responder. Diversos computadores ligados que
hospedam o Online Responders e processam as requisies de
status do certificado.
Online Responder
Um Online Responder um computador em que o servio do Online
Responder executado. Um computador que hospeda um CA tambm
pode ser configurado como um Online Responder, mas recomenda-se
manter os CAs e os Online Responders em computadores separados.
Um nico Online Responder pode fornecer informaes de status de
revogao para certificados emitidos por um nico CA ou diversos.
As informaes de revogao de CA podem ser distribudas usando
mais de um Online Responder.
As aplicaes que dependem de certificados X.509, como S/MIME,
SSL, EFS e smart cards precisam validar o status dos certificados
sempre que so usados para realizar autenticao, assinatura ou
criptografia. A verificao de revogao e status do certificado
analisa a validade dos certificados com base em:
Tempo. Os certificados so emitidos em um perodo de tempo
fixo e considerado vlido, contanto que no se atinja a
data de vencimento do certificado e que ele no seja
cancelado antes da data.
Status da revogao. Os certificados podem ser cancelados
antes da sua data de vencimento, por uma srie de motivos,
como a suspenso ou comprometimento da chave.
As listas de revogao do certificado contm os nmeros de srie
de todos os certificados emitidos por um CA que tenha sido
cancelado. Para um cliente verificar o status de revogao de um
certificado, ele deve fazer o download de um CRL que contenha
informaes sobre todos os certificados que tenham sido
cancelados pelo CA.
H duas principais desvantagens nisso: Com o tempo, os CRLs podem
se tornar extremamente grandes, o que pode exigir recursos
significativos de rede e armazenamento para o CA, alm da parte
155
componente. Isso pode resultar em compensaes entre uma
distribuio mais freqente de CRLs atualizados e o tempo e
largura de banda da rede para distribu-los. Se os CRLs forem
publicados com menor freqncia, os clientes devero contar com
informaes sobre a revogao menos precisas.
J houve inmeras tentativas de resolver o tamanho do CRL por
meio da introduo de CRLs particionados, CRLs delta e CRLs
indiretos. Todas essas abordagens acrescentaram complexidade e
custo ao sistema, sem fornecer uma soluo.
Quando voc utiliza o Online Responders, em vez de contar com os
clientes, eles recebem todos os dados de revogao do
certificado. Uma parte confivel envia uma requisio de status
sobre um certificado individual para um Online Responder, que
retorna uma resposta definitiva e digitalmente assinada,
indicando o status apenas do certificado solicitado. A
quantidade de dados recuperados por requisio constante,
independente de quantos certificados cancelados existam no banco
de dados, dentro do CA. Os Online Responders podem ser instalados
em computadores que executam o Windows Server Longhorn. Eles
devem ser instalados depois dos CAs, mas antes que os
certificados clientes sejam emitidos. Os dados de revogao do
certificado so derivados de um CRL publicado que pode vir de um
CA em um computador que execute o Windows Server Longhorn, um
que execute o Windows Server 2003, ou de um CA no-Microsoft.
Antes de configurar um CA para suportar o servio Online
Responder, deve-se apresentar o seguinte:
O IIS deve estar instalado no computador, antes que o
Online Responder possa ser instalado. A configurao
correta do IIS para o Online Responder instalada
automaticamente quando voc instala um Online Responder.
Um modelo de certificado de assinatura OCSP deve ser
configurado no CA, alm do registro automtico usado para
emitir um certificado de assinatura OCSP para o computador
em que o Online Responder ser instalado.
A URL do Online Responder deve ser includa na extenso AIA
dos certificados emitidos pelo CA. Essa URL usada pelo
cliente Online Responder para validar o status do
certificado.
Depois que um Online Responder foi instalado, voc tambm precisa
criar uma configurao de revogao para cada CA e certificado CA
atendido por um Online Responder.
Uma configurao de revogao inclui todas as configuraes
necessrias para responder s requisies de status quanto aos
certificados que foram emitidos usando uma chave especfica de
CA. Essas configuraes de configurao incluem o seguinte:
156
certificado CA. Este certificado pode ser encontrado em um
controlador de domnio, em seu armazenamento local ou
importado de um arquivo.
Assinando um certificado para o Online Responder. Este
certificado pode ser selecionado automaticamente para voc,
manualmente (que envolve uma instruo separada de
importao depois que voc concluir o procedimento regular
de configurao da revogao), ou voc pode usar o
certificado CA selecionado.
Provedor de revogao que ir fornecer os dados de
revogao usados por essa configurao. Essas informaes
so inseridas na forma de um ou mais URLs, em que uma base
vlida e CRLs delta podem ser obtidos.
Importante
Antes de comear a adicionar uma nova configurao de
revogao, verifique se possui essas informaes
disponveis.
Matrizes do Responder
Mltiplos Online Responders podem ser ligados a uma Matriz do
Online Responder. Os Online Responders, em uma Matriz, so
referidos como membros da Matriz. Um membro da Matriz pode ser
designado o Controlador da Matriz. Embora cada Online Responder
em uma Matriz possa ser configurado de forma independente, no
caso de conflitos, as informaes de configurao do Controlador
da Matriz iro superar as opes definidas em outros membros da
Matriz.
Uma Matriz de Online Responder pode ser criada e outros Online
Responders podem ser adicionados por uma srie de razes,
incluindo tolerncia a falhas no caso de um Online Responder
individual se tornar indisponvel, por consideraes geogrficas,
escalabilidade ou estrutura da rede.
Por exemplo, as filiais remotas podem no ter conexes
consistentes com suas matrizes, onde o CA est localizado.
Portanto, nem sempre possvel contatar o CA ou um Online
Responder remoto para processar uma requisio do status de
revogao.
Como os membros de uma Matriz do Online Responder podem ser
remotos e estar sujeitos a condies de rede insatisfatrias,
cada membro da matriz pode ser monitorado e gerenciado de forma
independente.
Configurar uma Matriz do Online Responder requer bons
conhecimentos de planejamento baseado em:
Nmero e local dos CAs que esto sendo atendidos pela
matriz
157
Nmero de clientes que iro solicitar certificados a
partir dos CAs e seus locais
Conectividade de rede entre clientes, CAs e Online
Responders potenciais
Volume de registros de certificado, revogaes e
requisies de status que a infra-estrutura da chave
pblica da organizao controla
Necessidade de redundncia no caso de os Online Responders
se tornarem disponveis
Depois que a Matriz do Online Responder foi planejada, configurar
uma Matriz envolve uma quantidade de procedimentos que devem ser
coordenados.
Diretiva de Grupo
Diversas configuraes da Diretiva de Grupo foram adicionadas
para aprimorar o gerenciamento do OCSP e uso dos dados do CRL.
Por exemplo, os CRLs possuem datas de vencimento, como os
certificados, e, se essa data passar antes de uma atualizao ser
publicada ou disponibilizada, a validao da cadeia de
certificados pode falhar, mesmo com a presena de um Online
Responder. Isso acontece, pois o Online Responder conta com os
dados de uma CRL expirada. Em situaes em que as condies de
rede podem atrasar a publicao adequada e o recebimento das CRLs
atualizadas, os administradores podem usar essas configuraes da
Diretiva de Grupo para estender o tempo de validade de um CRL
existente ou resposta do OCSP.
Voc pode estender o perodo dos CRLs e respostas do OCSP, indo
guia revogao nas configuraes de Validao (Configurao do
Computador, Configuraes do Windows, Configuraes de Segurana
e Diretivas da Chave Pblica). Para configurar essas opes, faa
o seguinte:
Clique em Definir essas configuraes de segurana.
Clique em Permitir que todos os CRLs e respostas do OCSP
sejam vlidas por mais tempo.
Selecione Tempo padro em que o perodo de validade pode
ser estendido, e informe o valor desejado de tempo (em
horas).
Uma opo separada da guia revogao permite que voc sobrescreva
as respostas do OCSP com informaes contidas nos CRLs. Assim, um
certificado que tenha sido cancelado, adicionando-o a um CRL
local, pode ser verificado como vlido, se um cliente tiver um
CRL que no inclua seu status de revogao. Embora esta opo no
seja recomendada, pode ser til em casos em que as alteraes de
revogao feitas por um administrador local no sejam finais at
que um administrador de CA verifique a mudana.
158
Essas configuraes esto localizadas em Configurao do
Computador, Configuraes do Windows, Configuraes de Segurana
e Diretivas da Chave Pblica.
Importante
As credenciais administrativas so necessrias para
modificar as configuraes da Diretiva de Grupo.
Implantao
Como os Online Responders so feitos para atender requisies
individuais de status do certificado, uma Matriz de Online
Responder geralmente requer mltiplos Online Responders,
geograficamente dispersos, para equilibrar a carga. Como cada
resposta do status assinada, cada Online Responder deve ser
instalado em um servidor confivel.
Os Online Responders do Windows Server Longhorn podem ser
instalados nas seguintes configuraes matrizes:
Online Responder nico para mltiplos CAs. O Online
Responder requer uma chave e um certificado assinado para
cada CA suportado. Um Online Responder deve ser emitido com
um certificado assinado a partir do CA emitido. Um Online
Responder no pode fornecer o status de um certificado
maior na cadeia do que um CA que tenha emitido o
certificado assinado.
Online Responders Mltiplos para um nico CA. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado. Esse suporte vem por meio de
clustering. A lgica do clustering se responsabiliza por
conduzir o cliente a requisies de um Online Responder
especfico.
Mltiplos Online Responders para mltiplos CAs. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado.
Voc pode se preparar para implantar o Online Responders fazendo
o seguinte:
Avaliar os benefcios potenciais de suplementar CRLs usando
Online Responders para gerenciar a verificao de revogao
na sua organizao
Identificar os locais possveis onde o Online Responders
possa ser til
Dependendo do nmero de CAs e locais que voc est
suportando, o volume de requisies de validao do
certificado que voc antecipar e as condies de rede entre
os CAs e os locais, identificar a configurao da
instalao a partir de uma lista precedente que melhor se
adapte sua organizao
159
Identificar os locais para cada Online Responder e a forma
como eles devem ser gerenciados
Testar o Online Responder e a configurao do PKI em um
ambiente de laboratrio para validar o modelo de PKI e
identificar as opes de configurao para cada Online
Responder e configurao de revogao
Instalar e configurar cada Online Responder

160
5.08 Servios de Domnio do Active Directory

Os Servios de Domnio do Active Directory armazena informaes
sobre usurios, computadores e outros dispositivos na rede. Os
Servios de Domnio do Active Directory ajuda os administradores
a gerenciar, de forma segura, essas informaes e facilita o
compartilhamento de recursos e colaborao entre os usurios.
Exige-se tambm que ele seja instalado na rede para instalar as
aplicaes ativadas pelo diretrio, como o Microsoft Exchange
Server, e para aplicar outras tecnologias do Windows Server, como
a Diretiva de Grupo.
Os tpicos que seguem descrevem alteraes na funcionalidade dos
Servios de Domnio do Active Directory disponvel nesta verso:
Servios de Domnio do Active Directory: Auditoria
Servios de Domnio do Active Directory: Diretivas de Senha
Granuladas
Servios de Domnio do Active Directory: Controladores de
Domnio de Somente Leitura
Servios de Domnio do Active Directory: Servios de
Domnio do Active Directory Reinicializveis
Servios de Domnio do Active Directory: Exibio em Telas
Servios de Domnio do Active Directory: Melhorias na
Interface de Usurio
Servios de Domnio do Active Directory:
Auditoria
No Windows Server Longhorn, voc agora pode configurar a
auditoria dos Servios de Domnio do Active Directory por uma
nova sub-categoria da diretiva de auditoria (Alteraes no
Servio de Diretrio) para registrar valores novos e antigos
quando houver alteraes nos objetos dos Servios de Domnio do
Active Directory e seus atributos.
Nota
Este novo recurso de auditoria tambm se aplica ao Active
Directory Lightweight Directory Services. No entanto, a
discusso refere-se apenas aos Servios de Domnio do
Active Directory.
A diretiva global de auditoria, Auditoria do acesso ao servio de
diretrio, controla se a auditoria para os eventos do servio de
diretrio esta ativada ou no. Essa configurao de segurana
determina se os eventos esto registrados no log de Segurana,
quando certas operaes so realizadas em objetos do diretrio.
Voc pode controlar quais operaes auditar, modificando a lista
de controle de acesso ao sistema (SACL) em um objeto. No Windows
Server Longhorn, esta diretiva est ativada por padro.
161
Se voc definir a configurao da diretiva (modificando a
Diretiva padro dos Controladores de Domnio), pode especificar
auditar os sucessos, falhas ou ento no auditar nada. As
auditorias de sucesso geram uma entrada sempre que um usurio
acessa, com sucesso, um objeto dos Servios de Domnio do Active
Directory que tenha um SACL especificado. As auditorias de falha
geram uma entrada sempre que um usurio acessa, sem sucesso, um
objeto dos Servios de Domnio do Active Directory que tenha um
SACL especificado.
Voc pode definir um SACL em um objeto dos Servios de Domnio do
Active Directory na guia Segurana, na caixa de dilogo de
propriedades do objeto. A Auditoria de acesso ao servio de
diretrio aplicada da mesma forma como na Auditoria de acesso
ao objeto; no entanto, ela se aplica apenas aos objetos dos
Servios de Domnio do Active Directory e no aos objetos do
sistema de arquivo e do registro.
Esse recurso aplica-se aos administradores de Servios de Domnio
do Active Directory, responsveis por configurar a auditoria no
diretrio. Os administradores definem SACLs apropriados para
fazer a auditoria.
Em geral, as permisses para modificar SACLs e visualizar o log
de Segurana so atribudos apenas a membros dos grupos de
Administradores, incluindo de Domnio Domain,
Builtin\Administradores e de Empresa.
O Windows Server Longhorn est incluindo a capacidade de a
auditoria dos Servios de Domnio do Active Directory registrar
valores novos e antigos de um atributo quando uma alterao bem
sucedida feita nele. Antes, a auditoria dos Servios de Domnio
do Active Directory registrava apenas o nome do atributo que era
alterado; e no seus valores antigos e atuais.
Auditoria de Acesso aos Servios de Domnio do Active Directory
No Windows 2000 Server e Windows Server 2003, havia uma diretiva
de auditoria, o Audit Directory Service Access, que controlava se
a auditoria dos eventos de servio de diretrio era ativada ou
no. No Windows Server Longhorn, essa diretiva dividida em
quatro sub-categorias:
Directory Service Access
Directory Service Changes
Directory Service Replication
Detailed Directory Service Replication
A capacidade de auditar alteraes nos objetos dos Servios de
Domnio do Active Directory ativada com a nova sub-categoria de
auditoria, o Directory Service Changes. Os tipos de alteraes
que voc pode auditar so criar, modificar, mover e no excluir
operaes feitas em um objeto. Os eventos que so gerados por
essas operaes aparecem no log de Segurana.
162
Essa nova sub-categoria da diretiva adiciona as seguintes
capacidades aos Servios de Domnio do Active Directory:
Quando uma operao bem sucedida de modificao realizada
em um atributo de um objeto, os Servios de Domnio do
Active Directory registra seus valores novos e atuais. Se o
atributo possuir mais de um valor, apenas os valores que
mudam, como resultado da operao de modificao, so
registrados.
Caso um novo objeto seja criado, os valores dos atributos
populados no momento da criao so registrados. Se os
atributos so adicionados durante a operao de criao,
esses novos valores so registrados. Na maioria dos casos,
os Servios de Domnio do Active Directory atribui valores
padres aos atributos (como o sAMAccountName). Os valores
desses atributos do sistema no so registrados.
Se um objeto movido dentro de um domnio, o local novo e
o anterior (na forma de nome diferente) registrado.
Quando um objeto movido para um domnio diferente, um
evento de criao gerado no controlador de domnio do
domnio alvo.
Se um objeto no excludo, o local para o qual ele foi
movido registrado. Alm disso, se os atributos forem
adicionados, modificados ou excludos durante uma operao
de no-excluso, seus valores no sero registrados.
Nota
Caso um objeto seja excludo, no so gerados eventos de
auditoria de alterao. No entanto, um evento de auditoria
gerado caso a sub-categoria do Directory Service Access
seja ativado.
Depois que o Directory Service Changes ativado, os Servios de
Domnio do Active Directory registra eventos no log de Segurana,
quando so feitas alteraes aos objetos que um administrador
configurou para auditoria. A tabela que segue descreve esses
eventos.
Alteraes no Directory Service Eventos dos Servios de Domnio do Active
Directory
ID do Evento Tipo de Evento Descrio do Evento
5136 Modificar O evento registrado quando uma
modificao bem sucedida feita
a um atributo no diretrio.
5137 Criar Este evento registrado quando
um novo objeto criado no
diretrio.
5138 No excluir Este evento registrado quando
um objeto no excludo do
diretrio.
5139 Mover Este evento registrado quando
um objeto movido dentro do
domnio.
163

A capacidade de identificar como os atributos do objeto mudam
torna os logs de eventos mais teis como um mecanismo de
acompanhamento a alteraes que ocorrem por toda a durao de um
projeto.
No Windows Server Longhorn, voc implementa um novo recurso de
auditoria, usando os seguintes controles:
Diretiva de auditoria global
SACL
Esquema
Diretiva de auditoria global
Ativar a diretiva de auditoria global, Auditoria do acesso ao
servio de diretrio, ativa todas as sub-categorias da diretiva
do servio de diretrio. Voc pode definir essa diretiva global
na Diretiva de Grupo dos Controladores de Domnio Padro (abaixo
de Configuraes de Segurana\Diretivas Locais\Diretiva de
Auditoria). No Windows Server Longhorn, esta diretiva est
ativada por padro. Portanto, a sub-categoria Directory Service
Changes tambm est ativada por padro. Esta sub-categoria est
definida apenas para os eventos de sucesso.
No Windows 2000 Server e Windows Server 2003, a diretiva
Auditoria do acesso ao servio de diretrio era o nico controle
disponvel para o Active Directory. Os eventos que eram gerados
por esse controle no mostravam os valores novos e antigos de
nenhuma modificao. Essa configurao gerava eventos de
auditoria no log de Segurana, com o nmero de ID 566. No Windows
Server Longhorn, a sub-categoria Directory Service Access ainda
gera os mesmos eventos, mas seu nmero de ID alterado para
4662.
Com a nova sub-categoria Directory Service Changes, alteraes
bem sucedidas so registradas junto com os valores novos e
antigos do atributo. As configuraes para Directory Service
Access e Directory Service Changes esto armazenadas no banco de
dados da Autoridade de Segurana Local (LSA). Elas podem ser
consultadas com novos LSA APIs.
As duas sub-categorias de auditoria so independentes uma da
outra. Voc pode desabilitar Directory Service Access e ainda ser
capaz de ver eventos de alterao gerados caso a sub-categoria
Directory Service Changes esteja ativada. Da mesma forma, se voc
desabilitar Directory Service Changes e ativar Directory Service
Access, pode ver os eventos do log de Segurana com o nmero de
ID 4662.
Voc pode usar a ferramenta Auditpol.exe da linha de comando ou
definir sub-categorias da diretiva de auditoria. No existe uma
ferramenta de interface do Windows disponvel no Windows Server
164
Longhorn Beta 2 para visualizar ou definir sub-categorias da
diretiva de auditoria.
SACL
O SACL a parte de um descritor de segurana do objeto que
especifica as operaes a serem auditadas para princpio de
segurana. O SACL do objeto ainda a autoridade principal para
determinar se uma verificao de acesso deve ou no ser auditada.
O contedo do SACL controlado pelos administradores de
segurana do sistema local. Os administradores de segurana so
usurios atribudos aos privilgio de Gerenciar Log de Auditoria
e Segurana (SeSecurityPrivilege). Por padro, esse privilgio
atribudo ao grupo de Administradores integrado.
Se no houver entrada de controle de acesso (ACE) no SACL que
requer o registro das modificaes do atributo, mesmo que a sub-
categoria de Directory Service Changes esteja ativada, nenhum
evento de auditoria de alterao registrado. Por exemplo, se
no houver ACE no SACL que requer acesso Propriedade de Escrita
no atributo do nmero de telefone de um objeto de usurio a ser
auditado, nenhum evento de auditoria gerado quando esse
atributo modificado, mesmo que a sub-categoria Directory
Service Changes esteja ativada.
Esquema
Para evitar a possibilidade de um nmero excessivo de eventos que
esto sendo gerados, existe um controle adicional no esquema, que
pode ser usado para criar excees ao que auditado.
Por exemplo, se voc deseja ver alteraes a todas as
modificaes de atributo em um objeto de usurio exceto a um ou
dois atributos voc pode definir uma indicao no esquema para
atributos que no deseja auditar. A propriedade searchFlags de
cada atributo define se ele indexado, replicado ao catlogo
global ou algum outro tipo de comportamento. Existem sete bits
atualmente definidos para a propriedade searchFlags.
Se o bit 9 (valor 256) for definido para um atributo, os Servios
de Domnio do Active Directory no registrar eventos de
alterao quando as modificaes forem feitas. Isso se aplica a
todos os objetos que contm aquele atributo.
Configuraes do Registro
Os seguintes valores de chave do registro so usados para
configurar a auditoria dos Servios de Domnio do Active
Directory.
Valores de Chave do Registro Auditoria dos Servios de Domnio do Active
Directory
Nome da Configurao Local Valores Possveis
MaximumStringBytesToAudit HKEY_LOCAL_MACHINE\
System\CurrentControlSet\
Valor mnimo do
registro: 0
165
Services\NTDS\Parameters
Valor mximo do
registro: 64000
Valor padro: 1000
5137 Criar Este evento registrado
quando um novo objeto
criado no diretrio.
5138 No excluir Este evento registrado
quando um objeto no
excludo do diretrio.
5139 Mover Este evento registrado
quando um objeto movido
dentro do domnio.

Configuraes da Diretiva de Grupo
Voc no pode visualizar as sub-categorias da diretiva de
auditoria com o Editor de Objeto da Diretiva de Grupo
(GPedit.msc). Voc pode apenas visualiz-las com a ferramenta
Auditpol.exe de linha de comando. O comando auditpol do exemplo
que segue ativa a sub-categoria Directory Service Changes:
auditpol /set /subcategory:"directory service changes"
/success:enable
Diretivas de Senhas Detalhadas
O Windows Server Longhorn fornece s organizaes uma forma de
definir diretivas diferentes de senha e bloqueio de conta para
diferentes grupos de usurios em um domnio. Nos domnios do
Windows 2000 e Windows Server 2003 Active Directory, apenas uma
diretiva de senha e bloqueio de conta pode ser aplicada a todos
os usurios no domnio. Essas diretivas foram especificadas na
Diretiva de Domnio Padro do domnio. Como resultado, as
organizaes que desejavam configuraes diferentes de senha e
bloqueio de conta, para grupos diferentes de usurios, precisavam
tanto criar um filtro para senha como implantar mltiplos
domnios. As duas opes tm alto custo, por diversas razes.
Voc pode usar diretivas de senhas granuladas para especificar
mltiplas diretivas dentro de um nico domnio. Pode us-las
tambm para aplicar diferentes restries a senhas e diretivas de
bloqueio de conta para diferentes grupos de usurios em um
domnio.
Por exemplo, voc pode aplicar configuraes mais rigorosas s
contas privilegiadas e outras menos rigorosas s contas de outros
usurios. Em outros casos, voc pode aplicar uma diretiva de
senha especial a contas cujas senhas so sincronizadas com outras
fontes de dados.
Os seguintes indivduos devem verificar essas informaes sobre
diretivas de senhas granuladas:
Planejadores e analistas de TI que avaliam tecnicamente o
produto
166
Planejadores corporativos de TI e designers de organizaes
Administradores ou gerentes responsveis pela segurana da
TI
Essas diretivas aplicam-se apenas a objetos do usurio (ou
objetos inetOrgPerson caso sejam usados no lugar de objetos do
usurio) e grupos de segurana global. Por padro, apenas membros
do grupo de Administradores do Domnio podem definir diretivas de
senhas granuladas. No entanto, voc tambm pode delegar a
habilidade de definir essas diretivas a outros usurios. O nvel
funcional do domnio deve ser Windows Server Longhorn.
Essas diretivas de senhas granuladas no interferem nos filtros
regulares que voc deve usar no mesmo domnio. As organizaes
que tm filtros de senha implantados em controladores de domnio
que executam o Windows 2000 ou Windows Server 2003 podem
continuar usando esses filtros para reforar restries
adicionais de senhas.
Armazenando Diretivas de Senhas Detalhadas
Para armazenar essas diretivas de senhas detalhadas, o Windows
Server Longhorn inclui duas novas classes de objetos no esquema
dos Servios de Domnio do Active Directory:
Container de Configurao de Senha
Configuraes de Senha
O Container de Configurao de Senha criado por padro, abaixo
do container Sistema, no domnio. Ele armazena os objetos de
Configurao de Senha (PSOs) para esse domnio. Voc no pode
renomear, mover ou excluir esse container.
Um PSO possui atributos para todas as configuraes que podem ser
definidas na Diretiva de Domnio Padro (exceto as configuraes
Kerberos). Essas configuraes incluem atributos para as
seguintes configuraes de senha:
Reforar o histrico de senha
Tempo mximo da senha
Tempo mnimo da senha
Extenso mnima da senha
As senhas devem suprir os requisitos de complexidade
Armazenar senhas usando criptografia reversvel
Essas configuraes tambm incluem atributos para as seguintes
configuraes de bloqueio de conta:
Durao do bloqueio da conta
Limite de bloqueio da conta
Redefinio de bloqueio da conta aps
Alm disso, um PSO possui os dois seguintes novos atributos:
167
PSO link. Este um atributo multivalorizado, ligado a
usurios e/ou objetos de grupo.
Precedncia. Este um valor inteiro usado para resolver
conflitos, se muitos PSOs so aplicados a um usurio ou
objeto de grupo.
Estes nove atributos so do tipo mustHave. Isso significa que
voc deve definir um valor a cada um. As configuraes de
mltiplos PSOs no podem ser mescladas.
Definindo o Escopo das Diretivas de Senhas Detalhadas
Um PSO pode ser vinculado a um usurio (ou inetOrgPerson) ou
objeto de grupo que esteja no mesmo domnio que o PSO.
Um PSO possui um atributo chamado PSOAppliesTo que contm
um link de encaminhamento a somente usurio ou objetos do
grupo. O atributo PSOAppliesTo multivalorizado, o que
quer dizer que voc pode aplicar um PSO a mltiplos
usurios ou grupos. Voc pode criar uma diretiva de senha e
aplic-la a diferentes conjuntos de usurios ou grupos.
Um novo atributo chamado PSOApplied foi adicionado ao
usurio e objetos de grupo no Windows Server Longhorn. O
atributo PSOApplied contm um link de retorno ao PSO. Como
o atributo PSOApplied possui um link de retorno, um usurio
ou grupo pode ter diversos PSOs aplicados a ele. Nesse
caso, as configuraes aplicadas so calculadas pelo
Conjunto Resultante da Diretiva (RSOP). Para mais
informaes, confira o RSOP, mais adiante, neste tpico.
Voc pode vincular um PSO a outros tipos de grupos, alm dos
grupos globais de segurana. Mas quando um conjunto resultante de
diretivas determinado a um usurio ou grupo, apenas os PSOs
vinculados a grupos globais de segurana ou objetos de usurios
so considerados. Os PSOs vinculados a grupos de distribuio ou
outros tipos de grupos de segurana so ignorados.
RSOP
Um usurio ou objeto de grupo pode ter mltiplos PSOs vinculados
a ele, tanto porque os membros, em mltiplos grupos, tm, cada
um, PSOs diferentes vinculados a eles, como porque mltiplos PSOs
so aplicados diretamente ao objeto. No entanto, apenas um PSO
pode ser aplicado como diretiva efetiva de senha. Apenas as
configuraes daquele PSO podem afetar o usurio ou grupo. As
configuraes de outros PSOs, que esto ligados ao usurio ou
grupo, no podem ser mescladas de maneira alguma.
O RSOP pode apenas ser calculado para um objeto do usurio. O PSO
pode ser aplicado ao objeto de usurio nas duas maneiras que
seguem:
Diretamente. O PSO vinculado ao usurio
168
Indiretamente. O PSO vinculado ao grupo(s) do qual o
usurio membro
Cada PSO possui um atributo adicional chamado precedncia, que
ajuda no clculo do RSOP. O atributo precedncia possui um valor
inteiro de 1 ou mais. Um valor mais baixo para o atributo
precedncia indica que o PSO tem uma classificao maior, ou
maior prioridade, do que outros PSOs. Por exemplo, suponha que um
objeto tenha dois PSOs vinculados a ele. Um PSO possui valor de
precedncia 2 e o outro tenha um valor 4. Neste caso, o PSO que
possui o valor de precedncia 2 tem maior classificao e,
portanto, aplicado ao objeto.
Se mltiplos PSOs so vinculados a um usurio ou grupo, o PSO
resultante aplicado determinado conforme o seguinte:
Um PSO que seja vinculado diretamente ao objeto de usurio
o PSO resultante. Se mais de um PSO for diretamente
vinculado ao objeto de usurio, uma mensagem de aviso ser
registrada no log de evento, e o PSO com o menor valor de
precedncia ser o PSO resultante.
Se no houver um PSO vinculado ao objeto de usurio, os
membros do grupo global de segurana do usurio, e todos os
PSOs que so aplicveis ao usurio com base nos membros do
grupo global, so comparados. O PSO com o valor de
precedncia mais baixo o PSO resultante.
Se nenhum PSO for obtido a partir das condies (1) e (2),
A Diretiva de Domnio Padro ser aplicada.
Recomendamos que voc atribua um valor de precedncia nico para
cada PSO que voc criar. No entanto, voc pode criar mltiplos
PSOs com o mesmo valor. Se mltiplos PSOs com o mesmo valor de
precedncia so obtidos para um usurio, o primeiro PSO obtido
ser aplicado.
Outro novo atributo chamado ResultantPSO foi adicionado ao objeto
de usurio. Um administrador pode consultar este atributo para
recuperar o nome distinto do PSO, que aplicado quele usurio
(baseado nas regras listadas anteriormente). Se no houver um
objeto de PSO que se aplique ao usurio, tanto direta quanto
virtualmente dos membros do grupo, a consulta retorna o nome
distinto do domnio.
Ao aplicar um PSO que seja diretamente ligado a um usurio ou
grupo, antes de outros PSOs, voc pode criar excees para certos
usurios de um grupo. Voc pode atribuir um PSO a um grupo de
usurios, mas atribuir uma diretiva diferente a alguns dos
membros. Em vez de ter de criar uma nova diretiva e reorganizar a
precedncia de todas as diretivas anteriores para um usurio em
particular, voc pode criar uma diretiva com qualquer
precedncia. Quando voc aplica a diretiva diretamente ao
usurio, ela aplicada primeiro.
169
O objeto de usurio possui trs bits, que podem ser definidos no
atributo userAccountControl do objeto de usurio que pode
sobrescrever as configuraes presentes no PSO resultante (muitos
desses bits sobrescrevem as configuraes da Diretiva de Domnio
Padro, no Windows 2000 e Windows Server 2003). Esses bits
incluem o seguinte:
Criptografia de senha reversvel exigida
Senha no exigida
Senha no expira
Esses bits continuam a superar as configuraes no PSO resultante
que aplicado ao objeto de usurio.
Segurana e Delegao
Por padro, apenas membros do grupo de Administradores de Domnio
podem criar PSOs. Apenas membros deste grupo possuem as
permisses Criar Filho e Excluir Filho, no objeto Password
Settings Container. Alm disso, apenas membros do grupo de
Administradores de Domnio tm permisses de Propriedade de
Escrita no PSO, por padro. Portanto, apenas membros deste grupo
podem aplicar um PSO a um grupo ou usurio. Voc pode delegar
essa permisso a outros grupos ou usurios.
Voc no precisa de permisses sobre o objeto do grupo ou usurio
para poder aplicar um PSO a ele. Ter permisses de Escrita no
usurio ou objeto de grupo no fornece a voc a capacidade de
vincular um PSO a um usurio ou grupo. O proprietrio de um grupo
no possui permisses de vincular um PSO ao grupo, pois o link de
encaminhamento est no PSO. O poder de vincular um PSO ao grupo
ou usurio dado ao proprietrio do PSO.
As configuraes no PSO podem ser consideradas confidenciais;
portanto, por padro, os Usurios Autenticados no tm permisses
de Propriedade de Leitura para um PSO. Por padro, apenas membros
do grupo de Administradores de Domnio possuem permisses da
Propriedade de Leitura no descritor de segurana padro do objeto
PSO no esquema.
Voc pode delegar essas permisses a qualquer grupo (como o help
desk ou aplicao de gerenciamento) no domnio ou floresta. Isso
tambm pode prevenir um usurio de ver suas configuraes de
senha no diretrio. O usurio pode ler os atributos ResultantPSO
ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que
se aplica ao usurio. O usurio no pode ver as configuraes
dentro do PSO.
Antes de adicionar um controlador de domnio que execute no
Windows Server Longhorn a um domnio existente do Active
Directory, voc deve executar o adprep /domainprep. Ao executar o
adprep /domainprep, o esquema do Active Directory estendido
para incluir novas classes de objetos que as diretivas de senhas
granuladas requerem.
170
Caso voc no crie essas diretivas para diferentes grupos de
usurios, as configuraes da Diretiva de Domnio Padro aplicam-
se a todos os usurios no domnio, assim como no Windows 2000 e
Windows Server 2003.
Controladores de Domnio de Somente Leitura
Um controlador de domnio de somente leitura (RODC) um novo
tipo de controlador no sistema operacional do Windows Server
Longhorn. Com o RODC, as organizaes so capazes de implantar,
facilmente, um controlador de domnio em locais onde a segurana
fsica no garantida. Um RODC hospeda parties de somente-
leitura dos Servios de Domnio do Active Directory.
Para mais informaes sobre os Controladores de Domnio de
Somente Leitura, recorra seo 4.02 Controlador de Domnio de Somente
Leitura, na pgina 85.
Servios de Domnio do Active Directory
Reinicializveis
Os administradores podem parar e reiniciar os Servios de Domnio
do Active Directory no Windows Server Longhorn, usando os snap-
ins do MMC ou a linha de comando.
Os Servios de Domnio do Active Directory Reinicializvel reduz
o tempo requerido para realizar certas operaes. Os Servios de
Domnio do Active Directory pode ser parado para que as
atualizaes possam ser aplicadas a um controlador de domnio; e
tambm, eles podem parar os Servios de Domnio do Active
Directory para realizar tarefas, como a desfragmentao offline
do banco de dados do Active Directory, sem reiniciar o
controlador de domnio. Outros servios que esto sendo
executados no servidor e que no dependem dos Servios de Domnio
do Active Directory para funcionar, como o Dynamic Host
Configuration Protocol (DHCP), permanecem disponveis para
satisfazer as requisies de clientes, enquanto os Servios de
Domnio do Active Directory parado.
Os Servios de Domnio do Active Directory Reinicializvel
fornece benefcios para o seguinte:
Planejadores e administradores da atualizao da segurana
Equipes de gerenciamento dos Servios de Domnio do Active
Directory
disponvel por padro em todos os controladores de domnio que
executam o Windows Server Longhorn. No existem requisitos
funcionais, ou outros pr-requisitos, para usar esse recurso.

Para saber
mais,
recorra
seo 4.02
Controlador
de Domnio
de Somente
Leitura na
pgina 85.
171
No Active Directory do sistema operacional Microsoft Windows 2000
Server e Windows Server 2003, a desfragmentao offline do banco
de dados exigia uma reinicializao do controlador de domnio no
Modo de Recuperao do Directory Services. Aplicar as
atualizaes de segurana geralmente requer uma reinicializao
do controlador de domnio.
No Windows Server Longhorn, no entanto, os administradores
podem parar e reiniciar os Servios de Domnio do Active
Directory. Isso torna possvel desempenhar as operaes offline
dos Servios de Domnio do Active Directory de forma mais rpida.
adiciona as menores alteraes aos snap-ins do MMC. Um
controlador de domnio que executa o Windows Server Longhorn
Active Directory Domain Services exibe o Controlador de Domnio
no n Servios (Local) do snap-in Servios de Componente e do
Gerenciamento do Computador. Usando qualquer um deles, um
administrador pode facilmente parar e reiniciar os Servios de
Domnio do Active Directory da mesma forma como com qualquer
outro servio que esteja sendo executado localmente no servidor.
Embora parar os Servios de Domnio do Active Directory seja como
efetuar logon no Modo de Recuperao do Directory Services, o
Active Directory Domain Services reinicializvel fornece um
estado nico para um controlador de domnio que execute o
Windows Server Longhorn. Esse estado conhecido como Active
Directory Domain Services Stopped.
Os trs estados possveis para um controlador de domnio que
execute o Windows Server Longhorn so os seguintes:
Active Directory Domain Services Started. Neste estado, os
Servios de Domnio do Active Directory iniciado. Para os
clientes e outros servios executados no servidor, um
controlador de domnio do Windows Server Longhorn
executado neste estado o mesmo que o controlador
executado no Windows 2000 Server ou Windows Server 2003.
Active Directory Domain Services Stopped. Neste estado, os
Servios de Domnio do Active Directory parado. Embora
este modo seja exclusivo, o servidor possui algumas
caractersticas tanto de controlador de domnio no Modo de
Recuperao do Directory Services quanto como um servidor
membro ligado ao domnio.
Assim como no Modo de Recuperao do Directory Services, o
banco de dados do Active Directory (Ntds.dit) est offline.
Alm disso, a senha do Modo de Recuperao do Directory
Services pode ser usada para um login local, caso outro
controlador de domnio no possa ser contatado.
Assim como com um servidor membro, o servidor ligado ao
domnio. Alm disso, os usurios podem efetuar logon de
forma interativa, ou pela rede, usando outro controlador de
domnio para o logon. No entanto, um controlador de domnio
172
no deve permanecer neste estado por um longo perodo de
tempo, pois ele no consegue atender as requisies de
logon ou replicar com outros controladores de domnio.
Modo de Recuperao do Directory Services. Este modo (ou
estado) inaltervel a partir do Windows Server 2003.
O seguinte fluxograma apresenta como um controlador de domnio
que executa o Windows Server Longhorn pode fazer a transio
entre esses trs estados possveis.

Servios de Domnio do
Active Directory: Exibio
em Instantneo
A Exibio em Telas dos Servios de
Domnio do Active Directory um novo
recurso do Windows Server Longhorn.
Ele o ajuda a identificar objetos que
foram acidentalmente excludos ao expor
informaes sobre os objetos, em
imagens (instantneos) dos Servios de
Domnio do Active Directory obtidas com
o tempo. Esses instantneos podem ser
visualizados em um controlador de
domnio, sem iniciar o controlador de
domnio no Modo de Restaurao do
Directory Services. Comparando os
diversos estados dos objetos assim que eles aparecem nos
instantneos, ser possvel decidir mais facilmente qual backup
dos Servios de Domnio do Active Directory utilizar para
restaurar os objetos excludos.
Ao usar a Exposio de Telas dos Servios de Domnio do Active
Directory, voc pode examinar todas as alteraes feitas aos
dados armazenados nos Servios de Domnio do Active Directory.
Por exemplo, se um objeto da Diretiva de Grupo acidentalmente
modificado, voc pode usar a Exposio de Telas dos Servios de

173
Domnio do Active Directory para examinar as alteraes e ajudar
a decidir como corrigi-las, se necessrio.
Embora a Exposio de Telas dos Servios de Domnio do Active
Directory no recupere objetos excludos, ele ajuda a dinamizar o
processo de recuperao de objetos que tenham sido acidentalmente
excludos. Antes do Windows Server Longhorn, quando os objetos
ou unidades organizacionais (OUs) foram acidentalmente excludas,
a nica forma de determinar exatamente quais objetos haviam sido
excludos era restaurando os dados a partir de backups. Mas isso
trazia duas desvantagens:
O Active Directory precisava ser reiniciado no Modo de
Recuperao do Directory Services para desempenhar uma
restaurao autorizada.
Um administrador no podia comparar os dados nos backups
que eram obtidos em momentos diferentes (a menos que os
backups fossem restaurados a vrios controladores de
domnio; um processo que no vivel).
A finalidade do recurso de Exposio de Telas dos Servios de
Domnio do Active Directory expor os dados dos Servios de
Domnio do Active Directory armazenados nas imagens de forma
online. Os administradores podem ento comparar os dados das
imagens obtidas em diferentes momentos, que, por sua vez, ajudam
a decidir sobre os dados a serem restaurados, sem acabar em uma
parada de servio.
Os seguintes indivduos devem ver essas informaes sobre a
Exposio de Telas do Active Directory Domain Services:
Planejadores e analistas de TI que avaliam tecnicamente o
produto
Planejadores corporativos de TI e designers de
organizaes
Administradores, operadores e gerentes responsveis pelas
operaes de TI, incluindo a recuperao de dados excludos
dos Servios de Domnio do Active Directory
H dois aspectos para o problema de se recuperar dados excludos:
Preservar os dados excludos para que eles possam ser
recuperados
Recuperar os dados excludos recentemente quando solicitado
A Exposio de Telas dos Servios de Domnio do Active Directory
torna possvel para os dados excludos dos Servios de Domnio do
Active Directory serem preservados em forma de imagens dos
Servios de Domnio do Active Directory, obtidas pelo Servio de
Cpia de Sombra do Volume. A Exposio de Telas dos Servios de
Domnio do Active Directory Snapshot, na verdade, no recupera
objetos e containeres excludos. O administrador deve desempenhar
a recuperao como um passo subseqente.
174
Voc pode usar a ferramenta LDAP, como o Ldp.exe, que uma
ferramenta integrada no Windows Server Longhorn, para ver os
dados expostos nas imagens. Esses dados so de somente leitura.
Por padro, apenas os membros dos grupos de Administradores de
Domnio e Corporativos podem visualizar as imagens, pois elas
contm dados sensveis dos Servios de Domnio do Active
Directory.
Proteja as imagens dos Servios de Domnio do Active Directory
contra acesso no-autorizado, assim como voc o faz com backups
dos Servios de Domnio do Active Directory. Um usurio malicioso
que tenha acesso s imagens pode us-las para revelar dados
sensveis que possam estar armazenados nos Servios de Domnio do
Active Directory. Por exemplo, um usurio malicioso pode copiar
as imagens dos Servios de Domnio do Active Directory de uma
floresta A para B e depois usar as credenciais de Administrador
do Domnio ou Corporativo da floresta B para examinar os dados.
Use a criptografia ou outras precaues de segurana dos dados
com as imagens do Active Directory Domain Services a fim de
ajudar a reduzir a chance de acesso no-autorizado s imagens dos
Servios de Domnio do Active Directory.
O processo de uso da Exposio de Telas dos Servios de Domnio
do Active Directory inclui os seguintes passos:
1. Programe uma tarefa que regularmente execute o Ntdsutil.exe
para obter imagens do volume que contm o banco de dados
dos Servios de Domnio do Active Directory.
2. Execute o Ntdsutil.exe para listar as imagens disponveis e
monte a imagem que deseja visualizar.
3. Execute o Dsamain.exe para expor o volume de imagens como
um servidor LDAP.
O Dsamain.exe tem os seguintes argumentos:
Caminho do banco de dados dos Servios de Domnio
do Active Directory (NTDS.dit). Por padro, esse
caminho aberto somente como leitura, mas ele
deve estar em ASCII.
Caminho do Log. Esse pode ser um caminho
temporrio, mas voc deve ter acesso de escrita.
Quatro nmeros de portas para LDAP, LDAP-SSL,
Global Catalog e Global CatalogSSL.
Voc pode parar o Dsamain, pressionando CTRL+C ou definindo
o atributo stopservice no objeto rootDSE.
4. Execute e anexe o Ldp.exe porta LDAP da imagem que voc
especificou quando exps a imagem como um servidor LDAP, no
passo anterior.
5. Navegue pela imagem como faria com qualquer controlador de
domnio dinmico.
175
Caso voc tenha idia de qual OU ou objetos foram excludos, pode
procurar nos objetos excludos, nas imagens, e gravar os
atributos e links de retorno que pertenciam aos objetos
excludos. Reanime esses objetos, usando o recurso de reanimao
em cones. Depois, alimente manualmente esses objetos com os
atributos e links de retorno, assim que identificados nas
imagens.
No entanto, voc no pode realimentar os atributos apenas do
sistema, que foram divididos quando os objetos foram excludos.
Embora voc deva recriar manualmente os atributos e links de
retorno, o navegador de imagens torna possvel recriar os objetos
excludos e seus links sem precisar reiniciar o controlador de
domnio no Modo de Recuperao do Directory Services. Alm disso,
voc pode usar o navegador de imagens para analisar configuraes
anteriores dos Servios de Domnio do Active Directory, incluindo
as permisses e a Diretiva de Grupo.
Melhorias na Interface de Usurio
Para aprimorar a instalao e o gerenciamento dos Servios de
Domnio do Active Directory, o Windows Server Longhorn inclui
um Assistente de Instalao atualizado para o Active Directory
Domain Services. O Windows Server Longhorn tambm inclui
alteraes nas funes de snap-in do MMC que gerenciam os
Servios de Domnio do Active Directory.
As melhorias na UI dos Servios de Domnio do Active Directory
fornecem novas opes de instalao para os controladores de
domnio. Alm disso, o Assistente de Instalao atualizado
dinamiza e simplifica a instalao dos Servios de Domnio do
Active Directory.
tambm fornecem novas opes de gerenciamento para os recursos
dos Servios de Domnio do Active Directory, como os
controladores de domnio de somente leitura (RODCs). Alteraes
adicionais s ferramentas de gerenciamento fornecem a capacidade
de encontrar os controladores de domnio por toda a empresa. Eles
tambm fornecem controles importantes para novos recursos, como a
Diretiva de Replicao de Senha para RODCs.
As melhorias da UI dos Servios de Domnio do Active Directory
so importantes para os seguintes usurios:
responsveis por gerenciar controladores de domnio em
locais centrais e data centers
Administradores de filiais
Desenvolvedores de sistema que realizam instalaes e
desautorizam servidores
176
no requerem consideraes especiais. As melhorias ao Assistente
de Instalao tambm esto todas disponveis por padro. No
entanto, algumas pginas do assistente aparecem apenas se a caixa
de verificao de Usar instalao no modo avanado estiver
selecionada na pgina de Boas Vindas do assistente.
O modo de instalao avanado fornece aos usurios mais
experientes um controle maior sobre o processo de instalao, sem
confundir os usurios mais novos quanto s opes de configurao
que podem no ser familiares. Para os usurios que no selecionam
a caixa Usar instalao no modo avanado, o assistente utiliza
opes padres que se aplicam maior parte das configuraes.
fornecem novas funcionalidades para o Assistente de Instalao
dos Servios de Domnio do Active Directory e funes de snap-in
do MMC.
Novo Assistente de Instalao dos Servios de Domnio do Active
Directory
Para adicionar a funo de servidor dos Servios de Domnio do
Active Directory de forma interativa, voc pode acessar o
Assistente de Instalao nas seguintes maneiras:
Voc pode clicar em Adicionar Funes, nas Tarefas Iniciais
de Configurao, que aparece quando voc instala o sistema
pela primeira vez.
Voc pode clicar em Adicionar Funes no Gerenciador do
Servidor. O Gerenciador do Servidor est disponvel no menu
Ferramentas Administrativas, ou por meio de um cone na
rea de notificao.
Voc pode clicar em Iniciar, clicar em Executar e depois
digitar dcpromo. Uma alternativa digitar dcpromo no
prompt de comando, como nas verses anteriores do sistema
operacional do Microsoft Windows Server.
Nota
Embora no seja uma melhoria de UI, novas opes para
executar instalaes falhas dos Servios de Domnio do
Active Directory esto disponveis no Windows Server
Longhorn. Diferente de uma instalao falha no Windows
Server 2003, uma instalao falha no Windows Server
Longhorn nunca requer uma resposta a um prompt da UI,
como aquele que reinicia o controlador de domnio. Isso
necessrio para instalar os Servios de Domnio do Active
Directory no Ncleo do Servidor do Windows Server
Longhorn, uma nova opo de instalao do Windows Server
Longhorn que no fornece opes de UI, como um Assistente
de Instalao interativo dos Servios de Domnio do Active
Directory.
177
Voc pode iniciar uma instalao RODC, usando o snap-in do
MMC Active Directory Users and Computers. Voc pode tanto
clicar com o boto direito em Controladores de Domnio como
clicar em Controladores de Domnio e depois em Pr-criar
uma conta Somente-leitura de Controlador de Domnio. Este
mtodo instala o RODC em dois estgios. Durante o estgio
seguinte da instalao, voc executa o Assistente dos
Servios de Domnio do Active Directory no servidor que
deseja anexar conta do RODC.
O Assistente de Instalao dos Servios de Domnio do Active
Directory contm uma nova opo na pgina de Boas Vindas para
ativar o modo avanado como uma alternativa para executar o
Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo
avanado exibe opes adicionais que permitem configuraes mais
avanadas e fornecem aos usurios mais experientes um controle
maior sobre a operao. As opes adicionais do modo avanado
incluem o seguinte:
Criar uma nova rvore de domnio
Usar uma mdia de backup a partir de um controlador de
domnio existente no mesmo domnio, a fim de reduzir o
trfego de rede que est associado com a replicao inicial
Selecionar o controlador de domnio de origem para a
instalao
Modificar o nome do NetBIOS que o assistente gera por
padro
Definir a diretiva de replicao de senha para um RODC
Alm dessas alteraes, o Assistente de Instalao dos Servios
de Domnio do Active Directory possui novas pginas, que so
descritas na tabela que segue.
Assistente de Instalao dos Servios de Domnio do Active Directory
Nova Pgina do Assistente Descrio
Opes Adicionais Especifica que, durante a instalao do
controlador de domnio, ele tambm ser
configurado para ser um DNS server, servidor do
catlogo global ou RODC.
Seleo de local Especifica o local onde o controlador de domnio
deve ser instalado.
Definio de nveis de funo Define o domnio e o nvel funcional da floresta
durante a instalao do novo domnio ou
floresta.
Diretiva de Replicao de Senha Especifica quais senhas de contas so permitidas
ou negadas de serem armazenadas no RODC. Essa
pgina aparece apenas quando a caixa Usar
instalao no modo avanado est selecionada.
Criao de delegao do DNS Fornece uma opo padro para criar uma
delegao DNS no tipo de instalao do
controlador de domnio (conforme especificado na
pgina Escolha uma Configurao de Implantao)
e o ambiente DNS.
178

Outras melhorias reduzem as chances de erro durante a instalao
dos Servios de Domnio do Active Directory. Por exemplo, se voc
est instalando um controlador de domnio adicional, pode
selecionar o nome do domnio a partir de uma rvore de domnio,
em vez de digit-la.
Para assegurar que um DNS server recm-instalado esteja operando
corretamente, o DNS automaticamente configurado para as
configuraes do cliente DNS, encaminhadores e dicas de raiz, se
necessrio, com base nas opes de instalao que so
selecionadas.
Instalao em Fases para o RODCs
Voc pode realizar uma instalao em fases de um RODC, em que a
instalao concluda em duas fases, por diferentes pessoas.
Voc pode usar o Assistente de Instalao dos Servios de Domnio
do Active Directory para concluir cada fase da instalao.
A primeira fase cria uma conta para o RODC nos Servios de
Domnio do Active Directory. A segunda fase anexa o servidor
atual, que ser o RODC, conta que foi anteriormente criada para
isso.
Durante a primeira fase, o assistente grava todos os dados sobre
o RODC que sero armazenados no banco de dados distribudo do
Active Directory, assim como seu nome da conta do controlador de
domnio e o local em que sero colocados. Essa fase deve ser
realizada por um membro do grupo de Administradores de Domnio.
O usurio que cria a conta RODC tambm pode especificar, naquele
momento, quais usurios ou grupos podem concluir o prximo passo
da instalao. A prxima fase pode ser realizada na filial, por
qualquer usurio ou grupo a quem tenha sido delegado o direito
de concluir a instalao quando a conta foi criada. A fase no
requer membros nos grupos integrados, como o grupo de
Administradores do Domnio. Se o usurio que cria a conta RODC
no especificar qualquer delegao para concluir a instalao (e
administrar o RODC), apenas um membro dos Administradores de
Domnio ou Corporativo pode concluir a instalao.
A segunda fase instala os Servios de Domnio do Active Directory
no servidor que se tornar o RODC. Essa fase ocorre, basicamente,
na filial onde o RODC implantado. Durante essa fase, todos os
dados dos Servios de Domnio do Active Directory que residem
localmente, arquivos de log e etc, so criados no prprio RODC.
Os arquivos de origem da instalao podem ser replicados para o
RODC a partir de um controlador de domnio sobre a rede, ou ento
voc pode usar a instalao do recurso de mdia (IFM). Para usar
o IFM, use o Ntdsutil.exe para criar a mdia de instalao.
O servidor que se tornar o RODC no deve ser ligado ao domnio
antes de voc tentar anex-lo conta do RODC. Como parte da
instalao, o assistente detecta, automaticamente, se o nome do
179
servidor associa-se aos nomes de qualquer conta do RODC que tenha
sido criada antes para o domnio. Quando o assistente encontra um
nome associado da conta, ele alerta o usurio para usar aquela
conta para concluir a instalao do RODC.
Melhorias Adicionais no Assistente
O novo Assistente de Instalao dos Servios de Domnio do Active
Directory tambm inclui as seguintes melhorias:
Por padro, o assistente agora utiliza as credenciais do
usurio que est conectado no momento. Voc alertado
sobre as credenciais adicionais, caso elas sejam
necessrias.
Ao criar um controlador de domnio adicional em um domnio
filho, o assistente detecta se o papel principal da infra-
estrutura est hospedado em um servidor de catlogo global
naquele domnio, alertando-o para transferir essa infra-
estrutura para o controlador de domnio que voc est
criando. Isso ajuda a prevenir uma m colocao do papel
principal da infra-estrutura.
Na pgina Sumrio do assistente, voc pode exportar as
configuraes que selecionou para um arquivo de respostas
correspondente que pode usar para operaes subseqentes
(instalaes ou desinstalaes).
Voc agora pode omitir a senha do seu administrador a
partir do arquivo de respostas. Em vez disso, digite
senha=* no arquivo de respostas, para garantir que o
usurio est avisado sobre as credenciais da conta.
Voc pode pr-alimentar o assistente, especificando alguns
parmetros na linha de comando, reduzindo a quantidade de
interao de usurio que exigida com o assistente.
Voc agora pode forar o rebaixamento de um controlador de
domnio iniciado no Modo de Recuperao do Directory
Services).
Novas Funes de Snap-In do MMC
O snap-in do Active Directory Sites and Services no Windows
Server Longhorn inclui um comando Localizar, na barra de
ferramentas e no menu Ao. Esse comando facilita encontrar o
local onde o controlador de domnio est, o que pode ajudar na
soluo de problemas de replicaes. Antes, o Active Directory
Sites and Services no indicavam facilmente onde certo
controlador de domnio estava localizado. Isso aumentava o tempo
requerido para solucionar problemas, como os de replicao.
Para ajudar a gerenciar os RODCs, agora existe uma guia de
Diretiva de Replicao de Senha na pgina de Propriedades do
controlador de domnio. Clicando no boto Avanado, nesta guia,um
administrador pode ver o seguinte:
180
Quais senhas foram enviadas ao RODC
Quais senhas esto atualmente armazenadas no RODC
Quais contas foram autenticadas para o RODC, incluindo
contas no definidas nos grupos de segurana, que tm a
replicao permitida ou negada. Como resultado, o
administrador pode ver quem est usando o RODC e determinar
se permite ou nega a replicao da senha.

181
5.09 Servios Federados do Active Directory

Os Servios Federados do Active Directory uma funo de
servidor no Windows Server "Longhorn" que pode ser utilizado para
criar uma soluo de acesso de identidade segura e escalonvel
com a Internet, altamente extensvel que opere por diversas
plataformas, incluindo ambientes Windows e no-Windows. As sees
que seguem fornecem informaes sobre os Servios Federados do
Active Directory no Windows Server Longhorn, incluindo
informaes sobre as funcionalidades adicionais dos Servios
Federados do Active Directory no Windows Server Longhorn
comparadas com a verso dos Servios Federados do Active
Directory no Windows Server 2003 R2.
Os Servios Federados do Active Directory uma soluo de acesso
identidade que fornece aos clientes baseados em navegadores
(internos ou externos rede) um acesso dinmico e nico a
aplicaes mais protegidas quanto Internet, mesmo quando as
contas e aplicaes esto localizadas em redes completamente
diferentes ou organizaes.
Quando uma aplicao est em uma rede e as contas de usurio em
outra rede, importante que os usurios estejam avisados sobre
as credenciais secundrias quando tentarem acessar a aplicao.
Essas credenciais secundrias representam a identidade dos
usurios no local em que a aplicao reside. O Web server que
hospeda a aplicao geralmente requer essas credenciais para que
possa tomar a deciso mais apropriada.
Os Servios Federados do Active Directory torna as contas
secundrias desnecessrias, fornecendo relaes de confiana que
voc pode usar para projetar uma identidade digital do usurio e
acessar direitos dos parceiros confiveis. Em um ambiente
federado, cada organizao continua a gerenciar suas prprias
identidades, mas cada uma pode projetar de forma mais segura e
aceitar identidades de outras organizaes.
Alm disso, voc pode implantar os servidores de federao em
mltiplas organizaes, para facilitar as transaes de business-
to-business (B2B) entre as organizaes de parceiros confiveis.
As parcerias federadas de B2B identificam os parceiros de
negcios como um dos seguintes tipos de organizao:
Organizao de Recursos As organizaes que possuem e
gerenciam recursos acessveis a partir da Internet podem
implantar os servidores de federao dos Servios Federados
do Active Directory e os servidores da Web baseados nos
Servios Federados do Active Directory que gerenciam o
acesso aos recursos protegidos de parceiros confiveis.
Esses parceiros podem incluir partes internas e externas ou
outros departamentos ou subsidirias na mesma organizao.
182
Organizao da Conta As organizaes que possuem e
gerenciam as contas de usurio podem implantar os Servios
Federados do Active Directory que autenticam usurios
locais e criam tokens que, mais adiante, so usados na
organizao de recurso para tomar decises quanto
autorizao.
O processo de autenticao de uma rede enquanto se acessam
recursos em outra rede sem o incmodo de aes repetidas de
login pelos usurios conhecido como longo nico (SSO). Os
Servios Federados do Active Directory fornece uma soluo
baseada na Web, de SSO, que autentica os usurios em mltiplas
aplicaes da Web pela durao de uma simples sesso de
navegao.
Os Servios Federados do Active Directory designado para ser
implantado em organizaes de mdio a grande porte, que possuem o
seguinte:
No mnimo, um servio de diretrio: tanto o Active
Directory Domain Services ou Active Directory Lightweight
Directory Services (antes conhecido como Active Directory
Application Mode)
Computadores executados em diversas plataformas de sistemas
operacionais
Computadores ligados a um domnio
Computadores conectados Internet
Uma ou mais aplicaes baseadas na Web
Veja essas informaes, juntamente com a documentao adicional
sobre os Servios Federados do Active Directory, se voc faz
parte de um dos seguintes grupos:
Profissional de TI responsvel pelo suporte de uma infra-
estrutura existente dos Servios Federados do Active
Directory
Planejador de TI, analista ou arquiteto em fase de
avaliao dos produtos de federao da identidade
Se voc tem uma infra-estrutura existente dos Servios Federados
do Active Directory, existem algumas consideraes especiais a
saber antes de voc comear a atualizar os servidores de
federao, proxies e servidores da Web ativados pelos Servios
Federados do Active Directory que executam o Windows Server 2003
R2 para o Windows Server Longhorn. Essas consideraes aplicam-
se apenas quando voc tem servidores dos Servios Federados do
Active Directory que tenham sido manualmente configurados para
usar contas exclusivas do servio.
Os Servios Federados do Active Directory usa a conta do Network
Service como padro para os Servios Federados do Active
183
Directory Web Agent Authentication Service e a identidade do pool
de aplicao do ADFSAppPool. Se voc configurou manualmente um ou
mais servidores dos Servios Federados do Active Directory em sua
implantao existente dos Servios Federados do Active Directory
para usar uma conta de servio que no seja a conta padro do
Network Service, verifique qual dos servidores dos Servios
Federados do Active Directory utiliza essas contas de servio e
grave o nome de usurio e a senha de cada conta.
Quando voc atualiza um servidor para o Windows Server
Longhorn, o processo recupera, automaticamente, todas as contas
de servio para seus valores padres originais. Portanto, voc
deve fornecer as informaes da conta do servio novamente,
manualmente, para cada servidor aplicvel depois que o Windows
Server Longhorn est completamente instalado.
Para o Windows Server Longhorn, os Servios Federados do Active
Directory inclui novas funcionalidades que no esto disponveis
no Windows Server 2003 R2. Essas novas funcionalidades so feitas
para facilitar a sobrecarga administrativa e para estender ainda
mais o suporte s principais aplicaes:
Instalao Aprimorada. Os Servios Federados do Active
Directory est includo no Windows Server Longhorn como
uma funo de servidor, havendo ainda novas verificaes de
validao do servidor no assistente de instalao.
Suporte aprimorado da aplicao. Os Servios Federados do
Active Directory mais integrado com o Microsoft Office
SharePoint Services 2007 e os Servios de Gerenciamento de
Direitos do Active Directory.
Melhor experincia administrativa ao estabelecer relao de
confiana federada. A funcionalidade aprimorada de importar
e exportar uma diretiva de relao de confiana ajuda a
minimizar os problemas de configurao baseados nos
parceiros, geralmente associados com o estabelecimento de
uma relao de confiana federada.
Instalao Aprimorada.
Os Servios Federados do Active Directory no Windows Server
Longhorn traz diversas melhorias experincia de instalao.
Para instalar os Servios Federados do Active Directory no
Windows Server 2003 R2, voc deve ir at Adicionar/Remover
Programas para encontrar e instalar o componente dos Servios
Federados do Active Directory. No entanto, no Windows Server
Longhorn, voc pode instalar os Servios Federados do Active
Directory como uma funo de servidor que utiliza o Server
Manager.
Voc pode usar o assistente de configurao aprimorado dos
Servios Federados do Active Directory para realizar as
184
verificaes de validao do servidor antes de continuar com a
instalao dos Servios Federados do Active Directory. Alm
disso, o Server Manager automaticamente lista e instala todos os
servios dos quais os Servios Federados do Active Directory
depende durante a instalao dos Servios Federados do Active
Directory. Esses servios incluem o Microsoft ASP.NET 2.0 e
outros servios que fazem parte da funo de servidor do Web
Server (IIS).
Suporte Aprimorado da Aplicao.
Os Servios Federados do Active Directory no Windows Server
Longhorn inclui melhorias que aumentam a capacidade de
integrao com outras aplicaes, como o Office SharePoint
Services 2007 e os Servios de Gerenciamento de Direitos do
Active Directory.
Integrao com o Office SharePoint Services 2007
O Office SharePoint
Services 2007 tira o mximo proveito das

capacidades do SSO que so integradas nesta verso dos Servios
Federados do Active Directory. Os Servios Federados do Active
Directory no Windows Server Longhorn inclui funcionalidades
para suportar os membros do Office SharePoint Services 2007 e os
provedores de funes. Isso significa que voc pode, de forma
efetiva, configurar o Office SharePoint Services 2007 como uma
aplicao consciente dos Servios Federados do Active Directory,
podendo ainda administrar quaisquer sites do Office SharePoint
Services 2007, usando os membros e controle de acesso baseado em
funo. Os membros e os provedores de funes includos nesta
verso dos Servios Federados do Active Directory servem para
consumo apenas pelo Office SharePoint Services 2007.
Integrao com o Active Directory Rights Management Server
Os Servios de Gerenciamento de Direitos do Active Directory e os
Servios Federados do Active Directory podem ser integrados de
forma que as organizaes possam obter vantagens das relaes
confiveis federadas existentes, a fim de colaborar com parceiros
externos e compartilhar contedos protegidos pelos direitos. Por
exemplo, uma organizao que tenha implantado os Servios de
Gerenciamento de Direitos do Active Directory pode configurar uma
federao com uma organizao externa, usando os Servios
Federados do Active Directory. A organizao pode ento usar essa
relao para compartilhar contedo protegido por meio de duas
organizaes, sem exigir uma implantao dos Servios de
Gerenciamento de Direitos do Active Directory nas duas
organizaes.
Melhor Experincia Administrativa ao Estabelecer Relaes de Confiana
Federadas
185
Tanto no Windows Server 2003 R2 como no Windows Server
Longhorn, os administradores dos Servios Federados do Active
Directory podem criar uma relao de confiana federada entre
duas organizaes, usando tanto um processo de importar e
exportar arquivos de diretivas como um processo manual que
envolva uma troca mtua entre os valores dos parceiros, como o
Uniform Resource Indicators (URIs), tipos de declarao,
mapeamento de declarao, exibio de nomes etc. O processo
manual requer que o administrador, que recebe esses dados, digite
todos os dados recebidos nas pginas apropriadas do Assistente
para Adicionar Parceiro, o que pode resultar em erros
tipogrficos. Alm disso, o processo manual exige que o
administrador parceiro da conta envie uma cpia do certificado de
verificao para o servidor de federao, a fim de que o
certificado possa ser adicionado pelo assistente.
Embora a capacidade de importar e exportar arquivos da diretiva
fosse disponvel no Windows Server 2003 R2, criar relaes de
confiana federadas entre as organizaes dos parceiros mais
fcil no Windows Server Longhorn, como um resultado da
funcionalidade de importar e exportar baseada na diretiva. Essas
melhorias foram feitas para aprimorar a experincia
administrativa, permitindo mais flexibilidade para a
funcionalidade de importao no Assistente para Adicionar
Parceiro. Por exemplo, quando uma diretiva de parceiro
importada, o administrador pode usar esse Assistente para
modificar todos os valores que foram importados antes de o
processo do assistente ser concludo. Isso inclui a capacidade de
especificar um certificado diferente de verificao da conta do
parceiro e a de mapear as declaraes de entrada e sada entre os
parceiros.
Usando os recursos de importar e exportar, includos nos Servios
Federados do Active Directory no Windows Server Longhorn, os
administradores podem apenas exportar suas configuraes da
diretiva de relao de confiana para um arquivo .xml e ento
enviar o arquivo ao administrador parceiro. Essa troca de
arquivos de diretiva de parceiros fornece todas as URIs, tipos de
declarao, mapeamentos de declarao e outros valores e
certificados de verificao necessrios para criar uma relao de
confiana federada entre duas organizaes parceiras.
A ilustrao que segue e as instrues que acompanham mostram
como uma troca bem sucedida de diretivas entre os parceiros
neste caso, iniciada pelo administrador da organizao parceira
da conta pode ajudar a dinamizar o processo de estabelecer uma
relao de confiana federada entre duas organizaes fictcias:
A. Datum Corp. e Trey Research.
O seguinte fluxograma apresenta como um controlador de domnio
que executa o Windows Server Longhorn pode fazer a transio
entre esses trs estados possveis.
186

1. O administrador parceiro da conta especifica a opo
Exportar Diretiva Parceira Bsica, clicando com o boto
direito na pasta Diretiva Confivel, e exporta um arquivo
de diretiva parceira que contm a URL, o nome de exibio,
a URL do proxy do servidor da federao e o certificado de
verificao da A. Datum Corp. O administrador parceiro da
187
conta ento envia o arquivo da diretiva parceira (por e-
mail ou outros meios) ao administrador parceiro do recurso.
2. Esse administrador cria um novo parceiro de conta usando o
Assistente para Adicionar Parceiro de Conta e seleciona a
opo para importar um arquivo de diretiva parceira da
conta. O administrador parceiro do recurso continua a
especificar o local e o arquivo de diretiva parceira e a
verificar se todos os valores apresentados em cada pgina
do assistente que so pr-alimentados como resultado da
importao da diretiva so precisos. O administrador
ento conclui o assistente.
3. O administrador parceiro do recurso agora pode configurar
declaraes adicionais ou configuraes da diretiva de
relao de confiana para aquele parceiro da conta. Aps
concluir essa configurao,o administrador especifica a
opo Exportar Diretiva, clicando com o boto direito no
parceiro de conta de A. Datum Corp. O administrador
parceiro do recurso exporta um arquivo da diretiva do
parceiro que contm valores, como a URL, a URL do proxy do
servidor de federao, o nome de exibio, tipos de
declarao e mapeamentos de declarao para a organizao
Trey Research. O administrador parceiro do recurso ento
envia o arquivo da diretiva parceira ao administrador
parceiro da conta.
4. Esse administrador cria um novo parceiro de recurso usando
o Assistente para Adicionar Parceiro de Conta e seleciona a
opo para importar um arquivo de diretiva parceira do
recurso. O administrador parceiro da conta continua a
especificar o local e o arquivo de diretiva parceira do
recurso e a verificar se todos os valores apresentados em
cada pgina do assistente que so pr-alimentados como
resultado da importao da diretiva so precisos. O
administrador ento conclui o assistente.
Quando este processo est concludo, uma relao de confiana bem
sucedida da federao entre os parceiros estabelecida. Os
administradores parceiros de recursos tambm podem iniciar um
processo de diretiva para importar e exportar, embora o processo
no seja descrito aqui.
Novas Configuraes
Voc configura as configuraes do Web Agent baseado no token do
Windows NT com o snap-in do IIS Manager. Para suportar as novas
funcionalidades fornecidas com o IIS 7.0, os Servios Federados
do Active Directory do Windows Server Longhorn inclui
atualizaes na UI para o servio de funo do Web Agent dos
Servios Federados do Active Directory. A tabela que segue lista
os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0
188
para cada uma das pginas de propriedades do Web Agent do Active
Directory Federation, dependendo da verso do IIS que est sendo
usada.
Pginas de Propriedades do Web Agent dos Servios Federados do Active
Directory
Pgina de
Propriedades do IIS
6.0
Local Antigo IIS 7.0
Propriedade
Pgina
Novo Local
Guia de Servios
Federados do
Active Directory
Web Agent
<COMPUTERNAME>\Web
Sites
URL do Federation
Service
<COMPUTERNAME> (na seo
Outros do painel
central)
Guia de Servios
Federados do
Active Directory
Web Agent
<COMPUTERNAME>\Web
Sites\<Site ou
Virtual Directory>
Web Agent dos
Servios Federados
do Active
Directory
<COMPUTERNAME>\Web
Sites\<Site ou Virtual
Directory> (na seo
IIS\Authentication do
painel centra)

Nota
No existem diferenas significativas de UI entre o snap-in
dos Servios Federados do Active Directory no Windows
Server Longhorn e o dos Servios Federados do Active
Directory no Windows Server 2003 R2.

189
5.10 Active Directory Lightweight Directory Services

A funo do servidor do Active Directory Lightweight Directory
Services um servio de diretrio do LDAP. Ele fornece
armazenamento e recuperao de dados para as aplicaes ativadas
pelo diretrio, sem as dependncias requeridas para os Servios
de Domnio do Active Directory.
O Active Directory Lightweight Directory Services no Windows
Server Longhorn abrange as funcionalidades fornecidas pelo Modo
de Aplicao do Active Directory, que esto disponveis no
Microsoft Windows XP Professional e Windows Server 2003.
O Active Directory Lightweight Directory Services fornece s
organizaes um suporte flexvel s aplicaes ativadas pelo
diretrio. Uma aplicao ativada pelo diretrio usa um diretrio
em vez de um banco de dados, arquivo ou outra estrutura para
armazenar dados para manter seus dados. Os servios de
diretrio (como o Active Directory Lightweight Directory
Services) e os bancos de dados relacionais fornecem o
armazenamento e recuperao dos dados, mas eles diferem na
otimizao. Os servios de diretrio so otimizados para o
processamento da leitura, enquanto os bancos de dados relacionais
so para o processamento de transao. Muitas aplicaes
personalizadas e outras regulares utilizam um design ativado para
diretrio. Enter esses exemplos esto:
Aplicaes de gerenciamento da relao com clientes (CRM)
Aplicaes de recursos humanos (HR)
Aplicaes de catlogo de endereos global
O Active Directory Lightweight Directory Services fornece muitas
das mesmas funcionalidades dos Servios de Domnio do Active
Directory (e, na verdade, ambos so construdos sob a mesma base
de cdigo), mas ele no requer a implantao de domnios ou
controladores de domnio.
Voc pode executar mltiplas instncias do Active Directory
Lightweight Directory Services ao mesmo tempo em um nico
computador, com um esquema independentemente gerenciado para cada
instncia ou configurao do Active Directory Lightweight
Directory Services (caso a instncia faa parte do conjunto de
configuraes). Os servidores membros, controladores de domnio e
servidores autnomos podem ser configurados para executar o
Active Directory Lightweight Directory Services.
O Active Directory Lightweight Directory Services semelhante
aos Servios de Domnio do Active Directory ao fornecer o
seguinte:
Replicao Multimaster
Suporte API de Interfaces do Active Directory Service
Parties do diretrio da aplicao
LDAP sobre o SSL
190
O Active Directory Lightweight Directory Services se difere dos
Servios de Domnio do Active Directory principalmente no que se
refere a no armazenar os princpios de segurana do Windows.
Embora o Active Directory Lightweight Directory Services possa
usar os princpios de segurana do Windows (como os usurios do
domnio) nos ACLs que controlam o acesso aos objetos no Active
Directory Lightweight Directory Services, o Windows no pode
autenticar os usurios armazenados no Active Directory
Lightweight Directory Services ou utilizar os usurios do Active
Directory Lightweight Directory Services em seus ACLs. Alm
disso, o Active Directory Lightweight Directory Services no
suporta domnios e florestas, Diretiva de Grupo ou catlogos
globais.
As organizaes que tm os seguintes requisitos iro considerar o
Active Directory Lightweight Directory Services particularmente
til:
Diretrios especficos da aplicao que usam esquemas
personalizados ou que dependem de um gerenciamento
descentralizado de diretrio
Diretrios do Active Directory Lightweight Directory
Services que sejam separados da infra-estrutura de domnio
dos Servios de Domnio do Active Directory. Como
resultado, eles podem suportar aplicaes que dependam das
extenses de esquemas no desejveis no diretrio do
Active Directory Domain Services como as que so teis a
uma nica aplicao. Alm disso, o administrador do
servidor local pode gerenciar os diretrios do Active
Directory Lightweight Directory Services; os
administradores de domnio no precisam fornecer suporte
administrativo.
Desenvolvimento da aplicao ativada pelo diretrio e os
ambientes de prottipo separados da estrutura de domnio da
empresa
Os desenvolvedores de aplicao que esto criando
aplicaes ativadas pelo diretrio podem instalar a funo
do Active Directory Lightweight Directory Services em
qualquer servidor, mesmo nos autnomos. Como resultado, os
desenvolvedores podem controlar e modificar o diretrio em
seu ambiente de desenvolvimento, sem interferir na infra-
estrutura de Active Directory Domain Services da
organizao. Essas aplicaes podem ser implantadas de
forma subseqente, tanto com o Active Directory Lightweight
Directory Services como com os Servios de Domnio do
Active Directory como servio de diretrio da aplicao,
conforme apropriado.
Os administradores de rede podem usar o Active Directory
Lightweight Directory Services como ambiente prottipo ou
piloto para aplicaes que, eventualmente, sero
implantadas com os Servios de Domnio do Active Directory
como seu armazenamento de diretrio, contanto que a
aplicao no dependa de recursos especficos dos Servios
de Domnio do Active Directory.
191
Gerenciamento de acesso de computadores de clientes
externos aos recursos da rede
Empresas que precisam autenticar computadores, como os de
Web client ou visitantes, podem usar o Active Directory
Lightweight Directory Services como local de diretrio para
autenticao. Isso ajuda as empresas a evitarem precisar
manter informaes de clientes externos no diretrio de
domnio da empresa.
Ativando computadores clientes LDAP em um ambiente
heterogneo para autenticar os Servios de Domnio do
Active Directory
Quando as organizaes se fundem, geralmente h uma
necessidade de integrar os computadores clientes LDAP que
executam diferentes sistemas operacionais de servidores em
uma nica infra-estrutura de rede. Nesses casos, em vez de
atualizar imediatamente os computadores clientes que
executam aplicaes em LDAP ou modificar o esquema dos
Servios de Domnio do Active Directory para funcionar com
os clientes existentes, os administradores de rede podem
instalar o Active Directory Lightweight Directory Services
em um ou mais servidores. A funo de servidor do Active
Directory Lightweight Directory Services age como um
diretrio intermedirio que usa um esquema existente at
que os computadores clientes possam ser atualizados para
usar os Servios de Domnio do Active Directory, de forma
nativa, para acesso LDAP e autenticao.
Como o Active Directory Lightweight Directory Services feito
para ser um servio de diretrio para aplicaes, espera-se que
elas criem, gerenciem e removam objetos de diretrio. Como
servio de diretrio de propsito geral, o Active Directory
Lightweight Directory Services no suportado por ferramentas
orientadas a domnio, como estas:
Domnios e Relaes de Confiana do Active Directory
Usurios e Computadores do Active Directory
Locais e Servios do Active Directory
No entanto, os administradores podem gerenciar os diretrios do
Active Directory Lightweight Directory Services, usando as
ferramentas de diretrio, como as seguintes:
ADSI Edit (para visualizar, modificar, criar e excluir
qualquer objeto do Active Directory Lightweight Directory
Services)
Ldp.exe (para administrao geral em LDAP)
Outros utilitrios do gerenciamento de esquema
As aplicaes que foram designadas para trabalhar no Modo de
Aplicao do Active Directory no exigem alteraes para
funcionar com o Active Directory Lightweight Directory Services.

192
5.11 Servios de Gerenciamento de Direitos do Active
Directory

Para o Windows Server Longhorn, os Servios de Gerenciamento de
Direitos do Active Directory inclui diversos recursos novos que
no estavam disponveis no Microsoft Windows Rights Management
Services (RMS). Esses novos recursos foram feitos para facilitar
a sobrecarga administrativa dos Servios de Gerenciamento de
Direitos do Active Directory e para estender seu uso para foram
da sua organizao. Entre os novos recursos, esto:
Incluso dos Servios de Gerenciamento de Direitos do
Active Directory no Windows Server Longhorn como funo
de servidor
Administrao por meio de um MMC
Integrao com os Servios Federados do Active Directory
Registro automtico dos servidores dos Servios de
Gerenciamento de Direitos do Active Directory
Habilidade de delegar responsabilidades por meio de novas
funes administrativas dos Servios de Gerenciamento de
Direitos do Active Directory
Nota
Este tpico concentra-se nos recursos especficos dos Servios
de Gerenciamento de Direitos do Active Directory que esto
sendo lanados com o Windows Server Longhorn. As verses
anteriores do RMS esto disponveis em um download separado.
Para mais informaes sobre os recursos que eram disponveis
no RMS, confira o Windows Server 2003 Rights Management
Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637).
Os Servios de Gerenciamento de Direitos do Active Directory, uma
tecnologia agnstica de formato e aplicao, fornece servios que
ativam a criao de solues de proteo s informaes. Ele
funcionar com qualquer aplicao ativada pelos Servios de
Gerenciamento de Direitos do Active Directory a fim de fornecer
diretivas persistentes de utilizao de informaes sensveis. O
contedo pode ser protegido, usando os Servios de Gerenciamento
de Direitos do Active Directory, que inclui sites da intranet,
mensagens de e-mail e documentos. Os Servios de Gerenciamento de
Direitos do Active Directory inclui uma srie de funes centrais
que permitem aos desenvolvedores adicionar proteo s
informaes nas funcionalidades de aplicaes existentes.
Um sistema dos Servios de Gerenciamento de Direitos do Active
Directory, que inclui componentes de cliente e servidor, realiza
os seguintes processos:
Licenciamento de informaes protegidas por direitos. Um
sistema dos Servios de Gerenciamento de Direitos do Active
Directory emite certificados de contas de direitos, que
193
identificam as entidades confiveis (como usurios, grupos
e servios) que possam publicar o contedo protegido por
direito. Uma vez que a relao de confiana estabelecida,
os usurios podem atribuir direitos e condies de
utilizao ao contedo que desejam proteger. Esses direitos
especificam quem pode acessar o contedo protegido e o que
a pessoa deseja fazer com ele. Quando o contedo
protegido, uma licena de publicao criada para ele.
Essa licena vincula os direitos especficos de utilizao
a certa parte do contedo, para que o contedo possa ser
distribudo. Por exemplo, os usurios podem enviar
documentos protegidos a outros usurios, dentro ou fora da
organizao, sem que o contedo perca sua proteo.
Adquirindo licenas para descriptografar o contedo
protegido por direito e aplicar diretivas de utilizao. Os
usurios que receberam um certificado de conta dos direitos
podem acessar o contedo protegido, usando uma aplicao
ativada pelos Servios de Gerenciamento de Direitos do
Active Directory que permite que eles vejam o contedo e
trabalhem com ele. Quando os usurios tentam acessar um
contedo protegido, so enviadas requisies aos Servios
de Gerenciamento de Direitos do Active Directory para que
eles acessem ou usem o contedo. Quando um usurio tenta
usar o contedo protegido, o servio de licenciamento dos
Servios de Gerenciamento de Direitos do Active Directory,
no cluster dos Servios de Gerenciamento de Direitos do
Active Directory, emite uma licena nica de utilizao que
l, interpreta e aplica os direitos e condies
especificados nas licenas de publicao. Os direitos e
condies de utilizao so aplicados de forma persistente
e automtica a qualquer lugar a que o contedo possa ir.
Criando arquivos e modelos protegidos por direitos. Os
usurios que so entidades confiveis no sistema dos
Servios de Gerenciamento de Direitos do Active Directory
podem criar e gerenciar arquivos aprimorados pela proteo,
usando ferramentas conhecidas de autoria de uma aplicao
ativada pelos Servios de Gerenciamento de Direitos do
Active Directory, que incorpora os recursos de tecnologia
dos Servios de Gerenciamento de Direitos do Active
Directory. Alm disso, as aplicaes ativadas pelos
podem usar modelos de utilizao centralmente definidos e
oficialmente autorizados para ajudar os usurios a aplicar,
efetivamente, uma srie pr-definida de diretivas de
utilizao.
Os Servios de Gerenciamento de Direitos do Active Directory
feito para ajudar a tornar o contedo mais seguro, independente
de para onde ele tenha sido movido.
Os seguintes grupos de profissionais devem analisar esta seo
dos Servios de Gerenciamento de Direitos do Active Directory:
Planejadores e analistas de TI que avaliam os produtos de
gerenciamento de direitos na empresa
Profissionais de TI responsveis por suportar uma infra-
estrutura existente de RMS
194
Arquitetos de segurana em TI interessados em implantar uma
tecnologia de proteo s informaes que fornea proteo
a todos os tipos de dados
conta como Active Directory Domain Services para verificar se o
usurio que tenta usar o contedo protegido est autorizado para
fazer isso. Ao registrar um ponto de conexo do servio (SCP) dos
Servios de Gerenciamento de Direitos do Active Directory durante
a instalao, o usurio deve ter acesso de Escrita ao container
Services nos Servios de Domnio do Active Directory.
Por fim, todas as informaes de configurao e registro so
armazenadas no Banco de Dados de Registro dos Servios de
Gerenciamento de Direitos do Active Directory. Em um ambiente de
teste, voc pode usar o Banco de Dados Interno do Windows, mas,
em um ambiente de produo, recomenda-se usar um servidor de
banco de dados separado.
inclui uma srie de melhorias quanto s verses anteriores do
RMS. Essas melhorias incluem o seguinte:
Instalao aprimorada e experincia em administrao. Os
est includo no Windows Server Longhorn, sendo instalado
como uma funo de servidor. Alm disso, a administrao
Directory feita por um MMC, ao contrrio da administrao
do Web site apresentada nas verses anteriores.
Registro automtico do cluster dos Servios de
Gerenciamento de Direitos do Active Directory O cluster
Directory pode ser registrado sem uma conexo com o
Microsoft Enrollment Service. Pelo uso de um certificado de
registro automtico do servidor, o processo de registro
feito totalmente em um computador local.
Integrao com os Servios Federados do Active Directory Os
Servios de Gerenciamento de Direitos do Active Directory e
os Servios Federados do Active Directory foram integrados
para que as empresas possam alavancar relaes federadas
existentes para colaborar com os parceiros externos.
Novas funes administrativas dos Servios de Gerenciamento
de Direitos do Active Directory. A capacidade de delegar
tarefas dos Servios de Gerenciamento de Direitos do Active
Directory a diferentes administradores para diferentes
administradores necessria em qualquer ambiente
corporativo com esta verso dos Servios de Gerenciamento
de Direitos do Active Directory. Trs funes
administrativas foram criadas: Administradores Corporativos
de Servios de Gerenciamento de Direitos do Active
Directory, Administradores de Modelos de Servios de
Gerenciamento de Direitos do Active Directory e Auditores
de Servios de Gerenciamento de Direitos do Active
Directory.
Instalao Aprimorada e Experincia em Administrao.
195
Os Servios de Gerenciamento de Direitos do Active Directory no
Windows Server Longhorn traz diversas melhorias para a
experincia de instalao e de administrao. Nas verses
anteriores do RMS, um pacote separado de instalao precisava de
download para depois ser instalado, mas, nesta verso, os
Servios de Gerenciamento de Direitos do Active Directory foi
integrado no sistema operacional e instalado como funo de
servidor pelo Server Manager. A configurao e fornecimento so
encontrados pela instalao da funo do servidor. Alm disso, o
Server Manager lista e instala, automaticamente, todos os
servios dos quais os Servios de Gerenciamento de Direitos do
Active Directory dependente, como o Message Queuing e o Web
Server (IIS), durante a instalao da funo de servidor dos
Servios de Gerenciamento de Direitos do Active Directory.
Durante a instalao, se voc no especificar um banco de dados
remoto como os Servios de Gerenciamento de Direitos do Active
Directory Configuration e Logging, os Servios de Gerenciamento
de Direitos do Active Directory instala e configura,
automaticamente, o Banco de Dados Interno do Windows para usar
com os Servios de Gerenciamento de Direitos do Active Directory.
Nas verses anteriores do RMS, a administrao era feita por uma
interface da Web. Nos Servios de Gerenciamento de Direitos do
Active Directory, a interface administrativa foi migrada para um
console snap-in do MMC. O console dos Servios de Gerenciamento
de Direitos do Active Directory fornece a voc todas as
funcionalidades disponveis, com a verso anterior do RMS, mas
com uma interface muito mais fcil de usar.
Oferecer os Servios de Gerenciamento de Direitos do Active
Directory como funo de servidor includa com o Windows Server
Longhorn torna o processo de instalao menos incmodo, por no
exigir que voc faa o download dos Servios de Gerenciamento de
Direitos do Active Directory separadamente, antes de instal-lo.
Usar o console dos Servios de Gerenciamento de Direitos do
Active Directory para a administrao, em vez de uma interface de
navegador, torna as opes mais disponveis para aprimorar a
interface de usurio. O console dos Servios de Gerenciamento de
Direitos do Active Directory emprega os elementos da interface de
usurio que so consistentes pelo Windows Server Longhorn,
sendo mais fcil de seguir e de navegar. Alm disso, com o
incluso das funes administrativas dos Servios de
Gerenciamento de Direitos do Active Directory, o console dos
Servios de Gerenciamento de Direitos do Active Directory exibe
apenas as partes que o usurio pode acessar. Por exemplo, um
usurio que est usando a funo de administrao dos Servios de
Gerenciamento de Direitos do Active Directory Template
Administrators est restrito a tarefas que so especficas aos
modelos dos Servios de Gerenciamento de Direitos do Active
Directory. Todas as outras tarefas administrativas no esto
disponveis no console dos Servios de Gerenciamento de Direitos
do Active Directory.
Registro automtico dos Servios de Gerenciamento de Direitos do Active
Directory Server
196
O registro do servidor nos Servios de Gerenciamento de Direitos
do Active Directory o processo de criao e assinatura de um
certificado de licenciamento de servidor (SLC) que garante ao
servidor dos Servios de Gerenciamento de Direitos do Active
Directory o direito de emitir certificados e licenas. Nas
verses anteriores do RMS, o SLC tinha de ser assinado por um
Servio de Registro da Microsoft por meio de uma conexo
Internet. Isso exigia que o servidor do RMS tivesse conectividade
com a Internet para fazer o registro online no Servio de
Registro da Microsoft ou fosse capaz de se conectar a outro
computador com acesso Internet que pudesse fazer o registro
offline no servidor.
Nos Servios de Gerenciamento de Direitos do Active Directory com
o Windows Server Longhorn, o requisito de o servidor dos
contatar-se diretamente com o Servio de Registro da Microsoft
foi removido. Em vez disso, um certificado
de registro automtico do servidor includo com o Windows
Server Longhorn, que assina o SLC do servidor dos Servios de
Gerenciamento de Direitos do Active Directory.
Exigir que o SLC seja assinado pelo Servio de Registro da
Microsoft mostrou uma dependncia operacional, que muitos
clientes no queriam em seu ambiente. O Servio de Registro da
Microsoft no mais requerido para assinar o SLC.
Em vez disso, para assinar o SLC do servidor dos Servios de
Gerenciamento de Direitos do Active Directory server, o
certificado de registro automtico, includo com o Windows Server
Longhorn, pode assinar o SLC localmente. Esse certificado
permite que os Servios de Gerenciamento de Direitos do Active
Directory opere em uma rede que seja inteiramente isolada da
Internet.
Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser
atualizado antes do cluster de licenciamento apenas. Isso
exigido para que o cluster de licenciamento apenas receba o SLC
recm-registrado do cluster raiz.
Integrao com os Servios Federados do Active Directory
As empresas vm continuamente sentindo a necessidade de colaborar
fora dos seus limites corporativos, procurando a federao como
uma soluo possvel. O suporte da federao com os Servios de
Gerenciamento de Direitos do Active Directory ir permitir que as
empresas alavanquem suas relaes federadas j estabelecidas para
permitir a colaborao com entidades externas. Por exemplo, uma
organizao que tenha implantado os Servios de Gerenciamento de
Direitos do Active Directory pode definir uma federao com uma
entidade externa, usando os Servios Federados do Active
Directory, alavancando sua relao para compartilhar contedos
protegidos entre duas organizaes, sem exigir uma implantao
dos Servios de Gerenciamento de Direitos do Active Directory nos
dois locais.
Nas verses anteriores do RMS, as opes para colaborao externa
de contedo protegido eram limitadas ao Microsoft Passport.
Integrar os Servios Federados do Active Directory com os
Servios de Gerenciamento de Direitos do Active Directory fornece
197
a capacidade de estabelecer identidades federadas entre as
organizaes e compartilhar contedos protegidos por direitos.
Se voc est interessado em usar os Servios Federados do Active
Directory com os Servios de Gerenciamento de Direitos do Active
Directory, deve ter uma relao de confiana federada entre a sua
organizao e os parceiros externos com quem gostaria de
colaborar antes de os Servios de Gerenciamento de Direitos do
Active Directory ser instalado. Alm disso, voc deve usar o
cliente dos Servios de Gerenciamento de Direitos do Active
Directory, includo com o Windows Vista ou o RMS Client com SP2
para tirar proveito da integrao dos Servios Federados do
Active Directory com os Servios de Gerenciamento de Direitos do
Active Directory. Os clientes do RMS anteriores ao RMS Client com
SP2 no iro suportar a colaborao dos Servios Federados do
Active Directory.
Novas funes administrativas dos Servios de Gerenciamento de
Direitos do Active Directory.
Para delegar um maior controle sobre o seu ambiente dos Servios
de Gerenciamento de Direitos do Active Directory, foram criadas
novas funes administrativas. Essas funes so grupos de
segurana locais criadas quando os Servios de Gerenciamento de
Direitos do Active Directory est instalado. Cada uma dessas
funes possui nveis diferentes de acesso aos Servios de
Gerenciamento de Direitos do Active Directory associado a elas.
As novas funes so: Grupo de Servios de Gerenciamento de
Direitos do Active Directory, Administradores Corporativos de
Servios de Gerenciamento de Direitos do Active Directory,
Administradores de Modelos de Servios de Gerenciamento de
Direitos do Active Directory e Auditores Servios de
O Grupo Servios de Gerenciamento de Direitos do Active Directory
mantm a conta do servio dos Servios de Gerenciamento de
Direitos do Active Directory. Quando a funo dos Servios de
Gerenciamento de Direitos do Active Directory adicionada, a
conta de servio configurada durante a instalao adicionada
automaticamente funo administrativa.
A funo dos Administradores Corporativos de Servios de
Gerenciamento de Direitos do Active Directory permite que os
membros deste grupo gerenciem todas as diretivas e configuraes
dos Servios de Gerenciamento de Direitos do Active Directory.
Durante o fornecimento dos Servios de Gerenciamento de Direitos
do Active Directory, a conta de usurio que instala a funo dos
Servios de Gerenciamento de Direitos do Active Directory e o
grupo de administradores locais so adicionados funo dos
Administradores Corporativos de Servios de Gerenciamento de
Direitos do Active Directory. Como uma melhor prtica, os membros
deste grupo devem ser restringidos a apenas contas de usurios
que precisam de controle administrativo total sobre os Servios
de Gerenciamento de Direitos do Active Directory.
198
Os Administradores de Modelos de Servios de Gerenciamento de
Direitos do Active Directory permitem que os membros deste grupo
gerenciem os modelos de diretiva de direitos. Especificamente, os
Administradores de Modelos de Servios de Gerenciamento de
Direitos do Active Directory podem ler as informaes do cluster,
listar modelos de diretivas, criar novos modelos de diretivas,
modificar um modelo existente e exportar esses modelos.
A funo dos Auditores de Servios de Gerenciamento de Direitos
do Active Directory permite que os membros deste grupo gerenciem
logs e relatrios. Essa uma funo de somente leitura que
limitada a ler informaes do cluster, ler as configuraes de
logging e executar relatrios disponveis no cluster dos Servios
de Gerenciamento de Direitos do Active Directory.
As funes administrativas do novos Servios de Gerenciamento de
Direitos do Active Directory fornecem a oportunidade de delegar
tarefas dos Servios de Gerenciamento de Direitos do Active
Directory sem fornecer controle total sobre todo o cluster desses
servios.
Os clientes que querem implantar os Servios de Gerenciamento de
Direitos do Active Directory em sua organizao no precisam
fazer nada para se preparar para essa mudana. De forma opcional,
recomenda-se criar grupos de segurana do Active Directory para
cada uma dessas funes administrativas e adicion-los aos grupos
de segurana locais. Isso dar a voc a capacidade de escalar a
sua implantao dos Servios de Gerenciamento de Direitos do
Active Directory por meio de diversos servidores, sem precisar
adicionar contas de usurio a cada servidor dos Servios de

199
Seo 6: Plataforma de
Aplicaes e da Web


200
6.01 Introduo Plataforma de Aplicaes e da Web

Este cenrio enfoca as melhorias em gerenciamento, segurana,
desempenho e capacidade de extenso que estaro disponveis
quando o Windows Server
Longhorn for implantando no host e

gerenciar aplicaes e servios em execuo no servidor e/ou
atravs da Web.
O Windows Server Longhorn fornece uma plataforma mais segura e
fcil de ser gerenciada para o desenvolvimento e hospedagem de
aplicaes e servios executados no servidor e/ou atravs da Web.
Estas so as principais propostas de valor que a plataforma de
aplicaes e da Web oferece:
Gerenciamento mais eficiente de servios e aplicaes da
Web e do servidor
Configurao e implantao mais rpidas de servios e
aplicaes da Web em farms de servidores
Plataforma Web personalizada, dinamizada e mais segura
Maior desempenho e/ou escalabilidade para servios e
aplicaes da Web
Controle e visibilidade sobre como e quando os servios e
aplicaes utilizam recursos importantes do sistema
operacional
Nenhum

201
6.02 Internet Information Services 7.0

O Windows Server Longhorn fornece uma plataforma unificada para
publicao da Web que integra o IIS, o ASP.NET, o Windows

Communication Foundation e o Microsoft
Windows SharePoint

Services. O IIS verso 7.0 uma importante melhoria para o
servidor Web IIS existente e exerce funo central na integrao
de tecnologias de plataforma Web.
O IIS 7.0 construdo para ser compatvel com os lanamentos
existentes. Espera-se que todas as aplicaes ASP, ASP.NET 1.1 e
ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma
mudana de cdigo (usando o suporte de ISAPI compatvel).
Todas as extenses ISAPI existentes e a maioria dos filtros ISAPI
tambm continuaro funcionando, sem mudanas. Entretanto, os
filtros ISAPI que dependem da notificao LER DADOS NO
PROCESSADOS no so suportados no IIS 7.0.
Para todas as Interfaces de Servio do Active Directory
e scripts
WMI existentes, o IIS 7.0 fornecer paridade de recursos com os
lanamentos anteriores, possibilitando que estes sejam executados
diretamente do novo armazenamento de configurao.
Os principais pilares do lanamento do IIS 7.0 so:
Modelo de extensibilidade flexvel para poderosa
personalizao
Poderosas ferramentas de diagnstico e resoluo de
problemas
Administrao delegada
Segurana aprimorada e superfcie de ataque reduzida por
meio de personalizao
Implantao real de xcopy de aplicaes
Gerenciamento integrado de aplicaes e integridade para
servios WCF
Ferramentas de administrao aprimoradas
Modelo de Extensibilidade Flexvel para Personalizao Poderosa
O IIS 7.0 permite aos desenvolvedores estender o IIS para
fornecer funcionalidade personalizada de novas e mais poderosas
maneiras. A extensibilidade do IIS 7.0 inclui um conjunto
totalmente novo de interfaces de programao de aplicao (API)
de servidor principal, que permite que os mdulos de recursos
sejam desenvolvidos tanto em cdigo nativo (C/C++) como em cdigo
gerenciado (linguagens como C#, e o Visual Basic
2005, que usa o

.NET Framework).
O IIS 7.0 tambm permite extensibilidade de configurao,
scripts, registro de eventos e conjuntos de recursos de
202
ferramentas de administrao, proporcionando aos desenvolvedores
de software uma plataforma de servidor completa sobre a qual
possvel construir extenses de servidor Web.
Ferramentas Poderosas de Diagnstico e Resoluo de Problemas
O IIS 7.0 possibilita aos desenvolvedores e profissionais de TI
resolver mais facilmente problemas de erros em aplicaes e sites
da Web. O IIS 7.0 fornece uma visualizao clara das informaes
de diagnstico interno sobre o IIS, alm de coletar e apresentar
eventos de diagnstico detalhados para ajudar a solucionar
problemas com servidores.
Administrao Delegada
O IIS 7.0 permite queles que hospedam ou administram sites da
Web ou servios WCF delegar controle administrativo aos
desenvolvedores ou donos do contedo, reduzindo assim o custo de
propriedade e os encargos administrativos para o administrador.
Novas ferramentas de administrao so fornecidas para suportar
esses recursos de delegao.
Segurana Aprimorada e Superfcie de Ataque Reduzida por meio de
Personalizao
Voc pode controlar quais recursos podem ser instalados e
executados em seu servidor Web. O IIS 7.0 composto por mais de
40 mdulos de recursos diferentes. Cada mdulo pode ser instalado
de forma independente no servidor, para reduzir a superfcie de
ataque do servidor e diminuir o overhead administrativo onde no
for necessrio. Para mais informaes sobre os diversos mdulos
de recursos, consulte: Mdulos do IIS 7.0
Implantao de Xcopy em Aplicaes Verdadeiras
O IIS 7.0 permite armazenar as configuraes do IIS em arquivos
Web.config, o que torna muito mais fcil usar o comando xcopy
para copiar aplicaes em mltiplos servidores Web front-end,
evitando assim a replicao dispendiosa e sujeita a erros, alm
de problemas de sincronizao manual.
Gerenciamento de Aplicaes e Integridade para Servios WCF
Para aprimorar o desenvolvimento e a hospedagem dos servios WCF
em diversos protocolos, o Windows Server Longhorn inclui o
Windows Activation Service (WAS), que suporta a ativao
conectvel de escuta arbitrria de protocolo. O WAS fornece
gerenciamento inteligente de recursos para todos os tipos de
aplicaes ativadas por mensagem, ativao de processo por
demanda, monitoramento de integridade, alm de deteco e
reciclagem automticas de falhas. O WAS baseado no modelo de
processo de solicitao do IIS 6.0.
Ferramentas de Administrao Aprimoradas
203
O IIS 7.0 apresenta uma nova interface grfica e uma nova
ferramenta de linha de comando para o gerenciamento e
administrao de servidores Web, sites e aplicaes da Web.
Suporte de Gerenciamento Integrado para Servios da Web
Para aprimorar o desenvolvimento e a hospedagem dos servios WCF
em diversos protocolos, o Windows Server Longhorn inclui o
Windows Activation Service (WAS), que suporta a ativao
conectvel de escuta arbitrria de protocolo. O WAS fornece
gerenciamento inteligente de recursos para todos os tipos de
aplicaes ativadas por mensagem, ativao de processo por
demanda, monitoramento de integridade, alm de deteco e
reciclagem automticas de falhas. O WAS baseado no modelo de
processo de solicitao do IIS.
Firewall do Windows Ativado por Padro
O Firewall do Windows ativado por padro no Windows Server
Longhorn. Durante a instalao da funo do servidor Web (IIS),
o processo de instalao adiciona as seguintes regras de entrada
do Firewall do Windows, para permitir o trfego de todos os
servios funcionais selecionados:
Caso sejam instalados servios funcionais relacionados a
HTTP e HTTPS, uma regra adicionada ao Firewall do Windows
para permitir o trfego para HTTP na porta 80 e para HTTPS
na porta 443. Tais regras aparecem na lista do Firewall do
Windows como Trfego HTTP de Entrada dos Servios da World
Wide Web e Trfego HTTPS de Entrada dos Servios da World
Wide Web. Essas regras so ativadas automaticamente.
Caso sejam instalados servios funcionais relacionados a
FTP, uma regra adicionada ao Firewall do Windows para
permitir o trfego para FTP na porta 21. Tal regra aparece
na lista do Firewall do Windows como Trfego de Entrada do
Servidor FTP. Essa regra ativada automaticamente.
Caso seja instalado o Servio de Gerenciamento, uma regra
adicionada ao Firewall do Windows para permitir o trfego
para o servio na porta 8172. Tal regra aparece na lista do
Firewall do Windows como Trfego de Entrada do Servio de
Gerenciamento da Web. Essa regra deve ser ativada pelo
administrador do servidor.
Edies
O IIS 7.0 est disponvel em todas as edies do Windows Server.
No h diferena de funcionalidade entre as edies. O IIS 7.0
est disponvel em plataformas de 32 bits e 64 bits.
Configurao
O IIS 7.0 apresenta algumas importantes melhorias na maneira como
os dados de configurao so armazenados e acessados. Um dos
principais objetivos do lanamento do IIS 7.0 possibilitar a
204
configurao distribuda das configuraes do IIS, que permite
aos administradores especificar as configuraes do IIS nos
arquivos armazenados com o cdigo e o contedo.
A configurao distribuda permite aos administradores
especificar as configuraes para um site ou aplicao da Web no
mesmo diretrio do cdigo ou contedo. Ao especificar as
configuraes em um nico arquivo, a configurao distribuda
permite aos administradores delegar a administrao dos recursos
selecionados de sites ou aplicaes da Web de forma que
desenvolvedores de aplicaes possam modificar tais recursos. Os
administradores tambm podem bloquear configuraes especficas,
de modo que elas no possam ser alteradas por mais ningum.
Usando a configurao distribuda, as configuraes para um site
ou aplicao especfica podem ser copiadas de um computador para
outro, medida que a aplicao passa do desenvolvimento para
teste e, finalmente, para produo. A configurao distribuda
tambm permite que a configurao de um site ou aplicao seja
compartilhada atravs de um farm de servidor, em que todos os
servidores recuperam as configuraes e o contedo de um servidor
de arquivos.
A configurao do IIS 7.0 baseada no armazenamento de
configurao existente do .NET Framework, o que possibilita que
as configuraes do IIS sejam armazenadas em conjunto com a
configurao do ASP.NET em arquivos Web.config. Essa mudana
fornece um armazenamento de configurao para todas as
configuraes da plataforma Web, que podem ser acessadas atravs
de um conjunto comum de APIs e armazenadas em um formato
homogneo. O sistema de configurao do IIS 7.0 tambm
totalmente extensvel, de forma que os desenvolvedores podem
estender o armazenamento de configurao para incluir uma
configurao personalizada com a mesma fidelidade e prioridade da
configurao do IIS.
O IIS 7.0 armazena a configurao global, ou de todo o
computador, no diretrio %windir%\system32\inetsrv, em um arquivo
chamado ApplicationHost.config. Nesse arquivo h dois principais
grupos de seo de configurao:
system.applicationHost
system.WebServer
O grupo de seo system.applicationHost contm a configurao
para site, aplicao, diretrio virtual e pools de aplicaes. O
grupo de seo system.WebServer contm a configurao para todas
as demais configuraes, incluindo os padres globais da Web.
A configurao especfica de URL tambm pode ser armazenada em
ApplicationHost.config usando as tags <location>. O IIS 7.0
tambm pode fazer leitura e escrita de configurao especfica de
URL dentro dos diretrios de cdigo ou contedo de sites e
aplicaes da Web do servidor nos arquivos Web.config, junto com
a configurao do ASP.NET.
205
Como o Windows Server Longhorn uma nova verso, possvel
que voc leve algum tempo para familiarizar-se como as novas
opes de configurao.
Os sites de produo e os servios WCF que atualmente so
executados atravs do IIS 6.0 devem ser cuidadosamente testados
antes de passarem para produo no IIS 7.0, embora o IIS 7.0 seja
projetado para ser compatvel.
Se voc usa scripts de linha de comando personalizados do IIS
6.0, pode precisar convert-los para o IIS 7.0.
Ferramentas de Administrao
O IIS 7.0 apresenta as seguintes ferramentas de administrao,
novas e completamente reescritas, para o gerenciamento do IIS:
GUI (Interface Grfica do Usurio), IIS Manager
Ferramenta de linha de comando, appcmd.exe
Armazenamento de configurao, baseado no armazenamento de
configurao do .NET Framework 2.0, que suporta a edio
direta de configuraes
Provedor WMI que pode ler ou alterar configuraes no
armazenamento de configurao
Interface gerenciada, Microsoft.Web.Administration, que
expe as mesmas informaes exibidas pelo provedor WMI
Alm disso, o snap-in MMC do IIS 6.0 tambm fornecido com o
Windows Server Longhorn para suportar administrao remota e
administrar sites FTP.
possvel instalar as ferramentas de administrao e os
componentes de servidor Web separadamente.
O IIS 7.0 tambm inclui um novo provedor WMI que amplia o acesso
a scripts para todas as configuraes do IIS e do ASP.NET.
A interface Microsoft.Web.Administration fornece uma interface
gerenciada fortemente tipificada para recuperar os mesmos dados
exibidos pelos scripts WMI.
Os scripts de linha de comando do IIS 6.0 tambm foram
substitudos por uma nova e poderosa ferramenta de linha de
comando, a appcmd.exe.
As novas ferramentas de administrao suportam integralmente a
configurao distribuda e a delegao da responsabilidade
administrativa. A delegao pode ser muito especfica, permitindo
ao administrador decidir exatamente quais funes delegar, caso a
caso.
As novas ferramentas de administrao suportam integralmente a
nova configurao distribuda do IIS 7.0. Elas suportam o o
acesso delegado (no administrativo) para configurao de sites e
aplicaes individuais. As ferramentas de administrao suportam
206
credenciais que no sejam do Administrador e nem do Windows para
a autenticao de um site ou aplicao especfica e o
gerenciamento de configurao somente para aquele escopo.
A nova interface grfica do IIS Manager suporta administrao
remota de HTTP, permitindo administrao contnua local, remota e
mesmo atravs da Internet, sem requerer DCOM ou que outras portas
administrativas sejam abertas no firewall.
As ferramentas de administrao so totalmente extensveis,
permitindo aos desenvolvedores construir novos mdulos de
administrao usando o .NET Framework, para se conectarem
facilmente a novos mdulos de interface grfica de administrao
que trabalham de forma to transparente como aqueles que fazem
parte do IIS 7.0.
Ncleo do Servidor Web
O Ncleo do Servidor Web do IIS 7.0 apresenta algumas mudanas
fundamentais em relao ao IIS 6.0. Por exemplo, tanto o cdigo
nativo como o cdigo gerenciado so processados por meio de um
nico pipeline de requisies. Alm disso, o IIS 7.0 apresenta um
mecanismo de servidor Web onde os componentes, chamados mdulos,
podem ser adicionados ou removidos, dependendo da necessidade.
Tais mudanas permitem uma reduo significativa na superfcie de
ataque, maior extensibilidade e melhoria do suporte para estender
a funcionalidade bsica do IIS 7.0, pela criao de mdulos de
cdigo gerenciados. O novo ncleo Web de processo de trabalho
tambm fornece acesso para todos os eventos de notificao no
pipeline de requisio. O nvel de integrao sem precedentes,
permitindo que os recursos existentes do ASP.NET (como
autenticao baseada em formulrios ou autorizao de URL) sejam
usados para todos os tipos de contedo da Web.
Em verses anteriores do IIS, toda a funcionalidade era
construda por padro, e no havia uma maneira fcil de estender
ou substituir tal funcionalidade. Entretanto, o ncleo do IIS 7.0
dividido em mais de 40 mdulos de recursos distintos. O ncleo
tambm inclui uma nova API do Win32
para construir os mdulos

bsicos do servidor. Os mdulos bsicos do servidor so novos e
substitutos mais poderosos dos filtros e extenses ISAPI de
Servidor da Internet, embora tais filtros e extenses sejam ainda
suportados no IIS 7.0.
Como todos os recursos bsicos do servidor do IIS foram
desenvolvidos de forma que o IIS 7.0 possa usar a nova API do
Win32
e os mdulos de recursos em separado, possvel adicionar,

remover ou mesmo substituir os mdulos de recursos do IIS.
O IIS 7.0 tambm inclui suporte para o desenvolvimento de
extenses bsicas do servidor Web usando o .NET Framework. O IIS
7.0 integrou a API IHttpModule existente ao ASP.NET, permitindo
que os mdulos de cdigo gerenciados acessem todos os eventos no
pipeline de requisio, para todas as solicitaes.
207
Diagnstico
O IIS 7.0 inclui duas principais melhorias que ajudam no
diagnstico e na resoluo de problemas de sites e aplicaes da
Web.
As mudanas no diagnstico e na resoluo de problemas no IIS 7.0
permitem que o desenvolvedor ou o administrador visualize, em
tempo real, as solicitaes que esto sendo executadas no
servidor. Agora possvel filtrar condies de erro difceis de
reproduzir e interromper automaticamente o erro com um registro
de rastreamento detalhado.
O IIS 7.0 inclui uma nova API de Controle e Estado do Tempo de
Execuo, que proporciona informaes, em tempo real, sobre o
estado de pools de aplicaes, processos de trabalho, sites,
domnios de aplicaes e ainda sobre solicitaes que esto sendo
executadas.
Tais informaes so exibidas por meio de uma API COM nativa. A
prpria API agrupada e exibida atravs do novo provedor WMI do
IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usurios
verifiquem o status do servidor Web de forma mais rpida e fcil,
qualquer que seja o ambiente de gerenciamento utilizado.
O IIS 7.0 tambm inclui eventos de rastreamento detalhados
durante o caminho de solicitao e resposta, permitindo aos
desenvolvedores rastrear uma solicitao medida que ela abre
caminho para o IIS, atravs do pipeline de requisio de processo
do IIS, em qualquer cdigo de nvel de pgina existente, e
retornar para a resposta. Tais eventos de rastreamento detalhados
permitem que os desenvolvedores tenham conhecimento no apenas do
caminho da solicitao e de quaisquer informaes de erro que
surjam em decorrncia de uma solicitao, como tambm do tempo
decorrido e de outras informaes depuradas, para ajudar na
resoluo de todos os tipos de erros e quando um sistema pra de
responder.
Para permitir a coleta desses eventos de rastreamento, o IIS 7.0
pode ser configurado para capturar automaticamente todos os
registros de rastreamento para uma determinada solicitao, com
base no tempo decorrido ou nos cdigos de resposta de erros.
Recursos Adicionais
Para mais informaes sobre o IIS, consulte o Internet
Information Services no site da Microsoft:
Para mais informaes sobre APIs de extensibilidade do IIS,
consulte o SDK do Internet Information Services 7.0 no site da
Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).

208
6.03 Windows Media Services

O Microsoft Windows Media
Services 9 Series uma plataforma de

nvel industrial para transmitir contedo de mdia digital
atravs de redes, ao vivo ou por demanda, que inclui o contedo
do Windows Media Audio (WMA) e do Windows Media Video (WMV).
O Windows Media Services pode ser usado para gerenciar um ou mais
servidores Windows Media que fornecem contedo de mdia digital
para os seguintes tipos de clientes:
Computadores ou dispositivos que reproduzem o contedo usando
um player, como o Windows Media Player
Outros servidores Windows Media que atuem como proxy,
armazenem em cache ou redistribuam o contedo
Programas personalizados que foram desenvolvidos usando os
Kits de Desenvolvimento de Software do Windows Media

O Windows Media Services pode ser usado por qualquer pessoa que
deseja fornecer contedo de mdia digital para clientes atravs
de redes (tanto a Internet quanto uma intranet). Os seguintes
tipos de organizao consideram o Windows Media Services
especialmente til:
Empresas de hospedagem que fornecem uma experincia de
fluxo contnuo rpido aos usurios - seja em casa ou no
escritrio
Empresas nas reas comercial, educacional ou governo que
gerenciam recursos de rede e fornecem comunicaes valiosas
para transmisses corporativas, alm de aprendizado,
marketing e vendas on-line
Empresas com tecnologia sem fio que fornecem servios de
entretenimento de banda larga sem fio, usando os
escalonveis e confiveis servidores Windows Media
Difusoras da Internet que fornecem contedo para rdio,
televiso, cabo ou satlite
Distribuidoras de filmes e msica que fornecem contedo de
udio e vdeo de maneira segura, sem excesso de
armazenamento em buffer ou congestionamento da rede
Profissionais de IPTV que fornecem uma experincia de IPTV
de alta qualidade em LANs
Como nos lanamentos anteriores, alguns recursos do Windows Media
Services no esto disponveis em determinadas edies do Windows
Server Longhorn. Se a implantao do servidor Windows Media
requerer um recurso especfico (por exemplo, o fornecimento de
contedo para clientes como o fluxo contnuo multicast), consulte
209
a Comparao de Recursos do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do
Windows Server Longhorn deve ser instalada.
Aps a instalao da edio correta do Windows Server Longhorn,
a funo Servios de Mdia de Fluxo Contnuo, que inclui o
servio funcional do Windows Media Services (Administrador do
Windows Media Services) e servios opcionais (Administrador do
Windows Media Services para a Web e Agente de Log de Difuso
Seletiva e Anncio), no est disponvel para instalao no
Server Manager. Antes de usar o Server Manager para instalar a
funo Servios de Mdia de Fluxo Contnuo, deve-se fazer o
download do Windows Media Services 9 Series. Para mais
informaes sobre como instalar a funo Servios de Mdia de
Fluxo Contnuo no Windows Server Longhorn, consulte: Instalao
e Configurao da Funo Servios de Mdia de Fluxo Contnuo
Se voc ainda no usou o Windows Media Services, recomendamos que
voc se familiarize com os conceitos de fluxo contnuo. Um bom
lugar para comear : Usando o Windows Media Services 9 Series
Nota
Voc pode adicionar a funo Servios de Mdia de Fluxo
Contnuo para a instalao do Ncleo do Servidor do Windows
Server Longhorn. Para mais informaes sobre a opo de
instalao do Ncleo do Servidor do Windows Server
Longhorn, consulte o Ncleo do Servidor neste documento.
Para mais informaes sobre como adicionar a funo
Servios de Mdia de Fluxo Contnuo ao Ncleo do Servidor
do Windows Server Longhorn, consulte: Instalao e
Configurao da Funo Servios de Mdia de Fluxo Contnuo
Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contm um novo plug-in
de Gerenciamento de Cache/Proxy que controla a capacidade do
servidor Windows Media de executar funes de cache e proxy. O
plug-in Cache Proxy do WMS pode ser usado para configurar um
servidor Windows Media como um servidor de cache/proxy que mantm
a largura de banda, reduz a latncia imposta pela rede e diminui
a carga sobre o servidor de origem. Esses trs fatores reduzem os
custos operacionais e criam uma melhor experincia de
visualizao para seus clientes.
Atributos das Listas de Reproduo
Os atributos das listas de reproduo do lado servidor noSkip e
noRecede so agora suportados. Clientes suportados (Windows Media
Player 9 Series ou verses mais recentes) que se conectam a
listas de reproduo do lado servidor enviadas para pontos de
publicao por demanda num servidor Windows Media podem obter
210
avano, retrocesso, busca ou salto rpidos em toda a mdia. Esses
clientes tambm podem avanar para a mdia anterior ou seguinte
na lista de reproduo. (Esses controles esto agora ativados no
cliente.)
Fluxo Contnuo de MMS
O protocolo MMS no suportado para fluxo contnuo e o plug-in
do Protocolo de Controle de Servidor MMS foi removido do
Administrador do Windows Media Services. Observe que embora o
protocolo MMS no seja suportado, o prefixo do MMS (mms://) ainda
suportado. Quando os clientes que suportam o protocolo RTSP
(Real Time Streaming Protocol) se conectam a um servidor Windows
Media usando uma URL com prefixo mms:// (por exemplo,
mms://server_name/clip_name.wmv), o servidor tentar usar a
sobreposio de protocolos para transferir o contedo para o
cliente usando RTSP, para fornecer uma tima experincia de fluxo
contnuo. Os clientes que suportam RTSP so o Windows Media
Player 9 Series (ou verses mais recentes do Windows Media
Player) ou outros players que usam o Controle ActiveX
do Windows
Media Player 9 Series.
Quando verses anteriores do Windows Media Player, outros players
que no suportam o protocolo RTSP ou players em ambientes que no
sejam de RTSP se conectam ao servidor usando uma URL com prefixo
mms://, o servidor tentar usar a sobreposio de protocolos para
transferir o contedo para o cliente usando HTTP.
Para garantir que seu contedo esteja sempre disponvel para
clientes que se conectam ao seu servidor usando uma URL com
prefixo mms://, ative o plug-in do Protocolo de Controle de
Servidor HTTP do WMS no Administrador do Windows Media Services e
abra portas em seu firewall para todos os protocolos de conexo
que possam ser usados durante a sobreposio de protocolos. Para
mais informaes, consulte: Informaes sobre Firewall para o
Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).
Configurao de Sistema HTTP do Windows Media Services
Se voc usa o Windows Media Services e outro servio da Web, como
o Microsoft IIS nesse servidor, ambos os servios tentaro se
conectar porta 80 para o fluxo contnuo de HTTP. Esse conflito
pode ser evitado ao atribuir uma porta diferente para cada
servio. Caso um servio seja atribudo para outra porta que no
a 80, a porta correspondente tambm deve ser aberta no firewall
da rede. Para mais informaes, consulte: Informaes sobre
Firewall para o Windows Media Services 9 Series
Como alternativa, pode-se atribuir endereos IP adicionais para o
servidor. Isso possibilita que cada servio tenha seu prprio
endereo IP e, ao mesmo tempo, compartilhe a porta 80 para o
fluxo contnuo de HTTP. A maneira mais simples para essa execuo
instalar mltiplos adaptadores de rede no servidor. Entretanto,
caso essa soluo no seja possvel, pode-se criar mltiplos
211
endereos IP em um nico adaptador de rede e atribuir-lhes
endereos distintos da porta 80. Em seguida, deve-se configurar o
Windows Media Services e o servio da Web para se conectarem a
diferentes combinaes de endereo IP/porta 80. A ferramenta de
Configurao de Sistema HTTP do Windows Media Services, usada em
verses anteriores do Windows Media Services para atribuir
endereos IP adicionais para os servios, no est disponvel
nesta verso. Agora, a lista de incluso de IP na pilha de
protocolos HTTP (HTTP.sys) deve ser configurada usando os
aprimorados comandos netsh. Para mais informaes, consulte os
comandos Netsh em: Novos Recursos de Rede no Windows Server
Longhorn e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).
Configurao do Firewall
No mais necessrio adicionar o programa Windows Media Services
(Wmserver.exe) como uma exceo no Firewall do Windows para abrir
as portas de entrada padro para fluxo contnuo unicast. Quando a
funo Servios de Mdia de Fluxo Contnuo instalada no Windows
Server Longhorn, o programa Windows Media Services
automaticamente adicionado como uma exceo no Firewall do
Windows.
Utilitrio de Teste de Fluxo Contnuo
O Server Manager deve ser usado para instalar o recurso
Experincia Desktop antes que o Utilitrio de Teste de Fluxo
Contnuo possa ser usado no Administrador do Windows Media
Services.
Incio Rpido Avanado
O Incio Rpido Avanado minimiza a latncia de inicializao no
Windows Media Player 10 (ou verses mais recentes) ou no Windows
CE verso 5.0 (ou verses mais recentes) e ativado por padro.
Nas verses anteriores do Windows Media Services, o Incio Rpido
Avanado era desativado por padro.
Qualidade de Servio
O Windows Media Services foi atualizado para usar as diretivas de
Qualidade de Servio (QoS) no Windows Server Longhorn para
gerenciar o trfego de sada de rede, em vez de usar o Tipo de
Servio (ToS) para fornecer fluxo contnuo unicast. Para mais
informaes, consulte: Qualidade de Servio
Implantao
As aplicaes projetadas para trabalhar com o Windows Media
Services nos sistemas operacionais Windows anteriores no
requerem mudanas para trabalhar com o Windows Media Services no
Em comparao com a verso anterior, o Windows Media Services no
requer nenhuma melhoria especial na rede ou na infra-estrutura de
212
segurana de sua empresa. Caso o Windows Media Services esteja
sendo instalado no Windows Server Longhorn pela primeira vez,
os Requisitos de Sistema do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente.
Nota
Em primeiro lugar, preciso fazer o download e instalar o
Windows Media Services a partir do site da Microsoft
(http://www.microsoft.com) para o Windows Server Longhorn.
O Windows Media Services pode ser implantado em diversos
cenrios. Depois da instalao do Windows Media Services,
recomendamos a leitura do Guia de Implantao do Windows Media
Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos
e as recomendaes para o cenrio de fluxo contnuo.
Alguns recursos do Windows Media Services no esto disponveis
em determinadas edies do Windows Server Longhorn. Se a
implantao do servidor Windows Media requerer um recurso
especfico (por exemplo, o fornecimento de contedo para clientes
como o fluxo contnuo multicast), consulte a Comparao de
Recursos do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do
Windows Server Longhorn deve ser instalada.

6.04 Servidor de Aplicao

O Servidor de Aplicao uma nova funo de servidor do Windows
Server Longhorn. O Servidor de Aplicao fornece um ambiente
integrado para implantao e execuo de aplicaes de negcios
personalizadas construdas com o Microsoft .NET Framework verso
3.0 (anteriormente WinFX
). O mesmo ambiente integrado do Servidor

de Aplicao pode ser usado para implantar e executar as
aplicaes de legado de sua organizao, como as aplicaes
construdas para usar COM+, Message Queuing, servios da Web e
transaes distribudas.
O Servidor de Aplicao fornece os seguintes benefcios:
Um tempo de execuo bsico que suporta implantao e
gerenciamento eficazes das aplicaes de negcios de alto
desempenho
O ambiente de desenvolvimento do .NET Framework, que
fornece um modelo de programao simplificado e um modelo
de execuo de alto desempenho para aplicaes baseadas em
servidor, ativa os servios da Web e integra as novas
aplicaes s aplicaes e infra-estrutura existentes
O Assistente para Adicionar Funes, fcil de usar, que
ajuda a escolher os servios funcionais e os recursos
necessrios para executar as aplicaes
213
Instalao automtica de todos os recursos necessrios para
um determinado servio funcional
Um ambiente do Servidor de Aplicao pode incluir, dentre outros,
o que segue:
Computadores clientes conectados por domnio e seus
usurios
Computadores conectados a uma intranet ou Internet num
ambiente de servios da Web
Servidores que interoperam em plataformas e sistemas
operacionais distintos
Servidores que hospedam aplicaes construdas com o .NET
Framework 3.0
Servidores que hospedam aplicaes construdas para usar
COM+, Message Queuing, servios da Web e transaes
distribudas
Servidores mltiplos que hospedam mltiplos bancos de dados
em uma rede
O Servidor de Aplicao uma nova funo de servidor instalada
atravs do Assistente para Adicionar Funes no Server Manager.
Os administradores que implantam aplicaes LOB construdas com o
.NET Framework 3.0 descobriro que a instalao de um ambiente de
hospedagem para aplicaes se torna mais simples com essa funo
de servidor. O Assistente para Adicionar Funes orienta o
administrador atravs do processo de seleo dos servios
funcionais ou do suporte dos recursos necessrios para executar
as aplicaes.
Ncleo do Servidor de Aplicao
O Ncleo do Servidor de Aplicao o grupo de tecnologias
instaladas por padro quando a funo Servidor de Aplicao
instalada. Basicamente, o Ncleo do Servidor de Aplicao o
.NET Framework 3.0.
O Windows Server Longhorn inclui o .NET Framework 2.0, seja
qual for a funo de servidor instalada. O .NET Framework 2.0
contm o CLR, que fornece um ambiente de execuo de cdigo que
promove a execuo segura do cdigo, implantao de cdigo
simplificada e suporte para a interoperabilidade de mltiplas
linguagens.
O Ncleo do Servidor de Aplicao acrescenta os recursos do .NET
Framework 3.0 aos recursos bsicos do .NET Framework 2.0. Para
mais informaes sobre o .NET Framework 3.0, consulte: .NET
Framework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263).
Os principais componentes do Ncleo do Servidor de Aplicao so
instalados como um conjunto de bibliotecas e montagens do .NET.
Os principais componentes do Ncleo do Servidor de Aplicao so:
214
Windows Communication Foundation (WCF)
Windows Workflow Foundation (WF)
Windows Presentation Foundation (WPF)
Os componentes mais importantes para as aplicaes baseadas em
servidor so o WCF e o WF. O WPF usado principalmente em
aplicaes baseadas em cliente.
O WCF o modelo de programao unificado da Microsoft para
construir aplicaes que usam os servios da Web para se
comunicarem entre si. Essas aplicaes tambm so conhecidas como
aplicaes orientadas para servios. Os desenvolvedores podem
usar o WCF para construir aplicaes transacionadas mais seguras
e confiveis, que se integram s plataformas e interoperam com os
sistemas e aplicaes existentes. Para mais informaes sobre o
WCF, consulte: O que o Windows Communication Foundation?
O WF o mecanismo e modelo de programao para construir
rapidamente aplicaes ativadas por fluxo de trabalho no Windows
Server Longhorn. Um fluxo de trabalho um conjunto de
atividades que descrevem um processo no mundo real. O fluxo de
trabalho comumente descrito e visualizado graficamente como
um fluxograma. A descrio do fluxo de trabalho com freqncia
chamada de modelo. Os trabalhos passam pelo modelo de fluxo de
trabalho do incio ao fim.
Os trabalhos ou atividades dentro do modelo podem ser executados
por pessoas, sistemas ou computadores. Embora seja possvel
descrever um fluxo de trabalho em linguagens de programao
tradicionais como uma srie de etapas e condies, para fluxos de
trabalho mais complexos ou que suportam revises mais simples, em
geral muito mais apropriado projetar graficamente o fluxo de
trabalho e armazenar o projeto como um modelo.
Alm de permitir a modelagem grfica dos fluxos de trabalho, o WF
tambm possibilita a execuo dos modelos de fluxo de trabalho.
Aps a compilao do modelo de fluxo de trabalho, ele pode ser
executado em qualquer processo do Windows, inclusive aplicaes
baseadas em cliente, como aplicaes de console e aplicaes de
formulrios grficos do Windows, ou aplicaes baseadas em
servidor, incluindo o Windows Services, sites do ASP.NET e
servios da Web do WCF.
O WF fornece suporte para fluxo de trabalho humano e de sistemas
em uma variedade de cenrios, incluindo os seguintes:
Fluxo de trabalho em aplicaes LOB
Fluxo seqencial de telas, pginas e caixas de dilogo como
apresentadas ao usurio em resposta interao do usurio
com a interface grfica
Fluxo de trabalho centralizado em documentos
215
Fluxo de trabalho humano
Fluxo de trabalho composto para aplicaes orientadas para
servios
Fluxo de trabalho direcionado s regras de negcios
Fluxo de trabalho para gerenciamento de sistemas
O Servidor de Aplicao essencialmente novo para o Windows
Server Longhorn. A nova funo Servidor de Aplicao disponvel
no Windows Server Longhorn no uma atualizao das
tecnologias de servidor de aplicaes que possam ter sido
instaladas anteriormente como parte do Windows Server 2003 ou de
sistemas operacionais anteriores. Como a funcionalidade
completamente nova, os administradores devem estar cientes de que
no h caminho de migrao do Windows Server 2003 ou de sistemas
operacionais anteriores para o Application Server.
Caso um servidor do Windows Server 2003 ou de um sistema
operacional anterior seja atualizado para o Windows Server
Longhorn, a funo Application Server tambm dever ser
reinstalada, usando o Assistente para Adicionar Funes no Server
Manager.
Como parte da preparao para instalao da nova funo Servidor
de Aplicao, crie um inventrio das aplicaes que sero
executadas nesse servidor. Se voc for um administrador, trabalhe
com seus desenvolvedores para identificar as tecnologias e
configuraes suportadas que devem estar presentes no servidor
para executar as aplicaes. Em seguida, organize essas
tecnologias para os servios funcionais descritos nas prximas
sees, de forma que voc possa selecionar e configurar
adequadamente os servios durante a instalao da funo de
servidor.
Servidor Web
Essa opo instala o IIS verso 7.0, o servidor Web construdo no
Windows Server Longhorn. O IIS fornece os seguintes benefcios:
Ativa o Servidor de Aplicao para hospedar sites ou
servios internos e externos com contedo fixo ou dinmico.
Fornece suporte para a execuo de aplicaes ASP.NET
acessadas de um navegador da Web.
Fornece suporte para a execuo de servios da Web
construdos com o Microsoft ASP.NET ou o WCF.
COM+ Network Access
Essa opo adiciona o COM+ Network Access para chamada remota de
aplicaes construdas ou hospedadas em COM+ e componentes do
Enterprise Services. O COM+ Network Access um dos recursos de
chamada remota do Windows Server Longhorn. Aplicaes mais
recentes podem usar o WCF para suportar chamadas remotas.
216
Servio de Ativao de Processos no Windows
Essa opo adiciona o Servio de Ativao de Processos no Windows
(WAS - Windows Process Activation Service). O WAS pode iniciar e
finalizar aplicaes de forma dinmica, baseado em mensagens
recebidas da rede atravs de HTTP, Message Queuing, TCP e os
chamados protocolos de canalizao.
Compartilhamento de Porta TCP
Essa opo adiciona o Compartilhamento de Porta TCP (TCP Port
Sharing). Esse servio funcional possibilita que mltiplas
aplicaes HTTP usem uma nica porta TCP. Quando esse servio
funcional instalado como parte da funo Servidor de Aplicao,
mltiplas aplicaes WCF podem compartilhar uma nica porta para
receber mensagens da rede. Isso pode ajudar a limitar a rea de
superfcie potencialmente aberta para ataques, j que o
administrador abre apenas uma porta nos firewalls.
O servio funcional trabalha aceitando conexes que usam o
protocolo Net.Tcp. O servio ento transfere automaticamente as
mensagens de entrada para os diversos servios WCF com base no
contedo das mensagens. Isso simplifica o gerenciamento dos
servidores de aplicaes quando muitas ocorrncias de uma mesma
aplicao esto sendo executadas.
Transaes Distribudas
Essa opo ativa as transaes distribudas, que ajudam a
assegurar transaes completas e bem-sucedidas em mltiplos
bancos de dados hospedados em diversos computadores em uma rede.

217
6.05 NTFS Transacional

O sistema de arquivos NTFS Transacional e o Registro
Transacional, a tecnologia transacional do kernel no Windows
Server Longhorn, foram aprimorados para coordenar seu trabalho
por meio de transaes. Como as transaes so necessrias para
preservar a integridade dos dados e lidar com condies de erro
de forma confivel, o NTFS Transacional pode ser usado para
desenvolver solues poderosas para sistemas executados no
Windows.
O NTFS Transacional permite que as operaes de arquivos em um
volume de sistema de arquivos NTFS sejam executadas de forma
transacional. Isso fornece suporte para todas as propriedades
ACID (atmica, consistente, isolada e durvel) das transaes.
Por exemplo, voc pode agrupar conjuntos de arquivos e operaes
de registro com uma transao, de forma que todos obtenham
sucesso ou nenhum obtenha sucesso. Embora a transao seja ativa,
as mudanas no so vsiveis para leitura fora da transao.
Mesmo que ocorra falha no sistema, o trabalho iniciado gravado
no disco e o trabalho transacional incompleto restabelecido.
As transaes usadas com o sistema de arquivos ou registro podem
ser coordenadas com qualquer outro recurso transacional, como o
SQL Server ou MSMQ. A linha de comando foi extendida com o
comando Transact para permitir scripts simples de linha de
comando usando transaes.
O NTFS Transacional destina-se aos profissionais de TI que
precisam de uma maneira de garantir que determinadas operaes de
arquivos sejam finalizadas sem interrupo ou possveis erros.
O NTFS Transacional fornece a seguinte funcionalidade:
NTFS Transacional integrado a COM+. O COM+ estendido para
usar as APIs do Windows NT para ligar automaticamente o
equivalente da transao COM+ do Windows NT
ao thread em
que um objeto programado. Portanto, as aplicaes que
usam o modelo de transao COM+ podem simplesmente
especificar uma propriedade de objeto adicional que indica
a inteno de acesso do arquivo transacional. As aplicaes
de legado que usam o modelo COM+ que no especificarem essa
propriedade adicional acessaro os arquivos sem usar o NTFS
Transacional.
Cada volume NTFS um gerenciador de recursos. Uma
transao que transpe mltiplos volumes coordenada pelo
Kernel Transaction Manager (KTM). Compatvel com a
arquitetura do Windows NT, esse recurso fornece suporte
para recuperao independente de volume do Windows NT. Por
exemplo, um sistema pode ser reinicializado com alguns dos
volumes perdidos, sem afetar a recuperao de outros
volumes.
218
Um identificador de arquivos pode ser fechado antes da
confirmao ou interrupo da transao. Em geral, a
confirmao ou interrupo executada por um thread
totalmente diferente daquele que executou o trabalho de
arquivo. Espera-se que os identificadores transacionais
sejam usados apenas enquanto a transao estiver ativa. O
sistema marca os identificadores como inativos depois que a
transao finalizada. A tentativa de modificar o arquivo
fracassada e o sistema apresenta uma mensagem de erro.
Um arquivo pode ser visualizado como uma unidade de
armazenamento. Atualizaes parciais e sobregravaes de
arquivo completas so suportadas. No se espera que
transaes mltiplas modifiquem partes do arquivo ao mesmo
tempo isso no suportado.
A E/S mapeada na memria trabalha de forma transparente e
compatvel com a E/S regular de arquivos. O nico trabalho
adicional necessrio que a aplicao esvazie e feche uma
seo aberta antes de confirmar uma transao. Falhas nesse
procedimento resultaro em mudanas parciais na transao.
O acesso a um arquivo remoto por meio do servio SMB e do
WebDAV (Web-Based Distributed Authoring and Versioning)
suportado de forma transparente. O contexto da transao
transmitido automaticamente pelo sistema ao n remoto. A
prpria transao distribuda e coordenada para
confirmao ou interrupo. Isso permite que as aplicaes
sejam distribudas para mltiplos ns com um alto grau de
flexibilidade. Esse um recurso poderoso, j que permite
transferncias transacionais de arquivos na rede, imitando
uma forma de mensageria transacional.
Cada volume possui seu prprio log. O formato comum de log
usado para fornecer recuperao e interrupes. O formato
comum de log tambm constri um meio comum de registro de
transaes do Windows para ser usado por outros
armazenamentos.
219

Seo 7: Gerenciamento de
Servidores

7.03 Server Manager ............................................224

220
7.01 Introduo ao Gerenciamento de Servidores

Este cenrio se concentra em ferramentas, tecnologias e opes de
instalao disponveis para uso no Windows Server
Longhorn,
para melhorar a experincia de gerenciamento de servidores nicos
e mltiplos dentro de uma empresa.
Para a administrao local de um servidor nico, o Server Manager
um Console de Gerenciamento integrado da Microsoft

que oferece
aos profissionais de TI uma experincia integrada e contnua para
adicionar, remover e configurar funes de servidor, servios e
recursos das funes. Ele tambm atua como um portal para
gerenciamento, monitoramento e operaes de servidor constantes,
expondo tarefas de gerenciamento importantes com base na funo
do servidor, e fornecendo acesso a ferramentas avanadas de
administrao.
Em empresas maiores, o gerenciamento de servidores mltiplos pode
ser automatizado com o Windows PowerShell, que consiste de um
novo shell de linha de comando e linguagem de script projetado
especificamente para automatizar as tarefas de administrao para
funes de servidor, tais como IIS e Active Directory
.
Os profissionais de TI tambm podem usar a ferramenta Windows

Remote Shell (WinRS) para gerenciar os servidores remotamente ou
para obter dados de gerenciamento atravs dos objetos Windows
Remote Management (WinRM) e Windows Management Instrumentation
(WMI) nos servidores remotos. WinRM um novo protocolo de acesso
remoto baseado nos Servios da Web de padro DMTF para
Gerenciamento.
O Ncleo do Servidor fornece uma opo de instalao mnima para
certas funes de servidor, oferecendo uma memria de servidor e
uma superfcie de ataque menor, para reduzir as necessidades de
gerenciamento e servios.
Proposta de Valores do Cenrio
As principais propostas de valores que o gerenciamento de
servidores oferece so:
Realizar configurao inicial de um servidor local atravs
de uma nica interface
Adicionar e remover funes e recursos de servidor de modo
mais seguro e confivel
Examinar o estado de funo de servidor, realizar tarefas
de gerenciamento importantes e acessar ferramentas
avanadas de gerenciamento a partir de uma nica ferramenta
de gerenciamento local
Automatizar a administrao de servidores mltiplos atravs
de uma linguagem de script orientada a tarefas

221
Acelerar a autoria, os testes e a depurao de scripts e
escrever as ferramentas do cliente em um novo ambiente de
shell de comando
Realizar o gerenciamento de servidores locais e remotos
atravs do acesso a mltiplos armazenamentos de
gerenciamento de dados, tais como WMI, ADSI, COM,
Certificados, Registro e arquivos de configurao XML
Reduzir as necessidades de gerenciamento e servios,
melhorando, ao mesmo tempo, a confiabilidade e a segurana
Nenhum

222
7.02 Tarefas de Configurao Inicial

A janela de Tarefas de Configurao Inicial um novo recurso do
Windows Server Longhorn que abre automaticamente depois que o
processo de instalao do sistema operacional completado, e
ajuda o administrador a terminar a instalao e a configurao
inicial de um novo servidor. Ele inclui tarefas como configurar a
senha do Administrador, alterar o nome da conta do Administrador
para melhorar a segurana de seu servidor, vincular o servidor a
um domnio existente, ativar a rea de trabalho Remota para o
servidor, e ativar o Windows Update e o Firewall do Windows.
Antes do Windows
Server Longhorn, a
instalao do sistema
operacional de classe
de servidor do
Windows pausava para
que os
administradores
fornecessem
informaes sobre sua
conta, domnio e
rede. O feedback
indica que essa
prtica tornava lento
o processo de
implantao do
sistema operacional e
servidor, pois a
concluso da instalao do sistema operacional seria adiada at
que os administradores respondessem aos avisos e fornecessem as
informaes.

As Tarefas de Configurao Inicial permitem aos administradores
adiar essas tarefas at que a instalao esteja completa, o que
significa menos interrupes durante a instalao.
Alm disso, como a ativao do produto pode ser feita dentro de
um perodo de tolerncia (normalmente 30 dias), e no essencial
para a configurao inicial do servidor, o comando Ativar Seu
Servidor, presente na janela Gerenciar Seu Servidor no Windows
Server 2003, foi removido das Tarefas de Configurao Inicial.
Os comandos Adicionar Funes e Adicionar Recursos na janela
Tarefas de Configurao Inicial permite que voc comece a
adicionar funes e recursos ao seu servidor imediatamente.
A janela Tarefas de Configurao Inicial ajuda o administrador a
configurar um servidor e reduzir o tempo entre a instalao do
sistema operacional e a implantao do servidor em uma empresa.
223
Ela permite que o administrador especifique, de maneira lgica,
as configuraes do sistema operacional que foram previamente
expostas na Instalao do Windows Server 2003, tais como a conta
do Administrador, informaes sobre o domnio, e configuraes de
rede.
A janela Tarefas de Configurao Inicial tambm permite que voc
participe dos seguintes programas que fornecem um feedback
annimo Microsoft sobre o desempenho do software em sua
empresa:
Programa de Aperfeioamento da Experincia do Cliente com o
Windows Server
Relatrio de Erros do Windows

Configuraes Padro nas Tarefas de Configurao Inicial
Configurao Configurao Padro
Senha do
Administrador
O padro que a senha da conta do Administrador fique
em branco.
Nome do computador O nome do computador atribudo de modo randmico
durante a instalao. Voc pode modificar o nome do
computador usando comandos na janela Tarefas de
Configurao Inicial.
Membros do domnio O computador no vinculado a um domnio por padro;
vinculado a um grupo de trabalho chamado WORKGROUP.
Windows Update O Windows Update desligado por padro.
Conexes de rede Todas as conexes de rede so programadas para obter
endereos de IP automaticamente usando o DHCP.
Firewall do Windows O Firewall do Windows ligado por padro.
Funes instaladas Nenhuma funo instalada por padro.

224
7.03 Server Manager

O Windows Server Longhorn facilita a tarefa de gerenciar e
proteger mltiplas funes de servidor em uma empresa com o novo
console Server Manager (Gerenciador de Servidor). O Server Manager
no Windows Server Longhorn fornece uma nica fonte para gerenciar
a identidade e as informaes do sistema de um servidor, exibir o
estado do servidor, identificar problemas na configurao de
funes do servidor, e gerenciar todas as funes instaladas no
servidor.
O Server Manager
substitui vrios
recursos includos no
Windows Server 2003,
inclusive o Gerenciar
Seu Servidor,
Configurar Seu
Servidor, e Adicionar
ou Remover Componentes
do Windows.
O Server Manager tambm
elimina a necessidade
de o administrador
executar o Assistente
de Configurao de
Segurana antes de
implantar os
servidores; as funes do servidor so configuradas com
configuraes de segurana recomendadas por padro, e esto prontas
para implantar assim que instaladas e configuradas adequadamente.
O Server Manager um MMC expandido que permite visualizar a
gerenciar virtualmente todas as informaes e ferramentas que
afetam a produtividade de seu servidor. Os comandos do Server
Manager permitem que voc instale ou remova funes e recursos do
servidor, e aumente funes j instaladas no servidor adicionando
servios de funo.
O Server Manager torna a administrao do servidor mais eficiente,
por permitir que os administradores faam o seguinte com uma nica
ferramenta:
Visualizar e fazer alteraes nas funes e recursos
instalados no servidor
Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional do servidor, tais como iniciar ou parar servios
e gerenciar contas de usurio local
Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional das funes instaladas no servidor
225
Determinar o estado do servidor, identificar eventos crticos
e analisar e resolver problemas ou falhas de configurao
Instalar ou remover funes, servios de funo e recursos
usando uma linha de comando do Windows
O Server Manager foi projetado para fornecer os melhores
benefcios a qualquer um dos seguintes profissionais de TI:
Um administrador, planejador ou analista de TI que est
avaliando o Windows Server Longhorn
Um planejador ou designer de TI corporativo
Um early adopter do Windows Server Longhorn
Um arquiteto de TI responsvel pelo gerenciamento e
segurana dos computadores de uma organizao
Antes de usar o Server Manager, recomendvel que voc se
familiarize com as funes, terminologia, requisitos e tarefas
dirias de gerenciamento de qualquer funo que planeja instalar
em seu servidor. Para informaes mais detalhadas sobre funes
de servidor, veja o TechCenter do Windows Server
O Server Manager instalado por padro como parte do processo de
instalao do Windows Server Longhorn. Para usar o Server
Manager, voc deve fazer logon no computador como membro do grupo
de Administradores no computador local.
Funes
Embora a adio e remoo de funes e recursos de servidor no
representem algo novo, o Server Manager unifica a funcionalidade
de mltiplas ferramentas anteriores em uma nica interface de
usurio, simples e baseada em MMC.
Funes e recursos instalados com o Server Manager so ativados
por padro, para maior segurana. Os administradores no precisam
executar o Assistente de Configurao de Segurana aps a
instalao ou remoo de funes, a menos que queiram alterar
configuraes padro.
O Server Manager fornece um nico ponto de acesso a snap-ins de
gerenciamento para todas as funes instaladas. Adicionar uma
funo automaticamente cria
uma pgina inicial de
console de gerenciamento no
Server Manager para essa
funo, que exibe eventos e
estado de todos os servios
que fazem parte da funo.
Servios ou sub-componentes
de uma funo so listados em uma seo desta pgina. Os
administradores podem abrir assistentes para adicionar ou remover
servios de funo usando comandos desta pgina inicial.
226
Uma funo de servidor descreve a funo primria do servidor. Os
administradores podem optar por dedicar um computador inteiro a
uma funo de servidor, ou instalar mltiplas funes de servidor
em um nico computador. Cada funo pode incluir um ou mais
servios de funo, melhor descritos como sub-elementos de uma
funo. As seguintes funes de servidor esto disponveis no
Windows Server Longhorn, e podem ser instaladas e gerenciadas
com o Server Manager.
Funes de Servidor no Server Manager
Nome da Funo Descrio
Servios de
Certificado do
Active
Directory
Os Servios de Certificado do Active Directory fornecem
servios personalizveis para criar e gerenciar certificados de
chave pblica usados em sistemas de segurana de software,
empregando tecnologias de chave pblica. As organizaes podem
usar os Servios de Certificado do Active Directory para
melhorar a segurana vinculando a identidade de uma pessoa,
dispositivo ou servio a uma chave privada correspondente. Os
Servios de Certificado do Active Directory tambm incluem
recursos que permitem gerenciar o registro e a revogao do
certificado em uma variedade de ambientes escalonveis.
As aplicaes suportadas pelos Servios de Certificado do
Active Directory incluem Secure/Multipurpose Internet Mail
Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema
de Arquivos Encriptados (EFS), logon de cartes inteligentes,
SSL/TLS e assinaturas digitais.
Servios de
Domnio do
Active
Directory
Os Servios de Domnio do Active Directory armazenam
informaes sobre usurios, computadores e outros dispositivos
na rede. Os Servios de Domnio do Active Directory ajudam os
administradores a gerenciar com mais segurana essas
informaes e facilitam o compartilhamento de recursos e a
colaborao entre usurios. Os Servios de Domnio do Active
Directory tambm precisam ser instalados na rede para instalar
aplicaes ativadas para diretrio, tais como o Microsoft
Exchange Server e para aplicar outras tecnologias do Windows
Server como a Diretiva de Grupo.
Servios de
Federao do
Active
Directory
Os Servios de Federao do Active Directory fornecem
tecnologias de logon nico da Web para autenticar um usurio
para mltiplas aplicaes da Web usando uma nica conta de
usurio. Os Servios de Federao do Active Directory realizam
isso federando ou compartilhando, de modo seguro, identidades
de usurio e direitos de acesso, nos pedidos digitais ou
formulrios, entre organizaes parceiras.
Servios de
Domnio do
Active
Directory
Lightweight
As organizaes que tm aplicaes que requerem um diretrio
para armazenar dados de aplicaes podem usar os Servios de
Domnio do Active Directory Lightweight como armazenamento de
dados. Os Servios de Domnio do Active Directory Lightweight
funcionam como um servio de sistema no operacional e, como
tal, no requer implantao em um controlador de domnio. O
funcionamento como servio de sistema no operacional permite
que mltiplas instncias dos Servios de Domnio do Active
Directory Lightweight sejam executadas simultaneamente em um
nico servidor, e que cada instncia possa ser configurada
independentemente para prestar servios a mltiplas aplicaes.
Servios de
Gerenciamento
de Direitos do
Active
Directory
so uma tecnologia de proteo de informaes que trabalha com
aplicaes ativadas para esses servios, para ajudar a proteger
informaes digitais contra o uso no autorizado. Os
proprietrios do contedo podem definir exatamente como um
recipiente pode usar as informaes, como quem pode abrir,
modificar, imprimir, encaminhar ou usar outros procedimentos
com as informaes. As organizaes podem criar modelos de
direitos de uso personalizados como Confidencial Somente
Leitura, que podem ser aplicados diretamente a informaes
como relatrios financeiros, especificaes do produto, dados
227
de clientes e mensagens de e-mail.
Application
Server
O Application Server (Servidor de Aplicaes) fornece uma
soluo completa para hospedar e gerenciar aplicaes de
negcios de alto desempenho distribudas. Servios integrados,
tais como .NET Framework, Suporte a Servidor da Web,
Enfileiramento de Mensagens, COM+, Windows Communication
Foundation e suporte a Clustering Failover impulsionam a
produtividade durante todo o ciclo de vida da aplicao, desde
o projeto e o desenvolvimento at a implantao e as operaes.
Servidor de
Protocolo de
Configurao
Dinmica de
Host (DHCP)
O DHCP permite que os servidores atribuam ou aluguem endereos
de IP a computadores e outros dispositivos ativados como
clientes de DHCP. A implantao de servidores de DHCP na rede
fornece automaticamente, aos computadores e outros dispositivos
de rede baseados em TCP/IP, endereos de IP vlidos e os
parmetros de configurao adicionais de que esses dispositivos
precisam, chamados opes de DHCP, que lhes permitem conectar-
se a outros recursos de rede, tais como servidores DNS,
servidores WINS e roteadores.
Servidor DNS O DNS fornece um mtodo padro para associar nomes a endereos
de Internet numricos. Isso possibilita aos usurios o acesso a
computadores da rede atravs de nomes fceis de lembrar, em vez
de uma longa srie de nmeros. Os Servios de DNS podem ser
integrados a servios de DHCP no Windows, eliminando a
necessidade de adicionar registros de DNS quando os
computadores so adicionados rede.
Servidor de
Fax
O Servidor de Fax envia e recebe fax, e permite gerenciar
recursos de fax como tarefas, configuraes, relatrios e
dispositivos de fax nesse computador ou na rede.
Servios de
Arquivo
Os Servios de Arquivo fornecem tecnologias para gerenciamento
de armazenamentos, replicao de arquivos, gerenciamento de
espaos de nomes distribudos, busca rpida de arquivos e
acesso dinamizado de cliente aos arquivos.
Servios de
Acesso e
Diretiva de
Rede
Os Servios de Acesso e Diretiva de Rede oferecem uma variedade
de mtodos para fornecer aos usurios conectividade rede
remota e local, para conectar-se a segmentos da rede, e para
permitir que os administradores da rede gerenciem centralmente
o acesso rede e as diretivas de integridade do cliente. Com
os Servios de Acesso Rede, voc pode implantar servidores de
VPN, servidores de conexo discada, roteadores e acesso sem fio
protegido 802.11. Voc tambm pode implantar servidores e
proxies RADIUS, e usar o Kit de Administrao de Gerenciador de
Conexo para criar perfis de acesso remoto que permitem aos
computadores cliente conectar-se sua rede.
Servios de
Impresso
Os Servios de Impresso ativam o gerenciamento de servidores
de impresso e impressoras. Um servidor de impresso reduz a
carga de trabalho administrativa e de gerenciamento atravs da
centralizao de tarefas de gerenciamento de impressoras.
Servios de
Terminal
Os Servios de Terminal fornecem tecnologias que permitem aos
usurios acessar programas baseados em Windows que esto
instalados em um servidor de terminal, ou acessar a prpria
rea de trabalho do Windows a partir de quase todos os
dispositivos de computao. Os usurios podem conectar-se a um
servidor de terminal para executar programas e para usar
recursos de rede nesse servidor.
Servio
Universal de
Descrio,
Descoberta e
Integrao
(UDDI)
O Servio UDDI fornece capacidades de UDDI para compartilhar
informaes sobre servios da Web dentro do intranet de uma
organizao, entre parceiros de negcios em um extranet ou na
Internet. O Servio UDDI pode ajudar a melhorar a produtividade
de desenvolvedores e profissionais de TI com aplicaes mais
confiveis e gerenciveis. Com o Servio UDDI voc pode evitar
a duplicao de esforos promovendo a reutilizao do trabalho
de desenvolvimento existente.
Servidor Web
(IIS)
O Servidor Web (IIS) ativa o compartilhamento de informaes na
Internet, em um intranet ou um extranet. uma plataforma da
Web unificada que integra IIS 7.0, ASP.NET, Windows
Communication Foundation e Windows SharePoint
Services. O IIS
7.0 tambm oferece maior segurana, diagnsticos simplificados
228
e administrao delegada.
Servios de
Implantao do
Windows
Voc pode usar os Servios de Implantao do Windows para
instalar e configurar os sistemas operacionais do Microsoft
Windows remotamente em computadores com ROMs de inicializao
do Ambiente de Pre-boot Execution (PXE). O overhead de
administrao reduzido atravs da implementao do snap-in
WdsMgmt MMC, que gerencia todos os aspectos dos Servios de
Implantao do Windows. Os Servios de Implantao do Windows
tambm fornecem aos usurios finais uma experincia consistente
com a Instalao do Windows.
Windows
SharePoint
Services
A funo Windows SharePoint Services ajuda as organizaes a
aumentar a produtividade criando sites em que os usurios podem
colaborar com documentos, tarefas e eventos, e compartilhar
facilmente contatos e outras informaes. O ambiente foi
projetado para implantao, desenvolvimento de aplicaes e
administrao flexveis.

O seguinte grfico mostra a pgina inicial da funo Servios de
Arquivo no Server Manager.

Recursos
Recursos, de modo geral, no descrevem a funo primria de um
servidor. Eles fornecem funes auxiliares ou de suporte aos
servidores. Normalmente, os administradores adicionam recursos
no como a funo primria de um servidor, mas para aumentar a
funcionalidade das funes instaladas.
Por exemplo, o Clustering Failover um recurso que os
administradores podem instalar aps a instalao de certas
funes de servidor, como os Servios de Arquivo, para adicionar
229
redundncia aos Servios de Arquivo e diminuir o tempo de
recuperao de possveis desastres.
Os seguintes recursos esto disponveis no Windows Server
Longhorn, e podem ser instalados usando comandos do Server
Manager.
Recursos no Server Manager
Nome do
Recurso
Descrio
Recursos do
Microsoft .NET
Framework 3.0
O Microsoft .NET Framework 3.0 combina a potncia das APIs do
.NET Framework 2.0 com novas tecnologias para construir
aplicaes que oferecem interfaces de usurio atraentes, ajudam
a proteger as informaes de identidade pessoal de seus
clientes, ativam a comunicao contnua e mais segura, e
fornecem a habilidade de modelar uma srie de processos de
negcios.
Criptografia
da Unidade
BitLocker
A Criptografia da Unidade BitLocker ajuda a proteger dados em
computadores perdidos, roubados ou encerrados inadequadamente,
criptografando todo o volume e verificando a integridade de
componentes de inicializao antecipada. Os dados so
decriptografados apenas se esses componentes forem verificados
com sucesso e a unidade criptografada estiver localizada no
computador original. A verificao de integridade requer um
mdulo de TPM (trusted platform module) compatvel.
Extenses do
Servidor BITS
As Extenses do Servidor de Servio de Transferncia
Inteligente de Segundo Plano (BITS) permitem que um servidor
receba arquivos carregados por clientes usando o BITS. O BITS
permite aos computadores cliente transferir arquivos em
primeiro ou segundo plano de modo assncrono, preservar a
capacidade de reao de outras aplicaes da rede, e retomar
transferncias de arquivo aps falhas da rede e
reinicializaes do computador.
Kit de
Administrao
do Gerenciador
de Conexo
(CMAK)
O CMAK gera perfis do Gerenciador de Conexo.
Experincia
Desktop
A Experincia Desktop inclui recursos do Windows Vista, como o
Windows Media
Player, temas de rea de trabalho e

gerenciamento de fotos. A Experincia Desktop no ativa nenhum
dos recursos do Windows Vista por padro; voc precisa ativ-
los manualmente.
Cliente de
Impresso da
Internet
O Cliente de Impresso da Internet permite usar HTTP para
conectar-se a e usar impressoras que esto em servidores de
impresso da Web. A impresso da Internet ativa conexes entre
usurios e impressoras que no esto no mesmo domnio ou rede.
Um exemplo de uso de um funcionrio que est viajando, e
agora est em um escritrio em local remoto, ou em uma
lanchonete equipada com acesso Wi-Fi.
Servidor de
Nome de
Armazenamento
na Internet
(iSNS)
O iSNS fornece servios de descoberta para redes da rea de
armazenamento da Interface de Sistemas Computacionais Pequenos
na Internet (iSCSI). O iSNS processa pedidos de registro, de
anulao e consultas a partir de clientes de iSNS.
Monitor de
Porta LPR
(LPR)
O Monitor de Porta LPR permite que os usurios que tm acesso a
computadores baseados em UNIX imprimam em dispositivos anexados
a eles.
Enfileiramento
de Mensagens
O Enfileiramento de Mensagens fornece entrega garantida de
mensagens, roteamento eficiente, segurana e troca de mensagens
entre as aplicaes baseada em prioridades. O Enfileiramento de
Mensagens tambm acomoda a troca de mensagens entre aplicaes
que executam sistemas operacionais diferentes, que usam infra-
estruturas de rede no similares, que esto temporariamente
230
off-line, ou que esto executando em tempos diferentes.
Multipath I/O
(MPIO)
O MPIO, junto com o Mdulo Especfico de Dispositivo da
Microsoft (DSM) ou um DSM de terceiros, fornece suporte para
usar mltiplos caminhos de dados para um dispositivo de
armazenamento no Microsoft Windows.
Protocolo de
Resoluo de
Nome Similar
(PNRP)
O PNRP permite que as aplicaes registrem e resolvam nomes a
partir de seu computador, para que outros computadores possam
comunicar-se com essas aplicaes.
Experincia de
udio e Vdeo
de Qualidade
do Windows
(qWave)
O qWave uma plataforma de rede para aplicaes de fluxo
contnuo de udio e vdeo (AV) em redes domsticas de protocolo
da Internet. O qWave melhora o desempenho e a confiabilidade do
fluxo contnuo de AV por garantir a qualidade do servio de
rede para aplicaes de AV. Ele fornece controle de admisso,
monitoramento e cumprimento de tempo de execuo, feedback de
aplicaes e priorizao de trfego. Em plataformas do Windows
Server, o qWave fornece apenas servios de taxa de fluxo e
priorizao.
Disco de
Recuperao
O Disco de Recuperao um utilitrio para criao de um disco
de instalao do sistema operacional Windows. Usando o Disco de
Recuperao, voc pode recuperar dados em seu computador se no
tiver um disco do produto Windows, ou no puder acessar
ferramentas de recuperao fornecidas pelo fabricante de seu
computador.
Assistncia
Remota
A Assistncia Remota permite que voc (ou uma pessoa do
suporte) oferea assistncia aos usurios com problemas ou
dvidas nos computadores. A Assistncia Remota permite que voc
visualize e compartilhe o controle da rea de trabalho do
usurio para resolver os problemas. Os usurios tambm podem
pedir ajuda de amigos e colegas de trabalho.
Ferramentas de
Administrao
do Servidor
Remoto
As Ferramentas de Administrao do Servidor Remoto ativam o
gerenciamento remoto do Windows Server 2003 e do Windows Server
Longhorn a partir de um computador que est executando o
Windows Server Longhorn, permitindo que voc execute algumas
das ferramentas de gerenciamento para funes, servios de
funo e recursos em um computador remoto.
Gerenciador de
Armazenamento
Removvel
(RSM)
O RSM gerencia e cataloga a mdia removvel e opera
dispositivos automticos de mdia removvel.
Proxy RPC
sobre HTTP
O RPC Over HTTP Proxy um proxy usado por objetos que recebem
chamadas de procedimento remoto por HTTP. Esse Proxy permite
que os clientes descubram esses objetos mesmo que estes forem
movidos entre servidores ou se existirem em reas discretas da
rede, geralmente por razes de segurana.
Network
Filesystem
Services (NFS)
Os Servios para NFS so um protocolo que atua como um sistema
de arquivos distribudos, permitindo que um computador acesse
arquivos por uma rede facilmente, como se eles estivessem nos
discos locais. Esse recurso est disponvel para instalao
apenas em verses de 64 bits do Windows Server Longhorn; em
outras verses, os Servios para NFS esto disponveis como um
servio de funo da funo Servios de Arquivo.
Servidor SMTP O Servidor SMTP suporta a transferncia de mensagens de e-mail
entre sistemas de e-mail.
Gerenciador de
Armazenamento
para Redes da
rea de
Armazenamento
(SANs)
As SANs ajudam a criar e gerenciar nmeros de unidade lgica em
subsistemas de unidade de disco iSCSI e Fibre Channel que
suportam o Servio de Disco Virtual (VDS) em sua SAN.
Servios de
TCP/IP Simples
Os Servios de TCP/IP Simples suportam os seguintes servios de
TCP/IP: Character Generator (Gerador de Caracteres), Daytime
(Dia), Discard (Descartar), Echo (Eco) e Quote of the Day
(Citao do Dia). Os Servios de TCP/IP Simples so fornecidos
para retro-compatibilidade e no devem ser instalados a menos
que seja solicitado.
231
Simple Network
Management
Protocol
(SNMP)
O SNMP o protocolo padro da Internet para troca de
informaes de gerenciamento entre aplicaes de console de
gerenciamento tais como HP Openview, Novell NMS, IBM NetView
ou Sun Net Manager e entidades gerenciadas. Entidades
gerenciadas podem incluir hosts (anfitries), roteadores,
bridges (pontes) e hubs.
Subsistema
para
Aplicaes
baseadas em
UNIX
O Subsistema para Aplicaes baseadas em UNIX (SUA), junto com
um pacote de utilitrios de suporte disponveis para download
no site da Microsoft, permite que voc execute programas
baseados em UNIX, e compile e execute aplicaes baseadas em
UNIX personalizadas no ambiente do Windows.
Cliente Telnet O Cliente Telnet usa o protocolo Telnet para conectar-se a um
servidor telnet remoto e executar aplicaes nesse servidor.
Servidor
Telnet
O Servidor Telnet permite que usurios remotos, incluindo os
que executam sistemas operacionais baseados em UNIX, realizem
tarefas de administrao de linha de comando e executem
programas usando um cliente telnet.
Cliente de
Protocolo de
Transferncia
de Arquivos
Simples (TFTP)
O Cliente de TFTP usado para ler arquivos de, ou escrever
arquivos para, um servidor de TFTP remoto. o TFTP usado
principalmente por dispositivos ou sistemas embutidos que
recuperam firmware, informaes de configurao, ou uma imagem
de sistema durante o processo de inicializao a partir de um
servidor de TFTP.
Clustering
Failover
O Clustering Failover permite que mltiplos servidores
trabalhem juntos para fornecer alta disponibilidade de servios
e aplicaes. O Clustering Failover usado com freqncia para
servios de arquivo e impresso, bancos de dados e aplicaes
de e-mail.
Balanceamento
de Carga de
Rede (NLB)
O NLB distribui o trfego para vrios servidores, usando o
protocolo de rede TCP/IP. O NLB particularmente til para
garantir que aplicaes sem estado, como um servidor Web
executando IIS, sejam escalonveis atravs da adio de outros
servidores conforme o aumento da carga.
Backup do
Windows Server
O Backup do Windows Server permite que voc faa backup e
recupere seu sistema operacional, aplicaes e dados. Voc pode
agendar backups para serem executados uma vez por dia ou com
mais freqncia, e pode proteger todo o servidor ou volumes
especficos.
Gerenciador de
Recursos de
Servios de
Terminal do
Windows (WSRM)
O WSRM uma ferramenta administrativa do sistema operacional
Windows Server que pode controlar como os recursos da CPU e da
memria so atribudos. O gerenciamento da atribuio de
recursos melhora o desempenho do sistema e reduz o risco de as
aplicaes, servios ou processos interferirem uns nos outros,
o que reduziria a eficincia do servidor e a reao do sistema.
Windows
Internet Name
Services
(WINS)
O WINS fornece um banco de dados distribudo para registrar e
consultar mapeamentos dinmicos de nomes de NetBIOS para
computadores e grupos usados em sua rede. O WINS mapeia os
nomes de NetBIOS para endereos de IP e resolve os problemas
que surgem da resoluo de nomes de NetBIOS em ambientes
roteados.
Servio de LAN
Sem Fio (WLAN)
O Servio de WLAN configura e inicia o servio de Auto-
Configurao de WLAN, no importando se o computador tem ou no
adaptadores sem fio. A Auto-Configurao de WLAN enumera
adaptadores sem fio, e gerencia tanto as conexes como os
perfis sem fio que contm as configuraes necessrias para
configurar um cliente sem fio para conectar-se a uma rede sem
fio.
Banco de Dados
Interno do
Windows
O Banco de Dados Interno do Windows um armazenamento de dados
relacional que pode ser usado apenas pelas funes e recursos
do Windows, como os Servios de UDDI, os Servios de
Gerenciamento de Direitos do Active Directory, o Windows
Sharepoint Services, o Windows Server Update Services e o
Gerenciador de Recursos de Servios de Terminal do Windows.
Windows
PowerShell
Windows PowerShell um shell de linha de comando e linguagem
de script que ajuda os profissionais de TI a alcanar maior
produtividade. Ele fornece uma nova linguagem de script voltada
232
ao administrador e mais de 130 ferramentas de linha de comando
padro para possibilitar uma administrao de sistema mais
fcil e uma automatizao acelerada.
Servio de
Ativao de
Processo do
Windows (WPAS)
O WPAS generaliza o modelo de processo de IIS, removendo a
dependncia ao HTTP. Todos os recursos de IIS previamente
disponveis apenas para aplicaes de HTTP esto agora
disponveis para aplicaes que hospedam servios de WCF,
usando protocolos que no so de HTTP. O IIS 7.0 tambm usa
WPAS para ativao baseada em mensagens por HTTP.

O seguinte grfico mostra a pgina inicial da funo Recursos no
Server Manager.

Console do Server Manager
O Console do Server Manager um novo snap in de MMC que fornece
uma viso consolidada do servidor, incluindo informaes sobre
configurao do servidor, estado das funes instaladas e
comandos para adicionar e remover funes e recursos.
O painel hierrquico do console do Server Manager contm ns
expansveis que os administradores podem usar para ir diretamente
aos consoles para gerenciar funes especficas, ferramentas de
resoluo de problemas, ou opes de backup e recuperao de
desastres.
O console do Server Manager bastante parecido primeira pgina
de um jornal sobre seu servidor. Ele fornece um nico local para
que os administradores tenham uma viso geral concisa de um
servidor, alterem as propriedades de sistema do servidor, e
instalem ou removam funes ou recursos.
233
O seguinte grfico mostra a pgina inicial do Server Manager com
mltiplas funes e recursos instalados.

A janela principal do console do Server Manager contm estas
quatro sees flexveis:
Sumrio do Servidor
A seo Sumrio do Servidor inclui duas subsees:
Informaes do Sistema e Sumrio de Segurana. A subseo
Informaes do Sistema exibe o nome do computador, o
domnio, o nome de conta do administrador local, conexes
de rede e o ID de produto do sistema operacional. Os
comandos dessa subseo permitem que voc edite essas
informaes.
A subseo Sumrio de Segurana mostra se o Windows Update
e o Firewall do Windows esto ativados. Os comandos dessa
subseo permitem que voc edite essas configuraes ou
visualize opes avanadas.
Sumrio de Funes
A seo Sumrio de Funes contm uma tabela indicando
quais funes esto instaladas no servidor. Os comandos
desta seo permitem que voc adicione ou remova funes,
ou v a um console mais detalhado no qual poder gerenciar
uma funo especfica.
Sumrio de Recursos
234
A seo Sumrio de Recursos contm uma tabela indicando
quais recursos esto instalados no servidor. Os comandos
dessa seo permitem que voc adicione ou remova recursos.
Recursos e Suporte
A seo Recursos e Suporte mostra se esse servidor est
participando dos programas de feedback Windows Server CEIP
e Relatrio de Erros do Windows. A seo Recursos e suporte
tambm foi projetada para ser um ponto de partida para
entrar em grupos de notcias tpicos, ou para localizar
mais ajuda e pesquisar tpicos disponveis on-line no
TechCenter do Windows Server
Os comandos dessa seo permitem que voc modifique a
participao do servidor em programas de feedback, e
encontre mais ajuda e suporte.
Assistentes do Server Manager
Os Assistentes do Server Manager dinamizam a tarefa de implantar
servidores em sua empresa, pois reduzem o tempo que levava em
verses anteriores do Windows Server para instalar, configurar ou
remover funes, servios de funo e recursos. Mltiplas
funes, servios de funo ou recursos podem ser instalados ou
removidos em uma nica sesso com os assistentes do Server
Manager.
E o mais importante, o Windows Server Longhorn realiza
verificaes de dependncia conforme voc avana nos assistentes
do Server Manager, garantindo que estejam instaladas todas as
funes e servios de funo necessrios para uma funo que voc
seleciona, e que no seja removido nenhum que ainda possa ser
requisitado por funes ou servios de funo remanescentes.
As verses anteriores do Windows Server solicitavam que voc
usasse as opes Configurar Seu Servidor, Gerenciar Seu Servidor
ou Adicionar ou Remover Componentes do Windows para adicionar ou
remover funes de servidor ou outros softwares. As verificaes
de dependncia eram limitadas, e a opo Adicionar ou Remover
Componentes do Windows limitava os administradores instalao
de apenas uma funo por vez. Antes de poder adicionar mais
funes, a instalao de cada uma tinha que ser completada.
A coleo de assistentes do Server Manager permite adicionar,
remover ou aumentar mltiplas funes em uma nica sesso.
possvel ter seu servidor completamente pronto para implantao
aps a realizao de uma nica sesso em um dos assistentes do
Server Manager. As configuraes de funes so feitas com
configuraes de segurana recomendadas por padro; no h
requisitos para executar o Assistente de Configurao de
Segurana aps a instalao de funes ou recursos, a menos que
seja necessrio modificar padres de segurana.
235
Assistente para Adicionar Funes
O Assistente para Adicionar Funes, que pode ser usado para
adicionar uma ou mais funes ao servidor, verifica
automaticamente se h dependncias entre funes e se todas as
funes e servios de funo necessrios esto instalados para
cada funo selecionada.
Para algumas funes, tais como Servios de Terminal e Servios
de Certificado do Active Directory, o Assistente para Adicionar
Funes tambm fornece pginas de configurao que permitem ao
usurio especificar de que modo a funo deve ser configurada
como parte do processo de instalao.

Assistente para Adicionar Servios de Funo
A maioria das funes, como Servios de Arquivo, Servios de
Terminal e Servios de Certificado do Active Directory,
composta de mltiplos sub-elementos, identificados como servios
de funo na interface do Server Manager.
Depois que uma dessas funes complexas instalada, voc pode
adicionar servios de funo a ela durante o Assistente para
Adicionar Funes inicial, ou
usando o
Assistente
para
Adicionar
236
Servios de Funo. O comando que abre o Assistente para
Adicionar Servios de Funo encontrado na pgina inicial de
cada funo no console do Server Manager.
Um novo aviso inteligente permite que voc adicione
automaticamente os servios de funo necessrios se a funo que
voc est instalando requer servios e recursos para ser
instalada.
Assistente para Adicionar Recursos
O Assistente para Adicionar Recursos permite que voc instale um
ou mais recursos ao computador
em uma nica
sesso.
Recursos so
programas de
software que
suportam ou
aumentam a
funcionalida
de de uma ou
mais
funes, ou
melhoram a
funcionalida
de do
prprio
servidor,
sejam quais forem as funes instaladas.
Os comandos que abrem o Assistente para Adicionar Recursos esto
na rea Personalizar esse servidor, na janela Tarefas de
Configurao Inicial, e tambm na seo Sumrio de Recursos da
janela do console do Server Manager.
Assistente para Remover Funes
O Assistente para Remover Funes, que pode ser usado para
remover uma ou mais funes do servidor, verifica automaticamente
se h dependncias entre funes e se as funes e servios de
funo necessrios continuam instalados para as funes que voc
no quer remover. O processo do Assistente para Remover Funes
evita a remoo acidental de funes ou servios de funo
necessrios para funes remanescentes no servidor.
Assistente para Remover Servios de Funo
Voc pode remover servios de funo de uma funo instalada
usando o Assistente para Remover Servios de Funo. O comando
que abre o Assistente para Remover Servios de Funo
encontrado na pgina inicial de cada funo no console do Server
Manager.
Assistente para Remover Recursos
237
O Assistente para Remover Recursos permite que voc remova um ou
mais recursos do computador em uma nica sesso. Recursos so
programas de software que suportam ou aumentam a funcionalidade
de uma ou mais funes, ou melhoram a funcionalidade do prprio
servidor, sejam quais forem as funes instaladas.
Os comandos que abrem o Assistente para Remover Recursos esto na
rea Personalizar esse servidor, na janela Tarefas de
Configurao Inicial, e tambm na seo Sumrio de Recursos da
janela do Console do Server Manager.
Linha de Comando do Server Manager
O Server Manager oferece uma ferramenta de linha de comando
ServerManagerCmd.exe que automatiza a implantao de funes e
recursos em computadores com Windows Server Longhorn.
Voc pode usar o ServerManagerCmd.exe para instalar e remover
funes, servios de funo e recursos. Os parmetros do
ServerManagerCmd.exe tambm exibem uma lista de todas as funes,
servios de funo e recursos instalados e disponveis para
instalao no computador.
A linha de comando do Server Manager possibilita instalao ou
remoo autnoma de funes, servios de funo e recursos. Voc
pode usar a linha de comando do Server Manager para instalar ou
remover uma nica funo, servio de funo ou recurso em uma
instncia de comando, ou pode usar um arquivo de resposta XML com
o comando do Server Manager para adicionar ou remover mltiplas
funes, servios de funo e recursos em uma nica instncia de
comando.
As opes do ServerManagerCmd.exe permitem que os usurios
visualizem registros de suas operaes, e executem consultas para
exibir listas de funes, servios de funo e recursos
instalados e disponveis para instalao no computador.
Para informaes detalhadas sobre como usar a linha de comando do
Server Manager, veja a Ajuda do Server Manager.
Importante
Devido a restries de segurana impostas pelo Controle de
Contas de Usurio no Windows Server Longhorn, voc deve
executar o ServerManagerCmd.exe em uma janela de Aviso de
Comando aberta com privilgios elevados. Para isso, clique
com o boto direito no executvel do Aviso de Comando, ou
no objeto do Aviso de Comando no menu Iniciar, e depois
clique em Executar como administrador.
Antes da implementao da linha de comando do Server Manager, as
nicas ferramentas de linha de comando disponveis para instalar
pacotes de software do Windows em um computador eram ocsetup e
pkgmgr. A sintaxe da linha de comando para essas ferramentas
complexa, e os nomes de funes, servios de funo e recursos
disponveis para instalao ou remoo com o uso dessas duas
238
ferramentas no eram intuitivos. O ServerManagerCmd.exe
simplifica a instalao e remoo por linha de comando de
funes, servios de funo e recursos.
Configuraes de Registro
As seguintes configuraes de registro se aplicam ao Server
Manager e s Tarefas de Configurao Inicial em todas as
variaes disponveis do Windows Server Longhorn.
As configuraes de registro da seguinte tabela controlam o
comportamento padro de abertura do Server Manager e das janelas
de Tarefas de Configurao Inicial.
Configuraes de Registro
Nome da
Configurao
Localizao Valor
Padro
Valores
Possveis
No abrir o
Server
Manager no
logon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server
Manager
0 0 para
desativar e
abrir a
janela
normalmente;
1 para ativar
e impedir a
abertura da
janela
No abrir
Tarefas de
Configurao
Inicial no
logon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial
Configuration Tasks
0 0 para
desativar e
abrir a
janela
normalmente;
1 para ativar
e impedir a
abertura da
janela.

Como Inicio o Server Manager?
O Server Manager abre por padro quando a janela Tarefas de
Configurao Inicial fechada.
Aps completar as tarefas de configurao inicial, o Server
Manager abre por padro quando um administrador faz logon em um
computador que est executando o Windows Server Longhorn. Se
voc fechar o Server Manager e quiser abri-lo novamente, pode
fazer isso usando o comando do Server Manager em qualquer um dos
seguintes locais:
No menu Start, sob Administrative Tools.
No menu Start(se voc fez logon no computador como membro
do grupo de Administradores).
No menu Start, clique com o boto direito em Computer, e
depois clique em Manage.
Na barra de ferramentas Quick Launch, adjacente ao boto
Start.
239
Em Control Panel, clique em Programs, em Programs and
Features, e depois em Turn Windows features on or off.
O Server Manager instalado por padro como parte do Windows
Server Longhorn. Para usar o Server Manager, voc deve fazer
logon no computador como membro do grupo de Administradores.
Nota
Se voc fizer logon no computador usando uma conta de
Administrador diferente da padro, uma caixa de dilogo
pode abrir para alert-lo sobre sua permisso para executar
o Server Manager. Clique em Permitir o incio do Server
Manager.
Recursos Adicionais
Para mais informaes sobre o Server Manager, veja o TechCenter
do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Voc tambm
pode aprender a realizar operaes especficas no Server Manager
com a Ajuda do Server Manager, disponvel ao apertar F1 em uma
janela aberta do Console do Server Manager.
240
7.04 Windows PowerShell

O Windows PowerShell um novo Shell de linha de comando do
Windows projetado especialmente para administradores de sistemas.
O shell inclui um aviso interativo e um ambiente de script que
podem ser usados independentemente ou em combinao.
Diferente da maioria dos shells, que aceitam e retornam texto, o
Windows PowerShell foi construdo sobre o .NET common language
runtime (CLR) e o .NET Framework, e aceita e retorna objetos
.NET. Essa alterao fundamental no ambiente traz ferramentas e
mtodos inteiramente novos para o gerenciamento e a configurao
do Windows.
O Windows PowerShell introduz o conceito de um cmdlet (pronuncia-
se command-let), uma ferramenta de linha de comando simples e
de funo nica construda dentro do shell. Voc pode usar cada
cmdlet separadamente, mas seu poder notado quando voc usa
essas ferramentas simples em combinao para desempenhar tarefas
complexas. O Windows PowerShell inclui mais de cem cmdlets
bsicos, e voc pode escrever seus prprios cmdlets e
compartilh-los com outros usurios.
Como muitos shells, o Windows PowerShell d a voc acesso ao
sistema de arquivos do computador. Alm disso, os provedores do
Windows PowerShell permitem acessar outros armazenamentos de
dados, como o registro e os armazenamentos de certificados de
assinatura digital, e to fcil como acessar o sistema de
arquivos.
A maioria dos shells, incluindo Cmd.exe e os shells do Unix SH,
KSH, CSH e BASH, operam executando um comando ou utilitrio em um
novo processo, e apresentando os resultados ao usurio em forma
de texto. Com o passar dos anos, muitos utilitrios de
processamento de texto, tais como sed, AWK e PERL, evoluram para
suportar essa interao.
Esses shells tambm tm comandos construdos dentro do shell e
executados no processo do shell, como o comando typeset no KSH e
o comando dir no Cmd.exe. Na maioria dos shells, como h poucos
comandos embutidos, muitos utilitrios foram criados.
O Windows PowerShell muito diferente.
O Windows PowerShell no processa texto. Em vez disso,
processa objetos baseados na plataforma .NET.
O Windows PowerShell vem com um grande conjunto de comandos
embutidos com uma interface consistente.
Todos os comandos de Shell usam o mesmo analisador de
comandos, em vez de analisadores diferentes para cada
ferramenta. Assim muito mais fcil aprender a usar cada
comando.
241
E o melhor, voc no precisa abandonar as ferramentas que se
acostumou a usar. Ainda pode usar as ferramentas tradicionais do
Windows, como Net, SC e Reg.exe no Windows PowerShell.
Cmdlets do Windows PowerShell
Um cmdlet (pronunciado command-let) um comando de recurso
nico que manipula objetos no Windows PowerShell. Voc pode
reconhecer os cmdlets pelo formato de seus nomes um verbo e um
substantivo separados por um trao (-), como Get-Help (Buscar-
Ajuda), Get-Process (Buscar-Processo) e Start-Service (Iniciar-
Servio).
Em shells tradicionais, os comandos so programas executveis que
variam do muito simples (como o attrib.exe) ao muito complexo
(como o netsh.exe).
No Windows PowerShell, a maioria dos cmdlets muito simples, e
eles so projetados para uso em combinao com outros cmdlets.
Por exemplo, os cmdlets get apenas recuperam dados, os cmdlets
set apenas estabelecem ou alteram dados, os cmdlets format
apenas formatam dados, e os cmdlets out apenas direcionam os
dados de sada para um destino especificado.
Cada cmdlet tem um arquivo de ajuda que voc pode acessar
digitando:
get-help <cmdlet-name> -detailed
A viso detalhada do arquivo de ajuda do cmdlet inclui uma
descrio do cmdlet, a sintaxe do comando, descries dos
parmetros, e exemplos que demonstram o uso do cmdlet.
Uma Nova Linguagem de Script
O Windows PowerShell necessitava de uma linguagem para
gerenciar os objetos .NET.
A linguagem precisava fornecer um ambiente consistente para
usar cmdlets.
Precisava suportar tarefas complexas, sem tornar as tarefas
simples mais complexas.
Precisava tambm ser consistente com linguagens de nvel
mais alto usadas na programao .NET, como C#.
Comandos e Utilitrios do Windows
Voc pode executar programas de linha de comando do Windows no
Windows PowerShell, e pode iniciar os programas do Windows que
tm uma interface grfica de usurio, como o Bloco de Notas e a
Calculadora, dentro do shell. Voc tambm pode capturar o texto
que os programas geram e us-lo no shell, praticamente do mesmo
modo que faria no Cmd.exe.

242

optar por instalar um ambiente mnimo que evita carga extra.
Embora essa opo limite as funes que podem ser desempenhadas
pelo servidor, ela pode melhorar a segurana e reduzir o
gerenciamento. Esse tipo de instalao chamado de instalao do
Ncleo do Servidor.
Uma instalao do Ncleo do Servidor uma opo de instalao de
servidor mnima, para nextref longhorn. As instalaes no Ncleo
do Servidor fornecem um ambiente para executar as seguintes
funes de servidor:
Servidor DHCP
Servios de Arquivo
Servidor de Impresso
Servidor DNS
Servios de Domnio do Active Directory
Servios de Domnio do Active Directory Lightweight (AD
LDS)
Escolhendo usar a opo de instalao no Ncleo do Servidor em um
servidor, voc pode reduzir seu trabalho administrativo e ajudar
a limitar os riscos segurana. Uma instalao no Ncleo do
Servidor fornece esses benefcios de trs maneiras:
Reduzindo a manuteno de software necessria
Reduzindo o gerenciamento necessrio
Reduzindo a superfcie de ataque
Para isso, a opo de instalao no Ncleo do Servidor instala
apenas o subconjunto dos arquivos binrios que so necessrios
para as funes de servidor suportadas. Por exemplo, a interface
de usurio (ou shell) do Windows Explorer no instalada como
parte de uma instalao no Ncleo do Servidor . Em vez disso, a
interface de usurio padro para um servidor Server Core o
aviso de comando.
Uma instalao no Ncleo do Servidor do Windows Server Longhorn
suporta os seguintes recursos opcionais:
Cluster Failover da Microsoft
Balanceamento de Carga de Rede
Subsistema para aplicaes baseadas em UNIX
Backup
Multipath IO
243
Gerenciamento de Armazenamento Removvel
Criptografia da Unidade BitLocker
Simple Network Management Protocol (SNMP)
Windows Internet Name Services (WINS)
Cliente Telnet
A opo de instalao no Ncleo do Servidor foi projetada para
uso em organizaes que tm muitos servidores, onde alguns apenas
precisam desempenhar tarefas dedicadas, ou em ambientes em que os
requisitos de alta segurana exigem uma superfcie de ataque
mnima no servidor.
Como nenhuma interface grfica de usurio est disponvel para
muitas operaes do Windows, a opo de instalao no Ncleo do
Servidor requer administradores experientes no uso de avisos de
comando ou tcnicas de script para administrao local do
servidor. Alternativamente, voc pode gerenciar a instalao no
Ncleo do Servidor com os snap-ins do Console de Gerenciamento da
Microsoft (MMC) a partir de outro computador que esteja
executando o Windows Server Longhorn, selecionando o computador
Server Core como computador remoto para gerenciar.
Voc deve analisar esse tpico e a documentao adicional sobre a
opo de instalao no Ncleo do Servidor se estiver em algum dos
seguintes grupos:
Planejadores e analistas de TI que esto avaliando
tecnicamente o produto
Planejadores e designers de TI corporativos para
organizaes
Os responsveis pela segurana do TI
Profissionais de TI que esto gerenciando as seguintes
funes de servidor: Servidor DHCP, Servios de Arquivo,
Servidor de Impresso, Servidor DNS, Servios de Domnio do
Active Directory Lightweight (AD LDS), ou Servios de
Domnio do Active Directory
A opo de instalao no Ncleo do Servidor no adiciona nova
funcionalidade s funes de servidor que suporta. Cada funo de
servidor, no entanto, pode ter alteraes no Windows Server
Longhorn.
As instalaes no Ncleo do Servidor oferecem os seguintes
benefcios:
Manuteno reduzida. Como uma instalao no Ncleo do
Servidor instala apenas o que necessrio para as funes
especificadas (Servidor DHCP, Servios de Arquivo, Servidor
de Impresso, Servidor DNS, AD LDS, ou Servios de Domnio
244
do Active Directory), so requisitados menos servios que
em uma instalao completa do Windows Server Longhorn.
Superfcie de ataque reduzida. Como as instalaes no
Ncleo do Servidor so mnimas, h menos aplicaes sendo
executadas no servidor, o que diminui a superfcie de
ataque.
Gerenciamento reduzido. Como menos aplicaes e servios
esto instalados em um servidor com instalao no Ncleo do
Servidor, h menos para gerenciar.
Menos espao em disco necessrio. Uma instalao no Ncleo
do Servidor requer apenas cerca de 1 gigabyte (GB) de
espao em disco para instalar, e aproximadamente 2 GB para
operaes aps a instalao.
Os servidores Server Core no tm uma interface de usurio, nem
oferecem a habilidade de executar aplicaes. Uma instalao no
Ncleo do Servidor mnima, para executar as seguintes funes:
Servidor DHCP, Servios de Arquivo, Servidor de Impresso,
Servidor DNS, AD LDS, ou Servios de Domnio do Active Directory.
A experincia de gerenciamento tambm ser diferente ao usar uma
instalao no Ncleo do Servidor. Ela requer que voc configure
inicialmente o sistema a partir da linha de comando, ou usando
mtodos de script como uma instalao autnoma, pois no inclui a
tradicional interface de usurio completa.
Uma vez que o servidor est configurado, voc pode gerenci-lo a
partir da linha de comando, local ou remotamente, com uma conexo
de rea de trabalho remota de Servios de Terminal. Voc tambm
pode usar snap-ins do MMC ou ferramentas de linha de comando que
suportam conexes remotas para gerenciar o servidor remotamente.
Os administradores que gerenciam uma instalao no Ncleo do
Servidor precisam estar cientes de que no h uma interface
grfica de usurio (GUI) disponvel.
Embora nenhuma alterao seja necessria para a configurao de
sua rede, voc talvez precise se familiarizar com as ferramentas
de linha de comando.
A opo de instalao no Ncleo do Servidor no adiciona ou
altera nenhuma configurao. Entretanto, voc deve analisar a
documentao para cada uma das funes de servidor suportadas que
esto disponveis na opo de instalao no Ncleo do Servidor,
para verificar se h alteraes no Windows Server Longhorn.
As alteraes em cada uma dessas funes so as mesmas, esteja
voc usando a instalao no Ncleo do Servidor ou a instalao
completa.
A opo de instalao no Ncleo do Servidor no uma plataforma
de aplicao, e voc no pode executar ou desenvolver aplicaes
245
de servidor em uma instalao no Ncleo do Servidor. Uma
instalao no Ncleo do Servidor s pode ser usada para executar
as funes de servidor e ferramentas de gerenciamento suportadas.
Os servidores Server Core suportam o desenvolvimento de
ferramentas e agentes de gerenciamento, que podem ser divididos
em duas categorias:
Ferramentas de gerenciamento remoto. Essas ferramentas no
requerem nenhuma alterao, contanto que usem um dos
protocolos suportados nas instalaes no Ncleo do Servidor
para comunicar-se com a rea de trabalho de gerenciamento
remoto, como a chamada de procedimento remoto (RPC).
Ferramentas e agentes de gerenciamento local. Essas
ferramentas podem necessitar de alteraes para trabalhar
com instalaes no Ncleo do Servidor, pois no podem ter
nenhuma dependncia a shell ou interface de usurio, e no
podem usar cdigo gerenciado.
O Kit de Desenvolvimento de Software (SDK) do Windows Server
Longhorn inclui uma lista de APIs que so suportados em
instalaes no Ncleo do Servidor. Voc precisa verificar se
todos os APIs chamados por seu cdigo esto listados, e tambm
precisa testar seu cdigo em uma instalao no Ncleo do Servidor
para garantir que ele se comportar como o esperado.
Nenhuma alterao em seu ambiente ou infra-estrutura
necessria.
A opo de instalao no Ncleo do Servidor suporta apenas uma
instalao do zero em um servidor. Voc no pode atualizar para
uma instalao no Ncleo do Servidor a partir de uma verso
prvia do Windows.
Para fazer uma instalao no Ncleo do Servidor do Windows Server
Longhorn, inicie o computador do servidor com um DVD
inicializvel do Windows Server Longhorn na unidade de DVD do
computador. Quando aparecer a caixa de dilogo Autorun, clique em
Install Now, e siga as instrues na tela para completar a
instalao.
Em muitos casos, uma instalao no Ncleo do Servidor ser feita
usando um script de instalao autnoma.
Os seguintes recursos opcionais requerem hardware apropriado para
que possam ser usados:
Cluster Failover
Balanceamento de Carga de Rede
Armazenamento Removvel
Criptografia da Unidade BitLocker
246
Alguma funcionalidade de BitLocker est disponvel sem hardware
especfico.
No h pr-requisitos para os seguintes recursos opcionais:
Subsistema para aplicaes baseadas em UNIX
Backup
Simple Network Management Protocol (SNMP)
Windows Internet Name Services (WINS)
Cliente Telnet
Os seguintes recursos oferecem informaes adicionais sobre
instalaes no Ncleo do Servidor:
Se voc precisa de suporte ao produto, visite o Microsoft
Connect (http://go.microsoft.com/fwlink/?LinkId=49779).
Para acessar grupos de notcias para esse recurso, siga as
instrues fornecidas no Microsoft Connect
Se voc um beta tester e parte do programa beta especial
chamado Programa de Adoo de Tecnologia (TAP), tambm pode
entrar em contato com o membro da equipe de desenvolvimento
da Microsoft que designou para obter assistncia.
Os seguintes recursos no site da Microsoft fornecem informaes
adicionais sobre alguns dos comandos que voc pode usar para
configurar instalaes no Ncleo do Servidor e ativar as funes
de servidor:
Referncias sobre linha de comando de A-Z
Arquivos de instalao autnoma dcpromo
o Realizando uma Instalao Autnoma do Active
Directory (http://go.microsoft.com/fwlink/?LinkId=49661)
Netsh
o Viso geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654)
Dnscmd
o Viso geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656)
o Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659)
o Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660)
Dfscmd
o Referncias do Dfscmd
247
O seguinte recurso fornece informaes adicionais para implantar,
configurar e gerenciar uma instalao no Ncleo do Servidor, e
tambm para ativar uma funo de servidor nessa instalao:
Guia Passo a Passo Beta 2 sobre o Ncleo do Servidor em
Windows Server "Longhorn" no Microsoft Connect

248
7.07 Backup do Windows Server

O recurso Backup do Windows Server Longhorn oferece uma soluo
bsica de backup e recuperao para o servidor em que est
instalado. Voc tambm pode usar esse recurso para gerenciar
backups em servidores remotos. Essa verso do Backup introduz uma
nova tecnologia de backup e recuperao e substitui o recurso que
estava disponvel em verses anteriores do sistema operacional
Windows.
Voc pode usar o recurso Backup para proteger todo o seu servidor
de modo eficiente e confivel sem se preocupar com detalhes da
tecnologia de backup e recuperao. Assistentes simples o guiaro
atravs da instalao de um agendamento automtico de backups,
criando backups manuais se necessrio, e recuperando itens ou
volumes inteiros. Voc pode usar esse recurso para fazer um
backup de um servidor inteiro ou de volumes selecionados. E, em
caso de desastres como falhas do disco rgido, voc pode realizar
uma recuperao de sistema, que vai restaurar completamente seu
sistema para o novo disco rgido usando um backup de servidor
completo e o Ambiente de Recuperao do Windows.
O Backup foi
projetado para ser
usado por todos, de
proprietrios de
pequenas empresas a
administradores de TI
em grandes empresas,
que precisam de uma
soluo de backup
fcil de implantar e usar, e que esteja disponvel sem nenhum
custo extra. No entanto, seu
design simples o torna
especialmente adequado para
organizaes menores ou
indivduos que no so
profissionais de TI.
Voc deve ser um membro do
grupo de Administradores ou do
grupo de Operadores de Backup
para usar o Backup.
O recurso Backup inclui as
seguintes melhorias:
T
e
c
n
o
l
o
g
i
a
de backup nova
e mais rpida. O
249
Backup usa o Servio de Cpias por Volume de Sombra (VSS) e
a tecnologia de backup em nvel de blocos para realizar o
backup de modo eficiente e recuperar seu sistema
operacional, arquivos, pastas e volumes. Aps o primeiro
backup completo ser criado, o Backup pode ser configurado
para executar, automaticamente, backups incrementais,
salvando apenas os dados que foram alterados desde o ltimo
backup. Entretanto, mesmo que voc opte por sempre fazer
backups completos, ele levar menos tempo que o recurso
Backup das verses anteriores do Windows.
Restaurao simplificada. Voc agora pode restaurar itens
escolhendo o backup a partir do qual a recuperao ser
feita, e selecionando ento os itens a serem restaurados.
Pode recuperar arquivos especficos ou todos os contedos
de uma pasta. Anteriormente, voc precisava restaurar
manualmente a partir de mltiplos backups se o item
estivesse armazenado em um backup incremental. Agora,
simplesmente escolhe a data em que fez o backup da verso
do item que quer restaurar.
Recuperao simplificada de seu sistema operacional. O
Backup trabalha com novas ferramentas de recuperao do
Windows para facilitar a tarefa de recuperar seu sistema
operacional. Voc pode recuperar para o mesmo servidor, ou,
se o hardware falhar, pode recuperar para um novo servidor
que no tem sistema operacional.
Habilidade de recuperar aplicaes. O Backup usa a
funcionalidade VSS que construda dentro de aplicaes
como o Microsoft SQL Server e o Windows SharePoint
Services para proteger os dados da aplicao.
Agendamento aperfeioado. O Backup agora inclui um
assistente que guia atravs do processo de criao de
backups dirios. Os volumes do sistema so automaticamente
includos em todos os backups agendados, para que voc
esteja sempre protegido contra desastres.
Fcil remoo de backups externos para proteo contra
desastres. Voc pode executar backups para mltiplos discos
em rotao para que seja fcil mover discos externos. Basta
adicionar cada disco como um local de backup agendado e, se
o primeiro disco retirado, o Backup vai automaticamente
executar backups para o disco seguinte na rotao.
Administrao remota. O Backup agora usa um snap-in do MMC
para dar a voc uma experincia familiar e consistente no
gerenciamento seus backups. Aps instalar o snap-in do
Backup, voc pode acessar essa ferramenta atravs do Server
Manager ou adicionando o snap-in a um console do MMC novo
ou j existente. Ento, pode usar o Backup para gerenciar
backups em outros servidores clicando em Ao, e depois em
Conectar-se a Outro Computador.
Gerenciamento automtico de uso de disco. Uma vez que voc
configura um disco para um backup agendado, o Backup vai
automaticamente gerenciar o uso do disco voc no precisa
se preocupar com o espao em disco aps vrios backups. O
Backup vai automaticamente reutilizar o espao de backups
anteriores quando criar os novos. A ferramenta de
250
gerenciamento exibe os backups que esto disponveis e as
informaes sobre uso do disco, que podem ajudar a preparar
um armazenamento adicional para atender seus objetivos
relacionados ao tempo de recuperao.
Suporte extensivo de linha de comando. O Backup agora vem
com suporte e documentao extensivos de linha de comando
para permitir que voc desempenhe quase todas as mesmas
tarefas que podem ser feitas com a ferramenta de
gerenciamento. Voc tambm pode automatizar as atividades
de backup atravs dos scripts.
Suporte para mdia de DVD. Voc pode fazer backups manuais
de volumes diretamente para DVD. Isso pode ser uma soluo
fcil se voc quiser criar backups externos para fins
especficos. O Backup tambm tem suporte a backup manual
para pastas e discos rgidos compartilhados. Backups
agendados so armazenados em discos rgidos.
Nota
A nova ferramenta Backup no usa dispositivos de
armazenamento em fita o uso de discos externos e
internos, DVDs e pastas compartilhadas so suportados. No
entanto, o suporte de drivers para fita ainda est includo
no Windows Server Longhorn.
Se voc atualmente usurio do Backup do Windows (Ntbackup.exe)
e planeja mudar para o novo Backup do Windows Server, pode ser
surpreendido pelas seguintes questes e alteraes:
As configuraes do Backup no sero atualizadas quando
voc mudar para o Windows Server Longhorn. Voc ter que
reconfigurar as configuraes.
Voc precisar de um disco separado e dedicado para
executar backups agendados.
No pode mais fazer backups em fita.
No pode recuperar backups que criou com o Backup do
Windows usando o Backup do Windows Server. O Backup do
Windows est disponvel como um download para os usurios
do Windows Server Longhorn que querem recuperar dados de
backups feitos com o NTBackup. No entanto a verso para
download do Backup do Windows no pode ser usada para criar
backups no Windows Server Longhorn. Para fazer o download
do Backup do Windows (Ntbackup.exe), veja
http://go.microsoft.com/fwlink/?LinkId=82917.

251
7.08 Monitor de Confiabilidade e Desempenho do
Windows

O Windows Server Longhorn inclui o Monitor de Confiabilidade e
Desempenho do Windows, que fornece aos profissionais de TI as
ferramentas para monitorar e avaliar o desempenho e a
confiabilidade do sistema.
Nota
Em algumas verses pr-
lanamento do Windows,
esse recurso foi chamado
de Console de
Diagnstico de
Desempenho do Windows.
O Monitor de
Confiabilidade e
Desempenho do Windows
um snap-in do MMC que
combina a funcionalidade
de ferramentas
independentes
anteriores, incluindo os
Registros e Alertas de Desempenho, o Consultor de Desempenho do
Servidor, e o Monitor de Sistema. Ele oferece uma interface
grfica para personalizar a coleo de dados do desempenho e as
Sesses de Acompanhamento de Eventos.
Ele tambm inclui o Monitor de Confiabilidade, um snap-in do MMC
que acompanha as alteraes no sistema e as compara a alteraes
na estabilidade do sistema, fornecendo uma visualizao grfica
de seu relacionamento.
O Monitor de Confiabilidade e Desempenho do Windows uma
ferramenta destinada ao uso por profissionais de TI ou
administradores de computador. Para visualizar o estado em tempo
real na Visualizao de Recursos, o console deve ser executado
como membro do grupo de Administradores. Para criar Conjuntos de
Coletores de Dados, configurar registros ou visualizar
relatrios, o console deve ser executado como membro do grupo de
Administradores ou do Grupo de Usurios de Registro do
Desempenho.
Os contadores de desempenho, provedores de acompanhamento de
eventos e outros elementos de cdigo anteriores, relacionados a
desempenho, no precisam mudar para trabalhar com o novo Monitor
de Confiabilidade e Desempenho do Windows ou seus recursos.

252
Os recursos do Monitor de Confiabilidade e Desempenho do Windows
que so novos para o Windows Server Longhorn incluem o
seguinte.
Conjuntos de Coletores de Dados
Um novo recurso importante do Monitor de Confiabilidade e
Desempenho do Windows o Conjunto de Coletores de Dados, que
agrupa coletores de dados em elementos reutilizveis para uso em
diferentes cenrios de monitoramento de desempenho. Uma vez que
um grupo de coletores de dados armazenado como um Conjunto de
Coletores de Dados, operaes como o agendamento podem ser
aplicadas a todo o conjunto atravs de uma nica alterao de
propriedade.
O Monitor de
Confiabilidade e
Desempenho do Windows
tambm inclui modelos
padro de Conjunto de
Coletores de Dados
para ajudar os
administradores de
sistema a comear a
coletar dados de
desempenho
especficos de uma
Funo de Servidor ou
cenrio de
monitoramento
imediatamente.
Assistentes e Modelos para Criao de Registros
A adio de contadores a arquivos de registro e o agendamento de
seu incio, interrupo e durao agora podem ser feitos atravs
da interface de um Assistente. Alm disso, salvando essa
configurao como um modelo, os administradores de sistema podem
coletar o mesmo registro em computadores subseqentes sem repetir
a seleo de coletores de dados e processos de agendamento. Os
recursos de Registros e Alertas de Desempenho foram incorporados
ao Monitor de Confiabilidade e Desempenho do Windows para uso com
qualquer Conjunto de Coletores de Dados.
Visualizao de Recursos
A pgina inicial do Monitor de Confiabilidade e Desempenho do
Windows a nova tela de Visualizao de Recursos, que fornece
uma viso geral grfica em tempo real da CPU, disco, rede e uso
da memria. Expandido cada um desses elementos monitorados, os
administradores de sistema podem identificar quais processos
esto usando quais recursos. Em verses anteriores do Windows,
253
esses dados especficos de processos em tempo real s eram
disponveis de forma limitada no Gerenciador de Tarefas.
Monitor de Confiabilidade
O Monitor de
Confiabilidade calcula o
ndice de Estabilidade do
Sistema, que reflete se
problemas inesperados
reduziram a confiabilidade
do sistema. Um grfico do
ndice de Estabilidade em
um perodo de tempo
identifica rapidamente as
datas em que os problemas
comearam a ocorrer. O
Relatrio de Estabilidade
do Sistema que acompanha o
ndice fornece detalhes para ajudar a resolver a causa raiz da
reduo de confiabilidade. Visualizando as alteraes do sistema
(instalao ou remoo de aplicaes, atualizaes no sistema
operacional, adio ou modificao de drivers) lado a lado com as
falhas (de aplicao, de sistema operacional ou de hardware), uma
estratgia para lidar com os problemas pode ser desenvolvida
rapidamente.
Configurao Unificada de Propriedades para Toda a Coleo de Dados,
Inclusive o Agendamento
Seja na criao de um Conjunto de Coletores de Dados para uso em
uma nica vez ou para atividade contnua de registro, a interface
para criao, agendamento e modificao a mesma. Se um Conjunto
de Coletores de Dados prova que til para o futuro
monitoramento de desempenho, no precisa ser recriado. Pode ser
reconfigurado ou copiado como um modelo.
Relatrios de Diagnstico Fceis de Usar
Os usurios do Consultor de Desempenho do Servidor no Windows
Server 2003 podem agora encontrar os mesmos tipos de relatrios
de diagnstico no Monitor de Confiabilidade e Desempenho do
Windows no Windows Server Longhorn. O tempo de gerao dos
relatrios foi melhorado e os relatrios podem ser criados com
dados coletados atravs do Conjunto de Coletores de Dados. Assim
os administradores de sistema podem repetir relatrios e avaliar
como as alteraes afetaram o desempenho ou as recomendaes do
relatrio.

254
7.09 Servios de Implantao do Windows

Os Servios de Implantao do Windows, verso atualizada e
reprojetada dos Servios de Instalao Remota (RIS), so um
pacote de componentes que trabalham juntos no Windows Server
Longhorn para ativar a implantao de sistemas operacionais
Windows, particularmente o Windows Vista. Esses componentes so
organizados nestas trs categorias:
Componentes de servidor. Esses componentes incluem um
servidor de Ambiente de Pr-Boot Execution (PXE) e um
servidor de Protocolo de Transferncia de Arquivos Simples
(TFTP) para inicializar por rede um cliente para carregar e
instalar um sistema operacional. Tambm esto includos um
repositrio de imagem e uma pasta compartilhada, que contm
imagens de inicializao, de instalao, e arquivos que
voc precisa especificamente para inicializao por rede.
Componentes de cliente. Esses componentes incluem uma GUI
que executada dentro do Ambiente de Pr-Instalao do
Windows (Windows PE) e se comunica com os componentes de
servidor para selecionar e instalar uma imagem de sistema
operacional.
Componentes de gerenciamento. Esses componentes so um
conjunto de ferramentas que voc usa para gerenciar o
servidor, as imagens do sistema operacional e as contas do
computador cliente.
Os Servios de Implantao do Windows ajudam na rpida adoo e
implantao de sistemas operacionais Microsoft Windows. Voc pode
us-los para instalar novos computadores usando uma instalao
baseada em rede. Isso significa que voc no tem que estar
fisicamente presente diante de cada computador e no tem que
instalar diretamente a partir de um CD ou DVD. Voc tambm pode
usar os Servios de Implantao do Windows para redefinir os
propsitos dos computadores existentes.
Voc pode usar os Servios de Implantao do Windows em qualquer
organizao que esteja interessada em simplificar as implantaes
e aumentar a consistncia de seus computadores baseados em
Windows. O pblico-alvo inclui:
Planejadores ou designers de TI corporativos
Especialistas em implantao interessados em implantar
imagens em computadores sem sistemas operacionais
Os seguintes requisitos devem ser atendidos antes de instalar a
funo Servios de Implantao do Windows:
255
Servios de Domnio do Active Directory. Um servidor com
Servios de Implantao do Windows deve ser membro de um
domnio do Active Directory ou ser um controlador de
domnio para um domnio do Active Directory. As verses do
domnio e da floresta do Active Directory so irrelevantes;
todas as configuraes de domnio e floresta suportam os
Servios de Implantao do Windows.
DHCP. Voc deve ter um servidor de Protocolo de
Configurao Dinmica de Host (DHCP) em funcionamento com
um escopo ativo na rede, pois os Servios de Implantao do
Windows usam o Ambiente de Pre-Boot Execution (PXE), que
por sua vez usa o DHCP.
DNS. Um servidor de Sistema de Nomes de Domnio em
funcionamento na rede necessrio para executar os
Servios de Implantao do Windows.
Um volume de NTFS no servidor de Servios de Implantao do
Windows. O servidor que est executando os Servios de
Implantao do Windows requer um volume de sistema de
arquivos NTFS para o armazenamento de imagem.
Credenciais administrativas. A instalao dos Servios de
Implantao do Windows requer que o administrador seja um
membro do grupo de Administradores Locais no servidor de
Servios de Implantao do Windows. Para iniciar o cliente
de Servios de Implantao do Windows, voc deve ser um
membro do grupo de Usurios do Domnio.
Esses Servios incluem o snap-in do MMC de Servios de
Implantao do Windows, que fornece gerenciamento rico de todos
os recursos dos Servios de Implantao do Windows. Os Servios
de Implantao do Windows tambm oferecem vrios aperfeioamentos
feitos no conjunto de recursos dos Servios de Instalao Remota
(RIS). Esses aperfeioamentos suportam a implantao dos sistemas
operacionais Windows Vista e Windows Server Longhorn. Com os
Servios de Implantao do Windows voc pode:
Criar uma imagem de captura. Imagens de captura so usadas
para capturar imagens do Windows preparadas com Sysprep.exe
para implantao como imagens de instalao.
Criar uma imagem de instalao. Imagens de instalao so
as imagens que voc implanta no computador cliente.
Associar arquivos de instalao autnoma a uma imagem.
Criar uma imagem de descoberta. Imagens de descoberta so
usadas para implantar o sistema operacional Windows em
computadores que no suportam a inicializao PXE.
256
Ativar transmisso multicast de uma imagem. Quando voc
ativa uma transmisso multicast para uma imagem, os dados
so enviados pela rede apenas uma vez.
Criar uma Imagem de Captura
Voc pode capturar imagens dos sistemas operacionais Windows que
foram preparadas com o Sysprep, e depois implant-las como
imagens de instalao. Imagens de captura so imagens de
inicializao que iniciam o Assistente de Captura de Imagens.
Imagens de captura so salvas primeiro em um arquivo e depois
adicionadas ao armazenamento de imagens.
Para criar uma imagem de captura, faa o seguinte:
1. Abra o Server Manager.
2. Abra o snap-in do MMC de Windows Deployment Services.
3. Expanda a pasta Boot Image folder.
4. Clique com o boto direito na imagem a ser usada como
imagem de captura.
5. Clique em Create Capture Boot Image.
6. Siga as instrues no assistente, e quando ele terminar,
clique em Finish.
7. Clique com o boto direito na pasta da imagem de
inicializao.
8. Clique em Add Boot Image.
9. Procure e selecione a nova imagem de captura, e ento
clique em Next.
10. Siga as instrues no assistente.
Antes a imagem de captura era um procedimento complexo de linha
de comando. O Assistente de Captura de Imagens abre a captura de
imagens para administradores de nvel mais baixo que talvez no
estejam familiarizados com o trabalho em um aviso de comando.
Criar uma Imagem de Instalao
Voc pode construir imagens de instalao a partir de instalaes
de referncia do sistema operacional Windows e implant-las nos
computadores cliente. Uma instalao de referncia pode ser uma
instalao padro do Windows ou uma instalao do Windows que foi
configurada para um ambiente ou usurio especfico antes da
criao da imagem.
257
Para capturar uma imagem de instalao usando o Assistente de
Captura de Imagens, faa o seguinte:
1. Realize uma instalao de referncia em um computador que
ser usado como referncia.
2. Em uma janela de Aviso de Comando no computador de
referncia, mova as pastas para \Windows\System32\Sysprep
ou a pasta que contm Sysprep.exe e Setupcl.exe.
Nota
Essa estrutura de pastas vlida somente para o Windows
Server Longhorn e o Windows Vista. Para o Windows Server
2003 e o Windows XP, use a verso apropriada do Sysprep a
partir do Deploy.cab.
3. Digite sysprep /OOBE /generalize /reboot
Nota
Essa sintaxe vlida somente para o Windows Server
Longhorn e o Windows Vista. Para verificar a sintaxe para
outra verso do Windows, digite sysprep /?
4. Quando o computador de referncia reiniciar, aperte F12.
5. No Gerenciador de Inicializao do Windows, role para a
imagem de captura que voc criou anteriormente.
6. Na pgina do Image Capture Wizard (Assistente de Captura de
Imagens), clique em Next.
7. Na pgina de Image Capture Source, use o controle de
seleo Volume to Capture para escolher o volume
apropriado, e ento fornea um nome e uma descrio para a
imagem. Clique em Next para continuar.
8. Na pgina Image Capture Destination, clique em Browse e
navegue para o local em que quer armazenar a imagem
capturada.
9. Na caixa de texto File name, digite um nome para a imagem
usando a extenso de nome de arquivo .wim, e ento clique
em Save.
10. Clique em Upload image to WDS server.
11. Digite o nome do servidor de Servios de Implantao
do Windows, e ento clique em Connect.
12. Se for alertado sobre credenciais, fornea um nome e
uma senha de usurio para uma conta com privilgio
258
suficiente para conectar-se ao servidor de Servios de
Implantao do Windows.
13. Na lista de Grupo de Imagens, escolha o grupo de
imagens no qual quer armazenar a imagem.
14. Clique em Finish.
Voc pode usar o Assistente de Captura de Imagens em vez de
ferramentas de linha de comando, eliminando a necessidade de
suportar e gerenciar utilitrios de linha de comando sensveis
verso. Usando o Assistente de Captura de Imagens voc pode
inicializar um computador para capturar uma imagem de sistema
operacional do mesmo modo que faria para instalar um sistema
operacional.
Associar um Arquivo de Instalao Autnoma a uma Imagem
Os Servios de Implantao do Windows permitem que voc
automatize o cliente de Servios de Implantao do Windows e os
ltimos estgios da Instalao do Windows. Essa abordagem de dois
estgios realizada atravs de dois arquivos diferentes de
instalao autnoma.
Arquivo autnomo do cliente de Servios de Implantao do
Windows. Esse arquivo usa o formato Unattend.xml e
armazenado no servidor de Servios de Implantao do
Windows na pasta \WDSClientUnattend. Ele usado para
automatizar as telas da interface de usurio do cliente de
Servios de Implantao do Windows (tais como a insero de
credenciais, a escolha de uma imagem de instalao e a
configurao do disco).
Arquivo autnomo de imagem. Esse arquivo usa o Unattend.xml
ou o Sysprep.inf, dependendo da verso do sistema
operacional na imagem. Ele usado para configurar opes
de instalao autnoma durante a Instalao do Windows e
armazenado em uma subpasta (estrutura $OEM$ ou \Unattend)
na pasta por imagem. usado para automatizar as fases
remanescentes de instalao (por exemplo, servios off-
line, especializao do Sysprep e mini-instalao).
Para automatizar qualquer um dos estgios, crie um arquivo
Unattend.xml, copie-o para o local apropriado e atribua-o para
uso. Voc pode atribu-lo no nvel do servidor ou do cliente. A
atribuio no nvel do servidor pode depois ser quebrada pela
arquitetura, permitindo que voc tenha configuraes diferentes
para clientes baseados em x86 e x64. A atribuio no nvel do
cliente ignora as configuraes do nvel do servidor.
Voc pode configurar a instalao autnoma usando os seguintes
passos:
259
1. Crie um arquivo autnomo apropriado, de acordo com o que
voc est configurando o cliente de Servios de
Implantao do Windows ou a Instalao do Windows.
Recomendamos que voc use o Gerenciador de Imagens de
Sistema do Windows (includo como parte do Kit de
Instalao Automatizada do Windows (AIK)) para a autoria
dos arquivos de instalao autnoma.
2. Associe o arquivo de instalao autnoma a um tipo de
imagem ou computador.
Configurando Arquivo Autnomo para Cliente de Servios de Implantao do
Windows
Para associar um arquivo autnomo de cliente pela arquitetura,
faa o seguinte:
1. Crie um arquivo Unattend.xml com configuraes aplicveis
ao cliente de Servios de Implantao do Windows.
2. Copie o arquivo Unattend.xml para
RemoteInstall\WDSClientUnattend.
3. Abra o snap-in do MMC de Servios de Implantao do
Windows.
4. Expanda a lista no painel esquerdo para expor a lista de
Servers.
5. Clique com o boto direito no servidor de Servios de
Implantao do Windows que contm a imagem do Windows Vista
ou Windows Server Longhorn qual voc quer associar o
arquivo autnomo, e clique em Properties.
6. Na guia Cliente, selecione Enable unattended installation,
navegue para o arquivo autnomo apropriado, e ento clique
em Open.
7. Clique em OK duas vezes para fechar a pgina de
propriedades.
Para associar um arquivo autnomo de cliente por computador
1. Em uma janela de Aviso de Comando, digite o seguinte, em
que <relative path> o caminho da pasta compartilhada
REMINST pasta que contm WdsClientUnattend.xml:
WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC
address> /WdsClientUnattend:<relative path>
Configurando a Instalao Autnoma na Instalao do Windows
Para associar um arquivo autnomo de imagem a uma imagem, faa
o seguinte:
260
1. A partir do snap-in do MMC de Servios de Implantao do
Windows, clique para expandir o grupo de imagens que contm
imagens do Windows Vista ou Windows Server Longhorn.
2. Clique com o boto direito na imagem qual quer associar o
arquivo autnomo, e ento clique em Properties.
3. Clique em Allow image to install in unattend mode.
4. Clique em Select File.
5. Insira o nome e o caminho, ou navegue para escolher o
arquivo autnomo, e ento clique em OK.
6. Para fechar Image Properties, clique em OK.
Para associar o Sysprep.inf a uma imagem do Windows XP ou
Windows Server 2003, faa o seguinte:
1. Em uma janela de Aviso de Comando, mova as pastas para o
grupo de imagens que contm uma imagem do Windows XP ou
Windows Server 2003.
2. No grupo de imagens que contm a imagem do Windows XP, crie
uma pasta com o mesmo nome da imagem qual voc quer
associar o arquivo Sysprep.inf. Por exemplo:
md C:\RemoteInstall\Images\imagegroupname\imagename
3. Copie um arquivo Sysprep.inf que seja apropriado para a
imagem para a pasta $OEM$. Por exemplo:
copy C:\Sysprep.inf
C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$
4. Adicione arquivos (por exemplo um diretrio de ferramentas)
e faa outras alteraes conforme o necessrio (por
exemplo, modifique o registro usando um script), seguindo
as convenes de $OEM$.
5. Aps aplicar a imagem a um novo computador usando os
Servios de Implantao do Windows, toda a pasta $OEM$
copiada a uma unidade no novo computador, e os contedos
so aplicados imagem.
Nota
Para mais informaes sobre o Sysprep.inf e a pasta $OEM$,
veja Projetando Tarefas de Instalao Automatizada em
Os arquivos autnomos permitem que voc automatize tarefas de
instalao comuns e padronize configuraes para sua organizao.
261
Os Servios de Implantao do Windows fornecem vrias opes para
associar arquivos autnomos a imagens de inicializao e
instalao.
Associar um Pacote de Idiomas a uma Imagem de Instalao
Voc pode associar mltiplos pacotes de idiomas a uma nica
imagem, reduzindo o nmero de imagens que precisa manter. Para
usar um pacote de idiomas, crie a estrutura de pastas apropriada
e copie o pacote de idiomas. O seguinte procedimento descreve
como associar um pacote de idiomas a uma imagem do Windows.
Nota
Pacotes de idiomas so suportados apenas nos sistemas
operacionais Windows Vista e Windows Server Longhorn.
Para associar um pacote de idiomas a uma imagem, faa o
seguinte:
1. Na pasta do grupo de imagens que contm a imagem, crie uma
pasta com o mesmo nome do arquivo de imagem.
2. Nessa pasta, crie uma pasta chamada langpacks. Por exemplo,
se o grupo de imagens se chama Vista e a imagem se chama
Install, digite:
md c:\remoteinstall\images\vista\install\langpacks
3. Na pasta langpacks, crie uma pasta para cada pacote de
idiomas que voc quer instalar. Para criar uma pasta
langpacks para a lngua japonesa, digite:
md c:\remoteinstall\images\vista\install\langpacks\ja-jp
4. Copie o pacote de idioma Japons para:
C:\Remoteinstall\images\vista\install\langpacks\ja-jp.
Voc pode associar um pacote de idiomas a uma imagem em vez de
criar imagens nicas para cada lngua. Se sua organizao suporta
vrias lnguas, os pacotes de idiomas vo poupar tempo na criao
e atualizao de imagens. Por exemplo, se voc suporta atualmente
13 lnguas por imagem, pode agora construir uma imagem e associar
13 pacotes de idiomas imagem.
Criar uma Imagem de Descoberta
Imagens de descoberta so usadas para implantar o sistema
operacional Windows em computadores que no suportam a
inicializao PXE. Imagens de descoberta so imagens de
inicializao que iniciam o Assistente de Descoberta dos Servios
de Implantao do Windows. As imagens de descoberta so salvas em
um arquivo, convertidas para um formato ISO, e ento copiadas
para um CD ou DVD.
262
Para associar um pacote de idiomas a uma imagem, faa o
seguinte:
1. Abra o snap-in do MMC de Servios de Implantao do
Windows.
2. Expanda a pasta Imagem de Inicializao.
3. Clique com o boto direito na imagem a ser usada como
imagem de descoberta.
4. Clique em Create Discover Boot Image.
5. Escolha um nome e uma descrio para a imagem de
descoberta.
6. Escolha um local e um nome para o novo arquivo, usando a
extenso de nome de arquivo .wim.
7. Clique em Next para criar a imagem de captura.
8. Clique em Finish.
Para criar mdia inicializvel, faa o seguinte:
1. Em uma janela de Aviso de Comando, digite os seguintes
comandos:
Md c:\Winpe\Boot
Md c:\Winpe\Sources
2. Para copiar a imagem de descoberta criada no procedimento
anterior, digite:
Copy c:\boot.wim c:\Winpe\Sources
3. Para copiar arquivos de inicializao do Windows AIK,
digite:
Xcopy c:\Program Files\Windows
AIK\tools\<architecture>\boot c:\WinPE\boot
4. Mova a pasta para C:\Program files\Windows
AIK\tools\<architecture>.
5. Para criar a imagem ISO inicializvel, digite:
Oscdimg -n -bc:\winpe\ISO\boot\etfsboot.com c:\winpe\ISO
c:\winpe.iso
6. Use uma ferramenta de cpia em CD que pode criar um CD ou
DVD para transferir a imagem ISO mdia apropriada.
263
Voc pode usar uma imagem de descoberta de um computador que no
suporta a inicializao PXE para iniciar a instalao a partir de
um servidor de Servios de Implantao do Windows. Sem um disco
de descoberta, os computadores que no suportam a inicializao
PXE no podem acessar os recursos dos Servios de Implantao do
Windows.
Ativar Transmisso Multicast de uma Imagem
O multicasting permite que voc implante uma imagem em um grande
nmero de computadores cliente sem sobrecarregar a rede. O
multicasting fica desativado por padro. Voc tem duas opes
para criar uma transmisso multicast:
Clique com o boto direito no n Multicast Transmission, e
ento clique em Create Multicast Transmission.
Clique com o boto direito em uma imagem, e ento clique em
Create Multicast Transmission.
Quando voc cria uma transmisso, tem duas opes para o tipo de
multicast:
Auto-Cast. Essa opo indica que o multicasting est sempre
ligado. Quando voc seleciona essa opo, assim que um
cliente aplicvel solicita uma imagem de instalao, uma
transmisso multicast da imagem selecionada inicia. Ento,
conforme outros clientes solicitam a mesma imagem, eles
tambm so vinculados transmisso que j iniciou.
Nota
Os contedos apenas so transferidos pela rede se os
clientes estiverem solicitando dados. Se nenhum cliente
estiver conectado (isto , a transmisso est inativa), os
dados no sero enviados pela rede.
Cast Agendado. Essa opo estabelece os critrios de incio
para a transmisso, com base no nmero de clientes que
esto solicitando uma imagem e/ou um dia e horrio
especficos. Se voc no selecionar um desses quadros de
seleo, tem que iniciar manualmente a transmisso. Note
que alm desses critrios, voc pode iniciar uma
transmisso manualmente a qualquer momento, clicando com o
boto direito na transmisso e depois em Iniciar.
Quando voc cria uma transmisso multicast para uma imagem, os
dados so enviados pela rede apenas uma vez, o que pode reduzir
drasticamente a largura de banda da rede que usada.
264
Implantao
O modo como voc implanta os Servios de Implantao do Windows
depende de um fator - se voc j tem servidores de RIS instalados
em seu ambiente:
Se voc tem servidores de RIS j existentes ou servidores
do Windows Server 2003 com a atualizao dos Servios de
Implantao do Windows, pode atualizar esses servidores
diretamente para o Windows Server Longhorn.
Se voc est implantando novos servidores de Servios de
Implantao do Windows com o Windows Server Longhorn,
precisa instalar a funo de servidor Servios de
Implantao do Windows.
Nota
Os servidores de Servios de Implantao do Windows com
Windows Server Longhorn no so capazes de implantar
imagens de RIS mais antigas (RISETUP ou RIPREP). Voc
precisar converter suas imagens atuais para o formato WIM.
Se voc tem uma infra-estrutura de RIS existente, precisa
converter suas imagens atuais para o formato WIM. Os Servios de
Implantao do Windows no Windows Server Longhorn no suportam
imagens RIPREP ou RISETUP criadas por ferramentas de RIS. Alm
disso, as telas de RIS OSChooser no so suportadas. Em vez
disso, voc usar uma combinao de imagens, opes de instalao
autnoma, e pacotes de idiomas para personalizar instalaes
individuais.
Para preservar sua infra-estrutura de RIS existente enquanto
utiliza os Servios de Implantao do Windows para implantar o
Windows Vista e o Windows Server Longhorn, voc pode seguir um
destes passos em seus servidores de RIS existentes:
Instalar a atualizao dos Servios de Implantao do
Windows a partir do Windows AIKt
Aplicar o Windows Server 2003 SP2, e depois instalar o
componente opcional em Adicionar/Remover Componentes do
Windows.
Recursos Adicionais
Os seguintes recursos oferecem informaes adicionais sobre os
Servios de Implantao do Windows:
Para informaes mais detalhadas sobre os Servios de
Implantao do Windows, v Viso Geral dos Servios de
Implantao do Windows(http://go.microsoft.com/fwlink/?LinkId=81031).
265
Para o Guia Passo a Passo dos Servios de Implantao do
Windows, veja o site da Microsoft
Se voc precisa de suporte ao produto, visite o site do
Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).
Para acessar grupos de notcias para os Servios de
Implantao do Windows, siga as instrues fornecidas no
Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).
Se voc um beta tester e membro do programa beta chamado
Programa de Adoo de Tecnologia (TAP), pode entrar em
contato com o membro da equipe de desenvolvimento da
Microsoft que designou para obter assistncia.
Para mais informaes sobre o Windows AIK, veja o Guia do
Usurio sobre o Kit de Instalao Automatizada do Windows
para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552).

266
Seo 8: Alta Disponibilidade


267
8.01 Introduo Alta Disponibilidade

Fornecer servios altamente disponveis para aplicaes e
servios crticos fundamental para qualquer departamento de TI.
Este cenrio enfoca alta disponibilidade: Melhorias em Clustering
Failover que estaro disponveis para aplicaes implantadas no
Windows Server
Longhorn.
Como parte do Windows Server Longhorn, o Clustering Failover
fornece um recurso fcil de ser usado em servios e aplicaes de
misso crtica.
O Clustering Failover no Windows Server Longhorn fornece novos
recursos que podem ser usados por uma organizao para
implementar uma estratgia de alta disponibilidade ao tornar os
servidores de cluster uma opo inteligente de negcios para a
corporao. As principais propostas de valor que a alta
disponibilidade oferece so:
Com a nova interface de gerenciamento, a complexidade
reduzida, proporcionando ao usurio uma interface mais
simples para criao, gerenciamento e utilizao dos
servidores clusterizados.
Ao minimizar os problemas iniciais de configurao atravs
das novas ferramentas, os custos de suporte e o tempo para
implementao tambm foram reduzidos.
A nova funcionalidade possibilita a implementao em
ambientes geograficamente dispersos, permitindo que a
tecnologia se adapte ao ambiente do cliente.
O hardware deve estar na Lista de Compatibilidade de Hardware.

268
8.02 Clustering Failover

No Microsoft
Windows Server Longhorn, as melhorias dos clusters

failover (antes chamados de clusters de servidores) tm como
objetivos simplificar os clusters, tornando-os mais seguros e
aprimorando a estabilidade. A configurao e o gerenciamento de
clusters tornaram-se mais fceis. A segurana e a rede de
clusters foram aprimoradas, assim como a forma como um Cluster
Failover se comunica com um armazenamento.
Um Cluster Failover um grupo independente de computadores que
trabalha em conjunto para aumentar a disponibilidade de
aplicaes e servios. Os servidores clusterizados (chamados de
ns) so conectados por cabos fsicos e por software. Se um n de
cluster falhar, outro n passa a oferecer o servio (um processo
chamado de failover). Os usurios vivenciam interrupes mnimas
no servio.
Os Clusters Failover so usados por profissonais de TI que
precisam oferecer alta disponibilidade para servios ou
aplicaes.

A Microsoft apenas suporta uma soluo de cluster se todos os
componentes de hardware da soluo estiverem com o logotipo de
compatibilidade Designed for Windows Server Longhorn. Alm
disso, a configurao completa (servidores, rede, e
armazenamento) deve passar por todos os testes do assistente
Validate a Configuration (Validar uma Configurao), que est
includo no software de gerenciamento de Cluster Failover.
Novo Assistente de Validao
Ao usar o novo assistente de validao nos Clusters Failover,
voc pode executar testes para determinar se sua configurao do
sistema, do armazenamento e da rede adequada para um cluster. O
assistente inclui os seguintes tipos de testes:
Testes de ns. Estes testes analisam se os servidores
selecionados atendem a requisitos especficos que
estabelecem, por exemplo, que os servidores devem executar
a mesma verso do sistema operacional e as atualizaes de
software.
Testes de rede. Estes testes analisam se as redes de
clusters planejadas atendem a requisitos especficos que
estabelecem, por exemplo, que deve haver pelo menos duas
sub-redes separadas para a redundncia de rede.
Testes de armazenamento. Estes testes analisam se o
armazenamento atende a requisitos especficos que
estabelecem, por exemplo, se o armazenamento suporta
269
corretamente os comandos SCSI necessrios e se ele lida
corretamente com as aes de clusters simuladas.
Suporte para Discos GPT no Armazenamento de Clusters
Os discos da tabela de partio GUID (GPT) so suportados no
armazenamento de Clusters Failover. Os discos de GPT fornecem
maior robustez e tamanho de disco. Especificamente, os discos GPT
podem ter parties maiores do que 2 terabytes e possuem
redundncia nativa na forma como a informao armazenada nas
parties, diferentemente dos discos de registro mestre de
inicializao (MBR). Com os Clusters Failover, voc pode usar os
dois tipos de discos.
Melhorias na Configurao e Migrao
Os Clusters Failover no Windows Server Longhorn permitem que
voc execute tarefas de configurao e migrao mais facilmente
do que nos clusters de servidor das verses anteriores.
Configure um cluster. O assistente de Configurao de
Cluster foi simplificado para que voc possa fazer a
configurao em um s passo. A configurao do cluster
tambm pode ser feita totalmente atravs de scripts para
que voc possa automatizar sua implantao.
Migre as informaes de configurao de um cluster para
outro. As configuraes do grupo de recursos podem ser
capturadas de um cluster que esteja executando o Windows
Server 2003, e depois elas so aplicadas a um cluster
executando o Windows Server Longhorn.
Melhorias nas Interfaces de Gerenciamento
voc execute tarefas de gerenciamento e operaes mais facilmente
do que nos clusters de servidor das verses anteriores.
Adicione rapidamente recursos clusterizados sua
configurao. A interface para administrar um cluster
mais simples e intuitiva, facilitando o desempenho de
tarefas como a criao de uma pasta compartilhada altamente
disponvel. Voc pode enfocar o gerenciamento de suas
aplicaes, e no de seu cluster.
Use a linha de comando ou o WMI para trabalhar com um
cluster. Voc pode usar a linha de comando ou o Windows

Management Instrumentation (WMI) para executar mais tarefas
do que nas verses anteriores.
Solucione problemas em um cluster. Em vez de trabalhar com
o log do cluster, voc pode usar o Rastreamento de Eventos
do Windows para agregar, gerenciar e relatar informaes
sobre a seqncia de eventos que ocorreram no cluster.
270
Use o Servio de Cpia de Volume de Sombra para capturar
backups. A integrao completa com o Servio de Cpia de
Volume de Sombra facilita o backup e a restaurao da
configurao de seu cluster.
Controle a forma como voc visualiza as pastas
compartilhadas que foram clusterizadas. Voc pode controlar
ou definir o escopo de sua vizualizao das pastas
compartilhadas para que fique mais fcil saber quais pastas
foram clusterizadas e em qual cluster uma pasta
compartilhada est disponvel.
Melhorias na Estabilidade e na Segurana para Maior
Disponibilidade
Com os Clusters Failover no Windows Server Longhorn, as
melhorias na infra-estrutura de clusters o ajudam maximizar a
disponibilidade dos servios que voc disponibiliza para os
usurios. Podem fazer o seguinte:
Configure seu cluster para que o recurso de quorum no seja
um ponto de falha nico. Com as melhorias nos Clusters
Failover, voc pode usar dois modelos de clusters que j
existiam antes o modelo de recursos de quorum e o modelo
de conjunto de ns principais ou ainda, um hbrido dos
dois modelos. Por exemplo, em um cluster de dois ns, voc
pode especificar que caso o quorum se torne indisponvel, o
cluster continuar em execuo enquanto as cpias do banco
de dados de configurao do cluster nos dois ns
permanecerem disponveis.
Alcance maior confiabilidade e disponibilidade graas s
melhorias na infra-estrutura do cluster. A infra-estrutura
do cluster foi aprimorada para ajud-lo a alcanar maior
confiabilidade e disponibilidade com os Clusters Failover.
Por exemplo, a infra-estrutura de software que lida com os
recursos clusterizados vai isolar as bibliotecas de
vnculos dinmicos (DLLs) que executam aes
incorretamente, minimizando o impacto sobre o cluster.
Outro exemplo: o cluster ir usar mtodos aprimorados para
garantir a consistncia entre as cpias do banco de dados
de configurao do cluster.
Melhorias na Forma como um Cluster Trabalha com o
Armazenamento
voc alcance melhor desempenho com seu armazenamento do que nos
clusters de servidor das verses anteriores. Podem fazer o
seguinte:
Disponibilize discos adicionais para o cluster enquanto as
aplicaes estiverem online. Voc pode modificar as
dependncias dos recursos enquanto eles estiverem online, o
271
que significa que voc pode disponibilizar um disco
adicional sem interromper o acesso aplicao que ir
utiliz-lo.
Obtenha melhor desempenho e estabilidade com o seu
armazenamento. Quando um Cluster Failover se comunica com o
seu SAN ou DAS, ele utiliza os comandos que menos
atrapalham (evitando reconfiguraes no barramento SCSI).
Os discos nunca so deixados em um estado desprotegido, o
que significa que o risco de corrupo em volume
reduzido. Os Clusters Failover tambm suportam mtodos
aprimorados de descoberta e recuperao de disco.
Os Clusters Failover suportam trs tipos de conexes de
armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre
Channel.
Execute tarefas de manuteno de disco mais facilmente. O
modo de manuteno foi aprimorado para que voc possa
executar ferramentas para verificar, corrigir, fazer o
backup ou a restaurao de discos mais facilmente, com
menos interrupes para o cluster.
Melhorias na Rede e na Segurana
Com os Clusters Failover no Windows Server Longhorn, o
desempenho da rede e da segurana foi aprimorado em relao aos
lanamentos anteriores. Podem fazer o seguinte:
Use o IPv6, que totalmente integrado com os Clusters
Failover. Os Clusters Failover suportam totalmente o IPv6
tanto na comunicao de n para n, quanto na comunicao
de n para cliente.
Use o DNS sem as dependncias do NetBIOS do legado. Isto
simplifica o transporte do trfego SMB (Server Message
Block) e significa que voc no tem as transmisses de
resoluo de nome do Windows Internet Name Service (WINS) e
NetBIOS.
Alcance maior confiabilidade atravs de outras melhorias na
rede. Por exemplo, voc pode ajudar as dependncias entre
um nome da rede e os endereos de IP associados para que o
nome da rede esteja disponvel se um dos endereos de IP (e
no ambos) estiver disponvel. Alm disso, quando os ns
transmitem e recebem pulsaes para confirmar que cada n
ainda est disponvel, eles utilizam o protocolo TCP
(Transmission Control Protocol) em vez do protocolo UDP
(User Datagram Protocol), que menos confivel.
Alcance maior segurana atravs das melhorias na segurana
e da auditoria do acesso ao cluster. As melhorias na
segurana nos Clusters Failover aprimoram os processos de
autenticao e criptografia. Alm disso, voc pode usar a
auditoria para capturar informaes sobre quem acessou seu
cluster e quando ele foi acessado.
272
Compatibilidade
Se voc possui uma aplicao que era executada em um cluster de
servidor com o Windows Server 2003, e a aplicao depende da
conta do servio de Cluster obrigatria para clusters de
servidores, talvez seja necessrio trocar a aplicao para que
ela no dependa mais da conta. Os Clusters Failover que executam
o Windows Server Longhorn no utilizam uma conta de servio de
Cluster separada.
Implantao
Analise cuidadosamente o hardware no qual voc planeja implantar
um Cluster Failover para garantir que ele seja compatvel com o
Windows Server Longhorn. Isto ser necessrio principalmente se
voc estiver usando este hardware atualmente para um cluster de
servidor executando o Windows Server 2003. O hardware que suporta
um cluster de servidor executando o Windows Server 2003 no
necessariamente suportar um Cluster Failover executando o
Observe que
Voc no pode executar a atualizao de um cluster de
servidor que esteja executando o Windows Server 2003 para
um Cluster Failover executando o Windows Server Longhorn.
No entanto, aps ter criado um Cluster Failover executando
o Windows Server Longhorn, voc poder usar um assistente
para migrar algumas configuraes de recursos para um
cluster de servidor executando o Windows Server 2003.

273
8.03 Balanceamento de Carga de Rede

No Microsoft Windows Server Longhorn, as melhorias no
Balanceamento de Carga de Rede (NLB - Network Load Balancing)
incluem suporte para Protocolo IP Verso 6 (IPv6) e NDIS 6.0
(especificao da interface do driver de rede , melhorias no
Windows Management Instrumentation (WMI) e funcionalidade
aprimorada com o Microsoft Internet Security and Acceleration (ISA)
Server.
O NLB um recurso que distribui a carga para as aplicaes
cliente/servidor em rede por diversos servidores de cluster. Faz
parte da funcionalidade de escalabilidade horizontal do Windows e
uma das trs tecnologias do Windows Clustering.
O NLB usado por profissionais de TI que precisam distribuir
solicitaes em um conjunto de servidores. O NLB
particularmente til para garantir que aplicaes sem
monitoramento de estado, como um servidor Web executando IIS,
possam ser escalonadas horizontalmente atravs da adio de
outros servidores conforme ocorre um aumento da carga. O NLB
oferece escalabilidade ao permitir que voc substitua facilmente
um servidor defeituoso ou adicione um novo servidor.
Voc deve ser membro do grupo de Administradores no host que voc
est configurando para usar o NLB, ou deve ter a autoridade
apropriada para isso.
O NLB inclui as seguintes melhorias:
Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas
as comunicaes.
Suporte para NDIS 6.0. O driver NLB foi completamente
reescrito para usar o novo modelo de filtro leve do NDIS 6.0.
O NDIS 6.0 retm compatibilidade reversa com verses
anteriores do NDIS. As melhorias no design do NDIS 6.0
incluem maior escalabilidade, desempenho aprimorado e modelo
de driver NDIS simplificado.
Melhorias no WMI. As melhorias no WMI para o namespace
MicrosoftNLB so para o Ipv6 e para suporte a mltiplos
endereos de IP dedicados.
o As classes no namespace MicrosoftNLB suportam endereo
IPv6 (alm dos endereos IPv4).
o A classe MicrosoftNLB_NodeSetting suporta mltiplos
endereos de IP dedicados ao especific-los em
DedicatedIPAddresses e DedicatedNetMasks.
Funcionalidade aprimorada com o ISA Server. O ISA Server pode
configurar mltiplos endereos de IP dedicados para cada n
NLB em cenrios onde os clientes consistem em trfego IPv4 e
IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar
determinado ISA Server para gerenciar o trfego. O ISA tambm
274
pode fornecer NLB com notificaes de timer e ataque SYN
(estes cenrios geralmente ocorrem quando um computador
sobrecarregado ou infectado por um vrus da Internet).
Suporte para mltiplos endereos dedicados de IP por n. O
NLB suporta totalmente a definio de mais de um endereo
dedicado de IP por n. (Anteriormente, apenas um endereo
dedicado de IP por n era suportado).

275
Seo 9: Windows Server e
Windows Vista - Melhores juntos


276
9.01 Melhores Juntos Windows Server Longhorn e
Windows Vista

Os sistemas operacinais Windows Server
Longhorn e Windows
Vista oferecem vrios recursos novos e aprimorados ao serem
instalados separadamente, alm de benefcios para os negcios.
Contudo, quando os dois sistemas so instalados no mesmo
ambiente, as empresas podem notar benefcios extras, como o
gerenciamento mais eficiente, a maior disponibilidade e
comunicaes mais rpidas.
Originalmente, o desenvolvimento do Windows Server Longhorn e o
Windows Vista era um nico projeto, chamado Longhorn. Os dois
possuem um nmero significativos de tecnologias em comum na
plataforma. Seus sistemas operacionais apresentam diversos
avanos na rede, armazenamento, segurana e gerenciamento. Embora
muitos destes aprimoramentos se apliquem tanto ao Windows Server
Longhorn quanto ao Windows Vista, quando as empresas implantam
os dois sistemas operacionais, percebem que a estrutura cliente-
servidor combinada apresenta ainda mais mais benefcios. As
empresas que implantarem o Windows Vista hoje, percebero
benefcios imediatos, os quais se combinaro aos benefcios
extras com a implantao do Windows Server Longhorn assim que
este estiver disponvel.
Gerenciamento Mais Eficiente
Os profissionais de TI que administram a infraestrutura do
Windows Vista e do Windows Server Longhorn notaro diversos
aprimoramentos na forma de gerenciar e controlar seu ambiente.
A manuteno ser simplificada de maneira significativa
atravs do uso de um modelo nico para autalizaes e
pacotes de servio de clientes e servidores. No futuro, os
administradores de TI podero utilizar um nica atualizao
para o cliente e para o servidor de linguagens e mltiplas
plataformas.
Os computadores do cliente podem monitorar eventos
especficos e os remeter ao Windows Server Longhorn para
obteno de um relatrio e monitoramento centralizados e
vice-versa. A subscrio de eventos permite que os
administradores de TI sejam alertados sobre a ocorrncia de
determinados eventos para dessa forma tomarem medidas
corretivas imediatas. O recurso da subscrio de eventos
tambm permite a transmisso de eventos entre as estaes
de trabalho do Windows Vista sem a presena do Windows
Server Longhorn.
Os Servios de Implantao do Windows
fornecem uma rpida e

confivel instalao do sistema operacional com o uso do
novo Windows Image Format (WIM)e da ferramenta disk-
277
imaging, o ImageX. Os adminsitradores de TI podero
utilizar-se de prticas e tcnicas similares e de
excelncia para a implatao tanto do sistema operacional
do servidor, quando do cliente, utilizando a nova tcnica
de criao de imagens. A instalao com base na imagem
permitir que uma nica imagem seja utilizada em quase
todos os hardware, sem qualquer restrio de localidade. O
fato reduzir a quantidade imagens a serem mantidas na
memria. possvel at mesmo adicionar drivers,
componentes e atualizaes imagens, sem ter que iniciar o
sistema operacional imaged. O componente Servios de
Implantao do Windows
parte do Windows Server Longhorn

e uma atualizao dos Servios de Implantao do Windows
tambm est disponvel para Microsoft
Windows Server 2003

SP2.
Os recursos do Proteo Contra Acesso Rede (NAP) do
Windows Server Longhorn ajudam a assegurar que os
clientes Windows Vista conectados rede, esto obedecendo
s politicas de segurana, e que aqueles que no as esto
seguindo tenham seu acesso limitado. A NAP fornece uma
validao das diretivas de integridade, as limitaes de
acesso a rede, reparo automtico, e aquiescncia
permanente, com os componentes do cliente j construdos
dentro do Windows Vista e os componentes do servidor
integrados dentro do Windows Server Longhorn.
O Internet Information Services 7.0 (IIS7) fornece aos
programadores a habilidade de criar aplicaes da Web novas
e potentes em um desktop com base Windows Vista e ao
concluir, os enviar para o servidor do Windows Server
Longhorn, desde que a mesma verso do IIS7 esteja
operando no cliente e no servidor.
Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da
infra-estrutura do cliente e do servidor esto bastantes
ampliadas por aprimoramentos feitos tanto no Windows Vista quanto
no Windows Server Longhorn.
O Windows Vista pode tornar trabalhos de impresso
acessveis localmente antes de os enviar aos serrvidores de
impresso, para dessa forma reduzir a carga de trabalho do
servidor de impresso, tornando-o mais acessvel. Os dados
so enviados aos servidores de impresso pelo formato de
impresso no processada: EMF. O nvel de disponibilidade
ser maior porque mais processamentos realizado no
cliente. A carga de trabalho da rede de filiais sem um
servidor de impresso local tambm ser reduzida. No
entanto, esta capacidade requer que as impressoras possuam
drivers compatveis. Porm, quando unido a entrega de
tabalhos de impresso do lado do cliente do Windows Server
278
Longhorn, os problemas relacionados a incompatibilidade
dos drivers so reduzidos.
As capacidade de caching do lado do cliente do Windows
Vista esto muito mais acentuadas e trabalham tanto com o
Windows Server Longhorn quanto com verses anteriores do
Windows Server. Os recursos do servidor esto armazenados
(cached) localmente, por isso esto acessveis mesmo no
caso de o servidor no estar acessvel. Alm disso, as
cpias so atualizadas automaticamente quando o servidor e
o clientes so reconectados. Entre os aprimoramentos do
caching do lado-clientes esta a transio de estado
facilitada, o que faz com que no seja necessria
interveno por parte do usurio, pois mudanas realizadas
off-line so sincronizadas no plano de fundo de maneira
silenciosa. Alm disso, um modo de link low (lento) permite
que os pedidos do usurio sejam satisfeitos do cache local,
assim as conexes com o servidor acontecem somente quando
requeridas. Igualmente, Windows Vista utiliza uma
sincronizao rpida e transferncia diferenciadas, assim
somente modificaes modified nos arquivos so transmitidas
entre cliente e servidor, em vez do arquivo inteiro, no
importando o tipo de aplicativo. As capacidades de caching
do lado-cliente do Windows Vista acumulam benefcios extras
quando trabalham com o Windows Server Longhorn devido aos
aprimoramentos de rede subjacente discutidos na
seocomunicao mais rpida .
Os aplicativos ou scripts que precisam operar tanto no
cliente quanto no servidor podem se beneficiar com o
Transactional File System, na reduo do risco de erro
durante as operaes de arquivo e de registro. Alm disso,
poder retornar a um estado conhecido como bom, no caso de
falha ou cancelamento.
possvel criar diretivas que assegurem uma maior
qualidade de servio para certos aplicativos ou servios,
que requeiram atribuio de prioridades da largura de banda
de rede entre clientes e servidor. Atravs do uso da
Diretiva de Grupo os administradores tambm podem
restringir a quantidade de largura de banda que um
aplicativo pode utilizar e determinar valores de code point
de servios diferenciados (DSCP) atravs da implementao
dos padres de indstria de RFCs.
Comunicaes Mais Rpidas
Os clientes Windows Vista que estiverem conectados redes nas
quais o Windows Server Longhorn tenha sido implantado podem
perceber uma enorme melhora na rapidez e na confiabilidade da
comunicao.
A procura por servidores do Windows Server Longhorn a
partir do cliente Windows Vista, torna acessveis aos dois
279
as tecnologias aprimoradas de indexao e de caching,
fornecendo enormes ganhos de desempenho a toda a empresa.
O suporte ao Native IPv6 por todos os clientes e servios
do servidor cria uma rede mais escalonvel e confivel; ao
mesmo tempo, a plataforma de rede de ltima gerao,
somente disponvel na pilha do Windows Vista e do Windows
Server Longhorn, torna a comunicao de rede muito mais
rpida e eficiente. Novas tecnologias como o Receive Side
Scaling e o Receive Window Auto-Tuning permitem uma
comunicao mais rpida quando os clintes Windows Vista
esto realizando o download de arquivos dos arquivos
compartilhados do Windows Server Longhorn .
O novo protocolo do Server Message Block (SMB) 2.0 fornece
vrios aprimoramentos de comunicao, entre eles um melhor
desempenho ao conectar-se com os arquivos compartilhados
atravs de links de latncia alta e maior segurana com o
uso de autenticao conjunta e assinatura de mensagens.
Os Servios de Terminal do Windows Server Longhorn
apresentam muitos aprimoramentos; entre eles, fornecer aos
clientes Windows Vista, o acesso remoto a recursos
internos, atravs de um portal http e aplicativos que
operam como sendo de um desktop local.
Servios de Implantao do Windows
Depois que seus os engenheiros de sistema criarem a plataforma do
cliente, preciso buscar uma forma de implantar o aplicativo em
todos os computadores. Nas verses anteriores do Windows, a
maioria das empresas utilizou a tcnica chamada imaging
(tratamento de imagens), atravs da qual um sistema operacional e
aplicativos so implantados nos computadores como um nico
arquivo. Com o Windows Server Longhorn, todos usaro o imaging,
mesmo se voc decidir instal-los um de cada vez, indo at cada
computador com CD-ROM na mo. No entanto, voc no vai precisar
fazer isto porque o Windows Server Longhorn torna fceis as
implantaes automticas e as migrations.
Primeiro, o Windows Imaging Format facilita a tarefa de criao
de imagens se comparada a ferramentas de outras empresas de TI
que voc tenha utilizado no passado. Ser possvel utilizar uma
nica imagem em praticamente todos os hardwares sem qualquer
restrio local. Com isso, no ser necessrio manter tantas
imagens, o que implicar em um enorme ganho de tempo. Voc poder
inclusive adicionar drivers, componentes e atualizaes s
imagens sem iniciar o sistema operacional imaged, isto far com
que voc poupe horas a cada atualizao.
Proteo contra Acesso Rede
O Windows Vista inclui o agente NAP (Network Access Protection),
o qual oferece informaes sobre o estado de integridade de um
cliente e configuraes de acesso rede de servidores ou ponto a
280
ponto. Os clientes que no possuam atualizaes de segurana ou
assinaturas de vrus atuais; ou ainda, aqueles que falham com o
cumprimento dos requisitos de integridade do mandato corporativo,
tero o acesso rede restrito, at que possam ser reconfigurados
e atualizados de acordo com os requisitos. A infra-estrutura
NAP, presente Windows Server Longhorn, estabelece a concesso
do acesso rede privada ou rede restrita ao cliente, com base
na aquiescncia deste s diretivas de integridade estabelecidas.
Uma vez na rede restrita, o cliente pode ter concedido o acesso a
servios de reparao para conseguir patches (correes),
assinaturas de anti-vrus entre outras aes necessrias para a
observncia aos requisitos das diretivas de integridade. A NAP
tambm pode ser usada para proteger a sua rede contra o acesso
remoto de clientes insalubres, bem como clientes de LAN
insalubres, atravs do uso de conexes com ou sem fio 802.1X
autenticadas.
Qualidade do Servio baseada em Diretivas
A QoS baseada em diretivas, dos sistemas operacionais do Windows
Vista e do Windows Server Longhorn, diminui o congestionamento
da rede permitindo o gerenciamento central da largura de banda
host. Por exemplo, caso seja concedida alta prioridade ao trfego
de um aplicativo ERP para filial sobre o link WAN; ento, um
gerente de vendas da filial, ao acessar ou introduzir dados do
ERP, pode obter benefcios de um tempo de resposta
invariavelmente rpido, mesmo quando o link WAN estiver carregado
com outros trfegos.
Historicamente, o trfego de rede no tem sido fcil de priorizar
e gerenciar. O trfego sensvel a latncia e o trfego de tarefa
crtica, tiveram que competir por uma largura de banda com
trfego de prioridade baixa e tolerante a latncia, como por
exemplo, a transferncia de dados em massa. Ao mesmo tempo,
usurios e computadores com necessidades de desempenho de rede
especficos, exigiram nveis de servio diferenciados. Assim,o
desafio de fornecer nveis de desempenho de rede previsveis,
apareceram primerio, com frequncia, nas conexes WAN ou nos
aplicativos sensveis a latncia, como Voz sobre IP (VoIP) e o
vdeo. Contudo, o objetivo de fornecer nveis de servio de rede
previsveis se aplica a qualquer ambiente de rede e vai alm dos
aplicativos VOIP: inclui qualquer aplicativo tradicional de linha
de negcios. Com o QoS baseada em diretivas, o departamento de TI
pode definir diretivas de QoS flexveis para priorizar ou
controlar o trfego de sada de rede sem que seja necessrio
efetuar modificaes nos aplicativos. Estas diretivas de QoS se
aplicam ao trfego de sada com base em algum ou todos os
seguintes triggers (sinais): o envio de aplicativos, a
implantao atravs de Diretivas de Grupo (como por exemplo, um
grupo de usurios ou computadores), endereos de IP da fonte ou
destino, porta da fonte ou destino e protocolo.

281
SMB 2.0
O SMB (Server Message Block), tambm conhecido como Sistema de
Arquivo de Internet (CIFS), trata-se de um protocolo de
compartilhamento de arquivos, utilizado por padro em
computadores com base Windows. No Windows Vista, o SMB suporta a
nova verso SMB 2.0, a qual foi recriada para os ambientes de
rede atuais e as necessidades dos servidores de arquivo de ltima
gerao. O SMB 2.0 apresenta aprimoramentos que reduzem o nmero
de pacotes necessrios para os comandos SMB e permitem maiores
buffers e mais arquivos abertos a escalabilidade. Os computadores
que operam o Windows Vista suportam tanto o SMB 1.0 (para verses
anteriores do Windows) como os SMB 2.0 (para Windows Vista e
Windows Server Longhorn).
Acesso Remoto Simplificado
O Recurso de Conexo Remota com o Windows Vista facilita o acesso
remoto a qualquer recurso ou aplicativo que tenha sido
disponibilizado voc por sua emprsa. Por exemplo, se voc for
um vendedor necessitando realizar um acesso remoto a um
aplicativo financeiro ou a um aplicativo CRM, o Windows Vista
possibilita ao gerente de TI corporativo colocar um cone para
este aplicativo no seu desktop. Dessa forma, basta clicar no
cone para que uma conexo automtica ao Programa Remoto de
Servios do Terminal seja feita empresa pela internet e ao
Servidor Terminal do Windows Server Longhorn, , sem a
necessidade de uma rede privada virtual (VPN).
O Gateway de Servios do Terminal do Windows Server Longhorn
fornece recursos extras para os computadores domsticos
utilizados no acesso redes corporativas. Se voc acessar do
computador da sua casa, basta entrar no Website da empresa
atravs da internet e em seguida clicar nos links que o levaro
aos recursos corporativos que voc necessita.
Recuperao e Soluo de Problemas
Todo o operador de centro de suporte j foi, em algum momento,
obrigado a terminar seu trabalho bem mais tarde do que de
costume, devida a problemas com o computador de um executivo, os
quais precisavam ser solucionados naquele mesmo dia. O Windows
Server Longhorn no tornar os executivos menos exigentes, mas
o auxiliar a resolver os problemas de maneira mais rpida ou at
mesmo os resolver antes que o assistente do executivo pea sua
assistncia.
Os arquivos de ajuda do Windows Server Longhorn so muito mais
aproveitveis e quase todos os usurios podero entend-los,
inclusive os executivos. possvel adicionar seu prprio
contedo ao Centro de Suporte e Ajuda, assim os usurios podem
ser assistidos por recursos da rede interna, bem como aplicativos
tradicionais. As ferramentas de resoluo de problemas podem ser
personalizadas e voc poder escalar os problemas no
282
solucionados direto do seu centro de suporte interno. As
mensagens de erro do Windows Server Longhorn so muito mais
significativas do que as de verses anteriores do Windows e
auxiliaro os usurios a resolver problemas por conta prpria, em
vez de pedir a eles que o chamem.
O Windows Server Longhorn foi criado para solucionar de maneira
automtica alguns dos problemas mais srios. Por exemplo, caso os
arquivos do sistema se corrompam, o Windows XP pode simplesmente
se recusar a proceder a inicializao. No entanto, o Windows
Server Longhorn, poder ir automaticamente para um
compartimento de recuperao. Em seguida, o Windows Server
Longhorn oferece ao usurios o Startup Repair StR), uma
recuperao no modo passo a passo, para a soluo de problemas
com base em diagnsticos. O StR analisa as conexes startup para
determinar a causa da falha, resolvendo muitas delas
automaticamente. Caso o StR no consiga resolver o problema, uma
administrador pode optar por fazer com que o sistema retorne a
seu ltimo estado operante. Se o StR no for capaz de recuperar o
sistema, ele fornecer ao usurio informaes para o diagnstico,
bem como opes de suporte para facilitar a resoluo de
problemas.

283
Seo 10: Diversos


284
10.01 Requisitos do Sistema

Requisitos do Sistema para o Windows Server
Longhorn Beta 3
Processador
Mnimo: 1 GHz
Recomendado: 2 GHz
Ideal: 3 GHz ou mais rpido
Memoria
Mnimo: 512 MB RAM
Recomendado: 1 GB RAM
Ideal: 2 GB RAM (Instalao Completa) ou 1 GB RAM
(Instalao no Ncleo do Servidor) ou mais
Mximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM
(sistemas 64 bits)
Espao Disponvel no Disco
Mnimo: 8 GB
Recomendado: 40 GB (Instalao Completa) ou 10 GB
(Instalao no Ncleo do Servidor) ou mais
Observe que
Os computadores com mais de 16 GB de RAM necessitaro de
mais espao no disco para paginao, hibernao e despejo
de memria.
Unidade de DVD-ROM
Super VGA
monitor com 800x600 pixels ou superior
Teclado
Teclado Microsoft ou compatvel
Mouse
Mouse Microsoft uu dispositivo apontador compatvel
* Os requisitos atuais variaro de acordo com a configurao do
seu sistema, bem como os aplicativos que voc optou por instalar.
Talvez mais espao disponvel no disco rgido seja necessrio
caso voc esteja instalando em uma rede. Obtenha mais informaes
no site http://www.microsoft.com/brasil/windowsserver/longhorn.
Observe que
Este produto requer uma chave do produto vlida para sua
ativao. possvel instalar o produto sem ativao; porm, se
285
voc no ativar o protudo com uma chave do produto vlida 30 dias
aps a instalao, o software deixar de funcionar. Durante a
instalao, voc dever selecionar qual a edio do Windows
Server Longhorn Beta 3 deseja instalar. Tenha certeza de
escolher a mesma edio do Windows Server Longhorn Beta 3 da
chave do produto que voc possui, caso contrrio, voc no
conseguir ativ-lo.
Instalao Completa Versus Instalao no Ncleo do Servidor
Algumas edies do Windows Server Longhorn Beta 3 podem ser
configuradas como instalao complete ou utilizando a nova opo
de instalao no Ncleo do Servidor. As instalaes feitas no
Ncleo do Servidor podem ser administradas localmente, apenas com
as ferramentas da linha de comando. A administrao das
instalaes da Base do Servidor, utilizando as ferramentas de
gerenciamento grfico, devem ser efetuadas distncia, com o uso
de um software que suporte a administrao remota do Windows
Server Longhorn Beta 3. Repare que uma vez que a instalao
complete tenha sido feita, no ser possvel modificar a opo de
instalao de Base do Servidor para Completa, ou vice-versa, sem
reinstalar o software.

.

286
10.02 Tabela Detalhada de Contedo

Sobre o documento ...............................................1
Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.02 Maior Controle ...............................................8
1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
Seo 3: Acesso Centralizado a Aplicaes 34
Seo 4: Escritrios Remotos 83
Seo 5: Aplicao de Diretivas e Segurana 100
Seo 6: Plataforma de Aplicaes e da Web 199
Seo 7: Gerenciamento de Servidores 219
287
7.03 Server Manager ............................................224
Seo 8: Alta Disponibilidade 266
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
Seo 10: Diversos 283

Guiawindowsserver2008pdf 130402091435 Phpapp02 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guiawindowsserver2008pdf 130402091435 Phpapp02 PDF

Uploaded by

Copyright:

Available Formats

Guia do Revisor do Windows Server Longhorn Beta 3

Guia do Revisor do Windows Server Longhorn Beta 3

Longhorn, a Microsoft ajuda voc a

Windows Server Longhorn, com tecnologia de

Server Manager) e Windows PowerShell

, e at mesmo configuraes de gerenciamento de

Virtual Server 2005 R2 hospedado no sistema

2000 Server) e suas aplicaes

. Esse nvel de integrao permite administrao

, clientes finos baseados em

Longhorn, os Servios de Terminal incluem

Point of Service para dispositivos Microsoft .NET

Player 11, temas de rea de trabalho,

, ou grupos gerenciados novos ou

separado para acessar o TS Web Access. Em vez disso,

Longhorn for instalado.

Windows Server 2003 ou superior.

como Replicao do Sistema de

Longhorn com Windows Vista, Windows

do Windows Vista e do Windows Server Longhorne sua

podem ser gerenciados pelos usurios e

Services 2007 tira o mximo proveito das

Longhorn for implantando no host e

2005, que usa o

para construir os mdulos

e os mdulos de recursos em separado, possvel adicionar,

Services 9 Series uma plataforma de

). O mesmo ambiente integrado do Servidor

Player, temas de rea de trabalho e

Windows Server Longhorn, as melhorias dos clusters

fornecem uma rpida e

parte do Windows Server Longhorn

Windows Server 2003

You might also like