Guia do Revisor do Windows Server “Longhorn” Beta 3

Sobre o documento
ESTE DOCUMENTO NÃO É UMA ESPECIFICAÇÃO DE PRODUTO.

Este documento suporta a versão Beta 3 do Windows Server® “Longhorn.” As informações contidas no mesmo representam a visão atual da Microsoft Corporation sobre os assuntos discutidos até a data da publicação. A Microsoft deve reagir às constantes alterações nas condições do mercado, e sendo assim este documento não deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação aqui. Este documento tem propósito exclusivamente informativo. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU REGULAMENTARES ACERCA DAS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. As informações contidas neste documento, incluindo URL e outras referências a sites da Internet, estão sujeitas a alterações a qualquer momento. Salvo disposição em contrário, os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de e-mail, logotipos, pessoas, lugares e eventos aqui descritos são fictícios e não têm relação alguma com qualquer empresa, organização, produto, nome de domínio, endereço de e-mail, logotipo, pessoa, lugar ou evento real. É de responsabilidade do usuário o respeito a toda a legislação de copyright aplicável. A Microsoft concede o direito de reprodução deste guia, no todo ou em parte. A Microsoft pode deter as patentes, as solicitações de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licença escrito da Microsoft, o fornecimento deste documento não confere a você qualquer licença em relação a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais. © 2007 Microsoft Corp. Todos os direitos reservados. Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN são marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietários.

Guia do Revisor do Windows Server “Longhorn” Beta 3

O guia dos revisores do Windows Server® “Longhorn” Beta 3 fornece uma visão geral técnica abrangente dos recursos e funções inovadores que tornam o Windows Server “Longhorn” um sistema operacional de última geração e o sucessor do Microsoft Windows Server 2003. Este guia também fornece informações sobre os benefícios que o Windows Server “Longhorn” oferece a diversos usuários, bem como informações sobre cenários variados.

Conteúdo
Sobre o documento ...............................................1 Conteúdo ......................................................1
Seção 1: Introdução ao Windows Server “Longhorn” 3

1.01 Introdução ao Windows Server “Longhorn”...........................4 1.02 Maior Controle ...............................................8 1.03 Mais Flexibilidade ............................................11 1.04 Maior Proteção..............................................14
Seção 2: Virtualização do Servidor 18

2.01 Introdução à Virtualização de Servidor .............................19 2.02 Virtualização do Windows Server.................................20 2.03 Núcleo do Servidor ...........................................33
Seção 3: Acesso Centralizado a Aplicações 34

3.01 Introdução ao Acesso Centralizado a Aplicações .....................35 3.02 Funcionalidade Básica de Serviços de Terminal ......................36 3.03 Gateway de Serviços de Terminal ................................53 3.04 RemoteApp de Serviços de Terminal ..............................62 3.05 Acesso a Web de Serviços de Terminal ............................65 3.06 Impressão de Serviços de Terminal ...............................69 3.07 Session Broker de Serviços de Terminal ...........................73 3.08 Licenciamento de Serviços de Terminal ............................76 3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seção 4: Escritórios Remotos 83

4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84 4.02 Controlador de Domínio Somente Leitura...........................85 4.03 Criptografia de Unidade de Disco BitLocker .........................91 4.04 Núcleo do Servidor ...........................................99
Seção 5: Aplicação de Diretivas e Segurança 100

5.01 Introdução à Aplicação de Diretivas e Segurança ....................101 5.02 Serviços de Acesso e Diretiva de Rede ...........................103 5.03 Proteção contra Acesso à Rede ................................110 5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120 5.05 Firewall do Windows com Segurança Avançada .....................129 5.06 Cryptography Next Generation .................................136 5.07 Serviços de Certificado do Active Directory ........................139 5.08 Serviços de Domínio do Active Directory ..........................160 5.09 Serviços Federados do Active Directory ...........................181 5.10 Active Directory Lightweight Directory Services .....................189 5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192
Seção 6: Plataforma de Aplicações e da Web 199

6.01 Introdução à Plataforma de Aplicações e da Web ....................200 6.02 Internet Information Services 7.0 ................................201 6.03 Windows Media Services .....................................208 6.04 Servidor de Aplicação ........................................212 6.05 NTFS Transacional..........................................217
Seção 7: Gerenciamento de Servidores 219

7.01 Introdução ao Gerenciamento de Servidores .......................220 7.02 Tarefas de Configuração Inicial .................................222

7.03 Server Manager ............................................224 7.04 Windows PowerShell ........................................240 7.05 Núcleo do Servidor ..........................................242 7.07 Backup do Windows Server....................................248 7.08 Monitor de Confiabilidade e Desempenho do Windows ................251 7.09 Serviços de Implantação do Windows ............................254
Seção 8: Alta Disponibilidade 266

8.01 Introdução à Alta Disponibilidade................................267 8.02 Clustering Failover ..........................................268 8.03 Balanceamento de Carga de Rede ..............................273
Seção 9: Windows Server e Windows Vista - Melhores juntos 275

9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276
Seção 10: Diversos 283

10.01 Requisitos do Sistema ......................................284 10.02 Tabela Detalhada de Conteúdo ................................286

..02 Maior Controle ...3 Seção 1: Introdução ao Windows Server “Longhorn” 1...14 Guia do Revisor do Windows Server “Longhorn” Beta 3 ..........................................11 1...01 Introdução ao Windows Server “Longhorn”.........8 1.................................03 Mais Flexibilidade ...............................................04 Maior Proteção.............4 1..............

” a Microsoft ajuda você a melhorar os níveis de serviço a um custo mais baixo. Oferecendo uma plataforma produtiva para impulsionar redes de aplicações.4 1. Das muitas opções disponíveis para empresas. Como parte do auxílio às pessoas alcançarem o sucesso comercial.” com tecnologia de virtualização de última geração disponível. desenvolver a empresa com soluções de TI. e aumentar seu impacto. Amplie seu impacto e você criará um sucesso maior. O Microsoft® Windows Server “Longhorn. e lhe dá recursos para proteger melhor a plataforma de TI em que sua organização se apóia. Quanto melhor capacitarmos seu pessoal a ser produtivo e capaz.01 Introdução ao Windows Server “Longhorn” O Microsoft Windows Server “Longhorn” Fornece Maior Controle. permite que construa e opere uma plataforma flexível para atender as exigências comerciais sempre em mudança. podem superar até mesmo os desafios comerciais mais complexos. proteger informações e controlar o acesso. tornando-as disponíveis para a sua organização quando precisa delas. serviços de Web e Virtualização como o Windows Server® “Longhorn. O Windows Server “Longhorn” possibilita um maior sucesso comercial oferecendo uma plataforma que suporta soluções e aplicações críticas. quando equipadas adequadamente com as ferramentas corretas. Na Microsoft acreditamos que as pessoas. o software demonstrou uma capacidade única de amplificar o impacto positivo das pessoas. A infra-estrutura de TI é um ativo estratégico e a fundação crítica sobre a qual o software pode fornecer serviços e aplicações de usuários de que uma empresa precisa para operar de maneira eficiente e ter sucesso. mais podemos ajudar você e as pessoas em sua organização a alcançar o sucesso comercial hoje e na direção do futuro. permite que você Guia do Revisor do Windows Server “Longhorn” Beta 3 . Mais Flexibilidade e Proteção Aperfeiçoada para Sua Infra-Estrutura de Servidor Ajudando Você a Otimizar Tempo e Custos As pessoas buscam resultados comerciais. ajudando-as a superar desafios de gerenciamento de empresas e a contribuir de maneira mais eficiente para o resultado final. a Microsoft está buscando ajudá-las a gerenciar a complexidade e alcançar agilidade.

isso fica evidente em como o servidor é configurado e gerenciado por função através do utilitário Gerenciador de Windows Server. Quando os clientes consideram um servidor.Read Only Domain Controller) fortalecem o sistema operacional e ajudam a proteger seu ambiente de servidor para lhe proporcionar uma fundação sólida sobre a qual construir seus negócios. Guia do Revisor do Windows Server “Longhorn” Beta 3 . embora possa ser um servidor de múltiplos propósitos hospedando mais de uma função.5 aumente a flexibilidade sua infra-estrutura de servidores ao mesmo tempo em que o ajuda a poupar tempo. tentem a pensar nele como se ocupasse uma função específica em sua infra-estrutura.Network Access Protection) e o Controlador de Domínio de Somente Leitura (RODC . Poderosas novas ferramentas como o Gerenciador de Windows® Server (Windows® Server Manager) e Windows PowerShell permitem mais controle sobre seus servidores e dinamização de configuração e tarefas de gerenciamento para que você possa passar menos tempo em tarefas cotidianas e mais tempo proporcionando mais valor para sua organização. Melhorias avançadas de segurança e confiabilidade como a Proteção contra Acesso à Rede (NAP . e oferecer uma plataforma para um centro de dados dinâmico e otimizado. A figura a seguir descreve os três pilares do Windows Server “Longhorn”: Introdução aos Cenários O Windows Server “Longhorn” é o lançamento de servidor Microsoft mais focado no cliente de todos os tempos. reduzir custos.

6 Além disso. os profissionais de TI irão se referir tipicamente a um “servidor de impressão”. De qualquer maneira. Cargas de trabalho tipicamente empregam múltiplos servidores executando diferentes funções para fornecer uma solução geral para um dado cenário. mas todos eles contribuem pra uma carga de trabalho ou cenário de nível mais alto de “Gerenciamento de Identidade e Acesso”. Por exemplo. “servidor de Web” ou “controlador de domínio”. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Vamos nos concentrar em sete principais cenários de produto que suportam os pilares de proposta de valor para o Windows Server “Longhorn. Também fizemos uma série de melhorias no Windows Server “Longhorn” que podem dar valor a implantações em escritórios remotos. Serviços de Certificado do Active Directory (Active Directory Certificate Services) e Serviços de Federação do Active Directory (Active Directory Federation Services) podem executar funções distintas.” Para cada pilar temos dois cenários que mapeiam aproximadamente as cargas de trabalho de servidor reconhecidas. no caso da função de Virtualização de Servidor. “servidor de arquivos”. descrevendo aquele servidor por sua função primária. ele também realizará parte ou toda uma “carga de trabalho”. servidores executando os Serviços de Domínio do Active Directory® (Active Directory® Domain Services). provavelmente escolherão certos cenários e cargas de trabalho em que sintam que o produto proporciona maior valor ou facilidade de implementação com mínima interrupção de sua infra-estrutura existente. Por essa razão. ou contribuirá para o “cenário” de uma empresa. consideramos o Windows Server “Longhorn” como será implantado pelos clientes em cenários específicos. pode ser uma plataforma sobre a qual executar múltiplos servidores em que cada qual possui funções diferentes. Quando os clientes implantarem o Windows Server “Longhorn”. Da mesma forma que um servidor é implantado em uma função específica.

7 A figura a seguir descreve os sete cenários do Windows Server “Longhorn”: Guia do Revisor do Windows Server “Longhorn” Beta 3 .

Muitas tarefas cotidianas tomam muito tempo. Conforme quisemos fazer mais. A infra-estrutura cresceu pela necessidade. Eu não deveria ter de comprar aplicações de terceiros para fazer o gerenciamento básico de sistemas. Quero utilizar o TI para me tornar mais eficiente e ver a TI como um ativo estratégico para a empresa. Posso ser alertado para um problema com um servidor.02 Maior Controle Passe Menos Tempo em Tarefas Cotidianas O Windows Server “Longhorn” permite que você tenha mais controle sobre sua infra-estrutura de servidor e de rede. precisamos adicionar mais – e gerenciar mais.8 1. mas o alerta não dá informações suficientes para eu entender e solucionar a falha. Quero automatizar o máximo possível de meu gerenciamento. Preciso reduzir custos e complexidade. Os clientes precisam de melhor controle e gerenciamento em sua infraestrutura de servidor. permitindo que se concentrem em suas necessidades comerciais mais críticas. O sistema operacional do servidor deve ter ferramentas de gerenciamento melhores. As questões dos clientes incluem as seguintes: • • • Quero saber de problemas e corrigi-los antes que meus usuários sejam afetados. • • • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 .

um novo shell de linha de comando com mais de 130 ferramentas e uma linguagem de script integrada. Servidor de Arquivos e Impressão) que inclui uma interface gráfica de usuário ou recursos e serviços não-relacionados. • Dinamize a instalação e gerenciamento do Windows Server “Longhorn” instalando apenas as funções e recursos de que precisa. tanto físico como virtual. proporcionando um servidor altamente disponível que requer menos atualizações e menos manutenção. inclusive o Framework de Diagnóstico de Rede (Network Diagnostic Framework). reduzindo os custos de implantação e gerenciamento do Windows Server. O Windows PowerShell. • Console integrado de desempenho e confiabilidade oferece diagnósticos incorporados para ajudar a evitar e reduzir o impacto de falhas. e simplifica o gerenciamento em andamento de funções de servidor através de um console unificado de gerenciamento. O Núcleo do Servidor Windows (Windows Server Core) é uma nova opção de instalação para funções selecionadas (Virtualização do Windows Server. • A Instalação Baseada em Função instala somente os componentes de que você precisa para uma determinada função. • O Gerenciador de Windows Server acelera a instalação e configuração de servidor. especialmente ao longo de múltiplos servidores. DNS. assim como a capacidade de automatizar tarefas de rotina. Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . • Identifique com precisão e resolva pontos de problemas com poderosas ferramentas de diagnóstico que lhe dão visibilidade contínua do ambiente de seu servidor. Pacotes de Gerenciamento para cada função de servidor fornecem integração aprimorada com o Gerenciador de Operações do Microsoft System Center (Microsoft System Center Operations Manager). DHCP. WINS. Active Directory. Visualizar Eventos (Event Viewer) mais rico proporciona uma percepção mais profunda para o administrador que ajuda a resolver problemas antes que afetem os usuários. A personalização da configuração do servidor simplifica a manutenção permanente minimizando a área da superfície de ataque e reduzindo a necessidade de atualizações de software.9 Simplifique o gerenciamento de sua infra-estrutura de TI usando novas ferramentas que proporcionam uma interface concentrada para configuração e monitoramento de servidor. simplificando a configuração e manutenção do sistema operacional. Modo de Aplicação do Active Directory (Active Directory Application Mode). permite que os administradores controle mais facilmente e automatizem mais seguramente tarefas rotineiras de administração de sistemas.

impressoras. aprimoramentos de segurança. Replicação de Sistema de Arquivos Distribuído. você pode fornecer aos usuários um melhor serviço ao mesmo tempo em que reduz as dores de cabeça do gerenciamento. O Microsoft BitLocker™ permite que você exerça controle adicional sobre os dados em um disco rígido de servidor em locais remotos menos seguros. maior controle entre sites. e até mesmo configurações de gerenciamento de energia usando a Diretiva de Grupo. • • Priorização de tráfego de WAN entre clientes do Windows Vista™ e servidores do Windows Server “Longhorn” Otimização de tráfego de WAN e auto-ajuste de rede para replicação de SysVol.0. A administração delegada de aplicações e sites permite que você dê controle de diferentes partes do servidor de Web àqueles que precisam dele. Essa plataforma modular oferece uma interface de gerenciamento simplificada. • Aumente o controle sobre suas configurações de usuário com Diretiva de Grupo Expandida: Administradores podem poupar tempo e dinheiro configurando configurações de rede por ou sem fio. Cópias entre sites permitem que você copie facilmente configurações de Websites ao longo de múltiplos servidores de Web sem configuração adicional.10 Aumente o controle sobre servidores situados em locais distantes. como o escritório remoto. que é uma poderosa plataforma de Web para aplicações e serviços. Microsoft Internet Explorer®. que poderia estar sujeita a corrupção ou exposta a riscos. O Gerenciamento Centralizado de Impressora permite que você controle todas as impressoras a partir de um único local e passe menos tempo gerenciando impressoras remotas. • • • Simplifique o gerenciamento de servidores de Web com o Internet Information Services 7. Com administração de servidor e replicação de dados otimizados. de dispositivos de armazenamento removíveis. e outros protocolos como SMB O Controlador de Domínio de Somente Leitura permite que você forneça autenticação local para usuários de escritório remoto sem implantar uma cópia completa e gravável do banco de dados do Active Directory database. Guia do Revisor do Windows Server “Longhorn” Beta 3 . e gerenciamento integrado de integridade para Web Services. • • A interface baseada em tarefa simplifica tarefas comuns de gerenciamento de servidor de Web. baseada em tarefa.

11 1. deveria ser mais fácil implantar e gerenciar atualizações de servidor. É difícil demais implantar novas tecnologias com meus sistemas existentes. Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • • • • • • . e consomem muito tempo e esforço. Preciso adicionar recursos dinamicamente a máquinas virtuais para satisfazer cargas aumentadas. Preciso mover dinamicamente máquinas virtuais para outra máquina com mais capacidade. Atualizar o sistema operacional de meu servidor é demorado e perturbador. A implantação e manutenção de sistemas são caras. Não tenho flexibilidade suficiente com as ferramentas em meu sistema operacional para solucionar novos problemas. As questões dos clientes incluem as seguintes: • Preciso usar meus servidores atuais de maneira mais eficiente.03 Mais Flexibilidade Reaja Rapidamente às Necessidades de Sua Empresa As companhias precisam que sua infra-estrutura se adapte às necessidades de seus negócios para permanecerem ágeis. Preciso consolidar e virtualizar meus servidores e aplicações. Plataformas de legado que exigem muita mão-de-obra levam a aumentos nos custos de administração e suporte. então não preciso comprar hardware adicional sempre que adiciono uma aplicação ou serviço.

A integração com o Gerenciador de Máquina Virtual do System Center permite um rápido aprovisionamento de máquinas virtuais e um único conjunto de ferramentas integradas para gerenciar seus recursos físicos e virtuais. • Plataforma dinâmica. Linux e convidados Linux ativados para Xen na plataforma de Virtualização do Windows Server.virtual private network) — assim você pode reagir rapidamente às necessidades de seus usuários. Amplo suporte da indústria. independentemente de onde se localizem. A Virtualização do Windows Server proporciona grande confiabilidade. • A Virtualização do Windows Server é uma virtualização de última geração baseada integrada com o sistema operacional que adicione dinamicamente recursos físicos plataforma de em monitor permite que você e virtuais. independentemente da localização. agora é mais fácil que nunca tirar proveito de todos os benefícios e economias de custos da virtualização. Gerenciamento integrado. A Microsoft e seu ecossistema de parceiros fornecem amplo suporte que permite a você implantar aplicações na plataforma de virtualização da Microsoft com confiança e paz de espírito. além de utilizar o conhecimento individual e coletivo existentes sobre o Windows Server e conjuntos de habilidades da comunidade profissional da TI. Virtualize múltiplos sistemas operacionais — Windows. • Programas Remotos de Serviços de Terminal permitem um acesso remoto sem interrupções e publicação de aplicações para implantação simples e rápida de aplicações e gerenciamento centralizado. avançada escalabilidade. • Escolha a partir de novas opções de implantação para proporcionar o método mais adequado para seu ambiente. Suporte abrangente.12 • Novas implantações precisam se integrar com meu ambiente existente do Windows Server e outros sistemas. e recursos dinâmicos que permitem que você virtualize a maioria das cargas de trabalho em sua infra-estrutura. Linux e outros – em um único servidor. Com a virtualização incorporada no sistema operacional e com diretivas de licenciamento mais simples e flexíveis. Guia do Revisor do Windows Server “Longhorn” Beta 3 . A Microsoft fornece suporte 24x7 para Windows Server. • • • Centralize o acesso a aplicações e proporcione integração sem interrupções de aplicações publicadas remotamente. O Gateway de Serviços de Terminal permite o acesso remoto a aplicações sem o uso de uma VPN para que os usuários possam acessar facilmente as aplicações quando precisam delas. As melhorias também somam a capacidade de conectar-se a aplicações remotas através de firewalls e sem o uso de uma rede virtual privada (VPN .

• • • Assegure a interoperabilidade com o ambiente existente. facilitando construir e consumir serviços de Web de segurança aperfeiçoada. Um único modelo mundial de manutenção simplifica a manutenção contínua de clientes e servidores. As comunidades técnicas enriquecem a experiência do Windows Server proporcionando experiência no tema e opiniões através de blogs. ao mesmo tempo em que explora toda a capacidade do computador. grupos de usuários. eventos. v-labs.13 • Os Serviços de Implantação do Windows (Windows Deployment Services) oferece instalação e implantação baseados em imagem que simplifica a implantação de cliente e servidor e gerenciamento contínuo de imagem. precisas e relevantes através de seu site. A profunda integração do Internet Information Services 7 e do ASP. • O componente Windows Communication Foundation (WCF) oferece um framework unificado para a construção rápida de aplicações orientadas ao serviço. O componente Windows Presentation Foundation (WPF) fornece um framework unificado para construir aplicações e experiências de alta fidelidade no Windows que combina interface de usuário. permitindo que eles visualizem. compartilhem e ajam com as informações. e uma experiência de diagnósticos e solução de problemas vastamente aperfeiçoada. fóruns e eventos. boletins informativos. O componente Windows Workflow Foundation (WF) permite a desenvolvedores oferecer transparência ao modelo e suportar o fluxo de trabalho do sistema e humano. Webcasts. • Guia do Revisor do Windows Server “Longhorn” Beta 3 . • Construa aplicações flexíveis e abrangentes que conectam usuários e seus dados.NET resulta em um único sistema unificado de configuração. dados e conteúdo de mídia das aplicações. um tempo de execução de processamento de solicitação e modo de extensibilidade integrados. confiáveis e transacionados. assinaturas e outras ofertas. Potencialize a robusta e vibrante comunidade técnica através do ciclo de vida do produto. • O programa Microsoft TechNet oferece informações técnicas oportunas.

Sarbanes-Oxley).04 Maior Proteção Fortalece o Sistema Operacional e Protege Seu Ambiente As empresas precisam de uma plataforma de servidor com que possam contar ao mesmo tempo em que ofereça máxima segurança e proteção para seus usuários. Os clientes precisam reduzir quaisquer interrupções que tenham impacto direto sobre a produtividade do TI e do usuário final.14 1. Aplicar atualizações de segurança constantemente é demorado e incômodo. As questões levantadas pelos clientes incluem: • Quando os funcionários. • • • • • • • Proteja seu servidor: O Windows Server “Longhorn” oferece inovações de segurança que reduzem a área da superfície de ataque Guia do Revisor do Windows Server “Longhorn” Beta 3 . É desafiador gerenciar a segurança do sistema e informações de identidade dos usuários em sistemas corporativos. fornecedores e fabricantes trazem dispositivos móveis ao meu escritório. não posso garantir que minha rede permanecerá segura. Não tento manutenção de sistemas durante o expediente porque fazer isso pode provocar uma interrupção do serviço e não quero perturbar a produtividade de meus usuários. Proteger sistemas é complexo e difícil de gerenciar. Quero integrar redundância e recuperação de desastres em meus serviços de TI. O Windows Server não é tão seguro quanto os outros sistemas operacionais. Preciso assegurar conformidade com normas de controle (HIPAA.

O Servidor de Diretiva de Rede (Network Policy Server) atua como um servidor de diretiva de integridade de rede para Proteção contra Acesso à Rede (NAP . permitindo que você tenha uma rede orientada por diretiva. Ajude a evitar que dispositivos não saudáveis acessem recursos corporativos e solicite acesso a recursos de domínio a partir de PCs gerenciados. • Crie regras e diretivas inteligentes para melhorar o controle de acesso e proteção sobre funções de rede. O Isolamento de servidor e domínio. e para torná-los disponíveis quando falhas de hardware acontecerem. • O Windows Service Hardening ajuda a manter os sistemas mais seguros evitando que serviços Windows críticos sejam usados por atividade anormal no sistema de arquivos. autenticação de conexão centralizada.network access protection). desempenho. e controle de vários tipos de acessos de rede. permite uma implementação eficaz em termos de custo de autenticação de extremidade para segmentar dinamicamente um ambiente Windows em redes lógicas isoladas mais seguras com base em diretiva em vez de topologia de rede. com base em computador ou grupos de usuários do Active Directory. • O gerenciamento centralizado de firewall e IPsec reduz conflitos e overhead de coordenação entre tecnologias através da combinação de criação e manutenção de diretiva para filtragem de tráfego e segurança de conexão. Regras inteligentes de firewall podem especificar requisitos como autenticação e criptografia. Seguro na instalação significa que o sistema operacional é completamente bloqueado e pronto para usar.15 do kernel. baseado no Windows IPsec e Active Directory. autenticação. Guia do Revisor do Windows Server “Longhorn” Beta 3 . • A Proteção contra Acesso à Rede permite validação de diretiva. correções e conformidade contínua para o acesso de usuários a recursos de rede. resultando em um ambiente de servidor mais seguro e robusto. restrição de rede. incluindo conexões sem fio e de VPN. • Proteja o acesso a sua rede: A Proteção contra Acesso à Rede (Network Access Protection) lhe dá o poder de isolar computadores que não obedeçam às diretivas de segurança que você estabelece. A capacidade de impor requisitos de segurança é um meio poderoso de proteger sua rede. registro ou rede. • • • Proteja seus dados: O Windows Server inclui proteções adicionais para seus dados para ajudar a garantir que só possam ser acessados por usuários com o contexto de segurança correto.

• O Controle de Conta de Usuário aumenta a segurança exigindo confirmação manual de muitas funções administrativas para proteger contra softwares mal-intencionados que possam tentar obter ou usar privilégios administrativos. para ajudar a evitar que propriedade intelectual corporativa ou dados sigilosos sejam expostos ou roubados. Active Directory reiniciável permite que você realize manutenção nos Serviços de Domínio do Active Directory (Active Directory Domain Services) sem a necessidade de deixar o servidor offline. • • • Proteja contra softwares mal-intencionados com o Controle de Conta de Usuário. • Reinicializações reduzidas devido à configuração e atualizações. rede e armazenamento.16 • Os Serviços de Gerenciamento de Direitos (Rights Management Services) oferecem proteção persistente para dados sigilosos. para proteger melhor contra roubo ou exposição. • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . ajudam a reduzir riscos e permite conformidade. e subsistemas que podem ser ligados a quente permitem alterações no sistema sem ter de desligar o servidor. O Controle de Diretiva de Grupo sobre Instalação de Dispositivos (Group Policy Control over Device Installation) permite a administradores de TI usarem Diretiva de Grupo no Windows Server “Longhorn” para bloquear a instalação de dispositivos removíveis. O Microsoft BitLocker fornece segurança adicional para seus dados através de criptografia completa de volume em múltiplas unidades de disco. Aumente o desempenho da rede com a Rede Escalonável e AutoTuning de Rede. uma nova arquitetura de autenticação. memória. Cumpra seus contratos de nível de serviço: O Windows Server “Longhorn” é ágil e oferece mais disponibilidade reduzindo tempos de interrupção potenciais. como pendrives e discos rígidos externos. mesmo quando o sistema estiver em mãos não autorizadas ou executando um sistema operacional diferente. O Controlador de Domínio de Somente Leitura (Read-Only Domain Controller) permite que você implante o Active Directory ao mesmo tempo em que restringe a replicação do banco de dados completo do Active Directory. Reinicializações reduzidas da Virtualização do Windows Server devido ao suporte a inclusões a quente de recursos de processo. e fornecem uma plataforma para proteção abrangente de informações.

Melhorias de disponibilidade significam menos quedas ou travamentos e reinicializações.17 Aumente a confiabilidade: O Windows Server “Longhorn” oferece aprimoramentos avançados de confiabilidade para reduzir a perda de acesso. permitindo que você minimize a freqüência e impacto de interrupções para melhorar a produtividade e reduzir os custos de suporte. tempo. trabalho. O clustering de host virtualizado permite que máquinas virtuais efetuem o failover automaticamente de uma máquina física para outra no caso de falha física. • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . • O Clustering Failover facilita configurar clusters de servidor ao mesmo tempo em que proporciona proteção e disponibilidade de seus dados e aplicações. dados e controle. O geo-clustering ajuda a assegurar alta disponibilidade de sistema e aplicações no caso de um desastre no site. e a Migração em Tempo Real permitirá mudar máquinas virtuais de uma máquina para outra sem nenhum tempo de inatividade.

.........02 Virtualização do Windows Server..................................33 Guia do Revisor do Windows Server “Longhorn” Beta 3 .................18 Seção 2: Virtualização do Servidor 2..20 2............19 2...............01 Introdução à Virtualização de Servidor ..03 Núcleo do Servidor ..................

A função de virtualização oferece um paradigma inteiramente novo de implantação e licenciamento para que permitir múltiplas instâncias de sistema operacional – tanto da Microsoft como potencialmente de outros fabricantes – sejam executados em uma infra-estrutura virtual separada do hardware por uma tecnologia de virtualização baseada em um monitor fino. Utilizar os benefícios da virtualização para criar uma infra-estrutura mais ágil combinada com novos recursos de gerenciamento para permitir a você mover máquinas virtuais sem causar impacto sobre os usuários. As principais propostas de valor que a virtualização de servidor permitem são essas: • Consolidação de servidor: Possibilitar que os clientes reduzam a quantidade total e o custo de propriedade de servidor minimizando a utilização do hardware. reduza custos.01 Introdução à Virtualização de Servidor Este cenário enfoca a função de virtualização do Windows Server® “Longhorn” que permite a organizações de TI reduzir custos e criar um centro de dados ágil e dinâmico. mas também naquilo que possibilita – que é possivelmente todas as outras funções de servidor do Windows Server “Longhorn” e potencialmente Linux e outros sistemas operacionais. Proposta de Valor do Cenário A função de virtualização possibilita que organizações criem um centro de dados ágil e dinâmico e reduzam custos. Eliminar o impacto de tempos de inatividade programados e não programados e permitir capacidades de recuperação de desastres com recursos como a Migração ao Vivo e clustering de host. Conforme examinarmos este cenário. Criar um ambiente mais flexível e fácil de gerenciar que maximize o hardware de teste. • • • Requisitos Especiais de Hardware A função de virtualização requer o seguinte: • Processadores Intel VT ou AMD-V ativados Guia do Revisor do Windows Server “Longhorn” Beta 3 .19 2. consolidando cargas de trabalho e reduzindo os custos de gerenciamento. melhore o gerenciamento do ciclo de vida e melhore a cobertura dos testes. será importante manter o foco não apenas no que o cenário oferece. Centro de dados dinâmico. Ambientes de desenvolvimento e teste. Gerenciamento de continuidade de negócios.

gerenciamento e disponibilidade. e se une estreitamente com a adição de informações às aplicações e na camada de gerenciamento para permitir a visão de sistemas dinâmicos gerenciados automaticamente em todo o ciclo de vida e por todas as funções dentro da organização.02 Virtualização do Windows Server A virtualização é uma tecnologia chave de capacitação que pode ser utilizada para alcançar benefícios comerciais. Produzir agilidade pelo TI. suas infra-estruturas de TI crescem com elas. Hoje. impulsionado tanto pelas condições sob as quais a empresa opera quanto pelo modelo a que aspira. A Iniciativa de Sistemas Dinâmicos da Microsoft (DSI . freqüentemente.Dynamic Systems Initiative) utiliza a virtualização como um pilar principal para tratar dessas preocupações comerciais. e o foco do TI é mudar de meramente manter a empresa em funcionamento para ser um mecanismo para produzir reatividade e agilidade por toda a organização. em que cada um dos sistemas operacionais é executado como um computador independente. Conforme as empresas crescem. A virtualização como tecnologia tem a capacidade de tratar de algumas dessas preocupações e necessidades comerciais como partes da estratégia geral de TI. O TI está sendo cada vez mais visto como um gerador-chave de valor para a maioria das organizações. reduzir custos e gerenciar complexidade precisam todos acontecer de uma forma integrada. o ritmo desse crescimento é irregular. sistema operacional. caras e exigir habilidades especializadas. A tecnologia de virtualização permite que os clientes executem vários sistemas operacionais de maneira concorrente em um único servidor físico. Mas. A abordagem da Microsoft para integrar os recursos de gerenciamento com a família de produtos System Center existente permite aos clientes gerenciar suas infra-estruturas física e virtual d uma forma integrada e facilita a adoção da tecnologia. O Microsoft® Virtual Server 2005 R2 hospedado no sistema operacional Windows Server 2003 proporciona os recursos necessários para cumprir tarefas que poupam tempo e custo através da tecnologia de virtualização em um ambiente de computação "enterpise-ready" com níveis avançados de escalabilidade. que tendem a ser complexas.20 2. Hoje há mais pressão que nunca sobre o TI com orçamentos reduzidos. Ao longo das camadas da plataforma. “A estratégia de virtualização da Microsoft contrasta com as alternativas atuais para gerenciamento de máquina virtual. aplicações e Guia do Revisor do Windows Server “Longhorn” Beta 3 . Vemos a virtualização como uma tecnologia-chave para ajudar os clientes a alcançarem sistemas dinâmicos auto-gerenciados. tecnologias que mudam rapidamente e questões crescentes de segurança.

Conforme as tecnologias de plataforma avançam. O Gerenciador de Máquina Virtual do System Center Microsoft — a aplicação de gerenciamento para centro de dados virtualizado oferece uma solução de gerenciamento unificada e integrada como parte da família System Center e ajuda a baixar os custos na à medida que o ambiente de TI se torna mais ágil. E como o software é separado do hardware. Como uma parte essencial de qualquer estratégia de consolidação de servidor. especialmente conforme o hardware de geração mais antiga se torna mais difícil e dispendioso para manter.21 gerenciamento. segura e altamente disponível. podem ser tratados com a ajuda das soluções de virtualização da Microsoft.” dá um grande passo à frente na aplicação de algumas das avançadas capacidades da virtualização e em proporcionar aos clientes uma plataforma de virtualização escalonável. Muitos desses desafios. A tecnologia de virtualização de máquina é usada para consolidar várias máquinas físicas em uma única máquina física. estamos proporcionando funcionalidade e recursos que permitem a nossos clientes reduzir significativamente custos operacionais. e as taxas de utilização de muitos clientes caem dentro da faixa de 10. compartilhados entre administradores de servidor e desenvolvedores. Microsoft A Virtualização do Windows Server. O isolamento e gerenciamento de recursos de máquina virtual possibilitam a coexistência de várias cargas de trabalho em menos servidores. A Guia do Revisor do Windows Server “Longhorn” Beta 3 . aumentar a utilização do servidor e alcançar um ROI melhor através de soluções de virtualização de recursos plenos. Otimizar o uso de ativos físicos de TI se torna imperativo à medida que os centros de dados atingem sua capacidade de potência e espaço.” Bob Muglia. Benefícios da Virtualização Organizações de TI hoje estão sob uma pressão incrível para fornecer mais valor a seus clientes comerciais – e tipicamente com pouco ou nenhum aumento no orçamento.a 15 por cento. A virtualização também pode ser usada para re-hospedar ambientes de legado. também. as soluções de virtualização da Microsoft aumentam a utilização do hardware e permitem que as organizações configurem e implantem rapidamente novos servidores com os seguintes importantes benefícios: • Uso eficiente de recursos de hardware. é importante assegurar que o gerenciamento geral continue simplificado. a virtualização é uma boa solução para ambientes de recuperação de desastres. permitindo que as organizações façam um uso mais eficiente de seus recursos de hardware. como parte do Windows Server “Longhorn. Negócios de Servidor e Ferramentas. Vice-Presidente Sênior. Taxas de utilização de servidor de menos de 5 por cento não são incomuns. A Microsoft reconhece que o problema se intensifica para empresas cujos servidores trabalham com utilização muito baixa.

Com avanços em hardware de servidor com tecnologia de 64 bits. sistemas multiprocessados e de múltiplos núcleos. o esforço da Microsoft abrangendo toda a indústria para simplificar e automatizar dramaticamente como as empresas projetam. • Produtividade e reatividade administrativas melhoradas. Um produto-chave para a Iniciativa de Sistemas Dinâmicos da Microsoft. rede e segurança. Com a Virtualização do Windows Server como um componente integrante do Windows Server “Longhorn” e o Gerenciador de Máquina Virtual como parte da família System Center. A integração fácil com ferramentas de gerenciamento de servidor existentes. O Virtual Server 2005 R2 é extensivamente testado e suportado pela Microsoft em conjunto com seus sistemas operacionais e aplicações de servidor. Como parte da DSI. a virtualização oferece uma maneira fácil de otimizar a utilização de hardware. O Virtual Server 2005 R2. A capacidade de consolidar cargas de trabalho em um ambiente de hardware não virtual e um framework físico e virtual integrado de gerenciamento de TI permite que administradores reduzam os custos operacionais e criem centros de dados mais ágeis. como o System Center Operations Manager e ferramentas sofisticadas como o Gerenciador de Máquina Virtual do System Center (SCVMM).22 Virtualização do Windows Server. implantam e operam sistemas de TI para permitir sistemas dinâmicos auto-gerenciados. O uso de um formato de disco rígido virtual comum (VHD) assegura a proteção do investimento para todas as máquinas virtuais criadas para o Servidor Virtual com um caminho transparente de migração para a Virtualização do Windows Server. parte do Windows Server “Longhorn” e do Virtual Server 2005 R2 com Windows Server 2003. Solução de virtualização de servidor bem suportada. Por isso o Virtual Server 2005 R2 é uma solução de virtualização bem suportada tanto dentro da Microsoft como na comunidade de ISVs mais ampla. a Virtualização do Windows Server e o Gerenciador de Máquina Virtual são exemplos importantes de como a Microsoft está continuando a fornecer tecnologia que resulta em melhor utilização de hardware de servidor e Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . proporciona a maior interoperabilidade com infraestruturas existentes de armazenamento. A Virtualização do Windows Server possibilita a organizações de TI melhorar sua produtividade administrativa e implantar rapidamente novos servidores para tratar das necessidades corporativas sempre em transformação. a Microsoft está oferecendo às empresas ferramentas para ajudá-las a utilizar de maneira mais flexível seus recursos de hardware. você pode ter certeza de que as futuras soluções de virtualização da Microsoft também serão extensivamente testadas e bem suportadas. facilita o gerenciamento de máquinas virtuais Windows.

tanto no nível da plataforma como no de gerenciamento. o que possibilita a coexistência de múltiplas cargas de trabalho em menos servidores. A virtualização é a principal tecnologia para reduzir o custo e complexidade do gerenciamento de TI. Roadmap da Virtualização da Microsoft O roadmap da Virtualização da Microsoft combina o seguinte: • Uma visão de longo prazo que mostra como os clientes podem reduzir drasticamente a complexidade da infra-estrutura de TI como parte da DSI global. e a Microsoft comprometeu recursos significativos para tornar a virtualização mais amplamente acessível para os clientes. Como parte essencial de qualquer estratégia de consolidação de servidor. sistemas operacionais e gerenciamento que proporcionam melhorias imediatas para tratar da complexidade no ambiente de TI dos clientes. o Virtual Server aumenta a utilização de hardware e permite que as organizações configurem e implantem novos servidores rapidamente. aplicações de servidor. • A Microsoft está fornecendo soluções de ferramentas de desenvolvimento de aplicações. Virtual Server 2005 R2 O Microsoft Virtual Server 2005 R2 é á tecnologia de virtualização de servidor mais eficaz em termos de custo projetada para a plataforma Windows Server System™.23 proporciona um aprovisionamento mais flexível de recursos e centros de dados. Como parte das soluções de virtualização. os clientes verão melhorias na oferta atual de produtos para o Virtual Server 2005 R2. Um cronograma de produto sólido que oferece soluções atuais e de curto prazo. Com a capacidade de hardware crescendo e recursos mais robustos de plataforma de virtualização e gerenciamento. O Virtual Server pode ser usado Guia do Revisor do Windows Server “Longhorn” Beta 3 . e a Virtualização do Windows Server como parte do Windows Server “Longhorn” que fornecerá uma plataforma melhorada de virtualização com escalabilidade. novos produtos avançados como o Gerenciador de Máquina Virtual do System Center que tratarão de importantes desafios de gerenciamento. Cenários de Uso O Virtual Server 2005 R2 oferece eficiência de hardware melhorada oferecendo uma ótima solução para isolamento e gerenciamento de recursos. mais clientes podem se beneficiar dos recursos de consolidação. As próximas seções enfocarão os principais produtos de virtualização. desempenho e confiabilidade aumentados. gerenciamento mais fácil e automação. permitindo que os clientes tomem uma série de passos práticos de acordo com a visão de longo prazo.

de escritórios remotos. Re-hospede aplicações de legado. reconfigurar redes ou treinar novamente os usuários finais. ao mesmo tempo em que tira proveito da confiabilidade. Isso dá aos clientes tempo para primeiro atualizar sistemas mais antigos da infraestrutura. consolidando e re-hospedando aplicações de legado. O Virtual Server permite a consolidação de cargas de trabalho para ambientes de serviço de infra-estrutura. permitindo às organizações fazerem um uso mais eficiente de seus recursos de hardware. e recuperação de desastres. sem reescrever a lógica da aplicação. cargas de trabalho de servidor de aplicações e em escritórios remotos. automatizando e consolidando ambientes de testes e de desenvolvimento de software. Para desenvolvedores. O Virtual Server 2005 R2 oferece o melhor dos dois mundos: compatibilidade de aplicação com ambientes de legado. Consolide e automatize seu ambiente de teste e desenvolvimento de software. depois para atualizar ou reescrever aplicações fora de serviço em um cronograma que atenda melhor suas Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . ao mesmo tempo em que fornecem um nível abrangente de garantia de qualidade. O Virtual Server 2005 R2 oferece essa capacidade permitindo que os clientes executem aplicações de legado em seu ambiente nativo de software em máquinas virtuais. • Consolide infra-estrutura.0 Server e Windows® 2000 Server) e suas aplicações personalizadas associadas de hardwares mais antigos para servidores novos executando o Windows Server 2003. Clientes em todos os segmentos procuram maneiras de diminuir os custos e acelerar instalações e atualizações de aplicações e infra-estrutura. gerenciamento e recursos de segurança do Windows Server 2003 sendo executado no hardware mais recente. O Virtual Server permite que você consolide sua farm de servidores de testes e desenvolvimento e automatize o aprovisionamento de máquinas virtuais. O Virtual Server permite a migração de sistemas operacionais de legado (Windows NT® 4. cargas de trabalho de servidor de aplicações e em escritórios remotos. o Virtual Server permite uma fácil implantação e testes de uma aplicação de servidor distribuída usando múltiplas máquinas virtuais em um servidor físico.24 para melhorar a eficiência operacional na consolidação de infraestrutura. melhorando a utilização de hardware e a flexibilidade operacional. O Virtual Server 2005 R2 é ideal para consolidação de servidor tanto no centro de dados como no escritório remoto. e reduzindo o impacto de desastres. resultando em menos sistemas físicos para memória de hardware reduzida. Ele permite que as organizações de TI aumentem sua produtividade administrativa e implantem rapidamente novos servidores para tratar de necessidades comerciais e aumenta as taxas de utilização de hardware para uma infraestrutura de TI otimizada.

A compatibilidade máxima da aplicação é alcançada através do isolamento. Ampla compatibilidade com sistema operacional x86 guest. Consolidar servidores físicos em poucas máquinas físicas executando máquinas virtuais diminui o número de ativos físicos que deve estar disponíveis em um local de recuperação de desastre. gerenciar e interagir com máquinas virtuais em hardware multiprocessado. O Virtual Server pode executar todos os principais • • • Virtual Server 2005 R2: Administration Website Guia do Revisor do Windows Server “Longhorn” Beta 3 . O Virtual Server 2005 R2 pode ser usado como parte de um plano de recuperação de desastres que requeira portabilidade e flexibilidade de aplicação ao longo de plataformas de hardware. O Monitor de Máquina Virtual do Virtual Server fornece a infra-estrutura de software para criar. • Isolamento de máquina virtual. oferecendo compatibilidade com uma ampla gama de hardwares de sistemas de host. que suporta a maioria dos dispositivos do Catálogo do Windows Server.25 necessidades comerciais. No caso de recuperação. máquinas virtuais podem ser hospedadas em qualquer local. acelerando os tempos d recuperação e maximizando a flexibilidade da organização. em máquinas host diferentes daquelas afetadas pelo desastre. • Soluções de recuperação de desastre. Ampla compatibilidade de dispositivos. rede e segurança. não tenha impacto sobre nenhuma outra máquina virtual ou sobre o sistema host. O isolamento de máquina virtual garante que se uma máquina virtual cair ou travar. Principais Recursos A virtualização facilita ampla compatibilidade de dispositivos e suporte completo para ambientes de servidor Windows. Isso permite que os clientes potencializem ainda mais suas infra-estruturas existentes de armazenamento. O Virtual Server 2005 R2 possibilita uma melhor escolha do cliente para migração de aplicações de legado com excepcional compatibilidade. O Virtual Server é executado no Windows Server 2003. VMM multithread.

Suporte a x64. Boot PXE.Pre-Boot Execution Environment). O Virtual Server suporta uma Interface de Programação de Aplicações (API) de Modelo de Objeto Componente (COM) que contém 42 interfaces e centenas de chamadas. Integração com o Active Directory.Virtual Hard Disks).” O hypervisor Windows é uma camada fina de software sendo executada diretamente no hardware. API de COM abrangente. Cenários flexíveis de clustering proporcionam alta disponibilidade para ambientes críticos ao mesmo tempo em que melhoram os processos de atualização e manutenção de hardware. Esse boot de rede permite que os clientes aprovisionem suas máquinas virtuais de todas as maneiras que fazem com os servidores físicos. proporcionando desempenho e maior espaço de memória. VHDs portáteis. Windows Server 2003 Enterprise x64 Edition Windows XP Professional x64 Edition. que trabalha em conjunto com uma instância otimizada do Windows Server “Longhorn” que permite que múltiplas instâncias do sistema operacional sejam executadas simultaneamente em um Guia do Revisor do Windows Server “Longhorn” Beta 3 . permitindo uma configuração.26 sistemas operacionais x86 no ambiente guest da máquina virtual. Um pacote de gerenciamento desenvolvido especificamente para o Virtual Server possibilita recursos avançados de gerenciamento dentro de máquinas virtuais. Esse nível de integração permite administração delegada e acesso de convidado seguro e autenticado. Esta placa de rede emulada no Virtual Server 2005 R2 agora suporta boot de Ambiente de Execução PréInicialização (PXE . Discos Rígidos Virtuais (VHDs . versão e implantação flexíveis. O Virtual Server 2005 R2 é executado nos seguintes sistemas operacionais host de 64 bits: Windows Server 2003 Standard x64 Edition. Microsoft Operations Manager 2005 Management Pack for Virtual Server. O Virtual Server encapsula máquinas virtuais e. As máquinas virtuais no Virtual Server funcionam como se esperaria de uma máquina física. oferecendo integração completa com o Active Directory®. O clustering de iSCSI entre hosts físicos do Virtual Server 2005 R2 oferece um meio eficaz em termos de custo de aumentar a disponibilidade do servidor. Isso permite completo controle em script de ambientes de máquina virtual. • • • • • • Virtualização do Windows Server A Virtualização do Windows Server é uma tecnologia baseada em monitor que é parte do Windows Server “Longhorn. permitindo que scripts controlem quase todos os aspectos do produto. • Clustering iSCSI. A Microsoft também suportará distribuições específicas de Linux sendo executadas no ambiente da máquina virtual.

O rico conjunto de recursos da Virtualização do Windows Server combinado com os novos recursos de gerenciamento estendidos pelo Gerenciador de Máquina Virtual permite que as organizações criem uma infra-estrutura mais ágil.27 servidor físico. e criar um centro de dados dinâmico. A Virtualização do Windows Server oferecerá recursos para recuperação eficiente de desastres para minimizar o tempo de inatividade. Além disso. Os administradores de TI estão sempre tentando encontrar maneiras de reduzir ou eliminar o tempo de inatividade de seu ambiente. e altamente disponível. A Virtualização do Windows Server ajuda a minimizar o hardware de teste. Teste e desenvolvimento de software. automatizar e consolidar ambientes de testes de software. Gerenciamento de continuidade de negócios. Cenários de Uso A Virtualização do Windows Server é integrada como a função de virtualização no Windows Server “Longhorn” e oferece um ambiente virtual mais dinâmico para consolidar cargas de trabalho. Organizações procuram servidores de produção em seus centros de dados e encontram níveis de utilização geral de hardware entre 5 e 15 por cento da capacidade do servidor. Uma das maiores áreas onde a tecnologia de virtualização continuará sendo relevante é a de teste e desenvolvimento de software para criar ambientes automatizados e consolidados que sejam ágeis o suficiente para acomodar as exigências em constante mudança. confiável. Os administradores serão capazes de adicionar recursos dinamicamente a máquinas virtuais e movê-las através de máquinas físicas de maneira transparente sem causar impacto nos usuários. • Consolidação de servidor de produção. Consolidar vários servidores de produção com a Virtualização do Windows Server pode ajudar as empresas a se beneficiarem da utilização aumentada do hardware e do custo total de propriedade geral reduzido. O ambiente de virtualização robusto e flexível criado pela Virtualização do Windows Server minimiza o impacto de tempos de inatividade programados e não programados. Ela fornece uma plataforma de virtualização que permite eficiência operacional aprimorada para consolidação de cargas de trabalho. Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • . Centro de dados dinâmico. limitações físicas como espaço e potência as estão impedindo de expandir seus centros de dados. de segurança aprimorada. Ela utiliza as poderosas melhorias de processadores e oferece aos clientes uma plataforma de virtualização escalonável. gerenciamento de continuidade de negócios. melhora o gerenciamento de ciclo de vida e melhora a cobertura dos testes.

torna a Virtualização do Windows Server uma plataforma escalonável para virtualização. Este recurso. combinado com o suporte a guests de 64 bits. • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . A base de código mínimo sem nenhum código ou driver de terceiros ajuda a criar uma base mais segura e robusta para soluções de virtualização.28 Principais Recursos Há vários novos recursos na Virtualização do Windows Server que ajudam a criar uma plataforma de virtualização escalonável.” Os seguintes são alguns dos principais componentes e recursos da Virtualização do Windows Server. Suporte a guest (convidado) de 64 bits. memória. Um novo recurso importante da plataforma de Virtualização do Windows Server é guests de 64 bits. segura e altamente disponível como parte do Windows Server “Longhorn. A Virtualização do Windows Server oferece a capacidade de incluir a quente recursos como CPU. Suporte a multiprocessador guest (convidado). É uma camada finíssima de software que utiliza o suporte a driver e a tecnologia de virtualização assistida por hardware do Windows Server. Isso permite que organizações virtualizem Windows Server Virtualization: User Interface and multi-proc support mais aplicações que são exigentes em termos de memória e se beneficiem do pool de memória aumentado acessível em um ambiente de 64 bits. Gerenciamento dinâmico de recursos. isso permite que os administradores gerenciem seus recursos de hardware sem impacto sobre seus compromissos de SLA. A Virtualização do Windows Server agora oferece a capacidade de alocar múltiplos recursos de CPU a uma única máquina virtual e permite a virtualização de aplicações multithread. • Monitor Windows. Combinado com os recursos de conexão a quente do Windows Server “Longhorn”. redes e armazenamento às máquinas virtuais sem tempo de inatividade.

somada ao clustering de host de máquinas físicas. Cenários de Uso O System Center Virtual Machine Manager oferece suporte simples e completo para consolidar hardware em infra-estrutura virtual e otimizar a utilização. A Virtualização do Windows Server proporcionará a capacidade de mover uma máquina virtual de uma máquina física para outra com um mínimo de tempo de inatividade. Isso dá aos administradores acesso granular a VHDs e a capacidade de realizar algumas tarefas de gerenciamento offline. A Virtualização do Windows Server oferece uma nova arquitetura virtualizada de E/S.29 • Migração em tempo real de máquinas virtuais. o System Center Virtual Machine Manager oferece uma maneira de transferir o conhecimento sobre o sistema e o ambiente através do processo de virtualização e ajuda a manter a continuidade do conhecimento. • • System Center Virtual Machine Manager Como parte da família System Center de produtos de gerenciamento. Isso dá aos clientes um alto desempenho e baixo overhead. Manipulação offline de VHD. • Consolidação de servidor de produção. e disposição inteligente da carga de trabalho com base no conhecimento de desempenho e diretivas comerciais definidas pelo usuário. o System Center Virtual Machine Manager facilita o gerenciamento de máquinas virtuais Windows. Nova arquitetura de virtualização de dispositivos. Pela consolidação de vários servidores de produção com o Virtual Server 2005 R2 ou Virtualização do Windows Server. O System Center Virtual Machine Manager possibilita o rápido aprovisionamento de novas máquinas virtuais pelo administrador e usuários finais usando uma ferramenta de aprovisionamento de auto-atendimento. Esta capacidade. proporciona alta disponibilidade e flexibilidade para se alcançar um centro de dados ágil e dinâmico. Ele também proporciona rápido aprovisionamento de máquinas virtuais a partir de máquinas físicas ou modelos na biblioteca de imagens ou por usuários finais. À medida que as organizações buscam consolidar seus servidores de produção. O System Center Virtual Machine Manager permite uma utilização aumentada de servidor físico permitindo consolidação simples e rápida de infra-estrutura virtual com identificação integrada de candidato de consolidação. O System Center Virtual Machine Manager é um membro estreitamente integrado da família de produtos de gerenciamento System Center. A Virtualização do Windows Server oferece aos administradores a capacidade de acessar em segurança arquivos dento de um VHD sem ter de criar uma instância de máquina virtual. P2V rápida. as empresas reduzem o Guia do Revisor do Windows Server “Longhorn” Beta 3 .

O primeiro passo na migração de um centro de dados físico com um modelo de uma carga de trabalho por servidor é identificar as cargas de trabalho físicas apropriadas para consolidação no hardware virtual. gerenciamento centralizado de infra-estrutura de máquina virtual e rápido aprovisionamento de novas máquinas virtuais. ela ajuda os administradores a implantar e gerenciar ambientes virtuais e físicos em uma abordagem integrada. Os seguintes são alguns dos recursos principais do System Center Virtual Machine Manager. • Identificação de candidato a consolidação. Empresas em todos os segmentos procuram maneiras de aumentar a eficiência através de seus ambientes de TI e aumentar a agilidade operacional. características de pico de carga e padrões de acesso. e capacidade de migração escalonável para tornar toda a infra-estrutura virtual robusta e fácil de gerenciar. como desempenho histórico. O System Center Virtual Machine Manager ajuda a criar uma infra-estrutura de gerenciamento centralizado de máquina virtual em múltiplos sistemas host do Virtual Server 2005 R2 e de hosts da Virtualização do Windows Server. rápida recuperação. O System Center Virtual Machine Manager utiliza os dados históricos de desempenho existentes no banco de dados do System Center Operations Manager para listar os candidatos a consolidação em ordem de classificação. O System Center Virtual Machine Manager oferece um mecanismo para permitir funcionalidade como rápido aprovisionamento de servidor. Organizações estão adotando a virtualização nas áreas de produção. • Aumento da agilidade operacional. Guia do Revisor do Windows Server “Longhorn” Beta 3 . • Principais Recursos O System Center Virtual Machine Manager se concentra em requisitos únicos de máquinas virtuais e é projetado para permitir utilização aumentada de servidor físico. teste e desenvolvimento. Gerenciamento integrado. e conforme os recursos de gerenciamento se sofisticam. Os fatores de decisão para determinar os candidatos adequados se baseiam em vários fatores.30 custo total de propriedade geral e ainda mantêm um framework unificado de gerenciamento em seus ambientes físico e virtual.

A disposição está no âmago de maximizar a utilização de ativos físicos. Isso ajuda as organizações a escalar facilmente o gerenciamento de máquinas e hosts virtuais no centro de dados e escritórios remotos. O System Center Virtual Machine Manager oferece um repositório central para todos os blocos de construção para uma máquina virtual como VHDs.31 • Disposição inteligente. Com o System Center Virtual Machine Manager. os administradores podem estender seletivamente os recursos de autoaprovisionamento a grupos de usuários e ser capazes de Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • . máquinas virtuais offline. O System Center Virtual Machine Virtual Machine Manager: Centralized management view Manager traz uma abordagem profunda e holística à disposição e combina o conhecimento de dados históricos de desempenho da carga de trabalho e as informações sobre o sistema de host virtual. Biblioteca central. Regras comerciais e modelos associados também são utilizadas pelo System Center Virtual Machine Manager para determinar as opções de disposição. modelos e até mesmo imagens ISO. O ato de designar e ativar uma determinada carga de trabalho virtual em um servidor de host virtual físico é citado como disposição. O System Center Virtual Machine Manager identifica os hosts virtuais físicos na empresa através de descoberta integrada com o Active Directory. A infra-estrutura virtual é comumente usada em ambientes de teste e desenvolvimento em que há aprovisionamento coerente e desmontagem de máquinas virtuais para fins de teste. O modelo é um novo objeto que permite ao administrador criar configurações de máquina virtual aprovadas que servem como um padrão ouro para subseqüentes implantações de máquinas virtuais. Aprovisionamento de host. Cada item da biblioteca possui modelos ou ricos metadados que permitem um gerenciamento mais controlado dos objetos. Aprovisionamento de auto-atendimento.

A ferramenta de aprovisionamento automático gerencia as máquinas virtuais através de seus ciclos de vida. Guia do Revisor do Windows Server “Longhorn” Beta 3 .32 definir cotas. incluindo desmontagens.

” os administradores agora podem escolher instalar um ambiente mínimo que evita carga extra. consulte 7. consulte a seção 7.05 Núcleo do Servidor (Server Core) na página 242. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Esse tipo de instalação é chamado de instalação do Núcleo do Servidor.33 2. pode aumentar a segurança e reduzir o gerenciamento. Embora esta opção limite as funções que podem ser executadas pelo servidor. Para saber mais.05 Núcleo do Servidor na página 242. Para mais informações sobre o Núcleo do Servidor.03 Núcleo do Servidor No Windows Server “Longhorn.

......73 3.......34 Seção 3: Acesso Centralizado a Aplicações 3........05 Acesso a Web de Serviços de Terminal .........02 Funcionalidade Básica de Serviços de Terminal ...........76 3..36 3.....65 3......................................................01 Introdução ao Acesso Centralizado a Aplicações ..06 Impressão de Serviços de Terminal ..53 3........03 Gateway de Serviços de Terminal ........04 RemoteApp de Serviços de Terminal ...........08 Licenciamento de Serviços de Terminal ...................79 Guia do Revisor do Windows Server “Longhorn” Beta 3 ............................09 Gerenciador de Recursos de Sistema do Windows.....62 3..........................................35 3......69 3..........07 Session Broker de Serviços de Terminal ......

Quando os usuários executam uma aplicação com os Serviços de Terminal. clientes finos baseados em Windows ou dispositivos baseados em Windows Mobile®. Reduzir os custos de gerenciamento através da eliminação da necessidade de servidores de aplicações em locais distribuídos. Proposta de Valor do Cenário As principais propostas de valor que o acesso centralizado a aplicações possibilita são: • • Fornecer acesso centralizado a aplicações comerciais na LAN ou pela Internet. Clientes podem fornecer essa funcionalidade usando uma variedade de clientes. Guia do Revisor do Windows Server “Longhorn” Beta 3 . inclusive PCs baseados em Windows®. mouse e monitor são transmitidas pela rede Os usuários podem apenas ver suas sessões individuais.01 Introdução ao Acesso Centralizado a Aplicações Este cenário enfoca a centralização de acesso a aplicações a aplicações comerciais com os Serviços de Terminal (Terminal Services). e somente informações de teclado. a execução da aplicação se dá no servidor. Oferecer acesso seguro a aplicações sem a necessidade de permitir acesso total à rede através de VPN ou outros mecanismos. Melhorar a produtividade do usuário final com integração contínua de aplicações baseadas no local e nos Serviços de Terminal no cliente local.35 3. Os Serviços de Terminal possibilitam aos usuários estabelecer um sistema centralizado que lhes permite fornecer acesso rápida e seguramente a aplicações baseadas em Windows a partir de qualquer local conectado por rede. gerenciadas de maneira transparente pelo sistema operacional do servidor. Consolidar os Serviços de Terminal existentes usando tecnologia x64. e permanecem independentes de qualquer outra sessão de cliente. Eliminar o risco de perda de dados de laptops usando acesso remoto seguro a aplicações e dados localizados centralmente. • • • • Requisitos Especiais de Hardware A seguir está um requisito adicional de: • Firewall baseado em hardware ou software (ou outro dispositivo de segurança de borda) para ser colocado entre o Gateway de Serviços de Terminal e a Internet.

Garantir que os dados de monitor.02 Funcionalidade Básica de Serviços de Terminal Para o Windows Server® “Longhorn. • • Para tirar proveito da nova funcionalidade básica de Serviços de Terminal. teclado e mouse passados através de uma conexão remota não sejam afetados de maneira adversa por ações que exijam muita largura de banda.0 Windows Server “Longhorn” configurado como servidor de terminal Em alguns casos. como 1680x1050 ou 1920x1200 Vários monitores Você também pode se interessar na nova funcionalidade básica nos Serviços de Terminal se quiser dar suporte a qualquer dos seguintes cenários: • Fazer usuários se conectarem a um servidor de terminal e fazer o computador remoto se parecer mais com a experiência da área de trabalho Windows Vista™ local do usuário.NET Monitores que suportem resoluções mais altas. Para o Windows Server “Longhorn.” os Serviços de Terminal incluem nova funcionalidade básica que melhora a experiência do usuário final quando se conecta remotamente a um servidor de terminal do Windows Server “Longhorn”. A nova funcionalidade básica nos Serviços de Terminal será interessante para organizações que atualmente usam ou têm a intenção de usar os Serviços de Terminal. a um servidor executando programas baseados em Windows ou à área de trabalho Windows plena. a partir de qualquer dispositivo de computação.” você pode se interessar na nova funcionalidade básica nos Serviços de Terminal se usar um dos seguintes hardwares: • • • • Dispositivos portáteis baseados em Windows Microsoft® Point of Service para dispositivos Microsoft . Os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede nele. Permitir que usuários com uma conta de domínio efetuem o logon uma vez. e então obtenham acesso a um servidor de terminal sem a necessidade de apresentar as credenciais novamente. Os Serviços de Terminal fornecem tecnologias que permitem o acesso. usando uma senha ou smart card. será necessário também usar o Windows Vista. como grandes tarefas de impressão. você vai precisar usar o seguinte: • • Conexão de Área de trabalho Remota 6. Guia do Revisor do Windows Server “Longhorn” Beta 3 .36 3.

microsoft. Redirecionamento de Dispositivos Plug and Play para Media Players e Câmeras Digitais No Windows Server “Longhorn. clique em Start. Para redirecionar dispositivos Plug and Play 1. mas que serão posteriormente quando uma sessão a um computador estiver ativa. ele não é suportado atualmente para redirecionamento. Para tornar os dispositivos Plug and Play que você ligará mais tarde disponíveis para redirecionamento. faça o download do pacote de instalação na Central de Downloads Microsoft http://go. 2.” o redirecionamento foi aperfeiçoado e expandido. Você também pode redirecionar dispositivos que ainda não foram ligados.Picture Transfer Protocol). Escolha o dispositivo que deseja redirecionar assinalando a caixa de seleção próxima ao nome do dispositivo. Para abrir a Conexão de Área de trabalho Remota no Microsoft Windows Vista. Se o dispositivo que você ligou não aparecer na lista. Na caixa de diálogo Remote Desktop Connection. 5. 3.37 Conexão de Área de Trabalho Remota 6. aponte para All Programs. Na guia Resources. Em Local devices and resources. Os dispositivos Plug and Play atualmente ligados e suportados para redirecionamento serão exibidos nesta lista.0 A Conexão de Área de trabalho Remota 6.0 está disponível com o Windows Vista e com o Windows Server “Longhorn. 4. clique em Accessories.” O software da Conexão de Área de trabalho Remota 6. Verifique o manual do dispositivo para ver se ele suporta o MTP ou PTP. clique em Options.com/fwlink/?LinkId=79373. Agora você pode redirecionar dispositivos portáteis baseados em Windows. Guia do Revisor do Windows Server “Longhorn” Beta 3 . assinale a caixa de seleção Devices that I plug in later. especificamente media players baseados no Protocolo MTP (Media Transfer Protocol) e câmeras digitais baseadas no Protocolo de Transferência de Imagem (PTP . expanda Supported Plug and Play devices. e em seguida clique em Remote Desktop Connection. 6. Abra a Conexão de Área de trabalho Remota.0 também está disponível para uso no Microsoft Windows Server 2003 com Service Pack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usar quaisquer novos recursos de Serviços de Terminal em qualquer dessas plataformas. clique em More.

Para mais informações sobre o RemoteApps. Para acessar esse guia. por exemplo). Quando a sessão para o computador remoto é lançada. Se você tiver assinalado a caixa de seleção Drives that I connect to later na Conexão de Área de trabalho Remota (Remote Desktop Connection).microsoft. você deve ver o dispositivo Plug and Play que é redirecionado ser instalado automaticamente no computador remoto. se você tiver um dispositivo Plug and Play ligado a seu computador cliente local. pode redirecionar e usar esse dispositivo quando se conectar a um servidor de terminal (Server1. se você redirecionar um dispositivo portátil baseado em Windows como uma câmera digital. O redirecionamento de dispositivo Plug and Play não é suportado em conexões em cascata de servidor de terminal. consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). o dispositivo pode ser acessado diretamente a partir de uma aplicação como o Assistente de Câmera e Scanner no computador remoto. Para tornar uma unidade de disco a que você se conectará mais tarde disponível para redirecionamento.rdp) do Protocolo de Área de trabalho Remota (Remote Desktop Protocol) criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivo Plug and Play. Por exemplo.38 Nota Você também pode redirecionar unidades de disco que serão conectadas depois de uma sessão para um computador remoto que esteja ativo. Você pode controlar o redirecionamento de dispositivos Plug and Play usando qualquer das seguintes configurações de Diretiva de Grupo: Guia do Revisor do Windows Server “Longhorn” Beta 3 . Notificações do Plug and Play aparecerão na barra de tarefas no computador remoto. e conecte-se ao computador remoto. Por exemplo. deve ver o dispositivo Plug and Play ser instalado no computador remoto quando ligá-lo em seu computador local enquanto a sessão para o computador remoto estiver ativa. Se. Clique em OK. e em seguida assinale a caixa de seleção Drives that I connect to later. Depois que o dispositivo Plug and Play é instalado no computador remoto. expanda Drives. por exemplo). 7.com/fwlink/?LinkId=79609). não será capaz de redirecionar e usar o dispositivo Plug and Play em sua sessão remota com o Server2. você então se conectar a outro servidor de terminal (Server2. de dentro de sua sessão remota no Server1. O arquivo (. ele fica disponível para uso em sua sessão com o computador remoto. visite o Windows Server “Longhorn” TS RemoteApp e o TS Web Access TechCenter (http://go.

faça o seguinte: 1.NET 1. Configurando um Servidor de Terminal Para implementar o Microsoft POS for .NET que estiver suportando no servidor de terminal. 2. você precisa parar e iniciar o serviço Guia do Revisor do Windows Server “Longhorn” Beta 3 .NET específico que você estiver usando.NET somente é suportado se o servidor de terminal estiver executando uma versão baseada em x86 do Windows Server “Longhorn.1 em seu servidor de terminal. Instale os objetos ou arquivos XML de configuração do serviço.1.msc). Instale o Microsoft POS for .NET 1.NET 1. 3.1. NET para o dispositivo do Microsoft POS for .NET No Windows Server “Longhorn” você também pode redirecionar dispositivos que usam o Microsoft Point of Service (POS) for .com/fwlink/?linkid=66169).1. Você pode instalar os objetos de serviço do dispositivo ou arquivos XML de configuração através do software padrão de instalação que acompanha o dispositivo. consulte o manual do dispositivo.NET 1.microsoft. Importante O redirecionamento de dispositivo Microsoft POS for .39 • Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definição de diretiva de Do not allow supported Plug and Play device redirection Computer Configuration\Administrative Templates\System\Device Installation\ definição de diretiva de Device Installation Restrictions • Você também pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig.NET 1.1 na Central de Downloads Microsoft (http://go.” Você pode fazer o download do Microsoft POS for .NET usando o SDK (Software Development Kit) do Microsoft POS for . Depois de instalar os objetos de serviço do dispositivo ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for . Redirecionamento de Dispositivo Microsoft Point of Services for . Os objetos de serviço do dispositivo ou arquivos XML de configuração geralmente são fornecidos pelo fabricante do dispositivo e são escritos para trabalhar com o POS for .NET. Para instruções de instalação do dispositivo Microsoft POS for .

não estão listados em Local devices and resources na guia Local Resources na Conexão de Área de trabalho Remota. Para abri-lo. o redirecionamento de dispositivos do Microsoft POS for . siga esses passos: a. você precisa editar o arquivo (. Para reiniciar o serviço.NET. consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.NET está desabilitado. Se <value> = 1. clique com o botão direito em Terminal Services UserMode Port Redirector. Configurando um Arquivo de Protocolo de Área de trabalho Remota Os dispositivos do Microsoft POS for . Abra o snap-in Serviços. Para ativar o redirecionamento de dispositivos do Microsoft POS for .NET que estiver suportando no servidor de terminal. aponte para Administrative Tools.microsoft.rdp. Nota Guia do Revisor do Windows Server “Longhorn” Beta 3 . Na caixa de diálogo Services. clique em Start.rdp no editor de texto. Nota Reinicie o Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector) somente depois de ter instalado os objetos de serviço do servidor ou os arquivos XML de configuração para todos os dispositivos Microsoft POS for .rdp) do Protocolo de Área de trabalho Remota (Remote Desktop Protocol) que você usa para conectar-se ao servidor de terminal. Se você instalar posteriormente um novo objeto de serviço do servidor ou arquivo XML de configuração em seu servidor de terminal para um dispositivo Microsoft POS for .na coluna Name.com/fwlink/?linkid=66168).40 Redirecionador de Porta UserMode de Serviços de Terminal. por padrão. para permitir o redirecionamento de dispositivos do Microsoft POS for . Portanto. Para mais informações sobre as configurações de arquivo .NET está ativado.NET. o redirecionamento de dispositivos do Microsoft POS for .rdp.NET. Adicione ou altere a seguinte configuração: redirectposdevices:i:<value> o o Se <value> = 0. e em seguida clique em Restart. faça o seguinte • Abra o arquivo . e então clique em Services. b. precisará reiniciar o serviço Redirecionador de Porta UserMode de Serviços de Terminal (Terminal Services UserMode Port Redirector).NET em um arquivo .

1 que você pode usar para testar o acesso e a funcionalidade do dispositivo do Microsoft POS for . Exibição de Conexão de Área de trabalho Remota O software Conexão de Área de trabalho Remota 6. consulte o Guia Passo a Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide).rdp modificado.NET residindo no servidor de terminal pode acessar o dispositivo do Microsoft POS for .NET é instalado no computador remoto. A aplicação de amostra é chamada ccltestapp.NET redirecionado ser instalado automaticamente no computador remoto. Você pode controlar o redirecionamento de dispositivos do Microsoft POS for .msc).NET Depois de ter implementado o Microsoft POS for .com/fwlink/?LinkId=79609).rdp.1 em seu servidor de terminal e de ter ativado o redirecionamento de dispositivos do Microsoft POS for .NET usando as seguintes configurações de Diretiva de Grupo: • Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\definição de diretiva de Do not allow supported Plug and Play device redirection Computer Configuration\Administrative Templates\System\Device Installation\ definição de diretiva de Device Installation Restrictions • Você também pode controlar o redirecionamento de dispositivos Plug and Play na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig. Depois de se conectar ao computador remoto. Notificações do Plug and Play aparecerão na barra de tarefas do computador remoto. Depois que o dispositivo do Microsoft POS for . visite o TechCenter do Windows Server “Longhorn” TS RemoteApp e o TS Web Access (http://go.NET.NET redirecionado. Usando Dispositivos Microsoft POS for .0 (Remote Desktop Connection 6. você deve ver o dispositivo do Microsoft POS for .NET.41 O arquivo .NET em seu arquivo .NET 1.rdp criado pelo Assistente RemoteApp ativa automaticamente o redirecionamento de dispositivos do Microsoft POS for .NET 1. conecte seu dispositivo do Microsoft POS for . qualquer aplicação do Microsoft POS for .NET como se este estivesse disponível localmente. Guia do Revisor do Windows Server “Longhorn” Beta 3 .0) acrescenta suporte para estações de trabalho de resolução mais alta e abrangendo múltiplos monitores horizontalmente para formar uma única grande área de trabalho. Há uma aplicação de amostra no SDK do POS for . Para mais informações sobre o RemoteApps.NET e em seguida conecte-se ao computador remoto usando o arquivo .exe e pode ser encontrada na pasta \SDK\Exemplos\Exemplo de Aplicação (\SDK\Samples\Sample Application) na pasta onde você instalou o POS for .microsoft. Para acessar esse guia.

42 Além disso.rdp. como 1680 ou 1050. faça o seguinte: • No prompt de comando.exe com a seguinte sintaxe. Para definir uma resolução de exibição personalizada a partir de um prompt de comando. mstsc. monitores mais novos com resoluções de 1680x1050 ou 1920x1200 agora são suportados.rdp ou a partir de um prompt de comando. Adicione ou altere as seguintes configurações: desktopwidth:i:<value> desktopheight:i:<value> Onde <value> é a resolução. como 16:9 ou 16:10. priorização experiência servidor de o recurso Experiência Desktop e as configurações de de dados de exibição são projetados para aumentar a do usuário final quando se conecta remotamente a um terminal do Windows Server “Longhorn”. Por exemplo.rdp. Nota Para mais informações sobre as configurações de arquivo .rdp em um editor de texto. faça o seguinte: • Abra o arquivo . Resoluções de Exibição Personalizadas A resolução de exibição personalizada oferece suporte para proporções adicionais de exibição. Nota Anteriormente. Os monitores usados para a abrangência de monitores devem satisfazer os seguintes requisitos: • Todos os monitores devem usar a mesma resolução. somente proporções de resolução de 4:3 eram suportadas.microsoft. use o comando mstsc. Por exemplo. dois monitores usando resolução 1024x768 podem ser Guia do Revisor do Windows Server “Longhorn” Beta 3 . e a resolução máxima suportada era 1600x1200. Para definir uma resolução de exibição personalizada em um arquivo . consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go. e em seguida pressione ENTER.exe /w:<width> /h:<height> Abrangência do Monitor A abrangência de monitores permite que você exiba sua sessão de área de trabalho remota através de vários monitores. A resolução máxima suportada é 4096x2048. Você pode definir uma resolução de exibição personalizada em um arquivo .com/fwlink/?linkid=66168).

a abrangência de monitores está desabilitada. lado a lado).rdp.rdp ou a partir de um prompt de comando.com/fwlink/?linkid=66168). A resolução total ao longo de todos os monitores não pode exceder 4096x2048. e gerenciamento de fotos. faça o seguinte: • Abra o arquivo • Abra o arquivo . Para implementar o Microsoft POS for .NET 1. como o Windows Media® Player 11. Adicione ou altere as seguintes configurações: Span:i:<value> o o Se <value> = 0. consulte o artigo 885187 na Base de Conhecimento Microsoft (http://go.0) reproduz a área de trabalho que existe no computador remoto no computador cliente do usuário.exe /span Experiência Desktop O software de Conexão de Área de trabalho Remota 6. temas de área de trabalho. Para ativar a abrangência de monitores em um arquivo . faça o seguinte: • No prompt de comando. mstsc.rdp em um editor de texto.43 abrangidos.rdp. digite o seguinte comando. A Experiência Desktop instala recursos do Windows Vista. a abrangência de monitores está ativada. Nota Para mais informações sobre as configurações de arquivo . Atualmente não há suporte para abranger múltiplos monitores verticalmente no sistema cliente.0 (Remote Desktop Connection 6.1 em seu servidor de terminal. • Você pode ativar a abrangência de monitores em um arquivo . você pode instalar o recurso de Experiência Desktop em seu servidor de terminal do Windows Server “Longhorn”. Para fazer o computador remoto se parecer com a Experiência Desktop do Windows Vista local do usuário. Mas um monitor em 1024x768 e outro em 800x600 não podem ser abrangidos. • Todos os monitores devem estar alinhados horizontalmente (isto é. Se <value> = 1. faça o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3 .microsoft. e em seguida pressione ENTER. Para ativar a abrangência de monitores a partir de um prompt de comando.

certifique-se de que o recurso Experiência Desktop será instalado. Nota Para que o computador cliente do Windows Vista use a composição de área de trabalho em uma conexão de área de Guia do Revisor do Windows Server “Longhorn” Beta 3 . Composição de Área de trabalho O Windows Vista oferece uma experiência visualmente dinâmica chamada Windows Aero™. assinale a caixa de seleção Desktop Experience. e em seguida clique em Server Manager. Um servidor de terminal Windows Server “Longhorn” pode ser configurado para fornecer recursos do Windows Aero quando um computador cliente do Windows Vista se conecta ao servidor de terminal Windows Server “Longhorn” usando Conexão de Área de trabalho Remota. 2. Esta funcionalidade é mencionada como composição de área de trabalho. confirme que a Experiência Desktop está instalada. a. Na página Select Features. aponte para Administrative Tools. Clique em Close. Na página Installation Results. 6. e em seguida clique em Install. e em seguida clique em Next. b. Depois que o servidor reiniciar. Na página Confirm Installation Options. 3.44 1. O Windows Aero oferece recursos como estes: • • • Janelas transparentes Botões de barra de tarefas com visualizações de janela em tamanho miniatura Uma vista de suas janelas abertas em um stack tridimensional em sua área de trabalho Nota Para mais informações sobre os recursos do Windows Aero. confirme que a Experiência Desktop está listada como instalada. clique em Add features. você é instruído a reiniciar o servidor para concluir o processo de instalação.com/fwlink/?LinkId=71741). e em seguida clique em Yes para reiniciar o servidor. 4. Abra o Gerenciador de Servidor.microsoft. consulte o Windows Aero (http://go. Em Features Summary. Em Features Summary. Clique em Start. 5. Inicie o Gerenciador de Servidor.

faça o seguinte: 1. Para definir o tema em “Windows Vista” em seu servidor de terminal. e em seguida clique em Properties. faça o seguinte: 1. No painel de Services. Cliquem em Start. Cor e Aparência das janelas b. clique com o botão direito em Themes. Guia do Revisor do Windows Server “Longhorn” Beta 3 . faça o seguinte: 1. Facilidade de Acesso d. 2. aponte para Administrative Tools. Máxima Profundidade de Cor Para iniciar o serviço de Temas em seu servidor de terminal. Configure o tema: a. 2. e em seguida clique em Services. o computador cliente do Windows Vista deve ter hardware instalado capaz de suportar o Windows Aero. clique em Start para iniciar o serviço de Temas. Clique em Personalization. Configurações de Exibição c.45 trabalho remota com um servidor de terminal do Windows Server “Longhorn”. Iniciando o serviço de Temas b. e em seguida clique em Appearance and Personalization. e em seguida clique em OK. e em seguida clique em Apply. clique em Control Panel. Contudo. Na guia General. Ajuste as configurações de: a. 2. o servidor de terminal Windows Server “Longhorn” não precisa ter hardware instalado capaz de suportar o Windows Aero. e em seguida cliquem em Theme. 3. Clique em Start. Instale o recurso Experiência Desktop. Para configurar a composição de área de trabalho para conexões de estações de trabalho remotas em seu servidor de terminal. 4. mude o Startup type para Automatic. Em Service status. Definindo o tema em “Windows Vista” 3.

ele será exibido na conexão de área de trabalho remota se o hardware do computador cliente o suportar. Clique em Display Settings. 5. e em seguida clique em OK novamente para fechar a caixa de diálogo Appearance. e em seguida clique em OK. 4. O sistema operacional determinará se o computador possui o hardware necessário para suportar e exibir os recursos do tema do “Windows Vista”. 3. Ajustando Configurações Adicionais Para assegurar que a composição de área de trabalho ofereça a funcionalidade desejada durante conexões de estações de trabalho remotas. Mesmo que o hardware no servidor de terminal Windows Server “Longhorn” não suporte o tema do “Windows Vista”. clique em OK. 2. Clique em Start. Clique em Personalization. Na guia Themes. Para configurar configurações adicionais em seu servidor de terminal. clique em Control Panel. No painel à esquerda. Na guia Monitor. e em seguida assinale a caixa de seleção Show window contents while dragging. e então clique em Appearance and Personalization. existem configurações adicionais que precisam ser configuradas no servidor de terminal do Windows Server “Longhorn”. faça o seguinte: 1. Além disso. Para salvar a configuração. altere o Theme for Windows Vista. e em seguida clique em Window Color and Appearance. Na guia Appearance. 6. clique em Make it easier to focus on tasks. clique em Highest (32 bits). 8. siga este procedimento. clique em Effects.46 3. 9. clique em Ease of 7. na lista de Colors. Para fazer esses ajustes. Em Explore all settings. em Access. See also. o servidor de terminal deve ser configurado para suportar uma profundidade máxima de cor de 323 bits por pixel Guia do Revisor do Windows Server “Longhorn” Beta 3 . Clique em Save. apague a marca na caixa de seleção Turn off all unnecessary animations (when possible). e em seguida clique em OK. Em Adjust time limits and flashing visuals.

clique em Options. está especificando que as configurações locais no computador cliente do Windows Vista ajudarão a determinar a experiência do usuário na conexão de área de trabalho remota. Note que ao permitir a composição de área de trabalho. siga este procedimento. Configure quaisquer configurações restantes. assinale a caixa de seleção Desktop composition. aponte para All Programs. clique em Accessories. Quando você permite a composição de área de trabalho. você não muda as configurações do servidor de terminal do Windows Server “Longhorn”. A profundidade máxima de cor pode ser configurada usando-se um dos métodos a seguir: • Definindo a Limit Maximum Color Depth na guia Client Settings na ferramenta de Configuração de Serviços de Terminal (tsconfig. Configuração de Cliente Para tornar a composição de área de trabalho disponível para uma conexão de área de trabalho remota. Suavização de Fonte O Windows Server “Longhorn” suporta ClearType®. Para tornar uma composição de área de trabalho disponível. faça o seguinte: 1. Como o Windows Aero requer e usa mais recursos de hardware. Na guia Experience. e em seguida clique em Remote Desktop Connection. clique em Start. 2. 3. e assegure-se de que a caixa de seleção Themes esteja assinalada. 4.msc) Ativando Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Remote Session Environment\Limit maximum color depth como a definição de diretiva • Note que a definição de Diretiva de Grupo terá prioridade sobre a definição na ferramenta de Configuração de Serviços de Terminal.47 (bpp) para conexões remotas. que é uma tecnologia para exibir fintes de computador de modo que elas Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para abrir a Conexão de Área de trabalho Remota no Windows Vista. você precisará determinar que impacto sobre a escalabilidade isso terá em quantas conexões simultâneas de estações de trabalho remotas que o seu servidor de terminal Windows Server “Longhorn” pode suportar. Na caixa de diálogo Remote Desktop Connection. Abra a Conexão de Área de trabalho Remota (Remote Desktop Connection). e em seguida clique em Connect.

faça o seguinte: 1. Esta funcionalidade é chamada de suavização de fonte. Para abrir a Conexão de Área de trabalho Remota no Windows Vista. e em seguida clique em Cor e Window Color and Appearance. clique em Options. aponte para All Programs. e então clique em Appearance and Personalization. Para garantir que o ClearType esteja ativado.48 apareçam claras e suaves. o ClearType está ativado no Windows Server “Longhorn. Guia do Revisor do Windows Server “Longhorn” Beta 3 . 2. clique em Accessories. 3. faça o seguinte: 1. e em seguida clique em OK. especialmente quando se usa um monitor de LCD. Na caixa de diálogo Remote Desktop Connection. assinale a caixa de seleção Font smoothing. A suavização de fonte está disponível se o computador cliente estiver executando algum dos seguintes: • • • Windows Vista Windows Server 2003 com SP1 e software de Conexão de Área de trabalho Remota 6. clique em Effects. Clique em Start. siga este procedimento no computador cliente. Um servidor de terminal Windows Server “Longhorn” pode ser configurado para oferecer funcionalidade ClearType quando um computador cliente se conecta a um servidor de terminal Windows Server “Longhorn” usando Conexão de Área de trabalho Remota. 3. selecione ClearType. Abra a Remote Desktop Connection.0 (Remote Desktop Connection 6. 2. Para tornar a suavização de fontes disponível para uma conexão de área de trabalho remota.” Para garantir que o ClearType esteja ativado no servidor de terminal Windows Server “Longhorn”.0 (Remote Desktop Connection 6. Clique em Personalization. siga este procedimento. e em seguida clique em Remote Desktop Connection.0) Windows XP com SP2 e software de Conexão de Área de trabalho Remota 6. Na guia Appearance. Para tornar a suavização de fontes disponível. clique em Start. clique em Control Panel. e em seguida assinale a caixa de seleção Use the following method to smooth edges of screen fonts. Na guia Experience.0) Por padrão.

Configure quaisquer configurações de conexão restantes. Você pode ajudar as configurações de priorização dos dados de exibição fazendo alterações no registro do servidor de terminal. Priorização de Dados de Exibição A priorização de dados de exibição controla automaticamente o tráfego do canal virtual para que os dados do monitor. você não muda as configurações do servidor de terminal do Windows Server “Longhorn”. Note que ao permitir a suavização de fonte. receberão 30 por cento da largura de banda. A proporção padrão de largura de banda é 70:30. e em seguida clique em Connect. primeiro a sair”. Você pode desabilitar a priorização dos dados de exibição definindo o valor de FlowControlDisable em 1. como grandes tarefas de impressão. Você pode estabelecer a prioridade relativa de largura de banda para exibição (e dados de entrada) definindo o valor de FlowControlDisplayBandwidth. teclado e mouse recebam maior prioridade que os outros. você pode adicioná-los. Guia do Revisor do Windows Server “Longhorn” Beta 3 . transferência de arquivos ou tarefas de impressão. aponte para Novo (New). Dados de exibição e entrada terão alocados 70 por cento da largura de banda. Para fazer isso. o valor máximo permitido é 255. Quando você permite a suavização de fonte. clique com o botão direito do mouse em TermDD. como área de transferência. como impressões ou transferências de arquivos.49 4. Se a priorização dos dados de exibição estiver desabilitada. Essa priorização é projetada para garantir que o desempenho de sua janela não seja afetado de maneira adversa por ações de consumo intensivo de largura de banda. Usar a suavização de fonte em uma conexão de área de trabalho remota aumenta a quantidade de largura de banda usada entre o computador cliente e o servidor de terminal Windows Server “Longhorn”. está especificando que as configurações locais no computador cliente ajudarão a determinar a experiência do usuário na conexão de área de trabalho remota. Você pode alterar o valor das seguintes informações na sub-chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD: • • • • FlowControlDisable FlowControlDisableBandwidth FlowControlChannelBandwidth FlowControlChargePostCompression Se esses registros não aparecerem. e todo o tráfego restante. todas as solicitações são tratadas em uma base “primeiro a entrar. e em seguida clique em DWORD (32-bit) Value. O valor padrão para FlowControlDisable é 0. O valor padrão é 70.

precisará reiniciar o servidor de terminal para que as alterações tenham efeito. Por exemplo. O valor padrão é 30. assim a exibição e dados de entrada terão alocados 75 por cento da largura de banda. A proporção de largura de banda para priorização de dados de exibição se baseia nos valores de FlowControlDisplayBandwidth e FlowControlChannelBandwidth. o que significa que o cálculo será feito em bytes pré-compressão. O logon único possibilita dar aos usuários uma melhor experiência eliminando a necessidade de eles digitarem suas credenciais sempre que iniciarem uma sessão remota. Se você fizer alguma alteração nos valores do registro. se FlowControlDisplayBandwidth estiver definido em 150 e FlowControlChannelBandwidth em 50. O valor padrão é 0. Também pode usar o logon único para conexões remotas entre dois servidores baseados no Windows Server “Longhorn”.50 Você pode estabelecer a prioridade relativa de largura de banda para outros canais virtuais (como área de transferência. o valor máximo permitido é 255. Logon Único O logon único é um método de autenticação que permite a um usuário com uma conta de domínio efetuar o logon uma única vez. usando uma senha ou smart card. a proporção é 150:50. Pré-requisitos para Implantar o Logon Único Para implementar a funcionalidade de logon único em Serviços de Terminal. e então obter acesso a servidores remotos sem precisar apresentar suas credenciais novamente. transferências de arquivos ou tarefas de impressão) definindo o valor de FlowControlChannelBandwidth. Certifique-se de que as contas de usuário usadas para efetuar o logon possuem os direitos apropriados para se Guia do Revisor do Windows Server “Longhorn” Beta 3 • . O valor FlowControlChargePostCompression determina se o controle de fluxo controlará a alocação de largura de banda com base em bytes de pré-compressão ou de pós-compressão. assegure-se de que satisfaz os seguintes requisitos: • Você pode usar o logon único somente para conexões remotas de um computador baseado em Windows Vista para um servidor de terminal baseado no Windows Server “Longhorn”. muitas companhias preferem instalar suas aplicações de gestão de negócios em um servidor de terminal e tornar essas aplicações disponíveis através do RemoteApps ou da Área de trabalho Remota. Os principais cenários para o logon único são esses: • • Implantação de aplicações de gestão de negócios (LOB) Implantação centralizada de aplicação Devido a custos mais baixos de manutenção.

clique em Start. Guia do Revisor do Windows Server “Longhorn” Beta 3 . 5. Para permitir o uso de credencial padrão para logon único. e então clique em Show. complete os passos a seguir: • • Configure a autenticação no servidor de terminal. 3. digite tsconfig.51 registrar tanto no servidor de terminal como no cliente Windows Vista. expanda o seguinte: Computer Configuration. na guia Setting. • Seu computador cliente e servidor de terminal devem ser ligados a um domínio. Configure o computador baseado em Windows Vista para permitir que credenciais padrão sejam usadas para efetuar o logon nos servidores de terminal especificados. e em seguida clique em Credentials Delegation. 2. e em seguida clique em Properties. certifique-se de que o valor da Security Layer seja Negotiate ou SSL (TLS 1. e na caixa Start Search digite gpedit. clique em Start. System. No computador baseado em Windows Vista. 4. clique em Run. clique em Add para adicionar servidores à lista. 2. faça o seguinte: 1. Configuração Recomendada de um Servidor de Terminal ao Usar o Logon Único Para definir as configurações recomendadas para seu servidor de terminal. na guia General. Abra a Configuração de Serviços de Terminal (Terminal Services Configuration). abra o Editor Objeto de Diretiva de Grupo (Group Policy Object Editor). faça o seguinte: 1. Administrative Templates. 3. Para configurar a autenticação no servidor de terminal. Para abrir a Configuração de Serviços de Terminal. clique com o botão direito do mouse em RDPTcp. Em Connections.msc e em seguida clique em OK. Para abrir o Editor Objeto de Diretiva de Grupo. Na caixa de diálogo Properties. Na caixa de diálogo Start Contents.msc e em seguida pressione ENTER. e em seguida clique em OK.0). No painel à esquerda. Dê um clique duplo em Allow Delegating Default Credentials. clique em Enabled. Na caixa de diálogo Properties.

digite o prefixo termsrv/ seguido pelo nome do servidor de terminal. e então clique em OK. Na caixa de diálogo Add Item. por exemplo. na caixa Enter the item to be added. termsrv/Server1. Guia do Revisor do Windows Server “Longhorn” Beta 3 .52 6.

Por exemplo. Como a maioria das empresas abre a porta 443 para permitir a conectividade de Internet.Remote Desktop Protocol) sobre HTTPS para formar uma conexão segura e criptografada entre usuários remotos na Internet e os computadores remotos nos quais suas aplicações de produtividade são executadas.Secure Sockets Layer/Transport Layer Security) de HTTP. é tipicamente bloqueada para fins de segurança de rede. O TS Gateway oferece um modelo abrangente de configuração de segurança que permite que você controle o acesso a recursos específicos de rede (computadores). Esses grupos podem ser grupos existentes • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . O TS Gateway permite aos usuários se conectarem remotamente a servidores de terminal e estações de trabalho remotas hospedados atrás de firewalls em redes privadas e através de tradutores de endereço de rede (NATs).03 Gateway de Serviços de Terminal O Gateway de Serviços de Terminal (TS Gateway) é um serviço de função na função de servidor de Serviços de Terminal que permite que usuários remotos autorizados se conectem a servidores de terminal e estações de trabalho remotas (computadores remotos) em uma rede corporativa. você pode especificar o seguinte: o Quem pode se conectar a recursos da rede (em outras palavras. Isso porque a porta 3389. O TS Gateway foi introduzido na versão Beta 1 do Windows Server “Longhorn. os grupos de usuários que podem se conectar).53 3. através de uma conexão criptografada.” O TS Gateway oferece os seguintes benefícios: • O TS Gateway possibilita a usuários remotos se conectarem à rede corporativa a partir da Internet. Antes dessa versão do Windows Server. medidas de segurança impediam que os usuários se conectassem a computadores remotos passando por firewalls e NATs. sem precisar configurar conexões de VPN. O TS Gateway usa o Protocolo de Área de trabalho Remota (RDP . o TS Gateway tira proveito desse projeto de rede para fornecer conectividade de acesso remoto através de vários firewalls. O TS Gateway transmite o tráfego de RDP para a porta 443. aquela usada para conexões de RDP. • O snap-in console do Gerenciador de TS Gateway permite que você configure diretivas de autorização para definir condições que devem ser satisfeitas para que os usuários se conectem a recursos de rede. a partir de qualquer dispositivo conectado à Internet. usando um túnel de Camada de Soquete Seguro/Segurança de Camada de Transporte (SSL/TLS .

• Você pode usar o servidor de TS Gateway com o Microsoft Internet Security and Acceleration (ISA) Server para aumentar a segurança. o o o o • Um ou mais recursos da rede aos quais os usuários podem se conectar Se computadores clientes têm de ser membros de domínios do Active Directory Se o redirecionamento de dispositivo ou disco é permitido Se clientes precisam usar autenticação de smart card ou de senha. e outras configurações.microsoft. imposição e correção de diretiva de integridade que está incluída no Windows Vista e Windows Server “Longhorn. Para informações sobre como configurar o ISA Server como um dispositivo de encerramento para cenários de servidor do TS Gateway. consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go. e hospedar o ISA Server na rede de perímetro. A conexão SSL entre o cliente de Serviços de Terminal e o ISA Server pode ser encerrada no ISA Server. você pode especificar eventos Guia do Revisor do Windows Server “Longhorn” Beta 3 . de atualizações de segurança. Neste cenário.com/fwlink/?linkid=79605). Para informações sobre como configurar o TS Gateway para usar a NAP para imposição de diretiva de integridade para clientes de Serviços de Terminal que se conectam a servidores do TS Gateway. ou se podem usar qualquer dos métodos Você pode configurar servidores de TS Gateway e clientes de Serviços de Terminal para usar a NAP para melhorar ainda mais a segurança. consulte o Guia Passo a Passo de Instalação do Servidor de TS Gateway (http://go. que encara a Internet. administradores de sistema podem impor requisitos de integridade. configurações de computador exigidas. e sub-rede de borda).microsoft. que podem incluir requisitos de software. você pode hospedar servidores de TS Gateway em uma rede privada em vez de em uma rede de perímetro (também conhecida como DMZ. Grupos gerenciados pelo TS Gateway são aqueles que você configura usando o Gerenciador do TS Gateway.com/fwlink/?linkid=79605).54 em Usuários e Grupos Locais no servidor do TS Gateway. zona desmilitarizada. A NAP é uma tecnologia de criação. grupos existentes nos Serviços de Domínio do Active Directory®. de conexão. integridade e eventos do TS Gateway. Usando o Gerenciador do TS Gateway. • O console do snap-in Gerenciador de TS Gateway oferece ferramentas para ajudar você a monitorar o status. ou grupos gerenciados novos ou existentes do TS Gateway.” Com a NAP.

você pode centralizar o armazenamento. planejadores e analistas que estejam avaliando acesso remoto e produtos de solução de e móvel Arquitetos de TI corporativa e designers para organizações “early adopters” Arquitetos de segurança responsáveis pela implementação de computação confiável Profissionais de TI responsáveis por servidores de terminal ou acesso remoto a estações de trabalho Para que o TS Gateway funcione corretamente. Os seguintes serviços e recursos de função devem estar instalados e em execução para que o TS Gateway funcione: o o Chamada de procedimento remoto (RPC .remote procedure call) sobre serviço de Proxy HTTP Web Server (IIS) (Internet Information Services 7. você também pode usar o servidor de NPS existente para cenário de TS Gateway. o TS Gateway pode simplificar a administração da rede e reduzir a exposição a riscos de segurança.0).) Serviço de Servidor de Diretiva de Rede (NPS Network Policy Server). Se um servidor de NPS – anteriormente conhecido como servidor de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS Remote Authentication Dial-In User Service) — já estiver implantado para cenários de acesso remoto como VPN e rede discada.55 (como tentativas fracassadas de conexão com o servidor do TS Gateway) que quer monitorar para fins de auditoria. Se sua organização torna aplicações baseadas em Serviços de Terminal e computadores que executam Área de trabalho Remota disponíveis a usuários de fora do perímetro de sua rede. Deve ser membro do grupo de Administradores no computador que quer configurar como um servidor de TS Gateway. Usando o NPS para TS Gateway. gerenciamento e validação das o Guia do Revisor do Windows Server “Longhorn” Beta 3 . (O IIS 7. você deve satisfazer esses pré-requisitos: • • • Você deve ter um servidor com o Windows Server “Longhorn” instalado. bloquear conexões de saída de RDP ou VPN. de outra forma. Você deve analisar esta seção e a documentação adicional de suporte sobre o TS Gateway se estiver em qualquer dos seguintes grupos: • • • • • Administradores de TI.0 deve estar instalado e em execução para que o serviço de RPC sobre Proxy HTTP funcione. O TS Gateway também pode facilitar as coisas para os usuários pois eles não precisam configurar conexões de VPN e podem acessar servidores de nextref_ts_gateway a partir de sites que podem.

consulte o Guia Passo a Passo de Instalação do TS Gateway (http://go. e CERT_DATA_ENCIPHERMENT_KEY_USAGE. você deve instalar um certificado de SSL no servidor de TS Gateway. esses serviços e recursos de função adicionais são instalados automaticamente.6. Quando você usa o Gerenciador de Servidor para instalar o serviço de função de TS Gateway.3.microsoft.15.microsoft. O certificado tem uma chave privada correspondente. Para que o TLS funcione corretamente.5. CERT_KEY_AGREEMENT_KEY_USAGE. se o certificado que você planeja usar contiver um identificador de objeto de 2.5. O fim pretendido do certificado é autenticação de servidor. ou CN) deve corresponder ao nome configurado no servidor de TS Gateway.1). Um identificador de objeto de certificado (também conhecido como OID) de 2.15 não é exigido. O certificado deve satisfazer esses requisitos: o O nome na linha Assunto (Subject) do certificado do servidor (nome do certificado.5. Além disso. O Uso Estendido de Chave (EKU .56 diretivas de autorização de conexão de Serviços de Terminal (TS CAPs). você poderá usar o certificado somente se pelo menos um dos seguintes valores de uso de chave também estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE.1.3.com/fwlink/?linkid=79605). no servidor de TS Gateway. Recomendamos que o certificado seja válido por um ano a partir da data de instalação. Contudo.com/fwlink/?LinkID=74577). • Você deve obter um certificado de SSL para o servidor de TS Gateway se já não tiver um. consulte Registro e Gerenciamento Avançados de Certificados (http://go. Por padrão.7.5.29. o serviço de Balanceamento de Carga RPC/HTTP e o serviço de IIS usam TLS 1. o o o o o Para mais informações sobre esses valores.0 para criptografar as comunicações entre clientes e servidores do TS Gateway através da Internet. tenha em mente as seguintes considerações: Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para mais informações sobre requisitos de certificados para o TS Gateway e como obter e instalar um certificado se você ainda não tiver um. O certificado é um certificado de computador.29. O certificado não expirou.Extended Key Usage) é Autenticação de Servidor (1.

com/fwlink/?linkid=79605). Uma TS RAP permite que você especifique os recursos de rede aos quais os usuários podem se conectar através do TS Gateway. Pode listar condições específicas em cada TS CAP. inclusive o Guia Passo a Passo de Instalação do TS Gateway (http://go. As TS CAPs permitem que você especifique quem pode ser conectar a um servidor de TS Gateway. Grupos de Computadores Associados com TS RAPs Guia do Revisor do Windows Server “Longhorn” Beta 3 . As TS CAPs simplificam a administração e aumentam a segurança oferecendo um maior nível de controle sobre o acesso a computadores remotos em sua rede corporativa. Por exemplo. você pode exigir que um usuário use um smart card para se conectar através do TS Gateway. Deve se familiarizar com os protocolos TLS e SSL se ainda não os conhecer. TS CAPs As diretivas de autorização de conexão dos Serviços e Terminal (TS CAPs) permitem que você especifique grupos de usuários. Você deve se preparar para comprar um certificado SSL. que podem acessar um servidor de TS Gateway. os usuários não podem se conectar a recursos de rede através desse servidor de TS Gateway. Importante Você também deve criar uma diretiva de autorização de recurso de Serviços de Terminal (TS RAP).57 • O TS Gateway transmite todo o tráfego de RDP (que tipicamente teria sido enviado pela porta 3389) para a porta 443 usando um túnel de HTTPS. Os usuários recebem acesso a um servidor de TS Gateway se atenderem as condições especificadas na TS CAP. Isso também significa que todo o tráfego entre o cliente e o TS Gateway é criptografado enquanto em trânsito pela Internet. Você pode especificar um grupo de usuários que existe no servidor de TS Gateway local ou nos Serviços de Domínio do Active Directory. ou para emitir um a partir de sua própria autoridade de certificação (CA). Você pode criar um TS CAP usando o Gerenciador de TS Gateway. grupos de computadores. Você também pode especificar outras condições que os usuários devem satisfazer para acessar um servidor de TS Gateway.microsoft. Você deve analisar esse tópico e a documentação adicional de suporte do TS Gateway. e opcionalmente. • • • O TS Gateway oferece os seguintes novos recursos para simplificar a administração e melhorar a segurança. Até você criar uma TS CAP e uma TS RAP.

58 Os usuários podem se conectar através do TS Gateway a recursos de rede em um grupo de computadores. e então associe os grupos de computadores com as TS RAPs para conceder acesso aos usuários conforme necessário. Qualquer recurso de rede: Neste caso. O grupo de computadores pode ser qualquer um dos seguintes: • Membros de um grupo do Windows existente: O grupo do Windows pode existir em Usuários e Grupos Locais no servidor de TS Gateway. Capacidades de Monitoramento Você pode usar o Gerenciador de TS Gateway para visualizar informações sobre conexões ativas de clientes de Serviços de Guia do Revisor do Windows Server “Longhorn” Beta 3 . • • Para garantir que os usuários apropriados tenham acesso a recursos de rede adequados. os usuários podem se conectar a qualquer computador na rede a que podem se conectar quando usam a Área de trabalho Remota. Avalie os usuários que devem ter acesso a cada agrupo de computadores. planeje e crie grupos de computadores cuidadosamente. Juntas. Nota Usuários de clientes podem especificar um nome de NetBIOS ou um nome de domínio completamente qualificado (FQDN fully qualified domain name) para o computador remoto que querem acessar através do servidor de TS Gateway. Membros de um grupo de computadores gerenciado pelo TS Gateway ou um novo grupo gerenciado pelo TS Gateway que você criar: Você pode adicionar os computadores aos quais queira fornecer acesso de usuário no grupo de computadores gerenciado pelo TS Gateway usando o Gerenciador de TS Gateway. Usuários conectando-se à rede através do TS Gateway recebem acesso a computadores remotos na rede corporativa se satisfizerem as condições especificadas em pelo menos uma TS CAP e uma TS RAP. as TS CAPs e TS RAPs oferecem dois níveis diferentes de autorização para dar a você a capacidade de configurar um nível mais específico de controle de acesso a recursos de redes corporativas. pode criar um grupo de computadores e associá-lo com a TS RAP. ou pode existir nos Serviços de Domínio do Active Directory. Quando você cria uma TS RAP. TS RAPs As TS RAPs permitem que você especifique os recursos de rede aos quais os usuários podem se conectar através de um servidor de TS Gateway. Para suportar tanto nomes de NetBIOS ou FQDN. crie uma TS RAP para cada nome de computador possível.

você pode monitorar os eventos correspondentes usando Windows Event Viewer. Guia do Revisor do Windows Server “Longhorn” Beta 3 . As configurações de Diretiva de Grupo para conexões de cliente de Serviços de Terminal através do TS Gateway podem ser aplicadas de duas maneiras. e não o endereço IP do cliente de Serviços de Terminal. o endereço IP que aparece na coluna Client IP Address (no painel de detalhes Monitoring) pode refletir o endereço IP do servidor Proxy. Essas informações incluem o seguinte: • • O domínio e ID de usuário do usuário que efetuou logon no cliente O endereço IP do cliente Nota Se sua configuração de rede inclui servidores Proxy. Impor uma definição de diretiva evita que um usuário altere a definição de conexão do TS Gateway. Sugerir uma definição de diretiva permite aos usuários no cliente inserir configurações alternativas de conexão do TS Gateway. como tentativas bem sucedidas e fracassadas de conexão a recursos internos de rede através de um servidor de TS Gateway. mesmo se ele selecionar a opção Use these TS Gateway server settings (Usar essas configurações de servidor do TS Gateway) no cliente. Essas configurações de diretiva podem ser sugeridas (ou seja.59 Terminal com recursos de rede através do TS Gateway. Os eventos do TS Gateway são armazenados em Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\. que ficam contidas dentro de objetos de Diretiva de Grupo. Quando esses eventos ocorrem. Você usa o Editor de Objeto de Diretiva de Grupo para configurar essas configurações. Configurações de Diretiva de Grupo para TS Gateway Você pode usar Diretiva de Grupo e Serviços de Domínio do Active Directory para centralizar e simplificar a administração de configurações de diretiva do TS Gateway. Você usa o Console de Gerenciamento de Diretiva de Grupo (GPMC) para ligar GPOs a sites. domínios ou unidades organizacionais (OUs) nos Serviços de Domínio do Active Directory. mas não impostas) ou podem ser ativadas e impostas. se aplicável Você também pode especificar os tipos de eventos que quer monitorar. • • • • O nome do computador de destino ao qual o cliente está conectado A porta de destino através da qual o cliente está conectado A data e hora em que a conexão foi iniciada O tempo que a conexão está inativa. podem ser ativadas.

Isso permite que você especifique o método de autenticação que os clientes de Serviços de Terminal devem usar quando se conectarem a recursos de rede através de um servidor de TS Gateway. O TS Gateway apenas gerencia a maneira como a conexão ao computador remoto é criada.0 (Remote Desktop Connection version 6. • • Guia do Revisor do Windows Server “Longhorn” Beta 3 .0. que está incluído com o Windows Server “Longhorn” e Windows Vista. quando clientes de Serviços de Terminal não puderem se conectar diretamente a um recurso de rede. faça o download do pacote de instalação para o RDC 6.0).” Windows Server 2003. Se o computador remoto estiver usando recursos novos de Serviços de Terminal. Isso permite que você especifique que. mas ativar a definição Enable connections through TS Gateway (Ativar conexões através do TS Gateway). Você não precisa alterar nenhum código existente para trabalhar com o TS Gateway.0. Nota O software de Conexão de Área de trabalho Remota versão 6. Isso permite que você especifique o servidor de TS Gateway que os clientes de Serviços de Terminal usam quando não conseguem se conectar diretamente a um recurso da rede. Nota O TS Gateway pode rotear conexões para qualquer sessão baseada em Serviços de Terminal. inclusive aquelas em computadores baseados no Windows Server “Longhorn. as tentativas de conexão do cliente a qualquer recurso da rede falharão se o cliente não puder se conectar diretamente ao recurso da rede.0 (Remote Desktop Connection version 6. Importante Se você desativar ou não configurar essa definição de diretiva. Permitir conexões através do TS Gateway.0) está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Para usar qualquer novo recurso de Serviços de Terminal em qualquer dessas plataformas. Windows Vista e Windows XP. Para fazer o download do pacote de instalação do RDC 6. eles tentarão se conectar ao recurso de rede através do servidor de TS Gateway especificado na definição de diretiva Set the TS Gateway server address (Definir o endereço do servidor de TS Gateway). Definir o endereço do servidor de TS Gateway.60 As três configurações de Diretiva de Grupo a seguir estão disponíveis para o servidor de TS Gateway: • Definir o método de Autenticação do Servidor de TS Gateway. você precisará usar o software de Conexão de Área de trabalho Remota versão 6.

com/fwlink/?LinkID=79373).microsoft.61 acesse a Central de Downloads Microsoft (http://go. Guia do Revisor do Windows Server “Longhorn” Beta 3 .

incluindo essas: • • Escritórios remotos.62 3. os usuários podem executar RemoteApps de várias maneias. (Isso pode ser configurado pelo administrador com um pacote .rdp que tenha sido criado e distribuído por seu administrador. O TS RemoteApp pode reduzir a complexidade e o overhead administrativo em muitas situações. Dar um clique duplo no ícone de um programa em sua área de trabalho ou no menu Iniciar que tenha sido criado e distribuído por seu administrador com um pacote do Windows Installer (.04 RemoteApp de Serviços de Terminal O RemoteApp™ de Serviços de Terminal(TS RemoteApp) permite a organizações oferecer acesso a programas padrão baseados em Windows a partir de virtualmente qualquer local a usuários de qualquer computador baseado no Windows Vista ou Windows Server “Longhorn”. Um usuário pode minimizar. Dar um clique duplo em um arquivo cuja extensão seja associada com um RemoteApp. onde pode haver suporte local de TI limitado e largura de banda de rede limitada.msi. Para o Windows Server “Longhorn” Beta 3. Situações em que usuários precisam acessar aplicações remotamente Guia do Revisor do Windows Server “Longhorn” Beta 3 .rdp e pacotes . Depois de abrir o RemoteApp em um computador local. ou no Windows Server 2003 com Service Pack 1 (SP1) que tenham o novo cliente Conexão de Área de trabalho Remota (RDC – Remote Desktop Connection) instalado. o usuário pode interagir com o programa em execução no servidor de terminal como se estivesse sendo executado localmente.) Acessar um link para o RemoteApp em um Website usando o Acesso a Web de Serviços de Terminal(TS Web Access). maximizar e redimensionar a janela do programa. Se um usuário estiver executando mais de um RemoteApp no mesmo servidor de terminal. Os usuários podem executar RemoteApps lado a lado com seus programas locais. e pode facilmente iniciar vários programas ao mesmo tempo. • • Os arquivos . O TS RemoteApp é integrado nos Serviços de Terminal no Windows Server “Longhorn.msi).” Os RemoteApps são programas acessados remotamente através de Serviços de Terminal e aparecem como se estivessem sendo executados no computador local do usuário final. Podem fazer o seguinte: • • Dar um clique duplo em um arquivo . os RemoteApps compartilharão a sessão de Serviços de Terminal.msi contêm as configurações necessárias para executar os RemoteApps. ou a usuários de computadores baseados no Windows XP com Service Pack 2 (SP2).

Implantação de múltiplas versões de uma aplicação. abre novas avenidas para implantação de programas.microsoft. Os usuários podem executar programas a partir de um servidor de terminal e ter a mesma experiência de se os programas fossem executados no computador local do usuário final. Em vez de ser apresentado ao usuário na área de trabalho do servidor de terminal remoto. Nota O software de Conexão de Área de trabalho Remota versão 6.0 está incluído no Windows Vista e Windows Server “Longhorn” Beta 3. como espaços de trabalho “hot desk” ou “hoteling”. ou aplicações que podem ser implantadas mais eficientemente com o TS RemoteApp Para o Windows Server “Longhorn” Beta 3 você deve usar o cliente Conexão de Área de trabalho Remota (RDC . Ambientes. e a documentação adicional de suporte do TS RemoteApp. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas. se estiver em qualquer dos seguintes grupos: • • • Planejadores e analistas de TI avaliando tecnicamente o produto Arquitetos corporativos Profissionais de TI que implantam ou administram servidores de terminal. • • Você deve analisar esse tópico. em que os usuários não têm computadores designados. incluindo janelas redimensionáveis e ícones de notificação na área de notificação. sendo executado em sua própria janela redimensionável com seu próprio registro na barra de tarefas. particularmente se instalar várias versões localmente causar conflitos. faça o download do pacote de instalação na Central de Downloads Microsoft (http://go. Unidades de disco locais e Guia do Revisor do Windows Server “Longhorn” Beta 3 . aplicações de gestão de negócios (LOB). Se o programa usa um ícone de área de notificação.0 ou posterior para executar RemoteApps no computador local de um usuário final. especialmente aplicações de gestão de negócios personalizadas. O cliente RDC 6.63 • Implantação de aplicações de gestão de negócios (LOB). O TS RemoteApp melhora a experiência do usuário.0 está disponível para uso no Windows XP com SP2 e Windows Server 2003 com SP1. e reduz a quantidade de esforço administrativo necessário para suportar esses programas. Janelas pop-up são redirecionadas para a área de trabalho local. este aparece na área de notificação do cliente. o RemoteApp é integrado com a área de trabalho do cliente.Remote Desktop Connection) versão 6.com/fwlink/?LinkId=79373).

consulte o Guia Passo a Passo do TS RemoteApp. Para acessar esse guia. Para testá-los siga os procedimentos descritos no Guia Passo a Passo do TS RemoteApp para configurar seu servidor de terminal para suportar RemoteApps e usar o snap-in Gerenciador de TS RemoteApp para tornar RemoteApps disponíveis para usuários. Como o TS RemoteApp é uma melhoria nas tecnologias existentes de Serviços de Terminal e usa a mesma tecnologia e protocolos. Você deve avaliar seus programas para ver quais podem ser adequados para execução como um RemoteApp. o servidor de terminal que hospeda o programa deve estar executando o Windows Server “Longhorn.com/fwlink/?LinkId=79609). Guia do Revisor do Windows Server “Longhorn” Beta 3 . Muitos usuários podem não ter ciência de que o RemoteApp é um programa diferente do local. não apresenta nenhum novo problema. verifique se ele é executado corretamente no console local de um servidor que esteja executando o Windows Server “Longhorn. e então testar os programas.” Analise outras seções deste guia para informações adicionais sobre questões de compatibilidade. Se você tiver dificuldades em executar um programa como um RemoteApp. Referências Adicionais Para mais informações sobre o TS RemoteApp.64 impressoras podem ser redirecionadas para aparecer no RemoteApp. visite o TechCenter do Windows Server “Longhorn” TS RemoteApp e TS Web Access (http://go. Algumas das mudanças fundamentais no sistema operacional do Windows Server “Longhorn” podem ter impacto sobre versões anteriores de programas que são executados corretamente sob versões anteriores do sistema operacional Windows.microsoft. Para um programa ser executado como um RemoteApp.” Qualquer programa que possa ser executado em uma sessão de Serviços de Terminal ou em uma sessão de Área de trabalho Remota deve ser capaz de ser executado como um RemoteApp.

uma sessão de Serviços de Terminal é iniciada no servidor de terminal baseado no Windows Server “Longhorn” que hospeda o RemoteApp. Como o TS Web Access. Usar o TS Web Access significa que há menos overhead administrativo. os usuários podem se conectar ao servidor de TS Web Access para acessar RemoteApps disponíveis em um ou mais servidores de terminal baseados no Windows Server “Longhorn”. e os programas são executados no mesmo servidor de terminal. Para iniciar um RemoteApp. O TS Web Access tem vários benefícios. Além disso. A lista de RemoteApps disponíveis que aparece na Parte de Web do TS Web Access pode ser personalizada para o usuário individual se você implantar RemoteApps usando distribuição de software de Diretiva de Grupo. os programas são executados em um servidor de terminal e não em um computador cliente. assim são mais fáceis de manter. Você pode implantar programas facilmente a partir de um local central. • • • • As informações neste tópico se aplicam aos seguintes tipos de profissionais de TI: • • • Profissionais de TI que já executam ou se interessam em implantar programas para usuários usando Serviços de Terminal Profissionais de TI que queiram mais controle sobre a experiência do usuário Administradores e desenvolvedores de Web Guia do Revisor do Windows Server “Longhorn” Beta 3 .05 Acesso a Web de Serviços de Terminal O Acesso a Web de Serviços de Terminal(TS Web Access) é um serviço de função na função de Serviços de Terminal que permite que você torne RemoteApps disponíveis a usuários a partir de um navegador da Web. o RemoteApps é executado dentro da mesma sessão de Serviços de Terminal. os usuários podem visitar um Website (a partir da Internet ou de uma intranet) para acessar uma lista de RemoteApps disponíveis. Se um usuário inicia mais de um RemoteApp através do TS Web Access. A página de Web do TS Web Access inclui uma Web Part personalizável. Quando iniciam um RemoteApp. eles simplesmente clicam no ícone do programa. Eles incluem: • Os usuários podem acessar RemoteApps a partir de um Website via Internet ou a partir de uma intranet. O TS Web Access oferece uma solução que trabalha com configuração mínima. que pode ser incorporada em uma página de Web personalizada ou em um site de Serviços do Microsoft Windows SharePoint®.65 3. Depois de instalar o TS Web Access em um servidor de Web baseado no Windows Server “Longhorn”.

o TS Web Access é fácil de configurar e implantar.0 está disponível para uso no Windows XP com Service Pack 2 e Windows Server 2003 com Service Pack 1. Os RemoteApps são contínuos. • Com o TS Web Access. visualizar uma lista de RemoteApps. computadores clientes deve estar executando um dos seguintes sistemas operacionais: o o o o Microsoft Windows XP com Service Pack 2 ou posterior Microsoft Windows Server 2003 com Service Pack 1 ou posterior Windows Vista Windows Server “Longhorn” Nota O software de Conexão de Área de trabalho Remota versão 6.66 • Administradores de Serviços do Windows SharePoint Antes de instalar o TS Web Access. faça o download do pacote de instalação na Central de Downloads Microsoft (http://go.” Deve instalar o TS Web Access junto com o Microsoft IIS 7. Além disso. um usuário pode visitar um Website. a em seguida clicar em um ícone para iniciar um programa. Para um administrador. Para usar o TS Web Access. Com o TS Web Access. O servidor do TS Web Access não precisa ser um servidor de terminal. maximizar e redimensionar a janela do programa. acessam a página da Web e em seguida clicam em um ícone de programa. o que significa que parecem um programa local. O TS Web Access oferece uma experiência de Web muito aprimorada em comparação com versões anteriores de Serviços de Terminal.microsoft. analise as seguintes diretrizes de instalação: • • • • Você deve instalar o TS Web Access em um computador que esteja executando o Windows Server “Longhorn. e podem facilmente iniciar vários programas ao mesmo tempo.com/fwlink/?LinkId=79373). Em vez disso. Esta funcionalidade se traduz em facilidade e flexibilidade de uso e implantação. Para usar qualquer recurso novo de Serviços de Terminal em qualquer dessas plataformas. tenha em mente que o Windows Server “Longhorn” Beta 3 pode não incluir toda a funcionalidade planejada para o TS Web Access. Permite Implantar Facilmente RemoteApps Através da Web Com o TS Web Access.0. Guia do Revisor do Windows Server “Longhorn” Beta 3 . você pode oferecer aos usuários acesso a RemoteApps a partir de qualquer local e computador que tenha acesso a intranet ou Internet. os usuários não têm de iniciar o cliente de RDC para iniciar um RemoteApp. Os usuários podem minimizar.

Um administrador pode especificar a origem dos dados que serão usados para ocupar a lista de RemoteApps.msi quando você cria um pacote Guia do Revisor do Windows Server “Longhorn” Beta 3 • . Os usuários não têm de fazer o download de um controle ActiveX® separado para acessar o TS Web Access. Para acessar esse guia. deve analisar o tópico Gateway de Serviços de Terminal (TS Gateway) neste documento. Informações mais detalhadas de implantação estão disponíveis no Guia Passo a Passo do TS RemoteApp. Como as informações são obtidas através de Diretiva de Grupo.msi que são publicados para um usuário através da distribuição de software de Diretiva de Grupo.67 • • O RemoteApps parece estar sendo executado na área de trabalho local. um RemoteApp é colocado em pacote com a extensão . Você também pode querer analisar as informações sobre o IIS 7. Note que. Por padrão. pode se preparar analisando o tópico Terminal Services RemoteApp (TS RemoteApp) neste documento para informações sobre o novo recurso TS RemoteApp. a lista de RemoteApps que aparece na Parte de Web do TS Web Access (TS Web Access Web Part) é atualizada dinamicamente.0 inclui o Controle ActiveX necessário. o cliente RDC versão 6. O TS Gateway ajuda você a proteger conexões remotas a servidores de terminal em sua rede corporativa. Se o usuário iniciar vários RemoteApps e os RemoteApps estiverem todos sendo executados no mesmo servidor de terminal. visite o TechCenter Windows Server “Longhorn” TS RemoteApp e TS Web Access TechCenter (http://go. A lista de programas exibida na Parte de Web não é específica do usuário atual. a Parte de Web é ocupada por pacotes .rap.com/fwlink/?LinkId=79609). a Parte de Web é ocupada com todos os RemoteApps configurados para acesso à Web na lista de RemoteApps daquele servidor. Quando a origem dos dados são os Serviços de Domínio do Active Directory. Se quiser usar o TS Web Access para tornar RemoteApps disponíveis a computadores através da Internet.0. o TS Web Access exibe apenas os RemoteApps específicos do usuário individual.microsoft. • Quando a origem dos dados é um único servidor de terminal. Em vez disso. a origem dos dados é um único servidor de terminal.rap. os programas são executados na mesma sessão. • Implantação Se você quer implantar o TS Web Access. A Lista de RemoteApps É Atualizada Dinamicamente Quando você implanta o TS Web Access. A lista é ocupada a partir da lista de RemoteApps de um único servidor de terminal ou a partir de RemoteApps que são implantados através de distribuição de software de Diretiva de Grupo. por padrão.

Deve também se familiarizar com a distribuição de software de Diretiva de Grupo.) Implante a Parte de Web como parte de uma página da Web personalizada. e página de Web O TS Web Access oferece uma solução pronta flexível. é fácil implantar programas usando a fonte de dados do servidor de terminal. Com o TS Web Access. A Parte de Web personalizável dá a você flexibilidade no tocante a aparência do site e método de implantação. Inclui a Parte de Web do TS Web Access O TS Web Access oferece uma Parte de Web do TS Web Access personalizável. Você pode implantar a Parte de Web usando qualquer dos seguintes métodos: • • • Implante a Parte de Web como parte da página de Web do TS Web Access. uma página de Web personalizada ou usando os Serviços do Windows SharePoint. deve ter um ambiente de Serviços de Domínio do Active Directory. pode usar pacotes . Versões mais antigas de Serviços de Terminal não ofereciam um mecanismo para atualizar dinamicamente um Website com uma lista de RemoteApps. Se você tiver um único servidor de terminal. Se você quiser personalizar a página de Web ou a Parte de Web padrão. (Esta é a solução pronta padrão. Você cria pacotes . A página de Part) permitem facilmente. onde a lista de RemoteApps é exibida.68 . Deve também decidir se quer fornecer acesso ao TS Web Access usando a página de Web do TS Web Access fornecida.msi para distribuir RemoteApps a clientes.msi do RemoteApp . você não precisa adicionar manualmente uma lista de programas disponíveis em uma página da Web para proporcionar acesso centralizado à Web a RemoteApps. Web do TS Web Access fornecida e a Parte de Web (Web que você implemente o site do TS Web Access rápida e permite que você implante o TS Web Access usando uma ou Serviços do Windows SharePoint. A lista de programas atualizada dinamicamente e a capacidade de especificar a origem dos dados dos RemoteApps simplifica a implantação de RemoteApps através da Web. Se você quiser ocupar a lista de RemoteApps usando Diretiva de Grupo. Adicione a Parte de Web a um site de Serviços do Windows SharePoint. Guia do Revisor do Windows Server “Longhorn” Beta 3 . deve planejar as alterações no design que deseja fazer.msi usando o snap-in Gerenciador de TS RemoteApp.msi configurado para permitir o TS Web Access. Se você já estiver usando a implantação de programas baseada em Diretiva de Grupo.

69 3.06 Impressão de Serviços de Terminal A impressão de Serviços de Terminal foi aprimorada no Windows Server “Longhorn” Beta 3 pelo acréscimo do driver de impressora Terminal Services Easy Print (Impressão Fácil de Serviços de Terminal) e uma definição de Diretiva de Grupo que permite a você redirecionar somente a impressora cliente padrão. Durante o processo de Winlogon. Para usar o driver Terminal Services Easy Print no Windows Server “Longhorn” Beta 3. o .NET Framework 3.) Os clientes baseados no Microsoft Windows Server 2003 com SP1 e no Microsoft Windows XP com SP2 serão suportados quando a versão Windows Vista SP1 do cliente de Conexão de Área de trabalho Remota e o . • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Ele também permite uma experiência de impressão muito mais coerente entre sessões local e remota.NET Framework 3. A definição Redirect only the default client printer policy (Redirecionar apenas a diretiva padrão de impressora cliente) permite que você especifique se a impressora padrão do cliente é a única impressora redirecionada em sessões de Serviços de Terminal. O driver Terminal Services Easy Print oferece a seguinte funcionalidade: • Confiabilidade melhorada da impressão de Serviços de Terminal para sessões de RemoteApp e área de trabalho remota. melhorando a escalabilidade do servidor de terminal. Melhorias de escalabilidade sobre o Windows Server 2003 em termos de desempenho de enumeração de impressora. Suporte para drivers de legado e novos sem a necessidade de instalar esses drivers no servidor de terminal. O driver Terminal Services Easy Print é um novo recurso no Windows Server “Longhorn” Beta 3 que permite aos usuários imprimir de maneira confiável a partir de um RemoteApp ou de uma sessão de área de trabalho de servidor de terminal para a impressora correta em seu computador cliente. os clientes devem estar executando o Windows Vista com SP1.0 SP1 está incluído e é instalado por padrão com o Windows Vista SP1. o spooler enumera apenas impressoras disponíveis para um usuário em uma determinada sessão em vez de enumerar todas as impressoras redirecionadas.0 SP1 estiverem disponíveis para esses sistemas operacionais. (O . em vez de por usuário.0 SP1 deve estar instalado. Além disso. Portanto. as impressoras são enumeradas em uma base por sessão. Isso ajuda a limitar o número de impressoras que o spooler deve enumerar.NET Framework 3.

com/fwlink/?LinkID=82784).microsoft. e o driver da impressora ainda não estiver disponível no servidor de terminal. Adicionar os drivers de impressora do cliente para impressoras local e de rede em um arquivo de mapeamento de impressoras personalizado no servidor de terminal. Embora a definição de Diretiva de Grupo Specify terminal server fallback printer driver behavior (Especificar comportamento do driver de impressora de emergência do servidor de terminal) ainda exista. você deve fazer qualquer dos seguintes para dar suporte à impressão do cliente: • Garantir que os drivers de impressora do cliente para impressoras local e de rede estejam instalados no servidor de terminal. Esta Guia do Revisor do Windows Server “Longhorn” Beta 3 . Todos os recursos do driver de impressora física estão disponíveis para uso quando um usuário visualiza as preferências de impressão. O driver Terminal Services Easy Print proporciona recursos de impressora ricos e completos em sessões remotas. • Configurações de Diretiva de Grupo As seguintes configurações de Diretiva de Grupo foram adicionadas para a impressão de Serviços de Terminal: • Use Terminal Services Easy Print driver first (Usar primeiro o driver Terminal Services Easy Print). consulte a seção Resolução do artigo 239088 na Base de Conhecimento Microsoft (http://go. A definição de Diretiva de Grupo Redirect only the default client printer (Redirecionar apenas a impressora cliente padrão) permite que você controle se a impressora cliente padrão é a única impressora redirecionada em uma sessão de Serviços de Terminal. certifique-se de que ele tenha a assinatura dos Laboratórios de Qualidade de Hardware Windows (WHQL Windows Hardware Quality Labs). ou se todas as impressoras são redirecionadas em uma sessão. O driver de impressora de emergência do servidor de terminal não está mais incluído no Windows Server “Longhorn” Beta 3. os computadores clientes devem satisfazer os requisitos descritos na Seção Há Alguma Consideração Especial Sobre Esses Recursos?. o driver Terminal Services Easy Print é ativado no Windows Server “Longhorn” Beta 3. Por padrão. só pode ser usada para computadores baseados no Windows Server 2003 com SP1. Se houver computadores clientes que não suportem o driver Terminal Services Easy Print driver. Se você estiver instalando um driver de terceiros.70 • Recursos de impressora disponível melhorados. Para mais informações sobre como criar um arquivo de mapeamento de impressoras personalizado. Para usar o driver Terminal Services Easy Print.

Essa definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection Os valores possíveis são: o Enabled (Ativada). Se você desativar ou não configurar essa definição de diretiva. o servidor de terminal tentará primeiro usar o driver Terminal Services Easy Print para instalar todas as impressoras de clientes. Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente. todas as impressoras de clientes são redirecionadas em sessões de Serviços de o Guia do Revisor do Windows Server “Longhorn” Beta 3 . Se. o driver Terminal Services Easy Print não puder ser usado. o servidor de terminal tentará encontrar um driver de impressora adequado para instalar a impressora do cliente. Por padrão. a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal. um driver de impressora que corresponda à impressora do cliente será usado. Se você desativar essa definição de diretiva. por alguma razão. somente a impressora padrão do cliente é redirecionada em sessões de Serviços de Terminal. Se esta definição de diretiva estiver ativada ou não configurada. Disabled or not configured (Desativada ou não configurada). a impressora do cliente não ficará disponível para a sessão de Serviços de Terminal. o • Redirect only the default client printer (Redirecionar apenas a impressora padrão do cliente). Se o servidor de terminal não tiver um driver de impressora que corresponda à impressora do cliente. por alguma razão. essa definição de diretiva não é configurada.71 definição de diretiva está localizada no seguinte nó do Editor de Objetos de Diretiva de Grupo: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection Os valores possíveis são os seguintes: o Enabled or not configured (Ativada ou não configurada). Disabled (Desativada). o servidor de terminal tentará usar o driver Terminal Services Easy Print para instalar a impressora do cliente. Se você ativar essa definição de diretiva. o driver Terminal Services Easy Print não puder ser usado. Se.

Guia do Revisor do Windows Server “Longhorn” Beta 3 . Por padrão.72 Terminal. essa definição de diretiva não é configurada.

o cliente tentará automaticamente se conectar ao endereço IP seguinte. Se isso falhar. e é recomendada para farms de servidores de terminal que consistam em dois a cinco servidores. o nome do recurso Diretório de Sessão de Serviços de Terminal (TS Session Directory) foi alterado para Session Broker de Serviços de Terminal (TS Session Broker). você pode ajudar a distribuir a carga entre servidores mais e menos poderosos em uma farm. O Windows Server “Longhorn” Beta 3 introduz um novo recurso do TS Session Broker — o balanceamento de carga do TS Session Broker. Todos os clientes de entrada nos Serviços de Terminal tentarão se conectar ao primeiro endereço IP para o registro de DNS. a sessão é redirecionada para um terminal que possa aceitar a conexão. são rapidamente redirecionados para o servidor na farm com a menor carga. Se um servidor de terminal na farm estiver indisponível ou sobrecarregado. Guia do Revisor do Windows Server “Longhorn” Beta 3 .Windows Network Load Balancing). Esse recurso permite que você distribua a carga da sessão entre servidores em um farm de servidores de terminal de carga balanceada. O recurso de balanceamento de carga do TS Session Broker também permite que você atribua um valor de peso para cada servidor.07 Session Broker de Serviços de Terminal O Session Broker de Serviços de Terminal (TS Session Broker) é um serviço de função no Windows Server “Longhorn” Beta 3 que permite que um usuário se reconecte a uma sessão existente em uma farm de servidor de terminal de carga balanceada. O TS Session Broker armazena informações de estado da sessão que incluem IDs de sessão e seus nomes de usuários associados. Para participar do balanceamento de carga do TS Session Broker. Servidores de terminal baseados no Microsoft Windows Server 2003 usam o recurso de balanceamento de carga do TS Session Broker. Essa solução é mais fácil de implantar que o Balanceamento de Carga de Rede Windows (NLB .73 3. Embora todos os clientes inicialmente se conectem ao endereço IP do primeiro servidor de terminal. Para configurar o DNS. você deve registrar o endereço IP de cada servidor de terminal na farm em uma única entrada de DNS para a farm. Em vez de ter de usar o NLB para balancear a carga das sessões de usuários. Nota No Windows Server “Longhorn” Beta 3. Isso proporciona certo grau de tolerância a falhas. com o recurso de balanceamento de carga do TS Session Broker você tem apenas de configurar entradas no Sistema de Nome de Domínio (DNS . e o nome do servidor onde cada sessão reside. no caso de um dos servidores de terminal estar indisponível. Atribuindo um valor de peso a um servidor.Domain Name System). o servidor do TS Session Broker e os servidores de terminal na farm devem estar executando o Windows Server “Longhorn” Beta 3.

Se você ativar essa definição de diretiva. e para atribuir um valor de peso a um servidor. Além disso. Se você quiser usar o recurso de balanceamento de carga do TS Session Broker. Esse mecanismo fornece a capacidade de se colocar um servidor offline para manutenção sem interromper a experiência do usuário. Nota A configuração que você pode usar para permitir ou recusar novas conexões de usuários está localizada na guia Geral da conexão RDP-Tcp na ferramenta Configuração de Serviços de Terminal. Se preferir. você deve registrar o endereço IP de todos os servidores de terminal em uma única entrada do DNS para a farm. tanto o servidor do TS Session Broker como os servidores de terminal na mesma farm devem estar executando o Windows Server “Longhorn” Beta 3. O comportamento de redirecionamento para usuários com sessões existentes não será afetado. Se o servidor estiver configurado para usar o TS Session Broker. Se você desativar essa definição de diretiva.74 Nota Para configurar um servidor para participar do balanceamento de carga do TS Session Broker. os usuários que não tiverem uma sessão existente efetuarão o logon no servidor de terminal a que se conectarem primeiro. o TS Session Broker redirecionará as sessões de usuários para servidores de terminal configurados para permitir novas conexões. é fornecido um novo mecanismo que possibilita que você permita ou recuse novas conexões de usuário ao servidor de terminal. o TS Session Broker redirecionará os usuários que não tenham uma sessão existente para o servidor de terminal na farm com o menor número de sessões. você pode usar a ferramenta Configuração de Serviços de Terminal. pode usar rodízio de DNS ou um balanceador de carga de hardware para espalhar a carga de conexão e autenticação inicial entre múltiplos servidores de terminal na farm. Se novas conexões forem recusadas em um servidor de terminal na farm. Disabled (Desativada). Configurações de Diretiva de Grupo A seguinte definição de Diretiva de Grupo foi acrescentada para o TS Session Broker: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\TS Session Broker Load Balancing Os valores possíveis são: • Enabled (Ativada). Guia do Revisor do Windows Server “Longhorn” Beta 3 • . os usuários com uma sessão existente serão redirecionados para o servidor de terminal em que sua sessão existir.

Neste caso. você pode configurar o servidor de terminal para participar do balanceamento de carga do TS Session Broker usando a ferramenta Configuração de Serviços de Terminal ou o provedor de WMI de Serviços de Terminal. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Por padrão essa definição de diretiva não é configurada. o balanceamento de carga do TS Session Broker não é especificado no nível de Diretiva de Grupo.75 • Not configured (Não configurada). Se você não configurar essa definição de diretiva.

Um servidor de licenças armazena todos os tokens de TS CAL que tenham sido instaladas para um grupo de servidores de terminal e acompanha os tokens de licença que foram emitidos. e em seguida o entrega ao cliente. mas não ativado. O uso de memória é de menos de 10 MB. o servidor de licenças é implantado em um servidor separado. embora possa ser um coresidente no servidor de terminal em algumas implantações menores. Um servidor de licenças que tenha sido instalado.76 3. O TS Licensing é uma entidade separada do servidor de terminal. Conforme os clientes se conectam ao servidor de terminal. e licenciados para acesso de cliente. mesmo para um número significativo de clientes. Nota O TS Licensing é usado apenas com Serviços de Terminal e não com Área de trabalho Remota. Na maioria das grandes implantações. um servidor de terminal deve ser capaz de se conectar a um servidor de licenças ativado. e suporta servidores de terminal que executem o Windows Server “Longhorn” assim como o sistema operacional Microsoft Windows Server 2003. ao mesmo tempo em que minimiza a deficiência ou excesso de licenças compradas por uma organização. O TS Licensing é um serviço de baixo impacto. Requer muito pouca CPU ou memória para operações regulares. Ele fornece aos clientes acesso a aplicações baseadas em Windows sendo executadas inteiramente no servidor e suporta múltiplas sessões de clientes no servidor. emitirá apenas tokens de licença temporários.000 tokens de licença emitidos. Um servidor de licenças de Serviços de Terminal é um computador em que o serviço de função de TS Licencing está instalado. este determina se o cliente precisa de um token de licença. Este sistema permite a servidores de terminal obter e gerenciar licenças de acesso de clientes de Serviços de Terminal (TS CALs) para dispositivos e usuários que se conectem a um servidor de terminal. O servidor de licenças é ativo apenas quando um Guia do Revisor do Windows Server “Longhorn” Beta 3 . O TS Licensing gerencia clientes nãolicenciados. Um servidor de licenças pode atender vários servidores de terminal simultaneamente. Atividades ociosas são insignificantes. O banco de dados de licenças cresce em incrementos de 5 MB para cada 6. O TS Licensing simplifica enormemente a tarefa de gerenciamento de licenças para o administrador de sistemas. solicita um ao servidor de licenças. temporariamente licenciados. Para emitir tokens de licença permanentes a dispositivos clientes.08 Licenciamento de Serviços de Terminal O Windows Server “Longhorn” oferece um sistema de gerenciamento de licenças conhecido como Licenciamento de Serviços de Terminal (TS Licensing). Um servidor de terminal é um computador no qual o serviço de função de Servidor de Terminal é instalado. e seus requisitos de disco rígido são pequenos.

o servidor de terminal entrará em contato com o servidor de licenças para obter a CAL para o usuário. Os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor. Se o servidor de terminal estiver no modo de licenciamento Por Usuário. Para usar o TS Licensing para gerenciar TS CALs. faça o seguinte: 1. Os Serviços de Terminal oferecem tecnologias que permitem acesso. a partir de quase qualquer dispositivo de computação.77 servidor de terminal solicita um token de licença. 2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal. O TS Licensing para Windows Server “Longhorn” agora inclui a capacidade de acompanhar a emissão de TS CALs Por Usuário usando o Gerenciador de TS Licensing. e seu impacto sobre o desempenho do servidor é muito baixo. a um servidor que execute programas baseados em Windows ou à área de trabalho Windows plena. Depois que o servidor de licenças emitir uma TS CAL Por Usuário para o usuário. o usuário conectando-se a ele deve ter uma TS CAL Por Usuário. Instale as licenças de acesso de cliente necessárias no servidor de licenças. Instale o serviço de função de TS Licensing. 4. o administrador pode rastrear a emissão da CAL usando o Gerenciador de TS Licensing. O TS Licensing inclui os seguintes recursos e benefícios: • • • • Administração centralizada para TS CALs e os tokens correspondentes Acompanhamento e relatórios de licenças para o modo de licenciamento Por Usuário Suporte simples para vários canais de comunicação e programas de compra Impacto mínimo sobre rede e servidores O gerenciamento efetivo de TS CALS usando o TS Licensing será do interesse de organizações que atualmente usam ou estão interessadas em usar os Serviços de Terminal. 3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor de licenças de Serviços de Terminal. mesmo em cenários de cargas altas. você precisará do seguinte em um servidor executando o Windows Server “Longhorn”: Para configurar o TS Licensing para gerenciar TS CALs. Se o usuário não tiver a TS CAL Por Usuário necessária. Guia do Revisor do Windows Server “Longhorn” Beta 3 .

Os Serviços de Domínio do Active Directory são usados para o acompanhamento de licenças no modo Por Usuário. • Um servidor de terminal executando o Windows Server “Longhorn” não se comunica com um servidor de licenças executando o Windows Server 2003.microsoft. Contudo.” Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para tirar vantagem do TS Licensing.” O rastreio e apresentação de relatórios de TS CALs Por Usuário é suportado apenas em cenários unidos por domínio (o servidor de terminal e o servidor de licenças são membros de um domínio) e não é suportado no modo de grupo de trabalho. você deve atender os seguintes pré-requisitos: • • Instalar o serviço de função de TS Licensing em um servidor executando o Windows Server “Longhorn. É possível um servidor de terminal executando o Windows Server 2003 se comunicar com um servidor de licenças executando o Windows Server “Longhorn.” consulte o Licenciamento de Servidor de Terminal do Windows Server 2003 (http://go. Os Serviços de Domínio do Active Directory podem ser baseados no Windows Server “Longhorn” ou no Windows Server 2003. Nota Não são necessárias atualizações para o esquema dos Serviços de Domínio do Active Directory para implementar o rastreio e apresentação de relatórios de TS CALs Por Usuário.com/fwlink/?LinkID=79607).78 Para mais informações sobre a instalação e configuração do TS Licensing no Windows Server “Longhorn.

2.microsoft. Instale o WSRM. Para mais informações sobre o WSRM. Gerenciar recursos também cria uma experiência mais coerente e previsível para usuários de aplicações e serviços sendo executados no computador. 3.79 3. Usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor.09 Gerenciador de Recursos de Sistema do Windows O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows Server “Longhorn” permite que você controle como os recursos de CPU e memória são alocados para aplicações.com/fwlink/?LinkId=49779) Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go. O WSRM para Windows Server “Longhorn” agora inclui uma diretiva de alocação de recursos Igual_Por_Sessão (Equal_Per_Session). serviços e processos no computador. serviços ou processos tirem recursos de CPU ou memória uns dos outros e reduzam o desempenho do computador. consulte a seguinte documentação: • Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go. Os Serviços de Terminal fornecem tecnologias que possibilitam o acesso. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal. a um servidor executando programas baseados em Windows ou a uma área de trabalho Windows plena.microsoft.com/fwlink/?LinkId=49774) • A capacidade de usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn” será interessante para organizações que atualmente usem ou estejam interessadas em usar Serviços de Terminal. Gerenciar recursos dessa maneira melhora o desempenho do sistema e reduz a chance de que aplicações. Configure o WSRM para Serviços de Terminal Instalando o Servidor de Terminal Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para usar o WSRM para gerenciar aplicações ou usuários em um servidor de terminal do Windows Server “Longhorn”. a partir de qualquer dispositivo de computação. você vai precisar fazer o seguinte: Para configurar o WSRM para gerenciar aplicações ou usuários. Você pode usar o WSRM para gerenciar múltiplas aplicações em um único computador ou usuários em um computador no qual os Serviços de Terminal estejam instalados. faça o seguinte: 1.

faça o seguinte: 1. 5. Instale programas no servidor. 3. Em Features Summary. faça o seguinte: 1. Configure configurações de conexão remota. No Windows Server “Longhorn. 2. 3. 2. consulte o TechCenter de Servidor de Terminal do Windows Server “Longhorn” (http://go. 4. Isso inclui adicionar usuários e grupos que precisam conectar-se ao servidor de terminal. e em seguida clique em Server Manager. aponte para Administrative Tools. e em seguida clique em Next.80 Instale o serviço de função de Servidor de Terminal em seu computador antes de instalar e configurar o WSRM. Clique em Start. Na página Select Features. Use o snap-in Gerenciador de Servidor para instalar o serviço de função de Servidor de Terminal. Na página Confirm Installation Options. Uma caixa de diálogo aparecerá informando que o serviço de função SQL Server™ 2005 Embedded Edition (Windows) também precisa ser instalada para que o WSRM funcione corretamente. assinale a caixa de seleção Windows System Resource Manager (WSRM). Para mais informações sobre instalar o serviço de função de Servidor de Terminal. certifique-se de que o SQL Server 2005 Embedded Edition (Windows) e o Guia do Revisor do Windows Server “Longhorn” Beta 3 . os usuários podem se conectar a um servidor de terminal para executar programas e usar recursos de rede naquele servidor.” você deve fazer o seguinte para instalar o serviço de função de Servidor de Terminal. e para configurar o servidor de terminal para hospedar programas: Para instalar o serviço de função de Servidor de Terminal e configurá-lo para hospedar programas. Abra o Gerenciador de Servidor. Instalando o WSRM Para instalar o serviço de função de Servidor de Terminal e configurá-lo para hospedar programas. O serviço de função de Servidor de Terminal. conhecido como componente de Servidor de Terminal no Microsoft Windows Server 2003.com/fwlink/?LinkId=79608). permite a um servidor baseado no Windows Server “Longhorn” hospedar programas baseados no Windows ou a área de trabalho Windows plena.microsoft. clique em Add features. A partir de seus dispositivos de computação. Clique em Add Required Role Services.

clique em This computer. e clique em Close. são alocados a processos sendo executados no computador. confirme que a instalação do SQL Server 2005 Embedded Edition (Windows) e do e o Gerenciador de Recursos do Windows Server (WSRM) foi bem sucedida. Na caixa de diálogo Services. Para iniciar o serviço do Gerenciador de Recursos de Sistema do Windows.81 Gerenciador de Recursos do Windows Server (WSRM) serão instalados e em seguida clique em Install. clique em Start. 6. faça o seguinte: 1. Para abrir o snap-in Gerenciador de Recursos de Sistema do Windows. e em seguida clique em Connect para fazer o Gerenciador de Recursos de Sistema do Windows administrar o computador que você está usando. como CPU e memória. Na página Installation Results. e clique em Windows System Resource Manager. Para abrir o snap-in Serviços. Abra o snap-in Serviços. Há duas diretivas de alocação de recursos especificamente projetadas para computadores executando Serviços de Terminal: • • Igual_Por_Usuário (Equal_Per_User) Igual_Por_Sessão (Equal_Per_Session) Nota A diretiva de alocação Igual_Por_Sessão é nova no Windows Server “Longhorn. aponte para Administrative Tools. na coluna Name.” Guia do Revisor do Windows Server “Longhorn” Beta 3 . Na caixa de diálogo Connect to computer. clique em Start. aponte para Administrative Tools. Diretivas de Alocação de Recursos O WSRM usa diretivas de alocação de recursos para determinar como recursos de computador. Configurando o WSRM para Serviços de Terminal Para configurar o WSRM. clique com o botão direito do mouse em Windows System Resource Manager. Depois de instalar o WSRM. e clique em Services. 2. faça o seguinte: 1. e em seguida clique em Start. você usa o snap-in Gerenciador de Recursos de Sistema do Windows. você precisa iniciar o serviço do Gerenciador de Recursos de Sistema do Windows. 2.

com/fwlink/?LinkId=49779) Ajuda do Windows Server 2003 Help para o Gerenciador de Recursos do Sistema do Windows na Central de Downloads Microsoft (http://go.com/fwlink/?LinkId=49774) • Desempenho de Monitoramento Você deve coletar dados sobre o desempenho de seu servidor de terminal antes e depois de implementar a diretiva de alocação de recursos Igual_Por_Sessão (ou de fazer qualquer outra alteração de configuração relacionada ao WSRM). Para implementar a diretiva de alocação Igual_Por_Sessão. 4. consulte a seguinte documentação: • Guia Passo a Passo do Gerenciador de Recursos de Sistema do Windows do Microsoft Windows Server “Longhorn” Beta 2 no Website Microsoft Connect (http://go. expanda o nó Resource Allocation Policies. e em seguida clique em Set as Managing Policy.82 Se você implementar a diretiva de alocação Igual_Por_Sessão. Para informações sobre a diretiva de alocação de recursos Igual_Por_Usuário e configurações e configurações adicionais do WSRM (como criar um critério correspondente ao processo através da utilização de correspondência de usuário ou grupo). Abra o snap-in Windows System Resource Manager. clique em OK. Você pode usar o Monitor de Recursos do snap-in Gerenciador de Recursos de Sistema do Windows para coletar e visualizar dados sobre o uso de recursos de hardware e a atividade de serviços de sistema no computador. 3. faça o seguinte: 1. Clique com o botão direito do mouse em Clique com o botão direito do mouse em Equal_Per_Session. Guia do Revisor do Windows Server “Longhorn” Beta 3 .microsoft. cada sessão de usuário (e seus processos associados) recebe uma parcela igual de recursos da CPU do computador. Na árvore do console. 2. Se uma caixa de diálogo aparecer informando que o calendário será desativado.microsoft.

.......85 4...91 4..01 Introdução ao Suporte a Escritórios Remotos/Filiais ..............02 Controlador de Domínio Somente Leitura.......................03 Criptografia de Unidade de Disco BitLocker .............99 Guia do Revisor do Windows Server “Longhorn” Beta 3 ...04 Núcleo do Servidor .................................84 4.83 Seção 4: Escritórios Remotos 4....................

os quais estarão disponíveis para as filiais onde o Windows Server® “Longhorn” for instalado. Proposta de Valor do Cenário As principais proposições de valor disponíveis para as filiais são as seguintes: • • • Melhorar a eficiência da instalação e administração do servidor da filial. segurança e gerenciamento. Diminuir os riscos de segurança física nas filiais. Requisitos Especiais de Hardware Os requisitos adicionais de hardware são os seguintes: • Trusted Platform Module 1.2 (somente para Criptografia de Disco BitLocker™) Guia do Revisor do Windows Server “Longhorn” Beta 3 .01 Introdução ao Suporte a Escritórios Remotos/Filiais Este cenário se concentra no aperfeiçoamento da comunicação.84 4. Melhorar a eficiência das comunicações WAN da filial.

02 Controlador de Domínio Somente Leitura Um controlador de domínio somente leitura (RODC) é um novo tipo de controlador de domínio no sistema operacional do Windows Server “Longhorn”. mas que no entanto não podem assegurar segurança física para um controlador de domínio gravável. Além disso. o controlador de domínio poderá ser o único servidor da filial. Antes do lançamento do Windows Server “Longhorn”.85 4. é possível implantar um controlador de domínio de forma mais segura. Como resultado. Com o RODC. o proprietário da aplicação LOB precisa se registrar seguidamente no controlador de domínio de forma interativa ou utilizar os Serviços de Terminal para configurar e gerenciar a aplicação. Por exemplo: uma aplicação LOB pode ser executada com sucesso somente se for instalada em um controlador de domínio. em locais que exigem serviços de autenticação rápidos e confiáveis. os usuários podem receber os seguintes benefícios: • • • Maior segurança Logon mais rápido Acesso mais eficiente aos recursos de rede A falta de segurança física é a razão mais comum para se considerar a implantação de um RODC. os usuários não possuíam alternativas caso quisessem realizar a autenticação com um controlador de domínio em uma Rede Remota (WAN). e então poderá ter que hospedar as aplicações do servidor. Neste cenário. ou ainda. o RODC fornece um mecanismo mais seguro para a implantação de um controlador de domínio. esta não era uma solução eficaz. Esta situação cria um risco de segurança que pode se tornar inaceitável em um controlador de domínio gravável. Entretanto. as filiais geralmente contam com pouca largura de banda de rede quando são conectadas a um site hub. as empresas podem facilmente implantar um controlador de domínio nos locais onde não é possível garantir a segurança física. Um RODC hospeda partições somente leitura da base de dados dos Serviços de Domínio do Active Directory®. Nestes casos. sua empresa também pode optar pela implantação de um RODC para requisitos administrativos especiais. o que pode vir a aumentar o tempo necessário para o logon e inclusive atrasar o acesso aos recursos de rede. Com o RODC. As filiais raramente oferecem a segurança física necessária a um controlador de domínio gravável. Você pode oferecer ao usuário não administrativo do domínio o direito de acessar o Guia do Revisor do Windows Server “Longhorn” Beta 3 . Através da utilização do Windows Server “Longhorn”. Em muitos casos. uma empresa pode implantar um RODC para resolver estes problemas.

86 RODC. Implantação e Utilização do Controlador de Domínio Somente Leitura do Windows Server “Longhorn”: (http://go. Você também pode implantar um RODC em outros cenários onde o armazenamento local de todas as senhas de usuário do domínio não garanta segurança. Guia do Revisor do Windows Server “Longhorn” Beta 3 . ao mesmo tempo em que reduz o risco de segurança para a floresta do Active Directory.com/fwlink/?LinkId=49779). caso você pertença a algum dos seguintes grupos: • • • • Planejadores de TI e analistas que estejam avaliando tecnicamente o produto Planejadores de TI corporativos e designers corporativos Profissionais responsáveis pela segurança de TI Administradores dos Serviços de Domínio do Active Directory® que lidam com escritórios pequenos de filiais Para oferecer suporte à Diretiva de Replicação de Senhas do RODC. veja o Guia Passo a Passo para Planejamento. bem como a documentação de suporte complementar sobre o RODC. A Diretiva de Replicação de Senhas é sempre configurada em um controlador de domínio gravável que execute o Windows Server “Longhorn. A Diretiva de Replicação de Senhas é o mecanismo que determina se as credenciais de um usuário ou de um computador possuem a permissão para operar a replicação de um controlador de domínio somente leitura para um RODC.microsoft.” Os atributos dos Serviços de Domínio do Active Directory® adicionados ao plano do Windows Server “Longhorn” Active Directory para oferecer suporte aos RODCs incluem o seguinte: • • • • msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedUsers msDS-AuthenticatedToAccountList Para mais informações sobre estes atributos. os Serviços de Domínio do Active Directory® do Windows Server “Longhorn” incorporam novos atributos. como em uma extranet ou uma função de aplicação. O RODC foi desenvolvido especialmente para ser implantado em ambientes remotos e em filiais. As filiais geralmente apresentam as seguintes características: • • • • Número reduzido de usuários Pouca Segurança física Pouca largura de banda para um site hub Baixo conhecimento de TI Você deveria revisar este capítulo.

não precisam extrair mudanças do RODC. O RODC aborda alguns dos problemas normalmente encontrados nas filiais. Aplicações locais que exigem acesso de Leitura para o diretório. As mudanças devem ser feitas em um controlador de domínio gravável e então replicadas para o RODC. os controladores de domínio gravável. O RODC desempenha a replicação normal Guia do Revisor do Windows Server “Longhorn” Beta 3 . podem obter este acesso. não é possível efetuar mudanças na base de dados armazenada no RODC. um RODC contém todos os objetos e atributos do Active Directory encontrados em um controlador de domínio gravável. Como resultado. Com exceção das senhas de contas. Além disso. Replicação Unidirecional Nenhuma mudança é gravada diretamente no RODC. Estes locais nem sempre possuem um controlador de domínio. a largura de banda ou técnicos locais especializados para lhes oferecer suporte. porém sem a segurança física. Replicação unidirecional Caching de credenciais Separação do papel de administrador DNS Somente Leitura Base de Dados Somente Leitura dos Serviços de Domínio do Active Directory . o controlador de domínio que possui o papel mestre de emulador do controlador de domínio principal (PDC). Esta medida previne contra alguma mudança que possa ser realizada nas filiais.87 Para implantar um RODC. que são parceiros na replicação. A replicação unidirecional do RODC se aplica tanto aos Serviços de Domínio do Active Directory® como à Replicação do Sistema de Arquivos Distribuído (DFS). Entretanto. A funcionalidade do RODC a seguir mitiga estes problemas: • • • • • Banco de dados somente leitura dos Serviços de Domínio do Active Directory®. pois nenhuma mudança se origina no RODC. o nível funcional para o domínio e a floresta deve ser o Microsoft® Windows Server 2003 ou superior. precisa executar o Windows Server “Longhorn”. Isto reduz a carga de trabalho dos servidores bridgehead no hub e o esforço necessário para monitorar a replicação. levando a poluir ou corromper a floresta inteira. As aplicações do protocolo LDAP (Lightweight Directory Application Protocol)que exigem o acesso de Gravação recebem uma resposta de indicação LDAP. Esta resposta irá direcioná-las para um controlador de domínio gravável. normalmente em um site hub. Ou talvez eles possuam um controlador de domínio gravável. também conhecido como FSMO (Flexible Single Master Operations) para o domínio.

que faz o caching. Caso outro controlador de domínio assine o TGT. o RODC envia os pedidos ao controlador de domínio gravável. quando este assina ou criptografa pedidos TGT (ticketgranting ticket). As credenciais consistem em um pequeno conjunto de aproximadamente 10 senhas que estão associadas aos diretores de segurança. um RODC não armazena as credenciais do usuário ou do computador. Se a Diretiva de Replicação de Senhas permitir. É necessário conceder permissão explícita a qualquer outro caching de credencial explicitamente em um RODC. este reconhece que existe uma cópia cache das credenciais. O ato de deixar o caching de credenciais desabilitado pode mais adiante limitar a exposição. Depois de fazer o caching das credenciais. o RODC tenta contatar um controlador de domínio gravável no site hub e pede uma cópia das credenciais apropriadas. somente as credenciais cacheadas podem potencialmente ser quebradas. o RODC pode atender diretamente os pedidos de registro do usuário até o momento de troca de credenciais. O RODC utiliza uma conta krbtgt e senha diferente do KDC em um controlador de domínio gravável. O RODC é anunciado como o Principal Centro de Distribuição (KDC – Key Distribution Center) para a filial. a exposição potencial de credenciais do RODC também é limitada. Um administrador pode modificar a Diretiva de Replicação de Senhas para permitir o caching de credenciais dos usuários no RODC. A Diretiva de Replicação de Senhas determina se podem ser replicadas as credenciais de um usuário ou de um computador do controlador de domínio gravável para o RODC. O controlador de domínio gravável reconhece que o pedido se origina de um RODC e consulta a Diretiva de Replicação de Senhas em vigor para aquele RODC. Após uma conta ser devidamente autenticada. Caching de Credenciais Caching de credenciais é o armazenamento de credenciais do usuário ou do computador. mas faz com que todos os pedidos de autenticação sejam encaminhados para um controlador de domínio gravável. Por padrão. Portanto. (Quando um TGT é assinado com a conta krbtgt do RODC. o controlador de domínio gravável replica as credenciais para o RODC. Separação do Papel de Administrador Guia do Revisor do Windows Server “Longhorn” Beta 3 . apenas um pequeno grupo de usuários do domínio possui o caching das credenciais em qualquer RODC. As exceções são a conta de computador do RODC e uma conta krbtgt especial existente em cada RODC. no caso de o RODC ser roubado.) Ao limitar o caching de credenciais somente aos usuários certificados com o RODC. De maneira geral.88 de chegada para os Serviços de Domínio do Active Directory® e mudanças na Replicação DFS.

é possível um usuário da filial efetuar o logon em um RODC e realizar o trabalho de manutenção no servidor. inclusive ForestDNSZones e DomainDNSZones. o RODC não registra as gravações de recursos de name server (NS) para nenhuma zona integrada ao Active Directory que ele hospeda. Uma delegação limitada é utilizada Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . Isto é necessário para a criação da nova conta krbtgt para o RODC e suas operações. por exemplo. DNS Somente Leitura Você pode instalar o serviço de Servidor DNS em um RODC. Desta forma. Por conseqüência. o usuário da filial não pode efetuar o logon em nenhum outro controlador de domínio ou realizar qualquer outra tarefa administrativa no domínio. em que esteja disponível uma delegação limitada por kerberos. o qual é fornecido na mensagem de orientação. o Servidor DNS em um RODC não suporta atualizações de clientes diretamente. o servidor retorna uma orientação.” A Diretiva de Replicação de Senhas é instalada neste controlador de domínio para determinar que as credenciais sejam replicadas para a filial. No fundo. pode-se delegar ao usuário da filial a capacidade de gerenciar o RODC no escritório da filial. sem a necessidade de lhe oferecer quaisquer direitos relativos ao domínio ou outros controladores de domínio. sem comprometer a segurança do restante do domínio. a atualização de uma unidade.89 Você pode delegar o papel de administrador local de RODC a qualquer usuário do domínio. Porém. os clientes podem examiná-lo para a resolução de nomes da mesma forma que fazem com outros servidores DNS. Entretanto. em um pedido encaminhado pelo RODC. Quando um cliente faz a tentativa de atualizar suas gravações frente a um RODC. A lista completa da zona modificada ou dos dados de domínio não é replicada durante este pedido especial para a replicação de objeto único. O RODC precisa encaminhar pedidos de autenticação para um controlador de domínio gravável que tenha instalado o Windows Server “Longhorn. como. Implantação Os pré-requisitos para a implantação de um RODC são os seguintes: • O controlador de domínio que contém a função de mestre de operações do emulador PDC (controlador de domínio primário) precisa executar o Windows Server “Longhorn”. O cliente então pode tentar fazer a atualização frente a um servidor DNS. O RODC possui a capacidade de replicar todas as partições do diretório de aplicações utilizados pelo DNS. o servidor DNS no RODC tenta replicar o relatório atualizado pelo servidor DNS. Se o Servidor DNS estiver instalado em um RODC. Este pedido de replicação se refere a um único objeto (a gravação DNS). O nível funcional do domínio deve ser Windows Server 2003 ou superior. Assim.

Isto permite um nível mais alto de consistência de replicação. • O nível funcional da floresta deve ser Windows Server 2003 ou superior. todos os RODCs que também são servidores DNS podem replicar com sucesso as permissões. É preciso executar adprep /rodcprep uma vez na floresta. • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Desta forma. que devem personificar o contexto do visitante.90 para chamadas de segurança. a fim de atualizar as permissões em todas as partições do diretório de aplicações DNS da floresta. para que esteja disponível a replicação de valor relacionado.

• O BitLocker é um componente opcional que precisa ser instalado antes de ser usado em um sistema baseado no Windows Server “Longhorn”. O BitLocker é configurado por padrão para utilizar um TPM (Trusted Platform Module). No Windows Server “Longhorn”. profissionais de segurança de TI e oficiais responsáveis por garantir que dados confidenciais não sejam revelados sem autorização Administradores responsáveis pela segurança dos computadores em escritórios remotos ou filiais Administradores responsáveis por servidores ou computadores clientes Windows Vista que sejam móveis • • Para fazer uso de sua total funcionalidade. Para instalar o BitLocker. visite a seção TPM Specifications no site do Trusted Computing Group: Guia do Revisor do Windows Server “Longhorn” Beta 3 . é preciso selecioná-lo no Gerenciador de Servidor ou digitar no prompt de comando o seguinte: start /w pkgmgr /iu:BitLocker /norestart O BitLocker pode interessar aos seguintes grupos: • Administradores. estes permanecem criptografados mesmo quando o sistema operacional não estiver sendo executado e o computador for mexido. Um BIOS compatível deve suportar o TPM e o Static Root of Trust Measurement. Isto inclui o sistema operacional Windows. aplicações e dados utilizados pelas aplicações. O BitLocker exerce duas funções: • O BitLocker criptografa todos os dados armazenados no volume do sistema (e volumes de dados configurados).03 Criptografia de Unidade de Disco BitLocker O Criptografia de Unidade de Disco BitLocker do Windows® é um recurso de segurança nos sistemas operacionais Windows Vista™ Enterprise e Ultimate. Este recurso fornece proteção ao sistema operacional de seu computador e aos dados armazenados no volume do sistema operacional.91 4.2 TPM. a fim de garantir a integridade dos primeiros componentes de inicialização(componentes empregados nos primeiros estágios do processo de inicialização). Para mais informações sobre as especificações do TPM. Um TPM compatível se define como versão 1. e Windows Server “Longhorn”. Como ele “trava” quaisquer volumes protegidos pelo BitLocker. conforme definido pelo Trusted Computing Group. a proteção do BitLocker também pode ser estendida aos volumes utilizados para o armazenamento de dados. arquivos de página e hibernação. O BitLocker requer um sistema com microchip TPM compatível e BIOS.

Criptografia de Unidade de Disco Tudo que é gravado em um disco protegido pelo BitLocker é criptografado. a perda geralmente não é notada pelos usuários. verificação da integridade dos primeiros componentes de inicialização e o mecanismo de recuperação. O sistema operacional Windows é instalado em uma segunda partição. como a remoção de uma unidade de disco de um computador e sua instalação em outro. de mudanças no quadro de funcionários. e como uma unidade de filtro. esta perda é estimada entre 3 e 5 por cento. ou esteja de alguma forma fora de seu controle físico. Embora a segurança física dos servidores seja importante. Embora dependa muito do tipo de hardware e dos padrões de operação. o BitLocker pode ajudar a proteger os dados em situações em que um computador é roubado.com/fwlink/?LinkId=72757). gerenciador de inicialização. Windows Loader). Nos casos de servidores muito carregados. o qual será descrito neste artigo mais adiante. é preciso avaliar o desempenho do subsistema de disco.microsoft. A criptografia de disco auxilia na prevenção de ataques offline. tais como permissões estabelecidas pelas listas de controle de acesso (ACLs)do NTF. Ao trabalhar com a criptografia de dados. é necessário ter em mente como estes dados poderão ser recuperados no caso de uma falha de hardware. O BitLocker é implementado em código nos primeiros componentes da inicialização (registro mestre de inicialização (MBR). a qual é criptografada pelo BitLocker. todos os dados e aplicações. que é parte integral do sistema operacional. Na primeira ativação do BitLocker. numa tentativa de burlar medidas de segurança do Windows. deve ser efetuada a criptografia dos dados existentes no volume. mas poderá notar uma redução no desempenho durante a criptografia inicial. inclusive o próprio sistema operacional. enviado de um lugar a outro. Guia do Revisor do Windows Server “Longhorn” Beta 3 . O BitLocker exige que a partição ativa (também chamada de partição de sistema) não seja criptografada. Após completar a criptografia inicial. especialmente em um ambiente corporativo.92 (http://go. o uso do volume criptografado provoca uma leve perda de desempenho no acesso ao disco. Os principais recursos do BitLocker incluem criptografia de unidade de disco. O BitLocker suporta um cenário robusto de recuperação. Em sistemas clientes. ou outras situações em que há perda das chaves de criptografia. Você pode continuar utilizando o computador durante este processo. Isso ajuda na proteção dos dados contra acessos não autorizados. setor de partida.

o BitLocker verifica a integridade dos primeiros componentes da inicialização. Uma combinação destes valores é gravada e usada para proteger as chaves de criptografia. os componentes não podem estar criptografados. Na primeira etapa do processo de inicialização. Isto significa que. Ele somente criptografa a chave se os valores combinarem. podem ser burladas. o BitLocker. Por esta razão. Quando este tipo de chave é criada. Você pode empregar a Diretiva de Grupo para permitir que o BitLocker opere sem um TPM e armazene as chaves em uma unidade externa USB. Para informações mais específicas do algoritmo de criptografia do BitLocker.com/fwlink/?LinkId=82824) Verificação de Integridade Em conjunto com o TPM. ela é criptografada pelo TPM. opção de código memória somente leitura (ROM). tentativas de inserir códigos maliciosos nesses componentes. setor de partida e código de gerenciamento de inicialização) examina o código a ser executado. bem como outras proteções de segurança do Windows. para ajudar na prevenção contra ataques offline adicionais. e somente o TPM pode descriptografá-la. código MBR. Uma vez instalado no TPM. entretanto. Este processo é chamado “lacrar” e “deslacrar” a chave. calcula um valor de seqüência e armazena este valor no TPM. um agressor pode efetuar mudança de código nos primeiros componentes da inicialização.microsoft. o BitLocker não pode então verificar os primeiros componentes da inicialização. mesmo que os dados do disco estejam criptografados. Cada vez que um computador equipado com TPM inicia. como por exemplo. o BitLocker travará a unidade e impedirá que ela seja acessada ou descriptografada. tendo acesso ao computador. para que o computador possa iniciar. consulte “AES-CBC + Elephant diffuser”: (http://go. se o agressor conseguir acesso às informações confidenciais. O BitLocker examina e lacra as chaves nas dimensões do CRTM (Core Root of Trust). Cada vez que o computador inicia. Os computadores que incorporam um TPM podem criar uma chave vinculada a estes valores.93 O uso de um disco capacitado para BitLocker é transparente para o sistema operacional e todas as aplicações. Assim. esse valor não pode ser mudado até que o sistema reinicialize. setor de partida e gerenciador de partida. O Bitlocker é configurado para buscar e utilizar um TPM. o TPM compara os valores produzidos durante a inicialização atual com os valores que existiam no momento da criação da chave. no caso de ocorrer alguma mudança inesperada em qualquer desses ítens. do BIOS e de qualquer extensão de plataforma. Guia do Revisor do Windows Server “Longhorn” Beta 3 . cada um dos primeiros componentes de inicialização (como BIOS. MBR. como as chaves do BitLocker ou senhas do usuário.

A desativação e reativação não exigem a criptografia e re-criptografia do disco. veja: Configuring Active Directory to Back up Windows Criptografia de Unidade de Disco BitLocker e Trusted Platform Module Recovery Information (http://go. É fundamental que os dados de uma empresa possam ser descriptografados. As configurações da Diretiva de Grupo também podem ser usadas para evitar a desativação do BitLocker. você pode configurar o BitLocker para salvar as informações de recuperação no Active Directory ou nos Serviços de Domínio do Active Directory. Opções de Recuperação O BitLocker suporta uma grande série de opções de recuperação. sem “back doors”. Nós recomendamos que as senhas de recuperação sejam salvas no Active Directory em ambientes corporativos. caso não seja possível o backup das chaves no Active Directory.com/fwlink/?LinkId=82827). Porém. não é possível confiar a usuários a guarda e proteção das senhas de recuperação. de forma a exigir ou proibir diferentes tipos de armazenamento de senhas de recuperação. a qual será utilizada para destravar um volume BitLocker que estiver travado. Na ausência de um TPM. em muitos ambientes. Quando o BitLocker é ativado. e novas dimensões de plataforma são usadas para as chaves. A capacidade de recuperação está inserida no BitLocker. a segurança física do servidor torna-se ainda mais importante.94 É preciso levar em consideração a disponibilidade de um TPM no momento da compra de hardware. O BitLocker deve ser desativado durante a manutenção programada que envolva mudança em algum dos primeiros componentes de inicialização dimensionados.microsoft. Guia do Revisor do Windows Server “Longhorn” Beta 3 . de modo a garantir a disponibilidade dos dados aos seus usuários legítimos. Porém. O assistente de instalação do BitLocker exige que pelo menos uma cópia da senha de recuperação seja salva. Após o término da manutenção. mesmo que estejam disponíveis as chaves de descriptorafia mais amplamente utilizadas. As configurações da Diretiva de Grupo podem ser usadas para configurar o BitLocker. Para mais informações sobre como configurar o Active Directory para suportar as opções de recuperação. ou torná-las opcionais. o usuário recebe uma solicitação para armazenar uma “senha de recuperação”. o BitLocker pode ser reativado. as empresas podem facilmente assegurar-se de que seus dados estão protegidos e disponíveis. Assim sendo.

Todas as configurações da diretiva estão explicadas no Editor de Objetos de Diretiva de Grupo. O componente opcional para o gerenciamento remoto do BitLocker é chamado BitLocker-RemoteAdminTool.wsf para controlar todos os aspectos do BitLocker em um computador local ou remoto.wsf e o arquivo associado . Para instalar somente o componente de gerenciamento remoto.95 Gerenciamento Remoto O BitLocker pode ter gerenciamento remoto através do Windows Management Instrumentation (WMI) ou de uma interface de comando por linha. Para mais informações sobre BitLocker e WMI. Guia do Revisor do Windows Server “Longhorn” Beta 3 .com/fwlink/?LinkId=82828) O Windows também adiciona ao BitLocker uma interface de comando por linha. Para obter mais detalhes. Este pacote de componente opcional contém o manage-bde. A tabela a seguir resume estas configurações. abra o Group Policy Object Editor (gpedit. você deve digitar no prompt de comando: start /w pkgmgr /iu:BitLocker-RemoteAdminTool Configurações de Diretiva de Grupo Dois conjuntos novos de configurações de Diretiva de Grupo foram introduzidos para oferecer suporte ao BitLocker e ao gerenciamento do TPM. Os recursos do BitLocker estão dispostos no subsistema WMI. implementada como um script chamado managebde. fica difícil ou impossível gerenciar recursos e configurações de forma individual. veja: Criptografia de Unidade de Disco BitLocker Provider (http://go. para permitir que você gerencie outros computadores sem ativar o BitLocker no servidor que você esteja usando. As configurações de Diretiva de Grupo que afetam o BitLocker encontram-se em: Computer Configuration/Administrative Templates/Windows Components/Criptografia de Unidade de Disco BitLocker.microsoft.Você pode usar o manage-bde. Para obter uma lista completa da sintaxe e dos comandos do of managebde.wsf /? O gerenciamento remoto do BitLocker é um componente opcional que pode ser instalado no Windows Server “Longhorn”. Por essa razão.msc) e examine cada configuração.ini. digite o seguinte em um prompt de comando: manage-bde. Em um ambiente com muitos computadores ou computadores em escritórios remotos e filiais.wsf. os administradores podem usar qualquer software WBEM compatível com WMI para gerenciar o BitLocker em computadores locais ou remotos. que é uma implementação das estruturas e funções do WBEM (Web-Based Enterprise Management).

Guia do Revisor do Windows Server “Longhorn” Beta 3 . Duas opções de recuperação podem destravar o acesso aos dados criptografados do BitLocker. 8. As chaves do BitLocker podem continuar na memória entre uma inicialização e outra se o computador não for desligado. Esta configuração permite escolher se o BitLocker pode ser ativado em computadores sem TPM. Cada uma delas pode ser exigida ou proibida. Caso você proíba as duas opções o backup para os Serviços de Domínio do Active Directory precisa ser ativado. 11 As configurações de Diretiva de Grupo que controlam o comportamento do TPM podem ser encontradas em: Computer Configuration/Administrative Templates/System/Trusted Platform Module services. serão utilizadas para lacrar as chaves do BitLocker. Se ativada. Esta configuração permite escolher se o assistente de configuração do Criptografia de Unidade de Disco BitLocker pedirá ao usuário para salvar as opções de recuperação do BitLocker. Determina quais dimensões de plataforma do TPM. O usuário também pode inserir uma unidade USB que contenha uma chave de recuperação aleatória de 256 bits. 9. A tabela a seguir resume estas configurações. o BitLocker instrui os BIOS a limpar toda a memória em reinicializações “mornas”. Portanto. à sua escolha . ela também pode verificar se o backup é obrigatório ou opcional e se somente uma senha de recuperação ou um pacote inteiro está salvo. o que pode resultar em demora em sistemas com grande quantidade de memória. O usuário é livre para escolher outras posições. Pode ser uma posição local ou em rede. armazenadas nos registros de controle de plataforma (PCRs).96 Criptografia do BitLocker — Configurações de Diretiva de Grupo Nome da Configuração Ativar backup do BitLocker para Serviços de Domínio do Active Directory Padrão Desativado Descrição Esta configuração verifica se a informação de recuperação do BitLocker foi copiada para o Serviços de Domínio do Active Directory. e se a autenticação multifactor pode ser usada em computadores sem TPM. 4. mas não aumenta o risco de segurança. Configuração do Painel de Controle: Configurar pasta de recuperação Configuração do Painel de Controle: Configurar opções de recuperação Nenhum(Seleção do usuário) Nenhum (Seleção do usuário) Configuração do Painel de Controle: Ativar opções de configuração avançadas Configurar método de criptografia Prevenir regravação de memória na reinicialização Desativado AES 128-bit com Difusor Desativado (a memória será regravada) Esta configuração estabelece a extensão da chave de criptografia AES e a utilização ou não do Difusor. Configurar perfil de validação de plataforma do TPM PCRs 0. Ativar esta configuração pode melhorar o desempenho da reinicialização. O usuário pode digitar uma senha de recuperação numérica de 48 dígitos. Esta configuração especifica a posição padrão mostrada ao usuário para salvar chaves de recuperação. 2.

Implantação O BitLocker é um componente opcional em todas as edições do Windows Server “Longhorn. como será descrito adiante. veja o Guia Passo a Passo Windows Trusted Platform Module Management: (http://go. Por padrão.Caso esteja ativada. Se o hardware existente não tiver potência suficiente para realizar a criptografia. a plataforma de hardware deve estar equipada com um TPM versão 1.” O BitLocker está disponível no Windows Vista Enterprise e no Windows Vista Ultimate.2.microsoft. As listas locais podem ser configuradas no console de Gerenciamento do TPM. Diretivas corporativas. Por padrão. um administrador local pode bloquear os comandos no console de Gerenciamento do TPM. Esta diretiva permite que funções específicas do TPM sejam ativadas ou desativadas. Esta configuração pode ser usada para evitar tal comportamento. Para utilizar a totalidade de recursos do sistema. como será discutido na próxima seção. ela também pode controlar se o backup é obrigatório ou opcional. Avalie suas diretivas relacionadas à retenção de dados. e pode ser muito útil na proteção de dados armazenados em computadores clientes.com/fwlink/?LinkId=82830). alguns comandos do TPM são bloqueados. criptografia e compatibilidade. considere fazer uma atualização.97 Comportamento do TPM — Configurações de Diretiva de Grupo Nome da Configuração Ativar backup do TPM para Serviços de Domínio do Active Directory Configurar lista de comandos bloqueados do TPM Padrão Desativado Descrição Esta configuração controla o backup da informação de senha do proprietário do TPM nos Serviços de Domínio do Active Directory. Para ativar estes comandos. especialmente nos móveis. as duas próximas configurações podem restringir os comandos disponíveis. Porém. • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Antes de ativar o BitLocker. você deve levar em consideração: • Requisitos de Hardware. esta configuração de diretiva precisa ser ativada. Certifique-se de ter um plano para recuperação de dados. Nenhum Ignorar a lista padrão dos comandos do TPM bloqueados Ignorar a lista local dos comandos do TPM bloqueados Desativado Desativado Para mais informações sobre a operação do TPM e a utilização do console de Gerenciamento do TPM. As listas baseadas em Diretiva de Grupo prevalecem sobre as listas locais.

com/fwlink/?LinkId=82914).com/fwlink/?LinkID=53779). Nós recomendamos a utilização do Active Directory para backups de informações de recuperação em ambientes corporativos.98 • Como serão armazenadas as informações de recuperação.microsoft. Informações Adicionais • Para informações adicionais sobre o BitLocker.microsoft. • Guia do Revisor do Windows Server “Longhorn” Beta 3 .com/fwlink/?LinkId=77977) e Guia Passo-aPasso Windows Criptografia de Unidade de Disco BitLocker (http://go. visite: Criptografia de Unidade de Disco BitLocker: Visão Geral Técnica (http://go.microsoft. Artigos e recursos adicionais sobre o BitLocker estão disponíveis no TechCenter do Microsoft Windows Vista (http://go.

que evita sobrecargas.05 Núcleo do Servidor na página 242.05 Núcleo do Servidor na página 242. ela pode melhorar a segurança e reduzir o gerenciamento. os administradores agora podem optar por instalar um ambiente mínimo. veja a seção 7. Para mais informações sobre o Núcleo do Servidor. veja a seção 7. Embora esta opção limite o papel a ser desempenhado pelo servidor. Guia do Revisor do Windows Server “Longhorn” Beta 3 .99 4. Este tipo de instalação é chamado de instalação do Núcleo do Servidor.04 Núcleo do Servidor No Windows Server “Longhorn”. Para saber mais.

.........08 Serviços de Domínio do Active Directory .......120 5.........103 5...............07 Serviços de Certificado do Active Directory ....04 Protocolos TCP/IP e Componentes de Rede de Última Geração .129 5.......09 Serviços Federados do Active Directory ..................03 Proteção contra Acesso à Rede ................................................................01 Introdução à Aplicação de Diretivas e Segurança .......181 5..........05 Firewall do Windows com Segurança Avançada .............192 Guia do Revisor do Windows Server “Longhorn” Beta 3 .......06 Cryptography Next Generation ..110 5.......101 5.......11 Serviços de Gerenciamento de Direitos do Active Directory..............10 Active Directory Lightweight Directory Services ............................189 5...139 5...........02 Serviços de Acesso e Diretiva de Rede ..136 5........160 5.......100 Seção 5: Aplicação de Diretivas e Segurança 5.....

Determinar a integridade de laptops visitantes e reforçar a inspeção de dados de camada de aplicativos. Simplificar tarefas administrativas. Simplificar tarefas administrativas. Aprimorar o acesso sem fio à rede. enquanto o controle de acesso granular é mantido. Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • • • • • • . Ativar a troca flexível de informações dentro e fora da organização. de forma segura. a autenticação forte e a proteção e federação de informações.01 Introdução à Aplicação de Diretivas e Segurança O foco deste cenário é a conformidade aprimorada de segurança e gerenciamento que se torna possível por meio dos recursos de acesso voltados às diretivas para as organizações que implantaram o Windows Server® “Longhorn” com Windows Vista™. Reduzir o número de contas de usuário e repositórios que precisam de gerenciamento.101 5. Proposta de Valor para os Cenários O reforço de diretivas e de segurança permite: • Determinar a integridade e o status de laptops e computadores domésticos não-gerenciados (desktop e laptop). Ajudar no gerenciamento seguro das contas e informações de usuário fora do datacenter.1x. Ajudar a estender. como atualizações de sistema e instalações de aplicativos. Utilizar a qualidade de serviço baseada em diretivas para priorizar e gerenciar a taxa de envio do tráfego de rede contínuo e a filtragem do tráfego de entrada e saída. Esse cenário também inclui o conjunto completo de serviços de identidade e acesso de que os clientes precisam para fornecer o gerenciamento d de usuários. Reduzir o risco de acesso não-autorizado por meio da autenticação forte. Windows® XP SP2 e o Windows Server 2003 R2. a consolidação de diretórios. verificar a conformidade e reforçar a remediação de dispositivos não-conformes. verificando a existência de malware. dando suporte a redes que utilizam switches de autenticação. mecanismos aprimorados de criptografia e a integração com o NAP (Network Access Protection) para diretivas específicas sem fio que dão suporte à autenticação 802. como atualizações de sistema e instalações de aplicativos. as informações e os aplicativos aos parceiros de negócios. como também dar proteção a eles. o logon único.

102 Requisitos Especiais de Hardware Os requisitos de hardware adicionais são estes: • Os smart cards são exigidos para clientes que desejam implantar uma solução de autenticação forte e. reduzir o risco de acesso sem autorização. Placas de acesso sem fio e pontos de acesso são exigidos para o acesso seguro sem fio. dessa forma. • Guia do Revisor do Windows Server “Longhorn” Beta 3 .

de forma que os usuários possam rapidamente obter novamente o acesso completo à rede. é possível conectar Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . para conectar segmentos de rede e permitir que os administradores de rede gerenciem. Ao implantar switches de autenticação 802. Computadores cliente que não estiverem de acordo com a diretiva de integridade podem ter o acesso de rede restringido até que suas configurações sejam atualizadas. forçar diretivas de integridade. Com os Serviços de Acesso à Rede (Network Access Services). os administradores de sistema podem estabelecer e. roteadores e o acesso sem fio protegido pela autenticação 802. Com as soluções de acesso remoto. Ao implantar pontos de acesso sem fio 802. além de outras configurações. Além disso. Enterprise e Ultimate.103 5. de forma centralizada. as quais podem incluir requisitos de software. Dependendo da forma com que implantar o NAP. sem a necessidade de atualizar ou reconfigurar manualmente seus computadores.11. Com o NAP. de atualização de rede. como também no Windows Server “Longhorn”. automaticamente. você pode fornecer aos usuários o acesso discado e VPN à rede da organização. Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes soluções de conectividade de rede: • Proteção Contra Acesso à Rede.1X. uma tecnologia de reforço e remediação incluída nos sistemas operacionais Windows Vista Business. Soluções de acesso remoto.1X. ou NAP (Network Access Protection). Proteção contra Acesso com e sem fio. fazendo com que estejam de acordo com a diretiva. é possível implantar servidores VPN e de discagem. o acesso com fio permite que você assegure sua rede. configurações exigidas de computador. o acesso à rede e as diretivas de integridade do cliente. A Proteção Contra Acesso à Rede. Você também pode implantar servidores e proxies RADIUS e utilizar o Connection Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os computadores cliente conectem-se a sua rede.02 Serviços de Acesso e Diretiva de Rede Os Serviços de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem uma variedade de métodos para oferecer conectividade de rede remota e local aos usuários. os clientes não-conformes serão automaticamente atualizados. garantindo que os usuários da intranet sejam autenticados antes que possam conectar-se à rede ou obter um endereço IP utilizando o DHCP. é uma criação de diretiva de integridade de cliente. o acesso seguro sem fio fornece aos usuários um método de autenticação baseado em senhas e com segurança aprimorada fácil de ser implantado.

1X para o acesso à rede cliente sem fio IEEE 802.11 Sem fio. implantar roteadores de software com diversos recursos em sua rede. As seguintes tecnologias podem ser implantadas após a instalação do serviço de função NPS: o Servidor de diretiva NAP. O NPS é a implementação da Microsoft® de um servidor e proxy RADIUS. você pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service) o Guia do Revisor do Windows Server “Longhorn” Beta 3 . IEEE 802. Você pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configurações de forma que estejam de acordo com a diretiva de rede de sua organização. Além disso. o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se à rede. switches de autenticação. como também compartilhar conexões da Internet pela intranet. Quando você configura o NPS como um servidor de diretiva NAP. você pode utilizar o NPS para implantar a autenticação segura de senhas com o protocolo PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 para conexões sem fio. de forma centralizada.11. Além disso.104 os escritórios de filiais a sua rede por meio de soluções VPN. você poderá criar diretivas em um único local que especifique todos os aspectos das solicitações de conexão à rede. os seguintes serviços de função estarão disponíveis: • Network Policy Server. • Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS.1X. quando a conexão poderá ser feita e o nível de segurança que deve ser utilizado para conectar-se a sua rede. Serviços de Função para Serviços de Acesso e Diretiva de Rede Ao instalar os Serviços de Acesso e Diretiva de Rede. o acesso à rede por meio de uma variedade de servidores de acesso à rede. servidores VPN (virtual private networking) servidores de discagem e switches de autenticação 802. você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802. O NPS também contém componentes principais para a implantação do NAP na rede. incluindo quem tem permissão para conectar-se. como pontos de acesso sem fio. Em vez de configurar diretivas de acesso à rede em cada servidor de acesso à rede. servidores VPN e servidores de discagem. incluindo pontos de acesso sem fio. Com a utilização do snap-in do MMC (Microsoft Management Console) NPS. Ele pode ser utilizado para gerenciar.

1X para o acesso à rede Ethernet com fio IEEE 802. discadas de acesso remoto e de switch de autenticação. Ao utilizar o NPS como um proxy RADIUS.3. tais como pontos de acesso sem fio e servidores VPN.3 com o NAP durante a implantação de uma infra-estrutura de autenticação com fio 802.Dúvida Ao utilizar o NPS como um servidor RADIUS.11 com o NAP durante a implantação de uma infra-estrutura de autenticação sem fio 802. a autorização e o registro de conexões VPN.3 Com fio.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permissão para conectar-se à rede. você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802. Com a utilização do snap-in do MMC NPS. o o • Roteamento e Acesso Remoto. Você pode configurar switches em conformidade com o 802. Servidor RADIUS. .1X.105 no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão. autorização e registro de conexões Ethernet 802. você configura servidores de acesso à rede. É possível integrar totalmente o acesso sem fio IEEE 802. Proxy RADIUS. você poderá configurar diretivas de solicitação de conexão que informem o servidor NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS você deseja encaminhar solicitações de conexão.3. Você também pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitações de conexão. O NPS realiza a autenticação de conexão centralizada. (Dúvida) Guia do Revisor do Windows Server “Longhorn” Beta 3 . como clientes RADIUS no NPS. bem como realizar a autenticação. bem como realizar autenticação. você pode implantar serviços de acesso remoto.11. O NPS também pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos. além de poder configurar o registro RADIUS para que os logs do NPS registrem informações nos arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server™. autorização e registro de conexões sem fio 802. o IEEE 802. serviços de roteamento NAT de rede e multiprotocolos LANto-LAN e LAN-to-WAN.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão. É possível integrar totalmente o acesso cliente com fio IEEE 802. Com o Roteamento e Acesso Remoto.

Guia do Revisor do Windows Server “Longhorn” Beta 3 . você pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexões VPN IPsec (Internet Protocol security) a fim de fornecer aos usuários finais o acesso remoto à rede de sua organização. Entretanto. o servidor que executa o Roteamento e Acesso Remoto é configurado para fornecer o NAT para a rede privada e para aceitar conexões VPN. Ao implantar o NAT. os clientes VPN poderão conectar-se aos computadores na rede privada. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitações de conexões de entrada a partir de clientes de rede dial-up. Cada servidor é configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. O Acesso Remoto também fornece acesso remoto tradicional para dar suporte a usuários móveis ou domésticos que se conectam a intranets de uma organização. Utilizando o NAT. Além disso. o servidor que executa o Roteamento e Acesso Remoto é configurado para compartilhar uma conexão da Internet com os computadores de uma rede privada e traduzir o tráfego entre seu endereço público e a rede privada. Ao implantar a VPN e o NAT. O servidor de acesso remoto responde à chamada. autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organização. A conexão entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda). a menos que um cliente de rede privada tenha solicitado ou que o tráfego esteja explicitamente permitido.106 As seguintes tecnologias podem ser implantadas durante a instalação do serviço de função de Roteamento e Acesso Remoto: o Serviço de Acesso Remoto. pois o roteador com o NAT configurado não encaminha o tráfego a partir da Internet para a rede privada. o Roteamento. Com o Roteamento e Acesso Remoto. ele oferece serviços de roteamento aos negócios em ambientes LAN (local area network) e WAN (wide area network). os computadores na rede privada obtêm alguma medida de proteção. como se estivessem fisicamente ligados à mesma rede. Os computadores na Internet não poderão determinar os endereços IP dos computadores na rede privada. Você também pode criar uma conexão VPN de site para site entre dois servidores em diferentes locais. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet.

O HRA é um componente NAP que emite certificados de integridade a clientes que passam pela verificação de diretiva de integridade realizada pelo NPS utilizando o SoH cliente.107 • Health Registration Authority (HRA). O HCAP permite que você integre sua solução Microsoft NAP ao Cisco Network Access Control Server. Os comandos Netsh para o NPS fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NPS. Snap-in MMC snap-in NAP segurança e com suporte NAP Client Management. Snap-in MMC HRA Utilize o MMC HRA para designar a CA (certification authority . o NPS pode realizar a avaliação de integridade do cliente e a autorização dos clientes de aceso Cisco 802. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Os comandos Netsh para o HRA fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC HRA. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador.1X. Utilize este snap-in MMC para configurar um servidor VPN. Ao implantar o HCAP com o NPS e o NAP. um servidor de rede Guia do Revisor do Windows Server “Longhorn” Beta 3 • . O HRA é utilizado somente quando o método de reforço NAP é um reforço do IPsec.autoridade de certificação) utilizada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS ao qual o HRA enviará SoHs cliente para verificação mediante a diretiva de integridade. Snap-in MMC Routing and Remote Access. Host Credential Authorization Protocol (HCAP). • • • • Comandos Netsh para definir configurações de cliente NAP. um proxy RADIUS ou uma tecnologia NAP. Comandos Netsh para o HRA. Você pode utilizar o Client Management para definir configurações de de interface de usuário em computadores cliente para a arquitetura NAP. • Gerenciando a Função de Network Policy Server and Access Services As seguintes ferramentas são fornecidas para gerenciar a função de Network Policy Server and Access Services: • • Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um servidor RADIUS. Os comandos Netsh para as configurações de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Comandos Netsh para o NPS.

Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in de Roteamento e Acesso Remoto. as configurações WPA (Wi-Fi Protected Access). um roteador.11) Policies não é configurada ou ativada. O Netsh WLAN é uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configurações de segurança do Windows Vista.11) Policies Group Policy incluem configurações globais sem fio. além das configurações IEEE 802. • Comandos Netsh para acesso remoto (RAS). o download delas é feito para os clientes sem fio do Windows que são membros do domínio. é possível utilizar os comandos Netsh wlan para visualizar as configurações de Diretiva de Grupo e administrar as configurações do WISP (Wireless Internet Service Provider) e as configurações sem fio de usuário. Por padrão. As extensões Wireless Network (IEEE 802.11) Policies automatiza a definição das configurações de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service .11) Policies – snap-in (MMC) Group Policy Object Editor. Você pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar múltiplos computadores que utilizem um script de logon. • Comandos Netsh para WLAN (LAN Sem Fio). Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Comandos Netsh para roteamento. Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Wireless Network (IEEE 802. A interface Netsh sem fio fornece os seguintes benefícios: o Suporte para o modo misto. um conexão site-site VPN. Isso permite que os administradores configurem clientes para dar suporte • • Guia do Revisor do Windows Server “Longhorn” Beta 3 .serviço de configuração automática de LAN sem fio). VPN e NAT ou NAT. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configuração de Computador.1X. a lista de redes preferidas. Quando essas configurações são definidas. A extensão Wireless Network (IEEE 802. Além disso.11) Policies no Group Policy Object Editor para especificar as configurações para clientes sem fio Windows XP e Windows Vista.108 dial-up. a extensão Wireless Network (IEEE 802. Você pode utilizar a extensão Wireless Network (IEEE 802.

Essas configurações incluem o conjunto completo de itens de configuração com fio associados às guias Geral e Segurança. Além disso. Quando essas configurações são definidas. Snap-in MMC HRA Snap-in MMC Group Policy Object Editor Guia do Revisor do Windows Server “Longhorn” Beta 3 . • Wireless Network (IEEE 802.3) Policies e administrar as configurações 1x com fio do cliente.3) Policies para especificar e modificar as configurações para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extensões Wireless Network (IEEE 802.109 às múltiplas opções de segurança. Os administradores podem bloquear e ocultar o acesso às redes sem fio não-corporativas.3) Policies não é configurada ou ativada.1X. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. o Bloqueio de redes não desejadas. • Comandos Netsh para a LAN. o download delas é feito para os clientes sem fio do Windows que são membros do domínio. é possível utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802. abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda: • • • • Snap-in MMC NPS Snap-in MMC Routing and Remote Access. Isso permite que o cliente utilize o WPA2 para conectar-se às redes com suporte ao WPA2 e utilize o WPA para conectar-se às redes com suporte apenas ao WPA. Você pode utilizar o Wired Network (IEEE 802. Por exemplo. Recursos Adicionais Para saber mais sobre os Serviços de Acesso e Diretiva de Rede. é possível permitir o acesso às redes sem fio corporativas. Você pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar múltiplos computadores. a extensão Wired Network (IEEE 802.3) Policies – snap-in (MMC) Group Policy Object Editor. Por padrão. A interface Netsh LAN é uma alternativa para utilizar a Diretiva de Grupo no Windows Server “Longhorn” a fim de configurar as configurações de segurança e a conectividade com fio do Windows Vista. um cliente pode ser configurado para os padrões de autenticação WPA2 e WPA. adicionando redes ou tipos de redes à lista de redes negadas.11) Policies Group Policy incluem configurações globais com fio e IEEE 802. De forma semelhante.

eles poderão ser colocados em uma rede restrita que contenha os recursos para dar assistência na remediação de sistemas de clientes de forma que eles possam estar em conformidade com as diretivas de integridade. ajudando a garantir que os sistemas cliente mantenham as atualizações de software e as configurações de sistema apropriadas para protegê-los contra softwares maliciosos. ou que se conectam por meio de dispositivos de autenticação 802. ou ainda que possuam diretivas IPsec NAP aplicadas em suas comunicações. como vírus e worms. Esses programas podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem em outros dispositivos na rede corporativa.03 Proteção contra Acesso à Rede Um dos maiores desafios encontrados nos negócios dos dias de hoje é a exposição crescente dos dispositivos de clientes a softwares maliciosos. O NAP (Network Access Protection) é um novo conjunto de componentes de sistema operacional incluído no Windows Server “Longhorn” e no Windows Vista que fornece uma plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa atendam aos requisitos quanto à integridade do sistema definidos pelo administrador. Guia do Revisor do Windows Server “Longhorn” Beta 3 . os administradores de rede poderão: • Garantir a integridade dos computadores desktop na LAN. Caso seja determinado que os computadores cliente não estejam em conformidade com os requisitos de integridade. Com o NAP. o NAP pode ajudar os administradores de rede na diminuição de alguns riscos causados por computadores cliente configurados de forma imprópria que podem ser expostos a vírus e a outros softwares maliciosos. O NAP reforça os requisitos de integridade. Reforçando o cumprimento desses requisitos de integridade.1X.110 5. ou que estão configurados para o DHCP. Os administradores de sistemas e de rede que desejam reforçar os requisitos de integridade do sistema para computadores cliente que se conectam às redes suportadas por eles terão interesse em utilizar o NAP. Por exemplo. monitorando e avaliando o funcionamento dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. com as atualizações instaladas no sistema operacional atual e com um firewall baseado em host ativado. As diretivas NAP definem a configuração e o status de atualização exigidos para o sistema operacional e o software principal do computador de um cliente. Os administradores de rede podem utilizar a plataforma NAP para melhor proteger suas redes. pode ser exigido que os computadores possuam um software antivírus com as mais recentes assinaturas instaladas.

O NAP também inclui um conjunto API para desenvolvedores e fornecedores para que estes possam criar seus próprios componentes para validação de diretivas de rede. O Network Access Quarantine Control pode fornecer proteção adicional para conexões de acesso remoto (dial-up e VPN). Os dispositivos de acesso e os servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado no NPS. determina a conformidade da integridade do computador e também como limitar o acesso à rede de um computador que não está em conformidade com as diretivas. O NPS efetua a autenticação e a autorização de uma tentativa de conexão à rede e. • Dependendo de suas necessidades. Determinar a integridade e restringir o acesso dos laptops trazidos para uma organização pelos visitantes e parceiros.microsoft. o Windows Server “Longhorn” ou o Windows XP com SP2 e o Network Access Protection Client para Windows XP.com/fwlink/?LinkId=56449). Para mais informações sobre esse recurso no ISA Server 2004. As implantações do NAP exigem servidores que executem o Windows Server “Longhorn”. Verificar a integridade e a conformidade de diretivas dos computadores domésticos não-gerenciados que se conectam à rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto. A plataforma NAP é uma nova tecnologia de reforço e validação de integridade do cliente incluída nos sistemas operacionais Windows Server “Longhorn” e Windows Vista. O NPS é a implementação do Windows de um servidor e proxy RADIUS. são exigidos computadores cliente que executem o Windows Vista. Para mais informações sobre o Network Access Quarantine Control no Windows Server 2003. veja Network Access Quarantine Control no Windows Server 2003 (http://go. Nota O framework do NAP não é o mesmo do Network Access Quarantine Control. com base nas diretivas de integridade do sistema. os administradores podem configurar uma solução para lidar com qualquer um desses cenários. para a conformidade contínua e o isolamento de rede. O servidor central que realiza a análise de determinação da integridade para o NAP é um computador que executa o Windows Server “Longhorn” e o NPS.111 • • Reforçar os requisitos de integridade para laptops móveis quando estes forem conectados novamente na rede da empresa. o qual é um recurso fornecido com o Windows Server 2003 e o ISA Server 2004. O NPS é o substituto do IAS (Internet Authentication Service) no Windows Server 2003. Guia do Revisor do Windows Server “Longhorn” Beta 3 .microsoft.com/fwlink/?LinkId=56447). Além disso. veja Clientes Móveis VPN e Quarantine Control no ISA Server 2004 Enterprise Edition (http://go.

Reforço do NAP e Restrição de Rede O NAP pode ser configurado para negar o acesso à rede para computadores cliente em não-conformidade e permitir que esses computadores acessem somente uma rede restrita.112 Principais Processos do NAP Diversos processos importantes são exigidos para que o NAP funcione de forma apropriada: a validação de diretivas. O computador cliente deve possuir software anti-spyware instalado e em execução. O NAP utiliza os SHAs e os SHVs para monitorar. reforçar e remediar configurações de computadores cliente. Uma rede restrita Guia do Revisor do Windows Server “Longhorn” Beta 3 . O Windows Security Health Agent e o Windows Security Health Validator estão incluídos nos sistemas operacionais Windows Server “Longhorn” e Windows Vista e reforçam as seguintes configurações para computadores ativados para o NAP: • • • • • • O computador cliente deve possuir software de firewall instalado e ativado. O computador cliente deve possuir atualizações de antivírus atuais instaladas. se computadores clientes ativados para o NAP estiverem executando o Windows Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update Service). como conceder acesso total à rede ou restringir o acesso à rede. O status da integridade é monitorado pelos componentes NAP do lado do cliente. Validação de Diretivas Os SHVs (System health validators – validadores de integridade do sistema) são utilizados pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs são incorporados às diretivas de rede que determinam as ações a serem realizadas com base no status da integridade do cliente. o reforço NAP e a restrição de rede. O computador cliente deve possuir software antivírus instalado e em execução. O computador cliente deve possuir atualizações de antispywares atuais instaladas. a remediação e o monitoramento contínuo para garantir a conformidade. O Microsoft Update Services deve estar ativado no computador cliente. o NAP poderá verificar se a maioria das atualizações de segurança de software está instalada. Além disso. chamados de SHAs (system health agents – agentes de integridade do sistema). com base em um dos quatro valores possíveis que correspondem à classificação de severidade de segurança do MSRC(Microsoft Security Response Center).

uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais de vírus de forma que os computadores cliente em não-conformidade possam atualizar suas assinaturas. É possível utilizar as configurações do NAP nas diretivas de integridade NPS para configurar a remediação automática. Remediação é o processo de atualizar um computador cliente de forma que ele passe a atender aos requisitos atuais de integridade. Os computadores cliente que atendem às condições de diretivas são considerados como não estando em conformidade com os requisitos de integridade de rede. atualizar o computador cliente quando este estiver em nãoconformidade com os requisitos de integridade de rede. de forma que os componentes do cliente NAP tentem. Os clientes que atendem às condições de diretivas recebem. a remediação automática estará ativada. automaticamente. automaticamente. fazer a atualização. Guia do Revisor do Windows Server “Longhorn” Beta 3 . adiar a restrição de acesso ou ainda permitir o acesso por meio da utilização das seguintes configurações: • Do not enforce (Não aplicar). Os clientes que atendem às condições de diretiva são considerados como estando em conformidade com os requisitos de integridade de rede e a eles é concedido acesso irrestrito à rede caso a solicitação de conexão seja autenticada e autorizada. Esta é a configuração padrão. Enforce (Aplicar). acesso irrestrito. Você pode utilizar a seguinte configuração de diretiva para configurar a remediação automática: • Atualizações de computador.113 deve conter os serviços NAP principais. e os computadores ativados para o que não estiverem em conformidade com os requisitos de integridade tentarão. • • Remediação Os computadores cliente não-conformes que são colocados em uma rede restrita podem ser submetidos à remediação. para que clientes NAP em não-conformidade possam atualizar suas configurações e estar em conformidade com os requisitos de integridade. As configurações de reforço NAP permitem que você limite o acesso à rede de clientes em não-conformidade ou apenas observe e registre o status de integridade de computadores cliente ativados para o NAP. Você pode optar por restringir o acesso. como os servidores HRA e os servidores de remediação. Se a opção Update noncompliant computers automatically estiver selecionada. Defer enforcement (Adiar aplicação). temporariamente. Por exemplo. O NAP é adiado até a data e o horário especificados. Esses computadores são colocados na rede restrita. O status de conformidade de integridade dos computadores cliente ativados para o NAP é registrado.

509 aos clientes NAP quando é determinado que esses clientes estão em conformidade com os requisitos de integridade de rede. Por exemplo. um servidor NPS e um cliente de reforço IPsec. Reforço NAP para Comunicações IPsec O reforço NAP para o tráfego protegido pelo IPsec é implantado com um servidor de certificado de integridade. um servidor HRA. O reforço IPsec limita a comunicação em sua rede aos clientes em conformidade e fornece a forma mais forte do reforço NAP. Guia do Revisor do Windows Server “Longhorn” Beta 3 . esses certificados são utilizados para autenticar clientes NAP quando estes iniciam comunicações protegidas pelo IPsec com outros clientes NAP em uma intranet. limitar o acesso a uma rede restrita ou negar o acesso à rede. Se a remediação automática estiver ativada. O servidor de certificado de integridade emite certificados X. é possível definir requisitos para comunicações protegidas em uma base por endereço IP ou por número de porta TCP/UDP.1X A VPN com o Routing and Remote Access O lease e a renovação de endereços IPv4 DHCP As seções a seguir descrevem esses métodos de reforço. os componentes do cliente NAP poderão ativar automaticamente o Firewall do Windows sem a intervenção do usuário.114 Monitoramento Contínuo para Garantir a Conformidade O NAP pode reforçar a conformidade da integridade em computadores cliente em conformidade que já estejam conectados à rede. o NAP poderá determinar se o computador cliente está em um estado de nãoconformidade. se a diretiva de integridade exigir que o Windows Firewall esteja ativado. inadvertidamente. O NAP irá então colocar o computador cliente na rede restrita até que o Windows Firewall seja ativado novamente. desabilitá-lo. Os computadores cliente que são determinados como estando em não-conformidade com as diretivas de integridade também podem ser automaticamente atualizados a fim de atender a esses requisitos. O NAP reforça as diretivas de integridade para: • • • • O tráfego protegido pelo IPsec O controle de acesso à rede com e sem fio baseado na porta 802. A forma com que o NAP é reforçado depende no método de reforço escolhido. Métodos de Reforço NAP Baseado no estado de funcionamento de um computador cliente. Então. Como esse método de reforço utiliza o IPsec. o NAP pode permitir o acesso total à rede. Esta funcionalidade é muito útil para garantir que uma rede esteja protegida em uma base continua conforme vão ocorrendo mudanças nas diretivas de integridade e nos computadores cliente. e um usuário.

Abordagens Combinadas Cada um desses métodos de reforço NAP possui diferentes vantagens. o DHCP não será eficiente. Utilizando as APIs do NAP. fornecedores e desenvolvedores de software poderão fornecer soluções de fim a fim que validem o funcionamento e façam a remediação de clientes em não-conformidade. se os computadores cliente estiverem configurados para tirar vantagem (circumvent) da configuração de endereço IP. O reforço 802. O servidor NPS limita o acesso à rede do cliente à rede restrita. O reforço VPN fornece forte acesso limitado à rede para todos os computadores que acessam a rede por meio de uma conexão VPN de acesso remoto.1X O reforço NAP para o controle de acesso à rede baseado na porta 802. Implantação Guia do Revisor do Windows Server “Longhorn” Beta 3 . você poderá fazer com que sua implementação NAP seja mais complexa de ser gerenciada.1X ou um ponto de acesso sem fio em conformidade com o 802.1X é implantado com um servidor NPS e um componente cliente de reforço EAPHost.1X fornece forte restrição de rede para todos os computadores que acessam a rede por meio de dispositivos de acesso à rede ativados para 802.1X em não-conformidade em uma rede restrita.1X. Entretanto. O servidor NPS limita o acesso à rede do cliente à rede restrita. os servidores VPN poderão reforçar a diretiva de integridade quando computadores clientes tentarem conectar-se à rede utilizando uma conexão VPN de acesso remoto. Combinando os métodos de reforço.1X coloque clientes 802. Entretanto. um servidor NPS ordena que um switch de autenticação 802.115 Reforço NAP para 802. Reforço NAP para DHCP O reforço DHCP é implantado com um componente de servidor de reforço NAP DHCP.1X. Com o reforço NAP para VPN. Com o reforço baseado na porta 802. Reforço NAP para VPN O reforço NAP para VPN é implantado com um componente de servidor de reforço VPN e um componente cliente de reforço VPN. Utilizando o reforço DHCP. ao implantar múltiplos métodos de reforço NAP. ordenando que o servidor DHCP atribua uma configuração limitada de endereço IP. um componente cliente de reforço DHCP e o NPS. os servidores DHCP e o NPS poderão reforçar a diretiva de integridade quando um computador tentar obter ou renovar um endereço IPv4. O framework do NAP também fornece um conjunto de APIs que permite que outras empresas que não sejam a Microsoft integrem seus softwares com a NAP. ordenando que o ponto de acesso aplique filtros IP ou um identificador de LAN à conexão. será possível combinar as vantagens desses métodos.

são ilustrados alguns componentes comuns utilizados na implantação do NAP: Guia do Revisor do Windows Server “Longhorn” Beta 3 . Além dos SHAs e SHVs. Por exemplo. Você também poderá verificar com outros fornecedores de software se eles possuem SHAs e SHVs para seus produtos. Se você for um administrador de sistemas ou de rede. a plataforma NAP utilize múltiplos componentes de servidor e cliente para detectar e monitorar o status da integridade do sistema dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. ele poderá utilizar um conjunto de APIs para criar esses componentes. Na figura abaixo. os quais poderão ser integrados com as soluções NAP implantadas pelos clientes desse fornecedor. se um fornecedor de software antivírus desejar criar uma solução NAP que inclua um SHA e um SHV personalizado. será possível implantar o NAP com o Windows Security Health Agent e o Windows Security Health Validator.116 Os preparativos necessários para a implantação do NAP dependem do método (ou métodos) de reforço escolhido e dos requisitos de integridade que se pretende reforçar quando os computadores cliente tentam conectar-se à rede ou comunicar-se com ela.

o Microsoft SHA pode monitorar o Firewall do Windows. Os clientes de reforço NAP integram-se com tecnologias de acesso à rede. NAP Agent (Agente NAP). Servidor de administração NAP. Para utilizar o NAP.1X. pelo menos um NAP EC (NAP enforcement client) deve estar instalado e ativado nos computadores cliente. O componente de servidor de administração NAP fornece uma função de processamento parecida com o agente NAP no lado do cliente.117 Componentes do Cliente NAP Um cliente ativado para o NAP é um computador que possui os componentes NAP instalados e que pode verificar seu estado de funcionamento. NAP EC (NAP enforcement client). ativado e atualizado e se o Microsoft Update Services está ativado e o computador possui suas mais recentes atualizações. As diretivas NPS definem os requisitos de integridade e as configurações de reforço para os computadores cliente que solicitam acesso à rede. Componentes de Servidor NAP A seguir. ativado e atualizado. se um software antivírus estiver instalado. conforme descrito anteriormente. O NPS processa as mensagens de Solicitação de Acesso RADIUS (RADIUS Access-Request) que contêm a lista de SoH enviada pelo NAP EC e passa essas mensagens para o servidor de administração NAP. O agente NAP também processa o SoH a partir dos SHAs e relata o funcionamento do cliente aos clientes de reforço instalados. Por exemplo. estão os componentes de servidor NAP comuns: Diretivas de funcionamento. O agente NAP coleta e gerencia informações de funcionamento. Um SHA monitora e relata o estado de funcionamento do computador cliente de forma que o NPS possa determinar se as configurações monitoradas pelo SHA estão atualizadas e configuradas corretamente. Depois. o agente NAP utiliza uma lista de SoH. como IPsec. estão os componentes do cliente NAP comuns: Agente de integridade do sistema. A seguir. Para indicar o estado completo de um cliente NAP. os quais são enviados ao agente NAP. Um SoH é uma declaração de um SHA que afirma seu status de funcionamento. Ele recebe a lista de SoH do servidor de reforço NAP por meio do NPS e distribui cada SoH para o SHV apropriado. SoH (Statement of health). O cliente de reforço NAP solicita acesso à rede. ele coleta as Respostas SoH resultantes dos Guia do Revisor do Windows Server “Longhorn” Beta 3 . NAP EC individuais são específicos ao método. o controle de acesso à rede com e sem fio baseado em porta 802. enviando uma lista de SoH (statements of health) ao NPS. VPN com o Roteamento e Acesso Remoto e o DHCP. informa o status do funcionamento de um computador cliente ao servidor NPS e informa o status restrito do computador cliente aos outros componentes da arquitetura NAP. Também pode haver SHAs disponíveis em outras empresas que fornecem funcionalidades adicionais. Os SHAs criam SoHs. se há softwares antispyware instalado.

se o SHA nunca tiver sido instalado.declaração de resposta de integridade) para o servidor de administração NAP. um servidor de remediação pode hospedar atualizações de software. passando-os para que o NPS faça uma avaliação. a um servidor de remediação. Uma rede pode possuir mais de um tipo de SHV. um servidor de diretivas. Por exemplo. juntamente com um servidor de diretivas correspondente (se exigido) e. O NAP ES é associado a um NAP EC correspondente para o método de reforço NAP que estiver sendo utilizado. Os SHVs são cópias de software de servidor para os SHAs. Por exemplo. Dependendo do tipo de reforço NAP. NAP enforcement server (servidor de reforço NAP). um switch de autenticação ou um ponto de acesso sem fio (reforço 802. Cada SHA no cliente possui um SHV correspondente no NPS. Com base na resposta.118 SHVs e envia essas respostas ao NPS para que este faça uma avaliação. é fornecido acesso limitado ou ilimitado à rede para o cliente ativado para o NAP. Um servidor de diretivas é um componente de software que se comunica com um SHV a fim de fornecer as informações utilizadas na avaliação dos requisitos para a integridade do sistema. Os servidores de diretivas são associados aos SHVs. Se a diretiva de integridade exigir que Guia do Revisor do Windows Server “Longhorn” Beta 3 . Servidor de remediação.validadores de integridade do sistema). SHVs (System health validators . Ele recebe a lista de SoHs do NAP EC. Um SHV também pode detectar que nenhum SoH foi recebido (por exemplo.1x). Os SHAs e os SHVs são associados um ao outro. se tiver sido danificado ou removido). o NAP ES pode ser uma autoridade de certificação (reforço IPsec). um SHV pode simplesmente ordenar que clientes ativados para o NAP verifiquem as configurações locais de sistema a fim de assegurar que um firewall baseado em host esteja ativado. pode fornecer a versão do arquivo atual de assinaturas para a validação de um SoH antivírus cliente. Se isso ocorrer. o servidor NPS deverá coordenar a saída de todos os SHVs e determinar se deve ser limitado o acesso de um computador em não-conformidade. como um servidor de assinaturas antivírus. o SHV enviará uma mensagem SoHR (statement of health response . Os SHVs verificam o SoH feito por seu SHA correspondente no computador cliente. talvez. Servidor de diretivas. Por exemplo. um servidor Roteamento e Acesso Remoto(reforço VPN) ou um servidor DHCP (reforço DHCP). Isso exige um planejamento cuidadoso ao definir diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs interagem. Um servidor de remediação hospeda as atualizações que podem ser utilizadas pelos SHAs para fazer com que computadores cliente em não-conformidade passem a estar em conformidade. Se o SoH atender ou não à diretiva definida. mas nem todos os SHVs exigem um servidor de diretivas.

Se o computador cliente for considerado como estando em não-conformidade. SoHR (Statement of health response). um SoHR será gerado. acesse o site sobre Network Access Protection em (http://go. Informações Adicionais Para mais informações sobre o NAP. o SoHR irá conter as instruções de remediação utilizadas pelo SHA para fazer com que a configuração do computador cliente esteja em conformidade com os requisitos de integridade. Guia do Revisor do Windows Server “Longhorn” Beta 3 .com/fwlink/?LinkId=56443). Depois que o SoH cliente for avaliado mediante a diretiva de integridade pelo SHV apropriado. O SoHR inverte o caminho do SoH e é enviado de volta ao SHA do computador cliente. cada mensagem SoHR contém as informações sobre como estar em conformidade com os requisitos de integridade. o NAP EC irá restringir o acesso à rede dos clientes que não possuírem essas atualizações. contendo os resultados da avaliação. Os servidores de remediação devem estar acessíveis aos clientes com acesso restrito à rede para que os clientes obtenham as atualizações exigidas para que estejam em conformidade com as diretivas de integridade.microsoft. Assim como cada tipo de SoH contém diferentes tipos de informações sobre o status do funcionamento do sistema.119 os computadores cliente NAP possuam as mais recentes atualizações de software instaladas.

A seguir. teremos uma visão geral técnica sobre as melhorias de comunicação e rede TCP/IP encontradas no Microsoft Windows Server “Longhorn” e Windows Vista para lidar com questões de conectividade. os administradores de TI possuem mais opções flexíveis para gerenciar a infra-estrutura de rede. facilidade de uso. A Pilha TCP/IP de última geração é um design completamente reformulado da funcionalidade do TCP/IP tanto para o IPv4 (Internet Protocol version 4) quanto para o IPv6 (Internet Protocol version 6) que atende às necessidades de desempenho e conectividade dos diversos ambientes e tecnologias de rede dos dias de hoje. Parceiros. Os seguintes recursos são novos ou aprimorados: • • • • • • • Receive Window Auto-Tuning Compound TCP Melhorias para ambientes de alto índice de perda Neighbor Un-reach-ability Detection for IPv4 Alterações na detecção de gateways inativos Alterações na detecção de roteadores de buraco negro PMTU Compartimentos de Roteamento Guia do Revisor do Windows Server “Longhorn” Beta 3 . conhecida como a Pilha TCP/IP de última geração. Os funcionários precisam conectar-se à rede onde quer que eles estejam e a partir de qualquer dispositivo. segurança é um fator mais importante do que nunca. fornecedores e outras pessoas fora da rede precisam interagir. Além disso. de forma eficiente. rotear o tráfego de rede de forma eficiente e implantar cenários de tráfego protegido. confiabilidade e segurança. gerenciamento. com os recursos principais.04 Protocolos TCP/IP e Componentes de Rede de Última Geração A rede e as comunicações são muito importantes para que as organizações consigam superar o desafio da grande competição no mercado global. O Windows Server “Longhorn” e o Windows Vista incluem muitas alterações e melhorias para os seguintes protocolos e componentes centrais de rede: • • • Pilha TCP/IP de última geração Melhorias no IPv6 QoS (Quality of Service) baseada em diretivas para redes corporativas.120 5. Pilha TCP/IP de Última Geração O Windows Server “Longhorn” e o Windows Vista incluem uma nova implementação da pilha do protocolo TCP/IP. Com o Windows Server “Longhorn” e o Windows Vista.

O Receive Window AutoTuning determina o tamanho da janela de recebimento ideal por conexão. Se todos os aplicativos forem otimizados para receber dados TCP. a utilização total da rede poderá aumentar de forma significativa. O CTCP é utilizado para conexões TCP com um grande tamanho de janela de recebimento e um grande produto de atraso de largura de banda (a largura de banda de uma conexão multiplicada pelo seu atraso). os horários de backup para arquivos extensos foram reduzidos em quase metade para uma conexão de 1 gigabit por segundo com um RTT (round-trip time) de 50 milésimos de segundo. Conexões com um produto de atraso de largura de banda maior podem ter um melhor desempenho. a utilização da largura de banda de rede aumenta durante a transferência de dados.121 • • • Suporte ao Network Diagnostics Framework Windows Filtering Platform Explicit Congestion Notification Receive Window Auto-Tuning O tamanho da janela de recebimento TCP (TCP receive window size) é a quantidade de bytes em um buffer de memória em um host de recebimento utilizada para armazenar dados de entrada em uma conexão TCP. o CTCP (Compound TCP) na Pilha TCP/IP de última geração otimiza a velocidade do processamento do emissor. Ele aumenta. de forma significativa. Para determinar corretamente o valor do tamanho máximo da janela de recebimento para uma conexão com base nas condições atuais da rede. Depois. calculando o produto do atraso da largura de banda (a largura de banda multiplicada pela latência da conexão) e o índice de recuperação do aplicativo. Melhorias para Ambientes de Alto Índice de Perda A Pilha TCP/IP de última geração tem suporte para as seguintes RFCs (Request for Comments) a fim de otimizar a velocidade do processamento em ambientes alto índice de perda: Guia do Revisor do Windows Server “Longhorn” Beta 3 . o tamanho máximo da janela de recebimento é ajustado em uma base regular. a Pilha TCP/IP de última geração dá suporte ao Receive Window Auto-Tuning. Por exemplo. a quantidade de dados enviados por vez e ajuda a garantir que seu comportamento não cause impactos negativos em outras conexões TCP. Compound TCP Considerando que o Receive Window Auto-Tuning otimiza a velocidade do processamento do receptor. eles podem aumentar a utilização de links e produzir ganhos substanciais de desempenho para grandes conexões de produto de atraso de largura de banda. Com maior velocidade do processamento entre os pontos TCP. em testes realizados internamente na Microsoft. Trabalhando juntos.

Reduzir o número de retransmissões enviadas melhora a velocidade do processamento. a RFC 3517 define um método de utilizar as informações do SACK para realizar a recuperação de perda quando confirmações duplicadas tiverem sido recebidas e substitui o algoritmo de recuperação rápida quando o SACK estiver ativado em uma conexão. A RFC 2883 define uma utilização adicional da opção SACK TCP para reconhecer pacotes duplicados. O resultado do algoritmo F-RTO é indicado para ambientes com aumentos repentinos ou temporários no RTT. O F-RTO evita a retransmissão desnecessária de segmentos e retorna mais rapidamente a sua taxa de envio normal. permite que um receptor indique até quatro blocos não-contíguos de dados recebidos. definido na RFC 2018. • RFC 4138: Recuperação F-RTO (Forward RTO): Um Algoritmo para a Detecção de Falsos Timeouts de Retransmissão com o TCP e o SCTP (Stream Control Transmission Protocol) O algoritmo F-RTO (Forward-Retransmission Timeout) evita a retransmissão desnecessária de segmentos TCP. como quando um cliente sem fio passa de um ponto de acesso sem fio (AP access point) para outro. Neighbor Un-reach-ability Detection for IPv4 O Neighbor Un-reach-ability Detection é um recurso do IPv6 no qual um nó mantém o status informando se um nó vizinho pode ser Guia do Revisor do Windows Server “Longhorn” Beta 3 . Isso permite que o receptor do segmento TCP que contém a opção SACK determine quando um segmento foi retransmitido desnecessariamente e ajuste o comportamento para evitar futuras retransmissões. A Pilha TCP/IP de última geração controla as informações do SACK em uma base por conexão e monitora as confirmações de entrada a fim fazer a recuperação mais rapidamente quando segmentos não forem recebidos no destino.122 • RFC 2582: Modificação NewReno para o Algoritmo de Recuperação Rápida do TCP Quando múltiplos segmentos em uma janela de dados forem perdidos. alterando a forma com que um emissor pode aumentar sua taxa de envio. Retransmissões desnecessárias de segmentos TCP podem ocorrer quando houver um aumento repentino ou temporário no RTT (round-trip time). o algoritmo NewReno fornecerá uma maior velocidade do processamento. • RFC 2883: Uma Extensão à Opção SACK (Selective Acknowledgement) para TCP O SACK. • RFC 3517: Um Algoritmo de Recuperação de Perdas Baseado no SACK (Selective Acknowledgment) Conservador para TCP Considerando que o Windows Server 2003 e o Windows XP utilizam as informações do SACK somente para determinar quais segmentos TCP não chegaram no destino. e o emissor receber uma confirmação parcial informando que os dados foram recebidos.

repentinamente. No Windows Server 2003 e no Windows XP. as conexões TCP podem falhar e serem encerradas. os roteadores intermediários podem bloquear mensagens ICMP devido às regras de firewall. em vez de confiar no recibo das mensagens de erro ICMP. Entretanto. fornecendo melhor detecção e recuperação de erros quando os nós. O suporte ao failback para os gateways padrão primários pode fornecer maior velocidade de processamento. o PMTU é automaticamente ajustado para a conexão. ficarem indisponíveis. tentando periodicamente enviar o tráfego TCP. a Pilha TCP/IP de última geração irá alternar do gateway padrão para o gateway inativo detectado anteriormente. Por padrão. definida na RFC 1191. Esses tipos de roteadores são conhecidos como roteadores PMTU de buraco negro. Alterações na detecção de gateways inativos A detecção de gateways inativos no TCP/IP para o Windows Server 2003 e o Windows XP fornece uma função de failover. Além disso. Devido aos roteadores PMTU de buraco negro. a Pilha TCP/IP de última geração ativa a detecção de roteadores de buraco negro PMTU a fim de evitar o encerramento das conexões TCP. Se o tráfego IP enviado por meio do gateway inativo obtiver sucesso. por meio do controle do estado alcançável dos nós IPv4 no cache de rota do IPv4.123 alcançado. O Neighbor Un-reach-ability Detection for IPv4 determina a capacidade de alcance por meio de uma troca de mensagens ARP Reply e ARP (Address Resolution Protocol) Request ou por meio da relação de confiança em protocolos de camada superior. em alguns casos. na qual um gateway inativo é testado novamente a fim de determinar se ele se tornou disponível. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Alterações na Detecção de Roteadores de Buraco Negro PMTU A descoberta PMTU (Path maximum transmission unit). como o TCP. A detecção de roteadores de buraco negro PMTU faz sentido quando extensos segmentos TCP estão sendo retransmitidos. A Pilha TCP/IP de última geração fornece failback para gateways inativos. mas não uma função de failback. pois estando ativada. confia no recebimento de mensagens ICMP (Internet Control Message Protocol) Destination Unreachable-Fragmentation Needed e DF (Don’t Fragment) Set dos roteadores que contêm o MTU do próximo link. utilizando o gateway inativo detectado anteriormente. o número máximo de transmissões executadas para um segmento de rede específico aumenta. a detecção de roteadores de buraco negro PMTU é desabilitada por padrão. A Pilha TCP/IP de última geração também dá suporte ao tráfego do Neighbor Un-reach-ability Detection for IPv4. enviando o tráfego com a utilização do gateway padrão primário na sub-rede. roteadores intermediários descartam pacotes que não podem ser fragmentados.

Um compartimento de roteamento é a combinação de um conjunto de interfaces com uma sessão de login que possui suas próprias tabelas de roteamento IP. Cada interface pode pertencer somente a um único compartimento. o Network Diagnostics Framework exibe ao usuário diversas opções para eliminar as possíveis causas até que a causa do problema seja identificada ou que todas as possibilidades sejam eliminadas. quando um usuário inicia uma conexão VPN pela Internet com a implementação TCP/IP no Windows XP.124 Compartimentos de Roteamento Para evitar que o encaminhamento indesejado do tráfego entre interfaces para configurações VPN. Para a comunicação baseada em TCP/IP. Por exemplo. Em algumas situações. o computador do usuário terá conectividade parcial tanto para a Internet quanto para a intranet particular. manipulando entradas na tabela de roteamento IPv4. Para clientes VPN com suporte para compartimentos de roteamento. Um computador pode possuir múltiplos compartimentos de roteamento isolados uns dos outros. Suporte ao Network Diagnostics Framework O Network Diagnostics Framework é uma arquitetura extensível que ajuda os usuários na recuperação e resolução de problemas com conexões de rede. Estes são os problemas específicos relacionados ao TCP/IP que podem ser diagnosticados pelo Network Diagnostics Framework: • • • • • • • • • • • • Endereço IP incorreto O gateway padrão (roteador) não está disponível Gateway padrão incorreto Falha de resolução de nomes NetBT (NetBIOS over TCP/IP) Configurações de DNS incorretas A porta local já está sendo utilizada O serviço DHCP Client não está sendo executado Não há escuta remota A mídia está desconectada A porta local está bloqueada Pouca memória Suporte ESTATS (extended statistics) A Pilha TCP/IP de última geração dá suporte ao esboço do IETF (Internet Engineering Task Force) “TCP Extended Statistics MIB”. a Pilha TCP/IP de última geração isola a conectividade da Internet da conectividade da intranet particular por meio de tabelas de roteamento IP separadas. a Pilha TCP/IP de última geração dá suporte aos compartimentos de roteamento. é possível que o tráfego da Internet seja encaminhado pela conexão VPN para a intranet particular. o qual define as estatísticas de desempenho estendidas para o Guia do Revisor do Windows Server “Longhorn” Beta 3 .

de forma drástica. Analisando o ESTATS em uma conexão.125 TCP. O WFP também integra e fornece suporte para a nova geração de recursos de firewall. os ISVs (independent software vendors) que não são da Microsoft podem criar diagnósticos eficientes e aplicativos de análise de velocidade de processamento de rede. Por padrão. O ECN não é ativado por padrão. de recepção ou se é a rede. Os ISVs podem criar firewalls. o ESTATS é desabilitado e pode ser ativado por conexão. Melhorias no IPv6 A Pilha TCP/IP de última geração dá suporte às seguintes melhorias no IPv6: • • • • • • IPv6 ativado por padrão Pilha IP dupla Configuração baseada em GUI Melhorias no Teredo Suporte IPsec integrado Multicast Listener Discovery versão 2 Guia do Revisor do Windows Server “Longhorn” Beta 3 .Plataforma de Filtragem Windows) é uma nova arquitetura na Nova Geração da pilha TCP/IP que fornece APIs para que os ISVs não-Microsoft possam fazer a filtragem em diversas camadas na pilha do protocolo TCP/IP e por todo o sistema operacional.Notificação Explícita de Congestionamento) nos pontos TCP e na infra-estrutura de roteamento. Detectar o congestionamento antes das perdas de pacotes aumenta a velocidade de processamento entre os pontos TCP. os roteadores que estão vivenciando o congestionamento marcam os pacotes como se estivessem encaminhando-os. o TCP supõe que o segmento foi perdido devido ao congestionamento em um roteador e executa o controle de congestionamento. Com o ESTATS. como a comunicação autenticada e a configuração de firewall dinâmica baseadas na utilização de um aplicativo do Windows Sockets API. além de outros tipos de aplicativos e serviços. Os pontos TCP que recebem os pacotes marcados diminuem sua taxa de transmissão a fim facilitar o congestionamento e evitar a perda de segmentos. Explicit Congestion Notification Quando um segmento TCP é perdido. o que diminui. Com o suporte ECN (Explicit Congestion Notification . é possível determinar se o gargalo de desempenho para uma conexão é o aplicativo de envio. O Windows Firewall e o IPsec no Windows Server “Longhorn” e no Windows Vista utilizam o WFP API. Windows Filtering Platform O WFP (Windows Filtering Platform . softwares antivírus. a taxa de transmissão do emissor TCP.

dependendo do endereço externo de destino (para o tráfego de saída). Configuração Baseada em GUI No Windows Server “Longhorn” e no Windows Vista. ou não funcionariam sem a modificação do protocolo do aplicativo de rede. Este novo comportamento permite que o Teredo funcione entre um conjunto maior de hosts conectados à Internet. você pode definir manualmente as configurações do IPv6. Um NAT simétrico mapeia o mesmo endereço (privado) e o mesmo número de porta internos para diferentes endereços e portas (públicos) externos. Melhorias no Teredo O Teredo fornece conectividade aprimorada para aplicativos ativados para o IPv6. Esses mesmos tipos de aplicativos. ou exigiriam a configuração manual do NAT.126 • • • • Link-Local Multicast Name Resolution IPv6 pelo PPP IDs aleatórios de interface para endereços IPv6 Suporte DHCPv6 IPv6 Ativado por Padrão No Windows Server “Longhorn” e no Windows Vista. semelhante ao processo de definir manualmente as configurações do IPv4. funcionarão pelo NAT. O IPv6 no Windows Server “Longhorn” e no Windows Vista não pode ser desinstalado. os aplicativos ativados para o IPv6 que exigem o tráfego de entrada não solicitado e o endereçamento global. Pilha IP Dupla A Pilha TCP/IP de última geração dá suporte à arquitetura de camadas IP dupla. mas pode ser desabilitado. É possível definir as configurações do IPv6 por meio das propriedades do componente TCP/IPv6 (Internet Protocol version 6) e também pelos comandos no contexto IPv6 da interface. Guia do Revisor do Windows Server “Longhorn” Beta 3 . fornecendo globalmente o endereçamento IPv6 exclusivo e permitindo o tráfego IPv6 para atravessar os NATs. como aplicativos entre iguais. utilizando um conjunto de caixas de diálogo na pasta Conexões de Rede. Com o Teredo. se utilizassem o tráfego IPv4. A Pilha TCP/IP de última geração possui o IPv4 e o IPv6 ativados por padrão. o IPv6 é instalado e ativado por padrão. Não é necessário instalar um componente separado para obter o suporte ao IPv6. na qual as implementações do IPv4 e IPv6 compartilham camadas comuns de frame e transporte (TCP e UDP). O Teredo pode agora funcionar se houver um cliente Teredo atrás de um ou mais NATs simétricos.

Link-Local Multicast Name Resolution O LLMNR (Link-Local Multicast Name Resolution) permite que hosts IPv6 em uma única sub-rede sem um servidor de DNS resolvam os nomes uns dos outros. o componente Teredo estará ativado. fornece suporte para o tráfego multicast específico à origem. incluindo endereços públicos e locais de link. Essa capacidade é muito útil para redes domésticas de única sub-rede e redes sem fio ad hoc. um usuário deve instalar um aplicativo que precise utilizar o Teredo ou optar por alterar as configurações de firewall a fim de permitir que um aplicativo utilize o Teredo. conforme definido na RFC 2472. IDs Aleatórios de Interface para Endereços IPv6 Por padrão. igual ao que ocorre com o tráfego IPv4. incluindo o suporte para o IKE (Internet Key Exchange) e a criptografia de dados. especificado na RFC 3810. com o intuito de evitar a varredura de endereços IPv6 baseados nos IDs conhecidos da empresa dos fabricantes de adaptadores de rede. será possível especificar endereços IPv6 e prefixos de endereços nos campos IP Address ou Subnet ao determinar um endereço IP específico de origem ou destino. Para ativá-lo. o suporte IPv6 pelo PPP permite que você se conecte a um ISP (Internet service provider) baseado no IPv6 por meio de conexões dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser utilizadas para o acesso de banda larga à Internet. IPv6 Pelo PPP O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point Protocol). o Windows Server “Longhorn” e o Windows Vista geram IDs aleatórios de interface para endereços IPv6 estáticos autoconfigurados. Suporte DHCPv6 Guia do Revisor do Windows Server “Longhorn” Beta 3 . Suporte IPsec Integrado No Windows Server “Longhorn” e no Windows Vista. Por exemplo.127 No Windows Vista. quando você configurar um filtro IP como parte de uma lista de filtros IP no snap-in IP Security Policies. mas inativo por padrão. O MLDv2 equivale ao IGMPv3 (Internet Group Management Protocol version 3) para IPv4. o suporte IPsec para o tráfego IPv6 é o mesmo existente para o IPv4. Multicast Listener Discovery Versão 2 O MLDv2 (Multicast Listener Discovery versão 2). Por exemplo. Os snap-ins Windows Firewall with Advanced Security e IP Security Policies agora possuem suporte para a configuração de diretivas IPsec para o tráfego IPv6. O tráfego IPv6 pode agora ser enviado por conexões baseadas em PPP.

128

O Windows Server “Longhorn” e o Windows Vista incluem um cliente DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol version 6) que efetua a configuração automática de endereços com monitoramento de estado com um servidor DHCP. O Windows Server “Longhorn” inclui um serviço DHCP Server ativado para o DHCPv6.

Quality of Service (Qualidade de Serviço)
No Windows Server 2003 e no Windows XP, a funcionalidade QoS (Quality of Service) está disponível para os aplicativos por meio das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as APIs GQoS acessavam funções priorizadas de entrega. No Windows Server “Longhorn” e no Windows Vista, existem novos recursos para gerenciar o tráfego de rede corporativa e doméstica.

QoS Baseado em Diretivas para Redes Corporativas
As diretivas de QoS no Windows Server “Longhorn” e no Windows Vista permitem que os profissionais de TI dêem prioridade à taxa de envio para o tráfego de rede de saída ou gerenciem essa taxa. O profissional de TI pode restringir as configurações a nomes específicos de aplicativos, a endereços IP de origem e destino específicos e a portas UDP ou TCP de origem e destino. As configurações de diretivas de QoS fazem parte da Diretiva de Grupo user configuration (configuração de usuário) ou computer configuration (configuração de computador) e são configuradas com a utilização do Group Policy Object Editor. Elas são vinculadas aos containeres dos Serviços de Domínio do Active Directory (domínios, sites e OUs - unidades organizacionais), por meio da utilização do Group Policy Management Console (Console de Gerenciamento de Diretivas de Grupo). Para gerenciar a utilização de largura de banda, você pode configurar uma diretiva de QoS com uma taxa de aceleração para o tráfego de saída. Utilizando a otimização, uma diretiva de QoS pode limitar o tráfego de rede de saída agregado para uma taxa específica. Para especificar a entrega priorizada, o tráfego é marcado com um valor DSCP (Differentiated Services Code Point). Os roteadores ou os pontos de acesso sem fio na infra-estrutura de rede podem colocar pacotes marcados com o DSCP em filas diferentes para uma entrega diferenciada. A marcação com o DSCP e a otimização podem ser utilizados em conjunto para gerenciar o tráfego de forma eficiente. Como os processos de otimização e de marcação de prioridade são aplicados na camada de rede, não é preciso modificar os aplicativos.

Guia do Revisor do Windows Server “Longhorn” Beta 3

129

5.05 Firewall do Windows com Segurança Avançada
Começando com o Windows Vista e o Windows Server “Longhorn”, a configuração do Firewall do Windows e do IPsec é combinada em uma única ferramenta, o snap-in MMC Windows Firewall with Advanced Security. O snap-in MMC Windows Firewall with Advanced Security substitui ambas as versões anteriores dos snap-ins do IPsec, o IP Security Policies e o IP Security Monitor, para a configuração de computadores que executam o Windows Server 2003, o Windows XP ou o Windows 2000. Embora os computadores que executam o Windows Vista e o Windows Server “Longhorn” também possam ser configurados e monitorados por meio da utilização dos snap-ins anteriores do IPsec, não é possível utilizar as ferramentas mais antigas para configurar os diversos novos recursos e opções de segurança apresentados no Windows Vista e no Windows Server “Longhorn”. Para obter as vantagens desses novos recursos, você deve definir as configurações, utilizando o snap-in Windows Firewall with Advanced Security ou os comandos no contexto advfirewall da ferramenta Netsh. O Windows Firewall with Advanced Security fornece diversas funções em um computador que executa o Windows Vista ou o Windows Server “Longhorn”: • Filtragem de todo o tráfego do IPv6 e do IPv4 que entra no computador ou sai dele. Por padrão, todo o tráfego de entrada é bloqueado, a menos que ele seja uma resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou que ele seja especificamente permitido por uma regra criada para permitir esse tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de fortalecimento de serviço que evita a comunicação de serviços padrão de formas inesperadas. É possível optar por permitir o tráfego baseado em números de portas, em endereços do IPv4 ou IPv6, no caminho e nome de um aplicativo ou no nome de um serviço executado no computador ou, ainda, em outros critérios. Proteção do tráfego de rede que entra no computador ou sai dele, utilizando o protocolo IPsec a fim de verificar a integridade do tráfego de rede, autenticar a identidade dos computadores ou usuários de envio e recepção e, opcionalmente, criptografar o tráfego a fim de fornecer confidencialidade.

Começando com o Windows XP Service Pack 2, o Firewall do Windows foi ativado por padrão nos sistemas operacionais da Microsoft. O Windows Server “Longhorn” é o primeiro sistema operacional de servidor da Microsoft a ter o Firewall do Windows ativado por
Guia do Revisor do Windows Server “Longhorn” Beta 3

130

padrão. Pelo fato de o Firewall do Windows estar ativado por padrão, todo administrador de um servidor que executa o Windows Server “Longhorn” deve estar atento a esse recurso e entender como o firewall deve ser configurado a fim de permitir o tráfego de rede exigido. O console Windows Firewall with Advanced Security pode ser completamente configurado, utilizando o snap-in MMC Windows Firewall with Advanced Security ou os comandos disponíveis no contexto advfirewall da ferramenta de linha de comando Netsh. Tanto as ferramentas gráficas quanto as de linha de comando dão suporte ao gerenciamento do Windows Firewall with Advanced Security no computador local ou em um computador remoto que executa o Windows Server “Longhorn” ou Windows Vista que esteja na rede. As configurações criadas com a utilização dessas ferramentas podem ser implantadas nos computadores vinculados à rede, utilizando a Diretiva de Grupo. Será preciso rever esta seção sobre o Windows Firewall with Advanced Security se você fizer parte de um dos seguintes grupos: • • • Planejadores e analistas de TI que estão avaliando tecnicamente o produto. Planejadores e designers corporativos de TI. Profissionais de TI que implantam ou administram soluções de segurança de rede em uma organização.

O Windows Firewall with Advanced Security consolida duas funções que eram gerenciadas separadamente em versões anteriores do Windows. Além disso, a principal funcionalidade dos componentes do IPsec e de firewall do Windows Firewall with Advanced Security foi aprimorada de forma significativa no Windows Vista e Windows Server “Longhorn”. Se você criar um software projetado para ser instalado no Windows Vista ou no Windows Server “Longhorn”, será preciso ter a certeza de que o firewall é configurado corretamente pela sua ferramenta de instalação, criando ou ativando regras que permitam que o tráfego de rede do programa passe pelo firewall. O seu programa deverá reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows, domínio, privado e público, e responder corretamente a uma alteração no tipo de local de rede. É importante lembrar que uma alteração no tipo de local de rede poderá resultar em diferentes regras de firewall sendo aplicadas no computador. Por exemplo, se você quiser que seu aplicativo seja executado somente em um ambiente seguro, como um domínio ou uma rede privada, as regras de firewall deverão evitar que o seu aplicativo envie o tráfego de rede quando o computador estiver em uma rede pública. Se o tipo de local de rede for alterado de forma inesperada durante a execução de seu aplicativo, ele deverá lidar muito bem com essa situação.

Guia do Revisor do Windows Server “Longhorn” Beta 3

131

O Firewall do Windows é Ativado Por Padrão
O Firewall do Windows vem ativado por padrão nos sistemas operacionais cliente Windows desde o Windows XP Service Pack 2, mas, o Windows Server “Longhorn” é a primeira versão de servidor do sistema operacional Windows que possui o Firewall do Windows ativado por padrão. Isso causa conseqüências sempre que um aplicativo ou serviço é instalado e deve ter permissão para receber o tráfego de entrada não-solicitado pela rede. Muitos aplicativos antigos não são projetados para funcionar com um firewall baseado em host e podem não operar de forma correta, a menos que sejam definidas regras que permitam que o aplicativo aceite o tráfego de entrada de rede não-solicitado. Ao instalar uma função ou recurso de servidor incluído no Windows Server “Longhorn”, o instalador irá ativar ou criar regras para garantir que a função ou recurso de servidor funcione corretamente. Para determinar quais configurações de firewall devem ser definidas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configurações de firewall são sempre publicadas no site de suporte do fornecedor. Nota Um computador que executa o Windows Server 2003 e é atualizado para o Windows Server “Longhorn” mantém o mesmo estado operacional do firewall que tinha antes da atualização. Se o firewall for desabilitado antes da atualização, ele permanecerá nesse estado após a atualização. Recomendamos que você ative o firewall assim que houver a confirmação de que os aplicativos na rede funcionam com o firewall conforme configurado ou assim que as regras de firewall apropriadas forem configuradas para os aplicativos executados em seu computador.

O Gerenciamento da Diretiva IPsec é Simplificado
Em versões anteriores do Windows, as implementações de isolamento de domínio ou servidor exigiam a criação de um grande número de regras IPsec para garantir que o tráfego de rede exigido estava protegido de forma apropriada, fazendo com que o tráfego de rede exigido não pudesse ser assegurado com o IPsec. A necessidade de um conjunto grande e complexo de regras IPsec é reduzida devido a um novo comportamento padrão para a negociação IPsec que solicita , mas não exige a proteção IPsec. Ao utilizar essa configuração, o IPsec envia uma tentativa de negociação IPsec e, ao mesmo tempo, envia pacotes de texto plano para o computador de destino. Se o computador de destino responder à negociação e concluí-la com sucesso, a comunicação de texto plano será interrompida, e a comunicação subseqüente será protegida pelo IPsec. Entretanto, se o computador de destino não responder

Guia do Revisor do Windows Server “Longhorn” Beta 3

132

à negociação IPsec, a tentativa de texto plano terá permissão para prosseguir. Em versões anteriores do Windows, era preciso aguardar três segundos após a tentativa de negociação IPsec antes de tentar a comunicação utilizando o texto plano. Isso resultava em grandes atrasos no desempenho do tráfego, que não podia ser protegido e tinha de ser testado novamente em texto plano. Para evitar esse atraso de desempenho, um administrador precisava criar múltiplas regras IPsec para lidar com os diferentes requisitos de cada tipo de tráfego de rede. Esse novo comportamento permite solicitar, mas não exigir, que a proteção IPsec realize o tráfego desprotegido, uma vez que o atraso de três segundos não é mais exigido. isso permite que você proteja o tráfego onde quer que ele seja exigido, sem a necessidade de criar regras que permitam explicitamente as exceções necessárias. Isso resulta em um ambiente mais seguro, menos complexo e que facilita a solução de problemas.

Suporte para IP Autenticado
Em versões anteriores do Windows, o IPsec dava suporte somente ao protocolo IKE (Internet Key Exchange) para negociar SAs (security association) do IPsec. O Windows Vista e o Windows Server “Longhorn” dão suporte a uma extensão ao IKE conhecida como AuthIP (Authenticated IP). O AuthIP fornece capacidades adicionais de autenticação. São elas: • Suporte para os novos tipos de credenciais que não estão disponíveis no IKE isoladamente. Isso inclui: certificados de integridade fornecidos por um Health Certificate Server, o qual faz parte de uma implantação NAP (Network Access Protection; certificados baseados em usuários; credenciais de usuário Kerberos e credenciais de computador ou de usuário NTLM versão 2. Essas credenciais são adicionais para os tipos de credenciais suportados pelo IKE, como certificados baseados em computador, credenciais Kerberos para a conta de computador ou simplesmente chaves précompartilhadas. Suporte para autenticação, utilizando múltiplas credenciais. Por exemplo, o IPsec pode ser configurado para exigir que tanto as credenciais do usuário quanto as do computador sejam processadas com sucesso antes que o tráfego seja permitido. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser utilizado por um usuário não-confiável.

Suporte para Proteger um Membro de Domínio para o Tráfego de Controlador de Domínio Utilizando o IPsec
Versões anteriores do Windows não suportam a utilização do IPsec para proteger o tráfego entre controladores de domínio e

Guia do Revisor do Windows Server “Longhorn” Beta 3

O Windows Vista e o Windows Server “Longhorn” são suporte à proteção do tráfego de rede entre computadores membro de domínio e controladores de domínio. conexões VPN e assim por diante. e o Windows irá está atualmente ligado à rede seleção é baseada na Guia do Revisor do Windows Server “Longhorn” Beta 3 . ativados para a rede. Suporte Aprimorado para Criptografia A implementação do IPsec no Windows Vista e no Windows Server “Longhorn” dá suporte a algoritmos adicionais para a negociação de modo principal de SAs: • Curva Elíptica Diffie-Hellman P-256 (Elliptic Curve DiffieHellman P-256). Os aplicativos devem ser criados de forma que possam obter a vantagem desse recurso e receber notificações de alterações feitas nos tipos de local de rede. e os programas podem utilizar esses tipos para aplicar automaticamente o conjunto apropriado de opções de configuração. quanto às alterações nos tipos de local de rede disponíveis por meio de adaptadores de rede anexados. como o Windows Firewall. utilizando o IPsec. um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 256 bits Curva Elíptica Diffie-Hellman P-384 (Elliptic Curve DiffieHellman P-384). O Windows dá suporte a três tipos de local de rede. O Windows Firewall with Advanced Security no Windows Vista e no Windows Server “Longhorn” pode fornecer diferentes níveis de proteção com base no tipo de local de rede ao qual o computador está ligado. Estes são os tipos de locais de rede: • Domínio. um algoritmo de curva elíptica que utiliza um grupo de curva aleatória de 384 bits • Além disso. os seguintes métodos de criptografia que utilizam o AES (Advanced Encryption Standard) são suportados: • • • AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128) AES com CBC e um tamanho de chave de 192 bits (AES 192) AES com CBC e um tamanho de chave de 256 bits (AES 256) As Configurações Podem Ser Alteradas Dinamicamente Com Base no Tipo de Local de Rede O Windows Vista e o Windows Server “Longhorn” podem notificar aplicativos. Essa de rede será selecionado quando domínio. enquanto permitem que um computador que não é membro de domínio passem a fazer parte de um domínio por meio da utilização do controlador de domínio protegido pelo IPsec. Este tipo de local computador for membro de um determinar que o computador que hospeda o domínio.133 computadores membro de domínio.

como uma rede doméstica ou uma rede de um pequeno escritório. devido aos riscos de segurança existentes em uma rede pública. Utilizando as diversas ferramentas para o firewall e o IPsec em versões anteriores do Windows. o IP Security Policy. mas é uma interface de usuário final para gerenciar as funcionalidades básicas do firewall e não apresenta as opções avançadas exigidas por um administrador. como uma regra IPsec que faz com que um tipo específico de pacote de rede seja Guia do Revisor do Windows Server “Longhorn” Beta 3 . configurações conflitantes. Uma rede recém detectada nunca será automaticamente atribuída ao tipo de local Privado. Este tipo de local de rede é atribuído por padrão a todas as redes recém detectadas. Integração do Firewall do Windows e do IPsec Management em uma Única Interface de Usuário No Windows Vista e no Windows Server “Longhorn”. As configurações atribuídas a este tipo de local são muito mais restritivas. principalmente em computadores portáteis. os snap-ins MMC do IP Security Monitor e os contextos ipsec e firewall do comando Netsh — ainda estão disponíveis. Não se espera que um servidor seja móvel. • Privado. Windows Server 2003 e na família Windows 2000 — o modelo administrativo Windows Firewall. pois não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. • Nota O recurso que permite definir o tipo de local de rede é muito útil em computadores cliente. uma estratégia sugerida para um computador típico que executa o Windows Server “Longhorn” é configurar esses três perfis da mesma forma. mas não dão suporte aos mais novos recursos incluídos no Windows Vista e no Windows Server “Longhorn”. por exemplo. O ícone do Windows Firewall no Painel de Controle também ainda está presente. Público. Este tipo de local de rede pode ser selecionado para redes confiáveis pelo usuário. as configurações de Diretiva de Grupo. os quais são movidos de uma rede para outra. acidentalmente.134 autenticação bem-sucedida com um controlador de domínio na rede. Um usuário deve optar explicitamente por atribuir a rede ao tipo de local Privado. aos administradores podem criar. As configurações atribuídas a este tipo de local são mais restritivas do que uma rede de domínio. As ferramentas utilizadas no Windows XP. Por esse motivo. a interface de usuário para os componentes de firewall e do IPsec é agora combinada no snap-in MMC Windows Firewall with Advanced Security e em comandos no contexto advfirewall da ferramenta de linha de comando Netsh.

Isso pode resultar em cenários com problemas difíceis de serem solucionados.microsoft. veja Network Access Protection (http://go. Suporte Total para a Proteção de Tráfego de Rede IPv4 e IPv6 Todos os recursos de firewall e do IPsec disponíveis no Windows Vista e no Windows Server “Longhorn” são utilizados para proteger o tráfego de rede IPv4 e IPv6.microsoft. mesmo que exista uma regra de firewall para permitir que o mesmo tipo de pacote de rede esteja presente. veja Isolamento de Domínio e Servidor (http://go.com/fwlink/?LinkID=79430) no site da Web Microsoft TechNet.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (http://go. Para mais informações sobre o IPsec. Referências Adicionais Os recursos a seguir fornecem informações adicionais sobre o Windows Firewall with Advanced Security e o IPsec: • Para mais informações sobre o Windows Firewall with Advanced Security. Para mais informações sobre os cenários de isolamento de servidor e domínio. veja IPsec (http://go. Para mais informações sobre como criar aplicativos que estejam cientes dos tipos de local de rede.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft MSDN®.com/fwlink/?LinkID=84639) no site da Web Microsoft TechNet. consulte o Network Awareness no Windows Vista (http://go.microsoft. veja “Windows Firewall” (http://go. • • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para mais informações sobre o Network Access Protection.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet.135 interrompido. Combinar as duas funções reduz a possibilidade de criar regras conflitantes e ajuda a garantir que o tráfego que você deseja proteger seja manipulado corretamente.com/fwlink/?LinkID=84637) no site da Web Microsoft TechNet.microsoft.

A . além dos processos de inicialização que utilizam o CNG.U. Qualquer computador com um TPM (Trusted Platform Module módulo de plataforma confiável) poderá fornecer isolamento e armazenamento de chave no TPM. O CNG dá suporte ao conjunto atual de algoritmos 1. atualizem e utilizem algoritmos de criptografia personalizados em aplicativos relacionados à criptografia. utilizando e armazenando chaves de longa duração em um processo seguro. troca de chaves e hashing. O CNG implementa os algoritmos de criptografia Suite B do governo dos E. armazenar e recuperar chaves de criptografia. o CNG fornece um conjunto de APIs utilizadas para: • • • Realizar operações básicas de criptografia. operam no modo kernel. O plano para o CNG inclui a aquisição da certificação FIPS (Federal Information Processing Standards) 140-2 nível 2 juntamente com as avaliações de Critérios Comuns (Common Criteria). o SSL e o IPsec. A mesma API é utilizada no modo kernel e no modo usuário para dar suporte total aos recursos de criptografia. assinaturas digitais. O CNG dá suporte à criptografia no modo kernel. Criar. É possível adicionar novos algoritmos. O SSL/TLS e o IPsec. Além disso. • O CNG aplica à PKI (public key infrastructure) implantações que exigem a utilização dos algoritmos Suite B e que não precisam Guia do Revisor do Windows Server “Longhorn” Beta 3 . Um grande número de algoritmos ECC é exigido pelo Suite B do governo dos Estados Unidos.06 Cryptography Next Generation O CNG (Cryptography Next Generation – Criptografia de Última Geração) fornece uma plataforma de desenvolvimento criptográfico flexível que permite que profissionais de TI criem. O CNG atende aos requisitos do Common Criteria.criptografia de curva elíptica). como o Active Directory® Certificate Services. os quais incluem algoritmos para criptografia. O CNG possui as seguintes capacidades: • O CNG permite que os clientes utilizem seus próprios algoritmos de criptografia ou implementações de algoritmos padrão de criptografia. Instalar e utilizar provedores adicionais de criptografia. como a criação de hashes e a criptografia e descriptografia de dados.0. CryptoAPI • • • • • O CNG fornece suporte aos algoritmos ECC (elliptic curve cryptography .136 5.

aplicativos. devem ser atualizados a fim de utilizar os algoritmos Suite B. Verifique se os aplicativos ativados para a PKI de sua organização podem utilizar certificados que confiam em provedores de criptografia CNG. os aplicativos devem ser capazes de lidar com a validação da cadeia de certificados e utilizar as chaves geradas com os algoritmos Suite B. No entanto. IPsec.137 estar integrados às CAs (certification authorities) que não dão suporte aos algoritmos Suite B. Os clientes que executam o Windows Vista ou o Windows Server “Longhorn” podem utilizar tanto o CryptoAPI 1. Embora a CA precise emitir e gerenciar estes novos tipos de certificado. os seguintes aplicativos ativados para certificados podem lidar com certificados que utilizam algoritmos de criptografia registrados no provedor CNG. • • No Windows Vista e no Windows Server “Longhorn”. como o SSL. é possível utilizar os algoritmos clássicos. são suportados somente no Windows Vista e no Windows Server “Longhorn”. como o RSA (RivestShamir-Adleman) mesmo se as chaves tiverem sido gerada com um provedor de chaves CNG.0 quanto a nova API CNG. Guia do Revisor do Windows Server “Longhorn” Beta 3 . como Windows XP ou Windows Server 2003. tais como o ECC. Para utilizar os novos algoritmos de criptografia. pois ambas as APIs podem ser executadas lado a lado. como as CAs instaladas em servidores que executam o Windows Server 2003 e o Windows 2000 Server. Entretanto. Implantação Não implante certificados com algoritmos Suite B antes de verificar os seguintes requisitos: • Antes de emitir certificados que utilizem algoritmos. entre em contato com o fornecedor de seu smart card e veja se os smart cards que ele fornece podem lidar com algoritmos CNG. Isso significa que não é possível utilizar esses certificados em versões anteriores do Windows. a CA e os aplicativos deverão dar suporte ao ECC (ou a qualquer outro novo algoritmo implementado no CNG). verifique se suas CAs e seu sistema operacional dão suporte a esses algoritmos. Caso sua organização utilize certificados para suportar o logon de smart card. S/MIME (Secure/Multipurpose Internet Mail Extensions) e o Kerberos. como o ECC. Os algoritmos Suite B.

Para mais informações sobre o Suite B.138 Aplicativos Ativados para Certificados Nome do Aplicativo Verifica uma cadeia de certificados que contém certificados com algoritmos registrados em um provedor CNG Sim Utiliza algoritmos que não são suportados pelo CryptoAPI EFS (Sistema de Arquivos Criptografado) IPsec Kerberos S/MIME logon via cartão inteligente SSL Sem fio Não Sim Não Outlook® 2003: não Outlook 2007: sim Não Sim Sim Sim Não Outlook 2003: não Outlook 2007: sim Não Sim Sim Para utilizar os algoritmos para as operações de criptografia. Caso você já possua uma PKI com CAs sendo executadas no Windows Server 2003 ou na qual algoritmos clássicos estão sendo utilizados para dar suporte aos aplicativos existentes. Para inserir os algoritmos Suite B em um ambiente existente.com/fwlink/?LinkID=74141). Caso você ainda não possua uma PKI. primeiro. será possível adicionar uma CA subordinada em um servidor que executa o Windows Server “Longhorn”. você deverá continuar utilizando os algoritmos clássicos. ainda será preciso verificar se todos os seus aplicativos estão preparados para os algoritmos Suite B e se podem dar suporte a esses certificados.microsoft. veja Criptografia Suite B NSA (NSA Suite B Cryptography Fact Sheet) (http://go. no qual são utilizados os algoritmos clássicos. você precisa de uma CA baseada no Windows Server “Longhorn” para emitir certificados ativados para o Suite B. Entretanto. No entanto. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para mais informações sobre o CNG.microsoft. será possível configurar uma CA baseada no Windows Server “Longhorn” em que os certificados da CA e os certificados da entidade final utilizem algoritmos Suite B. será preciso considerar a inserção de uma PKI secundária e a realização de uma certificação cruzada entre as duas hierarquias de CA.com/fwlink/?LinkId=76618). veja API de Criptografia: Última Geração (http://go.

Os seguintes tópicos descrevem as alterações na funcionalidade dos Serviços de Certificado do Active Directory disponível neste lançamento: • • • • • Serviços de Certificado do Active Directory: Registro Web Serviços de Certificado do Active Directory: Configurações de Diretivas Serviços de Certificado do Active Directory: Serviço de Registro de Dispositivo de Rede Serviços de Certificado do Active Directory: PKI Corporativo(PKIView) Serviços de Certificado do Active Directory: Suporte ao Protocolo de Status de Certificado Online Serviços de Certificado do Active Directory: Registro Web Um grande número de alterações foi feito ao suporte de registro Web de certificados no Windows Server “Longhorn”. Em vez de confiar no mecanismo de registro automático de uma CA ou utilizar o Certificate Request Wizard. Os Serviços de Certificado do Active Directory também inclui recursos que permitem gerenciar o registro e a revogação de certificados em diversos ambientes escalonáveis.139 5.07 Serviços de Certificado do Active Directory Os Serviços de Certificado do Active Directory fornece serviços personalizáveis para criar e gerenciar certificados de chave pública utilizados em sistemas de segurança de software que utilizam tecnologias de chave pública. unindo a identidade de uma pessoa. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Ele é projetado para fornecer um mecanismo de ambiente para as organizações que precisam emitir e renovar certificados para usuários e computadores que não fazem parte de um domínio ou que não está conectados diretamente à rede e para usuários de sistemas operacionais não-Microsoft. Essas alterações resultam da exclusão do controle anterior de registro ActiveX® do Windows Vista e do Windows Server “Longhorn”e sua substituição pelo controle de registros COM. o suporte de registro Web fornecido por uma CA baseada no em Windows permite que esses usuários solicitem e obtenham certificados novos e renovados por uma conexão da Internet ou da intranet. As organizações podem utilizar os Serviços de Certificado do Active Directory para aprimorar a segurança. As seções a seguir descrevem essas alterações e suas respectivas implicações. O registro Web de certificados está disponível desde sua inclusão nos sistemas operacionais Windows 2000. dispositivo ou serviço a uma chave privada correspondente.

e um novo controle de registro. Esses métodos e propriedades foram inseridos com o passar dos anos. As CAs do Windows Server “Longhorn” continuarão a dar suporte às solicitações de registro Web de certificados a provenientes de usuários em clientes Windows XP e Windows Server 2003. Por outro lado. Nota O XEnroll. Windows Server 2003 ou Windows 2000.dll está sendo retirado pelas seguintes razões: • O XEnroll. Embora o processo de registro Web ocorra essencialmente como para o Windows 2000. foi inserido.dll instalado localmente no cliente. foi removido do Windows Vista e do Windows Server “Longhorn”. a flexibilidade e a escalabilidade da PKI de uma organização. Se você registra certificados por meio das páginas de registro Web do Windows Server “Longhorn” a partir de um computador baseado no Windows XP. Ele possui mais de 100 métodos e propriedades. Windows XP e Windows Server 2003. o CertEnroll.dll. O XEnroll. o CertEnroll. mais fácil de ser preparado e atualizado do que o XEnroll. essa alteração nos controles de registro poderá impactar na compatibilidade quando usuários e computadores que executam o Windows Vista ou o Windows Server “Longhorn” tentarem solicitar um certificado. as páginas de registro Web irão detectar esse fato e utilizarão o controle Xenroll. Windows XP e Windows Server 2003. O XEnroll. alguns comportamentos do cliente serão diferentes daqueles das versões anteriores do Windows. e chamar uma função pode alterar o comportamento de outra função. esse recursos será de interesse de: • • • Arquitetos de PKI Planejadores de PKI Administradores de PKI O controle de registro anterior. São eles: Guia do Revisor do Windows Server “Longhorn” Beta 3 • . o que dificulta os processos de teste e manutenção. o XEnroll. de forma significativa.dll pode continuar a ser utilizado para o registro Web em computadores que executam o Windows 2000. portanto.dll possui uma interface monolítica que expõe diversos conjuntos de funcionalidades. Adicionar suporte para páginas de registro Web pode aprimorar.dll foi criado para ser mais seguro.dll é um controle de legado criado há alguns anos e não é considerado tão seguro quanto os controles criados recentemente. Entretanto. utilizando páginas de registro Web instaladas nessas versões anteriores do Windows.dll.140 Esse recurso é indicado para organizações que possuem PKIs com uma ou mais CAs que executam o Windows Server “Longhorn” e clientes que executam o Windows Vista e que desejam fornecer aos usuários a capacidade de obter novos certificados ou renovar os existentes. utilizando páginas da Web.dll.

adicionar o serviço de função à função de servidor. Nota Guia do Revisor do Windows Server “Longhorn” Beta 3 . primeiramente.será preciso identificar a CA como parte da instalação do registro Web. os usuários não podem mais solicitar certificados de computador com a utilização do registro Web. Se o suporte de registro Web estiver instalado no mesmo computador que a CA. O registro de Web de certificados não pode ser utilizado com os templates de certificado versão 3. utilizando as páginas de registro Web. No Windows Server “Longhorn” Beta 2. deverão gerar previamente uma solicitação PKCS#10 para ser enviada por meio das páginas de registro Web. • • • • A configuração que deve ser feita para o suporte de registro Web de certificados é. Somente os usuários do Internet Explorer® versão 6. simplesmente. você deverá utilizar computadores que executem o Windows Vista como estações de registro. De forma alternativa.0 (os quais estão sendo apresentados no Windows Server “Longhorn” para o suporte à emissão de certificados em conformidade com o Suite B). O Internet Explorer não pode ser utilizado no contexto de segurança de computadores locais. você poderá utilizar um servidor baseado no Windows Server 2003 com o registro Web instalado e utilizar o servidor como um agente de registro a fim de registrar certificados por meio de uma CA do Windows Server “Longhorn”. mas.1 Browser poderão enviar solicitações de certificado diretamente por meio das páginas de registro Web. Se o serviço de função de registro Web e a CA estiverem instalados em computadores diferentes. pois o Windows Vista fornece sua própria capacidade de agente de registro. um novo site chamado “CertSrv” estará disponível por meio do IIS. Usuários de outros navegadores da Web ainda poderão enviar solicitações de registro. Se houver a necessidade de efetuar o registro em nome de outro cliente com um registro Web do Windows Server “Longhorn”. Após a instalação do serviço de função de registro Web. não será exigida nenhuma configuração adicional. o suporte de registro Web está disponível somente nas edições dos idiomas alemão e inglês dos EUA O suporte de registro Web estará disponível em todas as versões de idiomas do produto final do Windows Server “Longhorn”.x ou Netscape 8.141 • A capacidade de agente de registro (também conhecida como a estação de registro de smart card) foi removida do registro Web no Windows Server “Longhorn”. portanto.

você não deverá instalar nenhum aplicativo Web de 32 bits. Os administradores dessas CAs terão de criar soluções alternativas para o suporte à emissão de certificados e a renovação para clientes que utilizam o Windows Server “Longhorn” e o Windows Vista. enquanto continuam utilizando o Xenroll.inc nos subdiretórios de linguagem específica deverão ser idênticos. instalação do serviço de função de registro irá falhar. Outro cenário é quando os administradores desejam garantir que os usuários nunca irão instalar aplicativos assinados com certificados de publicação não aprovada. todos os arquivos certdat.dll não está disponível no Windows Server “Longhorn” e no Windows Vista. Por exemplo. Os administradores também precisam planejar a configuração apropriada de seus servidores que executam o IIS. Eles poderão configurar timeouts de rede para um melhor controle dos timeouts de construção em cadeia para grandes CRLs (certification revocation lists . nesse computador. Se você possuir diversos pacotes de idioma instalados em um servidor IIS. em situações em que determinados certificados de CA expiram e os clientes não conseguem recuperar automaticamente um novo certificado.inc. Esse arquivo passará a ser um arquivo de configuração global que define a configuração para todos os pacotes de idioma instalados para o registro Web. Se você instalar o IIS em um servidor que executa a versão de 64 bits do Windows Server “Longhorn”. O IIS pode ser executado somente nos modos de 64 ou 32 bits.142 No Windows Server “Longhorn” Beta 2. pois o controle XEnroll. Caso contrário. As páginas de registro Web não-Microsoft sofrerão um grande impacto.listas de revogação de certificação). como %SYSTEMROOT%\system32\certsrv\[language]\certdat. os administradores poderão implantar esses certificados para os computadores cliente por meio da Diretiva de Grupo. Além disso. os administradores poderão utilizar as configurações de revogação Guia do Revisor do Windows Server “Longhorn” Beta 3 .dll para versões anteriores do Windows. Definir as configurações utilizando a Diretiva de Grupo poderá causar alterações em todo o domínio. Serviços de Certificado do Active Directory: Configurações de Diretivas As configurações de certificado na Diretiva de Grupo do Windows Server “Longhorn” permitem que os administradores gerenciem configurações de validação de certificado de acordo com as necessidades de segurança da organização. As configurações de certificado na Diretiva de Grupo permite que os administradores gerenciem as configurações de certificado em todos os computadores do domínio a partir de um local central. como o WSUS. o arquivo utilizado pelo suporte de registro Web para encontrar a CA está localizado no diretório de linguagem específica.

143 para estender os tempos de expiração das CRLs caso um atraso na publicação de uma nova CRL afete os aplicativos. muitas organizações precisam de mais opções para gerenciar a descoberta de caminho de certificados e a validação de caminhos. Esse recurso aplica-se às organizações que possuem PKIs com uma ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para gerenciar computadores cliente. a capacidade de: • • Arquitetos de segurança aprimorarem a utilização da relação de confiança baseada em certificados.509 terem se tornado mais amplamente utilizadas como uma base de confiança. Essas configurações de validação de caminho e armazenamentos de certificados podem ser utilizadas para realizar as seguintes tarefas: Guia do Revisor do Windows Server “Longhorn” Beta 3 . As seguintes opções de diretiva podem ser gerenciadas em guias separadas na página de propriedades Certificate Path Validation Settings: • • • • Stores (Armazenamentos) Trusted Publishers (Editores Confiáveis) Network Retrieval (Recuperação de Rede) Revocation (Revogação) Além disso. Pelo fato de as infra-estruturas de chave pública X. quatro novos armazenamentos de diretiva foram adicionados em Diretivas de Chave Pública (Public Key Policies) para serem utilizados na distribuição de diferentes tipos de certificados para os clientes: • • • • Intermediate Certification Authorities (Autoridades Intermediárias de Certificação) Trusted Publishers (Editores Confiáveis) Untrusted Certificates (Certificados Não-Confiáveis) Trusted People (Pessoas Confiáveis) Esses novos armazenamentos são uma adição aos armazenamentos Enterprise Trust (Relação de confiança Corporativa) e Trusted Root Certification Authorities (Autoridades de Certificação de Raiz Confiável) disponíveis no Windows Server 2003. de forma significativa. Administradores de segurança gerenciarem aplicativos ativados para a PKI em seus ambientes. Utilizar as configurações de validação de certificado na Diretiva de Grupo poderá aprimorar. Versões anteriores dos sistemas operacionais Windows possuíam poucas configurações para implementar esse tipo de controle. em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas de Chave Pública. As configurações de Diretiva de Grupo relacionadas a certificados podem ser encontradas no Group Policy Object Editor.

Gerenciar editores confiáveis. Você pode conseguir fornecer as usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados. um administrador precisa distribuir certificados selecionados de raiz confiável. Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização. Se. ele pode ser utilizado para controlar quantos propósitos de certificado específicos. para computadores no domínio. os administradores podem regular a capacidade de os usuários gerenciarem seus próprios certificados trusted root e peer trust. Além disso. Gerenciar a recuperação de dados relacionados a certificados. Bloquear certificados que não sejam confiáveis de acordo com a diretiva. como assinatura e criptografia. algumas organizações podem desejar gerenciar a relação de confiança de certificados e evitar que os usuários no domínio configurem seu próprio conjunto de certificados de raiz confiável. Este controle pode ser implementado para que os usuários não tenham permissão para tomar quaisquer decisões quanto à relação de confianças de ponto ou raiz (root or peer trust). além de terminar como esses certificados deverão ser controlados. os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade. esses certificados serão propagados para o armazenamento de certificado apropriado na próxima vez em que a diretiva de domínio for restaurada.144 • • • • • • Gerenciar armazenamentos de certificado peer trust e trusted root. Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root Utilizando a guia Stores na caixa de diálogo Certificate Path Validation Settings. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Implantar certificados. os usuários podem gerenciar por relação de confiança entre iguais (peer trust). Gerenciar períodos de expiração para CRLs e respostas OCSP (online certificate status protocol). por um lado. Devido à crescente variedade de certificados em uso nos dias de hoje e à grande importância das decisões a serem tomadas quanto ao fato de reconhecer ou não esses certificados. A guia Stores também permite que os administradores especifiquem se os usuários em um computador ligado a um domínio poderão confiar somente em CAs de raiz corporativa ou em CAs de raiz nãoMicrosoft de raiz corporativa.

esta seção da diretiva de validação de caminho pode exigir que as verificações de revogação adicional e o time stamp sejam realizados antes que um certificado de publicação confiável seja aceito. sendo adicionado a uma lista de revogação de certificados. os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade. Não é possível revogar certificados emitidos por CAs externas. além de determinar como esses certificados deverão ser controlados. adicionando-os no armazenamento Untrusted Certificates. A assinatura de software tem sido utilizada por um número crescente de editores de software e desenvolvedores de aplicativos a fim de verificar se seus aplicativos são provenientes de uma fonte confiável. É possível evitar que determinados certificados sejam utilizados em sua organização. é possível proibir esses certificados não-confiáveis. Além disso. Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização. No entanto. muitos usuários não compreendem os certificados de assinatura associados aos aplicativos que instalam ou sequer dão atenção a esse fato. Um certificado emitido por sua própria CA pode ser revogado. Você pode conseguir fornecer aos usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados. Bloquear Certificados Que Não Sejam Confiáveis de Acordo Com a Diretiva.145 Gerenciar Editores Confiáveis As opções de diretiva encontradas na guia Trusted Publishers da caixa de diálogo Configurações de Validação de Caminho permitem que os administradores controlem quais certificados podem ser aceitos quando vierem de um editor confiável. adicionando-os no armazenamento Untrusted Certificates (Certificados Não-Confiáveis). eles poderão desejar bloquear a utilização de determinados certificados. Esses certificados serão copiados para o armazenamento Untrusted Certificates de cada computador cliente no domínio na próxima vez em que a Diretiva de Grupo for restaurada. Especificar opções de diretiva de publicação confiáveis por toda a organização permite que as organizações decidam de os certificados Authenticode® podem ser gerenciados pelos usuários e administradores ou se apenas pelos administradores corporativos. Guia do Revisor do Windows Server “Longhorn” Beta 3 . no futuro. Entretanto. Pelo fato de os administradores serem responsáveis pela prevenção da entrada de vírus e outros softwares maliciosos em seus ambientes.

as configurações de validação de caminho e de recuperação de rede permitem que os administradores: • • Atualizem certificados automaticamente no Microsoft Root Certificate Program. As CRLs podem tornar-se muito grandes e. deverão ser atualizados adequadamente. conseqüentemente. Ao preparar-se para esta alteração. Além disso. Essas configurações de Diretiva de Grupo permitem que você garanta que os dados relacionados aos certificados sejam atualizados mesmo quando as condições de rede forem inferiores ao estado otimizado. No entanto. pois o processo é mais demorado do que o timeout padrão de 15 segundos. As opções encontradas na guia Network Retrieval da caixa de diálogo Configurações de Validação de Caminho permitem que os administradores modifiquem os timeouts de recuperação padrão a fim de resolver esse problema. em que não há necessidade de Guia do Revisor do Windows Server “Longhorn” Beta 3 . dados relacionados aos certificados. os riscos de um mau gerenciamento de certificados e como eles devem gerenciar seus certificados com responsabilidade.146 Utilizar as configurações de Diretiva de Grupo relacionadas à relação de confiança de certificados exige um planejamento cuidadoso a fim de determinar as necessidades de certificado de usuários e computadores em sua organização. • • Para melhor eficiência. Um PKI depende da verificação distribuída das credenciais. Definam a freqüência de realização do download de certificados cruzados. Configurem valores de timeout de recuperação para as CRLS e a validação de caminho (valores padrão maiores poderão ser úteis se as condições de rede não forem ótimas). as condições de rede nem sempre são ótimas. como certificados de raiz confiável e listas de revogação de certificados. Ativem a recuperação de certificados do emissor durante a validação de caminho. Gerenciar Períodos de Expiração para CRLs e Respostas OCSP A revogação de um certificado anula um certificado como uma credencial de segurança confiável antes da expiração natural de seu período de validade. Você pode conseguir fornecer aos usuários maior tolerância se combinar a utilização dessas configurações com um treinamento claro e eficiente de forma que os usuários entendam a importância dos certificados. como para usuários remotos ou escritórios de filiais. determine se as condições de rede impactam nos tempos de download das CRLs. falharem no processo de download. Gerenciar a Recuperação de Dados Relacionados a Certificados. além de terminar como esses certificados deverão ser controlados.

Guia do Revisor do Windows Server “Longhorn” Beta 3 . quando são armazenados adequadamente na Diretiva de Grupo: • • • • • • Certificados CA de raiz confiáveis Certificados corporativos de confiança Certificados CA Intermediários Certificados confiáveis do editor Certificados não-confiáveis Pessoas confiáveis (para os certificados de confiança) A variedade crescente dos certificados e a sua utilização exige que os administradores tenham meios eficientes para distribuí-los a usuários e computadores em suas organizações. Estender o tempo de expiração da CRL existente e da resposta OCSP pode prevenir que isso ocorra. Utilizar configurações de Diretiva de Grupo relacionadas aos dados de revogação de certificados exige um planejamento cuidadoso para determinar o equilíbrio apropriado entre a adesão rigorosa ao cronograma de publicação de CRL padrão e as conseqüências potenciais de estender o período de validade da CRL caso uma CRL atualizada não esteja disponível. servidores Web e compartilhamentos de arquivos de rede. todos os tipos de certificados que seguem podem ser distribuídos. os dados de revogação podem ser disponibilizados em diversas configurações por meio das respostas OCSP. As condições de rede podem evitar que as CRLs mais recentes sejam publicadas. Para dar suporte a uma variedade de cenários. era possível distribuir um certificado CA de raiz confiável e certificados corporativos de confiança usando a Diretiva de Grupo. usando-se diversos mecanismos. o que poderá fazer com que todos as validações da cadeia de certificados falhem. incluindo o registro automático. No Windows Server “Longhorn”. No Windows. o Assistente para Requisição de Certificado e o registro na Web. o cliente deve determinar se o certificado é válido ou se ele foi revogado. Para o suporte eficiente da revogação de certificados. Implantando Certificados Os certificados de usuário e computador podem ser implantados. No Windows Server 2003.147 comunicação direta com a entidade confiável principal que atesta as credenciais. Mas implantar outros tipos de certificados em uma grande quantidade de computadores pode ser algo desafiador. Isso inclui a publicação de CRLs e CRLs em diversos locais para serem acessadas pelos clientes. incluindo os Serviços de Domínio do Active Directory. os Serviços de Certificado do Active Directory tem suporte para os métodos de padrão industrial de revogação de certificados.

como extensão aos já existentes HTTP. que. O NDES opera como um filtro da Interface de Programação de Aplicação para o Servidor da Internet (ISAPI) no IIS que desempenha as seguintes funções: • • • Gerar e fornecer senhas únicas de registro aos administradores Receber e processar requisições de registro SCEP em nome de softwares executados nos dispositivos de rede Recuperar requisições pendentes do CA. como os roteadores e alternadores. planejadores e administradores. o Microsoft SCEP (MSCEP) era um suplemento do Windows Server 2003 Resource Kit que precisava ser Guia do Revisor do Windows Server “Longhorn” Beta 3 . este recurso pode interessar os arquitetos de PKI. Você deve ser membro do grupo de Administradores de Domínio para configurar a Diretiva de Grupo neste domínio. a fim de que os usuários entendam a importância dos certificados. usando o IPsec com dispositivos de rede. O SCEP foi desenvolvido pela Cisco Systems Inc. como roteadores e alternadores. os riscos de um gerenciamento fraco de certificados e a maneira de gerenciá-los de forma responsável. para permitir o registro de dispositivo de rede e certificado da aplicação com os CAs. além da quantidade de controle que eles devem ter sobre esses certificados. se combinar o uso dessas configurações com um treinamento claro e efetivo. a flexibilidade e escalabilidade do PKI de uma organização. Adicionar suporte ao NDES pode aprimorar. As organizações e os profissionais interessados nos NDES podem querer saber mais sobre as especificações de SCEP em que ele se baseia. PKCS #10. não podem ser autenticados na rede. por sua vez. portanto. RFC 2459 e outros padrões.148 Usar configurações de Diretiva de Grupo relacionadas à relação de confiança requer um planejamento cauteloso para determinar as necessidades de usuários e computadores em sua organização. Serviços de Certificado do Active Directory: Network Device Enrollment Service O Network Device Enrollment Service (NDES) é a implementação da Microsoft para o certificado Enrollment Protocol (SCEP). um protocolo de comunicação que possibilita que o software seja executado em dispositivos de rede. No Windows Server 2003. para registrar certificados de x509 a partir do CA. de forma significativa. Este recurso aplica-se às organizações que têm PKIs com um ou mais CAs do Windows Server “Longhorn” CAs e que desejam aprimorar a segurança das comunicações. PKCS #7. Você deve ter a capacidade de fornecer o livre arbítrio aos usuários.

Quantidade máxima de senhas disponíveis que podem ser armazenadas. o NDES usa um valor. A extensão do NDES ao IIS utiliza o registro para armazenar configurações de configurações. O valor 0 (zero) significa as senhas não requeridas. Se a chave estiver definida. O valor 1 significa que o NDES requer uma senha para requisições de registro. Identifica o tipo de CA ao qual o NDES está ligado. como o nome modelo do certificado. O valor 1 significa que é um CA corporativa. o padrão era 1.” o suporte do MSCEP foi renomeado para NDES e faz parte do sistema operacional. o NDES aceita as requisições de senha de qualquer diretório virtual. o NDES usa um valor. Se definido. como o nome modelo do certificado.000. quando os clientes se cadastram para assinar e criptografar CAType Não Baseado na configur ação Não definido SigningTemplate Sim EncryptionTemplate Sim Não definido SigningAndEncryptionTem Sim plate Não definido Guia do Revisor do Windows Server “Longhorn” Beta 3 . Se o valor está vazio ou não configurado. Todas as configurações são armazenadas sob a chave do Registro: HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP A tabela que segue define as chaves de registro usadas para configurar o MSCEP: Chaves do Registro em MSCEP Nome da Configuração Atualização Opcional Não 7 Valor Padrão Valores Possíveis Quantidade de dias em que as requisições pendentes são mantidas no banco de dados NDESP. Nota: Nas versões anteriores. Aplicar Senha Não 1 PasswordMax Não 5 PasswordValidity PasswordVDir Não Sim 60 CacheRequest Não 20 Quantidade de minutos em que os certificados emitidos são mantidos no banco de dados SCEP. quando os clientes se cadastram para um certificado de criptografia. podendo ser instalado em um computador diferente do CA. Se a chave estiver definida. O nome do diretório virtual pode ser usado para as requisições de senha. Quantidade de minutos em que uma senha é válida. o NDES usa um valor.149 instalado no mesmo computador que o CA. Define se as senhas são exigidas para requisições de registro. o valor 0 significa que é um CA autônomo. Se a chave estiver definida. No Windows Server “Longhorn. o NDES aceita requisições de senha apenas do diretório virtual estabelecido. quando os clientes se cadastram para assinar o certificado. como o nome modelo do certificado.

você precisa criar e configurar modelos de certificado usados juntamente com o NDES. decida o seguinte: • • Se usar uma conta de usuário dedicada para o serviço ou usar a conta do Network Service O nome da autoridade de registro (RA) do NDES e qual país/região usar. Ele então se torna disponível para analisar o estado de integridade dos CAs e para ver detalhes dos certificados de CA publicados nos Serviços de Certificados do Active Directory. de forma fácil e efetiva. Antes de instalar o NDES. Instalar o NDES em um computador cria uma nova RA e exclui quaisquer certificados RA pré-existentes no computador.” Como ele faz parte do sistema operacional núcleo do Windows Server “Longhorn. se você planeja instalar o NDES em um computador em que outra RA tenha sido configurada. Mais especificamente. chamado de ferramenta PKI Health. Portanto. ou quando a requisição não inclui uma utilização estendida da chave. o PKIView é agora um snap-in de MMC do Windows Server “Longhorn. nos Serviços de Certificado do Active Directory. quaisquer requisições pendentes de certificado devem ser processadas e todos os certificados não declarados devem ser antes de o NDES ser instalado. As informações são incluídas em qualquer certificado MSCEP emitido O provedor de serviço criptográfico (CSP) para usar na chave de assinatura usada para criptografar a comunicação entre o CA e a RA O CSP a ser usado para a chave de criptografia usada para criptografar a comunicação entre a RA e o dispositivo de rede A extensão de cada chave • • • Além disso. apenas adicionando-o ao MMC. Ter uma visão de todos os CAs e de seus estados permite que os administradores gerenciem as hierarquias de CA e solucionem problemas de possíveis erros. são tarefas administrativas essenciais simplificadas pelo PKI Corporativo (PKIView). O PKIView fornece uma visualização do status do seu ambiente PKI da rede. Serviços de Certificado do Active Directory: PKI Corporativo Monitorar e ajustar a integridade de múltiplos CAs para a hierarquia de PKI corporativo.” você pode usá-lo depois da instalação do servidor. o PKIView indica a validade ou acessibilidade dos locais de acesso às informações de autoridade (AIA) e dos pontos de distribuição de CRL (CDP).150 um certificado. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Originalmente parte do Microsoft Windows Server 2003 Resource Kit.

• o o • Ações. Breve descrição do status do CA (também indicado na árvore pelo ícone associado ao CA selecionado) ou o status dos Certificados de CA. o painel de resultados exibe todos os CAs da raiz. você vê três painéis: • Árvore. o PKIView indica o estado de integridade do CA em árvore. Dependendo do item selecionado tanto na árvore como no painel de resultados. Se um CA ou um CA filho for selecionado. Há três colunas no painel de resultados: o Nome. locais AIA ou CDPs (indicado pelas descrições em texto do status. abaixo do primeiro. certificados de CA. Para o CA selecionado na árvore.151 Para cada CA selecionado. Você também pode gerenciar a estrutura do PKI corporativo e fazer correções ou alterações nos certificados de CA ou CRLs. pontos de distribuição CRL (CDPs) e locais AIA. você pode visualizar mais detalhes sobre os CAs e certificados de CA. este painel exibe uma lista de CAs subordinados. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Status. Resultados. os nomes dos CAs raiz. exemplos dos quais são OK e Não é possível fazer o Download). Alguns exemplos são file://. Se o nó Enterprise PKI é selecionado. HTTP:// e LDAP://. como segue: Estados de integridade do CA Indicador Ponto de Interrogação Indicador verde Indicador amarelo Indicador vermelho Cruz vermelha sobre o ícone do CA Estado do CA Avaliação do estado de integridade do CA CA sem nenhum problema CA com problema não-crítico CA com problema crítico CA está offline Ao adicionar um snap-in do PKIView ao MMC. Local. são exibidos. Este painel exibe uma representação em árvore da sua hierarquia de PKI corporativo. locais AIA e CDPs são exibidos. Se a raiz do console for selecionada na árvore. Este painel fornece a mesma funcionalidade encontrada nos menus Ações. incluindo informações de AIA e CRL no painel de ações. então os nomes dos certificados de CA. Cada nó abaixo de Enterprise PKI representa um CA com outros CAs atuando como nós filhos. Os locais AIA e os CDPs (protocolo e caminho) para cada certificado. Exibir e Ajuda.

A codificação Unicode usa um esquema de Formato de Transformação Unicode (UTF-8) que atribui dois bytes para cada caractere. Nas infra-estruturas de chave pública do Windows Server “Longhorn”. os Online Responders podem processar requisições de status do certificado de forma mais eficiente do que usando listas de revogação de certificado. Usar a codificação de caracteres Unicode permite que você apresente textos e símbolos de todos os idiomas. Esses caracteres são de A-Z a-z 0-9 (espaço) ' () + . / : = ?. um Online Responder recebe e responde apenas as requisições de clientes que pedem informações sobre o status de um único certificado. Serviços de Certificado do Active Directory: Suporte ao Protocolo de Status do Certificado Online Cancelar um certificado é uma parte necessária do processo de gerenciar certificados emitidos por CAs. distribuídos periodicamente. Guia do Revisor do Windows Server “Longhorn” Beta 3 .152 Você pode usar o PKIView em uma rede corporativa que utilize os Serviços de Certificado do Active Directory e contenha um ou mais CAs. Os usuários mais avançados de PKIView incluem administradores e profissionais de TI familiarizados com o monitoramento da integridade do CA e a resolução de problemas no ambiente de rede dos Serviços de Certificado do Active Directory. a codificação PrintableString permite que você use apenas um simples subconjunto de caracteres ASCII. geralmente com mais de uma hierarquia de PKI. Em contrapartida. É possível um total de 65. é um dos dois métodos mais comuns para transmitir informações sobre a validade dos certificados. Diferente dos CRLs. em que o uso de CRLs convencionais não é a melhor solução. Em muitos casos.536 combinações. independente de quantos certificados cancelados possam haver. Você pode usar o PKIView apenas no ambiente dos Serviços de Certificado do Active Directory. com informações sobre todos os certificados que foram cancelados ou suspensos. Os meios mais comuns de comunicar um status do certificado é distribuindo CRLs. pode ser usado para gerenciar e distribuir as informações de status da revogação. um Online Responder. O PKIView agora suporta a codificação de caracteres Unicode. O uso dos Online Responders que distribuem respostas de OCSP. baseado no OCSP. Suporte a Caracteres Unicode O PKIView fornece suporte completo para caracteres Unicode. juntamente com a codificação do PrintableString. A quantidade de dados recuperados por requisição permanece constante. junto com o uso dos CRLs. .

disponível no Windows Server “Longhorn. ou não têm. este recurso pode interessar os arquitetos de PKI. a flexibilidade e escalabilidade do PKI de uma organização. Um Online Responder pode ser configurado. de forma significativa. O armazenamento do proxy da Web do Online Responder é a interface de serviços para o Online Responder. e não só tornar disponíveis as informações sobre todos os certificados cancelados ou suspensos. Um Online Responder pode ser configurado para usar uma criptografia de curva elíptica (ECC) e SHA-256 para operações criptográficas. Ele é implementado como uma extensão ISAPI hospedada pelo IIS. Os Online Responders. As opções de configuração para requisição única ou contínua podem ser usadas para prevenir ataques freqüentes de respostas do Online Responder. Uma rede precisa controlar altos picos de atividade de verificação de revogação.” Integração do protocolo Kerberos. Suporte avançado à criptografia. usando-se a Ferramenta de Gerenciamento de Funções do Windows Server. Uma organização deseja fornecer apenas os dados de revogação necessários para verificar as requisições individuais do status do certificado. no Windows Server “Longhorn”. conexões de alta velocidade para o download de grandes CRLs. você deve ser administrador do computador em que ele está instalado. Para instalar um Online Responder. A implantação de um Online Responder é simplificado pelo uso de um modelo de certificado de assinatura OCSP. como quando grande número de usuários efetua login ou envia um e-mail assinado ao mesmo tempo. portanto. incluem os seguintes recursos. Suporte a requisições únicas ou contínuas.153 • Os clientes se conectam remotamente à rede e não precisam. • Caching do proxy da Web. Uma organização precisa de meios eficientes para distribuir os dados de revogação para certificados emitidos por um CA que não seja Microsoft. Integração de configuração do Windows. • • • Este recurso aplica-se a organizações que têm PKIs com um ou mais CAs do Windows. Adicionar um ou mais Online Responders pode aprimorar. planejadores e administradores. Modelos pré-configurados de certificados de assinatura OCSP. As requisições e respostas do Online Responder podem ser processadas junto Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • • • .

Status da revogação. Matrizes do Responder. por uma série de motivos.com/fwlink/?LinkId=67082). como S/MIME. Um único Online Responder pode fornecer informações de status de revogação para certificados emitidos por um único CA ou diversos. Os certificados são emitidos em um período de tempo fixo e considerado válido. visite o site do Internet Engineering Task Force em (http://go. Há duas principais desvantagens nisso: Com o tempo. as respostas quanto ao status do certificado dos Online Responders são geralmente referidas como respostas OCSP. Os Microsoft Online Responders são baseados no RFC 2560 para OCSP e estão em conformidade com eles. Os certificados podem ser cancelados antes da sua data de vencimento.microsoft. além da parte Guia do Revisor do Windows Server “Longhorn” Beta 3 . o que pode exigir recursos significativos de rede e armazenamento para o CA. Para um cliente verificar o status de revogação de um certificado. Por essa razão. contanto que não se atinja a data de vencimento do certificado e que ele não seja cancelado antes da data. As aplicações que dependem de certificados X. Para mais informações sobre o RFC 2560. A verificação de revogação e status do certificado analisa a validade dos certificados com base em: • Tempo.509. • Online Responder Um Online Responder é um computador em que o serviço do Online Responder é executado. ele deve fazer o download de um CRL que contenha informações sobre todos os certificados que tenham sido cancelados pelo CA. • As listas de revogação do certificado contêm os números de série de todos os certificados emitidos por um CA que tenha sido cancelado. como a suspensão ou comprometimento da chave. Dois novos conjuntos de funcionalidades podem ser originados do serviço Online Responder: • Online Responders. A funcionalidade básica do Online Responder fornecida por um único computador em que seu Serviço está instalado.154 com a autenticação de senha do para uma validação imediata dos certificados de servidor ao efetuar login. Um computador que hospeda um CA também pode ser configurado como um Online Responder. SSL. EFS e smart cards precisam validar o status dos certificados sempre que são usados para realizar autenticação. assinatura ou criptografia. Diversos computadores ligados que hospedam o Online Responders e processam as requisições de status do certificado. mas recomenda-se manter os CAs e os Online Responders em computadores separados. os CRLs podem se tornar extremamente grandes. As informações de revogação de CA podem ser distribuídas usando mais de um Online Responder.

ou de um CA não-Microsoft. Os dados de revogação do certificado são derivados de um CRL publicado que pode vir de um CA em um computador que execute o Windows Server “Longhorn.” um que execute o Windows Server 2003. que retorna uma resposta definitiva e digitalmente assinada. além do registro automático usado para emitir um certificado de assinatura OCSP para o computador em que o Online Responder será instalado. Essa URL é usada pelo cliente Online Responder para validar o status do certificado. Um modelo de certificado de assinatura OCSP deve ser configurado no CA. eles recebem todos os dados de revogação do certificado. você também precisa criar uma configuração de revogação para cada CA e certificado CA atendido por um Online Responder. Uma parte confiável envia uma requisição de status sobre um certificado individual para um Online Responder. A URL do Online Responder deve ser incluída na extensão AIA dos certificados emitidos pelo CA. deve-se apresentar o seguinte: • O IIS deve estar instalado no computador. • • Depois que um Online Responder foi instalado. Essas configurações de configuração incluem o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3 . independente de quantos certificados cancelados existam no banco de dados. Antes de configurar um CA para suportar o serviço Online Responder. Isso pode resultar em compensações entre uma distribuição mais freqüente de CRLs atualizados e o tempo e largura de banda da rede para distribuí-los. indicando o status apenas do certificado solicitado. sem fornecer uma solução. A configuração correta do IIS para o Online Responder é instalada automaticamente quando você instala um Online Responder. antes que o Online Responder possa ser instalado. Os Online Responders podem ser instalados em computadores que executam o Windows Server “Longhorn”. Uma configuração de revogação inclui todas as configurações necessárias para responder às requisições de status quanto aos certificados que foram emitidos usando uma chave específica de CA. os clientes deverão contar com informações sobre a revogação menos precisas.155 componente. Eles devem ser instalados depois dos CAs. Todas essas abordagens acrescentaram complexidade e custo ao sistema. Se os CRLs forem publicados com menor freqüência. em vez de contar com os clientes. dentro do CA. CRLs delta e CRLs indiretos. A quantidade de dados recuperados por requisição é constante. mas antes que os certificados clientes sejam emitidos. Já houve inúmeras tentativas de resolver o tamanho do CRL por meio da introdução de CRLs particionados. Quando você utiliza o Online Responders.

Portanto. manualmente (que envolve uma instrução separada de importação depois que você concluir o procedimento regular de configuração da revogação). escalabilidade ou estrutura da rede. Este certificado pode ser encontrado em um controlador de domínio. Este certificado pode ser selecionado automaticamente para você. Assinando um certificado para o Online Responder. Embora cada Online Responder em uma Matriz possa ser configurado de forma independente. Por exemplo. são referidos como membros da Matriz. as informações de configuração do Controlador da Matriz irão superar as opções definidas em outros membros da Matriz. Provedor de revogação que revogação usados por essa são inseridas na forma de válida e CRLs delta podem Importante Antes de começar a adicionar uma nova configuração de revogação. podem não ter conexões onde o CA está localizado. as filiais remotas consistentes com suas matrizes. • • Matrizes do Responder Múltiplos Online Responders podem ser ligados a uma Matriz do Online Responder. Configurar uma Matriz do Online Responder conhecimentos de planejamento baseado em: • requer bons Número e local dos CAs que estão sendo atendidos pela matriz Guia do Revisor do Windows Server “Longhorn” Beta 3 . Os Online Responders. em que uma base ser obtidos. em seu armazenamento local ou importado de um arquivo. no caso de conflitos. irá fornecer os dados de configuração. por considerações geográficas. em uma Matriz. incluindo tolerância a falhas no caso de um Online Responder individual se tornar indisponível. contatar o CA ou um Online uma requisição do status de Como os membros de uma Matriz do Online Responder podem ser remotos e estar sujeitos a condições de rede insatisfatórias. Um membro da Matriz pode ser designado o Controlador da Matriz. cada membro da matriz pode ser monitorado e gerenciado de forma independente. ou você pode usar o certificado CA selecionado.156 • certificado CA. nem sempre é possível Responder remoto para processar revogação. Uma Matriz de Online Responder pode ser criada e outros Online Responders podem ser adicionados por uma série de razões. verifique se possui essas informações disponíveis. Essas informações um ou mais URLs.

se essa data passar antes de uma atualização ser publicada ou disponibilizada. Uma opção separada da guia revogação permite que você sobrescreva as respostas do OCSP com informações contidas nos CRLs. um certificado que tenha sido cancelado. CAs e Online Responders potenciais Volume de registros de certificado. indo à guia revogação nas configurações de Validação (Configuração do Computador. Por exemplo. faça o seguinte: • • • Clique em Definir essas configurações de segurança. Configurações do Windows. os CRLs possuem datas de vencimento. Selecione Tempo padrão em que o período de validade pode ser estendido. como os certificados. a validação da cadeia de certificados pode falhar. pois o Online Responder conta com os dados de uma CRL expirada. Em situações em que as condições de rede podem atrasar a publicação adequada e o recebimento das CRLs atualizadas. Diretiva de Grupo Diversas configurações da Diretiva de Grupo foram adicionadas para aprimorar o gerenciamento do OCSP e uso dos dados do CRL. se um cliente tiver um CRL que não inclua seu status de revogação. configurar uma Matriz envolve uma quantidade de procedimentos que devem ser coordenados. mesmo com a presença de um Online Responder. Embora esta opção não seja recomendada. adicionando-o a um CRL local. Você pode estender o período dos CRLs e respostas do OCSP. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para configurar essas opções. Configurações de Segurança e Diretivas da Chave Pública). revogações e requisições de status que a infra-estrutura da chave pública da organização controla Necessidade de redundância no caso de os Online Responders se tornarem disponíveis • Depois que a Matriz do Online Responder foi planejada.157 • • • Número de clientes que irão solicitar partir dos CAs e seus locais certificados a Conectividade de rede entre clientes. Clique em Permitir que todos os CRLs e respostas do OCSP sejam válidas por mais tempo. Isso acontece. e informe o valor desejado de tempo (em horas). os administradores podem usar essas configurações da Diretiva de Grupo para estender o tempo de validade de um CRL existente ou resposta do OCSP. pode ser verificado como válido. e. Assim. pode ser útil em casos em que as alterações de revogação feitas por um administrador local não sejam finais até que um administrador de CA verifique a mudança.

O Online Responder requer uma chave e um certificado assinado para cada CA suportado. Múltiplos Online Responders para múltiplos CAs. Implantação Como os Online Responders são feitos para atender requisições individuais de status do certificado. Como cada resposta do status é assinada.158 Essas configurações estão localizadas em Configuração do Computador. Importante As credenciais administrativas são necessárias para modificar as configurações da Diretiva de Grupo. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. Configurações do Windows. identificar a configuração da instalação a partir de uma lista precedente que melhor se adapte à sua organização • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . o volume de requisições de validação do certificado que você antecipar e as condições de rede entre os CAs e os locais. Configurações de Segurança e Diretivas da Chave Pública. Online Responders Múltiplos para um Único CA. Os Online Responders do Windows Server “Longhorn” podem ser instalados nas seguintes configurações matrizes: • Online Responder Único para múltiplos CAs. cada Online Responder deve ser instalado em um servidor confiável. Esse suporte vem por meio de clustering. Online Responders fazendo • • Você pode se preparar para implantar o o seguinte: • Avaliar os benefícios potenciais de suplementar CRLs usando Online Responders para gerenciar a verificação de revogação na sua organização Identificar os locais possíveis onde o Online Responders possa ser útil Dependendo do número de CAs e locais que você está suportando. Um Online Responder deve ser emitido com um certificado assinado a partir do CA emitido. Cada Online Responder possui uma chave de assinatura e certificado a partir do CA suportado. geograficamente dispersos. A lógica do clustering se responsabiliza por conduzir o cliente a requisições de um Online Responder específico. para equilibrar a carga. uma Matriz de Online Responder geralmente requer múltiplos Online Responders. Um Online Responder não pode fornecer o status de um certificado maior na cadeia do que um CA que tenha emitido o certificado assinado.

159 • • Identificar os locais para cada Online Responder e a forma como eles devem ser gerenciados Testar o Online Responder e a configuração do PKI em um ambiente de laboratório para validar o modelo de PKI e identificar as opções de configuração para cada Online Responder e configuração de revogação Instalar e configurar cada Online Responder • Guia do Revisor do Windows Server “Longhorn” Beta 3 .

modificando a lista de controle de acesso ao sistema (SACL) em um objeto. a discussão refere-se apenas aos Serviços de Domínio do Active Directory. Essa configuração de segurança determina se os eventos estão registrados no log de Segurança.” você agora pode configurar a auditoria dos Serviços de Domínio do Active Directory por uma nova sub-categoria da diretiva de auditoria (Alterações no Serviço de Diretório) para registrar valores novos e antigos quando houver alterações nos objetos dos Serviços de Domínio do Active Directory e seus atributos. Auditoria do acesso ao serviço de diretório. computadores e outros dispositivos na rede. controla se a auditoria para os eventos do serviço de diretório esta ativada ou não. quando certas operações são realizadas em objetos do diretório. Os Serviços de Domínio do Active Directory ajuda os administradores a gerenciar. e para aplicar outras tecnologias do Windows Server.160 5. Você pode controlar quais operações auditar. de forma segura. No entanto.” esta diretiva está ativada por padrão. Exige-se também que ele seja instalado na rede para instalar as aplicações ativadas pelo diretório. A diretiva global de auditoria. Guia do Revisor do Windows Server “Longhorn” Beta 3 . essas informações e facilita o compartilhamento de recursos e colaboração entre os usuários. como a Diretiva de Grupo.08 Serviços de Domínio do Active Directory Os Serviços de Domínio do Active Directory armazena informações sobre usuários. Nota Este novo recurso de auditoria também se aplica ao Active Directory Lightweight Directory Services. como o Microsoft Exchange Server. No Windows Server “Longhorn. Os tópicos que seguem descrevem alterações na funcionalidade dos Serviços de Domínio do Active Directory disponível nesta versão: • • • • • • Serviços de Domínio do Active Directory: Auditoria Serviços de Domínio do Active Directory: Diretivas de Senha Granuladas Serviços de Domínio do Active Directory: Controladores de Domínio de Somente Leitura Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis Serviços de Domínio do Active Directory: Exibição em Telas Serviços de Domínio do Active Directory: Melhorias na Interface de Usuário Serviços de Domínio do Active Directory: Auditoria No Windows Server “Longhorn.

” essa diretiva é dividida em quatro sub-categorias: • • • • Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication A capacidade de auditar alterações nos objetos dos Serviços de Domínio do Active Directory é ativada com a nova sub-categoria de auditoria. o Directory Service Changes. mover e não excluir operações feitas em um objeto. modificar. a auditoria dos Serviços de Domínio do Active Directory registrava apenas o nome do atributo que era alterado.161 Se você definir a configuração da diretiva (modificando a Diretiva padrão dos Controladores de Domínio). As auditorias de falha geram uma entrada sempre que um usuário acessa. incluindo de Domínio Domain. Guia do Revisor do Windows Server “Longhorn” Beta 3 . havia uma diretiva de auditoria. As auditorias de sucesso geram uma entrada sempre que um usuário acessa. A Auditoria de acesso ao serviço de diretório é aplicada da mesma forma como na Auditoria de acesso ao objeto. falhas ou então não auditar nada. Auditoria de Acesso aos Serviços de Domínio do Active Directory No Windows 2000 Server e Windows Server 2003. responsáveis por configurar a auditoria no diretório. e não seus valores antigos e atuais. sem sucesso. Antes. as permissões para modificar SACLs e visualizar o log de Segurança são atribuídos apenas a membros dos grupos de Administradores. No Windows Server “Longhorn. Você pode definir um SACL em um objeto dos Serviços de Domínio do Active Directory na guia Segurança. Esse recurso aplica-se aos administradores de Serviços de Domínio do Active Directory. ela se aplica apenas aos objetos dos Serviços de Domínio do Active Directory e não aos objetos do sistema de arquivo e do registro. pode especificar auditar os sucessos. O Windows Server “Longhorn” está incluindo a capacidade de a auditoria dos Serviços de Domínio do Active Directory registrar valores novos e antigos de um atributo quando uma alteração bem sucedida é feita nele. um objeto dos Serviços de Domínio do Active Directory que tenha um SACL especificado. Os tipos de alterações que você pode auditar são criar. Os administradores definem SACLs apropriados para fazer a auditoria. Builtin\Administradores e de Empresa. que controlava se a auditoria dos eventos de serviço de diretório era ativada ou não. na caixa de diálogo de propriedades do objeto. Em geral. Os eventos que são gerados por essas operações aparecem no log de Segurança. o Audit Directory Service Access. com sucesso. um objeto dos Serviços de Domínio do Active Directory que tenha um SACL especificado. no entanto.

o Directory Service Changes é ativado. como resultado da operação de modificação. A tabela que segue descreve esses • • • Alterações no Directory Service — Eventos dos Serviços de Domínio do Active Directory ID do Evento 5136 Tipo de Evento Modificar Descrição do Evento O evento é registrado quando uma modificação bem sucedida é feita a um atributo no diretório. 5137 Criar 5138 Não excluir 5139 Mover Guia do Revisor do Windows Server “Longhorn” Beta 3 . o local novo e o anterior (na forma de nome diferente) é registrado. feitas alterações aos objetos que um administrador para auditoria. um evento de auditoria é gerado caso a sub-categoria do Directory Service Access seja ativado. modificados ou excluídos durante uma operação de não-exclusão. apenas os valores que mudam.162 Essa nova sub-categoria da diretiva adiciona as seguintes capacidades aos Serviços de Domínio do Active Directory: • Quando uma operação bem sucedida de modificação é realizada em um atributo de um objeto. os Serviços de Domínio do Active Directory atribui valores padrões aos atributos (como o sAMAccountName). seus valores não serão registrados. Este evento é registrado quando um objeto não é excluído do diretório. Se um objeto é movido dentro de um domínio. os Serviços de Domínio do Active Directory registra seus valores novos e atuais. Se o atributo possuir mais de um valor. se os atributos forem adicionados. Depois que Domínio do quando são configurou eventos. Este evento é registrado quando um novo objeto é criado no diretório. Na maioria dos casos. Quando um objeto é movido para um domínio diferente. esses novos valores são registrados. Este evento é registrado quando um objeto é movido dentro do domínio. Caso um novo objeto seja criado. Além disso. Se os atributos são adicionados durante a operação de criação. os Serviços de Active Directory registra eventos no log de Segurança. No entanto. um evento de criação é gerado no controlador de domínio do domínio alvo. os valores dos atributos populados no momento da criação são registrados. Nota Caso um objeto seja excluído. Os valores desses atributos do sistema não são registrados. não são gerados eventos de auditoria de alteração. são registrados. o local para o qual ele foi movido é registrado. Se um objeto não é excluído.

a diretiva Auditoria do acesso ao serviço de diretório era o único controle disponível para o Active Directory.” esta diretiva está ativada por padrão. Não existe uma ferramenta de interface do Windows disponível no Windows Server Guia do Revisor do Windows Server “Longhorn” Beta 3 . ativa todas as sub-categorias da diretiva do serviço de diretório. a sub-categoria Directory Service Changes também está ativada por padrão. mas seu número de ID é alterado para 4662.” a sub-categoria Directory Service Access ainda gera os mesmos eventos. No Windows Server “Longhorn. Você pode usar a ferramenta Auditpol. pode ver os eventos do log de Segurança com o número de ID 4662.163 A capacidade de identificar como os atributos do objeto mudam torna os logs de eventos mais úteis como um mecanismo de acompanhamento a alterações que ocorrem por toda a duração de um projeto. Da mesma forma. Você pode definir essa diretiva global na Diretiva de Grupo dos Controladores de Domínio Padrão (abaixo de Configurações de Segurança\Diretivas Locais\Diretiva de Auditoria).” você implementa um novo recurso de auditoria. No Windows Server “Longhorn. Portanto. se você desabilitar Directory Service Changes e ativar Directory Service Access. Esta sub-categoria está definida apenas para os eventos de sucesso. No Windows Server “Longhorn. No Windows 2000 Server e Windows Server 2003. As configurações para Directory Service Access e Directory Service Changes estão armazenadas no banco de dados da Autoridade de Segurança Local (LSA). alterações bem sucedidas são registradas junto com os valores novos e antigos do atributo. Com a nova sub-categoria Directory Service Changes. Elas podem ser consultadas com novos LSA APIs. Os eventos que eram gerados por esse controle não mostravam os valores novos e antigos de nenhuma modificação. com o número de ID 566. Auditoria do acesso ao serviço de diretório. As duas sub-categorias de auditoria são independentes uma da outra. usando os seguintes controles: • • • Diretiva de auditoria global SACL Esquema Diretiva de auditoria global Ativar a diretiva de auditoria global. Essa configuração gerava eventos de auditoria no log de Segurança.exe da linha de comando ou definir sub-categorias da diretiva de auditoria. Você pode desabilitar Directory Service Access e ainda ser capaz de ver eventos de alteração gerados caso a sub-categoria Directory Service Changes esteja ativada.

164 “Longhorn” Beta 2 para visualizar ou definir sub-categorias da diretiva de auditoria. que pode ser usado para criar exceções ao que é auditado. os Serviços de Domínio do Active Directory não registrará eventos de alteração quando as modificações forem feitas. replicado ao catálogo global ou algum outro tipo de comportamento. Configurações do Registro Os seguintes valores de chave do registro são usados para configurar a auditoria dos Serviços de Domínio do Active Directory. O conteúdo do SACL é controlado pelos administradores de segurança do sistema local. Por exemplo. Se o bit 9 (valor 256) for definido para um atributo. esse privilégio é atribuído ao grupo de Administradores integrado. Por exemplo. Existem sete bits atualmente definidos para a propriedade searchFlags. mesmo que a subcategoria de Directory Service Changes esteja ativada. nenhum evento de auditoria de alteração é registrado. Por padrão. SACL O SACL é a especifica segurança. mesmo que a sub-categoria Directory Service Changes esteja ativada. Se não houver entrada de controle de acesso (ACE) no SACL que requer o registro das modificações do atributo. Os administradores de segurança são usuários atribuídos aos privilégio de Gerenciar Log de Auditoria e Segurança (SeSecurityPrivilege). se você deseja ver alterações a todas as modificações de atributo em um objeto de usuário — exceto a um ou dois atributos — você pode definir uma indicação no esquema para atributos que não deseja auditar. nenhum evento de auditoria é gerado quando esse atributo é modificado. Esquema Para evitar a possibilidade de um número excessivo de eventos que estão sendo gerados. determinar parte de um descritor de segurança do objeto que as operações a serem auditadas para princípio de O SACL do objeto ainda é a autoridade principal para se uma verificação de acesso deve ou não ser auditada. A propriedade searchFlags de cada atributo define se ele é indexado. Valores de Chave do Registro — Auditoria dos Serviços de Domínio do Active Directory Nome da Configuração MaximumStringBytesToAudit Local HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ • Valores Possíveis Valor mínimo do registro: 0 Guia do Revisor do Windows Server “Longhorn” Beta 3 . Isso se aplica a todos os objetos que contêm aquele atributo. existe um controle adicional no esquema. se não houver ACE no SACL que requer acesso à Propriedade de Escrita no atributo do número de telefone de um objeto de usuário a ser auditado.

para grupos diferentes de usuários. precisavam tanto criar um filtro para senha como implantar múltiplos domínios. Os seguintes indivíduos devem verificar essas informações sobre diretivas de senhas granuladas: • Planejadores e analistas de TI que avaliam tecnicamente o produto Guia do Revisor do Windows Server “Longhorn” Beta 3 . 5138 Não excluir 5139 Mover Configurações da Diretiva de Grupo Você não pode visualizar as sub-categorias da diretiva de auditoria com o Editor de Objeto da Diretiva de Grupo (GPedit. Este evento é registrado quando um objeto não é excluído do diretório. As duas opções têm alto custo. Este evento é registrado quando um objeto é movido dentro do domínio. você pode aplicar configurações mais rigorosas às contas privilegiadas e outras menos rigorosas às contas de outros usuários.165 Services\NTDS\Parameters • • Valor máximo do registro: 64000 Valor padrão: 1000 5137 Criar Este evento é registrado quando um novo objeto é criado no diretório. por diversas razões.msc). você pode aplicar uma diretiva de senha especial a contas cujas senhas são sincronizadas com outras fontes de dados. as organizações que desejavam configurações diferentes de senha e bloqueio de conta. Você pode usar diretivas de senhas granuladas para especificar múltiplas diretivas dentro de um único domínio. Essas diretivas foram especificadas na Diretiva de Domínio Padrão do domínio. apenas uma diretiva de senha e bloqueio de conta pode ser aplicada a todos os usuários no domínio. Nos domínios do Windows 2000 e Windows Server 2003 Active Directory.exe de linha de comando. O comando auditpol do exemplo que segue ativa a sub-categoria Directory Service Changes: auditpol /set /subcategory:"directory service changes" /success:enable Serviços de Domínio do Active Directory: Diretivas de Senhas Detalhadas O Windows Server “Longhorn” fornece às organizações uma forma de definir diretivas diferentes de senha e bloqueio de conta para diferentes grupos de usuários em um domínio. Em outros casos. Pode usá-las também para aplicar diferentes restrições a senhas e diretivas de bloqueio de conta para diferentes grupos de usuários em um domínio. Você pode apenas visualizá-las com a ferramenta Auditpol. Por exemplo. Como resultado.

166 • • Planejadores corporativos de TI e designers de organizações Administradores ou gerentes responsáveis pela segurança da TI Essas diretivas aplicam-se apenas a objetos do usuário (ou objetos inetOrgPerson caso sejam usados no lugar de objetos do usuário) e grupos de segurança global. o Windows Server “Longhorn” inclui duas novas classes de objetos no esquema dos Serviços de Domínio do Active Directory: • • Container de Configuração de Senha Configurações de Senha O Container de Configuração de Senha é criado por padrão. você também pode delegar a habilidade de definir essas diretivas a outros usuários. abaixo do container Sistema. Um PSO possui atributos para todas as configurações que podem ser definidas na Diretiva de Domínio Padrão (exceto as configurações Kerberos). no domínio. apenas membros do grupo de Administradores do Domínio podem definir diretivas de senhas granuladas. Por padrão. Essas configurações incluem atributos para as seguintes configurações de senha: • • • • • • Reforçar o histórico de senha Tempo máximo da senha Tempo mínimo da senha Extensão mínima da senha As senhas devem suprir os requisitos de complexidade Armazenar senhas usando criptografia reversível Essas configurações também incluem atributos para as seguintes configurações de bloqueio de conta: • • • Duração do bloqueio da conta Limite de bloqueio da conta Redefinição de bloqueio da conta após Além disso. Ele armazena os objetos de Configuração de Senha (PSOs) para esse domínio. As organizações que têm filtros de senha implantados em controladores de domínio que executam o Windows 2000 ou Windows Server 2003 podem continuar usando esses filtros para reforçar restrições adicionais de senhas. Armazenando Diretivas de Senhas Detalhadas Para armazenar essas diretivas de senhas detalhadas.” Essas diretivas de senhas granuladas não interferem nos filtros regulares que você deve usar no mesmo domínio. No entanto. Você não pode renomear. mover ou excluir esse container. O nível funcional do domínio deve ser Windows Server “Longhorn. um PSO possui os dois seguintes novos atributos: Guia do Revisor do Windows Server “Longhorn” Beta 3 .

As configurações de outros PSOs. Estes nove atributos são do tipo mustHave. neste tópico. Como o atributo PSOApplied possui um link de retorno. Isso significa que você deve definir um valor a cada um. O PSO é vinculado ao usuário Guia do Revisor do Windows Server “Longhorn” Beta 3 . apenas os PSOs vinculados a grupos globais de segurança ou objetos de usuários são considerados. que estão ligados ao usuário ou grupo. Nesse caso. • Você pode vincular um PSO a outros tipos de grupos.167 • • PSO link. as configurações aplicadas são calculadas pelo Conjunto Resultante da Diretiva (RSOP). em múltiplos grupos. se muitos PSOs são aplicados a um usuário ou objeto de grupo. O atributo PSOAppliesTo é multivalorizado. Você pode criar uma diretiva de senha e aplicá-la a diferentes conjuntos de usuários ou grupos. RSOP Um usuário ou objeto de grupo pode ter múltiplos PSOs vinculados a ele. O PSO pode ser aplicado ao objeto de usuário nas duas maneiras que seguem: • Diretamente. Apenas as configurações daquele PSO podem afetar o usuário ou grupo. PSOs diferentes vinculados a eles. Este é um atributo multivalorizado. Este é um valor inteiro usado para resolver conflitos.” O atributo PSOApplied contém um link de retorno ao PSO. Mas quando um conjunto resultante de diretivas é determinado a um usuário ou grupo. não podem ser mescladas de maneira alguma. Os PSOs vinculados a grupos de distribuição ou outros tipos de grupos de segurança são ignorados. No entanto. mais adiante. apenas um PSO pode ser aplicado como diretiva efetiva de senha. • Um PSO possui um atributo chamado PSOAppliesTo que contém um link de encaminhamento a somente usuário ou objetos do grupo. O RSOP pode apenas ser calculado para um objeto do usuário. um usuário ou grupo pode ter diversos PSOs aplicados a ele. como porque múltiplos PSOs são aplicados diretamente ao objeto. cada um. ligado a usuários e/ou objetos de grupo. além dos grupos globais de segurança. Precedência. Definindo o Escopo das Diretivas de Senhas Detalhadas Um PSO pode ser vinculado a um usuário (ou inetOrgPerson) ou objeto de grupo que esteja no mesmo domínio que o PSO. têm. Para mais informações. Um novo atributo chamado PSOApplied foi adicionado ao usuário e objetos de grupo no Windows Server “Longhorn. tanto porque os membros. As configurações de múltiplos PSOs não podem ser mescladas. o que quer dizer que você pode aplicar um PSO a múltiplos usuários ou grupos. confira o “RSOP”.

Um PSO possui valor de precedência 2 e o outro tenha um valor 4. Quando você aplica a diretiva diretamente ao usuário. O atributo precedência possui um valor inteiro de 1 ou mais. são comparados. que é aplicado àquele usuário (baseado nas regras listadas anteriormente). Neste caso. suponha que um objeto tenha dois PSOs vinculados a ele. O PSO é vinculado ao grupo(s) do qual o usuário é membro Cada PSO possui um atributo adicional chamado precedência. Você pode atribuir um PSO a um grupo de usuários. Um valor mais baixo para o atributo precedência indica que o PSO tem uma classificação maior. é aplicado ao objeto. você pode criar múltiplos PSOs com o mesmo valor. Se não houver um PSO vinculado ao objeto de usuário. No entanto. ela é aplicada primeiro. antes de outros PSOs. Se não houver um objeto de PSO que se aplique ao usuário. que ajuda no cálculo do RSOP. e o PSO com o menor valor de precedência será o PSO resultante. a consulta retorna o nome distinto do domínio. o PSO resultante aplicado é determinado conforme o seguinte: • Um PSO que seja vinculado diretamente ao objeto de usuário é o PSO resultante. tanto direta quanto virtualmente dos membros do grupo. e todos os PSOs que são aplicáveis ao usuário com base nos membros do grupo global. Ao aplicar um PSO que seja diretamente ligado a um usuário ou grupo. Um administrador pode consultar este atributo para recuperar o nome distinto do PSO. Se nenhum PSO for obtido a partir das condições (1) e (2). Em vez de ter de criar uma nova diretiva e reorganizar a precedência de todas as diretivas anteriores para um usuário em particular. A Diretiva de Domínio Padrão será aplicada. o PSO que possui o valor de precedência 2 tem maior classificação e. Se múltiplos PSOs são vinculados a um usuário ou grupo. portanto. O PSO com o valor de precedência mais baixo é o PSO resultante. você pode criar uma diretiva com qualquer precedência. Se múltiplos PSOs com o mesmo valor de precedência são obtidos para um usuário. Guia do Revisor do Windows Server “Longhorn” Beta 3 . os membros do grupo global de segurança do usuário. você pode criar exceções para certos usuários de um grupo. do que outros PSOs. mas atribuir uma diretiva diferente a alguns dos membros.168 • Indiretamente. Se mais de um PSO for diretamente vinculado ao objeto de usuário. o primeiro PSO obtido será aplicado. uma mensagem de aviso será registrada no log de evento. • • Recomendamos que você atribua um valor de precedência único para cada PSO que você criar. Outro novo atributo chamado ResultantPSO foi adicionado ao objeto de usuário. ou maior prioridade. Por exemplo.

169

O objeto de usuário possui três bits, que podem ser definidos no atributo userAccountControl do objeto de usuário que pode sobrescrever as configurações presentes no PSO resultante (muitos desses bits sobrescrevem as configurações da Diretiva de Domínio Padrão, no Windows 2000 e Windows Server 2003). Esses bits incluem o seguinte: • • • Criptografia de senha reversível exigida Senha não exigida Senha não expira

Esses bits continuam a superar as configurações no PSO resultante que é aplicado ao objeto de usuário.

Segurança e Delegação
Por padrão, apenas membros do grupo de Administradores de Domínio podem criar PSOs. Apenas membros deste grupo possuem as permissões Criar Filho e Excluir Filho, no objeto Password Settings Container. Além disso, apenas membros do grupo de Administradores de Domínio têm permissões de Propriedade de Escrita no PSO, por padrão. Portanto, apenas membros deste grupo podem aplicar um PSO a um grupo ou usuário. Você pode delegar essa permissão a outros grupos ou usuários. Você não precisa de permissões sobre o objeto do grupo ou usuário para poder aplicar um PSO a ele. Ter permissões de Escrita no usuário ou objeto de grupo não fornece a você a capacidade de vincular um PSO a um usuário ou grupo. O proprietário de um grupo não possui permissões de vincular um PSO ao grupo, pois o link de encaminhamento está no PSO. O poder de vincular um PSO ao grupo ou usuário é dado ao proprietário do PSO. As configurações no PSO podem ser consideradas confidenciais; portanto, por padrão, os Usuários Autenticados não têm permissões de Propriedade de Leitura para um PSO. Por padrão, apenas membros do grupo de Administradores de Domínio possuem permissões da Propriedade de Leitura no descritor de segurança padrão do objeto PSO no esquema. Você pode delegar essas permissões a qualquer grupo (como o help desk ou aplicação de gerenciamento) no domínio ou floresta. Isso também pode prevenir um usuário de ver suas configurações de senha no diretório. O usuário pode ler os atributos ResultantPSO ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que se aplica ao usuário. O usuário não pode ver as configurações dentro do PSO. Antes de adicionar um controlador de domínio que execute no Windows Server “Longhorn” a um domínio existente do Active Directory, você deve executar o adprep /domainprep. Ao executar o adprep /domainprep, o esquema do Active Directory é estendido para incluir novas classes de objetos que as diretivas de senhas granuladas requerem.
Guia do Revisor do Windows Server “Longhorn” Beta 3

170

Caso você não crie essas diretivas para diferentes grupos de usuários, as configurações da Diretiva de Domínio Padrão aplicamse a todos os usuários no domínio, assim como no Windows 2000 e Windows Server 2003.

Para saber mais, recorra à seção 4.02

Serviços de Domínio do Active Directory: Controladores de Domínio de Somente Leitura
Um controlador de domínio de somente leitura (RODC) é um novo tipo de controlador no sistema operacional do Windows Server “Longhorn”. Com o RODC, as organizações são capazes de implantar, facilmente, um controlador de domínio em locais onde a segurança física não é garantida. Um RODC hospeda partições de somenteleitura dos Serviços de Domínio do Active Directory. Para mais informações sobre os Controladores de Domínio de Somente Leitura, recorra à seção 4.02 Controlador de Domínio de Somente Leitura, na página 85.

Controlador de Domínio de Somente Leitura na
página 85.

Serviços de Domínio do Active Directory: Serviços de Domínio do Active Directory Reinicializáveis
Os administradores podem parar e reiniciar os Serviços de Domínio do Active Directory no Windows Server “Longhorn”, usando os snapins do MMC ou a linha de comando. Os Serviços de Domínio do Active Directory Reinicializável reduz o tempo requerido para realizar certas operações. Os Serviços de Domínio do Active Directory pode ser parado para que as atualizações possam ser aplicadas a um controlador de domínio; e também, eles podem parar os Serviços de Domínio do Active Directory para realizar tarefas, como a desfragmentação offline do banco de dados do Active Directory, sem reiniciar o controlador de domínio. Outros serviços que estão sendo executados no servidor e que não dependem dos Serviços de Domínio do Active Directory para funcionar, como o Dynamic Host Configuration Protocol (DHCP), permanecem disponíveis para satisfazer as requisições de clientes, enquanto os Serviços de Domínio do Active Directory é parado. Os Serviços de Domínio do Active Directory Reinicializável fornece benefícios para o seguinte: • • • Planejadores e administradores da atualização da segurança Equipes de gerenciamento dos Serviços de Domínio do Active Directory Administradores dos Serviços de Domínio do Active Directory

Os Serviços de Domínio do Active Directory Reinicializável é disponível por padrão em todos os controladores de domínio que executam o Windows Server “Longhorn.” Não existem requisitos funcionais, ou outros pré-requisitos, para usar esse recurso.
Guia do Revisor do Windows Server “Longhorn” Beta 3

171

No Active Directory do sistema operacional Microsoft Windows 2000 Server e Windows Server 2003, a desfragmentação offline do banco de dados exigia uma reinicialização do controlador de domínio no Modo de Recuperação do Directory Services. Aplicar as atualizações de segurança geralmente requer uma reinicialização do controlador de domínio. No Windows Server “Longhorn,“ no entanto, os administradores podem parar e reiniciar os Serviços de Domínio do Active Directory. Isso torna possível desempenhar as operações offline dos Serviços de Domínio do Active Directory de forma mais rápida. Os Serviços de Domínio do Active Directory Reinicializável adiciona as menores alterações aos snap-ins do MMC. Um controlador de domínio que executa o Windows Server “Longhorn” Active Directory Domain Services exibe o Controlador de Domínio no nó Serviços (Local) do snap-in Serviços de Componente e do Gerenciamento do Computador. Usando qualquer um deles, um administrador pode facilmente parar e reiniciar os Serviços de Domínio do Active Directory da mesma forma como com qualquer outro serviço que esteja sendo executado localmente no servidor. Embora parar os Serviços de Domínio do Active Directory seja como efetuar logon no Modo de Recuperação do Directory Services, o Active Directory Domain Services reinicializável fornece um estado único para um controlador de domínio que execute o Windows Server “Longhorn.” Esse estado é conhecido como Active Directory Domain Services Stopped. Os três estados possíveis para um controlador de domínio que execute o Windows Server “Longhorn” são os seguintes: • Active Directory Domain Services Started. Neste estado, os Serviços de Domínio do Active Directory é iniciado. Para os clientes e outros serviços executados no servidor, um controlador de domínio do Windows Server “Longhorn” executado neste estado é o mesmo que o controlador executado no Windows 2000 Server ou Windows Server 2003. Active Directory Domain Services Stopped. Neste estado, os Serviços de Domínio do Active Directory é parado. Embora este modo seja exclusivo, o servidor possui algumas características tanto de controlador de domínio no Modo de Recuperação do Directory Services quanto como um servidor membro ligado ao domínio. Assim como no Modo de Recuperação do Directory Services, o banco de dados do Active Directory (Ntds.dit) está offline. Além disso, a senha do Modo de Recuperação do Directory Services pode ser usada para um login local, caso outro controlador de domínio não possa ser contatado. Assim como com um servidor membro, o servidor é ligado ao domínio. Além disso, os usuários podem efetuar logon de forma interativa, ou pela rede, usando outro controlador de domínio para o logon. No entanto, um controlador de domínio
Guia do Revisor do Windows Server “Longhorn” Beta 3

172

não deve permanecer neste estado por um longo período de tempo, pois ele não consegue atender as requisições de logon ou replicar com outros controladores de domínio. • Modo de Recuperação do Directory Services. Este modo (ou estado) é inalterável a partir do Windows Server 2003.

O seguinte fluxograma apresenta como um controlador de domínio que executa o Windows Server “Longhorn” pode fazer a transição entre esses três estados possíveis.

Serviços de Domínio do Active Directory: Exibição em Instantâneo
A Exibição em Telas dos Serviços de Domínio do Active Directory é um novo recurso do Windows Server “Longhorn.” Ele o ajuda a identificar objetos que foram acidentalmente excluídos ao expor informações sobre os objetos, em imagens (instantâneos) dos Serviços de Domínio do Active Directory obtidas com o tempo. Esses instantâneos podem ser visualizados em um controlador de domínio, sem iniciar o controlador de domínio no Modo de Restauração do Directory Services. Comparando os diversos estados dos objetos assim que eles aparecem nos instantâneos, será possível decidir mais facilmente qual backup dos Serviços de Domínio do Active Directory utilizar para restaurar os objetos excluídos. Ao usar a Exposição de Telas dos Serviços de Domínio do Active Directory, você pode examinar todas as alterações feitas aos dados armazenados nos Serviços de Domínio do Active Directory. Por exemplo, se um objeto da Diretiva de Grupo é acidentalmente modificado, você pode usar a Exposição de Telas dos Serviços de
Guia do Revisor do Windows Server “Longhorn” Beta 3

173

Domínio do Active Directory para examinar as alterações e ajudar a decidir como corrigi-las, se necessário. Embora a Exposição de Telas dos Serviços de Domínio do Active Directory não recupere objetos excluídos, ele ajuda a dinamizar o processo de recuperação de objetos que tenham sido acidentalmente excluídos. Antes do Windows Server “Longhorn,” quando os objetos ou unidades organizacionais (OUs) foram acidentalmente excluídas, a única forma de determinar exatamente quais objetos haviam sido excluídos era restaurando os dados a partir de backups. Mas isso trazia duas desvantagens: • O Active Directory precisava ser reiniciado no Modo de Recuperação do Directory Services para desempenhar uma restauração autorizada. Um administrador não podia comparar os dados nos backups que eram obtidos em momentos diferentes (a menos que os backups fossem restaurados a vários controladores de domínio; um processo que não é viável).

A finalidade do recurso de Exposição de Telas dos Serviços de Domínio do Active Directory é expor os dados dos Serviços de Domínio do Active Directory armazenados nas imagens de forma online. Os administradores podem então comparar os dados das imagens obtidas em diferentes momentos, que, por sua vez, ajudam a decidir sobre os dados a serem restaurados, sem acabar em uma parada de serviço. Os seguintes indivíduos devem ver essas informações sobre a Exposição de Telas do Active Directory Domain Services: • • • Planejadores e analistas de TI que avaliam tecnicamente o produto Planejadores corporativos de TI e organizações designers de

Administradores, operadores e gerentes responsáveis pelas operações de TI, incluindo a recuperação de dados excluídos dos Serviços de Domínio do Active Directory

Há dois aspectos para o problema de se recuperar dados excluídos: • • Preservar os dados excluídos para que eles possam ser recuperados Recuperar os dados excluídos recentemente quando solicitado

A Exposição de Telas dos Serviços de Domínio do Active Directory torna possível para os dados excluídos dos Serviços de Domínio do Active Directory serem preservados em forma de imagens dos Serviços de Domínio do Active Directory, obtidas pelo Serviço de Cópia de Sombra do Volume. A Exposição de Telas dos Serviços de Domínio do Active Directory Snapshot, na verdade, não recupera objetos e containeres excluídos. O administrador deve desempenhar a recuperação como um passo subseqüente.
Guia do Revisor do Windows Server “Longhorn” Beta 3

exe para obter imagens do volume que contém o banco de dados dos Serviços de Domínio do Active Directory.exe à porta LDAP da imagem que você especificou quando expôs a imagem como um servidor LDAP.174 Você pode usar a ferramenta LDAP.exe. Global Catalog e Global Catalog–SSL. pressionando CTRL+C ou definindo o atributo stopservice no objeto rootDSE. Execute o Ntdsutil. como o Ldp. mas você deve ter acesso de escrita. Por padrão. mas ele deve estar em ASCII.dit). Programe uma tarefa que regularmente execute o Ntdsutil. Por exemplo. • • Você pode parar o Dsamain. esse caminho é aberto somente como leitura. 4.exe para listar as imagens disponíveis e monte a imagem que deseja visualizar. Quatro números de portas para LDAP. apenas os membros dos grupos de Administradores de Domínio e Corporativos podem visualizar as imagens. pois elas contêm dados sensíveis dos Serviços de Domínio do Active Directory. Execute e anexe o Ldp. Caminho do Log. O processo de uso da Exposição de Telas dos Serviços de Domínio do Active Directory inclui os seguintes passos: 1. Proteja as imagens dos Serviços de Domínio do Active Directory contra acesso não-autorizado. Um usuário malicioso que tenha acesso às imagens pode usá-las para revelar dados sensíveis que possam estar armazenados nos Serviços de Domínio do Active Directory. Execute o Dsamain. Use a criptografia ou outras precauções de segurança dos dados com as imagens do Active Directory Domain Services a fim de ajudar a reduzir a chance de acesso não-autorizado às imagens dos Serviços de Domínio do Active Directory. um usuário malicioso pode copiar as imagens dos Serviços de Domínio do Active Directory de uma floresta A para B e depois usar as credenciais de Administrador do Domínio ou Corporativo da floresta B para examinar os dados. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Esses dados são de somente leitura. Esse pode ser um caminho temporário. 3. Por padrão. que é uma ferramenta integrada no Windows Server “Longhorn. Navegue pela imagem como faria com qualquer controlador de domínio dinâmico. LDAP-SSL.exe tem os seguintes argumentos: • Caminho do banco de dados dos Serviços de Domínio do Active Directory (NTDS. no passo anterior. O Dsamain. 5.” para ver os dados expostos nas imagens. 2.exe para expor o volume de imagens como um servidor LDAP. assim como você o faz com backups dos Serviços de Domínio do Active Directory.

usando o recurso de reanimação em ícones. assim que identificados nas imagens. como a Diretiva de Replicação de Senha para RODCs. incluindo as permissões e a Diretiva de Grupo. Serviços de Domínio do Active Directory: Melhorias na Interface de Usuário Para aprimorar a instalação e o gerenciamento dos Serviços de Domínio do Active Directory. Além disso. que foram divididos quando os objetos foram excluídos. As melhorias na UI dos Serviços de Domínio do Active Directory também fornecem novas opções de gerenciamento para os recursos dos Serviços de Domínio do Active Directory. Alterações adicionais às ferramentas de gerenciamento fornecem a capacidade de encontrar os controladores de domínio por toda a empresa. você não pode realimentar os atributos apenas do sistema. As melhorias da UI dos Serviços de Domínio do Active Directory são importantes para os seguintes usuários: • Administradores dos Serviços de Domínio do Active Directory responsáveis por gerenciar controladores de domínio em locais centrais e data centers Administradores de filiais Desenvolvedores de sistema que realizam instalações e desautorizam servidores • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . o navegador de imagens torna possível recriar os objetos excluídos e seus links sem precisar reiniciar o controlador de domínio no Modo de Recuperação do Directory Services. Além disso. alimente manualmente esses objetos com os atributos e links de retorno. você pode usar o navegador de imagens para analisar configurações anteriores dos Serviços de Domínio do Active Directory. o Windows Server “Longhorn” inclui um Assistente de Instalação atualizado para o Active Directory Domain Services. Reanime esses objetos. e gravar os atributos e links de retorno que pertenciam aos objetos excluídos. Depois. O Windows Server “Longhorn” também inclui alterações nas funções de snap-in do MMC que gerenciam os Serviços de Domínio do Active Directory. No entanto. Embora você deva recriar manualmente os atributos e links de retorno. o Assistente de Instalação atualizado dinamiza e simplifica a instalação dos Serviços de Domínio do Active Directory. Eles também fornecem controles importantes para novos recursos.175 Caso você tenha idéia de qual OU ou objetos foram excluídos. As melhorias na UI dos Serviços de Domínio do Active Directory fornecem novas opções de instalação para os controladores de domínio. pode procurar nos objetos excluídos. como os controladores de domínio de somente leitura (RODCs). nas imagens.

176

As melhorias na UI dos Serviços de Domínio do Active Directory não requerem considerações especiais. As melhorias ao Assistente de Instalação também estão todas disponíveis por padrão. No entanto, algumas páginas do assistente aparecem apenas se a caixa de verificação de Usar instalação no modo avançado estiver selecionada na página de Boas Vindas do assistente. O modo de instalação avançado fornece aos usuários mais experientes um controle maior sobre o processo de instalação, sem confundir os usuários mais novos quanto às opções de configuração que podem não ser familiares. Para os usuários que não selecionam a caixa Usar instalação no modo avançado, o assistente utiliza opções padrões que se aplicam à maior parte das configurações. As melhorias na UI dos Serviços de Domínio do Active Directory fornecem novas funcionalidades para o Assistente de Instalação dos Serviços de Domínio do Active Directory e funções de snap-in do MMC.

Novo Assistente de Instalação dos Serviços de Domínio do Active Directory
Para adicionar a função de servidor dos Serviços de Domínio do Active Directory de forma interativa, você pode acessar o Assistente de Instalação nas seguintes maneiras: • Você pode clicar em Adicionar Funções, nas Tarefas Iniciais de Configuração, que aparece quando você instala o sistema pela primeira vez. Você pode clicar em Adicionar Funções no Gerenciador do Servidor. O Gerenciador do Servidor está disponível no menu Ferramentas Administrativas, ou por meio de um ícone na área de notificação. Você pode clicar em Iniciar, clicar em Executar e depois digitar dcpromo. Uma alternativa é digitar dcpromo no prompt de comando, como nas versões anteriores do sistema operacional do Microsoft Windows Server. Nota Embora não seja uma melhoria de UI, novas opções para executar instalações falhas dos Serviços de Domínio do Active Directory estão disponíveis no Windows Server “Longhorn.” Diferente de uma instalação falha no Windows Server 2003, uma instalação falha no Windows Server “Longhorn” nunca requer uma resposta a um prompt da UI, como aquele que reinicia o controlador de domínio. Isso é necessário para instalar os Serviços de Domínio do Active Directory no Núcleo do Servidor do Windows Server “Longhorn,” uma nova opção de instalação do Windows Server “Longhorn” que não fornece opções de UI, como um Assistente de Instalação interativo dos Serviços de Domínio do Active Directory.
Guia do Revisor do Windows Server “Longhorn” Beta 3

177

Você pode iniciar uma instalação RODC, usando o snap-in do MMC Active Directory Users and Computers. Você pode tanto clicar com o botão direito em Controladores de Domínio como clicar em Controladores de Domínio e depois em Pré-criar uma conta Somente-leitura de Controlador de Domínio. Este método instala o RODC em dois estágios. Durante o estágio seguinte da instalação, você executa o Assistente dos Serviços de Domínio do Active Directory no servidor que deseja anexar à conta do RODC.

O Assistente de Instalação dos Serviços de Domínio do Active Directory contém uma nova opção na página de Boas Vindas para ativar o modo avançado como uma alternativa para executar o Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo avançado exibe opções adicionais que permitem configurações mais avançadas e fornecem aos usuários mais experientes um controle maior sobre a operação. As opções adicionais do modo avançado incluem o seguinte: • • Criar uma nova árvore de domínio Usar uma mídia de backup a partir de um controlador de domínio existente no mesmo domínio, a fim de reduzir o tráfego de rede que está associado com a replicação inicial Selecionar o controlador de domínio de origem para a instalação Modificar o nome do NetBIOS que o assistente gera por padrão Definir a diretiva de replicação de senha para um RODC

• • •

Além dessas alterações, o Assistente de Instalação dos Serviços de Domínio do Active Directory possui novas páginas, que são descritas na tabela que segue.

Assistente de Instalação dos Serviços de Domínio do Active Directory
Nova Página do Assistente
Opções Adicionais

Descrição
Especifica que, durante a instalação do controlador de domínio, ele também será configurado para ser um DNS server, servidor do catálogo global ou RODC. Especifica o local onde o controlador de domínio deve ser instalado. Define o domínio e o nível funcional da floresta durante a instalação do novo domínio ou floresta. Especifica quais senhas de contas são permitidas ou negadas de serem armazenadas no RODC. Essa página aparece apenas quando a caixa Usar instalação no modo avançado está selecionada. Fornece uma opção padrão para criar uma delegação DNS no tipo de instalação do controlador de domínio (conforme especificado na página Escolha uma Configuração de Implantação) e o ambiente DNS.

Seleção de local Definição de níveis de função

Diretiva de Replicação de Senha

Criação de delegação do DNS

Guia do Revisor do Windows Server “Longhorn” Beta 3

178

Outras melhorias reduzem as chances de erro durante a instalação dos Serviços de Domínio do Active Directory. Por exemplo, se você está instalando um controlador de domínio adicional, pode selecionar o nome do domínio a partir de uma árvore de domínio, em vez de digitá-la. Para assegurar que um DNS server recém-instalado esteja operando corretamente, o DNS é automaticamente configurado para as configurações do cliente DNS, encaminhadores e dicas de raiz, se necessário, com base nas opções de instalação que são selecionadas.

Instalação em Fases para o RODCs
Você pode realizar uma instalação em fases de um RODC, em que a instalação é concluída em duas fases, por diferentes pessoas. Você pode usar o Assistente de Instalação dos Serviços de Domínio do Active Directory para concluir cada fase da instalação. A primeira fase cria uma conta para o RODC nos Serviços de Domínio do Active Directory. A segunda fase anexa o servidor atual, que será o RODC, à conta que foi anteriormente criada para isso. Durante a primeira fase, o assistente grava todos os dados sobre o RODC que serão armazenados no banco de dados distribuído do Active Directory, assim como seu nome da conta do controlador de domínio e o local em que serão colocados. Essa fase deve ser realizada por um membro do grupo de Administradores de Domínio. O usuário que cria a conta RODC também pode especificar, naquele momento, quais usuários ou grupos podem concluir o próximo passo da instalação. A próxima fase pode ser realizada na filial, por qualquer usuário ou grupo a quem tenha sido delegado o direito de concluir a instalação quando a conta foi criada. A fase não requer membros nos grupos integrados, como o grupo de Administradores do Domínio. Se o usuário que cria a conta RODC não especificar qualquer delegação para concluir a instalação (e administrar o RODC), apenas um membro dos Administradores de Domínio ou Corporativo pode concluir a instalação. A segunda fase instala os Serviços de Domínio do Active Directory no servidor que se tornará o RODC. Essa fase ocorre, basicamente, na filial onde o RODC é implantado. Durante essa fase, todos os dados dos Serviços de Domínio do Active Directory que residem localmente, arquivos de log e etc, são criados no próprio RODC. Os arquivos de origem da instalação podem ser replicados para o RODC a partir de um controlador de domínio sobre a rede, ou então você pode usar a instalação do recurso de mídia (IFM). Para usar o IFM, use o Ntdsutil.exe para criar a mídia de instalação. O servidor que se tornará o RODC não deve ser ligado ao domínio antes de você tentar anexá-lo à conta do RODC. Como parte da instalação, o assistente detecta, automaticamente, se o nome do
Guia do Revisor do Windows Server “Longhorn” Beta 3

179

servidor associa-se aos nomes de qualquer conta do RODC que tenha sido criada antes para o domínio. Quando o assistente encontra um nome associado da conta, ele alerta o usuário para usar aquela conta para concluir a instalação do RODC.

Melhorias Adicionais no Assistente
O novo Assistente de Instalação dos Serviços de Domínio do Active Directory também inclui as seguintes melhorias: • Por padrão, o assistente agora utiliza as credenciais do usuário que está conectado no momento. Você é alertado sobre as credenciais adicionais, caso elas sejam necessárias. Ao criar um controlador de domínio adicional em um domínio filho, o assistente detecta se o papel principal da infraestrutura está hospedado em um servidor de catálogo global naquele domínio, alertando-o para transferir essa infraestrutura para o controlador de domínio que você está criando. Isso ajuda a prevenir uma má colocação do papel principal da infra-estrutura. Na página Sumário do assistente, você pode exportar as configurações que selecionou para um arquivo de respostas correspondente que pode usar para operações subseqüentes (instalações ou desinstalações). Você agora pode omitir a senha do seu administrador a partir do arquivo de respostas. Em vez disso, digite senha=* no arquivo de respostas, para garantir que o usuário está avisado sobre as credenciais da conta. Você pode pré-alimentar o assistente, especificando alguns parâmetros na linha de comando, reduzindo a quantidade de interação de usuário que é exigida com o assistente. Você agora pode forçar o rebaixamento de um controlador de domínio iniciado no Modo de Recuperação do Directory Services).

Novas Funções de Snap-In do MMC
O snap-in do Active Directory Sites and Services no Windows Server “Longhorn” inclui um comando Localizar, na barra de ferramentas e no menu Ação. Esse comando facilita encontrar o local onde o controlador de domínio está, o que pode ajudar na solução de problemas de replicações. Antes, o Active Directory Sites and Services não indicavam facilmente onde certo controlador de domínio estava localizado. Isso aumentava o tempo requerido para solucionar problemas, como os de replicação. Para ajudar a gerenciar os RODCs, agora existe uma guia de Diretiva de Replicação de Senha na página de Propriedades do controlador de domínio. Clicando no botão Avançado, nesta guia,um administrador pode ver o seguinte:
Guia do Revisor do Windows Server “Longhorn” Beta 3

180

• • •

Quais senhas foram enviadas ao RODC Quais senhas estão atualmente armazenadas no RODC Quais contas foram autenticadas para o RODC, incluindo contas não definidas nos grupos de segurança, que têm a replicação permitida ou negada. Como resultado, o administrador pode ver quem está usando o RODC e determinar se permite ou nega a replicação da senha.

Guia do Revisor do Windows Server “Longhorn” Beta 3

mas cada uma pode projetar de forma mais segura e aceitar identidades de outras organizações. altamente extensível que opere por diversas plataformas.181 5.” incluindo informações sobre as funcionalidades adicionais dos Serviços Federados do Active Directory no Windows Server “Longhorn” comparadas com a versão dos Serviços Federados do Active Directory no Windows Server 2003 R2. mesmo quando as contas e aplicações estão localizadas em redes completamente diferentes ou organizações. incluindo ambientes Windows e não-Windows. fornecendo relações de confiança que você pode usar para projetar uma identidade digital do usuário e acessar direitos dos parceiros confiáveis. Essas credenciais secundárias representam a identidade dos usuários no local em que a aplicação reside. você pode implantar os servidores de federação em múltiplas organizações. Os Serviços Federados do Active Directory é uma solução de acesso à identidade que fornece aos clientes baseados em navegadores (internos ou externos à rede) um acesso dinâmico e único a aplicações mais protegidas quanto à Internet. Além disso. Esses parceiros podem incluir partes internas e externas ou outros departamentos ou subsidiárias na mesma organização. Em um ambiente federado. cada organização continua a gerenciar suas próprias identidades. é importante que os usuários estejam avisados sobre as credenciais secundárias quando tentarem acessar a aplicação.09 Serviços Federados do Active Directory Os Serviços Federados do Active Directory é uma função de servidor no Windows Server "Longhorn" que pode ser utilizado para criar uma solução de acesso de identidade segura e escalonável com a Internet. Quando uma aplicação está em uma rede e as contas de usuário em outra rede. para facilitar as transações de businessto-business (B2B) entre as organizações de parceiros confiáveis. O Web server que hospeda a aplicação geralmente requer essas credenciais para que possa tomar a decisão mais apropriada. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Os Serviços Federados do Active Directory torna as contas secundárias desnecessárias. As parcerias federadas de B2B identificam os parceiros de negócios como um dos seguintes tipos de organização: • Organização de Recursos As organizações que possuem e gerenciam recursos acessíveis a partir da Internet podem implantar os servidores de federação dos Serviços Federados do Active Directory e os servidores da Web baseados nos Serviços Federados do Active Directory que gerenciam o acesso aos recursos protegidos de parceiros confiáveis. As seções que seguem fornecem informações sobre os Serviços Federados do Active Directory no Windows Server “Longhorn.

Os Serviços Federados do Active Directory usa a conta do Network Service como padrão para os Serviços Federados do Active Guia do Revisor do Windows Server “Longhorn” Beta 3 .182 • Organização da Conta As organizações que possuem e gerenciam as contas de usuário podem implantar os Serviços Federados do Active Directory que autenticam usuários locais e criam tokens que.” Essas considerações aplicamse apenas quando você tem servidores dos Serviços Federados do Active Directory que tenham sido manualmente configurados para usar contas exclusivas do serviço. Os Serviços Federados do Active Directory é designado para ser implantado em organizações de médio a grande porte. de SSO. existem algumas considerações especiais a saber antes de você começar a atualizar os servidores de federação. são usados na organização de recurso para tomar decisões quanto à autorização. analista ou arquiteto em fase de avaliação dos produtos de federação da identidade • Se você tem uma infra-estrutura existente dos Serviços Federados do Active Directory. proxies e servidores da Web ativados pelos Serviços Federados do Active Directory que executam o Windows Server 2003 R2 para o Windows Server “Longhorn. que possuem o seguinte: • No mínimo. O processo de autenticação de uma rede enquanto se acessam recursos em outra rede — sem o incômodo de ações repetidas de login pelos usuários — é conhecido como longo único (SSO). que autentica os usuários em múltiplas aplicações da Web pela duração de uma simples sessão de navegação. mais adiante. Os Serviços Federados do Active Directory fornece uma solução baseada na Web. se você faz parte de um dos seguintes grupos: • Profissional de TI responsável pelo suporte de uma infraestrutura existente dos Serviços Federados do Active Directory Planejador de TI. juntamente com a documentação adicional sobre os Serviços Federados do Active Directory. um serviço de diretório: tanto o Active Directory Domain Services ou Active Directory Lightweight Directory Services (antes conhecido como Active Directory Application Mode) Computadores executados em diversas plataformas de sistemas operacionais Computadores ligados a um domínio Computadores conectados à Internet Uma ou mais aplicações baseadas na Web • • • • Veja essas informações.

A funcionalidade aprimorada de importar e exportar uma diretiva de relação de confiança ajuda a minimizar os problemas de configuração baseados nos parceiros. Os Serviços Federados do Active Directory está incluído no Windows Server “Longhorn” como uma função de servidor. Você pode usar o assistente de configuração aprimorado dos Serviços Federados do Active Directory para realizar as Guia do Revisor do Windows Server “Longhorn” Beta 3 . havendo ainda novas verificações de validação do servidor no assistente de instalação. para cada servidor aplicável depois que o Windows Server “Longhorn” está completamente instalado. Os Serviços Federados do Active Directory no Windows Server “Longhorn” traz diversas melhorias à experiência de instalação. Para o Windows Server “Longhorn.” os Serviços Federados do Active Directory inclui novas funcionalidades que não estão disponíveis no Windows Server 2003 R2. Para instalar os Serviços Federados do Active Directory no Windows Server 2003 R2.” o processo recupera. no Windows Server “Longhorn. Se você configurou manualmente um ou mais servidores dos Serviços Federados do Active Directory em sua implantação existente dos Serviços Federados do Active Directory para usar uma conta de serviço que não seja a conta padrão do Network Service. Portanto. você deve fornecer as informações da conta do serviço novamente. automaticamente. Essas novas funcionalidades são feitas para facilitar a sobrecarga administrativa e para estender ainda mais o suporte às principais aplicações: • Instalação Aprimorada. • • Instalação Aprimorada.183 Directory Web Agent Authentication Service e a identidade do pool de aplicação do ADFSAppPool. todas as contas de serviço para seus valores padrões originais. manualmente. Melhor experiência administrativa ao estabelecer relação de confiança federada. Suporte aprimorado da aplicação. Quando você atualiza um servidor para o Windows Server “Longhorn.” você pode instalar os Serviços Federados do Active Directory como uma função de servidor que utiliza o Server Manager. geralmente associados com o estabelecimento de uma relação de confiança federada. verifique qual dos servidores dos Serviços Federados do Active Directory utiliza essas contas de serviço e grave o nome de usuário e a senha de cada conta. Os Serviços Federados do Active Directory é mais integrado com o Microsoft Office SharePoint Services 2007 e os Serviços de Gerenciamento de Direitos do Active Directory. No entanto. você deve ir até Adicionar/Remover Programas para encontrar e instalar o componente dos Serviços Federados do Active Directory.

A organização pode então usar essa relação para compartilhar conteúdo protegido por meio de duas organizações. como o Office SharePoint Services 2007 e os Serviços de Gerenciamento de Direitos do Active Directory. Melhor Experiência Administrativa ao Estabelecer Relações de Confiança Federadas Guia do Revisor do Windows Server “Longhorn” Beta 3 . configurar o Office SharePoint Services 2007 como uma aplicação consciente dos Serviços Federados do Active Directory.184 verificações de validação do servidor antes de continuar com a instalação dos Serviços Federados do Active Directory. uma organização que tenha implantado os Serviços de Gerenciamento de Direitos do Active Directory pode configurar uma federação com uma organização externa. Os Serviços Federados do Active Directory no Windows Server “Longhorn” inclui funcionalidades para suportar os membros do Office SharePoint Services 2007 e os provedores de funções. usando os membros e controle de acesso baseado em função. Esses serviços incluem o Microsoft ASP. Isso significa que você pode. Suporte Aprimorado da Aplicação. Os membros e os provedores de funções incluídos nesta versão dos Serviços Federados do Active Directory servem para consumo apenas pelo Office SharePoint Services 2007. a fim de colaborar com parceiros externos e compartilhar conteúdos protegidos pelos direitos. Além disso. Integração com o Active Directory Rights Management Server Os Serviços de Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active Directory podem ser integrados de forma que as organizações possam obter vantagens das relações confiáveis federadas existentes. de forma efetiva. Por exemplo. o Server Manager automaticamente lista e instala todos os serviços dos quais os Serviços Federados do Active Directory depende durante a instalação dos Serviços Federados do Active Directory. Integração com o Office SharePoint Services 2007 O Office SharePoint® Services 2007 tira o máximo proveito das capacidades do SSO que são integradas nesta versão dos Serviços Federados do Active Directory. usando os Serviços Federados do Active Directory.NET 2.0 e outros serviços que fazem parte da função de servidor do Web Server (IIS). sem exigir uma implantação dos Serviços de Gerenciamento de Direitos do Active Directory nas duas organizações. Os Serviços Federados do Active Directory no Windows Server “Longhorn” inclui melhorias que aumentam a capacidade de integração com outras aplicações. podendo ainda administrar quaisquer sites do Office SharePoint Services 2007.

iniciada pelo administrador da organização parceira da conta — pode ajudar a dinamizar o processo de estabelecer uma relação de confiança federada entre duas organizações fictícias: A. o que pode resultar em erros tipográficos. usando tanto um processo de importar e exportar arquivos de diretivas como um processo manual que envolva uma troca mútua entre os valores dos parceiros. O seguinte fluxograma apresenta como um controlador de domínio que executa o Windows Server “Longhorn” pode fazer a transição entre esses três estados possíveis. como o Uniform Resource Indicators (URIs). mapeamento de declaração. A ilustração que segue e as instruções que acompanham mostram como uma troca bem sucedida de diretivas entre os parceiros — neste caso. Embora a capacidade de importar e exportar arquivos da diretiva fosse disponível no Windows Server 2003 R2. O processo manual requer que o administrador. digite todos os dados recebidos nas páginas apropriadas do Assistente para Adicionar Parceiro. Isso inclui a capacidade de especificar um certificado diferente de verificação da conta do parceiro e a de mapear as declarações de entrada e saída entre os parceiros. Essas melhorias foram feitas para aprimorar a experiência administrativa. a fim de que o certificado possa ser adicionado pelo assistente. Por exemplo.xml e então enviar o arquivo ao administrador parceiro. quando uma diretiva de parceiro é importada. Usando os recursos de importar e exportar. Além disso. exibição de nomes etc. permitindo mais flexibilidade para a funcionalidade de importação no Assistente para Adicionar Parceiro. incluídos nos Serviços Federados do Active Directory no Windows Server “Longhorn. e Trey Research. como um resultado da funcionalidade de importar e exportar baseada na diretiva.” os administradores podem apenas exportar suas configurações da diretiva de relação de confiança para um arquivo . tipos de declaração. Datum Corp. tipos de declaração. Guia do Revisor do Windows Server “Longhorn” Beta 3 . o processo manual exige que o administrador parceiro da conta envie uma cópia do certificado de verificação para o servidor de federação. Essa troca de arquivos de diretiva de parceiros fornece todas as URIs.185 Tanto no Windows Server 2003 R2 como no Windows Server “Longhorn. que recebe esses dados. criar relações de confiança federadas entre as organizações dos parceiros é mais fácil no Windows Server “Longhorn”. mapeamentos de declaração e outros valores e certificados de verificação necessários para criar uma relação de confiança federada entre duas organizações parceiras. o administrador pode usar esse Assistente para modificar todos os valores que foram importados antes de o processo do assistente ser concluído.“ os administradores dos Serviços Federados do Active Directory podem criar uma relação de confiança federada entre duas organizações.

o nome de exibição. clicando com o botão direito na pasta Diretiva Confiável. O administrador parceiro da Guia do Revisor do Windows Server “Longhorn” Beta 3 . e exporta um arquivo de diretiva parceira que contém a URL.186 1. O administrador parceiro da conta especifica a opção Exportar Diretiva Parceira Básica. a URL do proxy do servidor da federação e o certificado de verificação da A. Datum Corp.

O administrador parceiro do recurso exporta um arquivo da diretiva do parceiro que contém valores. A tabela que segue lista os diferentes locais no IIS Manager para o IIS 6. embora o processo não seja descrito aqui. Após concluir essa configuração.187 conta então envia o arquivo da diretiva parceira (por email ou outros meios) ao administrador parceiro do recurso. O administrador parceiro do recurso agora pode configurar declarações adicionais ou configurações da diretiva de relação de confiança para aquele parceiro da conta. Esse administrador cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira do recurso. Datum Corp. O administrador parceiro da conta continua a especificar o local e o arquivo de diretiva parceira do recurso e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. Os administradores parceiros de recursos também podem iniciar um processo de diretiva para importar e exportar.0 ou IIS 7. clicando com o botão direito no parceiro de conta de A. tipos de declaração e mapeamentos de declaração para a organização Trey Research. Para suportar as novas funcionalidades fornecidas com o IIS 7. O administrador parceiro do recurso então envia o arquivo da diretiva parceira ao administrador parceiro da conta.0. 3. O administrador então conclui o assistente. o nome de exibição. uma relação de confiança bem sucedida da federação entre os parceiros é estabelecida. como a URL.0 Guia do Revisor do Windows Server “Longhorn” Beta 3 .o administrador especifica a opção Exportar Diretiva. a URL do proxy do servidor de federação. Esse administrador cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a opção para importar um arquivo de diretiva parceira da conta. Quando este processo está concluído. 4. os Serviços Federados do Active Directory do Windows Server “Longhorn” inclui atualizações na UI para o serviço de função do Web Agent dos Serviços Federados do Active Directory. Novas Configurações Você configura as configurações do Web Agent baseado no token do Windows NT com o snap-in do IIS Manager. O administrador então conclui o assistente. O administrador parceiro do recurso continua a especificar o local e o arquivo de diretiva parceira e a verificar se todos os valores apresentados em cada página do assistente — que são pré-alimentados como resultado da importação da diretiva — são precisos. 2.

0 Guia de Serviços Federados do Active Directory Web Agent Guia de Serviços Federados do Active Directory Web Agent Local Antigo IIS 7. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Páginas de Propriedades do Web Agent dos Serviços Federados do Active Directory Página de Propriedades do IIS 6. dependendo da versão do IIS que está sendo usada.0 Propriedade Página URL do Federation Service Novo Local <COMPUTERNAME>\Web Sites <COMPUTERNAME> (na seção Outros do painel central) <COMPUTERNAME>\Web Sites\<Site ou Virtual Directory> (na seção IIS\Authentication do painel centra) <COMPUTERNAME>\Web Sites\<Site ou Virtual Directory> Web Agent dos Serviços Federados do Active Directory Nota Não existem diferenças significativas de UI entre o snap-in dos Serviços Federados do Active Directory no Windows Server “Longhorn” e o dos Serviços Federados do Active Directory no Windows Server 2003 R2.188 para cada uma das páginas de propriedades do Web Agent do Active Directory Federation.

Os servidores membros. ambos são construídos sob a mesma base de código). Você pode executar múltiplas instâncias do Active Directory Lightweight Directory Services ao mesmo tempo em um único computador. que estão disponíveis no Microsoft Windows XP Professional e Windows Server 2003. O Active Directory Lightweight Directory Services é semelhante aos Serviços de Domínio do Active Directory ao fornecer o seguinte: • • • • Replicação Multimaster Suporte à API de Interfaces do Active Directory Service Partições do diretório da aplicação LDAP sobre o SSL Guia do Revisor do Windows Server “Longhorn” Beta 3 . sem as dependências requeridas para os Serviços de Domínio do Active Directory. mas eles diferem na otimização.189 5. O Active Directory Lightweight Directory Services fornece às organizações um suporte flexível às aplicações ativadas pelo diretório. Os serviços de diretório são otimizados para o processamento da leitura. na verdade. Enter esses exemplos estão: • • • Aplicações de gerenciamento da relação com clientes (CRM) Aplicações de recursos humanos (HR) Aplicações de catálogo de endereços global O Active Directory Lightweight Directory Services fornece muitas das mesmas funcionalidades dos Serviços de Domínio do Active Directory (e. Muitas aplicações personalizadas e outras regulares utilizam um design ativado para diretório. enquanto os bancos de dados relacionais são para o processamento de transação. O Active Directory Lightweight Directory Services no Windows Server “Longhorn” abrange as funcionalidades fornecidas pelo Modo de Aplicação do Active Directory. controladores de domínio e servidores autônomos podem ser configurados para executar o Active Directory Lightweight Directory Services. Os serviços de diretório (como o Active Directory Lightweight Directory Services) e os bancos de dados relacionais fornecem o armazenamento e recuperação dos dados. mas ele não requer a implantação de domínios ou controladores de domínio. Uma aplicação ativada pelo diretório usa um diretório — em vez de um banco de dados. arquivo ou outra estrutura para armazenar dados — para manter seus dados.10 Active Directory Lightweight Directory Services A função do servidor do Active Directory Lightweight Directory Services é um serviço de diretório do LDAP. com um esquema independentemente gerenciado para cada instância ou configuração do Active Directory Lightweight Directory Services (caso a instância faça parte do conjunto de configurações). Ele fornece armazenamento e recuperação de dados para as aplicações ativadas pelo diretório.

eventualmente. Além disso. os administradores de domínio não precisam fornecer suporte administrativo. serão implantadas com os Serviços de Domínio do Active Directory como seu armazenamento de diretório. o administrador do servidor local pode gerenciar os diretórios do Active Directory Lightweight Directory Services. Diretiva de Grupo ou catálogos globais. o Active Directory Lightweight Directory Services não suporta domínios e florestas. conforme apropriado. mesmo nos autônomos. Essas aplicações podem ser implantadas de forma subseqüente. tanto com o Active Directory Lightweight Directory Services como com os Serviços de Domínio do Active Directory como serviço de diretório da aplicação. eles podem suportar aplicações que dependam das extensões de esquemas não desejáveis no diretório do Active Directory Domain Services — como as que são úteis a uma única aplicação.190 O Active Directory Lightweight Directory Services se difere dos Serviços de Domínio do Active Directory principalmente no que se refere a não armazenar os princípios de segurança do Windows. • Desenvolvimento da aplicação ativada pelo diretório e os ambientes de protótipo separados da estrutura de domínio da empresa Os desenvolvedores de aplicação que estão criando aplicações ativadas pelo diretório podem instalar a função do Active Directory Lightweight Directory Services em qualquer servidor. o Windows não pode autenticar os usuários armazenados no Active Directory Lightweight Directory Services ou utilizar os usuários do Active Directory Lightweight Directory Services em seus ACLs. contanto que a aplicação não dependa de recursos específicos dos Serviços de Domínio do Active Directory. os desenvolvedores podem controlar e modificar o diretório em seu ambiente de desenvolvimento. As organizações que têm os seguintes requisitos irão considerar o Active Directory Lightweight Directory Services particularmente útil: • Diretórios específicos da aplicação que usam esquemas personalizados ou que dependem de um gerenciamento descentralizado de diretório Diretórios do Active Directory Lightweight Directory Services que sejam separados da infra-estrutura de domínio dos Serviços de Domínio do Active Directory. Como resultado. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Como resultado. Além disso. Os administradores de rede podem usar o Active Directory Lightweight Directory Services como ambiente protótipo ou piloto para aplicações que. sem interferir na infraestrutura de Active Directory Domain Services da organização. Embora o Active Directory Lightweight Directory Services possa usar os princípios de segurança do Windows (como os usuários do domínio) nos ACLs que controlam o acesso aos objetos no Active Directory Lightweight Directory Services.

Como serviço de diretório de propósito geral. usando as ferramentas de diretório. Como o Active Directory Lightweight Directory Services é feito para ser um serviço de diretório para aplicações. Guia do Revisor do Windows Server “Longhorn” Beta 3 . como os de Web client ou visitantes. de forma nativa. modificar. Nesses casos. Isso ajuda as empresas a evitarem precisar manter informações de clientes externos no diretório de domínio da empresa. • Ativando computadores clientes LDAP em um ambiente heterogêneo para autenticar os Serviços de Domínio do Active Directory Quando as organizações se fundem.191 • Gerenciamento de acesso de computadores de clientes externos aos recursos da rede Empresas que precisam autenticar computadores. geralmente há uma necessidade de integrar os computadores clientes LDAP que executam diferentes sistemas operacionais de servidores em uma única infra-estrutura de rede. podem usar o Active Directory Lightweight Directory Services como local de diretório para autenticação. o Active Directory Lightweight Directory Services não é suportado por ferramentas orientadas a domínio. gerenciem e removam objetos de diretório. para acesso LDAP e autenticação. como as seguintes: • ADSI Edit (para visualizar.exe (para administração geral em LDAP) Outros utilitários do gerenciamento de esquema • • As aplicações que foram designadas para trabalhar no Modo de Aplicação do Active Directory não exigem alterações para funcionar com o Active Directory Lightweight Directory Services. criar e excluir qualquer objeto do Active Directory Lightweight Directory Services) Ldp. espera-se que elas criem. os administradores podem gerenciar os diretórios do Active Directory Lightweight Directory Services. como estas: • • • Domínios e Relações de Confiança do Active Directory Usuários e Computadores do Active Directory Locais e Serviços do Active Directory No entanto. em vez de atualizar imediatamente os computadores clientes que executam aplicações em LDAP ou modificar o esquema dos Serviços de Domínio do Active Directory para funcionar com os clientes existentes. A função de servidor do Active Directory Lightweight Directory Services age como um diretório intermediário que usa um esquema existente até que os computadores clientes possam ser atualizados para usar os Serviços de Domínio do Active Directory. os administradores de rede podem instalar o Active Directory Lightweight Directory Services em um ou mais servidores.

Ele funcionará com qualquer aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory a fim de fornecer diretivas persistentes de utilização de informações sensíveis. Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory. Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory emite certificados de contas de direitos. confira o Windows Server 2003 Rights Management Services (RMS) (http://go. Esses novos recursos foram feitos para facilitar a sobrecarga administrativa dos Serviços de Gerenciamento de Direitos do Active Directory e para estender seu uso para foram da sua organização. Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de funções centrais que permitem aos desenvolvedores adicionar proteção às informações nas funcionalidades de aplicações existentes.192 5.com/fwlink/?LinkId=68637). mensagens de e-mail e documentos.” os Serviços de Gerenciamento de Direitos do Active Directory inclui diversos recursos novos que não estavam disponíveis no Microsoft Windows Rights Management Services (RMS).11 Serviços de Gerenciamento de Direitos do Active Directory Para o Windows Server “Longhorn. Para mais informações sobre os recursos que eram disponíveis no RMS. Entre os novos recursos. que inclui sites da intranet. que Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • • . fornece serviços que ativam a criação de soluções de proteção às informações. realiza os seguintes processos: • Licenciamento de informações protegidas por direitos.” As versões anteriores do RMS estão disponíveis em um download separado. usando os Serviços de Gerenciamento de Direitos do Active Directory. uma tecnologia agnóstica de formato e aplicação. que inclui componentes de cliente e servidor.microsoft. Os Serviços de Gerenciamento de Direitos do Active Directory. estão: • Inclusão dos Serviços de Gerenciamento de Direitos do Active Directory no Windows Server “Longhorn” como função de servidor Administração por meio de um MMC Integração com os Serviços Federados do Active Directory Registro automático dos servidores dos Serviços de Gerenciamento de Direitos do Active Directory Habilidade de delegar responsabilidades por meio de novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory Nota Este tópico concentra-se nos recursos específicos dos Serviços de Gerenciamento de Direitos do Active Directory que estão sendo lançados com o Windows Server “Longhorn. O conteúdo pode ser protegido.

Além disso. o serviço de licenciamento dos Serviços de Gerenciamento de Direitos do Active Directory. Os usuários que são entidades confiáveis no sistema dos Serviços de Gerenciamento de Direitos do Active Directory podem criar e gerenciar arquivos aprimorados pela proteção. independente de para onde ele tenha sido movido. Os usuários que receberam um certificado de conta dos direitos podem acessar o conteúdo protegido. Os direitos e condições de utilização são aplicados de forma persistente e automática a qualquer lugar a que o conteúdo possa ir. efetivamente. Quando um usuário tenta usar o conteúdo protegido. Uma vez que a relação de confiança é estabelecida. Os seguintes grupos de profissionais devem analisar esta seção dos Serviços de Gerenciamento de Direitos do Active Directory: • • Planejadores e analistas de TI que avaliam os produtos de gerenciamento de direitos na empresa Profissionais de TI responsáveis por suportar uma infraestrutura existente de RMS Guia do Revisor do Windows Server “Longhorn” Beta 3 . Quando o conteúdo é protegido. emite uma licença única de utilização que lê. uma licença de publicação é criada para ele. usando ferramentas conhecidas de autoria de uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory. os usuários podem atribuir direitos e condições de utilização ao conteúdo que desejam proteger. Quando os usuários tentam acessar um conteúdo protegido. Por exemplo. no cluster dos Serviços de Gerenciamento de Direitos do Active Directory. Essa licença vincula os direitos específicos de utilização a certa parte do conteúdo.193 identificam as entidades confiáveis (como usuários. que incorpora os recursos de tecnologia dos Serviços de Gerenciamento de Direitos do Active Directory. dentro ou fora da organização. usando uma aplicação ativada pelos Serviços de Gerenciamento de Direitos do Active Directory que permite que eles vejam o conteúdo e trabalhem com ele. Criando arquivos e modelos protegidos por direitos. • Adquirindo licenças para descriptografar o conteúdo protegido por direito e aplicar diretivas de utilização. Esses direitos especificam quem pode acessar o conteúdo protegido e o que a pessoa deseja fazer com ele. uma série pré-definida de diretivas de utilização. as aplicações ativadas pelos Serviços de Gerenciamento de Direitos do Active Directory podem usar modelos de utilização centralmente definidos e oficialmente autorizados para ajudar os usuários a aplicar. são enviadas requisições aos Serviços de Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o conteúdo. • Os Serviços de Gerenciamento de Direitos do Active Directory é feito para ajudar a tornar o conteúdo mais seguro. interpreta e aplica os direitos e condições especificados nas licenças de publicação. para que o conteúdo possa ser distribuído. os usuários podem enviar documentos protegidos a outros usuários. grupos e serviços) que possam publicar o conteúdo protegido por direito. sem que o conteúdo perca sua proteção.

194 • Arquitetos de segurança em TI interessados em implantar uma tecnologia de proteção às informações que forneça proteção a todos os tipos de dados Os Serviços de Gerenciamento de Direitos do Active Directory conta como Active Directory Domain Services para verificar se o usuário que tenta usar o conteúdo protegido está autorizado para fazer isso. Novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory. Os Serviços de Gerenciamento de Direitos do Active Directory está incluído no Windows Server “Longhorn”. Por fim. a administração dos Serviços de Gerenciamento de Direitos do Active Directory é feita por um MMC. Três funções administrativas foram criadas: Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory. Em um ambiente de teste. ao contrário da administração do Web site apresentada nas versões anteriores. você pode usar o Banco de Dados Interno do Windows. Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de melhorias quanto às versões anteriores do RMS. Pelo uso de um certificado de registro automático do servidor. Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory e Auditores de Serviços de Gerenciamento de Direitos do Active Directory. todas as informações de configuração e registro são armazenadas no Banco de Dados de Registro dos Serviços de Gerenciamento de Direitos do Active Directory. A capacidade de delegar tarefas dos Serviços de Gerenciamento de Direitos do Active Directory a diferentes administradores para diferentes administradores é necessária em qualquer ambiente corporativo com esta versão dos Serviços de Gerenciamento de Direitos do Active Directory. o processo de registro é feito totalmente em um computador local. o usuário deve ter acesso de Escrita ao container Services nos Serviços de Domínio do Active Directory. Registro automático do cluster dos Serviços de Gerenciamento de Direitos do Active Directory O cluster dos Serviços de Gerenciamento de Direitos do Active Directory pode ser registrado sem uma conexão com o Microsoft Enrollment Service. em um ambiente de produção. Além disso. Essas melhorias incluem o seguinte: • Instalação aprimorada e experiência em administração. Integração com os Serviços Federados do Active Directory Os Serviços de Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active Directory foram integrados para que as empresas possam alavancar relações federadas existentes para colaborar com os parceiros externos. sendo instalado como uma função de servidor. recomenda-se usar um servidor de banco de dados separado. mas. Ao registrar um ponto de conexão do serviço (SCP) dos Serviços de Gerenciamento de Direitos do Active Directory durante a instalação. Guia do Revisor do Windows Server “Longhorn” Beta 3 . • • • Instalação Aprimorada e Experiência em Administração.

por não exigir que você faça o download dos Serviços de Gerenciamento de Direitos do Active Directory separadamente. um pacote separado de instalação precisava de download para depois ser instalado. o Server Manager lista e instala. Oferecer os Serviços de Gerenciamento de Direitos do Active Directory como função de servidor incluída com o Windows Server “Longhorn” torna o processo de instalação menos incômodo. Usar o console dos Serviços de Gerenciamento de Direitos do Active Directory para a administração. O console dos Serviços de Gerenciamento de Direitos do Active Directory emprega os elementos da interface de usuário que são consistentes pelo Windows Server “Longhorn. automaticamente. Registro automático dos Serviços de Gerenciamento de Direitos do Active Directory Server Guia do Revisor do Windows Server “Longhorn” Beta 3 . O console dos Serviços de Gerenciamento de Direitos do Active Directory fornece a você todas as funcionalidades disponíveis. se você não especificar um banco de dados remoto como os Serviços de Gerenciamento de Direitos do Active Directory Configuration e Logging. o console dos Serviços de Gerenciamento de Direitos do Active Directory exibe apenas as partes que o usuário pode acessar. em vez de uma interface de navegador. Além disso. com a versão anterior do RMS. mas com uma interface muito mais fácil de usar.” sendo mais fácil de seguir e de navegar. Durante a instalação. um usuário que está usando a função de administração dos Serviços de Gerenciamento de Direitos do Active Directory Template Administrators está restrito a tarefas que são específicas aos modelos dos Serviços de Gerenciamento de Direitos do Active Directory. os Serviços de Gerenciamento de Direitos do Active Directory instala e configura. Por exemplo. A configuração e fornecimento são encontrados pela instalação da função do servidor. mas. automaticamente. Nas versões anteriores do RMS. durante a instalação da função de servidor dos Serviços de Gerenciamento de Direitos do Active Directory. Além disso. com o inclusão das funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory. antes de instalá-lo. torna as opções mais disponíveis para aprimorar a interface de usuário. Todas as outras tarefas administrativas não estão disponíveis no console dos Serviços de Gerenciamento de Direitos do Active Directory. todos os serviços dos quais os Serviços de Gerenciamento de Direitos do Active Directory é dependente. nesta versão. os Serviços de Gerenciamento de Direitos do Active Directory foi integrado no sistema operacional e instalado como função de servidor pelo Server Manager. o Banco de Dados Interno do Windows para usar com os Serviços de Gerenciamento de Direitos do Active Directory.195 Os Serviços de Gerenciamento de Direitos do Active Directory no Windows Server “Longhorn” traz diversas melhorias para a experiência de instalação e de administração. Nas versões anteriores do RMS. Nos Serviços de Gerenciamento de Direitos do Active Directory. como o Message Queuing e o Web Server (IIS). a administração era feita por uma interface da Web. a interface administrativa foi migrada para um console snap-in do MMC.

uma organização que tenha implantado os Serviços de Gerenciamento de Direitos do Active Directory pode definir uma federação com uma entidade externa. para assinar o SLC do servidor dos Serviços de Gerenciamento de Direitos do Active Directory server. Nos Serviços de Gerenciamento de Direitos do Active Directory com o Windows Server “Longhorn. O suporte da federação com os Serviços de Gerenciamento de Direitos do Active Directory irá permitir que as empresas alavanquem suas relações federadas já estabelecidas para permitir a colaboração com entidades externas. um certificado de registro automático do servidor é incluído com o Windows Server “Longhorn”. Em vez disso. Isso exigia que o servidor do RMS tivesse conectividade com a Internet para fazer o registro online no Serviço de Registro da Microsoft ou fosse capaz de se conectar a outro computador com acesso à Internet que pudesse fazer o registro offline no servidor. o certificado de registro automático. Integração com os Serviços Federados do Active Directory As empresas vêm continuamente sentindo a necessidade de colaborar fora dos seus limites corporativos. o cluster raiz deve ser atualizado antes do cluster de licenciamento apenas. Serviços Federados do Active Directory com os Gerenciamento de Direitos do Active Directory fornece Guia do Revisor do Windows Server “Longhorn” Beta 3 . as opções para colaboração externa protegido eram limitadas ao Microsoft Passport. Isso é exigido para que o cluster de licenciamento apenas receba o SLC recém-registrado do cluster raiz. usando os Serviços Federados do Active Directory. Esse certificado permite que os Serviços de Gerenciamento de Direitos do Active Directory opere em uma rede que seja inteiramente isolada da Internet. Em vez disso.196 O registro do servidor nos Serviços de Gerenciamento de Direitos do Active Directory é o processo de criação e assinatura de um certificado de licenciamento de servidor (SLC) que garante ao servidor dos Serviços de Gerenciamento de Direitos do Active Directory o direito de emitir certificados e licenças. o SLC tinha de ser assinado por um Serviço de Registro da Microsoft por meio de uma conexão à Internet. Nas versões de conteúdo Integrar os Serviços de anteriores do RMS. Por exemplo. que muitos clientes não queriam em seu ambiente. Exigir que o SLC seja assinado pelo Serviço de Registro da Microsoft mostrou uma dependência operacional.” o requisito de o servidor dos Serviços de Gerenciamento de Direitos do Active Directory contatar-se diretamente com o Serviço de Registro da Microsoft foi removido. alavancando sua relação para compartilhar conteúdos protegidos entre duas organizações. que assina o SLC do servidor dos Serviços de Gerenciamento de Direitos do Active Directory. incluído com o Windows Server “Longhorn. O Serviço de Registro da Microsoft não é mais requerido para assinar o SLC.” pode assinar o SLC localmente. sem exigir uma implantação dos Serviços de Gerenciamento de Direitos do Active Directory nos dois locais. procurando a federação como uma solução possível. Nas versões anteriores do RMS. Ao atualizar do RMS com SP1 ou superior.

Como uma melhor prática. você deve usar o cliente dos Serviços de Gerenciamento de Direitos do Active Directory. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para delegar um maior controle sobre o seu ambiente dos Serviços de Gerenciamento de Direitos do Active Directory. a conta de usuário que instala a função dos Serviços de Gerenciamento de Direitos do Active Directory e o grupo de administradores locais são adicionados à função dos Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory. Quando a função dos Serviços de Gerenciamento de Direitos do Active Directory é adicionada. os membros deste grupo devem ser restringidos a apenas contas de usuários que precisam de controle administrativo total sobre os Serviços de Gerenciamento de Direitos do Active Directory. Essas funções são grupos de segurança locais criadas quando os Serviços de Gerenciamento de Direitos do Active Directory está instalado. incluído com o Windows Vista ou o RMS Client com SP2 para tirar proveito da integração dos Serviços Federados do Active Directory com os Serviços de Gerenciamento de Direitos do Active Directory. As novas funções são: Grupo de Serviços de Gerenciamento de Direitos do Active Directory. a conta de serviço configurada durante a instalação é adicionada automaticamente à função administrativa. Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory. Se você está interessado em usar os Serviços Federados do Active Directory com os Serviços de Gerenciamento de Direitos do Active Directory. Cada uma dessas funções possui níveis diferentes de acesso aos Serviços de Gerenciamento de Direitos do Active Directory associado a elas. O Grupo Serviços de Gerenciamento de Direitos do Active Directory mantém a conta do serviço dos Serviços de Gerenciamento de Direitos do Active Directory. Novas funções administrativas dos Serviços de Gerenciamento de Direitos do Active Directory.197 a capacidade de estabelecer identidades federadas entre as organizações e compartilhar conteúdos protegidos por direitos. Durante o fornecimento dos Serviços de Gerenciamento de Direitos do Active Directory. Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory e Auditores Serviços de Gerenciamento de Direitos do Active Directory. Além disso. Os clientes do RMS anteriores ao RMS Client com SP2 não irão suportar a colaboração dos Serviços Federados do Active Directory. deve ter uma relação de confiança federada entre a sua organização e os parceiros externos com quem gostaria de colaborar antes de os Serviços de Gerenciamento de Direitos do Active Directory ser instalado. A função dos Administradores Corporativos de Serviços de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem todas as diretivas e configurações dos Serviços de Gerenciamento de Direitos do Active Directory. foram criadas novas funções administrativas.

listar modelos de diretivas. os Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory podem ler as informações do cluster. sem precisar adicionar contas de usuário a cada servidor dos Serviços de Gerenciamento de Direitos do Active Directory. Os clientes que querem implantar os Serviços de Gerenciamento de Direitos do Active Directory em sua organização não precisam fazer nada para se preparar para essa mudança. modificar um modelo existente e exportar esses modelos. recomenda-se criar grupos de segurança do Active Directory para cada uma dessas funções administrativas e adicioná-los aos grupos de segurança locais. De forma opcional. A função dos Auditores de Serviços de Gerenciamento de Direitos do Active Directory permite que os membros deste grupo gerenciem logs e relatórios. ler as configurações de logging e executar relatórios disponíveis no cluster dos Serviços de Gerenciamento de Direitos do Active Directory. As funções administrativas do novos Serviços de Gerenciamento de Direitos do Active Directory fornecem a oportunidade de delegar tarefas dos Serviços de Gerenciamento de Direitos do Active Directory sem fornecer controle total sobre todo o cluster desses serviços. Especificamente. Essa é uma função de somente leitura que é limitada a ler informações do cluster. Isso dará a você a capacidade de escalar a sua implantação dos Serviços de Gerenciamento de Direitos do Active Directory por meio de diversos servidores. criar novos modelos de diretivas.198 Os Administradores de Modelos de Serviços de Gerenciamento de Direitos do Active Directory permitem que os membros deste grupo gerenciem os modelos de diretiva de direitos. Guia do Revisor do Windows Server “Longhorn” Beta 3 .

212 6...................199 Seção 6: Plataforma de Aplicações e da Web 6....................................03 Windows Media Services ............................0 .......02 Internet Information Services 7.....05 NTFS Transacional........................04 Servidor de Aplicação ................01 Introdução à Plataforma de Aplicações e da Web .........217 Guia do Revisor do Windows Server “Longhorn” Beta 3 ........201 6..............208 6........200 6....

desempenho e capacidade de extensão que estarão disponíveis quando o Windows Server® “Longhorn” for implantando no host e gerenciar aplicações e serviços em execução no servidor e/ou através da Web.200 6. segurança. dinamizada e mais segura Maior desempenho e/ou escalabilidade para serviços e aplicações da Web Controle e visibilidade sobre como e quando os serviços e aplicações utilizam recursos importantes do sistema operacional Requisitos Especiais de Hardware Nenhum Guia do Revisor do Windows Server “Longhorn” Beta 3 .01 Introdução à Plataforma de Aplicações e da Web Este cenário enfoca as melhorias em gerenciamento. Estas são as principais propostas de valor que a plataforma de aplicações e da Web oferece: • • • • • Gerenciamento mais eficiente de serviços e aplicações da Web e do servidor Configuração e implantação mais rápidas de serviços e aplicações da Web em farms de servidores Plataforma Web personalizada. Proposta de Valor do Cenário O Windows Server “Longhorn” fornece uma plataforma mais segura e fácil de ser gerenciada para o desenvolvimento e hospedagem de aplicações e serviços executados no servidor e/ou através da Web.

201

6.02 Internet Information Services 7.0
O Windows Server “Longhorn” fornece uma plataforma unificada para publicação da Web que integra o IIS, o ASP.NET, o Windows® Communication Foundation e o Microsoft® Windows SharePoint® Services. O IIS versão 7.0 é uma importante melhoria para o servidor Web IIS existente e exerce função central na integração de tecnologias de plataforma Web. O IIS 7.0 é construído para ser compatível com os lançamentos existentes. Espera-se que todas as aplicações ASP, ASP.NET 1.1 e ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma mudança de código (usando o suporte de ISAPI compatível). Todas as extensões ISAPI existentes e a maioria dos filtros ISAPI também continuarão funcionando, sem mudanças. Entretanto, os filtros ISAPI que dependem da notificação LER DADOS NÃO PROCESSADOS não são suportados no IIS 7.0. Para todas as Interfaces de Serviço do Active Directory® e scripts WMI existentes, o IIS 7.0 fornecerá paridade de recursos com os lançamentos anteriores, possibilitando que estes sejam executados diretamente do novo armazenamento de configuração. Os principais pilares do lançamento do IIS 7.0 são: • • • • • • • Modelo de extensibilidade flexível para poderosa personalização Poderosas ferramentas de diagnóstico e resolução de problemas Administração delegada Segurança aprimorada e superfície de ataque reduzida por meio de personalização Implantação real de xcopy de aplicações Gerenciamento integrado de aplicações e integridade para serviços WCF Ferramentas de administração aprimoradas

Modelo de Extensibilidade Flexível para Personalização Poderosa
O IIS 7.0 permite aos desenvolvedores estender o IIS para fornecer funcionalidade personalizada de novas e mais poderosas maneiras. A extensibilidade do IIS 7.0 inclui um conjunto totalmente novo de interfaces de programação de aplicação (API) de servidor principal, que permite que os módulos de recursos sejam desenvolvidos tanto em código nativo (C/C++) como em código gerenciado (linguagens como C#, e o Visual Basic® 2005, que usa o .NET Framework). O IIS 7.0 também permite extensibilidade de configuração, scripts, registro de eventos e conjuntos de recursos de
Guia do Revisor do Windows Server “Longhorn” Beta 3

202

ferramentas de administração, proporcionando aos desenvolvedores de software uma plataforma de servidor completa sobre a qual é possível construir extensões de servidor Web.

Ferramentas Poderosas de Diagnóstico e Resolução de Problemas
O IIS 7.0 possibilita aos desenvolvedores e profissionais de TI resolver mais facilmente problemas de erros em aplicações e sites da Web. O IIS 7.0 fornece uma visualização clara das informações de diagnóstico interno sobre o IIS, além de coletar e apresentar eventos de diagnóstico detalhados para ajudar a solucionar problemas com servidores.

Administração Delegada
O IIS 7.0 permite àqueles que hospedam ou administram sites da Web ou serviços WCF delegar controle administrativo aos desenvolvedores ou donos do conteúdo, reduzindo assim o custo de propriedade e os encargos administrativos para o administrador. Novas ferramentas de administração são fornecidas para suportar esses recursos de delegação.

Segurança Aprimorada e Superfície de Ataque Reduzida por meio de Personalização
Você pode controlar quais recursos podem ser instalados e executados em seu servidor Web. O IIS 7.0 é composto por mais de 40 módulos de recursos diferentes. Cada módulo pode ser instalado de forma independente no servidor, para reduzir a superfície de ataque do servidor e diminuir o overhead administrativo onde não for necessário. Para mais informações sobre os diversos módulos de recursos, consulte: Módulos do IIS 7.0 (http://go.microsoft.com/fwlink/?LinkId=68740).

Implantação de Xcopy em Aplicações Verdadeiras
O IIS 7.0 permite armazenar as configurações do IIS em arquivos Web.config, o que torna muito mais fácil usar o comando xcopy para copiar aplicações em múltiplos servidores Web front-end, evitando assim a replicação dispendiosa e sujeita a erros, além de problemas de sincronização manual.

Gerenciamento de Aplicações e Integridade para Serviços WCF
Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF em diversos protocolos, o Windows Server “Longhorn” inclui o Windows Activation Service (WAS), que suporta a ativação conectável de escuta arbitrária de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicações ativadas por mensagem, ativação de processo por demanda, monitoramento de integridade, além de detecção e reciclagem automáticas de falhas. O WAS é baseado no modelo de processo de solicitação do IIS 6.0.

Ferramentas de Administração Aprimoradas
Guia do Revisor do Windows Server “Longhorn” Beta 3

203

O IIS 7.0 apresenta uma nova interface gráfica e uma nova ferramenta de linha de comando para o gerenciamento e administração de servidores Web, sites e aplicações da Web.

Suporte de Gerenciamento Integrado para Serviços da Web
Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF em diversos protocolos, o Windows Server “Longhorn” inclui o Windows Activation Service (WAS), que suporta a ativação conectável de escuta arbitrária de protocolo. O WAS fornece gerenciamento inteligente de recursos para todos os tipos de aplicações ativadas por mensagem, ativação de processo por demanda, monitoramento de integridade, além de detecção e reciclagem automáticas de falhas. O WAS é baseado no modelo de processo de solicitação do IIS.

Firewall do Windows Ativado por Padrão
O Firewall do Windows é ativado por padrão no Windows Server “Longhorn”. Durante a instalação da função do servidor Web (IIS), o processo de instalação adiciona as seguintes regras de entrada do Firewall do Windows, para permitir o tráfego de todos os serviços funcionais selecionados: • Caso sejam instalados serviços funcionais relacionados a HTTP e HTTPS, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para HTTP na porta 80 e para HTTPS na porta 443. Tais regras aparecem na lista do Firewall do Windows como Tráfego HTTP de Entrada dos Serviços da World Wide Web e Tráfego HTTPS de Entrada dos Serviços da World Wide Web. Essas regras são ativadas automaticamente. Caso sejam instalados serviços funcionais relacionados a FTP, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para FTP na porta 21. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Servidor FTP. Essa regra é ativada automaticamente. Caso seja instalado o Serviço de Gerenciamento, uma regra é adicionada ao Firewall do Windows para permitir o tráfego para o serviço na porta 8172. Tal regra aparece na lista do Firewall do Windows como Tráfego de Entrada do Serviço de Gerenciamento da Web. Essa regra deve ser ativada pelo administrador do servidor.

Edições
O IIS 7.0 está disponível em todas as edições do Windows Server. Não há diferença de funcionalidade entre as edições. O IIS 7.0 está disponível em plataformas de 32 bits e 64 bits.

Configuração
O IIS 7.0 apresenta algumas importantes melhorias na maneira como os dados de configuração são armazenados e acessados. Um dos principais objetivos do lançamento do IIS 7.0 é possibilitar a
Guia do Revisor do Windows Server “Longhorn” Beta 3

204

configuração distribuída das configurações do IIS, que permite aos administradores especificar as configurações do IIS nos arquivos armazenados com o código e o conteúdo. A configuração distribuída permite aos administradores especificar as configurações para um site ou aplicação da Web no mesmo diretório do código ou conteúdo. Ao especificar as configurações em um único arquivo, a configuração distribuída permite aos administradores delegar a administração dos recursos selecionados de sites ou aplicações da Web de forma que desenvolvedores de aplicações possam modificar tais recursos. Os administradores também podem bloquear configurações específicas, de modo que elas não possam ser alteradas por mais ninguém. Usando a configuração distribuída, as configurações para um site ou aplicação específica podem ser copiadas de um computador para outro, à medida que a aplicação passa do desenvolvimento para teste e, finalmente, para produção. A configuração distribuída também permite que a configuração de um site ou aplicação seja compartilhada através de um farm de servidor, em que todos os servidores recuperam as configurações e o conteúdo de um servidor de arquivos. A configuração do IIS 7.0 é baseada no armazenamento de configuração existente do .NET Framework, o que possibilita que as configurações do IIS sejam armazenadas em conjunto com a configuração do ASP.NET em arquivos Web.config. Essa mudança fornece um armazenamento de configuração para todas as configurações da plataforma Web, que podem ser acessadas através de um conjunto comum de APIs e armazenadas em um formato homogêneo. O sistema de configuração do IIS 7.0 é também totalmente extensível, de forma que os desenvolvedores podem estender o armazenamento de configuração para incluir uma configuração personalizada com a mesma fidelidade e prioridade da configuração do IIS. O IIS 7.0 armazena a configuração global, ou de todo o computador, no diretório %windir%\system32\inetsrv, em um arquivo chamado ApplicationHost.config. Nesse arquivo há dois principais grupos de seção de configuração: • • system.applicationHost system.WebServer

O grupo de seção system.applicationHost contém a configuração para site, aplicação, diretório virtual e pools de aplicações. O grupo de seção system.WebServer contém a configuração para todas as demais configurações, incluindo os padrões globais da Web. A configuração específica de URL também pode ser armazenada em ApplicationHost.config usando as tags <location>. O IIS 7.0 também pode fazer leitura e escrita de configuração específica de URL dentro dos diretórios de código ou conteúdo de sites e aplicações da Web do servidor nos arquivos Web.config, junto com a configuração do ASP.NET.
Guia do Revisor do Windows Server “Longhorn” Beta 3

205

Como o Windows Server “Longhorn” é uma nova versão, é possível que você leve algum tempo para familiarizar-se como as novas opções de configuração. Os sites de produção e os serviços WCF que atualmente são executados através do IIS 6.0 devem ser cuidadosamente testados antes de passarem para produção no IIS 7.0, embora o IIS 7.0 seja projetado para ser compatível. Se você usa scripts de linha de comando personalizados do IIS 6.0, pode precisar convertê-los para o IIS 7.0.

Ferramentas de Administração
O IIS 7.0 apresenta as seguintes ferramentas de administração, novas e completamente reescritas, para o gerenciamento do IIS: • • • GUI (Interface Gráfica do Usuário), IIS Manager Ferramenta de linha de comando, appcmd.exe Armazenamento de configuração, baseado no armazenamento de configuração do .NET Framework 2.0, que suporta a edição direta de configurações Provedor WMI que pode ler ou alterar configurações no armazenamento de configuração Interface gerenciada, Microsoft.Web.Administration, que expõe as mesmas informações exibidas pelo provedor WMI

• •

Além disso, o snap-in MMC do IIS 6.0 também é fornecido com o Windows Server “Longhorn” para suportar administração remota e administrar sites FTP. É possível instalar as ferramentas de administração e os componentes de servidor Web separadamente. O IIS 7.0 também inclui um novo provedor WMI que amplia o acesso a scripts para todas as configurações do IIS e do ASP.NET. A interface Microsoft.Web.Administration fornece uma interface gerenciada fortemente tipificada para recuperar os mesmos dados exibidos pelos scripts WMI. Os scripts de linha de comando do IIS 6.0 também foram substituídos por uma nova e poderosa ferramenta de linha de comando, a appcmd.exe. As novas ferramentas de administração suportam integralmente a configuração distribuída e a delegação da responsabilidade administrativa. A delegação pode ser muito específica, permitindo ao administrador decidir exatamente quais funções delegar, caso a caso. As novas ferramentas de administração suportam integralmente a nova configuração distribuída do IIS 7.0. Elas suportam o o acesso delegado (não administrativo) para configuração de sites e aplicações individuais. As ferramentas de administração suportam
Guia do Revisor do Windows Server “Longhorn” Beta 3

O novo núcleo Web de processo de trabalho também fornece acesso para todos os eventos de notificação no pipeline de requisição.0 também inclui suporte para o desenvolvimento de extensões básicas do servidor Web usando o .0. O IIS 7. Em versões anteriores do IIS. permitindo aos desenvolvedores construir novos módulos de administração usando o .0 integrou a API IHttpModule existente ao ASP.206 credenciais que não sejam do Administrador e nem do Windows para a autenticação de um site ou aplicação específica e o gerenciamento de configuração somente para aquele escopo. o IIS 7. dependendo da necessidade. Guia do Revisor do Windows Server “Longhorn” Beta 3 .NET Framework. permitindo que os recursos existentes do ASP.0 possa usar a nova API do Win32® e os módulos de recursos em separado. remover ou mesmo substituir os módulos de recursos do IIS. sem requerer DCOM ou que outras portas administrativas sejam abertas no firewall. o núcleo do IIS 7.0. Além disso. chamados módulos. Núcleo do Servidor Web O Núcleo do Servidor Web do IIS 7.NET (como autenticação baseada em formulários ou autorização de URL) sejam usados para todos os tipos de conteúdo da Web. Por exemplo.NET. pela criação de módulos de código gerenciados. maior extensibilidade e melhoria do suporte para estender a funcionalidade básica do IIS 7. e não havia uma maneira fácil de estender ou substituir tal funcionalidade. para se conectarem facilmente a novos módulos de interface gráfica de administração que trabalham de forma tão transparente como aqueles que fazem parte do IIS 7. O núcleo também inclui uma nova API do Win32® para construir os módulos básicos do servidor. embora tais filtros e extensões sejam ainda suportados no IIS 7. tanto o código nativo como o código gerenciado são processados por meio de um único pipeline de requisições.0 apresenta um mecanismo de servidor Web onde os componentes. toda a funcionalidade era construída por padrão.0. permitindo administração contínua local. Tais mudanças permitem uma redução significativa na superfície de ataque.0.NET Framework. é possível adicionar. remota e mesmo através da Internet. O IIS 7. A nova interface gráfica do IIS Manager suporta administração remota de HTTP. Como todos os recursos básicos do servidor do IIS foram desenvolvidos de forma que o IIS 7. Entretanto.0 é dividido em mais de 40 módulos de recursos distintos.0 apresenta algumas mudanças fundamentais em relação ao IIS 6. para todas as solicitações. permitindo que os módulos de código gerenciados acessem todos os eventos no pipeline de requisição. As ferramentas de administração são totalmente extensíveis. podem ser adicionados ou removidos. Os módulos básicos do servidor são novos e substitutos mais poderosos dos filtros e extensões ISAPI de Servidor da Internet. O nível de integração é sem precedentes.

domínios de aplicações e ainda sobre solicitações que executadas. processos de trabalho. Agora é possível filtrar condições de erro difíceis de reproduzir e interromper automaticamente o erro com um registro de rastreamento detalhado.0 no site da Microsoft:(http://go. para ajudar na resolução de todos os tipos de erros e quando um sistema pára de responder. O IIS 7.microsoft. através do pipeline de requisição de processo do IIS. qualquer que seja o ambiente de gerenciamento utilizado.microsoft. com base no tempo decorrido ou nos códigos de resposta de erros. em tempo real. O IIS 7. consulte o SDK do Internet Information Services 7.0 pode ser configurado para capturar automaticamente todos os registros de rastreamento para uma determinada solicitação. Tempo de sobre o sites. Para mais informações sobre APIs de extensibilidade do IIS. em qualquer código de nível de página existente. estado de pools de aplicações.com/fwlink/?LinkId=66138). As mudanças no diagnóstico e na resolução de problemas no IIS 7. permitindo aos desenvolvedores rastrear uma solicitação à medida que ela abre caminho para o IIS. Guia do Revisor do Windows Server “Longhorn” Beta 3 . que proporciona informações. Para permitir a coleta desses eventos de rastreamento.207 Diagnóstico O IIS 7.0 permitem que o desenvolvedor ou o administrador visualize.exe. Tais eventos de rastreamento detalhados permitem que os desenvolvedores tenham conhecimento não apenas do caminho da solicitação e de quaisquer informações de erro que surjam em decorrência de uma solicitação. estão sendo Tais informações são exibidas por meio de uma API COM nativa. como também do tempo decorrido e de outras informações depuradas. e retornar para a resposta. A própria API é agrupada e exibida através do novo provedor WMI do IIS.0 inclui uma nova API de Controle e Estado do Execução. Isso permite que os usuários verifiquem o status do servidor Web de forma mais rápida e fácil. e do IIS Manager. o appcmd. as solicitações que estão sendo executadas no servidor. Recursos Adicionais Para mais informações sobre o IIS.0 inclui duas principais melhorias que ajudam no diagnóstico e na resolução de problemas de sites e aplicações da Web.com/fwlink/?LinkId=52351). o IIS 7. consulte o Internet Information Services no site da Microsoft: (http://go. em tempo real.0 também inclui eventos de rastreamento detalhados durante o caminho de solicitação e resposta.

O Windows Media Services pode ser usado para gerenciar um ou mais servidores Windows Media que fornecem conteúdo de mídia digital para os seguintes tipos de clientes: • • • Computadores ou dispositivos que reproduzem o conteúdo usando um player.03 Windows Media Services O Microsoft Windows Media® Services 9 Series é uma plataforma de nível industrial para transmitir conteúdo de mídia digital através de redes.microsoft. alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn”. educacional ou governo que gerenciam recursos de rede e fornecem comunicações valiosas para transmissões corporativas. além de aprendizado. marketing e vendas on-line Empresas com tecnologia sem fio que fornecem serviços de entretenimento de banda larga sem fio. televisão.seja em casa ou no escritório Empresas nas áreas comercial. armazenem em cache ou redistribuam o conteúdo Programas personalizados que foram desenvolvidos usando os Kits de Desenvolvimento de Software do Windows Media (http://go. sem excesso de armazenamento em buffer ou congestionamento da rede Profissionais de IPTV que fornecem uma experiência de IPTV de alta qualidade em LANs • • • • • Como nos lançamentos anteriores.com/fwlink/?LinkId=82886) O Windows Media Services pode ser deseja fornecer conteúdo de mídia de redes (tanto a Internet quanto tipos de organização consideram o especialmente útil: • usado por qualquer pessoa que digital para clientes através uma intranet). ao vivo ou por demanda. cabo ou satélite Distribuidoras de filmes e música que fornecem conteúdo de áudio e vídeo de maneira segura. que inclui o conteúdo do Windows Media Audio (WMA) e do Windows Media Video (WMV). Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo. como o Windows Media Player Outros servidores Windows Media que atuem como proxy.208 6. consulte Guia do Revisor do Windows Server “Longhorn” Beta 3 . o fornecimento de conteúdo para clientes como o fluxo contínuo multicast). usando os escalonáveis e confiáveis servidores Windows Media Difusoras da Internet que fornecem conteúdo para rádio. Os seguintes Windows Media Services Empresas de hospedagem que fornecem uma experiência de fluxo contínuo rápido aos usuários .

Gerenciamento de Cache/Proxy O Administrador do Windows Media Services contém um novo plug-in de Gerenciamento de Cache/Proxy que controla a capacidade do servidor Windows Media de executar funções de cache e proxy. consulte: Instalação e Configuração da Função Serviços de Mídia de Fluxo Contínuo (http://go. Para mais informações sobre como adicionar a função Serviços de Mídia de Fluxo Contínuo ao Núcleo do Servidor do Windows Server “Longhorn”.com/fwlink/?LinkId=82888).microsoft. reduz a latência imposta pela rede e diminui a carga sobre o servidor de origem. recomendamos que você se familiarize com os conceitos de fluxo contínuo. Para mais informações sobre a opção de instalação do Núcleo do Servidor do Windows Server “Longhorn”. Para mais informações sobre como instalar a função Serviços de Mídia de Fluxo Contínuo no Windows Server “Longhorn”. Nota Você pode adicionar a função Serviços de Mídia de Fluxo Contínuo para a instalação do Núcleo do Servidor do Windows Server “Longhorn”. a função Serviços de Mídia de Fluxo Contínuo. deve-se fazer o download do Windows Media Services 9 Series. Se você ainda não usou o Windows Media Services.microsoft. Após a instalação da edição correta do Windows Server “Longhorn”. Um bom lugar para começar é: Usando o Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82888).209 a Comparação de Recursos do Windows Media Services (http://go. consulte: Instalação e Configuração da Função Serviços de Mídia de Fluxo Contínuo (http://go. O plug-in Cache Proxy do WMS pode ser usado para configurar um servidor Windows Media como um servidor de cache/proxy que mantém a largura de banda. que inclui o serviço funcional do Windows Media Services (Administrador do Windows Media Services) e serviços opcionais (Administrador do Windows Media Services para a Web e Agente de Log de Difusão Seletiva e Anúncio). Antes de usar o Server Manager para instalar a função Serviços de Mídia de Fluxo Contínuo. Esses três fatores reduzem os custos operacionais e criam uma melhor experiência de visualização para seus clientes. Clientes suportados (Windows Media Player 9 Series ou versões mais recentes) que se conectam a listas de reprodução do lado servidor enviadas para pontos de publicação por demanda num servidor Windows Media podem obter Guia do Revisor do Windows Server “Longhorn” Beta 3 .com/fwlink/?LinkId=82887) para determinar qual edição do Windows Server “Longhorn” deve ser instalada.microsoft. consulte o Núcleo do Servidor neste documento. Atributos das Listas de Reprodução Os atributos das listas de reprodução do lado servidor noSkip e noRecede são agora suportados. não está disponível para instalação no Server Manager.com/fwlink/?LinkId=82889).

Quando os clientes que suportam o protocolo RTSP (Real Time Streaming Protocol) se conectam a um servidor Windows Media usando uma URL com prefixo mms:// (por exemplo. Configuração de Sistema HTTP do Windows Media Services Se você usa o Windows Media Services e outro serviço da Web.wmv). mms://server_name/clip_name. Isso possibilita que cada serviço tenha seu próprio endereço IP e. Entretanto. Esse conflito pode ser evitado ao atribuir uma porta diferente para cada serviço. (Esses controles estão agora ativados no cliente. o servidor tentará usar a sobreposição de protocolos para transferir o conteúdo para o cliente usando RTSP. pode-se criar múltiplos Guia do Revisor do Windows Server “Longhorn” Beta 3 . busca ou salto rápidos em toda a mídia. consulte: Informações sobre Firewall para o Windows Media Services 9 Series (http://go. Para mais informações. A maneira mais simples para essa execução é instalar múltiplos adaptadores de rede no servidor. caso essa solução não seja possível. ao mesmo tempo. outros players que não suportam o protocolo RTSP ou players em ambientes que não sejam de RTSP se conectam ao servidor usando uma URL com prefixo mms://. ambos os serviços tentarão se conectar à porta 80 para o fluxo contínuo de HTTP. Os clientes que suportam RTSP são o Windows Media Player 9 Series (ou versões mais recentes do Windows Media Player) ou outros players que usam o Controle ActiveX® do Windows Media Player 9 Series. compartilhe a porta 80 para o fluxo contínuo de HTTP. o prefixo do MMS (mms://) ainda é suportado.) Fluxo Contínuo de MMS O protocolo MMS não é suportado para fluxo contínuo e o plug-in do Protocolo de Controle de Servidor MMS foi removido do Administrador do Windows Media Services. Quando versões anteriores do Windows Media Player. consulte: Informações sobre Firewall para o Windows Media Services 9 Series (http://go. Como alternativa.210 avanço. a porta correspondente também deve ser aberta no firewall da rede. Para mais informações. como o Microsoft IIS nesse servidor. Para garantir que seu conteúdo esteja sempre disponível para clientes que se conectam ao seu servidor usando uma URL com prefixo mms://.com/fwlink/?LinkId=82890). para fornecer uma ótima experiência de fluxo contínuo. ative o plug-in do Protocolo de Controle de Servidor HTTP do WMS no Administrador do Windows Media Services e abra portas em seu firewall para todos os protocolos de conexão que possam ser usados durante a sobreposição de protocolos. retrocesso. Caso um serviço seja atribuído para outra porta que não a 80. Esses clientes também podem avançar para a mídia anterior ou seguinte na lista de reprodução. Observe que embora o protocolo MMS não seja suportado. pode-se atribuir endereços IP adicionais para o servidor.microsoft.microsoft. o servidor tentará usar a sobreposição de protocolos para transferir o conteúdo para o cliente usando HTTP.com/fwlink/?LinkId=82890).

deve-se configurar o Windows Media Services e o serviço da Web para se conectarem a diferentes combinações de endereço IP/porta 80. Agora.0 (ou versões mais recentes) e é ativado por padrão.exe) como uma exceção no Firewall do Windows para abrir as portas de entrada padrão para fluxo contínuo unicast. Quando a função Serviços de Mídia de Fluxo Contínuo é instalada no Windows Server “Longhorn”. em vez de usar o Tipo de Serviço (ToS) para fornecer fluxo contínuo unicast. Em comparação com a versão anterior. Configuração do Firewall Não é mais necessário adicionar o programa Windows Media Services (Wmserver.com/fwlink/?LinkId=82892).microsoft.211 endereços IP em um único adaptador de rede e atribuir-lhes endereços distintos da porta 80.microsoft. o programa Windows Media Services é automaticamente adicionado como uma exceção no Firewall do Windows. Em seguida. Utilitário de Teste de Fluxo Contínuo O Server Manager deve ser usado para instalar o recurso Experiência Desktop antes que o Utilitário de Teste de Fluxo Contínuo possa ser usado no Administrador do Windows Media Services. o Windows Media Services não requer nenhuma melhoria especial na rede ou na infra-estrutura de Guia do Revisor do Windows Server “Longhorn” Beta 3 . Nas versões anteriores do Windows Media Services. o Início Rápido Avançado era desativado por padrão. a lista de inclusão de IP na pilha de protocolos HTTP (HTTP. consulte: Qualidade de Serviço (http://go.com/fwlink/?LinkId=82891). Início Rápido Avançado O Início Rápido Avançado minimiza a latência de inicialização no Windows Media Player 10 (ou versões mais recentes) ou no Windows CE versão 5. consulte os comandos Netsh em: Novos Recursos de Rede no Windows Server “Longhorn” e no Windows Vista (http://go. A ferramenta de Configuração de Sistema HTTP do Windows Media Services. Para mais informações. Para mais informações.sys) deve ser configurada usando os aprimorados comandos netsh. não está disponível nesta versão. usada em versões anteriores do Windows Media Services para atribuir endereços IP adicionais para os serviços. Qualidade de Serviço O Windows Media Services foi atualizado para usar as diretivas de Qualidade de Serviço (QoS) no Windows Server “Longhorn” para gerenciar o tráfego de saída de rede. Implantação As aplicações projetadas para trabalhar com o Windows Media Services nos sistemas operacionais Windows anteriores não requerem mudanças para trabalhar com o Windows Media Services no Windows Server “Longhorn”.

ativa os serviços da Web e integra as novas aplicações às aplicações e infra-estrutura existentes O Assistente para Adicionar Funções. Message Queuing.NET Framework.com/fwlink/?LinkId=82887) para determinar qual edição do Windows Server “Longhorn” deve ser instalada.0 (anteriormente WinFX®). O Servidor de Aplicação fornece os seguintes benefícios: • Um tempo de execução básico que suporta implantação e gerenciamento eficazes das aplicações de negócios de alto desempenho O ambiente de desenvolvimento do . consulte a Comparação de Recursos do Windows Media Services (http://go.microsoft. Se a implantação do servidor Windows Media requerer um recurso específico (por exemplo.NET Framework versão 3. os Requisitos de Sistema do Windows Media Services (http://go.com) para o Windows Server “Longhorn”. 6.04 Servidor de Aplicação O Servidor de Aplicação é uma nova função de servidor do Windows Server “Longhorn“.com/fwlink/?LinkId=82894) para obter os requisitos e as recomendações para o cenário de fluxo contínuo. Alguns recursos do Windows Media Services não estão disponíveis em determinadas edições do Windows Server “Longhorn“. fácil de usar.microsoft. que fornece um modelo de programação simplificado e um modelo de execução de alto desempenho para aplicações baseadas em servidor. o fornecimento de conteúdo para clientes como o fluxo contínuo multicast). recomendamos a leitura do Guia de Implantação do Windows Media Services (http://go. Caso o Windows Media Services esteja sendo instalado no Windows Server “Longhorn” pela primeira vez. O Servidor de Aplicação fornece um ambiente integrado para implantação e execução de aplicações de negócios personalizadas construídas com o Microsoft . Depois da instalação do Windows Media Services. O mesmo ambiente integrado do Servidor de Aplicação pode ser usado para implantar e executar as aplicações de legado de sua organização. serviços da Web e transações distribuídas.microsoft. que ajuda a escolher os serviços funcionais e os recursos necessários para executar as aplicações Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . é preciso fazer o download e instalar o Windows Media Services a partir do site da Microsoft (http://www. como as aplicações construídas para usar COM+.microsoft. O Windows Media Services pode ser implantado em diversos cenários.212 segurança de sua empresa. Nota Em primeiro lugar.com/fwlink/?LinkId=82893) devem ser analisados previamente.

Núcleo do Servidor de Aplicação O Núcleo do Servidor de Aplicação é o grupo de tecnologias instaladas por padrão quando a função Servidor de Aplicação é instalada. implantação de código simplificada e suporte para a interoperabilidade de múltiplas linguagens.NET Framework 3. serviços da Web e transações distribuídas Servidores múltiplos que hospedam múltiplos bancos de dados em uma rede • O Servidor de Aplicação é uma nova função de servidor instalada através do Assistente para Adicionar Funções no Server Manager.NET Framework 2. Para mais informações sobre o .0 contém o CLR.NET Framework Developer Center (http://go.NET Framework 3. o que segue: • • • • • Computadores clientes conectados por domínio e seus usuários Computadores conectados a uma intranet ou à Internet num ambiente de serviços da Web Servidores que interoperam em plataformas e sistemas operacionais distintos Servidores que hospedam aplicações construídas com o .NET Framework 2.213 • Instalação automática de todos os recursos necessários para um determinado serviço funcional Um ambiente do Servidor de Aplicação pode incluir. consulte: .NET.0 Servidores que hospedam aplicações construídas para usar COM+.microsoft.0 aos recursos básicos do .NET Framework 3.0. O .NET Framework 3. Message Queuing. Os principais componentes do Núcleo do Servidor de Aplicação são instalados como um conjunto de bibliotecas e montagens do . Os administradores que implantam aplicações LOB construídas com o .0. o Núcleo do Servidor de Aplicação é o . seja qual for a função de servidor instalada.com/fwlink/?LinkId=81263). Os principais componentes do Núcleo do Servidor de Aplicação são: Guia do Revisor do Windows Server “Longhorn” Beta 3 .0.NET Framework 2.NET Framework 3. Basicamente. O Windows Server “Longhorn” inclui o . O Núcleo do Servidor de Aplicação acrescenta os recursos do . dentre outros.0. O Assistente para Adicionar Funções orienta o administrador através do processo de seleção dos serviços funcionais ou do suporte dos recursos necessários para executar as aplicações. que fornece um ambiente de execução de código que promove a execução segura do código.0 descobrirão que a instalação de um ambiente de hospedagem para aplicações se torna mais simples com essa função de servidor.

ou aplicações baseadas em servidor. para fluxos de trabalho mais complexos ou que suportam revisões mais simples. Embora seja possível descrever um fluxo de trabalho em linguagens de programação tradicionais como uma série de etapas e condições. consulte: O que é o Windows Communication Foundation? (http://go. A descrição do fluxo de trabalho é com freqüência chamada de modelo. Os desenvolvedores podem usar o WCF para construir aplicações transacionadas mais seguras e confiáveis. Um fluxo de trabalho é um conjunto de atividades que descrevem um processo no mundo real. O fluxo de trabalho é comumente descrito e visualizado graficamente – como um fluxograma. O WF fornece suporte para fluxo de trabalho humano e de sistemas em uma variedade de cenários. inclusive aplicações baseadas em cliente. em geral é muito mais apropriado projetar graficamente o fluxo de trabalho e armazenar o projeto como um modelo. O WPF é usado principalmente em aplicações baseadas em cliente. ele pode ser executado em qualquer processo do Windows. O WF é o mecanismo e modelo de programação para construir rapidamente aplicações ativadas por fluxo de trabalho no Windows Server “Longhorn”. Essas aplicações também são conhecidas como aplicações orientadas para serviços.com/fwlink/?LinkId=81260). Os trabalhos passam pelo modelo de fluxo de trabalho do início ao fim. sites do ASP. o WF também possibilita a execução dos modelos de fluxo de trabalho. páginas e caixas de diálogo como apresentadas ao usuário em resposta à interação do usuário com a interface gráfica Fluxo de trabalho centralizado em documentos Guia do Revisor do Windows Server “Longhorn” Beta 3 • . Após a compilação do modelo de fluxo de trabalho. O WCF é o modelo de programação unificado da Microsoft para construir aplicações que usam os serviços da Web para se comunicarem entre si. Os trabalhos ou atividades dentro do modelo podem ser executados por pessoas.microsoft.214 • • • Windows Communication Foundation (WCF) Windows Workflow Foundation (WF) Windows Presentation Foundation (WPF) Os componentes mais importantes para as aplicações baseadas em servidor são o WCF e o WF.NET e serviços da Web do WCF. sistemas ou computadores. Além de permitir a modelagem gráfica dos fluxos de trabalho. incluindo os seguintes: • • Fluxo de trabalho em aplicações LOB Fluxo seqüencial de telas. que se integram às plataformas e interoperam com os sistemas e aplicações existentes. Para mais informações sobre o WCF. como aplicações de console e aplicações de formulários gráficos do Windows. incluindo o Windows Services.

crie um inventário das aplicações que serão executadas nesse servidor.215 • • • • Fluxo de trabalho humano Fluxo de trabalho composto para aplicações orientadas para serviços Fluxo de trabalho direcionado às regras de negócios Fluxo de trabalho para gerenciamento de sistemas O Servidor de Aplicação é essencialmente novo para o Windows Server “Longhorn”. o servidor Web construído no Windows Server “Longhorn“. trabalhe com seus desenvolvedores para identificar as tecnologias e configurações suportadas que devem estar presentes no servidor para executar as aplicações. de forma que você possa selecionar e configurar adequadamente os serviços durante a instalação da função de servidor. O IIS fornece os seguintes benefícios: • • • Ativa o Servidor de Aplicação para hospedar sites ou serviços internos e externos com conteúdo fixo ou dinâmico. A nova função Servidor de Aplicação disponível no Windows Server “Longhorn” não é uma atualização das tecnologias de servidor de aplicações que possam ter sido instaladas anteriormente como parte do Windows Server 2003 ou de sistemas operacionais anteriores. Fornece suporte para a execução de serviços da Web construídos com o Microsoft ASP. Fornece suporte para a execução de aplicações ASP. Aplicações mais recentes podem usar o WCF para suportar chamadas remotas. usando o Assistente para Adicionar Funções no Server Manager. COM+ Network Access Essa opção adiciona o COM+ Network Access para chamada remota de aplicações construídas ou hospedadas em COM+ e componentes do Enterprise Services.0. Se você for um administrador. Caso um servidor do Windows Server 2003 ou de um sistema operacional anterior seja atualizado para o Windows Server “Longhorn”. os administradores devem estar cientes de que não há caminho de migração do Windows Server 2003 ou de sistemas operacionais anteriores para o Application Server. Como parte da preparação para instalação da nova função Servidor de Aplicação.NET acessadas de um navegador da Web. a função Application Server também deverá ser reinstalada.NET ou o WCF. O COM+ Network Access é um dos recursos de chamada remota do Windows Server “Longhorn”. Em seguida. organize essas tecnologias para os serviços funcionais descritos nas próximas seções. Servidor Web Essa opção instala o IIS versão 7. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Como a funcionalidade é completamente nova.

Quando esse serviço funcional é instalado como parte da função Servidor de Aplicação. múltiplas aplicações WCF podem compartilhar uma única porta para receber mensagens da rede. O WAS pode iniciar e finalizar aplicações de forma dinâmica. TCP e os chamados protocolos de canalização.216 Serviço de Ativação de Processos no Windows Essa opção adiciona o Serviço de Ativação de Processos no Windows (WAS . baseado em mensagens recebidas da rede através de HTTP. Esse serviço funcional possibilita que múltiplas aplicações HTTP usem uma única porta TCP. que ajudam a assegurar transações completas e bem-sucedidas em múltiplos bancos de dados hospedados em diversos computadores em uma rede. Transações Distribuídas Essa opção ativa as transações distribuídas. O serviço funcional trabalha aceitando conexões que usam o protocolo Net. Isso simplifica o gerenciamento dos servidores de aplicações quando muitas ocorrências de uma mesma aplicação estão sendo executadas.Tcp. O serviço então transfere automaticamente as mensagens de entrada para os diversos serviços WCF com base no conteúdo das mensagens. Message Queuing. Isso pode ajudar a limitar a área de superfície potencialmente aberta para ataques. Guia do Revisor do Windows Server “Longhorn” Beta 3 . já que o administrador abre apenas uma porta nos firewalls.Windows Process Activation Service). Compartilhamento de Porta TCP Essa opção adiciona o Compartilhamento de Porta TCP (TCP Port Sharing).

Isso fornece suporte para todas as propriedades ACID (atômica. as aplicações que usam o modelo de transação COM+ podem simplesmente especificar uma propriedade de objeto adicional que indica a intenção de acesso do arquivo transacional. Embora a transação seja ativa. isolada e durável) das transações. O NTFS Transacional fornece a seguinte funcionalidade: • NTFS Transacional integrado a COM+. Guia do Revisor do Windows Server “Longhorn” Beta 3 • . a tecnologia transacional do kernel no Windows Server “Longhorn”. Mesmo que ocorra falha no sistema. A linha de comando foi extendida com o comando Transact para permitir scripts simples de linha de comando usando transações. Uma transação que transpõe múltiplos volumes é coordenada pelo Kernel Transaction Manager (KTM). você pode agrupar conjuntos de arquivos e operações de registro com uma transação. As aplicações de legado que usam o modelo COM+ que não especificarem essa propriedade adicional acessarão os arquivos sem usar o NTFS Transacional. Cada volume NTFS é um gerenciador de recursos. um sistema pode ser reinicializado com alguns dos volumes “perdidos”. Compatível com a arquitetura do Windows NT. as mudanças não são vísiveis para leitura fora da transação. Portanto.05 NTFS Transacional O sistema de arquivos NTFS Transacional e o Registro Transacional. consistente.217 6. como o SQL Server™ ou MSMQ. As transações usadas com o sistema de arquivos ou registro podem ser coordenadas com qualquer outro recurso transacional. Por exemplo. de forma que todos obtenham sucesso ou nenhum obtenha sucesso. foram aprimorados para coordenar seu trabalho por meio de transações. esse recurso fornece suporte para recuperação independente de volume do Windows NT. O NTFS Transacional permite que as operações de arquivos em um volume de sistema de arquivos NTFS sejam executadas de forma transacional. sem afetar a recuperação de outros volumes. O NTFS Transacional destina-se aos profissionais de TI que precisam de uma maneira de garantir que determinadas operações de arquivos sejam finalizadas sem interrupção ou possíveis erros. O COM+ é estendido para usar as APIs do Windows NT para ligar automaticamente o equivalente da transação COM+ do Windows NT® ao thread em que um objeto é programado. o trabalho iniciado é gravado no disco e o trabalho transacional incompleto é restabelecido. Por exemplo. Como as transações são necessárias para preservar a integridade dos dados e lidar com condições de erro de forma confiável. o NTFS Transacional pode ser usado para desenvolver soluções poderosas para sistemas executados no Windows.

Espera-se que os identificadores transacionais sejam usados apenas enquanto a transação estiver ativa. Um arquivo pode ser visualizado como uma unidade de armazenamento. Não se espera que transações múltiplas modifiquem partes do arquivo ao mesmo tempo – isso não é suportado. Atualizações parciais e sobregravações de arquivo completas são suportadas. O formato comum de log também constrói um meio comum de registro de transações do Windows para ser usado por outros armazenamentos. O único trabalho adicional necessário é que a aplicação esvazie e feche uma seção aberta antes de confirmar uma transação. O sistema marca os identificadores como inativos depois que a transação é finalizada. já que permite transferências transacionais de arquivos na rede. Esse é um recurso poderoso. O acesso a um arquivo remoto por meio do serviço SMB e do WebDAV (Web-Based Distributed Authoring and Versioning) é suportado de forma transparente. • • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . A própria transação é distribuída e coordenada para confirmação ou interrupção. Cada volume possui seu próprio log.218 • Um identificador de arquivos pode ser fechado antes da confirmação ou interrupção da transação. Isso permite que as aplicações sejam distribuídas para múltiplos nós com um alto grau de flexibilidade. Falhas nesse procedimento resultarão em mudanças parciais na transação. imitando uma forma de mensageria transacional. Em geral. O formato comum de log é usado para fornecer recuperação e interrupções. O contexto da transação é transmitido automaticamente pelo sistema ao nó remoto. A E/S mapeada na memória trabalha de forma transparente e compatível com a E/S regular de arquivos. a confirmação ou interrupção é executada por um thread totalmente diferente daquele que executou o trabalho de arquivo. A tentativa de modificar o arquivo é fracassada e o sistema apresenta uma mensagem de erro.

.......242 7.......03 Server Manager ......................................248 7......224 7..............................222 7........08 Monitor de Confiabilidade e Desempenho do Windows ....02 Tarefas de Configuração Inicial .............................................................251 7...220 7..........05 Núcleo do Servidor ........................................07 Backup do Windows Server...................219 Seção 7: Gerenciamento de Servidores 7...254 Guia do Revisor do Windows Server “Longhorn” Beta 3 ......09 Serviços de Implantação do Windows ......01 Introdução ao Gerenciamento de Servidores ............240 7..........04 Windows PowerShell .

Proposta de Valores do Cenário As principais propostas de valores que o gerenciamento de servidores oferece são: • • • Realizar configuração inicial de um servidor local através de uma única interface Adicionar e remover funções e recursos de servidor de modo mais seguro e confiável Examinar o estado de função de servidor.220 7.01 Introdução ao Gerenciamento de Servidores Este cenário se concentra em ferramentas. para melhorar a experiência de gerenciamento de servidores únicos e múltiplos dentro de uma empresa. Para a administração local de um servidor único. que consiste de um novo shell de linha de comando e linguagem de script projetado especificamente para automatizar as tarefas de administração para funções de servidor. expondo tarefas de gerenciamento importantes com base na função do servidor. serviços e recursos das funções. oferecendo uma memória de servidor e uma superfície de ataque menor. monitoramento e operações de servidor constantes. para reduzir as necessidades de gerenciamento e serviços. O Núcleo do Servidor fornece uma opção de instalação mínima para certas funções de servidor. Em empresas maiores. e fornecendo acesso a ferramentas avançadas de administração. remover e configurar funções de servidor. WinRM é um novo protocolo de acesso remoto baseado nos Serviços da Web de padrão DMTF para Gerenciamento. tecnologias e opções de instalação disponíveis para uso no Windows Server® “Longhorn”. Ele também atua como um portal para gerenciamento. o gerenciamento de servidores múltiplos pode ser automatizado com o Windows PowerShell™. realizar tarefas de gerenciamento importantes e acessar ferramentas avançadas de gerenciamento a partir de uma única ferramenta de gerenciamento local Automatizar a administração de servidores múltiplos através de uma linguagem de script orientada a tarefas Guia do Revisor do Windows Server “Longhorn” Beta 3 • . tais como IIS e Active Directory®. Os profissionais de TI também podem usar a ferramenta Windows® Remote Shell (WinRS) para gerenciar os servidores remotamente ou para obter dados de gerenciamento através dos objetos Windows Remote Management (WinRM) e Windows Management Instrumentation (WMI) nos servidores remotos. o Server Manager é um Console de Gerenciamento integrado da Microsoft® que oferece aos profissionais de TI uma experiência integrada e contínua para adicionar.

Registro e arquivos de configuração XML Reduzir as necessidades de gerenciamento e serviços. melhorando. tais como WMI. Certificados. a confiabilidade e a segurança • • Requisitos Especiais de Hardware Nenhum Guia do Revisor do Windows Server “Longhorn” Beta 3 . ADSI.221 • Acelerar a autoria. COM. os testes e a depuração de scripts e escrever as ferramentas do cliente em um novo ambiente de shell de comando Realizar o gerenciamento de servidores locais e remotos através do acesso a múltiplos armazenamentos de gerenciamento de dados. ao mesmo tempo.

O feedback indica que essa prática tornava lento o processo de implantação do sistema operacional e servidor. como a ativação do produto pode ser feita dentro de um período de tolerância (normalmente 30 dias). foi removido das Tarefas de Configuração Inicial. Antes do Windows Server “Longhorn”. Além disso. o comando Ativar Seu Servidor. e não é essencial para a configuração inicial do servidor. e ativar o Windows Update e o Firewall do Windows. Ele inclui tarefas como configurar a senha do Administrador. vincular o servidor a um domínio existente.222 7. a instalação do sistema operacional de classe de servidor do Windows pausava para que os administradores fornecessem informações sobre sua conta. alterar o nome da conta do Administrador para melhorar a segurança de seu servidor. presente na janela Gerenciar Seu Servidor no Windows Server 2003. pois a conclusão da instalação do sistema operacional seria adiada até que os administradores respondessem aos avisos e fornecessem as informações. A janela Tarefas de Configuração Inicial ajuda o administrador a configurar um servidor e reduzir o tempo entre a instalação do sistema operacional e a implantação do servidor em uma empresa. e ajuda o administrador a terminar a instalação e a configuração inicial de um novo servidor. ativar a Área de trabalho Remota para o servidor. o que significa menos interrupções durante a instalação.02 Tarefas de Configuração Inicial A janela de Tarefas de Configuração Inicial é um novo recurso do Windows Server “Longhorn” que abre automaticamente depois que o processo de instalação do sistema operacional é completado. As Tarefas de Configuração Inicial permitem aos administradores adiar essas tarefas até que a instalação esteja completa. Guia do Revisor do Windows Server “Longhorn” Beta 3 . domínio e rede. Os comandos Adicionar Funções e Adicionar Recursos na janela Tarefas de Configuração Inicial permite que você comece a adicionar funções e recursos ao seu servidor imediatamente.

Nenhuma função é instalada por padrão. Membros do domínio Windows Update Conexões de rede Firewall do Windows Funções instaladas Guia do Revisor do Windows Server “Longhorn” Beta 3 . O nome do computador é atribuído de modo randômico durante a instalação. O Firewall do Windows é ligado por padrão. e configurações de rede. O computador não é vinculado a um domínio por padrão.223 Ela permite que o administrador especifique. informações sobre o domínio. é vinculado a um grupo de trabalho chamado WORKGROUP. O Windows Update é desligado por padrão. Todas as conexões de rede são programadas para obter endereços de IP automaticamente usando o DHCP. A janela Tarefas de Configuração Inicial também permite que você participe dos seguintes programas que fornecem um feedback anônimo à Microsoft sobre o desempenho do software em sua empresa: • • Programa de Aperfeiçoamento da Experiência do Cliente com o Windows Server Relatório de Erros do Windows Configurações Padrão nas Tarefas de Configuração Inicial Configuração Senha do Administrador Nome do computador Configuração Padrão O padrão é que a senha da conta do Administrador fique em branco. as configurações do sistema operacional que foram previamente expostas na Instalação do Windows Server 2003. tais como a conta do Administrador. Você pode modificar o nome do computador usando comandos na janela Tarefas de Configuração Inicial. de maneira lógica.

identificar problemas na configuração de funções do servidor. O Server Manager torna a administração do servidor mais eficiente. e Adicionar ou Remover Componentes do Windows. inclusive o Gerenciar Seu Servidor. O Server Manager substitui vários recursos incluídos no Windows Server 2003. Os comandos do Server Manager permitem que você instale ou remova funções e recursos do servidor. as funções do servidor são configuradas com configurações de segurança recomendadas por padrão. O Server Manager também elimina a necessidade de o administrador executar o Assistente de Configuração de Segurança antes de implantar os servidores.224 7. Configurar Seu Servidor. e aumente funções já instaladas no servidor adicionando serviços de função. O Server Manager é um MMC expandido que permite visualizar a gerenciar virtualmente todas as informações e ferramentas que afetam a produtividade de seu servidor. O Server Manager no Windows Server “Longhorn” fornece uma única fonte para gerenciar a identidade e as informações do sistema de um servidor. e gerenciar todas as funções instaladas no servidor. por permitir que os administradores façam o seguinte com uma única ferramenta: • • Visualizar e fazer alterações nas funções e recursos instalados no servidor Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional do servidor. e estão prontas para implantar assim que instaladas e configuradas adequadamente. tais como iniciar ou parar serviços e gerenciar contas de usuário local Realizar tarefas de gerenciamento associadas ao ciclo de vida operacional das funções instaladas no servidor Guia do Revisor do Windows Server “Longhorn” Beta 3 • . exibir o estado do servidor.03 Server Manager O Windows Server “Longhorn” facilita a tarefa de gerenciar e proteger múltiplas funções de servidor em uma empresa com o novo console Server Manager (Gerenciador de Servidor).

serviços de função e recursos usando uma linha de comando do Windows O Server Manager foi projetado para fornecer os melhores benefícios a qualquer um dos seguintes profissionais de TI: • • • • Um administrador. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Os administradores não precisam executar o Assistente de Configuração de Segurança após a instalação ou remoção de funções. você deve fazer logon no computador como membro do grupo de Administradores no computador local. Serviços ou sub-componentes de uma função são listados em uma seção desta página. requisitos e tarefas diárias de gerenciamento de qualquer função que planeja instalar em seu servidor.225 • • Determinar o estado do servidor.com/fwlink/?LinkId=48541). que exibe eventos e estado de todos os serviços que fazem parte da função. a menos que queiram alterar configurações padrão. Para informações mais detalhadas sobre funções de servidor. é recomendável que você se familiarize com as funções. Funções Embora a adição e remoção de funções e recursos de servidor não representem algo novo. para maior segurança. simples e baseada em MMC. o Server Manager unifica a funcionalidade de múltiplas ferramentas anteriores em uma única interface de usuário.microsoft. planejador ou analista de TI que está avaliando o Windows Server “Longhorn” Um planejador ou designer de TI corporativo Um “early adopter” do Windows Server “Longhorn” Um arquiteto de TI responsável pelo gerenciamento e segurança dos computadores de uma organização Antes de usar o Server Manager. identificar eventos críticos e analisar e resolver problemas ou falhas de configuração Instalar ou remover funções. veja o TechCenter do Windows Server (http://go. Funções e recursos instalados com o Server Manager são ativados por padrão. terminologia. Os administradores podem abrir assistentes para adicionar ou remover serviços de função usando comandos desta página inicial. Para usar o Server Manager. O Server Manager é instalado por padrão como parte do processo de instalação do Windows Server “Longhorn”. Adicionar uma função automaticamente cria uma página inicial de console de gerenciamento no Server Manager para essa função. O Server Manager fornece um único ponto de acesso a snap-ins de gerenciamento para todas as funções instaladas.

VPN. não requer implantação em um controlador de domínio. Os Serviços de Domínio do Active Directory também precisam ser instalados na rede para instalar aplicações ativadas para diretório. Os Serviços de Domínio do Active Directory Lightweight funcionam como um serviço de sistema não operacional e. Sistema de Arquivos Encriptados (EFS). Funções de Servidor no Server Manager Nome da Função Serviços de Certificado do Active Directory Descrição Os Serviços de Certificado do Active Directory fornecem serviços personalizáveis para criar e gerenciar certificados de chave pública usados em sistemas de segurança de software. Os administradores podem optar por dedicar um computador inteiro a uma função de servidor. dispositivo ou serviço a uma chave privada correspondente. As aplicações suportadas pelos Serviços de Certificado do Active Directory incluem Secure/Multipurpose Internet Mail Extensions (S/MIME). logon de cartões inteligentes. O funcionamento como serviço de sistema não operacional permite que múltiplas instâncias dos Serviços de Domínio do Active Directory Lightweight sejam executadas simultaneamente em um único servidor. entre organizações parceiras.226 Uma função de servidor descreve a função primária do servidor. como tal. identidades de usuário e direitos de acesso. nos pedidos digitais ou formulários. SSL/TLS e assinaturas digitais. empregando tecnologias de chave pública. Os Serviços de Certificado do Active Directory também incluem recursos que permitem gerenciar o registro e a revogação do certificado em uma variedade de ambientes escalonáveis. computadores e outros dispositivos na rede. especificações do produto. modificar. e que cada instância possa ser configurada independentemente para prestar serviços a múltiplas aplicações. As organizações que têm aplicações que requerem um diretório para armazenar dados de aplicações podem usar os Serviços de Domínio do Active Directory Lightweight como armazenamento de dados. melhor descritos como sub-elementos de uma função. As organizações podem usar os Serviços de Certificado do Active Directory para melhorar a segurança vinculando a identidade de uma pessoa. encaminhar ou usar outros procedimentos com as informações. e podem ser instaladas e gerenciadas com o Server Manager. imprimir. de modo seguro. As organizações podem criar modelos de direitos de uso personalizados como “Confidencial – Somente Leitura”. Os Serviços de Domínio do Active Directory armazenam informações sobre usuários. Os Serviços de Federação do Active Directory realizam isso federando ou compartilhando. redes sem fio seguras. para ajudar a proteger informações digitais contra o uso não autorizado. ou instalar múltiplas funções de servidor em um único computador. Os Serviços de Domínio do Active Directory ajudam os administradores a gerenciar com mais segurança essas informações e facilitam o compartilhamento de recursos e a colaboração entre usuários. Os proprietários do conteúdo podem definir exatamente como um recipiente pode usar as informações. tais como o Microsoft Exchange Server e para aplicar outras tecnologias do Windows Server como a Diretiva de Grupo. que podem ser aplicados diretamente a informações como relatórios financeiros. Os Serviços de Gerenciamento de Direitos do Active Directory são uma tecnologia de proteção de informações que trabalha com aplicações ativadas para esses serviços. As seguintes funções de servidor estão disponíveis no Windows Server “Longhorn”. IPsec. Os Serviços de Federação do Active Directory fornecem tecnologias de logon único da Web para autenticar um usuário para múltiplas aplicações da Web usando uma única conta de usuário. Cada função pode incluir um ou mais serviços de função. como quem pode abrir. dados Serviços de Domínio do Active Directory Serviços de Federação do Active Directory Serviços de Domínio do Active Directory Lightweight Serviços de Gerenciamento de Direitos do Active Directory Guia do Revisor do Windows Server “Longhorn” Beta 3 .

É uma plataforma da Web unificada que integra IIS 7. roteadores e acesso sem fio protegido 802. Windows Communication Foundation e Windows SharePoint® Services. replicação de arquivos.0 também oferece maior segurança. configurações. e usar o Kit de Administração de Gerenciador de Conexão para criar perfis de acesso remoto que permitem aos computadores cliente conectar-se à sua rede. Os Serviços de Arquivo fornecem tecnologias para gerenciamento de armazenamentos. ou acessar a própria área de trabalho do Windows a partir de quase todos os dispositivos de computação. Os Serviços de Terminal fornecem tecnologias que permitem aos usuários acessar programas baseados em Windows que estão instalados em um servidor de terminal. COM+. Os usuários podem conectar-se a um servidor de terminal para executar programas e para usar recursos de rede nesse servidor. O Serviço UDDI pode ajudar a melhorar a produtividade de desenvolvedores e profissionais de TI com aplicações mais confiáveis e gerenciáveis.NET Framework. Suporte a Servidor da Web. O DNS fornece um método padrão para associar nomes a endereços de Internet numéricos. Os Serviços de Acesso e Diretiva de Rede oferecem uma variedade de métodos para fornecer aos usuários conectividade à rede remota e local. servidores de conexão discada. em vez de uma longa série de números. diagnósticos simplificados Servidor de Protocolo de Configuração Dinâmica de Host (DHCP) Servidor DNS Servidor de Fax Serviços de Arquivo Serviços de Acesso e Diretiva de Rede Serviços de Impressão Serviços de Terminal Serviço Universal de Descrição. O Servidor de Fax envia e recebe fax. busca rápida de arquivos e acesso dinamizado de cliente aos arquivos. e permite gerenciar recursos de fax como tarefas. Application Server O Application Server (Servidor de Aplicações) fornece uma solução completa para hospedar e gerenciar aplicações de negócios de alto desempenho distribuídas. Um servidor de impressão reduz a carga de trabalho administrativa e de gerenciamento através da centralização de tarefas de gerenciamento de impressoras. em um intranet ou um extranet. Windows Communication Foundation e suporte a Clustering Failover impulsionam a produtividade durante todo o ciclo de vida da aplicação. Isso possibilita aos usuários o acesso a computadores da rede através de nomes fáceis de lembrar. Você também pode implantar servidores e proxies RADIUS. ASP.11. O Servidor Web (IIS) ativa o compartilhamento de informações na Internet. A implantação de servidores de DHCP na rede fornece automaticamente. Os Serviços de Impressão ativam o gerenciamento de servidores de impressão e impressoras. e para permitir que os administradores da rede gerenciem centralmente o acesso à rede e as diretivas de integridade do cliente.227 de clientes e mensagens de e-mail. Com o Serviço UDDI você pode evitar a duplicação de esforços promovendo a reutilização do trabalho de desenvolvimento existente. você pode implantar servidores de VPN. aos computadores e outros dispositivos de rede baseados em TCP/IP.0. O IIS 7. que lhes permitem conectarse a outros recursos de rede. endereços de IP válidos e os parâmetros de configuração adicionais de que esses dispositivos precisam. O DHCP permite que os servidores atribuam ou aluguem endereços de IP a computadores e outros dispositivos ativados como clientes de DHCP. para conectar-se a segmentos da rede. Descoberta e Integração (UDDI) Servidor Web (IIS) Guia do Revisor do Windows Server “Longhorn” Beta 3 . Serviços integrados. Os Serviços de DNS podem ser integrados a serviços de DHCP no Windows. Enfileiramento de Mensagens. desde o projeto e o desenvolvimento até a implantação e as operações. entre parceiros de negócios em um extranet ou na Internet. eliminando a necessidade de adicionar registros de DNS quando os computadores são adicionados à rede. servidores WINS e roteadores. relatórios e dispositivos de fax nesse computador ou na rede. tais como servidores DNS. gerenciamento de espaços de nomes distribuídos. Com os Serviços de Acesso à Rede. tais como . O Serviço UDDI fornece capacidades de UDDI para compartilhar informações sobre serviços da Web dentro do intranet de uma organização.NET. chamados opções de DHCP.

tarefas e eventos. para adicionar Guia do Revisor do Windows Server “Longhorn” Beta 3 .228 e administração delegada. e compartilhar facilmente contatos e outras informações. Windows SharePoint Services O seguinte gráfico mostra a página inicial da função Serviços de Arquivo no Server Manager. Eles fornecem funções auxiliares ou de suporte aos servidores. de modo geral. o Clustering Failover é um recurso que os administradores podem instalar após a instalação de certas funções de servidor. O ambiente foi projetado para implantação. não descrevem a função primária de um servidor. Normalmente. Serviços de Implantação do Windows Você pode usar os Serviços de Implantação do Windows para instalar e configurar os sistemas operacionais do Microsoft Windows remotamente em computadores com ROMs de inicialização do Ambiente de Pre-boot Execution (PXE). como os Serviços de Arquivo. que gerencia todos os aspectos dos Serviços de Implantação do Windows. desenvolvimento de aplicações e administração flexíveis. O overhead de administração é reduzido através da implementação do snap-in WdsMgmt MMC. A função Windows SharePoint Services ajuda as organizações a aumentar a produtividade criando sites em que os usuários podem colaborar com documentos. os administradores adicionam recursos não como a função primária de um servidor. Os Serviços de Implantação do Windows também fornecem aos usuários finais uma experiência consistente com a Instalação do Windows. Por exemplo. mas para aumentar a funcionalidade das funções instaladas. Recursos Recursos.

O Monitor de Porta LPR permite que os usuários que têm acesso a computadores baseados em UNIX imprimam em dispositivos anexados a eles. O CMAK gera perfis do Gerenciador de Conexão. de anulação e consultas a partir de clientes de iSNS.NET Framework 3. O Cliente de Impressão da Internet permite usar HTTP para conectar-se a e usar impressoras que estão em servidores de impressão da Web. A Experiência Desktop não ativa nenhum dos recursos do Windows Vista por padrão. As Extensões do Servidor de Serviço de Transferência Inteligente de Segundo Plano (BITS) permitem que um servidor receba arquivos carregados por clientes usando o BITS. que usam infraestruturas de rede não similares.0 com novas tecnologias para construir aplicações que oferecem interfaces de usuário atraentes. ativam a comunicação contínua e mais segura. O BITS permite aos computadores cliente transferir arquivos em primeiro ou segundo plano de modo assíncrono. como o Windows Media® Player. roubados ou encerrados inadequadamente. Criptografia da Unidade BitLocker Extensões do Servidor BITS Kit de Administração do Gerenciador de Conexão (CMAK) Experiência Desktop A Experiência Desktop inclui recursos do Windows Vista™.NET Framework 2. e retomar transferências de arquivo após falhas da rede e reinicializações do computador.NET Framework 3. Os seguintes recursos estão disponíveis no Windows Server “Longhorn”. que estão temporariamente Cliente de Impressão da Internet Servidor de Nome de Armazenamento na Internet (iSNS) Monitor de Porta LPR (LPR) Enfileiramento de Mensagens Guia do Revisor do Windows Server “Longhorn” Beta 3 . ou em uma lanchonete equipada com acesso Wi-Fi. temas de área de trabalho e gerenciamento de fotos.229 redundância aos Serviços de Arquivo e diminuir o tempo de recuperação de possíveis desastres. O Enfileiramento de Mensagens fornece entrega garantida de mensagens. Um exemplo de uso é de um funcionário que está viajando. criptografando todo o volume e verificando a integridade de componentes de inicialização antecipada. você precisa ativálos manualmente. Os dados são decriptografados apenas se esses componentes forem verificados com sucesso e a unidade criptografada estiver localizada no computador original. O iSNS fornece serviços de descoberta para redes da área de armazenamento da Interface de Sistemas Computacionais Pequenos na Internet (iSCSI). e podem ser instalados usando comandos do Server Manager. O Enfileiramento de Mensagens também acomoda a troca de mensagens entre aplicações que executam sistemas operacionais diferentes. e fornecem a habilidade de modelar uma série de processos de negócios. O iSNS processa pedidos de registro. Recursos no Server Manager Nome do Recurso Recursos do Microsoft . preservar a capacidade de reação de outras aplicações da rede. segurança e troca de mensagens entre as aplicações baseada em prioridades. A impressão da Internet ativa conexões entre usuários e impressoras que não estão no mesmo domínio ou rede. e agora está em um escritório em local remoto.0 Descrição O Microsoft . roteamento eficiente. A Criptografia da Unidade BitLocker™ ajuda a proteger dados em computadores perdidos.0 combina a potência das APIs do . A verificação de integridade requer um módulo de TPM (trusted platform module) compatível. ajudam a proteger as informações de identidade pessoal de seus clientes.

Os usuários também podem pedir ajuda de amigos e colegas de trabalho. como se eles estivessem nos discos locais. As Ferramentas de Administração do Servidor Remoto ativam o gerenciamento remoto do Windows Server 2003 e do Windows Server “Longhorn” a partir de um computador que está executando o Windows Server “Longhorn”. feedback de aplicações e priorização de tráfego. As SANs ajudam a criar e gerenciar números de unidade lógica em subsistemas de unidade de disco iSCSI e Fibre Channel que suportam o Serviço de Disco Virtual (VDS) em sua SAN. para que outros computadores possam comunicar-se com essas aplicações. A Assistência Remota permite que você visualize e compartilhe o controle da área de trabalho do usuário para resolver os problemas. Ele fornece controle de admissão. Os Serviços de TCP/IP Simples são fornecidos para retro-compatibilidade e não devem ser instalados a menos que seja solicitado. O qWave melhora o desempenho e a confiabilidade do fluxo contínuo de AV por garantir a qualidade do serviço de rede para aplicações de AV. O PNRP permite que as aplicações registrem e resolvam nomes a partir de seu computador. Multipath I/O (MPIO) O MPIO. Protocolo de Resolução de Nome Similar (PNRP) Experiência de Áudio e Vídeo de Qualidade do Windows (qWave) Disco de Recuperação Assistência Remota Ferramentas de Administração do Servidor Remoto Gerenciador de Armazenamento Removível (RSM) Proxy RPC sobre HTTP O RPC Over HTTP Proxy é um proxy usado por objetos que recebem chamadas de procedimento remoto por HTTP. Echo (Eco) e Quote of the Day (Citação do Dia). permitindo que um computador acesse arquivos por uma rede facilmente. fornece suporte para usar múltiplos caminhos de dados para um dispositivo de armazenamento no Microsoft Windows. serviços de função e recursos em um computador remoto. Esse recurso está disponível para instalação apenas em versões de 64 bits do Windows Server “Longhorn”. Network Filesystem Services (NFS) Servidor SMTP Gerenciador de Armazenamento para Redes da Área de Armazenamento (SANs) Serviços de TCP/IP Simples Os Serviços de TCP/IP Simples suportam os seguintes serviços de TCP/IP: Character Generator (Gerador de Caracteres). junto com o Módulo Específico de Dispositivo da Microsoft (DSM) ou um DSM de terceiros. ou não puder acessar ferramentas de recuperação fornecidas pelo fabricante de seu computador. permitindo que você execute algumas das ferramentas de gerenciamento para funções. o qWave fornece apenas serviços de taxa de fluxo e priorização. Daytime (Dia). os Serviços para NFS estão disponíveis como um serviço de função da função Serviços de Arquivo. geralmente por razões de segurança. Usando o Disco de Recuperação. Em plataformas do Windows Server. O Disco de Recuperação é um utilitário para criação de um disco de instalação do sistema operacional Windows. O RSM gerencia e cataloga a mídia removível e opera dispositivos automáticos de mídia removível. Esse Proxy permite que os clientes descubram esses objetos mesmo que estes forem movidos entre servidores ou se existirem em áreas discretas da rede. A Assistência Remota permite que você (ou uma pessoa do suporte) ofereça assistência aos usuários com problemas ou dúvidas nos computadores. ou que estão executando em tempos diferentes. Guia do Revisor do Windows Server “Longhorn” Beta 3 . você pode recuperar dados em seu computador se não tiver um disco do produto Windows. em outras versões. O Servidor SMTP suporta a transferência de mensagens de e-mail entre sistemas de e-mail. monitoramento e cumprimento de tempo de execução. Discard (Descartar). O qWave é uma plataforma de rede para aplicações de fluxo contínuo de áudio e vídeo (AV) em redes domésticas de protocolo da Internet.230 off-line. Os Serviços para NFS são um protocolo que atua como um sistema de arquivos distribuídos.

O Cliente de TFTP é usado para ler arquivos de. sejam escalonáveis através da adição de outros servidores conforme o aumento da carga. o Windows Sharepoint Services. não importando se o computador tem ou não adaptadores sem fio. junto com um pacote de utilitários de suporte disponíveis para download no site da Microsoft. ou uma imagem de sistema durante o processo de inicialização a partir de um servidor de TFTP. O Clustering Failover é usado com freqüência para serviços de arquivo e impressão. permite que você execute programas baseados em UNIX. O gerenciamento da atribuição de recursos melhora o desempenho do sistema e reduz o risco de as aplicações. O Backup do Windows Server permite que você faça backup e recupere seu sistema operacional. ou escrever arquivos para. A Auto-Configuração de WLAN enumera adaptadores sem fio. o TFTP é usado principalmente por dispositivos ou sistemas embutidos que recuperam firmware. e compile e execute aplicações baseadas em UNIX personalizadas no ambiente do Windows. O Cliente Telnet usa o protocolo Telnet para conectar-se a um servidor telnet remoto e executar aplicações nesse servidor. O NLB distribui o tráfego para vários servidores. O Servidor Telnet permite que usuários remotos. IBM NetView ou Sun Net Manager – e entidades gerenciadas. roteadores. realizem tarefas de administração de linha de comando e executem programas usando um cliente telnet. O WINS fornece um banco de dados distribuído para registrar e consultar mapeamentos dinâmicos de nomes de NetBIOS para computadores e grupos usados em sua rede. Entidades gerenciadas podem incluir hosts (anfitriões). O Serviço de WLAN configura e inicia o serviço de AutoConfiguração de WLAN. Windows PowerShell é um shell de linha de comando e linguagem de script que ajuda os profissionais de TI a alcançar maior produtividade. O NLB é particularmente útil para garantir que aplicações sem estado. e pode proteger todo o servidor ou volumes específicos. O Clustering Failover permite que múltiplos servidores trabalhem juntos para fornecer alta disponibilidade de serviços e aplicações. como os Serviços de UDDI. incluindo os que executam sistemas operacionais baseados em UNIX. Você pode agendar backups para serem executados uma vez por dia ou com mais freqüência. e gerencia tanto as conexões como os perfis sem fio que contêm as configurações necessárias para configurar um cliente sem fio para conectar-se a uma rede sem fio. Ele fornece uma nova linguagem de script voltada Subsistema para Aplicações baseadas em UNIX Cliente Telnet Servidor Telnet Cliente de Protocolo de Transferência de Arquivos Simples (TFTP) Clustering Failover Balanceamento de Carga de Rede (NLB) Backup do Windows Server Gerenciador de Recursos de Serviços de Terminal do Windows (WSRM) Windows Internet Name Services (WINS) Serviço de LAN Sem Fio (WLAN) Banco de Dados Interno do Windows Windows PowerShell Guia do Revisor do Windows Server “Longhorn” Beta 3 . aplicações e dados. um servidor de TFTP remoto. O Subsistema para Aplicações baseadas em UNIX (SUA). bancos de dados e aplicações de e-mail. o Windows Server Update Services e o Gerenciador de Recursos de Serviços de Terminal do Windows.231 Simple Network Management Protocol (SNMP) O SNMP é o protocolo padrão da Internet para troca de informações de gerenciamento entre aplicações de console de gerenciamento – tais como HP Openview. bridges (pontes) e hubs. serviços ou processos interferirem uns nos outros. os Serviços de Gerenciamento de Direitos do Active Directory. O Banco de Dados Interno do Windows é um armazenamento de dados relacional que pode ser usado apenas pelas funções e recursos do Windows. Novell NMS. o que reduziria a eficiência do servidor e a reação do sistema. como um servidor Web executando IIS. informações de configuração. usando o protocolo de rede TCP/IP. O WSRM é uma ferramenta administrativa do sistema operacional Windows Server que pode controlar como os recursos da CPU e da memória são atribuídos. O WINS mapeia os nomes de NetBIOS para endereços de IP e resolve os problemas que surgem da resolução de nomes de NetBIOS em ambientes roteados.

alterem as propriedades de sistema do servidor. estado das funções instaladas e comandos para adicionar e remover funções e recursos. e instalem ou removam funções ou recursos. O console do Server Manager é bastante parecido à primeira página de um jornal sobre seu servidor.232 ao administrador e mais de 130 ferramentas de linha de comando padrão para possibilitar uma administração de sistema mais fácil e uma automatização acelerada. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Console do Server Manager O Console do Server Manager é um novo snap in de MMC que fornece uma visão consolidada do servidor. O painel hierárquico do console do Server Manager contém nós expansíveis que os administradores podem usar para ir diretamente aos consoles para gerenciar funções específicas. Serviço de Ativação de Processo do Windows (WPAS) O WPAS generaliza o modelo de processo de IIS. Todos os recursos de IIS previamente disponíveis apenas para aplicações de HTTP estão agora disponíveis para aplicações que hospedam serviços de WCF.0 também usa WPAS para ativação baseada em mensagens por HTTP. O seguinte gráfico mostra a página inicial da função Recursos no Server Manager. ferramentas de resolução de problemas. removendo a dependência ao HTTP. Ele fornece um único local para que os administradores tenham uma visão geral concisa de um servidor. ou opções de backup e recuperação de desastres. usando protocolos que não são de HTTP. O IIS 7. incluindo informações sobre configuração do servidor.

233 O seguinte gráfico mostra a página inicial do Server Manager com múltiplas funções e recursos instalados. o domínio. ou vá a um console mais detalhado no qual poderá gerenciar uma função específica. o nome de conta do administrador local. Os comandos desta seção permitem que você adicione ou remova funções. Os comandos dessa subseção permitem que você edite essas configurações ou visualize opções avançadas. conexões de rede e o ID de produto do sistema operacional. A subseção Informações do Sistema exibe o nome do computador. Os comandos dessa subseção permitem que você edite essas informações. A janela principal do console do Server Manager contém estas quatro seções flexíveis: • Sumário do Servidor A seção Sumário do Servidor inclui duas subseções: Informações do Sistema e Sumário de Segurança. • Sumário de Funções A seção Sumário de Funções contém uma tabela indicando quais funções estão instaladas no servidor. • Sumário de Recursos Guia do Revisor do Windows Server “Longhorn” Beta 3 . A subseção Sumário de Segurança mostra se o Windows Update e o Firewall do Windows estão ativados.

ou para localizar mais ajuda e pesquisar tópicos disponíveis on-line no TechCenter do Windows Server (http://go.microsoft. e a opção Adicionar ou Remover Componentes do Windows limitava os administradores à instalação de apenas uma função por vez. remover ou aumentar múltiplas funções em uma única sessão. Guia do Revisor do Windows Server “Longhorn” Beta 3 .234 A seção Sumário de Recursos contém uma tabela indicando quais recursos estão instalados no servidor. a instalação de cada uma tinha que ser completada. A coleção de assistentes do Server Manager permite adicionar. serviços de função ou recursos podem ser instalados ou removidos em uma única sessão com os assistentes do Server Manager. o Windows Server “Longhorn” realiza verificações de dependência conforme você avança nos assistentes do Server Manager. serviços de função e recursos. Múltiplas funções. Gerenciar Seu Servidor ou Adicionar ou Remover Componentes do Windows para adicionar ou remover funções de servidor ou outros softwares. configurar ou remover funções. As configurações de funções são feitas com configurações de segurança recomendadas por padrão. Assistentes do Server Manager Os Assistentes do Server Manager dinamizam a tarefa de implantar servidores em sua empresa. A seção Recursos e suporte também foi projetada para ser um ponto de partida para entrar em grupos de notícias tópicos. e encontre mais ajuda e suporte. • Recursos e Suporte A seção Recursos e Suporte mostra se esse servidor está participando dos programas de feedback Windows Server CEIP e Relatório de Erros do Windows. e que não seja removido nenhum que ainda possa ser requisitado por funções ou serviços de função remanescentes. Os comandos dessa seção permitem que você adicione ou remova recursos. E o mais importante. Os comandos dessa seção permitem que você modifique a participação do servidor em programas de feedback. garantindo que estejam instaladas todas as funções e serviços de função necessários para uma função que você seleciona. pois reduzem o tempo que levava em versões anteriores do Windows Server para instalar.com/fwlink/?LinkId=48541). As versões anteriores do Windows Server solicitavam que você usasse as opções Configurar Seu Servidor. Antes de poder adicionar mais funções. não há requisitos para executar o Assistente de Configuração de Segurança após a instalação de funções ou recursos. É possível ter seu servidor completamente pronto para implantação após a realização de uma única sessão em um dos assistentes do Server Manager. As verificações de dependência eram limitadas. a menos que seja necessário modificar padrões de segurança.

como Serviços de Arquivo. Depois que uma dessas funções complexas é instalada. identificados como serviços de função na interface do Server Manager. tais como Serviços de Terminal e Serviços de Certificado do Active Directory.235 Assistente para Adicionar Funções O Assistente para Adicionar Funções. Serviços de Terminal e Serviços de Certificado do Active Directory. o Assistente para Adicionar Funções também fornece páginas de configuração que permitem ao usuário especificar de que modo a função deve ser configurada como parte do processo de instalação. Assistente para Adicionar Serviços de Função A maioria das funções. ou usando o Assistente para Adicionar Guia do Revisor do Windows Server “Longhorn” Beta 3 . é composta de múltiplos sub-elementos. que pode ser usado para adicionar uma ou mais funções ao servidor. Para algumas funções. verifica automaticamente se há dependências entre funções e se todas as funções e serviços de função necessários estão instalados para cada função selecionada. você pode adicionar serviços de função a ela durante o Assistente para Adicionar Funções inicial.

Assistente para Adicionar Recursos O Assistente para Adicionar Recursos permite que você instale um ou mais recursos ao computador em uma única sessão. verifica automaticamente se há dependências entre funções e se as funções e serviços de função necessários continuam instalados para as funções que você não quer remover. O comando que abre o Assistente para Adicionar Serviços de Função é encontrado na página inicial de cada função no console do Server Manager. Assistente para Remover Recursos Guia do Revisor do Windows Server “Longhorn” Beta 3 . Recursos são programas de software que suportam ou aumentam a funcionalida de de uma ou mais funções. na janela Tarefas de Configuração Inicial. e também na seção Sumário de Recursos da janela do console do Server Manager. ou melhoram a funcionalida de do próprio servidor. O comando que abre o Assistente para Remover Serviços de Função é encontrado na página inicial de cada função no console do Server Manager. Assistente para Remover Serviços de Função Você pode remover serviços de função de uma função instalada usando o Assistente para Remover Serviços de Função. Assistente para Remover Funções O Assistente para Remover Funções. que pode ser usado para remover uma ou mais funções do servidor. O processo do Assistente para Remover Funções evita a remoção acidental de funções ou serviços de função necessários para funções remanescentes no servidor.236 Serviços de Função. Um novo aviso inteligente permite que você adicione automaticamente os serviços de função necessários se a função que você está instalando requer serviços e recursos para ser instalada. sejam quais forem as funções instaladas. Os comandos que abrem o Assistente para Adicionar Recursos estão na área Personalizar esse servidor.

237 O Assistente para Remover Recursos permite que você remova um ou mais recursos do computador em uma única sessão.exe – que automatiza a implantação de funções e recursos em computadores com Windows Server “Longhorn”. veja a Ajuda do Server Manager. serviços de função e recursos em uma única instância de comando. e também na seção Sumário de Recursos da janela do Console do Server Manager. serviços de função e recursos. Os parâmetros do ServerManagerCmd. Você pode usar a linha de comando do Server Manager para instalar ou remover uma única função. sejam quais forem as funções instaladas. Linha de Comando do Server Manager O Server Manager oferece uma ferramenta de linha de comando – ServerManagerCmd. na janela Tarefas de Configuração Inicial. serviços de função e recursos. as únicas ferramentas de linha de comando disponíveis para instalar pacotes de software do Windows em um computador eram ocsetup e pkgmgr. ou pode usar um arquivo de resposta XML com o comando do Server Manager para adicionar ou remover múltiplas funções.exe para instalar e remover funções. ou melhoram a funcionalidade do próprio servidor. serviços de função e recursos instalados e disponíveis para instalação no computador. serviços de função e recursos disponíveis para instalação ou remoção com o uso dessas duas Guia do Revisor do Windows Server “Longhorn” Beta 3 . serviços de função e recursos instalados e disponíveis para instalação no computador. A linha de comando do Server Manager possibilita instalação ou remoção autônoma de funções. Os comandos que abrem o Assistente para Remover Recursos estão na área Personalizar esse servidor. Importante Devido a restrições de segurança impostas pelo Controle de Contas de Usuário no Windows Server “Longhorn”. e depois clique em Executar como administrador.exe permitem que os usuários visualizem registros de suas operações. e os nomes de funções. você deve executar o ServerManagerCmd. Para isso. e executem consultas para exibir listas de funções.exe também exibem uma lista de todas as funções.exe em uma janela de Aviso de Comando aberta com privilégios elevados. Recursos são programas de software que suportam ou aumentam a funcionalidade de uma ou mais funções. Antes da implementação da linha de comando do Server Manager. clique com o botão direito no executável do Aviso de Comando. As opções do ServerManagerCmd. Você pode usar o ServerManagerCmd. Para informações detalhadas sobre como usar a linha de comando do Server Manager. ou no objeto do Aviso de Comando no menu Iniciar. A sintaxe da linha de comando para essas ferramentas é complexa. serviço de função ou recurso em uma instância de comando.

Após completar as tarefas de configuração inicial. 1 para ativar e impedir a abertura da janela. serviços de função e recursos. As configurações de registro da seguinte tabela controlam o comportamento padrão de abertura do Server Manager e das janelas de Tarefas de Configuração Inicial. No menu Start(se você fez logon no computador como membro do grupo de Administradores).238 ferramentas não eram intuitivos.exe simplifica a instalação e remoção por linha de comando de funções. sob Administrative Tools. Configurações de Registro Nome da Configuração Não abrir o Server Manager no logon Localização HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server Manager Valor Padrão 0 Valores Possíveis 0 para desativar e abrir a janela normalmente. e depois clique em Manage. clique com o botão direito em Computer. Guia do Revisor do Windows Server “Longhorn” Beta 3 . O ServerManagerCmd. o Server Manager abre por padrão quando um administrador faz logon em um computador que está executando o Windows Server “Longhorn”. Configurações de Registro As seguintes configurações de registro se aplicam ao Server Manager e às Tarefas de Configuração Inicial em todas as variações disponíveis do Windows Server “Longhorn”. pode fazer isso usando o comando do Server Manager em qualquer um dos seguintes locais: • • • • No menu Start. Se você fechar o Server Manager e quiser abri-lo novamente. Não abrir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial 0 Tarefas de Configuration Tasks Configuração Inicial no logon Como Inicio o Server Manager? O Server Manager abre por padrão quando a janela Tarefas de Configuração Inicial é fechada. adjacente ao botão Start. No menu Start. Na barra de ferramentas Quick Launch. 1 para ativar e impedir a abertura da janela 0 para desativar e abrir a janela normalmente.

Guia do Revisor do Windows Server “Longhorn” Beta 3 . você deve fazer logon no computador como membro do grupo de Administradores. Você também pode aprender a realizar operações específicas no Server Manager com a Ajuda do Server Manager.com/fwlink/?LinkId=48541). O Server Manager é instalado por padrão como parte do Windows Server “Longhorn”. uma caixa de diálogo pode abrir para alertá-lo sobre sua permissão para executar o Server Manager. em Programs and Features. Clique em Permitir o início do Server Manager. disponível ao apertar F1 em uma janela aberta do Console do Server Manager. veja o TechCenter do Windows Server (http://go. Para usar o Server Manager.239 • Em Control Panel. Recursos Adicionais Para mais informações sobre o Server Manager. clique em Programs.microsoft. e depois em Turn Windows features on or off. Nota Se você fizer logon no computador usando uma conta de Administrador diferente da padrão.

O Windows PowerShell vem com um grande conjunto de comandos embutidos com uma interface consistente. O Windows PowerShell é muito diferente. Guia do Revisor do Windows Server “Longhorn” Beta 3 . uma ferramenta de linha de comando simples e de função única construída dentro do shell. operam executando um comando ou utilitário em um novo processo. processa objetos baseados na plataforma .exe e os shells do Unix – SH. Na maioria dos shells. Como muitos shells. Em vez disso. que aceitam e retornam texto. AWK e PERL. O shell inclui um aviso interativo e um ambiente de script que podem ser usados independentemente ou em combinação. o Windows PowerShell foi construído sobre o .NET common language runtime (CLR) e o . como há poucos comandos embutidos. muitos utilitários de processamento de texto. Com o passar dos anos.exe.NET. Você pode usar cada cmdlet separadamente. Assim é muito mais fácil aprender a usar cada comando. muitos utilitários foram criados. tais como sed. como o comando typeset no KSH e o comando dir no Cmd.NET Framework. O Windows PowerShell introduz o conceito de um cmdlet (pronunciase “command-let”). e apresentando os resultados ao usuário em forma de texto. em vez de analisadores diferentes para cada ferramenta. Todos os comandos de Shell usam o mesmo analisador de comandos. o Windows PowerShell dá a você acesso ao sistema de arquivos do computador. • • • O Windows PowerShell não processa texto. Essa alteração fundamental no ambiente traz ferramentas e métodos inteiramente novos para o gerenciamento e a configuração do Windows. KSH.04 Windows PowerShell O Windows PowerShell é um novo Shell de linha de comando do Windows projetado especialmente para administradores de sistemas. Diferente da maioria dos shells. evoluíram para suportar essa interação. Além disso.NET.240 7. A maioria dos shells. como o registro e os armazenamentos de certificados de assinatura digital. e aceita e retorna objetos . Esses shells também têm comandos construídos dentro do shell e executados no processo do shell. mas seu poder é notado quando você usa essas ferramentas simples em combinação para desempenhar tarefas complexas. os provedores do Windows PowerShell permitem acessar outros armazenamentos de dados. e é tão fácil como acessar o sistema de arquivos. e você pode escrever seus próprios cmdlets e compartilhá-los com outros usuários. CSH e BASH. O Windows PowerShell inclui mais de cem cmdlets básicos. incluindo Cmd.

e eles são projetados para uso em combinação com outros cmdlets. Ainda pode usar as ferramentas tradicionais do Windows. e exemplos que demonstram o uso do cmdlet.241 E o melhor. Você também pode capturar o texto que os programas geram e usá-lo no shell. A linguagem precisava fornecer um ambiente consistente para usar cmdlets. a maioria dos cmdlets é muito simples. a sintaxe do comando. praticamente do mesmo modo que faria no Cmd. Uma Nova Linguagem de Script • • • • O Windows PowerShell necessitava de uma linguagem para gerenciar os objetos .NET. e os cmdlets “out” apenas direcionam os dados de saída para um destino especificado. os cmdlets “get” apenas recuperam dados. descrições dos parâmetros. Guia do Revisor do Windows Server “Longhorn” Beta 3 . como C#. Você pode reconhecer os cmdlets pelo formato de seus nomes – um verbo e um substantivo separados por um traço (-). SC e Reg. Comandos e Utilitários do Windows Você pode executar programas de linha de comando do Windows no Windows PowerShell. como Net.NET. você não precisa abandonar as ferramentas que se acostumou a usar. Em shells tradicionais. Por exemplo. sem tornar as tarefas simples mais complexas. Precisava também ser consistente com linguagens de nível mais alto usadas na programação .exe). e pode iniciar os programas do Windows que têm uma interface gráfica de usuário. No Windows PowerShell. Precisava suportar tarefas complexas. Get-Process (Buscar-Processo) e Start-Service (IniciarServiço). Cada cmdlet tem um arquivo de ajuda que você pode acessar digitando: • get-help <cmdlet-name> -detailed A visão detalhada do arquivo de ajuda do cmdlet inclui uma descrição do cmdlet. como Get-Help (BuscarAjuda). Cmdlets do Windows PowerShell Um cmdlet (pronunciado “command-let”) é um comando de recurso único que manipula objetos no Windows PowerShell. como o Bloco de Notas e a Calculadora. os comandos são programas executáveis que variam do muito simples (como o attrib.exe. os cmdlets “format” apenas formatam dados. os cmdlets “set” apenas estabelecem ou alteram dados.exe) ao muito complexo (como o netsh. dentro do shell.exe no Windows PowerShell.

a interface de usuário (ou “shell”) do Windows Explorer não é instalada como parte de uma instalação no Núcleo do Servidor .05 Núcleo do Servidor No Windows Server “Longhorn”. Esse tipo de instalação é chamado de instalação do Núcleo do Servidor. a interface de usuário padrão para um servidor Server Core é o aviso de comando. Em vez disso. ela pode melhorar a segurança e reduzir o gerenciamento. os administradores agora podem optar por instalar um ambiente mínimo que evita carga extra. para nextref longhorn. Uma instalação no Núcleo do Servidor do Windows Server “Longhorn” suporta os seguintes recursos opcionais: • • • • • Cluster Failover da Microsoft Balanceamento de Carga de Rede Subsistema para aplicações baseadas em UNIX Backup Multipath IO Guia do Revisor do Windows Server “Longhorn” Beta 3 .242 7. Por exemplo. As instalações no Núcleo do Servidor fornecem um ambiente para executar as seguintes funções de servidor: • • • • • • Servidor DHCP Serviços de Arquivo Servidor de Impressão Servidor DNS Serviços de Domínio do Active Directory Serviços de Domínio do Active Directory Lightweight (AD LDS) Escolhendo usar a opção de instalação no Núcleo do Servidor em um servidor. a opção de instalação no Núcleo do Servidor instala apenas o subconjunto dos arquivos binários que são necessários para as funções de servidor suportadas. Embora essa opção limite as funções que podem ser desempenhadas pelo servidor. Uma instalação do Núcleo do Servidor é uma opção de instalação de servidor mínima. Uma instalação no Núcleo do Servidor fornece esses benefícios de três maneiras: • • • Reduzindo a manutenção de software necessária Reduzindo o gerenciamento necessário Reduzindo a superfície de ataque Para isso. você pode reduzir seu trabalho administrativo e ajudar a limitar os riscos à segurança.

Servidor DNS. AD LDS. Você deve analisar esse tópico e a documentação adicional sobre a opção de instalação no Núcleo do Servidor se estiver em algum dos seguintes grupos: • • • • Planejadores e analistas de TI que estão avaliando tecnicamente o produto Planejadores e designers de TI corporativos para organizações Os responsáveis pela segurança do TI Profissionais de TI que estão gerenciando as seguintes funções de servidor: Servidor DHCP. As instalações no Núcleo do Servidor oferecem os seguintes benefícios: • Manutenção reduzida. Como uma instalação no Núcleo Servidor instala apenas o que é necessário para as especificadas (Servidor DHCP. de Impressão. Serviços de Arquivo. ou em ambientes em que os requisitos de alta segurança exigem uma superfície de ataque mínima no servidor. Alternativamente. no entanto. Cada função de servidor. Serviços de Domínio do Active Directory Lightweight (AD LDS). onde alguns apenas precisam desempenhar tarefas dedicadas. você pode gerenciar a instalação no Núcleo do Servidor com os snap-ins do Console de Gerenciamento da Microsoft (MMC) a partir de outro computador que esteja executando o Windows Server “Longhorn”. ou Serviços de do funções Servidor Domínio Guia do Revisor do Windows Server “Longhorn” Beta 3 . ou Serviços de Domínio do Active Directory A opção de instalação no Núcleo do Servidor não adiciona nova funcionalidade às funções de servidor que suporta. Serviços de Arquivo. a opção de instalação no Núcleo do Servidor requer administradores experientes no uso de avisos de comando ou técnicas de script para administração local do servidor. Servidor de Impressão. Servidor DNS.243 • • • • • Gerenciamento de Armazenamento Removível Criptografia da Unidade BitLocker Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet A opção de instalação no Núcleo do Servidor foi projetada para uso em organizações que têm muitos servidores. Como nenhuma interface gráfica de usuário está disponível para muitas operações do Windows. selecionando o computador Server Core como computador remoto para gerenciar. pode ter alterações no Windows Server “Longhorn”.

Gerenciamento reduzido. • Superfície de ataque reduzida. As alterações em cada uma dessas funções são as mesmas. Uma instalação no Núcleo do Servidor requer apenas cerca de 1 gigabyte (GB) de espaço em disco para instalar. há menos aplicações sendo executadas no servidor. há menos para gerenciar. Como as instalações no Núcleo do Servidor são mínimas. você deve analisar a documentação para cada uma das funções de servidor suportadas que estão disponíveis na opção de instalação no Núcleo do Servidor. Uma instalação no Núcleo do Servidor é mínima. são requisitados menos serviços que em uma instalação completa do Windows Server “Longhorn”. • • Os servidores Server Core não têm uma interface de usuário. e você não pode executar ou desenvolver aplicações Guia do Revisor do Windows Server “Longhorn” Beta 3 . local ou remotamente. AD LDS. você talvez precise se familiarizar com as ferramentas de linha de comando. para verificar se há alterações no Windows Server “Longhorn”. Embora nenhuma alteração seja necessária para a configuração de sua rede. você pode gerenciá-lo a partir da linha de comando. Serviços de Arquivo. A experiência de gerenciamento também será diferente ao usar uma instalação no Núcleo do Servidor. com uma conexão de área de trabalho remota de Serviços de Terminal. e aproximadamente 2 GB para operações após a instalação. ou usando métodos de script como uma instalação autônoma.244 do Active Directory). Menos espaço em disco necessário. Os administradores que gerenciam uma instalação no Núcleo do Servidor precisam estar cientes de que não há uma interface gráfica de usuário (GUI) disponível. o que diminui a superfície de ataque. pois não inclui a tradicional interface de usuário completa. Você também pode usar snap-ins do MMC ou ferramentas de linha de comando que suportam conexões remotas para gerenciar o servidor remotamente. Uma vez que o servidor está configurado. Ela requer que você configure inicialmente o sistema a partir da linha de comando. A opção de instalação no Núcleo do Servidor não é uma plataforma de aplicação. Servidor de Impressão. Como menos aplicações e serviços estão instalados em um servidor com instalação no Núcleo do Servidor. esteja você usando a instalação no Núcleo do Servidor ou a instalação completa. ou Serviços de Domínio do Active Directory. para executar as seguintes funções: Servidor DHCP. A opção de instalação no Núcleo do Servidor não adiciona ou altera nenhuma configuração. nem oferecem a habilidade de executar aplicações. Servidor DNS. Entretanto.

contanto que usem um dos protocolos suportados nas instalações no Núcleo do Servidor para comunicar-se com a área de trabalho de gerenciamento remoto. Você precisa verificar se todos os APIs chamados por seu código estão listados. uma instalação no Núcleo do Servidor será feita usando um script de instalação autônoma. inicie o computador do servidor com um DVD inicializável do Windows Server “Longhorn” na unidade de DVD do computador. Essas ferramentas podem necessitar de alterações para trabalhar com instalações no Núcleo do Servidor. Ferramentas e agentes de gerenciamento local. • O Kit de Desenvolvimento de Software (SDK) do Windows Server “Longhorn” inclui uma lista de APIs que são suportados em instalações no Núcleo do Servidor. Uma instalação no Núcleo do Servidor só pode ser usada para executar as funções de servidor e ferramentas de gerenciamento suportadas. Você não pode atualizar para uma instalação no Núcleo do Servidor a partir de uma versão prévia do Windows. e também precisa testar seu código em uma instalação no Núcleo do Servidor para garantir que ele se comportará como o esperado. Quando aparecer a caixa de diálogo Autorun. Para fazer uma instalação no Núcleo do Servidor do Windows Server “Longhorn”. Em muitos casos. e siga as instruções na tela para completar a instalação.245 de servidor em uma instalação no Núcleo do Servidor. Essas ferramentas não requerem nenhuma alteração. A opção de instalação no Núcleo do Servidor suporta apenas uma instalação do zero em um servidor. que podem ser divididos em duas categorias: • Ferramentas de gerenciamento remoto. Nenhuma alteração em seu ambiente ou infra-estrutura é necessária. como a chamada de procedimento remoto (RPC). clique em Install Now. Os seguintes recursos opcionais requerem hardware apropriado para que possam ser usados: • • • • Cluster Failover Balanceamento de Carga de Rede Armazenamento Removível Criptografia da Unidade BitLocker Guia do Revisor do Windows Server “Longhorn” Beta 3 . pois não podem ter nenhuma dependência a shell ou interface de usuário. e não podem usar código gerenciado. Os servidores Server Core suportam o desenvolvimento de ferramentas e agentes de gerenciamento.

microsoft.microsoft. Para acessar grupos de notícias para esse recurso.microsoft.com/fwlink/?LinkId=49656) Sintaxe do Dnscmd (http://go. siga as instruções fornecidas no Microsoft Connect (http://go.com/fwlink/?LinkId=49659) Exemplos de Dnscmd (http://go. visite o Microsoft Connect (http://go.microsoft.246 Alguma funcionalidade de BitLocker está disponível sem hardware específico.com/fwlink/?LinkId=49779).microsoft.com/fwlink/?LinkId=20331) Arquivos de instalação autônoma dcpromo o • Netsh o • Dnscmd o o o • Dfscmd o Referências do Dfscmd (http://go.microsoft.com/fwlink/?LinkId=49654) Realizando uma Instalação Autônoma do Active Directory (http://go.com/fwlink/?LinkId=49658) Visão geral do Dnscmd(http://go. Se você é um beta tester e parte do programa beta especial chamado Programa de Adoção de Tecnologia (TAP).microsoft.com/fwlink/?LinkId=50067). • Os seguintes recursos no site da Microsoft fornecem informações adicionais sobre alguns dos comandos que você pode usar para configurar instalações no Núcleo do Servidor e ativar as funções de servidor: • • Referências sobre linha de comando de A-Z (http://go.com/fwlink/?LinkId=49661) Guia do Revisor do Windows Server “Longhorn” Beta 3 .com/fwlink/?LinkId=49660) Visão geral do Netsh (http://go.microsoft. Não há pré-requisitos para os seguintes recursos opcionais: • • • • • Subsistema para aplicações baseadas em UNIX Backup Simple Network Management Protocol (SNMP) Windows Internet Name Services (WINS) Cliente Telnet Os seguintes recursos oferecem informações adicionais sobre instalações no Núcleo do Servidor: • • Se você precisa de suporte ao produto. também pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência.microsoft.

247 O seguinte recurso fornece informações adicionais para implantar. configurar e gerenciar uma instalação no Núcleo do Servidor. e também para ativar uma função de servidor nessa instalação: • Guia Passo a Passo Beta 2 sobre o Núcleo do Servidor em Windows Server "Longhorn" no Microsoft Connect (http://go.com/fwlink/?LinkId=49779) Guia do Revisor do Windows Server “Longhorn” Beta 3 .microsoft.

No entanto. que precisam de uma solução de backup fácil de implantar e usar. Assistentes simples o guiarão através da instalação de um agendamento automático de backups. O Guia do Revisor do Windows Server “Longhorn” Beta 3 . e recuperando itens ou volumes inteiros. Você pode usar esse recurso para fazer um backup de um servidor inteiro ou de volumes selecionados. seu design simples o torna especialmente adequado para organizações menores ou indivíduos que não são profissionais de TI. você pode realizar uma recuperação de sistema.07 Backup do Windows Server O recurso Backup do Windows Server “Longhorn” oferece uma solução básica de backup e recuperação para o servidor em que está instalado. O recurso Backup inclui as seguintes melhorias: • T e c n o l o g i a de backup nova e mais rápida. e que esteja disponível sem nenhum custo extra. criando backups manuais se necessário. de proprietários de pequenas empresas a administradores de TI em grandes empresas. E. Você deve ser um membro do grupo de Administradores ou do grupo de Operadores de Backup para usar o Backup. Essa versão do Backup introduz uma nova tecnologia de backup e recuperação e substitui o recurso que estava disponível em versões anteriores do sistema operacional Windows. que vai restaurar completamente seu sistema para o novo disco rígido usando um backup de servidor completo e o Ambiente de Recuperação do Windows. Você também pode usar esse recurso para gerenciar backups em servidores remotos. Você pode usar o recurso Backup para proteger todo o seu servidor de modo eficiente e confiável sem se preocupar com detalhes da tecnologia de backup e recuperação.248 7. em caso de desastres como falhas do disco rígido. O Backup foi projetado para ser usado por todos.

Administração remota. Fácil remoção de backups externos para proteção contra desastres. mesmo que você opte por sempre fazer backups completos. Os volumes do sistema são automaticamente incluídos em todos os backups agendados. Basta adicionar cada disco como um local de backup agendado e. simplesmente escolhe a data em que fez o backup da versão do item que quer restaurar. Anteriormente. Pode recuperar arquivos específicos ou todos os conteúdos de uma pasta. O Backup usa a funcionalidade VSS que é construída dentro de aplicações como o Microsoft SQL Server™ e o Windows SharePoint Services para proteger os dados da aplicação. Gerenciamento automático de uso de disco. ele levará menos tempo que o recurso Backup das versões anteriores do Windows. se o primeiro disco é retirado. backups incrementais. A ferramenta de Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • • • • . salvando apenas os dados que foram alterados desde o último backup. Habilidade de recuperar aplicações. automaticamente. Após instalar o snap-in do Backup. Agendamento aperfeiçoado. arquivos. Recuperação simplificada de seu sistema operacional. Você pode recuperar para o mesmo servidor. pastas e volumes. • Restauração simplificada. para que você esteja sempre protegido contra desastres. O Backup trabalha com novas ferramentas de recuperação do Windows para facilitar a tarefa de recuperar seu sistema operacional. se o hardware falhar. você precisava restaurar manualmente a partir de múltiplos backups se o item estivesse armazenado em um backup incremental. e selecionando então os itens a serem restaurados. o Backup vai automaticamente executar backups para o disco seguinte na rotação. Entretanto. Você pode executar backups para múltiplos discos em rotação para que seja fácil mover discos externos. e depois em Conectar-se a Outro Computador. Agora. Após o primeiro backup completo ser criado. você pode acessar essa ferramenta através do Server Manager ou adicionando o snap-in a um console do MMC novo ou já existente. pode usar o Backup para gerenciar backups em outros servidores clicando em Ação. O Backup agora inclui um assistente que guia através do processo de criação de backups diários. o Backup vai automaticamente gerenciar o uso do disco – você não precisa se preocupar com o espaço em disco após vários backups. Então. ou. Você agora pode restaurar itens escolhendo o backup a partir do qual a recuperação será feita. O Backup agora usa um snap-in do MMC para dar a você uma experiência familiar e consistente no gerenciamento seus backups. Uma vez que você configura um disco para um backup agendado.249 Backup usa o Serviço de Cópias por Volume de Sombra (VSS) e a tecnologia de backup em nível de blocos para realizar o backup de modo eficiente e recuperar seu sistema operacional. o Backup pode ser configurado para executar. O Backup vai automaticamente reutilizar o espaço de backups anteriores quando criar os novos. pode recuperar para um novo servidor que não tem sistema operacional.

veja http://go. O Backup do Windows está disponível como um download para os usuários do Windows Server “Longhorn” que querem recuperar dados de backups feitos com o NTBackup. Não pode mais fazer backups em fita. pode ser surpreendido pelas seguintes questões e alterações: • As configurações do Backup não serão atualizadas quando você mudar para o Windows Server “Longhorn”. Você terá que reconfigurar as configurações. Backups agendados são armazenados em discos rígidos.com/fwlink/?LinkId=82917. que podem ajudar a preparar um armazenamento adicional para atender seus objetivos relacionados ao tempo de recuperação. Não pode recuperar backups que criou com o Backup do Windows usando o Backup do Windows Server. No entanto. No entanto a versão para download do Backup do Windows não pode ser usada para criar backups no Windows Server “Longhorn”. Você também pode automatizar as atividades de backup através dos scripts. • Suporte extensivo de linha de comando. Para fazer o download do Backup do Windows (Ntbackup. Nota A nova ferramenta Backup não usa dispositivos de armazenamento em fita – o uso de discos externos e internos.exe). Você precisará de um disco separado e dedicado para executar backups agendados. Você pode fazer backups manuais de volumes diretamente para DVD. Isso pode ser uma solução fácil se você quiser criar backups externos para fins específicos. O Backup agora vem com suporte e documentação extensivos de linha de comando para permitir que você desempenhe quase todas as mesmas tarefas que podem ser feitas com a ferramenta de gerenciamento. Suporte para mídia de DVD. • • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . DVDs e pastas compartilhadas são suportados. o suporte de drivers para fita ainda está incluído no Windows Server “Longhorn”.exe) e planeja mudar para o novo Backup do Windows Server. Se você é atualmente usuário do Backup do Windows (Ntbackup.250 gerenciamento exibe os backups que estão disponíveis e as informações sobre uso do disco. O Backup também tem suporte a backup manual para pastas e discos rígidos compartilhados.microsoft.

Os contadores de desempenho. o console deve ser executado como membro do grupo de Administradores ou do Grupo de Usuários de Registro do Desempenho. e o Monitor de Sistema. provedores de acompanhamento de eventos e outros elementos de código anteriores. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para criar Conjuntos de Coletores de Dados. o console deve ser executado como membro do grupo de Administradores. não precisam mudar para trabalhar com o novo Monitor de Confiabilidade e Desempenho do Windows ou seus recursos. incluindo os Registros e Alertas de Desempenho. o Consultor de Desempenho do Servidor. esse recurso foi chamado de Console de Diagnóstico de Desempenho do Windows. Nota Em algumas versões prélançamento do Windows.251 7. Para visualizar o estado em tempo real na Visualização de Recursos. O Monitor de Confiabilidade e Desempenho do Windows é um snap-in do MMC que combina a funcionalidade de ferramentas independentes anteriores. fornecendo uma visualização gráfica de seu relacionamento. Ele também inclui o Monitor de Confiabilidade. relacionados a desempenho. Ele oferece uma interface gráfica para personalizar a coleção de dados do desempenho e as Sessões de Acompanhamento de Eventos. O Monitor de Confiabilidade e Desempenho do Windows é uma ferramenta destinada ao uso por profissionais de TI ou administradores de computador. configurar registros ou visualizar relatórios. que fornece aos profissionais de TI as ferramentas para monitorar e avaliar o desempenho e a confiabilidade do sistema.08 Monitor de Confiabilidade e Desempenho do Windows O Windows Server “Longhorn” inclui o Monitor de Confiabilidade e Desempenho do Windows. um snap-in do MMC que acompanha as alterações no sistema e as compara a alterações na estabilidade do sistema.

Uma vez que um grupo de coletores de dados é armazenado como um Conjunto de Coletores de Dados. que agrupa coletores de dados em elementos reutilizáveis para uso em diferentes cenários de monitoramento de desempenho. Além disso. Os recursos de Registros e Alertas de Desempenho foram incorporados ao Monitor de Confiabilidade e Desempenho do Windows para uso com qualquer Conjunto de Coletores de Dados. que fornece uma visão geral gráfica em tempo real da CPU.252 Os recursos do Monitor de Confiabilidade e Desempenho do Windows que são novos para o Windows Server “Longhorn” incluem o seguinte. salvando essa configuração como um modelo. operações como o agendamento podem ser aplicadas a todo o conjunto através de uma única alteração de propriedade. Assistentes e Modelos para Criação de Registros A adição de contadores a arquivos de registro e o agendamento de seu início. Em versões anteriores do Windows. Visualização de Recursos A página inicial do Monitor de Confiabilidade e Desempenho do Windows é a nova tela de Visualização de Recursos. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Conjuntos de Coletores de Dados Um novo recurso importante do Monitor de Confiabilidade e Desempenho do Windows é o Conjunto de Coletores de Dados. interrupção e duração agora podem ser feitos através da interface de um Assistente. os administradores de sistema podem identificar quais processos estão usando quais recursos. Expandido cada um desses elementos monitorados. O Monitor de Confiabilidade e Desempenho do Windows também inclui modelos padrão de Conjunto de Coletores de Dados para ajudar os administradores de sistema a começar a coletar dados de desempenho específicos de uma Função de Servidor ou cenário de monitoramento imediatamente. rede e uso da memória. os administradores de sistema podem coletar o mesmo registro em computadores subseqüentes sem repetir a seleção de coletores de dados e processos de agendamento. disco.

agendamento e modificação é a mesma. a interface para criação. Monitor de Confiabilidade O Monitor de Confiabilidade calcula o Índice de Estabilidade do Sistema. Visualizando as alterações do sistema (instalação ou remoção de aplicações. Inclusive o Agendamento Seja na criação de um Conjunto de Coletores de Dados para uso em uma única vez ou para atividade contínua de registro. Se um Conjunto de Coletores de Dados prova que é útil para o futuro monitoramento de desempenho. adição ou modificação de drivers) lado a lado com as falhas (de aplicação. Configuração Unificada de Propriedades para Toda a Coleção de Dados. Um gráfico do Índice de Estabilidade em um período de tempo identifica rapidamente as datas em que os problemas começaram a ocorrer. Relatórios de Diagnóstico Fáceis de Usar Os usuários do Consultor de Desempenho do Servidor no Windows Server 2003 podem agora encontrar os mesmos tipos de relatórios de diagnóstico no Monitor de Confiabilidade e Desempenho do Windows no Windows Server “Longhorn”. de sistema operacional ou de hardware). O Relatório de Estabilidade do Sistema que acompanha o Índice fornece detalhes para ajudar a resolver a causa raiz da redução de confiabilidade. que reflete se problemas inesperados reduziram a confiabilidade do sistema.253 esses dados específicos de processos em tempo real só eram disponíveis de forma limitada no Gerenciador de Tarefas. Assim os administradores de sistema podem repetir relatórios e avaliar como as alterações afetaram o desempenho ou as recomendações do relatório. uma estratégia para lidar com os problemas pode ser desenvolvida rapidamente. atualizações no sistema operacional. Pode ser reconfigurado ou copiado como um modelo. O tempo de geração dos relatórios foi melhorado e os relatórios podem ser criados com dados coletados através do Conjunto de Coletores de Dados. Guia do Revisor do Windows Server “Longhorn” Beta 3 . não precisa ser recriado.

09 Serviços de Implantação do Windows Os Serviços de Implantação do Windows. Componentes de cliente. que contêm imagens de inicialização. particularmente o Windows Vista. Esses componentes são um conjunto de ferramentas que você usa para gerenciar o servidor. Você pode usá-los para instalar novos computadores usando uma instalação baseada em rede. Esses componentes incluem um servidor de Ambiente de Pré-Boot Execution (PXE) e um servidor de Protocolo de Transferência de Arquivos Simples (TFTP) para inicializar por rede um cliente para carregar e instalar um sistema operacional. Também estão incluídos um repositório de imagem e uma pasta compartilhada. de instalação. as imagens do sistema operacional e as contas do computador cliente. Esses componentes são organizados nestas três categorias: • Componentes de servidor. Componentes de gerenciamento. versão atualizada e reprojetada dos Serviços de Instalação Remota (RIS). Você também pode usar os Serviços de Implantação do Windows para redefinir os propósitos dos computadores existentes. • • Os Serviços de Implantação do Windows ajudam na rápida adoção e implantação de sistemas operacionais Microsoft Windows. e arquivos que você precisa especificamente para inicialização por rede.254 7. são um pacote de componentes que trabalham juntos no Windows Server “Longhorn” para ativar a implantação de sistemas operacionais Windows. Isso significa que você não tem que estar fisicamente presente diante de cada computador e não tem que instalar diretamente a partir de um CD ou DVD. O público-alvo inclui: • • Planejadores ou designers de TI corporativos Especialistas em implantação interessados em implantar imagens em computadores sem sistemas operacionais Os seguintes requisitos devem ser atendidos antes de instalar a função Serviços de Implantação do Windows: Guia do Revisor do Windows Server “Longhorn” Beta 3 . Você pode usar os Serviços de Implantação do Windows em qualquer organização que esteja interessada em simplificar as implantações e aumentar a consistência de seus computadores baseados em Windows. Esses componentes incluem uma GUI que é executada dentro do Ambiente de Pré-Instalação do Windows (Windows PE) e se comunica com os componentes de servidor para selecionar e instalar uma imagem de sistema operacional.

Associar arquivos de instalação autônoma a uma imagem. Imagens de captura são usadas para capturar imagens do Windows preparadas com Sysprep. Criar uma imagem de descoberta. Imagens de instalação são as imagens que você implanta no computador cliente. todas as configurações de domínio e floresta suportam os Serviços de Implantação do Windows. que fornece gerenciamento rico de todos os recursos dos Serviços de Implantação do Windows. Credenciais administrativas. Para iniciar o cliente de Serviços de Implantação do Windows. O servidor que está executando os Serviços de Implantação do Windows requer um volume de sistema de arquivos NTFS para o armazenamento de imagem. Um servidor com Serviços de Implantação do Windows deve ser membro de um domínio do Active Directory ou ser um controlador de domínio para um domínio do Active Directory. Um volume de NTFS no servidor de Serviços de Implantação do Windows. você deve ser um membro do grupo de Usuários do Domínio. Um servidor de Sistema de Nomes de Domínio em funcionamento na rede é necessário para executar os Serviços de Implantação do Windows.exe para implantação como imagens de instalação. As versões do domínio e da floresta do Active Directory são irrelevantes. pois os Serviços de Implantação do Windows usam o Ambiente de Pre-Boot Execution (PXE). • • • • Esses Serviços incluem o snap-in do MMC de Serviços de Implantação do Windows. DNS. Esses aperfeiçoamentos suportam a implantação dos sistemas operacionais Windows Vista e Windows Server “Longhorn”. A instalação dos Serviços de Implantação do Windows requer que o administrador seja um membro do grupo de Administradores Locais no servidor de Serviços de Implantação do Windows. Imagens de descoberta são usadas para implantar o sistema operacional Windows em computadores que não suportam a inicialização PXE. Os Serviços de Implantação do Windows também oferecem vários aperfeiçoamentos feitos no conjunto de recursos dos Serviços de Instalação Remota (RIS). que por sua vez usa o DHCP. • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Você deve ter um servidor de Protocolo de Configuração Dinâmica de Host (DHCP) em funcionamento com um escopo ativo na rede. Com os Serviços de Implantação do Windows você pode: • Criar uma imagem de captura.255 • Serviços de Domínio do Active Directory. Criar uma imagem de instalação. DHCP.

faça o seguinte: 1. 5. Procure e selecione a nova imagem de captura. Clique em Create Capture Boot Image. e quando ele terminar. 3.256 • Ativar transmissão multicast de uma imagem. Abra o Server Manager. Criar uma Imagem de Instalação Você pode construir imagens de instalação a partir de instalações de referência do sistema operacional Windows e implantá-las nos computadores cliente. Criar uma Imagem de Captura Você pode capturar imagens dos sistemas operacionais Windows que foram preparadas com o Sysprep. Clique com o botão direito na pasta da imagem de inicialização. e depois implantá-las como imagens de instalação. 9. Siga as instruções no assistente. Clique em Add Boot Image. Abra o snap-in do MMC de Windows Deployment Services. Clique com o botão direito na imagem a ser usada como imagem de captura. e então clique em Next. Imagens de captura são imagens de inicialização que iniciam o Assistente de Captura de Imagens. Guia do Revisor do Windows Server “Longhorn” Beta 3 . 10. os dados são enviados pela rede apenas uma vez. Para criar uma imagem de captura. Siga as instruções no assistente. 2. Antes a imagem de captura era um procedimento complexo de linha de comando. 7. 4. Quando você ativa uma transmissão multicast para uma imagem. clique em Finish. 8. Expanda a pasta Boot Image folder. Uma instalação de referência pode ser uma instalação padrão do Windows ou uma instalação do Windows que foi configurada para um ambiente ou usuário específico antes da criação da imagem. O Assistente de Captura de Imagens abre a captura de imagens para administradores de nível mais baixo que talvez não estejam familiarizados com o trabalho em um aviso de comando. Imagens de captura são salvas primeiro em um arquivo e depois adicionadas ao armazenamento de imagens. 6.

Na página do Image Capture Wizard (Assistente de Captura de Imagens).257 Para capturar uma imagem de instalação usando o Assistente de Captura de Imagens. Digite o nome do servidor de Serviços de Implantação do Windows. digite sysprep /? 4. No Gerenciador de Inicialização do Windows. 6. 2. Nota Essa estrutura de pastas é válida somente para o Windows Server “Longhorn” e o Windows Vista. 9. role para a imagem de captura que você criou anteriormente. 7. Na página Image Capture Destination. Para o Windows Server 2003 e o Windows XP. Quando o computador de referência reiniciar. use a versão apropriada do Sysprep a partir do Deploy. e então forneça um nome e uma descrição para a imagem. Digite sysprep /OOBE /generalize /reboot Nota Essa sintaxe é válida somente para o Windows Server “Longhorn” e o Windows Vista. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Em uma janela de Aviso de Comando no computador de referência.exe e Setupcl. use o controle de seleção Volume to Capture para escolher o volume apropriado. Para verificar a sintaxe para outra versão do Windows. clique em Browse e navegue para o local em que quer armazenar a imagem capturada. 11. clique em Next. 10. mova as pastas para \Windows\System32\Sysprep ou a pasta que contém Sysprep. Clique em Upload image to WDS server. aperte F12. Na página de Image Capture Source. Realize uma instalação de referência em um computador que será usado como referência. e então clique em Connect. forneça um nome e uma senha de usuário para uma conta com privilégio 12.wim. Na caixa de texto File name. 5. Clique em Next para continuar. 8. digite um nome para a imagem usando a extensão de nome de arquivo .cab. faça o seguinte: 1.exe. Se for alertado sobre credenciais. 3. e então clique em Save.

13.258 suficiente para conectar-se ao servidor de Serviços de Implantação do Windows. • Para automatizar qualquer um dos estágios. escolha o grupo de imagens no qual quer armazenar a imagem. Ele é usado para configurar opções de instalação autônoma durante a Instalação do Windows e é armazenado em uma subpasta (estrutura $OEM$ ou \Unattend) na pasta por imagem. eliminando a necessidade de suportar e gerenciar utilitários de linha de comando sensíveis à versão. serviços offline. Esse arquivo usa o Unattend. A atribuição no nível do cliente ignora as configurações do nível do servidor. dependendo da versão do sistema operacional na imagem. Ele é usado para automatizar as telas da interface de usuário do cliente de Serviços de Implantação do Windows (tais como a inserção de credenciais. a escolha de uma imagem de instalação e a configuração do disco). Essa abordagem de dois estágios é realizada através de dois arquivos diferentes de instalação autônoma. copie-o para o local apropriado e atribua-o para uso.xml. Arquivo autônomo de imagem. 14.xml ou o Sysprep. Associar um Arquivo de Instalação Autônoma a uma Imagem Os Serviços de Implantação do Windows permitem que você automatize o cliente de Serviços de Implantação do Windows e os últimos estágios da Instalação do Windows.inf. Na lista de Grupo de Imagens. permitindo que você tenha configurações diferentes para clientes baseados em x86 e x64. Clique em Finish. Você pode usar o Assistente de Captura de Imagens em vez de ferramentas de linha de comando. especialização do Sysprep e mini-instalação). É usado para automatizar as fases remanescentes de instalação (por exemplo. Você pode atribuí-lo no nível do servidor ou do cliente. crie um arquivo Unattend. Usando o Assistente de Captura de Imagens você pode inicializar um computador para capturar uma imagem de sistema operacional do mesmo modo que faria para instalar um sistema operacional. Esse arquivo usa o formato Unattend. A atribuição no nível do servidor pode depois ser quebrada pela arquitetura. • Arquivo autônomo do cliente de Serviços de Implantação do Windows. Você pode configurar a instalação autônoma usando os seguintes passos: Guia do Revisor do Windows Server “Longhorn” Beta 3 .xml e é armazenado no servidor de Serviços de Implantação do Windows na pasta \WDSClientUnattend.

xml com configurações aplicáveis ao cliente de Serviços de Implantação do Windows.xml para RemoteInstall\WDSClientUnattend. 2. 2. 5.259 1. Na guia Cliente. Clique em OK duas vezes para fechar a página de propriedades. e então clique em Open. digite o seguinte. de acordo com o que você está configurando – o cliente de Serviços de Implantação do Windows ou a Instalação do Windows. Recomendamos que você use o Gerenciador de Imagens de Sistema do Windows (incluído como parte do Kit de Instalação Automatizada do Windows (AIK)) para a autoria dos arquivos de instalação autônoma. 7. em que <relative path> é o caminho da pasta compartilhada REMINST à pasta que contém WdsClientUnattend. selecione Enable unattended installation. faça o seguinte: Guia do Revisor do Windows Server “Longhorn” Beta 3 . Copie o arquivo Unattend.xml: WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC address> /WdsClientUnattend:<relative path> Configurando a Instalação Autônoma na Instalação do Windows Para associar um arquivo autônomo de imagem a uma imagem. Crie um arquivo Unattend. Para associar um arquivo autônomo de cliente por computador 1. 6. faça o seguinte: 1. 3. Clique com o botão direito no servidor de Serviços de Implantação do Windows que contém a imagem do Windows Vista ou Windows Server “Longhorn” à qual você quer associar o arquivo autônomo. Em uma janela de Aviso de Comando. Expanda a lista no painel esquerdo para expor a lista de Servers. Associe o arquivo de instalação autônoma a um tipo de imagem ou computador. Crie um arquivo autônomo apropriado. Configurando Arquivo Autônomo para Cliente de Serviços de Implantação do Windows Para associar um arquivo autônomo de cliente pela arquitetura. 4. Abra o snap-in do MMC de Serviços de Implantação do Windows. navegue para o arquivo autônomo apropriado. e clique em Properties.

A partir do snap-in do MMC de Serviços de Implantação do Windows. seguindo as convenções de $OEM$. Clique em Select File.com/fwlink/?LinkId=66136). e os conteúdos são aplicados à imagem. 5. Para fechar Image Properties. 2. ou navegue para escolher o arquivo autônomo. Após aplicar a imagem a um novo computador usando os Serviços de Implantação do Windows.inf a uma imagem do Windows XP ou Windows Server 2003.260 1. 5. modifique o registro usando um script). Nota Para mais informações sobre o Sysprep. crie uma pasta com o mesmo nome da imagem à qual você quer associar o arquivo Sysprep. 4. Por exemplo: copy C:\Sysprep. clique para expandir o grupo de imagens que contém imagens do Windows Vista ou Windows Server “Longhorn”.inf que seja apropriado para a imagem para a pasta $OEM$. No grupo de imagens que contém a imagem do Windows XP. Adicione arquivos (por exemplo um diretório de ferramentas) e faça outras alterações conforme o necessário (por exemplo.microsoft. Guia do Revisor do Windows Server “Longhorn” Beta 3 . 3.inf. toda a pasta $OEM$ é copiada a uma unidade no novo computador. Os arquivos autônomos permitem que você automatize tarefas de instalação comuns e padronize configurações para sua organização. Por exemplo: md C:\RemoteInstall\Images\imagegroupname\imagename 3. Clique com o botão direito na imagem à qual quer associar o arquivo autônomo. mova as pastas para o grupo de imagens que contém uma imagem do Windows XP ou Windows Server 2003. veja Projetando Tarefas de Instalação Automatizada em (http://go. 6. Clique em Allow image to install in unattend mode. Para associar o Sysprep. faça o seguinte: 1.inf e a pasta $OEM$.inf C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$ 4. Em uma janela de Aviso de Comando. e então clique em OK. 2. e então clique em Properties. clique em OK. Insira o nome e o caminho. Copie um arquivo Sysprep.

Para criar uma pasta langpacks para a língua japonesa. Na pasta do grupo de imagens que contém a imagem. pode agora construir uma imagem e associar 13 pacotes de idiomas à imagem. digite: md c:\remoteinstall\images\vista\install\langpacks\ja-jp 4. O seguinte procedimento descreve como associar um pacote de idiomas a uma imagem do Windows. crie uma pasta para cada pacote de idiomas que você quer instalar. reduzindo o número de imagens que precisa manter. Se sua organização suporta várias línguas. As imagens de descoberta são salvas em um arquivo.261 Os Serviços de Implantação do Windows fornecem várias opções para associar arquivos autônomos a imagens de inicialização e instalação. 2. Por exemplo. Por exemplo. Associar um Pacote de Idiomas a uma Imagem de Instalação Você pode associar múltiplos pacotes de idiomas a uma única imagem. Nessa pasta. Você pode associar um pacote de idiomas a uma imagem em vez de criar imagens únicas para cada língua. crie uma pasta com o mesmo nome do arquivo de imagem. se você suporta atualmente 13 línguas por imagem. os pacotes de idiomas vão poupar tempo na criação e atualização de imagens. Guia do Revisor do Windows Server “Longhorn” Beta 3 . convertidas para um formato ISO. e então copiadas para um CD ou DVD. faça o seguinte: 1. se o grupo de imagens se chama Vista e a imagem se chama Install. crie uma pasta chamada langpacks. Nota Pacotes de idiomas são suportados apenas nos sistemas operacionais Windows Vista e Windows Server “Longhorn”. Copie o pacote de idioma Japonês para: C:\Remoteinstall\images\vista\install\langpacks\ja-jp. Imagens de descoberta são imagens de inicialização que iniciam o Assistente de Descoberta dos Serviços de Implantação do Windows. Para associar um pacote de idiomas a uma imagem. Criar uma Imagem de Descoberta Imagens de descoberta são usadas para implantar o sistema operacional Windows em computadores que não suportam a inicialização PXE. Para usar um pacote de idiomas. crie a estrutura de pastas apropriada e copie o pacote de idiomas. digite: md c:\remoteinstall\images\vista\install\langpacks 3. Na pasta langpacks.

Escolha um local e um nome para o novo arquivo. Escolha um nome e uma descrição para a imagem de descoberta. Em uma janela de Aviso de Comando. Clique em Finish. 7. Expanda a pasta Imagem de Inicialização. digite: Oscdimg -n -bc:\winpe\ISO\boot\etfsboot. Para criar a imagem ISO inicializável. Para copiar arquivos de inicialização do Windows AIK.wim c:\Winpe\Sources 3. Guia do Revisor do Windows Server “Longhorn” Beta 3 .iso 6. 5. 2. Clique em Create Discover Boot Image. 8. 6. 5. Abra o snap-in do MMC de Serviços de Implantação do Windows. digite os seguintes comandos: Md c:\Winpe\Boot Md c:\Winpe\Sources 2. faça o seguinte: 1. 4. Clique em Next para criar a imagem de captura.262 Para associar um pacote de idiomas a uma imagem.com c:\winpe\ISO c:\winpe. usando a extensão de nome de arquivo . digite: Xcopy c:\Program Files\Windows AIK\tools\<architecture>\boot c:\WinPE\boot 4. Clique com o botão direito na imagem a ser usada como imagem de descoberta. Mova a pasta para C:\Program files\Windows AIK\tools\<architecture>.wim. Para criar mídia inicializável. digite: Copy c:\boot. 3. faça o seguinte: 1. Para copiar a imagem de descoberta criada no procedimento anterior. Use uma ferramenta de cópia em CD que pode criar um CD ou DVD para transferir a imagem ISO à mídia apropriada.

assim que um cliente aplicável solicita uma imagem de instalação. • Cast Agendado. Se você não selecionar um desses quadros de seleção. O multicasting fica desativado por padrão. • Quando você cria uma transmissão. os dados não serão enviados pela rede. Quando você cria uma transmissão multicast para uma imagem. o que pode reduzir drasticamente a largura de banda da rede que é usada. Quando você seleciona essa opção. com base no número de clientes que estão solicitando uma imagem e/ou um dia e horário específicos. Clique com o botão direito em uma imagem. clicando com o botão direito na transmissão e depois em Iniciar. Então. você pode iniciar uma transmissão manualmente a qualquer momento. uma transmissão multicast da imagem selecionada inicia. Guia do Revisor do Windows Server “Longhorn” Beta 3 . e então clique em Create Multicast Transmission. e então clique em Create Multicast Transmission. os computadores que não suportam a inicialização PXE não podem acessar os recursos dos Serviços de Implantação do Windows. Note que além desses critérios. Essa opção estabelece os critérios de início para a transmissão. conforme outros clientes solicitam a mesma imagem. tem que iniciar manualmente a transmissão. Você tem duas opções para criar uma transmissão multicast: • Clique com o botão direito no nó Multicast Transmission.263 Você pode usar uma imagem de descoberta de um computador que não suporta a inicialização PXE para iniciar a instalação a partir de um servidor de Serviços de Implantação do Windows. tem duas opções para o tipo de multicast: • Auto-Cast. Essa opção indica que o multicasting está sempre ligado. Se nenhum cliente estiver conectado (isto é. Ativar Transmissão Multicast de uma Imagem O multicasting permite que você implante uma imagem em um grande número de computadores cliente sem sobrecarregar a rede. Nota Os conteúdos apenas são transferidos pela rede se os clientes estiverem solicitando dados. os dados são enviados pela rede apenas uma vez. eles também são vinculados à transmissão que já iniciou. Sem um disco de descoberta. a transmissão está inativa).

Nota Os servidores de Serviços de Implantação do Windows com Windows Server “Longhorn” não são capazes de implantar imagens de RIS mais antigas (RISETUP ou RIPREP). precisa instalar a função de servidor Serviços de Implantação do Windows. Você precisará converter suas imagens atuais para o formato WIM. Se você tem uma infra-estrutura de RIS existente. Aplicar o Windows Server 2003 SP2. Para preservar sua infra-estrutura de RIS existente enquanto utiliza os Serviços de Implantação do Windows para implantar o Windows Vista e o Windows Server “Longhorn”. e depois instalar o componente opcional em Adicionar/Remover Componentes do Windows. você usará uma combinação de imagens. e pacotes de idiomas para personalizar instalações individuais. Guia do Revisor do Windows Server “Longhorn” Beta 3 . • • Recursos Adicionais Os seguintes recursos oferecem informações adicionais sobre os Serviços de Implantação do Windows: • Para informações mais detalhadas sobre os Serviços de Implantação do Windows.microsoft. precisa converter suas imagens atuais para o formato WIM.com/fwlink/?LinkId=81030). pode atualizar esses servidores diretamente para o Windows Server “Longhorn”.microsoft. as telas de RIS OSChooser não são suportadas. Os Serviços de Implantação do Windows no Windows Server “Longhorn” não suportam imagens RIPREP ou RISETUP criadas por ferramentas de RIS.se você já tem servidores de RIS instalados em seu ambiente: • Se você tem servidores de RIS já existentes ou servidores do Windows Server 2003 com a atualização dos Serviços de Implantação do Windows. Se você está implantando novos servidores de Serviços de Implantação do Windows com o Windows Server “Longhorn”.com/fwlink/?LinkId=81031). Além disso. você pode seguir um destes passos em seus servidores de RIS existentes: • Instalar a atualização dos Serviços de Implantação do Windows a partir do Windows AIKt (http://go. vá à Visão Geral dos Serviços de Implantação do Windows(http://go. Em vez disso. opções de instalação autônoma.264 Implantação O modo como você implanta os Serviços de Implantação do Windows depende de um fator .

Se você é um beta tester e membro do programa beta chamado Programa de Adoção de Tecnologia (TAP).com/fwlink/?LinkId=50067). veja o site da Microsoft (http://go. pode entrar em contato com o membro da equipe de desenvolvimento da Microsoft que designou para obter assistência. visite o site do Microsoft Connect (http://go. siga as instruções fornecidas no Microsoft Connect (http://go.microsoft.265 • Para o Guia Passo a Passo dos Serviços de Implantação do Windows.com/fwlink/?LinkId=66145). Se você precisa de suporte ao produto.microsoft.com/fwlink/?LinkId=49779). Para mais informações sobre o Windows AIK. veja o Guia do Usuário sobre o Kit de Instalação Automatizada do Windows para Windows Vista (http://go.microsoft. • • • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . Para acessar grupos de notícias para os Serviços de Implantação do Windows.com/fwlink/?LinkID=53552).microsoft.

........03 Balanceamento de Carga de Rede ..........01 Introdução à Alta Disponibilidade..............273 Guia do Revisor do Windows Server “Longhorn” Beta 3 .............................02 Clustering Failover ............268 8............266 Seção 8: Alta Disponibilidade 8...................267 8....

proporcionando ao usuário uma interface mais simples para criação. As principais propostas de valor que a alta disponibilidade oferece são: • Com a nova interface de gerenciamento.267 8. a complexidade é reduzida. o Clustering Failover fornece um recurso fácil de ser usado em serviços e aplicações de missão crítica. A nova funcionalidade possibilita a implementação em ambientes geograficamente dispersos. Proposta de Valor do Cenário O Clustering Failover no Windows Server “Longhorn” fornece novos recursos que podem ser usados por uma organização para implementar uma estratégia de alta disponibilidade ao tornar os servidores de cluster uma opção inteligente de negócios para a corporação. permitindo que a tecnologia se adapte ao ambiente do cliente. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Como parte do Windows Server “Longhorn”. Ao minimizar os problemas iniciais de configuração através das novas ferramentas. • • Requisitos Especiais de Hardware O hardware deve estar na Lista de Compatibilidade de Hardware. gerenciamento e utilização dos servidores clusterizados.01 Introdução à Alta Disponibilidade Fornecer serviços altamente disponíveis para aplicações e serviços críticos é fundamental para qualquer departamento de TI. os custos de suporte e o tempo para implementação também foram reduzidos. Este cenário enfoca alta disponibilidade: Melhorias em Clustering Failover que estarão disponíveis para aplicações implantadas no Windows Server® “Longhorn”.

Além disso. Testes de rede. Testes de armazenamento. Estes testes analisam se as redes de clusters planejadas atendem a requisitos específicos que estabelecem. tornando-os mais seguros e aprimorando a estabilidade. por exemplo.268 8. Os Clusters Failover são usados por profissonais de TI que precisam oferecer alta disponibilidade para serviços ou aplicações. Estes testes analisam se os servidores selecionados atendem a requisitos específicos que estabelecem. Os usuários vivenciam interrupções mínimas no serviço. outro nó passa a oferecer o serviço (um processo chamado de failover). assim como a forma como um Cluster Failover se comunica com um armazenamento.” as melhorias dos clusters failover (antes chamados de clusters de servidores) têm como objetivos simplificar os clusters. a configuração completa (servidores. Se um nó de cluster falhar. O assistente inclui os seguintes tipos de testes: • Testes de nós. por exemplo.02 Clustering Failover No Microsoft® Windows Server “Longhorn. Os servidores clusterizados (chamados de nós) são conectados por cabos físicos e por software. A segurança e a rede de clusters foram aprimoradas. A Microsoft apenas suporta uma solução de cluster se todos os componentes de hardware da solução estiverem com o logotipo de compatibilidade “Designed for Windows Server ‘Longhorn’”. A configuração e o gerenciamento de clusters tornaram-se mais fáceis. Estes testes analisam se o armazenamento atende a requisitos específicos que estabelecem. rede. se o armazenamento suporta Guia do Revisor do Windows Server “Longhorn” Beta 3 • • . do armazenamento e da rede é adequada para um cluster. que os servidores devem executar a mesma versão do sistema operacional e as atualizações de software. que está incluído no software de gerenciamento de Cluster Failover. que deve haver pelo menos duas sub-redes separadas para a redundância de rede. Novo Assistente de Validação Ao usar o novo assistente de validação nos Clusters Failover. Um Cluster Failover é um grupo independente de computadores que trabalha em conjunto para aumentar a disponibilidade de aplicações e serviços. por exemplo. você pode executar testes para determinar se sua configuração do sistema. e armazenamento) deve passar por todos os testes do assistente Validate a Configuration (Validar uma Configuração).

e não de seu cluster. Você pode usar a linha de comando ou o Windows® Management Instrumentation (WMI) para executar mais tarefas do que nas versões anteriores. facilitando o desempenho de tarefas como a criação de uma pasta compartilhada altamente disponível. Você pode enfocar o gerenciamento de suas aplicações. Use a linha de comando ou o WMI para trabalhar com um cluster. • Adicione rapidamente recursos clusterizados à sua configuração. Os discos de GPT fornecem maior robustez e tamanho de disco. os discos GPT podem ter partições maiores do que 2 terabytes e possuem redundância nativa na forma como a informação é armazenada nas partições. Melhorias na Configuração e Migração Os Clusters Failover no Windows Server “Longhorn” permitem que você execute tarefas de configuração e migração mais facilmente do que nos clusters de servidor das versões anteriores. • • Guia do Revisor do Windows Server “Longhorn” Beta 3 . • Melhorias nas Interfaces de Gerenciamento Os Clusters Failover no Windows Server “Longhorn” permitem que você execute tarefas de gerenciamento e operações mais facilmente do que nos clusters de servidor das versões anteriores. gerenciar e relatar informações sobre a seqüência de eventos que ocorreram no cluster. As configurações do grupo de recursos podem ser capturadas de um cluster que esteja executando o Windows Server 2003. • Configure um cluster. Em vez de trabalhar com o log do cluster. Migre as informações de configuração de um cluster para outro. Com os Clusters Failover. Solucione problemas em um cluster. diferentemente dos discos de registro mestre de inicialização (MBR). e depois elas são aplicadas a um cluster executando o Windows Server “Longhorn”. Especificamente. Suporte para Discos GPT no Armazenamento de Clusters Os discos da tabela de partição GUID (GPT) são suportados no armazenamento de Clusters Failover. A configuração do cluster também pode ser feita totalmente através de scripts para que você possa automatizar sua implantação. O assistente de Configuração de Cluster foi simplificado para que você possa fazer a configuração em um só passo. você pode usar os dois tipos de discos. você pode usar o Rastreamento de Eventos do Windows para agregar. A interface para administrar um cluster é mais simples e intuitiva.269 corretamente os comandos SCSI necessários e se ele lida corretamente com as ações de clusters simuladas.

Outro exemplo: o cluster irá usar métodos aprimorados para garantir a consistência entre as cópias do banco de dados de configuração do cluster. Você pode controlar ou “definir o escopo” de sua vizualização das pastas compartilhadas para que fique mais fácil saber quais pastas foram clusterizadas e em qual cluster uma pasta compartilhada está disponível. você pode usar dois modelos de clusters que já existiam antes – o modelo de recursos de quorum e o modelo de conjunto de nós principais – ou ainda. a infra-estrutura de software que lida com os recursos clusterizados vai isolar as bibliotecas de vínculos dinâmicos (DLLs) que executam ações incorretamente. em um cluster de dois nós. • Melhorias na Estabilidade e na Segurança para Maior Disponibilidade Com os Clusters Failover no Windows Server “Longhorn. Por exemplo.270 • Use o Serviço de Cópia de Volume de Sombra para capturar backups. você pode especificar que caso o quorum se torne indisponível.” as melhorias na infra-estrutura de clusters o ajudam maximizar a disponibilidade dos serviços que você disponibiliza para os usuários. minimizando o impacto sobre o cluster. Alcance maior confiabilidade e disponibilidade graças às melhorias na infra-estrutura do cluster. Controle a forma como você visualiza as pastas compartilhadas que foram clusterizadas. Podem fazer o seguinte: • Configure seu cluster para que o recurso de quorum não seja um ponto de falha único. o cluster continuará em execução enquanto as cópias do banco de dados de configuração do cluster nos dois nós permanecerem disponíveis. Podem fazer o seguinte: • Disponibilize discos adicionais para o cluster enquanto as aplicações estiverem online. • Melhorias na Forma como um Cluster Trabalha com o Armazenamento Os Clusters Failover no Windows Server “Longhorn” permitem que você alcance melhor desempenho com seu armazenamento do que nos clusters de servidor das versões anteriores. Com as melhorias nos Clusters Failover. Por exemplo. o Guia do Revisor do Windows Server “Longhorn” Beta 3 . Você pode modificar as dependências dos recursos enquanto eles estiverem online. A integração completa com o Serviço de Cópia de Volume de Sombra facilita o backup e a restauração da configuração de seu cluster. A infra-estrutura do cluster foi aprimorada para ajudá-lo a alcançar maior confiabilidade e disponibilidade com os Clusters Failover. um híbrido dos dois modelos.

você pode ajudar as dependências entre um nome da rede e os endereços de IP associados para que o nome da rede esteja disponível se um dos endereços de IP (e não ambos) estiver disponível. quando os nós transmitem e recebem “pulsações” para confirmar que cada nó ainda está disponível. Os discos nunca são deixados em um estado desprotegido. Alcance maior segurança através das melhorias na segurança e da auditoria do acesso ao cluster. que é totalmente integrado com os Clusters Failover. Além disso. As melhorias na segurança nos Clusters Failover aprimoram os processos de autenticação e criptografia. Isto simplifica o transporte do tráfego SMB (Server Message Block) e significa que você não tem as transmissões de resolução de nome do Windows Internet Name Service (WINS) e NetBIOS. Melhorias na Rede e na Segurança Com os Clusters Failover no Windows Server “Longhorn”. Os Clusters Failover suportam totalmente o IPv6 tanto na comunicação de nó para nó. • Execute tarefas de manutenção de disco mais facilmente. Alcance maior confiabilidade através de outras melhorias na rede. que é menos confiável. com menos interrupções para o cluster. quanto na comunicação de nó para cliente. fazer o backup ou a restauração de discos mais facilmente. Use o DNS sem as dependências do NetBIOS do legado. Por exemplo. • Obtenha melhor desempenho e estabilidade com o seu armazenamento. Os Clusters Failover suportam três tipos de conexões de armazenamento: Serial Attached SCSI (SAS). Além disso. o que significa que o risco de corrupção em volume é reduzido. corrigir. ele utiliza os comandos que menos atrapalham (evitando reconfigurações no barramento SCSI). iSCSI e Fibre Channel. você pode usar a auditoria para capturar informações sobre quem acessou seu cluster e quando ele foi acessado. Os Clusters Failover também suportam métodos aprimorados de descoberta e recuperação de disco. Quando um Cluster Failover se comunica com o seu SAN ou DAS. Guia do Revisor do Windows Server “Longhorn” Beta 3 • • • . o desempenho da rede e da segurança foi aprimorado em relação aos lançamentos anteriores. eles utilizam o protocolo TCP (Transmission Control Protocol) em vez do protocolo UDP (User Datagram Protocol). Podem fazer o seguinte: • Use o IPv6.271 que significa que você pode disponibilizar um disco adicional sem interromper o acesso à aplicação que irá utilizá-lo. O “modo de manutenção” foi aprimorado para que você possa executar ferramentas para verificar.

O hardware que suporta um cluster de servidor executando o Windows Server 2003 não necessariamente suportará um Cluster Failover executando o Windows Server “Longhorn”. Isto será necessário principalmente se você estiver usando este hardware atualmente para um cluster de servidor executando o Windows Server 2003. Observe que Você não pode executar a atualização de um cluster de servidor que esteja executando o Windows Server 2003 para um Cluster Failover executando o Windows Server “Longhorn”. após ter criado um Cluster Failover executando o Windows Server “Longhorn”. Os Clusters Failover que executam o Windows Server “Longhorn” não utilizam uma conta de serviço de Cluster separada. você poderá usar um assistente para migrar algumas configurações de recursos para um cluster de servidor executando o Windows Server 2003.272 Compatibilidade Se você possui uma aplicação que era executada em um cluster de servidor com o Windows Server 2003. Guia do Revisor do Windows Server “Longhorn” Beta 3 . talvez seja necessário trocar a aplicação para que ela não dependa mais da conta. Implantação Analise cuidadosamente o hardware no qual você planeja implantar um Cluster Failover para garantir que ele seja compatível com o Windows Server “Longhorn”. No entanto. e a aplicação depende da conta do serviço de Cluster obrigatória para clusters de servidores.

O NLB inclui as seguintes melhorias: • • Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas as comunicações. O ISA também Guia do Revisor do Windows Server “Longhorn” Beta 3 . As melhorias no design do NDIS 6.273 8.0 incluem maior escalabilidade. Melhorias no WMI.0 (especificação da interface do driver de rede . O NLB oferece escalabilidade ao permitir que você substitua facilmente um servidor defeituoso ou adicione um novo servidor. Suporte para NDIS 6. como um servidor Web executando IIS. desempenho aprimorado e modelo de driver NDIS simplificado. As melhorias no WMI para o namespace MicrosoftNLB são para o Ipv6 e para suporte a múltiplos endereços de IP dedicados. O ISA Server pode configurar múltiplos endereços de IP dedicados para cada nó NLB em cenários onde os clientes consistem em tráfego IPv4 e IPv6. possam ser escalonadas horizontalmente através da adição de outros servidores conforme ocorre um aumento da carga.Network Load Balancing) incluem suporte para Protocolo IP Versão 6 (IPv6) e NDIS 6. O driver NLB foi completamente reescrito para usar o novo modelo de filtro leve do NDIS 6. ou deve ter a autoridade apropriada para isso. O NLB é um recurso que distribui a carga para as aplicações cliente/servidor em rede por diversos servidores de cluster.0. O NLB é particularmente útil para garantir que aplicações sem monitoramento de estado. • • Funcionalidade aprimorada com o ISA Server.03 Balanceamento de Carga de Rede No Microsoft Windows Server “Longhorn”. Tanto clientes IPv4 quanto IPv6 precisam acessar determinado ISA Server para gerenciar o tráfego. O NDIS 6.0 retém compatibilidade reversa com versões anteriores do NDIS. as melhorias no Balanceamento de Carga de Rede (NLB .0. Faz parte da funcionalidade de escalabilidade horizontal do Windows e é uma das três tecnologias do Windows Clustering. o o As classes no namespace MicrosoftNLB suportam endereço IPv6 (além dos endereços IPv4). A classe MicrosoftNLB_NodeSetting suporta múltiplos endereços de IP dedicados ao especificá-los em DedicatedIPAddresses e DedicatedNetMasks. Você deve ser membro do grupo de Administradores no host que você está configurando para usar o NLB. melhorias no Windows Management Instrumentation (WMI) e funcionalidade aprimorada com o Microsoft Internet Security and Acceleration (ISA) Server. O NLB é usado por profissionais de TI que precisam distribuir solicitações em um conjunto de servidores.

(Anteriormente. O NLB suporta totalmente a definição de mais de um endereço dedicado de IP por nó. • Suporte para múltiplos endereços dedicados de IP por nó.274 pode fornecer NLB com notificações de timer e ataque SYN (estes cenários geralmente ocorrem quando um computador é sobrecarregado ou infectado por um vírus da Internet). apenas um endereço dedicado de IP por nó era suportado). Guia do Revisor do Windows Server “Longhorn” Beta 3 .

.276 Guia do Revisor do Windows Server “Longhorn” Beta 3 ...01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista.Melhores juntos 9...275 Seção 9: Windows Server e Windows Vista ...

• A manutenção será simplificada de maneira significativa através do uso de um modelo único para autalizações e pacotes de serviço de clientes e servidores. O recurso da subscrição de eventos também permite a transmissão de eventos entre as estações de trabalho do Windows Vista sem a presença do Windows Server “Longhorn”. quando as empresas implantam os dois sistemas operacionais. quando os dois sistemas são instalados no mesmo ambiente. armazenamento. perceberão benefícios imediatos. segurança e gerenciamento.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista Os sistemas operacinais Windows Server® “Longhorn” e Windows Vista™ oferecem vários recursos novos e aprimorados ao serem instalados separadamente. o desenvolvimento do Windows Server “Longhorn” e o Windows Vista era um único projeto. Os dois possuem um número significativos de tecnologias em comum na plataforma. As empresas que implantarem o Windows Vista hoje. Os computadores do cliente podem monitorar eventos específicos e os remeter ao Windows Server “Longhorn” para obtenção de um relatório e monitoramento centralizados e vice-versa. as empresas podem notar benefícios extras.276 9. No futuro. a maior disponibilidade e comunicações mais rápidas. percebem que a estrutura clienteservidor combinada apresenta ainda mais mais benefícios. Contudo. Embora muitos destes aprimoramentos se apliquem tanto ao Windows Server “Longhorn” quanto ao Windows Vista. os administradores de TI poderão utilizar um única atualização para o cliente e para o servidor de linguagens e múltiplas plataformas. Os Serviços de Implantação do Windows® fornecem uma rápida e confiável instalação do sistema operacional com o uso do novo Windows Image Format (WIM)e da ferramenta diskGuia do Revisor do Windows Server “Longhorn” Beta 3 • • . os quais se combinarão aos benefícios extras com a implantação do Windows Server “Longhorn” assim que este estiver disponível. além de benefícios para os negócios. A subscrição de eventos permite que os administradores de TI sejam alertados sobre a ocorrência de determinados eventos para dessa forma tomarem medidas corretivas imediatas. Gerenciamento Mais Eficiente Os profissionais de TI que administram a infraestrutura do Windows Vista e do Windows Server “Longhorn” notarão diversos aprimoramentos na forma de gerenciar e controlar seu ambiente. Originalmente. chamado “Longhorn”. como o gerenciamento mais eficiente. Seus sistemas operacionais apresentam diversos avanços na rede.

componentes e atualizações à imagens. A carga de trabalho da rede de filiais sem um servidor de impressão local também será reduzida. com os componentes do cliente já construídos dentro do Windows Vista e os componentes do servidor integrados dentro do Windows Server “Longhorn”. os enviar para o servidor do Windows Server “Longhorn”. e que aqueles que não as estão seguindo tenham seu acesso limitado. O nível de disponibilidade será maior porque mais processamentos é realizado no cliente. O componente Serviços de Implantação do Windows® é parte do Windows Server “Longhorn” e uma atualização dos Serviços de Implantação do Windows® também está disponível para Microsoft® Windows Server 2003 SP2.0 (IIS7) fornece aos programadores a habilidade de criar aplicações da Web novas e potentes em um desktop com base Windows Vista e ao concluir. Os dados são enviados aos servidores de impressão pelo formato de impressão não processada: EMF. reparo automático. estão obedecendo às politicas de segurança. tornando-o mais acessível. as limitações de acesso a rede. o ImageX. O fato reduzirá a quantidade imagens a serem mantidas na memória. quando do cliente. É possível até mesmo adicionar drivers. utilizando a nova técnica de criação de imagens. quando unido a entrega de tabalhos de impressão do lado do cliente do Windows Server Guia do Revisor do Windows Server “Longhorn” Beta 3 . Porém. Os adminsitradores de TI poderão utilizar-se de práticas e técnicas similares e de excelência para a implatação tanto do sistema operacional do servidor. sem ter que iniciar o sistema operacional imaged. e aquiescência permanente. desde que a mesma versão do IIS7 esteja operando no cliente e no servidor. sem qualquer restrição de localidade. esta capacidade requer que as impressoras possuam drivers compatíveis.277 imaging. O Internet Information Services 7. A NAP fornece uma validação das diretivas de integridade.” • O Windows Vista pode tornar trabalhos de impressão acessíveis localmente antes de os enviar aos serrvidores de impressão. A instalação com base na imagem permitirá que uma única imagem seja utilizada em quase todos os hardware. No entanto. para dessa forma reduzir a carga de trabalho do servidor de impressão. • Maior Disponibilidade A confiabilidade. a escalabilidade e a receptividade global da infra-estrutura do cliente e do servidor estão bastantes ampliadas por aprimoramentos feitos tanto no Windows Vista quanto no Windows Server “Longhorn. • Os recursos do Proteção Contra Acesso à Rede (NAP) do Windows Server “Longhorn” ajudam a assegurar que os clientes Windows Vista conectados à rede.

Além disso. que requeiram atribuição de prioridades da largura de banda de rede entre clientes e servidor. poderá retornar a um estado conhecido como bom. um modo de link low (lento) permite que os pedidos do usuário sejam satisfeitos do cache local. Entre os aprimoramentos do caching do lado-clientes esta a transição de estado facilitada. as cópias são atualizadas automaticamente quando o servidor e o clientes são reconectados. no caso de falha ou cancelamento. Os recursos do servidor estão armazenados (cached) localmente. • A procura por servidores do Windows Server “Longhorn” a partir do cliente Windows Vista. Igualmente. torna acessíveis aos dois Guia do Revisor do Windows Server “Longhorn” Beta 3 . Através do uso da Diretiva de Grupo os administradores também podem restringir a quantidade de largura de banda que um aplicativo pode utilizar e determinar valores de code point de serviços diferenciados (DSCP) através da implementação dos padrões de indústria de RFCs. Windows Vista utiliza uma sincronização rápida e transferência diferenciadas. assim as conexões com o servidor acontecem somente quando requeridas.278 “Longhorn”. pois mudanças realizadas off-line são sincronizadas no plano de fundo de maneira silenciosa. por isso estão acessíveis mesmo no caso de o servidor não estar acessível. É possível criar diretivas que assegurem uma maior qualidade de serviço para certos aplicativos ou serviços. As capacidades de caching do lado-cliente do Windows Vista acumulam benefícios extras quando trabalham com o Windows Server “Longhorn” devido aos aprimoramentos de rede subjacente discutidos na seção“comunicação mais rápida” . em vez do arquivo inteiro. Além disso. os problemas relacionados a incompatibilidade dos drivers são reduzidos. Os aplicativos ou scripts que precisam operar tanto no cliente quanto no servidor podem se beneficiar com o Transactional File System. assim somente modificações modified nos arquivos são transmitidas entre cliente e servidor. • As capacidade de caching do lado do cliente do Windows Vista estão muito mais acentuadas e trabalham tanto com o Windows Server “Longhorn” quanto com versões anteriores do Windows Server. na redução do risco de erro durante as operações de arquivo e de registro. não importando o tipo de aplicativo. Além disso. • • Comunicações Mais Rápidas Os clientes Windows Vista que estiverem conectados à redes nas quais o Windows Server “Longhorn” tenha sido implantado podem perceber uma enorme melhora na rapidez e na confiabilidade da comunicação. o que faz com que não seja necessária intervenção por parte do usuário.

• • Serviços de Implantação do Windows Depois que seus os engenheiros de sistema criarem a plataforma do cliente. somente disponível na pilha do Windows Vista e do Windows Server “Longhorn”. através de um portal http e aplicativos que operam como sendo de um desktop local. você não vai precisar fazer isto porque o Windows Server “Longhorn” torna fáceis as implantações automáticas e as migrations.279 as tecnologias aprimoradas de indexação e de caching.0 fornece vários aprimoramentos de comunicação. não será necessário manter tantas imagens. componentes e atualizações às imagens sem iniciar o sistema operacional imaged. • O suporte ao Native IPv6 por todos os clientes e serviços do servidor cria uma rede mais escalonável e confiável. isto fará com que você poupe horas a cada atualização. entre eles. Com o Windows Server “Longhorn”. a maioria das empresas utilizou a técnica chamada imaging (tratamento de imagens). No entanto. torna a comunicação de rede muito mais rápida e eficiente. o que implicará em um enorme ganho de tempo. o acesso remoto a recursos internos. mesmo se você decidir instalá-los um de cada vez. O novo protocolo do Server Message Block (SMB) 2. ao mesmo tempo. o Windows Imaging Format facilita a tarefa de criação de imagens se comparada a ferramentas de outras empresas de TI que você tenha utilizado no passado. é preciso buscar uma forma de implantar o aplicativo em todos os computadores. Nas versões anteriores do Windows. todos usarão o imaging. Com isso. Será possível utilizar uma única imagem em praticamente todos os hardwares sem qualquer restrição local. fornecer aos clientes Windows Vista. indo até cada computador com CD-ROM na mão. Você poderá inclusive adicionar drivers. Proteção contra Acesso à Rede O Windows Vista inclui o agente NAP (Network Access Protection). através da qual um sistema operacional e aplicativos são implantados nos computadores como um único arquivo. Novas tecnologias como o Receive Side Scaling e o Receive Window Auto-Tuning permitem uma comunicação mais rápida quando os clintes Windows Vista estão realizando o download de arquivos dos arquivos compartilhados do Windows Server “Longhorn” . a plataforma de rede de última geração. Os Serviços de Terminal do Windows Server “Longhorn” apresentam muitos aprimoramentos. entre eles um melhor desempenho ao conectar-se com os arquivos compartilhados através de links de latência alta e maior segurança com o uso de autenticação conjunta e assinatura de mensagens. o qual oferece informações sobre o estado de integridade de um cliente e configurações de acesso à rede de servidores ou ponto a Guia do Revisor do Windows Server “Longhorn” Beta 3 . fornecendo enormes ganhos de desempenho a toda a empresa. Primeiro.

o desafio de fornecer níveis de desempenho de rede previsíveis. a transferência de dados em massa. endereços de IP da fonte ou destino. o cliente pode ter concedido o acesso a serviços de reparação para conseguir patches (correções). Qualidade do Serviço baseada em Diretivas A QoS baseada em diretivas.1X autenticadas. através do uso de conexões com ou sem fio 802. apareceram primerio. Contudo. presente Windows Server “Longhorn”. Os clientes que não possuam atualizações de segurança ou assinaturas de vírus atuais. como Voz sobre IP (VoIP) e o vídeo. o objetivo de fornecer níveis de serviço de rede previsíveis se aplica a qualquer ambiente de rede e vai além dos aplicativos VOIP: inclui qualquer aplicativo tradicional de linha de negócios. caso seja concedida alta prioridade ao tráfego de um aplicativo ERP para filial sobre o link WAN. O tráfego sensível a latência e o tráfego de tarefa crítica. porta da fonte ou destino e protocolo. um gerente de vendas da filial. como por exemplo. terão o acesso à rede restrito. o departamento de TI pode definir diretivas de QoS flexíveis para priorizar ou controlar o tráfego de saída de rede sem que seja necessário efetuar modificações nos aplicativos. exigiram níveis de serviço diferenciados. Por exemplo. Ao mesmo tempo. Assim. com frequência. Historicamente. nas conexões WAN ou nos aplicativos sensíveis a latência. ou ainda. mesmo quando o link WAN estiver carregado com outros tráfegos. A infra-estrutura NAP. assinaturas de anti-vírus entre outras ações necessárias para a observância aos requisitos das diretivas de integridade. Com o QoS baseada em diretivas. então. a implantação através de Diretivas de Grupo (como por exemplo. dos sistemas operacionais do Windows Vista e do Windows Server “Longhorn”. diminui o congestionamento da rede permitindo o gerenciamento central da largura de banda host. ao acessar ou introduzir dados do ERP. pode obter benefícios de um tempo de resposta invariavelmente rápido. tiveram que competir por uma largura de banda com tráfego de prioridade baixa e tolerante a latência.280 ponto. estabelece a concessão do acesso à rede privada ou à rede restrita ao cliente. usuários e computadores com necessidades de desempenho de rede específicos. um grupo de usuários ou computadores). com base na aquiescência deste às diretivas de integridade estabelecidas. aqueles que falham com o cumprimento dos requisitos de integridade do mandato corporativo. até que possam ser reconfigurados e atualizados de acordo com os requisitos. bem como clientes de LAN insalubres. A NAP também pode ser usada para proteger a sua rede contra o acesso remoto de clientes insalubres. Estas diretivas de QoS se aplicam ao tráfego de saída com base em algum ou todos os seguintes triggers (sinais): o envio de aplicativos. o tráfego de rede não tem sido fácil de priorizar e gerenciar. Guia do Revisor do Windows Server “Longhorn” Beta 3 . Uma vez na rede restrita.

Os arquivos de ajuda do Windows Server “Longhorn” são muito mais aproveitáveis e quase todos os usuários poderão entendê-los. Acesso Remoto Simplificado O Recurso de Conexão Remota com o Windows Vista facilita o acesso remoto a qualquer recurso ou aplicativo que tenha sido disponibilizado à você por sua emprsa. O SMB 2. inclusive os executivos. No Windows Vista. o Windows Vista possibilita ao gerente de TI corporativo colocar um ícone para este aplicativo no seu desktop. Os computadores que operam o Windows Vista suportam tanto o SMB 1.0 (para Windows Vista e Windows Server “Longhorn”).0 (para versões anteriores do Windows) como os SMB 2. trata-se de um protocolo de compartilhamento de arquivos. O Gateway de Serviços do Terminal do Windows Server “Longhorn” fornece recursos extras para os computadores domésticos utilizados no acesso à redes corporativas. As ferramentas de resolução de problemas podem ser personalizadas e você poderá escalar os problemas não Guia do Revisor do Windows Server “Longhorn” Beta 3 . obrigado a terminar seu trabalho bem mais tarde do que de costume. É possível adicionar seu próprio conteúdo ao Centro de Suporte e Ajuda.0 O SMB (Server Message Block). basta entrar no Website da empresa através da internet e em seguida clicar nos links que o levarão aos recursos corporativos que você necessita. os quais precisavam ser solucionados naquele mesmo dia.281 SMB 2. se você for um vendedor necessitando realizar um acesso remoto a um aplicativo financeiro ou a um aplicativo CRM. também conhecido como Sistema de Arquivo de Internet (CIFS).0 apresenta aprimoramentos que reduzem o número de pacotes necessários para os comandos SMB e permitem maiores buffers e mais arquivos abertos a escalabilidade. assim os usuários podem ser assistidos por recursos da rede interna. utilizado por padrão em computadores com base Windows. Se você acessar do computador da sua casa.” . Recuperação e Solução de Problemas Todo o operador de centro de suporte já foi.0. devida a problemas com o computador de um executivo. em algum momento. sem a necessidade de uma rede privada virtual (VPN). bem como aplicativos tradicionais. o SMB suporta a nova versão SMB 2. mas o auxiliará a resolver os problemas de maneira mais rápida ou até mesmo os resolver antes que o assistente do executivo peça sua assistência. basta clicar no ícone para que uma conexão automática ao Programa Remoto de Serviços do Terminal seja feita à empresa pela internet e ao Servidor Terminal do Windows Server “Longhorn. Dessa forma. a qual foi recriada para os ambientes de rede atuais e as necessidades dos servidores de arquivo de última geração. O Windows Server “Longhorn” não tornará os executivos menos exigentes. Por exemplo.

em vez de pedir a eles que o chamem. Em seguida. uma administrador pode optar por fazer com que o sistema retorne a seu último estado operante. Se o StR não for capaz de recuperar o sistema. As mensagens de erro do Windows Server “Longhorn” são muito mais significativas do que as de versões anteriores do Windows e auxiliarão os usuários a resolver problemas por conta própria. Por exemplo. o Windows XP pode simplesmente se recusar a proceder a inicialização. O StR analisa as conexões startup para determinar a causa da falha. bem como opções de suporte para facilitar a resolução de problemas.” poderá ir automaticamente para um compartimento de recuperação. caso os arquivos do sistema se corrompam. O Windows Server “Longhorn” foi criado para solucionar de maneira automática alguns dos problemas mais sérios. No entanto. para a solução de problemas com base em diagnósticos. ele fornecerá ao usuário informações para o diagnóstico.282 solucionados direto do seu centro de suporte interno. Guia do Revisor do Windows Server “Longhorn” Beta 3 . uma recuperação no modo passo a passo. Caso o StR não consiga resolver o problema. resolvendo muitas delas automaticamente. o Windows Server “Longhorn” oferece ao usuários o Startup Repair StR). o Windows Server “Longhorn.

.....286 Guia do Revisor do Windows Server “Longhorn” Beta 3 ...02 Tabela Detalhada de Conteúdo ........01 Requisitos do Sistema ...................283 Seção 10: Diversos 10........................284 10..............

hibernação e despejo de memória.284 10. Talvez mais espaço disponível no disco rígido seja necessário caso você esteja instalando em uma rede.microsoft. Observe que Este produto requer uma chave do produto válida para sua ativação. bem como os aplicativos que você optou por instalar.com/brasil/windowsserver/longhorn. porém. se Guia do Revisor do Windows Server “Longhorn” Beta 3 . • • Unidade de DVD-ROM Super VGA – monitor com 800x600 pixels ou superior • Teclado – Teclado Microsoft ou compatível • Mouse – Mouse Microsoft uu dispositivo apontador compatível * Os requisitos atuais variarão de acordo com a configuração do seu sistema. Obtenha mais informações no site http://www. É possível instalar o produto sem ativação.01 Requisitos do Sistema Requisitos do Sistema para o Windows Server® “Longhorn” Beta 3 • Processador – Mínimo: 1 GHz – Recomendado: 2 GHz – Ideal: 3 GHz ou mais rápido • Memoria – Mínimo: 512 MB RAM – Recomendado: 1 GB RAM – Ideal: 2 GB RAM (Instalação Completa) ou 1 GB RAM (Instalação no Núcleo do Servidor) ou mais – Máximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM (sistemas 64 bits) • Espaço Disponível no Disco – Mínimo: 8 GB – Recomendado: 40 GB (Instalação Completa) ou 10 GB (Instalação no Núcleo do Servidor) ou mais Observe que Os computadores com mais de 16 GB de RAM necessitarão de mais espaço no disco para paginação.

. você não conseguirá ativá-lo. devem ser efetuadas à distância. você deverá selecionar qual a edição do Windows Server “Longhorn” Beta 3 deseja instalar. Repare que uma vez que a instalação complete tenha sido feita. A administração das instalações da Base do Servidor. As instalações feitas no Núcleo do Servidor podem ser administradas localmente. o software deixará de funcionar. não será possível modificar a opção de instalação de Base do Servidor para Completa. com o uso de um software que suporte a administração remota do Windows Server “Longhorn” Beta 3. Guia do Revisor do Windows Server “Longhorn” Beta 3 . caso contrário. apenas com as ferramentas da linha de comando. utilizando as ferramentas de gerenciamento gráfico. Tenha certeza de escolher a mesma edição do Windows Server “Longhorn” Beta 3 da chave do produto que você possui. ou vice-versa.285 você não ativar o protudo com uma chave do produto válida 30 dias após a instalação. sem reinstalar o software. Instalação Completa Versus Instalação no Núcleo do Servidor Algumas edições do Windows Server “Longhorn” Beta 3 podem ser configuradas como instalação complete ou utilizando a nova opção de instalação no Núcleo do Servidor. Durante a instalação.

..65 3..............01 Introdução à Plataforma de Aplicações e da Web ..01 Introdução ao Suporte a Escritórios Remotos/Filiais ........09 Serviços Federados do Active Directory ...................69 3...20 2......04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........................1 Seção 1: Introdução ao Windows Server “Longhorn” 3 1.........04 Servidor de Aplicação ....02 Funcionalidade Básica de Serviços de Terminal ..............................................................53 3.......07 Serviços de Certificado do Active Directory ..99 Seção 5: Aplicação de Diretivas e Segurança 100 5...............................200 6...........................03 Núcleo do Servidor ..............03 Gateway de Serviços de Terminal .201 6....08 Serviços de Domínio do Active Directory .....76 3.........07 Session Broker de Serviços de Terminal ....73 3.....03 Criptografia de Unidade de Disco BitLocker ...............02 Maior Controle .....05 NTFS Transacional..............03 Proteção contra Acesso à Rede .......110 5.........................................139 5.........................84 4..................19 2......................................................10 Active Directory Lightweight Directory Services ..............181 5.09 Gerenciador de Recursos de Sistema do Windows.......................35 3...........05 Firewall do Windows com Segurança Avançada ..85 4...101 5.................192 Seção 6: Plataforma de Aplicações e da Web 199 6.........................................................01 Introdução à Virtualização de Servidor ...................01 Introdução ao Windows Server “Longhorn”...............62 3..02 Controlador de Domínio Somente Leitura..........................................08 Licenciamento de Serviços de Terminal .......01 Introdução ao Acesso Centralizado a Aplicações ............217 Seção 7: Gerenciamento de Servidores 219 Guia do Revisor do Windows Server “Longhorn” Beta 3 ...04 RemoteApp de Serviços de Terminal ....................8 1...............................136 5.................4 1.01 Introdução à Aplicação de Diretivas e Segurança ........03 Mais Flexibilidade .............120 5.......33 Seção 3: Acesso Centralizado a Aplicações 34 3....................11 Serviços de Gerenciamento de Direitos do Active Directory.......................05 Acesso a Web de Serviços de Terminal ...........212 6.......................................79 Seção 4: Escritórios Remotos 83 4.129 5...06 Impressão de Serviços de Terminal ..............................06 Cryptography Next Generation .286 10...................04 Núcleo do Servidor ..........1 Conteúdo ....189 5...36 3....................................04 Maior Proteção........0 ...103 5.......................................................11 1..02 Serviços de Acesso e Diretiva de Rede .........91 4...............................03 Windows Media Services ..02 Internet Information Services 7....................02 Virtualização do Windows Server..........................02 Tabela Detalhada de Conteúdo Sobre o documento .................208 6.................14 Seção 2: Virtualização do Servidor 18 2.................160 5............

..276 Seção 10: Diversos 283 10....................224 7..........268 8......03 Server Manager ...................................02 Tabela Detalhada de Conteúdo ...............................................04 Windows PowerShell ..............02 Clustering Failover ..07 Backup do Windows Server....273 Seção 9: Windows Server e Windows Vista .........240 7......................................05 Núcleo do Servidor ...09 Serviços de Implantação do Windows .................222 7.............................242 7.....................01 Introdução à Alta Disponibilidade...286 Guia do Revisor do Windows Server “Longhorn” Beta 3 ....02 Tarefas de Configuração Inicial ...........................267 8.....03 Balanceamento de Carga de Rede ...251 7............Melhores juntos 275 9..........................01 Introdução ao Gerenciamento de Servidores .254 Seção 8: Alta Disponibilidade 266 8.........................................01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista......248 7.....................08 Monitor de Confiabilidade e Desempenho do Windows ..........01 Requisitos do Sistema .........220 7.............................284 10.287 7.....

Sign up to vote on this title
UsefulNot useful