Windows Server 2008pdf

Guia do Revisor do Windows Server “Longhorn” Beta 3

Sobre o documento

ESTE DOCUMENTO NÃO É UMA ESPECIFICAÇÃO DE PRODUTO.

Este documento suporta a versão Beta 3 do Windows Server®
“Longhorn.” As informações contidas no mesmo representam a visão
atual da Microsoft Corporation sobre os assuntos discutidos até a
data da publicação. A Microsoft deve reagir às constantes
alterações nas condições do mercado, e sendo assim este documento
não deve ser interpretado como um compromisso por parte
Microsoft, e a Microsoft não pode garantir a precisão de qualquer
informação aqui. Este documento tem propósito exclusivamente
informativo. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS,
IMPLÍCITAS OU REGULAMENTARES ACERCA DAS INFORMAÇÕES CONTIDAS
NESTE DOCUMENTO.
As informações contidas neste documento, incluindo URL e outras
referências a sites da Internet, estão sujeitas a alterações a
qualquer momento. Salvo disposição em contrário, os exemplos de
empresas, organizações, produtos, nomes de domínio, endereços de
e-mail, logotipos, pessoas, lugares e eventos aqui descritos são
fictícios e não têm relação alguma com qualquer empresa,
organização, produto, nome de domínio, endereço de e-mail,
logotipo, pessoa, lugar ou evento real. É de responsabilidade do
usuário o respeito a toda a legislação de copyright aplicável. A
Microsoft concede o direito de reprodução deste guia, no todo ou em
parte.
A Microsoft pode deter as patentes, as solicitações de patentes,
as marcas comerciais, os direitos autorais ou outras propriedades
intelectuais pertinentes ao objeto deste documento. Salvo
expressamente disposto em qualquer contrato de licença escrito da
Microsoft, o fornecimento deste documento não confere a você
qualquer licença em relação a essas patentes, marcas comerciais,
direitos autorais ou outras propriedades intelectuais.
© 2007 Microsoft Corp. Todos os direitos reservados.
Microsoft, Windows Server, o logo do Windows, Windows, Active
Directory, Windows Vista, BitLocker, Internet Explorer, Windows
Server System, Windows NT, Windows Mobile, Windows Media, Aero,
ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode,
Visual Basic, Win32, WinFX, Windows PowerShell e MSDN são marcas
comerciais da Microsoft.

Os nomes das empresas e dos produtos mencionados aqui podem ser
marcas comerciais de seus respectivos proprietários.


O guia dos revisores do Windows Server® “Longhorn”
Beta 3 fornece uma visão geral técnica abrangente dos
recursos e funções inovadores que tornam o
Windows Server “Longhorn” um sistema operacional de
última geração e o sucessor do Microsoft
Windows Server 2003. Este guia também fornece
informações sobre os benefícios que o Windows Server
“Longhorn” oferece a diversos usuários, bem como
informações sobre cenários variados.

Conteúdo
Sobre o documento ...............................................1
Conteúdo ......................................................1

Seção 1: Introdução ao Windows Server “Longhorn” 3
1.01 Introdução ao Windows Server “Longhorn”...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade ............................................11
1.04 Maior Proteção..............................................14

Seção 2: Virtualização do Servidor 18
2.01 Introdução à Virtualização de Servidor .............................19
2.02 Virtualização do Windows Server.................................20
2.03 Núcleo do Servidor ...........................................33

Seção 3: Acesso Centralizado a Aplicações 34
3.01 Introdução ao Acesso Centralizado a Aplicações .....................35
3.02 Funcionalidade Básica de Serviços de Terminal ......................36
3.03 Gateway de Serviços de Terminal ................................53
3.04 RemoteApp de Serviços de Terminal ..............................62
3.05 Acesso a Web de Serviços de Terminal ............................65
3.06 Impressão de Serviços de Terminal ...............................69
3.07 Session Broker de Serviços de Terminal ...........................73
3.08 Licenciamento de Serviços de Terminal ............................76
3.09 Gerenciador de Recursos de Sistema do Windows....................79

Seção 4: Escritórios Remotos 83
4.01 Introdução ao Suporte a Escritórios Remotos/Filiais ...................84
4.02 Controlador de Domínio Somente Leitura...........................85
4.03 Criptografia de Unidade de Disco BitLocker .........................91

Seção 5: Aplicação de Diretivas e Segurança 100
5.01 Introdução à Aplicação de Diretivas e Segurança ....................101
5.02 Serviços de Acesso e Diretiva de Rede ...........................103
5.03 Proteção contra Acesso à Rede ................................110
5.04 Protocolos TCP/IP e Componentes de Rede de Última Geração .........120
5.05 Firewall do Windows com Segurança Avançada .....................129
5.06 Cryptography Next Generation .................................136
5.07 Serviços de Certificado do Active Directory ........................139
5.08 Serviços de Domínio do Active Directory ..........................160
5.09 Serviços Federados do Active Directory ...........................181
5.10 Active Directory Lightweight Directory Services .....................189
5.11 Serviços de Gerenciamento de Direitos do Active Directory.............192

Seção 6: Plataforma de Aplicações e da Web 199
6.01 Introdução à Plataforma de Aplicações e da Web ....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicação ........................................212
6.05 NTFS Transacional..........................................217

Seção 7: Gerenciamento de Servidores 219
7.01 Introdução ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configuração Inicial .................................222

7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Núcleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Serviços de Implantação do Windows ............................254

Seção 8: Alta Disponibilidade 266
8.01 Introdução à Alta Disponibilidade................................267
8.02 Clustering Failover ..........................................268
8.03 Balanceamento de Carga de Rede ..............................273

Seção 9: Windows Server e Windows Vista - Melhores juntos 275
9.01 Melhores Juntos — Windows Server “Longhorn” e Windows Vista........276

Seção 10: Diversos 283
10.01 Requisitos do Sistema ......................................284
10.02 Tabela Detalhada de Conteúdo ................................286

3

Seção 1: Introdução ao
Windows Server “Longhorn”
1.02 Maior Controle ...............................................8
1.04 Maior Proteção..............................................14


4

1.01 Introdução ao Windows Server “Longhorn”

O Microsoft Windows Server “Longhorn” Fornece Maior Controle, Mais
Flexibilidade e Proteção Aperfeiçoada para Sua Infra-Estrutura de
Servidor Ajudando Você a Otimizar Tempo e Custos
As pessoas buscam resultados comerciais. Amplie seu impacto e
você criará um sucesso maior. Na Microsoft acreditamos que as
pessoas, quando equipadas adequadamente com as ferramentas
corretas, podem superar até mesmo os desafios comerciais mais
complexos. Das muitas opções disponíveis para empresas, o
software demonstrou uma capacidade única de amplificar o impacto
positivo das pessoas, ajudando-as a superar desafios de
gerenciamento de empresas e a contribuir de maneira mais
eficiente para o
resultado final.
Como parte do auxílio
às pessoas alcançarem o
sucesso comercial, a
Microsoft está buscando
ajudá-las a gerenciar a
complexidade e alcançar
agilidade, proteger
informações e controlar
o acesso, desenvolver a
empresa com soluções de
TI, e aumentar seu
impacto. Oferecendo uma
plataforma produtiva
para impulsionar redes
de aplicações, serviços
de Web e Virtualização
como o Windows Server® “Longhorn,” a Microsoft ajuda você a
melhorar os níveis de serviço a um custo mais baixo, permite que
construa e opere uma plataforma flexível para atender as
exigências comerciais sempre em mudança, e lhe dá recursos para
proteger melhor a plataforma de TI em que sua organização se
apóia. Quanto melhor capacitarmos seu pessoal a ser produtivo e
capaz, mais podemos ajudar você e as pessoas em sua organização a
alcançar o sucesso comercial hoje e na direção do futuro.
A infra-estrutura de TI é um ativo estratégico e a fundação
crítica sobre a qual o software pode fornecer serviços e
aplicações de usuários de que uma empresa precisa para operar de
maneira eficiente e ter sucesso. O Windows Server “Longhorn”
possibilita um maior sucesso comercial oferecendo uma plataforma
que suporta soluções e aplicações críticas, tornando-as
disponíveis para a sua organização quando precisa delas.
O Microsoft® Windows Server “Longhorn,” com tecnologia de
virtualização de última geração disponível, permite que você


5

aumente a flexibilidade sua infra-estrutura de servidores ao
mesmo tempo em que o ajuda a poupar tempo, reduzir custos, e
oferecer uma plataforma para um centro de dados dinâmico e
otimizado. Poderosas novas ferramentas como o Gerenciador de
Windows® Server (Windows® Server Manager) e Windows PowerShell
permitem mais controle sobre seus servidores e dinamização de
configuração e tarefas de gerenciamento para que você possa
passar menos tempo em tarefas cotidianas e mais tempo
proporcionando mais valor para sua organização. Melhorias
avançadas de segurança e confiabilidade como a Proteção contra
Acesso à Rede (NAP - Network Access Protection) e o Controlador
de Domínio de Somente Leitura (RODC - Read Only Domain
Controller) fortalecem o sistema operacional e ajudam a proteger
seu ambiente de servidor para lhe proporcionar uma fundação
sólida sobre a qual construir seus negócios.
A figura a seguir descreve os três pilares do Windows Server
“Longhorn”:

Introdução aos Cenários
O Windows Server “Longhorn” é o lançamento de servidor Microsoft
mais focado no cliente de todos os tempos; isso fica evidente em
como o servidor é configurado e gerenciado por função através do
utilitário Gerenciador de Windows Server. Quando os clientes
consideram um servidor, tentem a pensar nele como se ocupasse uma
função específica em sua infra-estrutura, embora possa ser um
servidor de múltiplos propósitos hospedando mais de uma função.


6

Além disso, no caso da função de Virtualização de Servidor, pode
ser uma plataforma sobre a qual executar múltiplos servidores em
que cada qual possui funções diferentes. De qualquer maneira, os
profissionais de TI irão se referir tipicamente a um “servidor de
impressão”, “servidor de arquivos”, “servidor de Web” ou
“controlador de domínio”, descrevendo aquele servidor por sua
função primária.
Da mesma forma que um servidor é implantado em uma função
específica, ele também realizará parte ou toda uma “carga de
trabalho”, ou contribuirá para o “cenário” de uma empresa. Cargas
de trabalho tipicamente empregam múltiplos servidores executando
diferentes funções para fornecer uma solução geral para um dado
cenário. Por exemplo, servidores executando os Serviços de
Domínio do Active Directory® (Active Directory® Domain Services),
Serviços de Certificado do Active Directory (Active Directory
Certificate Services) e Serviços de Federação do Active Directory
(Active Directory Federation Services) podem executar funções
distintas, mas todos eles contribuem pra uma carga de trabalho ou
cenário de nível mais alto de “Gerenciamento de Identidade e
Acesso”.
Quando os clientes implantarem o Windows Server “Longhorn”,
provavelmente escolherão certos cenários e cargas de trabalho em
que sintam que o produto proporciona maior valor ou facilidade de
implementação com mínima interrupção de sua infra-estrutura
existente. Por essa razão, consideramos o Windows Server
“Longhorn” como será implantado pelos clientes em cenários
específicos.
Vamos nos concentrar em sete principais cenários de produto que
suportam os pilares de proposta de valor para o Windows Server
“Longhorn.” Para cada pilar temos dois cenários que mapeiam
aproximadamente as cargas de trabalho de servidor reconhecidas.
Também fizemos uma série de melhorias no Windows Server
“Longhorn” que podem dar valor a implantações em escritórios
remotos.


7

A figura a seguir descreve os sete cenários do Windows Server
“Longhorn”:


8

1.02 Maior Controle

Passe Menos Tempo em Tarefas Cotidianas
O Windows Server “Longhorn” permite que você tenha mais controle
sobre sua infra-estrutura de servidor e de rede, permitindo que se
concentrem em suas
necessidades comerciais mais
críticas.
Os clientes precisam de
melhor controle e
gerenciamento em sua infra-
estrutura de servidor.

As questões dos clientes incluem as seguintes:
• Quero saber de problemas e corrigi-los antes que meus
usuários sejam afetados.
• Quero automatizar o máximo possível de meu gerenciamento.
• O sistema operacional do servidor deve ter ferramentas de
gerenciamento melhores. Eu não deveria ter de comprar
aplicações de terceiros para fazer o gerenciamento básico
de sistemas.
• Posso ser alertado para um problema com um servidor, mas o
alerta não dá informações suficientes para eu entender e
solucionar a falha.
• Muitas tarefas cotidianas tomam muito tempo.
• A infra-estrutura cresceu pela necessidade. Conforme
quisemos fazer mais, precisamos adicionar mais – e
gerenciar mais.
• Quero utilizar o TI para me tornar mais eficiente e ver a
TI como um ativo estratégico para a empresa.
• Preciso reduzir custos e complexidade.


9

Simplifique o gerenciamento de sua infra-estrutura de TI usando
novas ferramentas que proporcionam uma interface concentrada para
configuração e monitoramento de servidor, assim como a capacidade
de automatizar tarefas de rotina.
• O Gerenciador de Windows Server acelera a instalação e
configuração de servidor, e simplifica o gerenciamento em
andamento de funções de servidor através de um console
unificado de gerenciamento.
• O Windows PowerShell, um novo shell de linha de comando com
mais de 130 ferramentas e uma linguagem de script
integrada, permite que os administradores controle mais
facilmente e automatizem mais seguramente tarefas
rotineiras de administração de sistemas, especialmente ao
longo de múltiplos servidores.
Dinamize a instalação e gerenciamento do Windows Server
“Longhorn” instalando apenas as funções e recursos de que
precisa. A personalização da configuração do servidor simplifica
a manutenção permanente minimizando a área da superfície de
ataque e reduzindo a necessidade de atualizações de software.
• A Instalação Baseada em Função instala somente os
componentes de que você precisa para uma determinada
função, simplificando a configuração e manutenção do
sistema operacional, reduzindo os custos de implantação e
gerenciamento do Windows Server.
• O Núcleo do Servidor Windows (Windows Server Core) é uma
nova opção de instalação para funções selecionadas
(Virtualização do Windows Server, Active Directory, Modo de
Aplicação do Active Directory (Active Directory Application
Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impressão)
que inclui uma interface gráfica de usuário ou recursos e
serviços não-relacionados, proporcionando um servidor
altamente disponível que requer menos atualizações e menos
manutenção.
Identifique com precisão e resolva pontos de problemas com
poderosas ferramentas de diagnóstico que lhe dão visibilidade
contínua do ambiente de seu servidor, tanto físico como virtual.
• Console integrado de desempenho e confiabilidade oferece
diagnósticos incorporados para ajudar a evitar e reduzir o
impacto de falhas, inclusive o Framework de Diagnóstico de
Rede (Network Diagnostic Framework).
• Visualizar Eventos (Event Viewer) mais rico proporciona uma
percepção mais profunda para o administrador que ajuda a
resolver problemas antes que afetem os usuários.
• Pacotes de Gerenciamento para cada função de servidor
fornecem integração aprimorada com o Gerenciador de
Operações do Microsoft System Center (Microsoft System
Center Operations Manager).


10

Aumente o controle sobre servidores situados em locais distantes,
como o escritório remoto. Com administração de servidor e
replicação de dados otimizados, você pode fornecer aos usuários
um melhor serviço ao mesmo tempo em que reduz as dores de cabeça
do gerenciamento.
• Priorização de tráfego de WAN entre clientes do Windows
Vista™ e servidores do Windows Server “Longhorn”
• Otimização de tráfego de WAN e auto-ajuste de rede para
replicação de SysVol, Replicação de Sistema de Arquivos
Distribuído, e outros protocolos como SMB
• O Controlador de Domínio de Somente Leitura permite que
você forneça autenticação local para usuários de escritório
remoto sem implantar uma cópia completa e gravável do banco
de dados do Active Directory database, que poderia estar
sujeita a corrupção ou exposta a riscos.
• O Microsoft BitLocker™ permite que você exerça controle
adicional sobre os dados em um disco rígido de servidor em
locais remotos menos seguros.
• O Gerenciamento Centralizado de Impressora permite que você
controle todas as impressoras a partir de um único local e
passe menos tempo gerenciando impressoras remotas.
Simplifique o gerenciamento de servidores de Web com o Internet
Information Services 7.0, que é uma poderosa plataforma de Web
para aplicações e serviços. Essa plataforma modular oferece uma
interface de gerenciamento simplificada, baseada em tarefa, maior
controle entre sites, aprimoramentos de segurança, e
gerenciamento integrado de integridade para Web Services.
• A interface baseada em tarefa simplifica tarefas comuns de
gerenciamento de servidor de Web.
• Cópias entre sites permitem que você copie facilmente
configurações de Websites ao longo de múltiplos servidores
de Web sem configuração adicional.
• A administração delegada de aplicações e sites permite que
você dê controle de diferentes partes do servidor de Web
àqueles que precisam dele.
Aumente o controle sobre suas configurações de usuário com
Diretiva de Grupo Expandida: Administradores podem poupar tempo e
dinheiro configurando configurações de rede por ou sem fio, de
dispositivos de armazenamento removíveis, impressoras, Microsoft
Internet Explorer®, e até mesmo configurações de gerenciamento de
energia usando a Diretiva de Grupo.


11

1.03 Mais Flexibilidade

Reaja Rapidamente às Necessidades de Sua Empresa
As companhias precisam que sua infra-estrutura se adapte às
necessidades de seus negócios para permanecerem ágeis.

As questões dos clientes incluem as seguintes:
• Preciso usar meus servidores atuais de maneira mais
eficiente, então não preciso comprar hardware adicional
sempre que adiciono uma aplicação ou serviço.
• Atualizar o sistema operacional de meu servidor é demorado
e perturbador; deveria ser mais fácil implantar e gerenciar
atualizações de servidor.
• Não tenho flexibilidade suficiente com as ferramentas em
meu sistema operacional para solucionar novos problemas.
• É difícil demais implantar novas tecnologias com meus
sistemas existentes.
• Plataformas de legado que exigem muita mão-de-obra levam a
aumentos nos custos de administração e suporte.
• A implantação e manutenção de sistemas são caras, e
consomem muito tempo e esforço.
• Preciso consolidar e virtualizar meus servidores e
aplicações.
• Preciso adicionar recursos dinamicamente a máquinas
virtuais para satisfazer cargas aumentadas.
• Preciso mover dinamicamente máquinas virtuais para outra
máquina com mais capacidade.


12

• Novas implantações precisam se integrar com meu ambiente
existente do Windows Server e outros sistemas.
Virtualize múltiplos sistemas operacionais — Windows, Linux e
outros – em um único servidor. Com a virtualização incorporada no
sistema operacional e com diretivas de licenciamento mais simples
e flexíveis, agora é mais fácil que nunca tirar proveito de todos
os benefícios e economias de custos da virtualização.
• A Virtualização do Windows Server é uma plataforma de
virtualização de última geração baseada em monitor
integrada com o sistema operacional que permite que você
adicione dinamicamente recursos físicos e virtuais.
• Plataforma dinâmica. A Virtualização do Windows Server
proporciona grande confiabilidade, avançada escalabilidade,
e recursos dinâmicos que permitem que você virtualize a
maioria das cargas de trabalho em sua infra-estrutura.
• Gerenciamento integrado. A integração com o Gerenciador de
Máquina Virtual do System Center permite um rápido
aprovisionamento de máquinas virtuais e um único conjunto
de ferramentas integradas para gerenciar seus recursos
físicos e virtuais.
• Suporte abrangente. A Microsoft fornece suporte 24x7 para
Windows Server, Linux e convidados Linux ativados para Xen
na plataforma de Virtualização do Windows Server.
• Amplo suporte da indústria. A Microsoft e seu ecossistema
de parceiros fornecem amplo suporte que permite a você
implantar aplicações na plataforma de virtualização da
Microsoft com confiança e paz de espírito, além de utilizar
o conhecimento individual e coletivo existentes sobre o
Windows Server e conjuntos de habilidades da comunidade
profissional da TI.
Centralize o acesso a aplicações e proporcione integração sem
interrupções de aplicações publicadas remotamente. As melhorias
também somam a capacidade de conectar-se a aplicações remotas
através de firewalls e sem o uso de uma rede virtual privada (VPN
- virtual private network) — assim você pode reagir rapidamente
às necessidades de seus usuários, independentemente da
localização.
• Programas Remotos de Serviços de Terminal permitem um
acesso remoto sem interrupções e publicação de aplicações
para implantação simples e rápida de aplicações e
gerenciamento centralizado.
• O Gateway de Serviços de Terminal permite o acesso remoto a
aplicações sem o uso de uma VPN para que os usuários possam
acessar facilmente as aplicações quando precisam delas,
independentemente de onde se localizem.
Escolha a partir de novas opções de implantação para proporcionar
o método mais adequado para seu ambiente.

13

• Os Serviços de Implantação do Windows (Windows Deployment
Services) oferece instalação e implantação baseados em
imagem que simplifica a implantação de cliente e servidor e
gerenciamento contínuo de imagem.
• Um único modelo mundial de manutenção simplifica a
manutenção contínua de clientes e servidores.
Construa aplicações flexíveis e abrangentes que conectam usuários
e seus dados, permitindo que eles visualizem, compartilhem e ajam
com as informações.
• O componente Windows Communication Foundation (WCF) oferece
um framework unificado para a construção rápida de
aplicações orientadas ao serviço, facilitando construir e
consumir serviços de Web de segurança aperfeiçoada,
confiáveis e transacionados.
• O componente Windows Workflow Foundation (WF) permite a
desenvolvedores oferecer transparência ao modelo e suportar
o fluxo de trabalho do sistema e humano.
• O componente Windows Presentation Foundation (WPF) fornece
um framework unificado para construir aplicações e
experiências de alta fidelidade no Windows que combina
interface de usuário, dados e conteúdo de mídia das
aplicações, ao mesmo tempo em que explora toda a capacidade
do computador.
• A profunda integração do Internet Information Services 7 e
do ASP.NET resulta em um único sistema unificado de
configuração, um tempo de execução de processamento de
solicitação e modo de extensibilidade integrados, e uma
experiência de diagnósticos e solução de problemas
vastamente aperfeiçoada.
Assegure a interoperabilidade com o ambiente existente.
Potencialize a robusta e vibrante comunidade técnica através do
ciclo de vida do produto.
• O programa Microsoft TechNet oferece informações técnicas
oportunas, precisas e relevantes através de seu site,
boletins informativos, v-labs, eventos, Webcasts,
assinaturas e outras ofertas.
• As comunidades técnicas enriquecem a experiência do Windows
Server proporcionando experiência no tema e opiniões
através de blogs, grupos de usuários, fóruns e eventos.


14

1.04 Maior Proteção

Fortalece o Sistema Operacional e Protege Seu Ambiente
As empresas precisam de uma plataforma de servidor com que possam
contar ao mesmo tempo em que ofereça máxima segurança e proteção
para seus usuários. Os clientes precisam reduzir quaisquer
interrupções que tenham impacto direto sobre a produtividade do
TI e do usuário
final.

As questões levantadas pelos clientes incluem:
• Quando os funcionários, fornecedores e fabricantes trazem
dispositivos móveis ao meu escritório, não posso garantir
que minha rede permanecerá segura.
• Aplicar atualizações de segurança constantemente é demorado
e incômodo.
• O Windows Server não é tão seguro quanto os outros sistemas
operacionais.
• É desafiador gerenciar a segurança do sistema e informações
de identidade dos usuários em sistemas corporativos.
• Proteger sistemas é complexo e difícil de gerenciar.
• Não tento manutenção de sistemas durante o expediente
porque fazer isso pode provocar uma interrupção do serviço
e não quero perturbar a produtividade de meus usuários.
• Quero integrar redundância e recuperação de desastres em
meus serviços de TI.
• Preciso assegurar conformidade com normas de controle
(HIPAA, Sarbanes-Oxley).
Proteja seu servidor: O Windows Server “Longhorn” oferece
inovações de segurança que reduzem a área da superfície de ataque

15

do kernel, resultando em um ambiente de servidor mais seguro e
robusto.
• O Windows Service Hardening ajuda a manter os sistemas mais
seguros evitando que serviços Windows críticos sejam usados
por atividade anormal no sistema de arquivos, registro ou
rede.
• Seguro na instalação significa que o sistema operacional é
completamente bloqueado e pronto para usar.
Proteja o acesso a sua rede: A Proteção contra Acesso à Rede
(Network Access Protection) lhe dá o poder de isolar computadores
que não obedeçam às diretivas de segurança que você estabelece. A
capacidade de impor requisitos de segurança é um meio poderoso de
proteger sua rede.
• A Proteção contra Acesso à Rede permite validação de
diretiva, restrição de rede, correções e conformidade
contínua para o acesso de usuários a recursos de rede.
• Ajude a evitar que dispositivos não saudáveis acessem
recursos corporativos e solicite acesso a recursos de
domínio a partir de PCs gerenciados.
Crie regras e diretivas inteligentes para melhorar o controle de
acesso e proteção sobre funções de rede, permitindo que você
tenha uma rede orientada por diretiva.
• O gerenciamento centralizado de firewall e IPsec reduz
conflitos e overhead de coordenação entre tecnologias
através da combinação de criação e manutenção de diretiva
para filtragem de tráfego e segurança de conexão.
• O Isolamento de servidor e domínio, baseado no Windows
IPsec e Active Directory, permite uma implementação eficaz
em termos de custo de autenticação de extremidade para
segmentar dinamicamente um ambiente Windows em redes
lógicas isoladas mais seguras com base em diretiva em vez
de topologia de rede.
• Regras inteligentes de firewall podem especificar
requisitos como autenticação e criptografia, com base em
computador ou grupos de usuários do Active Directory.
• O Servidor de Diretiva de Rede (Network Policy Server) atua
como um servidor de diretiva de integridade de rede para
Proteção contra Acesso à Rede (NAP - network access
protection), desempenho, autenticação de conexão
centralizada, autenticação, e controle de vários tipos de
acessos de rede, incluindo conexões sem fio e de VPN.
Proteja seus dados: O Windows Server inclui proteções adicionais
para seus dados para ajudar a garantir que só possam ser
acessados por usuários com o contexto de segurança correto, e
para torná-los disponíveis quando falhas de hardware acontecerem.


16

• Os Serviços de Gerenciamento de Direitos (Rights Management
Services) oferecem proteção persistente para dados
sigilosos, ajudam a reduzir riscos e permite conformidade,
e fornecem uma plataforma para proteção abrangente de
informações.
• O Microsoft BitLocker fornece segurança adicional para seus
dados através de criptografia completa de volume em
múltiplas unidades de disco, mesmo quando o sistema estiver
em mãos não autorizadas ou executando um sistema
operacional diferente.
• O Controle de Diretiva de Grupo sobre Instalação de
Dispositivos (Group Policy Control over Device
Installation) permite a administradores de TI usarem
Diretiva de Grupo no Windows Server “Longhorn” para
bloquear a instalação de dispositivos removíveis, como pen-
drives e discos rígidos externos, para ajudar a evitar que
propriedade intelectual corporativa ou dados sigilosos
sejam expostos ou roubados.
• O Controlador de Domínio de Somente Leitura (Read-Only
Domain Controller) permite que você implante o Active
Directory ao mesmo tempo em que restringe a replicação do
banco de dados completo do Active Directory; para proteger
melhor contra roubo ou exposição.
Proteja contra softwares mal-intencionados com o Controle de
Conta de Usuário, uma nova arquitetura de autenticação.
• O Controle de Conta de Usuário aumenta a segurança exigindo
confirmação manual de muitas funções administrativas para
proteger contra softwares mal-intencionados que possam
tentar obter ou usar privilégios administrativos.
Cumpra seus contratos de nível de serviço: O Windows Server
“Longhorn” é ágil e oferece mais disponibilidade reduzindo tempos
de interrupção potenciais.
• Reinicializações reduzidas devido à configuração e
atualizações, e subsistemas que podem ser ligados a quente
permitem alterações no sistema sem ter de desligar o
servidor.
• Reinicializações reduzidas da Virtualização do Windows
Server devido ao suporte a inclusões a quente de recursos
de processo, memória, rede e armazenamento.
• Active Directory reiniciável permite que você realize
manutenção nos Serviços de Domínio do Active Directory
(Active Directory Domain Services) sem a necessidade de
deixar o servidor offline.
• Aumente o desempenho da rede com a Rede Escalonável e Auto-
Tuning de Rede.


17

Aumente a confiabilidade: O Windows Server “Longhorn” oferece
aprimoramentos avançados de confiabilidade para reduzir a perda
de acesso, trabalho, tempo, dados e controle.
• O Clustering Failover facilita configurar clusters de
servidor ao mesmo tempo em que proporciona proteção e
disponibilidade de seus dados e aplicações.
• O geo-clustering ajuda a assegurar alta disponibilidade de
sistema e aplicações no caso de um desastre no site.
• O clustering de host virtualizado permite que máquinas
virtuais efetuem o failover automaticamente de uma máquina
física para outra no caso de falha física, e a Migração em
Tempo Real permitirá mudar máquinas virtuais de uma máquina
para outra sem nenhum tempo de inatividade.
• Melhorias de disponibilidade significam menos quedas ou
travamentos e reinicializações, permitindo que você
minimize a freqüência e impacto de interrupções para
melhorar a produtividade e reduzir os custos de suporte.


18

Seção 2: Virtualização do
Servidor


19

2.01 Introdução à Virtualização de Servidor

Este cenário enfoca a função de virtualização do Windows Server®
“Longhorn” que permite a organizações de TI reduzir custos e
criar um centro de dados ágil e dinâmico.
A função de virtualização oferece um paradigma inteiramente novo
de implantação e licenciamento para que permitir múltiplas
instâncias de sistema operacional – tanto da Microsoft como
potencialmente de outros fabricantes – sejam executados em uma
infra-estrutura virtual separada do hardware por uma tecnologia
de virtualização baseada em um monitor fino.
Conforme examinarmos este cenário, será importante manter o foco
não apenas no que o cenário oferece, mas também naquilo que
possibilita – que é possivelmente todas as outras funções de
servidor do Windows Server “Longhorn” e potencialmente Linux e
outros sistemas operacionais.

Proposta de Valor do Cenário
A função de virtualização possibilita que organizações criem um
centro de dados ágil e dinâmico e reduzam custos. As principais
propostas de valor que a virtualização de servidor permitem são
essas:
• Consolidação de servidor: Possibilitar que os clientes
reduzam a quantidade total e o custo de propriedade de
servidor minimizando a utilização do hardware, consolidando
cargas de trabalho e reduzindo os custos de gerenciamento.
• Ambientes de desenvolvimento e teste. Criar um ambiente
mais flexível e fácil de gerenciar que maximize o hardware
de teste, reduza custos, melhore o gerenciamento do ciclo
de vida e melhore a cobertura dos testes.
• Gerenciamento de continuidade de negócios. Eliminar o
impacto de tempos de inatividade programados e não
programados e permitir capacidades de recuperação de
desastres com recursos como a Migração ao Vivo e clustering
de host.
• Centro de dados dinâmico. Utilizar os benefícios da
virtualização para criar uma infra-estrutura mais ágil
combinada com novos recursos de gerenciamento para permitir
a você mover máquinas virtuais sem causar impacto sobre os
usuários.

Requisitos Especiais de Hardware
A função de virtualização requer o seguinte:
• Processadores Intel VT ou AMD-V ativados


20

2.02 Virtualização do Windows Server

A virtualização é uma tecnologia chave de capacitação que pode
ser utilizada para alcançar benefícios comerciais. A tecnologia
de virtualização permite que os clientes executem vários sistemas
operacionais de maneira concorrente em um único servidor físico,
em que cada um dos sistemas operacionais é executado como um
computador independente.
Hoje há mais pressão que nunca sobre o TI com orçamentos
reduzidos, tecnologias que mudam rapidamente e questões
crescentes de segurança. Conforme as empresas crescem, suas
infra-estruturas de TI crescem com elas. Mas, freqüentemente, o
ritmo desse crescimento é irregular, impulsionado tanto pelas
condições sob as quais a empresa opera quanto pelo modelo a que
aspira. O TI está sendo cada vez mais visto como um gerador-chave
de valor para a maioria das organizações, e o foco do TI é mudar
de meramente manter a empresa em funcionamento para ser um
mecanismo para produzir reatividade e agilidade por toda a
organização.
Produzir agilidade pelo TI, reduzir custos e gerenciar
complexidade precisam todos acontecer de uma forma integrada. A
Iniciativa de Sistemas Dinâmicos da Microsoft (DSI - Dynamic
Systems Initiative) utiliza a virtualização como um pilar
principal para tratar dessas preocupações comerciais, e se une
estreitamente com a adição de informações às aplicações e na
camada de gerenciamento para permitir a visão de sistemas
dinâmicos gerenciados automaticamente em todo o ciclo de vida e
por todas as funções dentro da organização. A virtualização como
tecnologia tem a capacidade de tratar de algumas dessas
preocupações e necessidades comerciais como partes da estratégia
geral de TI.
Hoje, O Microsoft® Virtual Server 2005 R2 hospedado no sistema
operacional Windows Server 2003 proporciona os recursos
necessários para cumprir tarefas que poupam tempo e custo através
da tecnologia de virtualização em um ambiente de computação
"enterpise-ready" com níveis avançados de escalabilidade,
gerenciamento e disponibilidade. A abordagem da Microsoft para
integrar os recursos de gerenciamento com a família de produtos
System Center existente permite aos clientes gerenciar suas
infra-estruturas física e virtual d uma forma integrada e
facilita a adoção da tecnologia.
“A estratégia de virtualização da Microsoft contrasta com
as alternativas atuais para gerenciamento de máquina
virtual, que tendem a ser complexas, caras e exigir
habilidades especializadas. Vemos a virtualização como uma
tecnologia-chave para ajudar os clientes a alcançarem
sistemas dinâmicos auto-gerenciados. Ao longo das camadas
da plataforma, sistema operacional, aplicações e


21

gerenciamento, estamos proporcionando funcionalidade e
recursos que permitem a nossos clientes reduzir
significativamente custos operacionais, aumentar a
utilização do servidor e alcançar um ROI melhor através de
soluções de virtualização de recursos plenos.”
Bob Muglia, Vice-Presidente Sênior, Negócios de Servidor e
Ferramentas, Microsoft
A Virtualização do Windows Server, como parte do Windows Server
“Longhorn,” dá um grande passo à frente na aplicação de algumas
das avançadas capacidades da virtualização e em proporcionar aos
clientes uma plataforma de virtualização escalonável, segura e
altamente disponível. Conforme as tecnologias de plataforma
avançam, é importante assegurar que o gerenciamento geral
continue simplificado. O Gerenciador de Máquina Virtual do System
Center Microsoft — a aplicação de gerenciamento para centro de
dados virtualizado oferece uma solução de gerenciamento unificada
e integrada como parte da família System Center e ajuda a baixar
os custos na à medida que o ambiente de TI se torna mais ágil.

Benefícios da Virtualização
Organizações de TI hoje estão sob uma pressão incrível para
fornecer mais valor a seus clientes comerciais – e tipicamente
com pouco ou nenhum aumento no orçamento. Otimizar o uso de
ativos físicos de TI se torna imperativo à medida que os centros
de dados atingem sua capacidade de potência e espaço. A Microsoft
reconhece que o problema se intensifica para empresas cujos
servidores trabalham com utilização muito baixa. Taxas de
utilização de servidor de menos de 5 por cento não são incomuns,
e as taxas de utilização de muitos clientes caem dentro da faixa
de 10- a 15 por cento. Muitos desses desafios, compartilhados
entre administradores de servidor e desenvolvedores, podem ser
tratados com a ajuda das soluções de virtualização da Microsoft.
A tecnologia de virtualização de máquina é usada para consolidar
várias máquinas físicas em uma única máquina física. A
virtualização também pode ser usada para re-hospedar ambientes de
legado, especialmente conforme o hardware de geração mais antiga
se torna mais difícil e dispendioso para manter. E como o
software é separado do hardware, a virtualização é uma boa
solução para ambientes de recuperação de desastres, também.
Como uma parte essencial de qualquer estratégia de consolidação
de servidor, as soluções de virtualização da Microsoft aumentam a
utilização do hardware e permitem que as organizações configurem
e implantem rapidamente novos servidores com os seguintes
importantes benefícios:
• Uso eficiente de recursos de hardware. O isolamento e
gerenciamento de recursos de máquina virtual possibilitam a
coexistência de várias cargas de trabalho em menos
servidores, permitindo que as organizações façam um uso
mais eficiente de seus recursos de hardware. A

22

Virtualização do Windows Server, parte do Windows Server
“Longhorn” e do Virtual Server 2005 R2 com Windows Server
2003, proporciona a maior interoperabilidade com infra-
estruturas existentes de armazenamento, rede e segurança.
Com avanços em hardware de servidor com tecnologia de 64
bits, sistemas multiprocessados e de múltiplos núcleos, a
virtualização oferece uma maneira fácil de otimizar a
utilização de hardware.
• Produtividade e reatividade administrativas melhoradas. A
Virtualização do Windows Server possibilita a organizações
de TI melhorar sua produtividade administrativa e implantar
rapidamente novos servidores para tratar das necessidades
corporativas sempre em transformação. A integração fácil
com ferramentas de gerenciamento de servidor existentes,
como o System Center Operations Manager e ferramentas
sofisticadas como o Gerenciador de Máquina Virtual do
System Center (SCVMM), facilita o gerenciamento de máquinas
virtuais Windows. A capacidade de consolidar cargas de
trabalho em um ambiente de hardware não virtual e um
framework físico e virtual integrado de gerenciamento de TI
permite que administradores reduzam os custos operacionais
e criem centros de dados mais ágeis.
• Solução de virtualização de servidor bem suportada. O
Virtual Server 2005 R2 é extensivamente testado e suportado
pela Microsoft em conjunto com seus sistemas operacionais e
aplicações de servidor. Por isso o Virtual Server 2005 R2 é
uma solução de virtualização bem suportada tanto dentro da
Microsoft como na comunidade de ISVs mais ampla. Com a
Virtualização do Windows Server como um componente
integrante do Windows Server “Longhorn” e o Gerenciador de
Máquina Virtual como parte da família System Center, você
pode ter certeza de que as futuras soluções de
virtualização da Microsoft também serão extensivamente
testadas e bem suportadas. O uso de um formato de disco
rígido virtual comum (VHD) assegura a proteção do
investimento para todas as máquinas virtuais criadas para o
Servidor Virtual com um caminho transparente de migração
para a Virtualização do Windows Server.
• Um produto-chave para a Iniciativa de Sistemas Dinâmicos da
Microsoft. Como parte da DSI, o esforço da Microsoft
abrangendo toda a indústria para simplificar e automatizar
dramaticamente como as empresas projetam, implantam e
operam sistemas de TI para permitir sistemas dinâmicos
auto-gerenciados, a Microsoft está oferecendo às empresas
ferramentas para ajudá-las a utilizar de maneira mais
flexível seus recursos de hardware. O Virtual Server 2005
R2, a Virtualização do Windows Server e o Gerenciador de
Máquina Virtual são exemplos importantes de como a
Microsoft está continuando a fornecer tecnologia que
resulta em melhor utilização de hardware de servidor e


23

proporciona um aprovisionamento mais flexível de recursos e
centros de dados.

Roadmap da Virtualização da Microsoft
O roadmap da Virtualização da Microsoft combina o seguinte:
• Uma visão de longo prazo que mostra como os clientes podem
reduzir drasticamente a complexidade da infra-estrutura de
TI como parte da DSI global.
• Um cronograma de produto sólido que oferece soluções atuais
e de curto prazo, permitindo que os clientes tomem uma
série de passos práticos de acordo com a visão de longo
prazo.
A Microsoft está fornecendo soluções de ferramentas de
desenvolvimento de aplicações, aplicações de servidor, sistemas
operacionais e gerenciamento que proporcionam melhorias imediatas
para tratar da complexidade no ambiente de TI dos clientes. Como
parte das soluções de virtualização, os clientes verão melhorias
na oferta atual de produtos para o Virtual Server 2005 R2; novos
produtos avançados como o Gerenciador de Máquina Virtual do
System Center que tratarão de importantes desafios de
gerenciamento; e a Virtualização do Windows Server como parte do
Windows Server “Longhorn” que fornecerá uma plataforma melhorada
de virtualização com escalabilidade, desempenho e confiabilidade
aumentados.
Com a capacidade de hardware crescendo e recursos mais robustos
de plataforma de virtualização e gerenciamento, mais clientes
podem se beneficiar dos recursos de consolidação, gerenciamento
mais fácil e automação. A virtualização é a principal tecnologia
para reduzir o custo e complexidade do gerenciamento de TI, e a
Microsoft comprometeu recursos significativos para tornar a
virtualização mais amplamente acessível para os clientes.
As próximas seções enfocarão os principais produtos de
virtualização, tanto no nível da plataforma como no de
gerenciamento.

Virtual Server 2005 R2
O Microsoft Virtual Server 2005 R2 é á tecnologia de
virtualização de servidor mais eficaz em termos de custo
projetada para a plataforma Windows Server System™. Como parte
essencial de qualquer estratégia de consolidação de servidor, o
Virtual Server aumenta a utilização de hardware e permite que as
organizações configurem e implantem novos servidores rapidamente.

Cenários de Uso
O Virtual Server 2005 R2 oferece eficiência de hardware melhorada
oferecendo uma ótima solução para isolamento e gerenciamento de
recursos, o que possibilita a coexistência de múltiplas cargas de
trabalho em menos servidores. O Virtual Server pode ser usado

24

para melhorar a eficiência operacional na consolidação de infra-
estrutura, cargas de trabalho de servidor de aplicações e em
escritórios remotos, consolidando e re-hospedando aplicações de
legado, automatizando e consolidando ambientes de testes e de
desenvolvimento de software, e reduzindo o impacto de desastres.
• Consolide infra-estrutura, cargas de trabalho de servidor
de aplicações e em escritórios remotos. O Virtual Server
permite a consolidação de cargas de trabalho para ambientes
de serviço de infra-estrutura, de escritórios remotos, e
recuperação de desastres, resultando em menos sistemas
físicos para memória de hardware reduzida. O Virtual Server
2005 R2 é ideal para consolidação de servidor tanto no
centro de dados como no escritório remoto, permitindo às
organizações fazerem um uso mais eficiente de seus recursos
de hardware. Ele permite que as organizações de TI aumentem
sua produtividade administrativa e implantem rapidamente
novos servidores para tratar de necessidades comerciais e
aumenta as taxas de utilização de hardware para uma infra-
estrutura de TI otimizada.
• Consolide e automatize seu ambiente de teste e
desenvolvimento de software. Clientes em todos os segmentos
procuram maneiras de diminuir os custos e acelerar
instalações e atualizações de aplicações e infra-estrutura,
ao mesmo tempo em que fornecem um nível abrangente de
garantia de qualidade. O Virtual Server permite que você
consolide sua farm de servidores de testes e
desenvolvimento e automatize o aprovisionamento de máquinas
virtuais, melhorando a utilização de hardware e a
flexibilidade operacional. Para desenvolvedores, o Virtual
Server permite uma fácil implantação e testes de uma
aplicação de servidor distribuída usando múltiplas máquinas
virtuais em um servidor físico.
• Re-hospede aplicações de legado. O Virtual Server permite a
migração de sistemas operacionais de legado (Windows NT® 4.0
Server e Windows® 2000 Server) e suas aplicações
personalizadas associadas de hardwares mais antigos para
servidores novos executando o Windows Server 2003. O
Virtual Server 2005 R2 oferece o melhor dos dois mundos:
compatibilidade de aplicação com ambientes de legado, ao
mesmo tempo em que tira proveito da confiabilidade,
gerenciamento e recursos de segurança do Windows Server
2003 sendo executado no hardware mais recente. O Virtual
Server 2005 R2 oferece essa capacidade permitindo que os
clientes executem aplicações de legado em seu ambiente
nativo de software em máquinas virtuais, sem reescrever a
lógica da aplicação, reconfigurar redes ou treinar
novamente os usuários finais. Isso dá aos clientes tempo
para primeiro atualizar sistemas mais antigos da infra-
estrutura, depois para atualizar ou reescrever aplicações
fora de serviço em um cronograma que atenda melhor suas


25

necessidades comerciais. O Virtual Server 2005 R2
possibilita uma melhor escolha do cliente para migração de
aplicações de legado com excepcional compatibilidade.
• Soluções de recuperação de desastre. O Virtual Server 2005
R2 pode ser usado como parte de um plano de recuperação de
desastres que requeira portabilidade e flexibilidade de
aplicação ao longo de plataformas de hardware. Consolidar
servidores físicos em poucas máquinas físicas executando
máquinas virtuais diminui o número de ativos físicos que
deve estar disponíveis em um local de recuperação de
desastre. No caso de recuperação, máquinas virtuais podem
ser hospedadas em qualquer local, em máquinas host
diferentes daquelas afetadas pelo desastre, acelerando os
tempos d recuperação e maximizando a flexibilidade da
organização.

Principais Recursos
A virtualização facilita ampla compatibilidade de dispositivos e
suporte completo para ambientes de servidor Windows.
• Isolamento de máquina virtual. O isolamento de máquina
virtual garante que se uma máquina virtual cair ou travar,
não tenha impacto sobre nenhuma outra máquina virtual ou
sobre o sistema host. A compatibilidade máxima da aplicação
é alcançada através do isolamento. Isso permite que os
clientes potencializem ainda mais suas infra-estruturas
existentes de armazenamento, rede e segurança.
• Ampla compatibilidade de dispositivos. O Virtual Server é
executado no Windows Server 2003, que suporta a maioria dos
dispositivos do Catálogo do Windows Server, oferecendo
compatibilidade com uma ampla gama de hardwares de sistemas
de host.
• VMM multithread. O Monitor de Máquina Virtual do Virtual
Server fornece a
infra-estrutura
de software para
criar, gerenciar
e interagir com
máquinas
virtuais em
hardware
multiprocessado.
• Ampla
compatibilidade
com sistema
operacional x86
guest. O Virtual
Server pode
executar todos
Virtual Server 2005 R2: Administration Website
os principais

26

sistemas operacionais x86 no ambiente guest da máquina
virtual. A Microsoft também suportará distribuições
específicas de Linux sendo executadas no ambiente da
máquina virtual.
• Clustering iSCSI. Cenários flexíveis de clustering
proporcionam alta disponibilidade para ambientes críticos
ao mesmo tempo em que melhoram os processos de atualização
e manutenção de hardware. O clustering de iSCSI entre hosts
físicos do Virtual Server 2005 R2 oferece um meio eficaz em
termos de custo de aumentar a disponibilidade do servidor.
• Suporte a x64. O Virtual Server 2005 R2 é executado nos
seguintes sistemas operacionais host de 64 bits: Windows
Server 2003 Standard x64 Edition, Windows Server 2003
Enterprise x64 Edition Windows XP Professional x64 Edition,
proporcionando desempenho e maior espaço de memória.
• API de COM abrangente. Isso permite completo controle em
script de ambientes de máquina virtual. O Virtual Server
suporta uma Interface de Programação de Aplicações (API) de
Modelo de Objeto Componente (COM) que contém 42 interfaces
e centenas de chamadas, permitindo que scripts controlem
quase todos os aspectos do produto.
• Discos Rígidos Virtuais (VHDs - Virtual Hard Disks). O
Virtual Server encapsula máquinas virtuais e, VHDs
portáteis, permitindo uma configuração, versão e
implantação flexíveis.
• Boot PXE. Esta placa de rede emulada no Virtual Server 2005
R2 agora suporta boot de Ambiente de Execução Pré-
Inicialização (PXE - Pre-Boot Execution Environment). Esse
boot de rede permite que os clientes aprovisionem suas
máquinas virtuais de todas as maneiras que fazem com os
servidores físicos.
• Integração com o Active Directory. As máquinas virtuais no
Virtual Server funcionam como se esperaria de uma máquina
física, oferecendo integração completa com o Active
Directory®. Esse nível de integração permite administração
delegada e acesso de convidado seguro e autenticado.
• Microsoft Operations Manager 2005 Management Pack for
Virtual Server. Um pacote de gerenciamento desenvolvido
especificamente para o Virtual Server possibilita recursos
avançados de gerenciamento dentro de máquinas virtuais.

Virtualização do Windows Server
A Virtualização do Windows Server é uma tecnologia baseada em
monitor que é parte do Windows Server “Longhorn.” O hypervisor
Windows é uma camada fina de software sendo executada diretamente
no hardware, que trabalha em conjunto com uma instância otimizada
do Windows Server “Longhorn” que permite que múltiplas instâncias
do sistema operacional sejam executadas simultaneamente em um

27

servidor físico. Ela utiliza as poderosas melhorias de
processadores e oferece aos clientes uma plataforma de
virtualização escalonável, confiável, de segurança aprimorada, e
altamente disponível.

Cenários de Uso
A Virtualização do Windows Server é integrada como a função de
virtualização no Windows Server “Longhorn” e oferece um ambiente
virtual mais dinâmico para consolidar cargas de trabalho. Ela
fornece uma plataforma de virtualização que permite eficiência
operacional aprimorada para consolidação de cargas de trabalho,
gerenciamento de continuidade de negócios, automatizar e
consolidar ambientes de testes de software, e criar um centro de
dados dinâmico.
• Consolidação de servidor de produção. Organizações procuram
servidores de produção em seus centros de dados e encontram
níveis de utilização geral de hardware entre 5 e 15 por
cento da capacidade do servidor. Além disso, limitações
físicas como espaço e potência as estão impedindo de
expandir seus centros de dados. Consolidar vários
servidores de produção com a Virtualização do Windows
Server pode ajudar as empresas a se beneficiarem da
utilização aumentada do hardware e do custo total de
propriedade geral reduzido.
• Gerenciamento de continuidade de negócios. Os
administradores de TI estão sempre tentando encontrar
maneiras de reduzir ou eliminar o tempo de inatividade de
seu ambiente. A Virtualização do Windows Server oferecerá
recursos para recuperação eficiente de desastres para
minimizar o tempo de inatividade. O ambiente de
virtualização robusto e flexível criado pela Virtualização
do Windows Server minimiza o impacto de tempos de
inatividade programados e não programados.
• Teste e desenvolvimento de software. Uma das maiores áreas
onde a tecnologia de virtualização continuará sendo
relevante é a de teste e desenvolvimento de software para
criar ambientes automatizados e consolidados que sejam
ágeis o suficiente para acomodar as exigências em constante
mudança. A Virtualização do Windows Server ajuda a
minimizar o hardware de teste, melhora o gerenciamento de
ciclo de vida e melhora a cobertura dos testes.
• Centro de dados dinâmico. O rico conjunto de recursos da
Virtualização do Windows Server combinado com os novos
recursos de gerenciamento estendidos pelo Gerenciador de
Máquina Virtual permite que as organizações criem uma
infra-estrutura mais ágil. Os administradores serão capazes
de adicionar recursos dinamicamente a máquinas virtuais e
movê-las através de máquinas físicas de maneira
transparente sem causar impacto nos usuários.


28

Principais Recursos
Há vários novos recursos na Virtualização do Windows Server que
ajudam a criar uma plataforma de virtualização escalonável,
segura e altamente disponível como parte do Windows Server
“Longhorn.” Os seguintes são alguns dos principais componentes e
recursos da Virtualização do Windows Server.
• Monitor Windows. É uma camada finíssima de software que
utiliza o suporte a driver e a tecnologia de virtualização
assistida por hardware do Windows Server. A base de código
mínimo sem nenhum código ou driver de terceiros ajuda a
criar uma base mais segura e robusta para soluções de
virtualização.
• Gerenciamento dinâmico de recursos. A Virtualização do
Windows Server oferece a capacidade de incluir a quente
recursos como CPU, memória, redes e armazenamento às
máquinas virtuais sem tempo de inatividade. Combinado com
os recursos de conexão a quente do Windows Server
“Longhorn”, isso permite que os administradores gerenciem
seus recursos de hardware sem impacto sobre seus
compromissos de SLA.
• Suporte a guest (convidado) de 64 bits. Um novo recurso
importante
da
plataforma
de
Virtuali-
zação do
Windows
Server é
guests de
64 bits.
Isso
permite que
organiza-
ções
virtualizem Windows Server Virtualization: User Interface and multi-proc support
mais
aplicações
que são exigentes em termos de memória e se beneficiem do
pool de memória aumentado acessível em um ambiente de 64
bits.
• Suporte a multiprocessador guest (convidado). A
Virtualização do Windows Server agora oferece a capacidade
de alocar múltiplos recursos de CPU a uma única máquina
virtual e permite a virtualização de aplicações
multithread. Este recurso, combinado com o suporte a guests
de 64 bits, torna a Virtualização do Windows Server uma
plataforma escalonável para virtualização.


29

• Migração em tempo real de máquinas virtuais. A
Virtualização do Windows Server proporcionará a capacidade
de mover uma máquina virtual de uma máquina física para
outra com um mínimo de tempo de inatividade. Esta
capacidade, somada ao clustering de host de máquinas
físicas, proporciona alta disponibilidade e flexibilidade
para se alcançar um centro de dados ágil e dinâmico.
• Nova arquitetura de virtualização de dispositivos. A
Virtualização do Windows Server oferece uma nova
arquitetura virtualizada de E/S. Isso dá aos clientes um
alto desempenho e baixo overhead.
• Manipulação offline de VHD. A Virtualização do Windows
Server oferece aos administradores a capacidade de acessar
em segurança arquivos dento de um VHD sem ter de criar uma
instância de máquina virtual. Isso dá aos administradores
acesso granular a VHDs e a capacidade de realizar algumas
tarefas de gerenciamento offline.

System Center Virtual Machine Manager
Como parte da família System Center de produtos de gerenciamento,
o System Center Virtual Machine Manager facilita o gerenciamento
de máquinas virtuais Windows. O System Center Virtual Machine
Manager permite uma utilização aumentada de servidor físico
permitindo consolidação simples e rápida de infra-estrutura
virtual com identificação integrada de candidato de consolidação,
P2V rápida, e disposição inteligente da carga de trabalho com
base no conhecimento de desempenho e diretivas comerciais
definidas pelo usuário. O System Center Virtual Machine Manager
possibilita o rápido aprovisionamento de novas máquinas virtuais
pelo administrador e usuários finais usando uma ferramenta de
aprovisionamento de auto-atendimento. O System Center Virtual
Machine Manager é um membro estreitamente integrado da família de
produtos de gerenciamento System Center.

Cenários de Uso
O System Center Virtual Machine Manager oferece suporte simples e
completo para consolidar hardware em infra-estrutura virtual e
otimizar a utilização. Ele também proporciona rápido
aprovisionamento de máquinas virtuais a partir de máquinas
físicas ou modelos na biblioteca de imagens ou por usuários
finais.
• Consolidação de servidor de produção. À medida que as
organizações buscam consolidar seus servidores de produção,
o System Center Virtual Machine Manager oferece uma maneira
de transferir o conhecimento sobre o sistema e o ambiente
através do processo de virtualização e ajuda a manter a
continuidade do conhecimento. Pela consolidação de vários
servidores de produção com o Virtual Server 2005 R2 ou
Virtualização do Windows Server, as empresas reduzem o


30

custo total de propriedade geral e ainda mantêm um
framework unificado de gerenciamento em seus ambientes
físico e virtual.
• Aumento da agilidade operacional. Empresas em todos os
segmentos procuram maneiras de aumentar a eficiência
através de seus ambientes de TI e aumentar a agilidade
operacional. O System Center Virtual Machine Manager
oferece um mecanismo para permitir funcionalidade como
rápido aprovisionamento de servidor, rápida recuperação, e
capacidade de migração escalonável para tornar toda a
infra-estrutura virtual robusta e fácil de gerenciar.
• Gerenciamento integrado. O System Center Virtual Machine
Manager ajuda a criar uma infra-estrutura de gerenciamento
centralizado de máquina virtual em múltiplos sistemas host
do Virtual Server 2005 R2 e de hosts da Virtualização do
Windows Server. Organizações estão adotando a virtualização
nas áreas de produção, teste e desenvolvimento, e conforme
os recursos de gerenciamento se sofisticam, ela ajuda os
administradores a implantar e gerenciar ambientes virtuais
e físicos em uma abordagem integrada.

Principais Recursos
O System Center Virtual Machine Manager se concentra em
requisitos únicos de máquinas virtuais e é projetado para
permitir utilização aumentada de servidor físico, gerenciamento
centralizado de infra-estrutura de máquina virtual e rápido
aprovisionamento de novas máquinas virtuais. Os seguintes são
alguns dos recursos principais do System Center Virtual Machine
Manager.
• Identificação de candidato a consolidação. O primeiro passo
na migração de um centro de dados físico com um modelo de
uma carga de trabalho por servidor é identificar as cargas
de trabalho físicas apropriadas para consolidação no
hardware virtual. Os fatores de decisão para determinar os
candidatos adequados se baseiam em vários fatores, como
desempenho histórico, características de pico de carga e
padrões de acesso. O System Center Virtual Machine Manager
utiliza os dados históricos de desempenho existentes no
banco de dados do System Center Operations Manager para
listar os candidatos a consolidação em ordem de
classificação.


31

• Disposição inteligente. O ato de designar e ativar uma
determinada
carga de
trabalho
virtual em um
servidor de
host virtual
físico é
citado como
disposição. A
disposição
está no âmago
de maximizar a
utilização de
ativos
físicos. O
System Center
Virtual
Machine Virtual Machine Manager: Centralized management view
Manager traz
uma abordagem
profunda e holística à disposição e combina o conhecimento
de dados históricos de desempenho da carga de trabalho e as
informações sobre o sistema de host virtual. Regras
comerciais e modelos associados também são utilizadas pelo
System Center Virtual Machine Manager para determinar as
opções de disposição.
• Aprovisionamento de host. O System Center Virtual Machine
Manager identifica os hosts virtuais físicos na empresa
através de descoberta integrada com o Active Directory.
Isso ajuda as organizações a escalar facilmente o
gerenciamento de máquinas e hosts virtuais no centro de
dados e escritórios remotos.
• Biblioteca central. O System Center Virtual Machine Manager
oferece um repositório central para todos os blocos de
construção para uma máquina virtual como VHDs, máquinas
virtuais offline, modelos e até mesmo imagens ISO. Cada
item da biblioteca possui modelos ou ricos metadados que
permitem um gerenciamento mais controlado dos objetos. O
modelo é um novo objeto que permite ao administrador criar
configurações de máquina virtual aprovadas que servem como
um padrão ouro para subseqüentes implantações de máquinas
virtuais.
• Aprovisionamento de auto-atendimento. A infra-estrutura
virtual é comumente usada em ambientes de teste e
desenvolvimento em que há aprovisionamento coerente e
desmontagem de máquinas virtuais para fins de teste. Com o
System Center Virtual Machine Manager, os administradores
podem estender seletivamente os recursos de auto-
aprovisionamento a grupos de usuários e ser capazes de


32

definir cotas. A ferramenta de aprovisionamento automático
gerencia as máquinas virtuais através de seus ciclos de
vida, incluindo desmontagens.


33

2.03 Núcleo do Servidor

No Windows Server “Longhorn,” os administradores agora podem
escolher instalar um ambiente mínimo que evita carga extra.
Para saber Embora esta opção limite as funções que podem ser executadas pelo
mais, servidor, pode aumentar a segurança e reduzir o gerenciamento.
consulte
Esse tipo de instalação é chamado de instalação do Núcleo do
7.05
Núcleo do Servidor.
Servidor
(Server Para mais informações sobre o Núcleo do Servidor, consulte a
Core) na seção 7.05 Núcleo do Servidor na página 242.
página
242.


34

Seção 3: Acesso Centralizado a
Aplicações



35

3.01 Introdução ao Acesso Centralizado a Aplicações

Este cenário enfoca a centralização de acesso a aplicações a
aplicações comerciais com os Serviços de Terminal (Terminal
Services). Os Serviços de Terminal possibilitam aos usuários
estabelecer um sistema centralizado que lhes permite fornecer
acesso rápida e seguramente a aplicações baseadas em Windows a
partir de qualquer local conectado por rede. Clientes podem
fornecer essa funcionalidade usando uma variedade de clientes,
inclusive PCs baseados em Windows®, clientes finos baseados em
Windows ou dispositivos baseados em Windows Mobile®.
Quando os usuários executam uma aplicação com os Serviços de
Terminal, a execução da aplicação se dá no servidor, e somente
informações de teclado, mouse e monitor são transmitidas pela
rede Os usuários podem apenas ver suas sessões individuais,
gerenciadas de maneira transparente pelo sistema operacional do
servidor, e permanecem independentes de qualquer outra sessão de
cliente.

As principais propostas de valor que o acesso centralizado a
aplicações possibilita são:
• Fornecer acesso centralizado a aplicações comerciais na LAN
ou pela Internet.
• Eliminar o risco de perda de dados de laptops usando acesso
remoto seguro a aplicações e dados localizados
centralmente.
• Reduzir os custos de gerenciamento através da eliminação da
necessidade de servidores de aplicações em locais
distribuídos.
• Oferecer acesso seguro a aplicações sem a necessidade de
permitir acesso total à rede através de VPN ou outros
mecanismos.
• Consolidar os Serviços de Terminal existentes usando
tecnologia x64.
• Melhorar a produtividade do usuário final com integração
contínua de aplicações baseadas no local e nos Serviços de
Terminal no cliente local.

A seguir está um requisito adicional de:
• Firewall baseado em hardware ou software (ou outro
dispositivo de segurança de borda) para ser colocado entre
o Gateway de Serviços de Terminal e a Internet.


36

3.02 Funcionalidade Básica de Serviços de Terminal

Para o Windows Server® “Longhorn,” os Serviços de Terminal incluem
nova funcionalidade básica que melhora a experiência do usuário
final quando se conecta remotamente a um servidor de terminal do
Windows Server “Longhorn”.
A nova funcionalidade básica nos Serviços de Terminal será
interessante para organizações que atualmente usam ou têm a
intenção de usar os Serviços de Terminal. Os Serviços de Terminal
fornecem tecnologias que permitem o acesso, a partir de qualquer
dispositivo de computação, a um servidor executando programas
baseados em Windows ou à área de trabalho Windows plena. Os
usuários podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede nele.
Para o Windows Server “Longhorn,” você pode se interessar na nova
funcionalidade básica nos Serviços de Terminal se usar um dos
seguintes hardwares:
• Dispositivos portáteis baseados em Windows
• Microsoft® Point of Service para dispositivos Microsoft .NET
• Monitores que suportem resoluções mais altas, como
1680x1050 ou 1920x1200
• Vários monitores
Você também pode se interessar na nova funcionalidade básica nos
Serviços de Terminal se quiser dar suporte a qualquer dos
seguintes cenários:
• Fazer usuários se conectarem a um servidor de terminal e
fazer o computador remoto se parecer mais com a experiência
da área de trabalho Windows Vista™ local do usuário.
• Garantir que os dados de monitor, teclado e mouse passados
através de uma conexão remota não sejam afetados de maneira
adversa por ações que exijam muita largura de banda, como
grandes tarefas de impressão.
• Permitir que usuários com uma conta de domínio efetuem o
logon uma vez, usando uma senha ou smart card, e então
obtenham acesso a um servidor de terminal sem a necessidade
de apresentar as credenciais novamente.
Para tirar proveito da nova funcionalidade básica de Serviços de
Terminal, você vai precisar usar o seguinte:
• Conexão de Área de trabalho Remota 6.0
• Windows Server “Longhorn” configurado como servidor de
terminal
Em alguns casos, será necessário também usar o Windows Vista.


37

Conexão de Área de Trabalho Remota 6.0
A Conexão de Área de trabalho Remota 6.0 está disponível com o
Windows Vista e com o Windows Server “Longhorn.”
O software da Conexão de Área de trabalho Remota 6.0 também está
disponível para uso no Microsoft Windows Server 2003 com Service
Pack 1 (SP1) e Windows XP com Service Pack 2 (SP2). Para usar
quaisquer novos recursos de Serviços de Terminal em qualquer
dessas plataformas, faça o download do pacote de instalação na
Central de Downloads Microsoft http://go.microsoft.com/fwlink/?LinkId=79373.

Redirecionamento de Dispositivos Plug and Play
para Media Players e Câmeras Digitais
No Windows Server “Longhorn,” o redirecionamento foi aperfeiçoado
e expandido. Agora você pode redirecionar dispositivos portáteis
baseados em Windows, especificamente media players baseados no
Protocolo MTP (Media Transfer Protocol) e câmeras digitais
baseadas no Protocolo de Transferência de Imagem (PTP - Picture
Transfer Protocol).
Para redirecionar dispositivos Plug and Play

1. Abra a Conexão de Área de trabalho Remota. Para abrir a
Conexão de Área de trabalho Remota no Microsoft Windows
Vista, clique em Start, aponte para All Programs, clique em
Accessories, e em seguida clique em Remote Desktop
Connection.

2. Na caixa de diálogo Remote Desktop Connection, clique em
Options.

3. Na guia Resources, clique em More.

4. Em Local devices and resources, expanda Supported Plug and
Play devices.

Os dispositivos Plug and Play atualmente ligados e
suportados para redirecionamento serão exibidos nesta
lista. Se o dispositivo que você ligou não aparecer na
lista, ele não é suportado atualmente para
redirecionamento. Verifique o manual do dispositivo para
ver se ele suporta o MTP ou PTP.

5. Escolha o dispositivo que deseja redirecionar assinalando a
caixa de seleção próxima ao nome do dispositivo.

6. Você também pode redirecionar dispositivos que ainda não
foram ligados, mas que serão posteriormente quando uma
sessão a um computador estiver ativa. Para tornar os
dispositivos Plug and Play que você ligará mais tarde
disponíveis para redirecionamento, assinale a caixa de
seleção Devices that I plug in later.

38

Nota

Você também pode redirecionar unidades de disco que
serão conectadas depois de uma sessão para um
computador remoto que esteja ativo. Para tornar uma
unidade de disco a que você se conectará mais tarde
disponível para redirecionamento, expanda Drives, e
em seguida assinale a caixa de seleção Drives that I
connect to later.

7. Clique em OK, e conecte-se ao computador remoto.

O arquivo (.rdp) do Protocolo de Área de trabalho Remota (Remote
Desktop Protocol) criado pelo Assistente RemoteApp ativa
automaticamente o redirecionamento de dispositivo Plug and Play.
Para mais informações sobre o RemoteApps, consulte o Guia Passo a
Passo do TS RemoteApp (TS RemoteApp Step-by-Step Guide). Para
acessar esse guia, visite o Windows Server “Longhorn” TS
RemoteApp e o TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609).
Quando a sessão para o computador remoto é lançada, você deve ver
o dispositivo Plug and Play que é redirecionado ser instalado
automaticamente no computador remoto. Notificações do Plug and
Play aparecerão na barra de tarefas no computador remoto.
Se você tiver assinalado a caixa de seleção Drives that I connect
to later na Conexão de Área de trabalho Remota (Remote Desktop
Connection), deve ver o dispositivo Plug and Play ser instalado
no computador remoto quando ligá-lo em seu computador local
enquanto a sessão para o computador remoto estiver ativa.
Depois que o dispositivo Plug and Play é instalado no computador
remoto, ele fica disponível para uso em sua sessão com o
computador remoto. Por exemplo, se você redirecionar um
dispositivo portátil baseado em Windows como uma câmera digital,
o dispositivo pode ser acessado diretamente a partir de uma
aplicação como o Assistente de Câmera e Scanner no computador
remoto.
O redirecionamento de dispositivo Plug and Play não é suportado
em conexões em cascata de servidor de terminal. Por exemplo, se
você tiver um dispositivo Plug and Play ligado a seu computador
cliente local, pode redirecionar e usar esse dispositivo quando
se conectar a um servidor de terminal (Server1, por exemplo). Se,
de dentro de sua sessão remota no Server1, você então se conectar
a outro servidor de terminal (Server2, por exemplo), não será
capaz de redirecionar e usar o dispositivo Plug and Play em sua
sessão remota com o Server2.
Você pode controlar o redirecionamento de dispositivos Plug and
Play usando qualquer das seguintes configurações de Diretiva de
Grupo:


39

• Computer ConfigurationAdministrative TemplatesWindows
ComponentsTerminal ServicesTerminal ServerDevice and
Resource Redirectiondefinição de diretiva de Do not allow
supported Plug and Play device redirection
• Computer ConfigurationAdministrative
TemplatesSystemDevice Installation definição de diretiva
de Device Installation Restrictions
Você também pode controlar o redirecionamento de dispositivos
Plug and Play na guia Client Settings na ferramenta de
Configuração de Serviços de Terminal (tsconfig.msc).

Redirecionamento de Dispositivo Microsoft Point
of Services for .NET
No Windows Server “Longhorn” você também pode redirecionar
dispositivos que usam o Microsoft Point of Service (POS) for .NET
1.1.
Importante
O redirecionamento de dispositivo Microsoft POS for .NET
somente é suportado se o servidor de terminal estiver
executando uma versão baseada em x86 do Windows Server
“Longhorn.”
Você pode fazer o download do Microsoft POS for .NET 1.1 na
Central de Downloads Microsoft (http://go.microsoft.com/fwlink/?linkid=66169).

Configurando um Servidor de Terminal
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faça o seguinte:

1. Instale o Microsoft POS for .NET 1.1.

2. Instale os objetos ou arquivos XML de configuração do
serviço. NET para o dispositivo do Microsoft POS for .NET.
Os objetos de serviço do dispositivo ou arquivos XML de
configuração geralmente são fornecidos pelo fabricante do
dispositivo e são escritos para trabalhar com o POS for
.NET usando o SDK (Software Development Kit) do Microsoft
POS for .NET 1.1. Você pode instalar os objetos de serviço
do dispositivo ou arquivos XML de configuração através do
software padrão de instalação que acompanha o dispositivo.
Para instruções de instalação do dispositivo Microsoft POS
for .NET específico que você estiver usando, consulte o
manual do dispositivo.

3. Depois de instalar os objetos de serviço do dispositivo ou
os arquivos XML de configuração para todos os dispositivos
Microsoft POS for .NET que estiver suportando no servidor
de terminal, você precisa parar e iniciar o serviço


40

Redirecionador de Porta UserMode de Serviços de Terminal.
Para reiniciar o serviço, siga esses passos:

a. Abra o snap-in Serviços. Para abri-lo, clique em
Start, aponte para Administrative Tools, e então
clique em Services.

b. Na caixa de diálogo Services,na coluna Name, clique
com o botão direito em Terminal Services UserMode
Port Redirector, e em seguida clique em Restart.

Nota

Reinicie o Redirecionador de Porta UserMode de Serviços de
Terminal (Terminal Services UserMode Port Redirector)
somente depois de ter instalado os objetos de serviço do
servidor ou os arquivos XML de configuração para todos os
dispositivos Microsoft POS for .NET que estiver suportando
no servidor de terminal. Se você instalar posteriormente um
novo objeto de serviço do servidor ou arquivo XML de
configuração em seu servidor de terminal para um
dispositivo Microsoft POS for .NET, precisará reiniciar o
serviço Redirecionador de Porta UserMode de Serviços de
Terminal (Terminal Services UserMode Port Redirector).

Configurando um Arquivo de Protocolo de Área de trabalho Remota
Os dispositivos do Microsoft POS for .NET, por padrão, não estão
listados em Local devices and resources na guia Local Resources
na Conexão de Área de trabalho Remota. Portanto, para permitir o
redirecionamento de dispositivos do Microsoft POS for .NET, você
precisa editar o arquivo (.rdp) do Protocolo de Área de trabalho
Remota (Remote Desktop Protocol) que você usa para conectar-se ao
servidor de terminal.
Para ativar o redirecionamento de dispositivos do Microsoft
POS for .NET em um arquivo .rdp, faça o seguinte

• Abra o arquivo .rdp no editor de texto. Adicione ou altere
a seguinte configuração:

redirectposdevices:i:<value>

o Se <value> = 0, o redirecionamento de dispositivos do
Microsoft POS for .NET está desabilitado.
o Se <value> = 1, o redirecionamento de dispositivos do
Microsoft POS for .NET está ativado.
Para mais informações sobre as configurações de arquivo .rdp,
consulte o artigo 885187 na Base de Conhecimento Microsoft
(http://go.microsoft.com/fwlink/?linkid=66168).
Nota


41

O arquivo .rdp criado pelo Assistente RemoteApp ativa
automaticamente o redirecionamento de dispositivos do
Microsoft POS for .NET. Para mais informações sobre o
RemoteApps, consulte o Guia Passo a Passo do TS RemoteApp
(TS RemoteApp Step-by-Step Guide). Para acessar esse guia,
visite o TechCenter do Windows Server “Longhorn” TS
RemoteApp e o TS Web Access

Usando Dispositivos Microsoft POS for .NET
Depois de ter implementado o Microsoft POS for .NET 1.1 em seu
servidor de terminal e de ter ativado o redirecionamento de
dispositivos do Microsoft POS for .NET em seu arquivo .rdp,
conecte seu dispositivo do Microsoft POS for .NET e em seguida
conecte-se ao computador remoto usando o arquivo .rdp modificado.
Depois de se conectar ao computador remoto, você deve ver o
dispositivo do Microsoft POS for .NET redirecionado ser instalado
automaticamente no computador remoto. Notificações do Plug and
Play aparecerão na barra de tarefas do computador remoto.
Depois que o dispositivo do Microsoft POS for .NET é instalado no
computador remoto, qualquer aplicação do Microsoft POS for .NET
residindo no servidor de terminal pode acessar o dispositivo do
Microsoft POS for .NET como se este estivesse disponível
localmente. Há uma aplicação de amostra no SDK do POS for .NET
1.1 que você pode usar para testar o acesso e a funcionalidade do
dispositivo do Microsoft POS for .NET redirecionado. A aplicação
de amostra é chamada ccltestapp.exe e pode ser encontrada na
pasta SDKExemplosExemplo de Aplicação (SDKSamplesSample
Application) na pasta onde você instalou o POS for .NET.
Você pode controlar o redirecionamento de dispositivos do
Microsoft POS for .NET usando as seguintes configurações de
Diretiva de Grupo:
• Computer ConfigurationAdministrative TemplatesWindows
ComponentsTerminal ServicesTerminal ServerDevice and
Resource Redirectiondefinição de diretiva de Do not allow
supported Plug and Play device redirection
• Computer ConfigurationAdministrative
TemplatesSystemDevice Installation definição de diretiva
de Device Installation Restrictions
Você também pode controlar o redirecionamento de dispositivos
Plug and Play na guia Client Settings na ferramenta de
Configuração de Serviços de Terminal (tsconfig.msc).

Exibição de Conexão de Área de trabalho Remota
O software Conexão de Área de trabalho Remota 6.0 (Remote Desktop
Connection 6.0) acrescenta suporte para estações de trabalho de
resolução mais alta e abrangendo múltiplos monitores
horizontalmente para formar uma única grande área de trabalho.


42

Além disso, o recurso Experiência Desktop e as configurações de
priorização de dados de exibição são projetados para aumentar a
experiência do usuário final quando se conecta remotamente a um
servidor de terminal do Windows Server “Longhorn”.

Resoluções de Exibição Personalizadas
A resolução de exibição personalizada oferece suporte para
proporções adicionais de exibição, como 16:9 ou 16:10. Por
exemplo, monitores mais novos com resoluções de 1680x1050 ou
1920x1200 agora são suportados. A resolução máxima suportada é
4096x2048.
Nota

Anteriormente, somente proporções de resolução de 4:3 eram
suportadas, e a resolução máxima suportada era 1600x1200.
Você pode definir uma resolução de exibição personalizada em um
arquivo .rdp ou a partir de um prompt de comando.
Para definir uma resolução de exibição personalizada em um
arquivo .rdp, faça o seguinte:

• Abra o arquivo .rdp em um editor de texto. Adicione ou
altere as seguintes configurações:

desktopwidth:i:<value>

desktopheight:i:<value>

Onde <value> é a resolução, como 1680 ou 1050.

Nota

Para mais informações sobre as configurações de arquivo
.rdp, consulte o artigo 885187 na Base de Conhecimento
Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).
Para definir uma resolução de exibição personalizada a partir
de um prompt de comando, faça o seguinte:

• No prompt de comando, use o comando mstsc.exe com a
seguinte sintaxe, e em seguida pressione ENTER.

mstsc.exe /w:<width> /h:<height>

Abrangência do Monitor
A abrangência de monitores permite que você exiba sua sessão de
área de trabalho remota através de vários monitores.
Os monitores usados para a abrangência de monitores devem
satisfazer os seguintes requisitos:
• Todos os monitores devem usar a mesma resolução. Por
exemplo, dois monitores usando resolução 1024x768 podem ser

43

abrangidos. Mas um monitor em 1024x768 e outro em 800x600
não podem ser abrangidos.
• Todos os monitores devem estar alinhados horizontalmente
(isto é, lado a lado). Atualmente não há suporte para
abranger múltiplos monitores verticalmente no sistema
cliente.
• A resolução total ao longo de todos os monitores não pode
exceder 4096x2048.
Você pode ativar a abrangência de monitores em um arquivo .rdp ou
a partir de um prompt de comando.
Para ativar a abrangência de monitores em um arquivo .rdp,
faça o seguinte:

• Abra o arquivo • Abra o arquivo .rdp em um editor de
texto. Adicione ou altere as seguintes configurações:

Span:i:<value>

o Se <value> = 0, a abrangência de monitores está
desabilitada.
o Se <value> = 1, a abrangência de monitores está
ativada.
Nota

Para mais informações sobre as configurações de arquivo
.rdp, consulte o artigo 885187 na Base de Conhecimento
Microsoft (http://go.microsoft.com/fwlink/?linkid=66168).
Para ativar a abrangência de monitores a partir de um prompt
de comando, faça o seguinte:

• No prompt de comando, digite o seguinte comando, e em
seguida pressione ENTER.

mstsc.exe /span

Experiência Desktop
O software de Conexão de Área de trabalho Remota 6.0 (Remote
Desktop Connection 6.0) reproduz a área de trabalho que existe no
computador remoto no computador cliente do usuário. Para fazer o
computador remoto se parecer com a Experiência Desktop do Windows
Vista local do usuário, você pode instalar o recurso de
Experiência Desktop em seu servidor de terminal do Windows Server
“Longhorn”. A Experiência Desktop instala recursos do Windows
Vista, como o Windows Media® Player 11, temas de área de trabalho,
e gerenciamento de fotos.
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faça o seguinte:


44

1. Abra o Gerenciador de Servidor. Clique em Start, aponte
para Administrative Tools, e em seguida clique em Server
Manager.

2. Em Features Summary, clique em Add features.

3. Na página Select Features, assinale a caixa de seleção
Desktop Experience, e em seguida clique em Next.

4. Na página Confirm Installation Options, certifique-se de
que o recurso Experiência Desktop será instalado, e em
seguida clique em Install.

5. Na página Installation Results, você é instruído a
reiniciar o servidor para concluir o processo de
instalação. Clique em Close, e em seguida clique em Yes
para reiniciar o servidor.

6. Depois que o servidor reiniciar, confirme que a Experiência
Desktop está instalada.

a. Inicie o Gerenciador de Servidor.

b. Em Features Summary, confirme que a Experiência
Desktop está listada como instalada.

Composição de Área de trabalho
O Windows Vista oferece uma experiência visualmente dinâmica
chamada Windows Aero™. O Windows Aero oferece recursos como
estes:
• Janelas transparentes
• Botões de barra de tarefas com visualizações de janela em
tamanho miniatura
• Uma vista de suas janelas abertas em um stack
tridimensional em sua área de trabalho
Nota

Para mais informações sobre os recursos do Windows Aero,
consulte o Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741).
Um servidor de terminal Windows Server “Longhorn” pode ser
configurado para fornecer recursos do Windows Aero quando um
computador cliente do Windows Vista se conecta ao servidor de
terminal Windows Server “Longhorn” usando Conexão de Área de
trabalho Remota. Esta funcionalidade é mencionada como composição
de área de trabalho.
Nota

Para que o computador cliente do Windows Vista use a
composição de área de trabalho em uma conexão de área de


45

trabalho remota com um servidor de terminal do Windows
Server “Longhorn”, o computador cliente do Windows Vista
deve ter hardware instalado capaz de suportar o Windows
Aero. Contudo, o servidor de terminal Windows Server
“Longhorn” não precisa ter hardware instalado capaz de
suportar o Windows Aero.
Para configurar a composição de área de trabalho para conexões
de estações de trabalho remotas em seu servidor de terminal, faça
o seguinte:

1. Instale o recurso Experiência Desktop.

2. Configure o tema:

a. Iniciando o serviço de Temas

b. Definindo o tema em “Windows Vista”

3. Ajuste as configurações de:

a. Cor e Aparência das janelas

b. Configurações de Exibição

c. Facilidade de Acesso

d. Máxima Profundidade de Cor

Para iniciar o serviço de Temas em seu servidor de terminal,
faça o seguinte:

1. Cliquem em Start, aponte para Administrative Tools, e em
seguida clique em Services.

2. No painel de Services, clique com o botão direito em
Themes, e em seguida clique em Properties.

3. Na guia General, mude o Startup type para Automatic, e em
seguida clique em Apply.

4. Em Service status, clique em Start para iniciar o serviço
de Temas, e em seguida clique em OK.

Para definir o tema em “Windows Vista” em seu servidor de
terminal, faça o seguinte:

1. Clique em Start, clique em Control Panel, e em seguida
clique em Appearance and Personalization.

2. Clique em Personalization, e em seguida cliquem em Theme.


46

3. Na guia Themes, altere o Theme for Windows Vista, e em
seguida clique em OK.

O sistema operacional determinará se o computador possui o
hardware necessário para suportar e exibir os recursos do tema do
“Windows Vista”. Mesmo que o hardware no servidor de terminal
Windows Server “Longhorn” não suporte o tema do “Windows Vista”,
ele será exibido na conexão de área de trabalho remota se o
hardware do computador cliente o suportar.

Ajustando Configurações Adicionais
Para assegurar que a composição de área de trabalho ofereça a
funcionalidade desejada durante conexões de estações de trabalho
remotas, existem configurações adicionais que precisam ser
configuradas no servidor de terminal do Windows Server
“Longhorn”. Para fazer esses ajustes, siga este procedimento.
Para configurar configurações adicionais em seu servidor de
terminal, faça o seguinte:

1. Clique em Start, clique em Control Panel, e então clique em
Appearance and Personalization.

2. Clique em Personalization, e em seguida clique em Window
Color and Appearance.

3. Na guia Appearance, clique em Effects, e em seguida
assinale a caixa de seleção Show window contents while
dragging.

4. Para salvar a configuração, clique em OK, e em seguida
clique em OK novamente para fechar a caixa de diálogo
Appearance.

5. Clique em Display Settings. Na guia Monitor, na lista de
Colors, clique em Highest (32 bits), e em seguida clique
em OK.

6. No painel à esquerda, em See also, clique em Ease of
Access.

7. Em Explore all settings, clique em Make it easier to focus
on tasks.

8. Em Adjust time limits and flashing visuals, apague a marca
na caixa de seleção Turn off all unnecessary animations
(when possible).

9. Clique em Save.

Além disso, o servidor de terminal deve ser configurado para
suportar uma profundidade máxima de cor de 323 bits por pixel


47

(bpp) para conexões remotas. A profundidade máxima de cor pode
ser configurada usando-se um dos métodos a seguir:
• Definindo a Limit Maximum Color Depth na guia Client
Settings na ferramenta de Configuração de Serviços de
Terminal (tsconfig.msc)
• Ativando Computer ConfigurationAdministrative
TemplatesWindows ComponentsTerminal ServicesTerminal
ServerRemote Session EnvironmentLimit maximum color depth
como a definição de diretiva
Note que a definição de Diretiva de Grupo terá prioridade sobre a
definição na ferramenta de Configuração de Serviços de Terminal.

Configuração de Cliente
Para tornar a composição de área de trabalho disponível para uma
conexão de área de trabalho remota, siga este procedimento.
Para tornar uma composição de área de trabalho disponível,
faça o seguinte:

1. Abra a Conexão de Área de trabalho Remota (Remote Desktop
Connection). Para abrir a Conexão de Área de trabalho
Remota no Windows Vista, clique em Start, aponte para All
Programs, clique em Accessories, e em seguida clique em
Remote Desktop Connection.

Options.

3. Na guia Experience, assinale a caixa de seleção Desktop
composition, e assegure-se de que a caixa de seleção Themes
esteja assinalada.

4. Configure quaisquer configurações restantes, e em seguida
clique em Connect.

Quando você permite a composição de área de trabalho, está
especificando que as configurações locais no computador cliente
do Windows Vista ajudarão a determinar a experiência do usuário
na conexão de área de trabalho remota. Note que ao permitir a
composição de área de trabalho, você não muda as configurações do
servidor de terminal do Windows Server “Longhorn”.
Como o Windows Aero requer e usa mais recursos de hardware, você
precisará determinar que impacto sobre a escalabilidade isso terá
em quantas conexões simultâneas de estações de trabalho remotas
que o seu servidor de terminal Windows Server “Longhorn” pode
suportar.

Suavização de Fonte
O Windows Server “Longhorn” suporta ClearType®, que é uma
tecnologia para exibir fintes de computador de modo que elas


48

apareçam claras e suaves, especialmente quando se usa um monitor
de LCD.
Um servidor de terminal Windows Server “Longhorn” pode ser
configurado para oferecer funcionalidade ClearType quando um
computador cliente se conecta a um servidor de terminal Windows
Server “Longhorn” usando Conexão de Área de trabalho Remota. Esta
funcionalidade é chamada de suavização de fonte. A suavização de
fonte está disponível se o computador cliente estiver executando
algum dos seguintes:
• Windows Vista
• Windows Server 2003 com SP1 e software de Conexão de Área
de trabalho Remota 6.0 (Remote Desktop Connection 6.0)
• Windows XP com SP2 e software de Conexão de Área de
trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Por padrão, o ClearType está ativado no Windows Server
“Longhorn.” Para garantir que o ClearType esteja ativado no
servidor de terminal Windows Server “Longhorn”, siga este
procedimento.
Para garantir que o ClearType esteja ativado, faça o seguinte:

1. Clique em Start, clique em Control Panel, e então clique em
Appearance and Personalization.

2. Clique em Personalization, e em seguida clique em Cor e
Window Color and Appearance.

3. Na guia Appearance, clique em Effects, e em seguida
assinale a caixa de seleção Use the following method to
smooth edges of screen fonts, selecione ClearType, e em
seguida clique em OK.

Para tornar a suavização de fontes disponível para uma conexão de
área de trabalho remota, siga este procedimento no computador
cliente.
Para tornar a suavização de fontes disponível, faça o
seguinte:

1. Abra a Remote Desktop Connection. Para abrir a Conexão de
Área de trabalho Remota no Windows Vista, clique em Start,
aponte para All Programs, clique em Accessories, e em
seguida clique em Remote Desktop Connection.

Options.

3. Na guia Experience, assinale a caixa de seleção Font
smoothing.

49

4. Configure quaisquer configurações de conexão restantes, e
em seguida clique em Connect.

Quando você permite a suavização de fonte, está especificando que
as configurações locais no computador cliente ajudarão a
determinar a experiência do usuário na conexão de área de trabalho
remota. Note que ao permitir a suavização de fonte, você não muda
as configurações do servidor de terminal do Windows Server
“Longhorn”.
Usar a suavização de fonte em uma conexão de área de trabalho
remota aumenta a quantidade de largura de banda usada entre o
computador cliente e o servidor de terminal Windows Server
“Longhorn”.

Priorização de Dados de Exibição
A priorização de dados de exibição controla automaticamente o
tráfego do canal virtual para que os dados do monitor, teclado e
mouse recebam maior prioridade que os outros, como impressões ou
transferências de arquivos. Essa priorização é projetada para
garantir que o desempenho de sua janela não seja afetado de
maneira adversa por ações de consumo intensivo de largura de
banda, como grandes tarefas de impressão.
A proporção padrão de largura de banda é 70:30. Dados de exibição
e entrada terão alocados 70 por cento da largura de banda, e todo
o tráfego restante, como área de transferência, transferência de
arquivos ou tarefas de impressão, receberão 30 por cento da
largura de banda.
Você pode ajudar as configurações de priorização dos dados de
exibição fazendo alterações no registro do servidor de terminal.
Você pode alterar o valor das seguintes informações na sub-chave
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD:
• FlowControlDisable
• FlowControlDisableBandwidth
• FlowControlChannelBandwidth
• FlowControlChargePostCompression
Se esses registros não aparecerem, você pode adicioná-los. Para
fazer isso, clique com o botão direito do mouse em TermDD, aponte
para Novo (New), e em seguida clique em DWORD (32-bit) Value.
Você pode desabilitar a priorização dos dados de exibição
definindo o valor de FlowControlDisable em 1. Se a priorização
dos dados de exibição estiver desabilitada, todas as solicitações
são tratadas em uma base “primeiro a entrar, primeiro a sair”. O
valor padrão para FlowControlDisable é 0.
Você pode estabelecer a prioridade relativa de largura de banda
para exibição (e dados de entrada) definindo o valor de
FlowControlDisplayBandwidth. O valor padrão é 70; o valor máximo
permitido é 255.

50

Você pode estabelecer a prioridade relativa de largura de banda
para outros canais virtuais (como área de transferência,
transferências de arquivos ou tarefas de impressão) definindo o
valor de FlowControlChannelBandwidth. O valor padrão é 30; o
valor máximo permitido é 255.
A proporção de largura de banda para priorização de dados de
exibição se baseia nos valores de FlowControlDisplayBandwidth e
FlowControlChannelBandwidth. Por exemplo, se
FlowControlDisplayBandwidth estiver definido em 150 e
FlowControlChannelBandwidth em 50, a proporção é 150:50, assim a
exibição e dados de entrada terão alocados 75 por cento da
largura de banda.
O valor FlowControlChargePostCompression determina se o controle
de fluxo controlará a alocação de largura de banda com base em
bytes de pré-compressão ou de pós-compressão. O valor padrão é 0,
o que significa que o cálculo será feito em bytes pré-compressão.
Se você fizer alguma alteração nos valores do registro, precisará
reiniciar o servidor de terminal para que as alterações tenham
efeito.

Logon Único
O logon único é um método de autenticação que permite a um
usuário com uma conta de domínio efetuar o logon uma única vez,
usando uma senha ou smart card, e então obter acesso a servidores
remotos sem precisar apresentar suas credenciais novamente.
Os principais cenários para o logon único são esses:
• Implantação de aplicações de gestão de negócios (LOB)
• Implantação centralizada de aplicação
Devido a custos mais baixos de manutenção, muitas companhias
preferem instalar suas aplicações de gestão de negócios em um
servidor de terminal e tornar essas aplicações disponíveis
através do RemoteApps ou da Área de trabalho Remota. O logon
único possibilita dar aos usuários uma melhor experiência
eliminando a necessidade de eles digitarem suas credenciais
sempre que iniciarem uma sessão remota.

Pré-requisitos para Implantar o Logon Único
Para implementar a funcionalidade de logon único em Serviços de
Terminal, assegure-se de que satisfaz os seguintes requisitos:
• Você pode usar o logon único somente para conexões remotas
de um computador baseado em Windows Vista para um servidor
de terminal baseado no Windows Server “Longhorn”. Também
pode usar o logon único para conexões remotas entre dois
servidores baseados no Windows Server “Longhorn”.
• Certifique-se de que as contas de usuário usadas para
efetuar o logon possuem os direitos apropriados para se


51

registrar tanto no servidor de terminal como no cliente
Windows Vista.
• Seu computador cliente e servidor de terminal devem ser
ligados a um domínio.

Configuração Recomendada de um Servidor de Terminal ao Usar o
Logon Único
Para definir as configurações recomendadas para seu servidor de
terminal, complete os passos a seguir:
• Configure a autenticação no servidor de terminal.
• Configure o computador baseado em Windows Vista para
permitir que credenciais padrão sejam usadas para efetuar o
logon nos servidores de terminal especificados.
Para configurar a autenticação no servidor de terminal, faça o
seguinte:

1. Abra a Configuração de Serviços de Terminal (Terminal
Services Configuration). Para abrir a Configuração de
Serviços de Terminal, clique em Start, clique em Run,
digite tsconfig.msc e em seguida clique em OK.

2. Em Connections, clique com o botão direito do mouse em RDP-
Tcp, e em seguida clique em Properties.

3. Na caixa de diálogo Properties, na guia General,
certifique-se de que o valor da Security Layer seja
Negotiate ou SSL (TLS 1.0), e em seguida clique em OK.

Para permitir o uso de credencial padrão para logon único,
faça o seguinte:

1. No computador baseado em Windows Vista, abra o Editor
Objeto de Diretiva de Grupo (Group Policy Object Editor).
Para abrir o Editor Objeto de Diretiva de Grupo, clique em
Start, e na caixa Start Search digite gpedit.msc e em
seguida pressione ENTER.

2. No painel à esquerda, expanda o seguinte: Computer
Configuration, Administrative Templates, System, e em
seguida clique em Credentials Delegation.

3. Dê um clique duplo em Allow Delegating Default Credentials.

4. Na caixa de diálogo Properties, na guia Setting, clique em
Enabled, e então clique em Show.

5. Na caixa de diálogo Start Contents, clique em Add para
adicionar servidores à lista.


52

6. Na caixa de diálogo Add Item, na caixa Enter the item to be
added, digite o prefixo termsrv/ seguido pelo nome do
servidor de terminal, por exemplo, termsrv/Server1, e então
clique em OK.


53

3.03 Gateway de Serviços de Terminal

O Gateway de Serviços de Terminal (TS Gateway) é um serviço de
função na função de servidor de Serviços de Terminal que permite
que usuários remotos autorizados se conectem a servidores de
terminal e estações de trabalho remotas (computadores remotos) em
uma rede corporativa, a partir de qualquer dispositivo conectado
à Internet. O TS Gateway usa o Protocolo de Área de trabalho
Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar
uma conexão segura e criptografada entre usuários remotos na
Internet e os computadores remotos nos quais suas aplicações de
produtividade são executadas.
O TS Gateway foi introduzido na versão Beta 1 do Windows Server
“Longhorn.”
O TS Gateway oferece os seguintes benefícios:
• O TS Gateway possibilita a usuários remotos se conectarem à
rede corporativa a partir da Internet, através de uma
conexão criptografada, sem precisar configurar conexões de
VPN.
• O TS Gateway oferece um modelo abrangente de configuração
de segurança que permite que você controle o acesso a
recursos específicos de rede (computadores).
• O TS Gateway permite aos usuários se conectarem remotamente
a servidores de terminal e estações de trabalho remotas
hospedados atrás de firewalls em redes privadas e através
de tradutores de endereço de rede (NATs).
Antes dessa versão do Windows Server, medidas de segurança
impediam que os usuários se conectassem a computadores
remotos passando por firewalls e NATs. Isso porque a porta
3389, aquela usada para conexões de RDP, é tipicamente
bloqueada para fins de segurança de rede. O TS Gateway
transmite o tráfego de RDP para a porta 443, usando um
túnel de Camada de Soquete Seguro/Segurança de Camada de
Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer
Security) de HTTP. Como a maioria das empresas abre a porta
443 para permitir a conectividade de Internet, o TS Gateway
tira proveito desse projeto de rede para fornecer
conectividade de acesso remoto através de vários firewalls.
• O snap-in console do Gerenciador de TS Gateway permite que
você configure diretivas de autorização para definir
condições que devem ser satisfeitas para que os usuários se
conectem a recursos de rede. Por exemplo, você pode
especificar o seguinte:
o Quem pode se conectar a recursos da rede (em outras
palavras, os grupos de usuários que podem se
conectar). Esses grupos podem ser grupos existentes


54

em Usuários e Grupos Locais no servidor do TS
Gateway, grupos existentes nos Serviços de Domínio do
Active Directory®, ou grupos gerenciados novos ou
existentes do TS Gateway. Grupos gerenciados pelo TS
Gateway são aqueles que você configura usando o
Gerenciador do TS Gateway.
o Um ou mais recursos da rede aos quais os usuários
podem se conectar
o Se computadores clientes têm de ser membros de
domínios do Active Directory
o Se o redirecionamento de dispositivo ou disco é
permitido
o Se clientes precisam usar autenticação de smart card
ou de senha, ou se podem usar qualquer dos métodos
• Você pode configurar servidores de TS Gateway e clientes de
Serviços de Terminal para usar a NAP para melhorar ainda
mais a segurança. A NAP é uma tecnologia de criação,
imposição e correção de diretiva de integridade que está
incluída no Windows Vista e Windows Server “Longhorn.” Com
a NAP, administradores de sistema podem impor requisitos de
integridade, que podem incluir requisitos de software, de
atualizações de segurança, configurações de computador
exigidas, e outras configurações.
Para informações sobre como configurar o TS Gateway para
usar a NAP para imposição de diretiva de integridade para
clientes de Serviços de Terminal que se conectam a
servidores do TS Gateway, consulte o Guia Passo a Passo de
Instalação do Servidor de TS Gateway
(http://go.microsoft.com/fwlink/?linkid=79605).
• Você pode usar o servidor de TS Gateway com o Microsoft
Internet Security and Acceleration (ISA) Server para
aumentar a segurança. Neste cenário, você pode hospedar
servidores de TS Gateway em uma rede privada em vez de em
uma rede de perímetro (também conhecida como DMZ, zona
desmilitarizada, e sub-rede de borda), e hospedar o ISA
Server na rede de perímetro. A conexão SSL entre o cliente
de Serviços de Terminal e o ISA Server pode ser encerrada
no ISA Server, que encara a Internet.
Para informações sobre como configurar o ISA Server como um
dispositivo de encerramento para cenários de servidor do TS
Gateway, consulte o Guia Passo a Passo de Instalação do
Servidor de TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
• O console do snap-in Gerenciador de TS Gateway oferece
ferramentas para ajudar você a monitorar o status, de
conexão, integridade e eventos do TS Gateway. Usando o
Gerenciador do TS Gateway, você pode especificar eventos


55

(como tentativas fracassadas de conexão com o servidor do
TS Gateway) que quer monitorar para fins de auditoria.
Se sua organização torna aplicações baseadas em Serviços de
Terminal e computadores que executam Área de trabalho Remota
disponíveis a usuários de fora do perímetro de sua rede, o TS
Gateway pode simplificar a administração da rede e reduzir a
exposição a riscos de segurança.
O TS Gateway também pode facilitar as coisas para os usuários
pois eles não precisam configurar conexões de VPN e podem acessar
servidores de nextref_ts_gateway a partir de sites que podem, de
outra forma, bloquear conexões de saída de RDP ou VPN.
Você deve analisar esta seção e a documentação adicional de
suporte sobre o TS Gateway se estiver em qualquer dos seguintes
grupos:
• Administradores de TI, planejadores e analistas que estejam
avaliando acesso remoto e produtos de solução de e móvel
• Arquitetos de TI corporativa e designers para organizações
• “early adopters”
• Arquitetos de segurança responsáveis pela implementação de
computação confiável
• Profissionais de TI responsáveis por servidores de terminal
ou acesso remoto a estações de trabalho
Para que o TS Gateway funcione corretamente, você deve satisfazer
esses pré-requisitos:
• Você deve ter um servidor com o Windows Server “Longhorn”
instalado.
• Deve ser membro do grupo de Administradores no computador
que quer configurar como um servidor de TS Gateway.
• Os seguintes serviços e recursos de função devem estar
instalados e em execução para que o TS Gateway funcione:
o Chamada de procedimento remoto (RPC - remote
procedure call) sobre serviço de Proxy HTTP
o Web Server (IIS) (Internet Information Services 7.0).
(O IIS 7.0 deve estar instalado e em execução para
que o serviço de RPC sobre Proxy HTTP funcione.)
o Serviço de Servidor de Diretiva de Rede (NPS -
Network Policy Server). Se um servidor de NPS –
anteriormente conhecido como servidor de Serviço de
Usuário de Discagem de Autenticação Remota (RADIUS -
Remote Authentication Dial-In User Service) — já
estiver implantado para cenários de acesso remoto
como VPN e rede discada, você também pode usar o
servidor de NPS existente para cenário de TS Gateway.
Usando o NPS para TS Gateway, você pode centralizar o
armazenamento, gerenciamento e validação das

56

diretivas de autorização de conexão de Serviços de
Terminal (TS CAPs).
Quando você usa o Gerenciador de Servidor para instalar o
serviço de função de TS Gateway, esses serviços e recursos
de função adicionais são instalados automaticamente.
• Você deve obter um certificado de SSL para o servidor de TS
Gateway se já não tiver um. Por padrão, no servidor de TS
Gateway, o serviço de Balanceamento de Carga RPC/HTTP e o
serviço de IIS usam TLS 1.0 para criptografar as
comunicações entre clientes e servidores do TS Gateway
através da Internet. Para que o TLS funcione corretamente,
você deve instalar um certificado de SSL no servidor de TS
Gateway.
O certificado deve satisfazer esses requisitos:
o O nome na linha Assunto (Subject) do certificado do
servidor (nome do certificado, ou CN) deve
corresponder ao nome configurado no servidor de TS
Gateway.
o O certificado é um certificado de computador.
o O fim pretendido do certificado é autenticação de
servidor. O Uso Estendido de Chave (EKU - Extended
Key Usage) é Autenticação de Servidor
(1.3.6.1.5.5.7.3.1).
o O certificado tem uma chave privada correspondente.
o O certificado não expirou. Recomendamos que o
certificado seja válido por um ano a partir da data
de instalação.
o Um identificador de objeto de certificado (também
conhecido como OID) de 2.5.29.15 não é exigido.
Contudo, se o certificado que você planeja usar
contiver um identificador de objeto de 2.5.29.15,
você poderá usar o certificado somente se pelo menos
um dos seguintes valores de uso de chave também
estiver definido: CERT_KEY_ENCIPHERMENT_KEY_USAGE,
CERT_KEY_AGREEMENT_KEY_USAGE, e
CERT_DATA_ENCIPHERMENT_KEY_USAGE.
Para mais informações sobre esses valores, consulte
Registro e Gerenciamento Avançados de Certificados
(http://go.microsoft.com/fwlink/?LinkID=74577).
Para mais informações sobre requisitos de certificados para o TS
Gateway e como obter e instalar um certificado se você ainda não
tiver um, consulte o Guia Passo a Passo de Instalação do TS
Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
Além disso, tenha em mente as seguintes considerações:


57

• O TS Gateway transmite todo o tráfego de RDP (que
tipicamente teria sido enviado pela porta 3389) para a
porta 443 usando um túnel de HTTPS. Isso também significa
que todo o tráfego entre o cliente e o TS Gateway é
criptografado enquanto em trânsito pela Internet.
• Você deve analisar esse tópico e a documentação adicional
de suporte do TS Gateway, inclusive o Guia Passo a Passo de
Instalação do TS Gateway (http://go.microsoft.com/fwlink/?linkid=79605).
• Você deve se preparar para comprar um certificado SSL, ou
para emitir um a partir de sua própria autoridade de
certificação (CA).
• Deve se familiarizar com os protocolos TLS e SSL se ainda
não os conhecer.
O TS Gateway oferece os seguintes novos recursos para simplificar
a administração e melhorar a segurança.

TS CAPs
As diretivas de autorização de conexão dos Serviços e Terminal
(TS CAPs) permitem que você especifique grupos de usuários, e
opcionalmente, grupos de computadores, que podem acessar um
servidor de TS Gateway. Você pode criar um TS CAP usando o
Gerenciador de TS Gateway.
As TS CAPs simplificam a administração e aumentam a segurança
oferecendo um maior nível de controle sobre o acesso a
computadores remotos em sua rede corporativa.
As TS CAPs permitem que você especifique quem pode ser conectar a
um servidor de TS Gateway. Você pode especificar um grupo de
usuários que existe no servidor de TS Gateway local ou nos
Serviços de Domínio do Active Directory. Você também pode
especificar outras condições que os usuários devem satisfazer
para acessar um servidor de TS Gateway. Pode listar condições
específicas em cada TS CAP. Por exemplo, você pode exigir que um
usuário use um smart card para se conectar através do TS Gateway.
Os usuários recebem acesso a um servidor de TS Gateway se
atenderem as condições especificadas na TS CAP.
Importante
Você também deve criar uma diretiva de autorização de
recurso de Serviços de Terminal (TS RAP). Uma TS RAP
permite que você especifique os recursos de rede aos quais
os usuários podem se conectar através do TS Gateway. Até
você criar uma TS CAP e uma TS RAP, os usuários não podem
se conectar a recursos de rede através desse servidor de TS
Gateway.

Grupos de Computadores Associados com TS RAPs


58

Os usuários podem se conectar através do TS Gateway a recursos de
rede em um grupo de computadores. O grupo de computadores pode
ser qualquer um dos seguintes:
• Membros de um grupo do Windows existente: O grupo do
Windows pode existir em Usuários e Grupos Locais no
servidor de TS Gateway, ou pode existir nos Serviços de
Domínio do Active Directory.
• Membros de um grupo de computadores gerenciado pelo TS
Gateway ou um novo grupo gerenciado pelo TS Gateway que
você criar: Você pode adicionar os computadores aos quais
queira fornecer acesso de usuário no grupo de computadores
gerenciado pelo TS Gateway usando o Gerenciador de TS
Gateway.
• Qualquer recurso de rede: Neste caso, os usuários podem se
conectar a qualquer computador na rede a que podem se
conectar quando usam a Área de trabalho Remota.
Para garantir que os usuários apropriados tenham acesso a
recursos de rede adequados, planeje e crie grupos de computadores
cuidadosamente. Avalie os usuários que devem ter acesso a cada
agrupo de computadores, e então associe os grupos de computadores
com as TS RAPs para conceder acesso aos usuários conforme
necessário.

TS RAPs
As TS RAPs permitem que você especifique os recursos de rede aos
quais os usuários podem se conectar através de um servidor de TS
Gateway. Quando você cria uma TS RAP, pode criar um grupo de
computadores e associá-lo com a TS RAP.
Usuários conectando-se à rede através do TS Gateway recebem
acesso a computadores remotos na rede corporativa se satisfizerem
as condições especificadas em pelo menos uma TS CAP e uma TS RAP.
Nota
Usuários de clientes podem especificar um nome de NetBIOS
ou um nome de domínio completamente qualificado (FQDN -
fully qualified domain name) para o computador remoto que
querem acessar através do servidor de TS Gateway. Para
suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP
para cada nome de computador possível.
Juntas, as TS CAPs e TS RAPs oferecem dois níveis diferentes de
autorização para dar a você a capacidade de configurar um nível
mais específico de controle de acesso a recursos de redes
corporativas.

Capacidades de Monitoramento
Você pode usar o Gerenciador de TS Gateway para visualizar
informações sobre conexões ativas de clientes de Serviços de


59

Terminal com recursos de rede através do TS Gateway. Essas
informações incluem o seguinte:
• O domínio e ID de usuário do usuário que efetuou logon no
cliente
• O endereço IP do cliente
Nota

Se sua configuração de rede inclui servidores Proxy, o
endereço IP que aparece na coluna Client IP Address (no
painel de detalhes Monitoring) pode refletir o endereço IP
do servidor Proxy, e não o endereço IP do cliente de
Serviços de Terminal.
• O nome do computador de destino ao qual o cliente está
conectado
• A porta de destino através da qual o cliente está conectado
• A data e hora em que a conexão foi iniciada
• O tempo que a conexão está inativa, se aplicável
Você também pode especificar os tipos de eventos que quer
monitorar, como tentativas bem sucedidas e fracassadas de conexão
a recursos internos de rede através de um servidor de TS Gateway.
Quando esses eventos ocorrem, você pode monitorar os eventos
correspondentes usando Windows Event Viewer. Os eventos do TS
Gateway são armazenados em Application and Services
LogsMicrosoftWindowsTerminal Services-Gateway.

Configurações de Diretiva de Grupo para TS Gateway
Você pode usar Diretiva de Grupo e Serviços de Domínio do Active
Directory para centralizar e simplificar a administração de
configurações de diretiva do TS Gateway. Você usa o Editor de
Objeto de Diretiva de Grupo para configurar essas configurações,
que ficam contidas dentro de objetos de Diretiva de Grupo. Você
usa o Console de Gerenciamento de Diretiva de Grupo (GPMC) para
ligar GPOs a sites, domínios ou unidades organizacionais (OUs)
nos Serviços de Domínio do Active Directory.
As configurações de Diretiva de Grupo para conexões de cliente de
Serviços de Terminal através do TS Gateway podem ser aplicadas de
duas maneiras. Essas configurações de diretiva podem ser
sugeridas (ou seja, podem ser ativadas, mas não impostas) ou
podem ser ativadas e impostas. Sugerir uma definição de diretiva
permite aos usuários no cliente inserir configurações
alternativas de conexão do TS Gateway. Impor uma definição de
diretiva evita que um usuário altere a definição de conexão do TS
Gateway, mesmo se ele selecionar a opção Use these TS Gateway
server settings (Usar essas configurações de servidor do TS
Gateway) no cliente.


60

As três configurações de Diretiva de Grupo a seguir estão
disponíveis para o servidor de TS Gateway:
• Definir o método de Autenticação do Servidor de TS Gateway.
Isso permite que você especifique o método de autenticação
que os clientes de Serviços de Terminal devem usar quando
se conectarem a recursos de rede através de um servidor de
TS Gateway.
• Permitir conexões através do TS Gateway. Isso permite que
você especifique que, quando clientes de Serviços de
Terminal não puderem se conectar diretamente a um recurso
de rede, eles tentarão se conectar ao recurso de rede
através do servidor de TS Gateway especificado na definição
de diretiva Set the TS Gateway server address (Definir o
endereço do servidor de TS Gateway).
• Definir o endereço do servidor de TS Gateway. Isso permite
que você especifique o servidor de TS Gateway que os
clientes de Serviços de Terminal usam quando não conseguem
se conectar diretamente a um recurso da rede.
Importante
Se você desativar ou não configurar essa definição de
diretiva, mas ativar a definição Enable connections through TS
Gateway (Ativar conexões através do TS Gateway), as tentativas
de conexão do cliente a qualquer recurso da rede falharão se o
cliente não puder se conectar diretamente ao recurso da rede.
Você não precisa alterar nenhum código existente para trabalhar
com o TS Gateway. O TS Gateway apenas gerencia a maneira como a
conexão ao computador remoto é criada.
Nota
O TS Gateway pode rotear conexões para qualquer sessão
baseada em Serviços de Terminal, inclusive aquelas em
computadores baseados no Windows Server “Longhorn,” Windows
Server 2003, Windows Vista e Windows XP.
Se o computador remoto estiver usando recursos novos de Serviços
de Terminal, você precisará usar o software de Conexão de Área de
trabalho Remota versão 6.0 (Remote Desktop Connection version
6.0), que está incluído com o Windows Server “Longhorn” e Windows
Vista.
Nota
O software de Conexão de Área de trabalho Remota versão 6.0
(Remote Desktop Connection version 6.0) está disponível
para uso no Windows XP com Service Pack 2 e Windows Server
2003 com Service Pack 1. Para usar qualquer novo recurso
de Serviços de Terminal em qualquer dessas plataformas,
faça o download do pacote de instalação para o RDC 6.0.
Para fazer o download do pacote de instalação do RDC 6.0,


61

acesse a Central de Downloads Microsoft


62

3.04 RemoteApp de Serviços de Terminal
O RemoteApp™ de Serviços de Terminal(TS RemoteApp) permite a
organizações oferecer acesso a programas padrão baseados em
Windows a partir de virtualmente qualquer local a usuários de
qualquer computador baseado no Windows Vista ou Windows Server
“Longhorn”, ou a usuários de computadores baseados no Windows XP
com Service Pack 2 (SP2), ou no Windows Server 2003 com Service
Pack 1 (SP1) que tenham o novo cliente Conexão de Área de
trabalho Remota (RDC – Remote Desktop Connection) instalado.
O TS RemoteApp é integrado nos Serviços de Terminal no Windows
Server “Longhorn.”
Os RemoteApps são programas acessados remotamente através de
Serviços de Terminal e aparecem como se estivessem sendo
executados no computador local do usuário final. Os usuários
podem executar RemoteApps lado a lado com seus programas locais.
Um usuário pode minimizar, maximizar e redimensionar a janela do
programa, e pode facilmente iniciar vários programas ao mesmo
tempo. Se um usuário estiver executando mais de um RemoteApp no
mesmo servidor de terminal, os RemoteApps compartilharão a sessão
de Serviços de Terminal.
Para o Windows Server “Longhorn” Beta 3, os usuários podem
executar RemoteApps de várias maneias. Podem fazer o seguinte:
• Dar um clique duplo em um arquivo .rdp que tenha sido
criado e distribuído por seu administrador.
• Dar um clique duplo no ícone de um programa em sua área de
trabalho ou no menu Iniciar que tenha sido criado e
distribuído por seu administrador com um pacote do Windows
Installer (.msi).
• Dar um clique duplo em um arquivo cuja extensão seja
associada com um RemoteApp. (Isso pode ser configurado pelo
administrador com um pacote .msi.)
• Acessar um link para o RemoteApp em um Website usando o
Acesso a Web de Serviços de Terminal(TS Web Access).
Os arquivos .rdp e pacotes .msi contêm as configurações
necessárias para executar os RemoteApps. Depois de abrir o
RemoteApp em um computador local, o usuário pode interagir com o
programa em execução no servidor de terminal como se estivesse
sendo executado localmente.
O TS RemoteApp pode reduzir a complexidade e o overhead
administrativo em muitas situações, incluindo essas:
• Escritórios remotos, onde pode haver suporte local de TI
limitado e largura de banda de rede limitada.
• Situações em que usuários precisam acessar aplicações
remotamente


63

• Implantação de aplicações de gestão de negócios (LOB),
especialmente aplicações de gestão de negócios
personalizadas.
• Ambientes, como espaços de trabalho “hot desk” ou
“hoteling”, em que os usuários não têm computadores
designados.
• Implantação de múltiplas versões de uma aplicação,
particularmente se instalar várias versões localmente
causar conflitos.
Você deve analisar esse tópico, e a documentação adicional de
suporte do TS RemoteApp, se estiver em qualquer dos seguintes
grupos:
• Planejadores e analistas de TI avaliando tecnicamente o
produto
• Arquitetos corporativos
• Profissionais de TI que implantam ou administram servidores
de terminal, aplicações de gestão de negócios (LOB), ou
aplicações que podem ser implantadas mais eficientemente
com o TS RemoteApp
Para o Windows Server “Longhorn” Beta 3 você deve usar o cliente
Conexão de Área de trabalho Remota (RDC - Remote Desktop
Connection) versão 6.0 ou posterior para executar RemoteApps no
computador local de um usuário final. O cliente RDC 6.0 está
incluído no Windows Vista e Windows Server “Longhorn” Beta 3.
Nota
está disponível para uso no Windows XP com SP2 e Windows
Server 2003 com SP1. Para usar qualquer recurso novo de
Serviços de Terminal em qualquer dessas plataformas, faça o
download do pacote de instalação na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=79373).
Os usuários podem executar programas a partir de um servidor de
terminal e ter a mesma experiência de se os programas fossem
executados no computador local do usuário final, incluindo
janelas redimensionáveis e ícones de notificação na área de
notificação.
O TS RemoteApp melhora a experiência do usuário, abre novas
avenidas para implantação de programas, e reduz a quantidade de
esforço administrativo necessário para suportar esses programas.
Em vez de ser apresentado ao usuário na área de trabalho do
servidor de terminal remoto, o RemoteApp é integrado com a área
de trabalho do cliente, sendo executado em sua própria janela
redimensionável com seu próprio registro na barra de tarefas. Se
o programa usa um ícone de área de notificação, este aparece na
área de notificação do cliente. Janelas pop-up são redirecionadas
para a área de trabalho local. Unidades de disco locais e

64

impressoras podem ser redirecionadas para aparecer no RemoteApp.
Muitos usuários podem não ter ciência de que o RemoteApp é um
programa diferente do local.
Como o TS RemoteApp é uma melhoria nas tecnologias existentes de
Serviços de Terminal e usa a mesma tecnologia e protocolos, não
apresenta nenhum novo problema.
Você deve avaliar seus programas para ver quais podem ser
adequados para execução como um RemoteApp, e então testar os
programas. Para testá-los siga os procedimentos descritos no Guia
Passo a Passo do TS RemoteApp para configurar seu servidor de
terminal para suportar RemoteApps e usar o snap-in Gerenciador de
TS RemoteApp para tornar RemoteApps disponíveis para usuários.
Para um programa ser executado como um RemoteApp, o servidor de
terminal que hospeda o programa deve estar executando o Windows
Server “Longhorn.” Qualquer programa que possa ser executado em
uma sessão de Serviços de Terminal ou em uma sessão de Área de
trabalho Remota deve ser capaz de ser executado como um
RemoteApp.
Algumas das mudanças fundamentais no sistema operacional do
Windows Server “Longhorn” podem ter impacto sobre versões
anteriores de programas que são executados corretamente sob
versões anteriores do sistema operacional Windows. Se você tiver
dificuldades em executar um programa como um RemoteApp, verifique
se ele é executado corretamente no console local de um servidor
que esteja executando o Windows Server “Longhorn.”
Analise outras seções deste guia para informações adicionais
sobre questões de compatibilidade.

Referências Adicionais
Para mais informações sobre o TS RemoteApp, consulte o Guia Passo
a Passo do TS RemoteApp. Para acessar esse guia, visite o
TechCenter do Windows Server “Longhorn” TS RemoteApp e TS Web
Access (http://go.microsoft.com/fwlink/?LinkId=79609).


65

3.05 Acesso a Web de Serviços de Terminal

O Acesso a Web de Serviços de Terminal(TS Web Access) é um
serviço de função na função de Serviços de Terminal que permite
que você torne RemoteApps disponíveis a usuários a partir de um
navegador da Web.
Como o TS Web Access, os usuários podem visitar um Website (a
partir da Internet ou de uma intranet) para acessar uma lista de
RemoteApps disponíveis. Quando iniciam um RemoteApp, uma sessão
de Serviços de Terminal é iniciada no servidor de terminal
baseado no Windows Server “Longhorn” que hospeda o RemoteApp.
Depois de instalar o TS Web Access em um servidor de Web baseado
no Windows Server “Longhorn”, os usuários podem se conectar ao
servidor de TS Web Access para acessar RemoteApps disponíveis em
um ou mais servidores de terminal baseados no Windows Server
“Longhorn”. O TS Web Access tem vários benefícios. Eles incluem:
• Os usuários podem acessar RemoteApps a partir de um Website
via Internet ou a partir de uma intranet. Para iniciar um
RemoteApp, eles simplesmente clicam no ícone do programa.
• Se um usuário inicia mais de um RemoteApp através do TS Web
Access, e os programas são executados no mesmo servidor de
terminal, o RemoteApps é executado dentro da mesma sessão
de Serviços de Terminal.
• Usar o TS Web Access significa que há menos overhead
administrativo. Você pode implantar programas facilmente a
partir de um local central. Além disso, os programas são
executados em um servidor de terminal e não em um
computador cliente, assim são mais fáceis de manter.
• O TS Web Access oferece uma solução que trabalha com
configuração mínima. A página de Web do TS Web Access
inclui uma Web Part personalizável, que pode ser
incorporada em uma página de Web personalizada ou em um
site de Serviços do Microsoft Windows SharePoint®.
• A lista de RemoteApps disponíveis que aparece na Parte de
Web do TS Web Access pode ser personalizada para o usuário
individual se você implantar RemoteApps usando distribuição
de software de Diretiva de Grupo.
As informações neste tópico se aplicam aos seguintes tipos de
profissionais de TI:
• Profissionais de TI que já executam ou se interessam em
implantar programas para usuários usando Serviços de Terminal
• Profissionais de TI que queiram mais controle sobre a
experiência do usuário
• Administradores e desenvolvedores de Web


66

• Administradores de Serviços do Windows SharePoint
Antes de instalar o TS Web Access, analise as seguintes diretrizes
de instalação:
• Você deve instalar o TS Web Access em um computador que
esteja executando o Windows Server “Longhorn.”
• Deve instalar o TS Web Access junto com o Microsoft IIS 7.0.
• O servidor do TS Web Access não precisa ser um servidor de
terminal.
• Para usar o TS Web Access, computadores clientes deve estar
executando um dos seguintes sistemas operacionais:
o Microsoft Windows XP com Service Pack 2 ou posterior
o Microsoft Windows Server 2003 com Service Pack 1 ou
posterior
o Windows Vista
o Windows Server “Longhorn”
Nota
está disponível para uso no Windows XP com Service Pack 2 e
Windows Server 2003 com Service Pack 1. Para usar qualquer
recurso novo de Serviços de Terminal em qualquer dessas
plataformas, faça o download do pacote de instalação na
Central de Downloads Microsoft
Além disso, tenha em mente que o Windows Server “Longhorn” Beta 3
pode não incluir toda a funcionalidade planejada para o TS Web
Access.

Permite Implantar Facilmente RemoteApps Através da Web
Com o TS Web Access, um usuário pode visitar um Website, visualizar
uma lista de RemoteApps, a em seguida clicar em um ícone para
iniciar um programa. Os RemoteApps são contínuos, o que significa
que parecem um programa local. Os usuários podem minimizar,
maximizar e redimensionar a janela do programa, e podem facilmente
iniciar vários programas ao mesmo tempo. Para um administrador, o
TS Web Access é fácil de configurar e implantar. Esta
funcionalidade se traduz em facilidade e flexibilidade de uso e
implantação. Com o TS Web Access, você pode oferecer aos usuários
acesso a RemoteApps a partir de qualquer local e computador que
tenha acesso a intranet ou Internet.
O TS Web Access oferece uma experiência de Web muito aprimorada em
comparação com versões anteriores de Serviços de Terminal.
• Com o TS Web Access, os usuários não têm de iniciar o cliente
de RDC para iniciar um RemoteApp. Em vez disso, acessam a
página da Web e em seguida clicam em um ícone de programa.


67

• O RemoteApps parece estar sendo executado na área de trabalho
local.
• Se o usuário iniciar vários RemoteApps e os RemoteApps
estiverem todos sendo executados no mesmo servidor de
terminal, os programas são executados na mesma sessão.
• Os usuários não têm de fazer o download de um controle
ActiveX® separado para acessar o TS Web Access. Em vez disso,
o cliente RDC versão 6.0 inclui o Controle ActiveX
necessário.

Implantação
Se você quer implantar o TS Web Access, pode se preparar analisando
o tópico Terminal Services RemoteApp (TS RemoteApp) neste documento
para informações sobre o novo recurso TS RemoteApp. Informações
mais detalhadas de implantação estão disponíveis no Guia Passo a
Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter
Windows Server “Longhorn” TS RemoteApp e TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609). Você também pode querer analisar
as informações sobre o IIS 7.0.
Se quiser usar o TS Web Access para tornar RemoteApps disponíveis a
computadores através da Internet, deve analisar o tópico Gateway de
Serviços de Terminal (TS Gateway) neste documento. O TS Gateway
ajuda você a proteger conexões remotas a servidores de terminal em
sua rede corporativa.

A Lista de RemoteApps É Atualizada Dinamicamente
Quando você implanta o TS Web Access, a lista de RemoteApps que
aparece na Parte de Web do TS Web Access (TS Web Access Web Part) é
atualizada dinamicamente. A lista é ocupada a partir da lista de
RemoteApps de um único servidor de terminal ou a partir de
RemoteApps que são implantados através de distribuição de software
de Diretiva de Grupo.
Um administrador pode especificar a origem dos dados que serão
usados para ocupar a lista de RemoteApps. Por padrão, a origem dos
dados é um único servidor de terminal.
• Quando a origem dos dados é um único servidor de terminal, a
Parte de Web é ocupada com todos os RemoteApps configurados
para acesso à Web na lista de RemoteApps daquele servidor. A
lista de programas exibida na Parte de Web não é específica
do usuário atual.
• Quando a origem dos dados são os Serviços de Domínio do
Active Directory, a Parte de Web é ocupada por pacotes
.rap.msi que são publicados para um usuário através da
distribuição de software de Diretiva de Grupo. Como as
informações são obtidas através de Diretiva de Grupo, o TS
Web Access exibe apenas os RemoteApps específicos do usuário
individual. Note que, por padrão, um RemoteApp é colocado em
pacote com a extensão .rap.msi quando você cria um pacote


68

.msi configurado para permitir o TS Web Access. Você cria
pacotes .msi do RemoteApp .msi usando o snap-in Gerenciador
de TS RemoteApp.
A lista de programas atualizada dinamicamente e a capacidade de
especificar a origem dos dados dos RemoteApps simplifica a
implantação de RemoteApps através da Web. Se você tiver um único
servidor de terminal, é fácil implantar programas usando a fonte de
dados do servidor de terminal. Se você já estiver usando a
implantação de programas baseada em Diretiva de Grupo, pode usar
pacotes .msi para distribuir RemoteApps a clientes.
Versões mais antigas de Serviços de Terminal não ofereciam um
mecanismo para atualizar dinamicamente um Website com uma lista de
RemoteApps.
Se você quiser ocupar a lista de RemoteApps usando Diretiva de
Grupo, deve ter um ambiente de Serviços de Domínio do Active
Directory. Deve também se familiarizar com a distribuição de
software de Diretiva de Grupo.

Inclui a Parte de Web do TS Web Access
O TS Web Access oferece uma Parte de Web do TS Web Access
personalizável, onde a lista de RemoteApps é exibida. Você pode
implantar a Parte de Web usando qualquer dos seguintes métodos:
• Implante a Parte de Web como parte da página de Web do TS Web
Access. (Esta é a solução pronta padrão.)
• Implante a Parte de Web como parte de uma página da Web
personalizada.
• Adicione a Parte de Web a um site de Serviços do Windows
SharePoint.
O TS Web Access oferece uma solução pronta flexível. A página de
Web do TS Web Access fornecida e a Parte de Web (Web Part) permitem
que você implemente o site do TS Web Access rápida e facilmente, e
permite que você implante o TS Web Access usando uma página de Web
ou Serviços do Windows SharePoint.
Com o TS Web Access, você não precisa adicionar manualmente uma
lista de programas disponíveis em uma página da Web para
proporcionar acesso centralizado à Web a RemoteApps. A Parte de Web
personalizável dá a você flexibilidade no tocante a aparência do
site e método de implantação.
Se você quiser personalizar a página de Web ou a Parte de Web
padrão, deve planejar as alterações no design que deseja fazer.
Deve também decidir se quer fornecer acesso ao TS Web Access usando
a página de Web do TS Web Access fornecida, uma página de Web
personalizada ou usando os Serviços do Windows SharePoint.


69

3.06 Impressão de Serviços de Terminal

A impressão de Serviços de Terminal foi aprimorada no Windows
Server “Longhorn” Beta 3 pelo acréscimo do driver de impressora
Terminal Services Easy Print (Impressão Fácil de Serviços de
Terminal) e uma definição de Diretiva de Grupo que permite a você
redirecionar somente a impressora cliente padrão.
O driver Terminal Services Easy Print é um novo recurso no
Windows Server “Longhorn” Beta 3 que permite aos usuários
imprimir de maneira confiável a partir de um RemoteApp ou de uma
sessão de área de trabalho de servidor de terminal para a
impressora correta em seu computador cliente. Ele também permite
uma experiência de impressão muito mais coerente entre sessões
local e remota.
A definição Redirect only the default client printer policy
(Redirecionar apenas a diretiva padrão de impressora cliente)
permite que você especifique se a impressora padrão do cliente é
a única impressora redirecionada em sessões de Serviços de
Terminal. Isso ajuda a limitar o número de impressoras que o
spooler deve enumerar, melhorando a escalabilidade do servidor de
terminal.
Para usar o driver Terminal Services Easy Print no Windows Server
“Longhorn” Beta 3, os clientes devem estar executando o Windows
Vista com SP1. Além disso, o .NET Framework 3.0 SP1 deve estar
instalado. (O .NET Framework 3.0 SP1 está incluído e é instalado
por padrão com o Windows Vista SP1.)
Os clientes baseados no Microsoft Windows Server 2003 com SP1 e
no Microsoft Windows XP com SP2 serão suportados quando a versão
Windows Vista SP1 do cliente de Conexão de Área de trabalho
Remota e o .NET Framework 3.0 SP1 estiverem disponíveis para
esses sistemas operacionais.
O driver Terminal Services Easy Print oferece a seguinte
funcionalidade:
• Confiabilidade melhorada da impressão de Serviços de
Terminal para sessões de RemoteApp e área de trabalho
remota.
• Suporte para drivers de legado e novos sem a necessidade de
instalar esses drivers no servidor de terminal.
• Melhorias de escalabilidade sobre o Windows Server 2003 em
termos de desempenho de enumeração de impressora, Durante o
processo de Winlogon, o spooler enumera apenas impressoras
disponíveis para um usuário em uma determinada sessão em
vez de enumerar todas as impressoras redirecionadas.
Portanto, as impressoras são enumeradas em uma base por
sessão, em vez de por usuário.


70

• Recursos de impressora disponível melhorados. O driver
Terminal Services Easy Print proporciona recursos de
impressora ricos e completos em sessões remotas. Todos os
recursos do driver de impressora física estão disponíveis
para uso quando um usuário visualiza as preferências de
impressão.
A definição de Diretiva de Grupo Redirect only the default client
printer (Redirecionar apenas a impressora cliente padrão) permite
que você controle se a impressora cliente padrão é a única
impressora redirecionada em uma sessão de Serviços de Terminal,
ou se todas as impressoras são redirecionadas em uma sessão.
O driver de impressora de emergência do servidor de terminal não
está mais incluído no Windows Server “Longhorn” Beta 3. Embora a
definição de Diretiva de Grupo Specify terminal server fallback
printer driver behavior (Especificar comportamento do driver de
impressora de emergência do servidor de terminal) ainda exista,
só pode ser usada para computadores baseados no Windows Server
2003 com SP1.
Por padrão, o driver Terminal Services Easy Print é ativado no
Windows Server “Longhorn” Beta 3. Para usar o driver Terminal
Services Easy Print, os computadores clientes devem satisfazer os
requisitos descritos na Seção Há Alguma Consideração Especial
Sobre Esses Recursos?.
Se houver computadores clientes que não suportem o driver
Terminal Services Easy Print driver, e o driver da impressora
ainda não estiver disponível no servidor de terminal, você deve
fazer qualquer dos seguintes para dar suporte à impressão do
cliente:
• Garantir que os drivers de impressora do cliente para
impressoras local e de rede estejam instalados no servidor
de terminal. Se você estiver instalando um driver de
terceiros, certifique-se de que ele tenha a assinatura dos
Laboratórios de Qualidade de Hardware Windows (WHQL -
Windows Hardware Quality Labs).
• Adicionar os drivers de impressora do cliente para
impressoras local e de rede em um arquivo de mapeamento de
impressoras personalizado no servidor de terminal. Para
mais informações sobre como criar um arquivo de mapeamento
de impressoras personalizado, consulte a seção Resolução do
artigo 239088 na Base de Conhecimento Microsoft

Configurações de Diretiva de Grupo
As seguintes configurações de Diretiva de Grupo foram adicionadas
para a impressão de Serviços de Terminal:
• Use Terminal Services Easy Print driver first (Usar
primeiro o driver Terminal Services Easy Print). Esta


71

definição de diretiva está localizada no seguinte nó do
Editor de Objetos de Diretiva de Grupo:
Computer ConfigurationAdministrative TemplatesWindows
ComponentsTerminal ServicesTerminal ServerPrinter
Redirection
Os valores possíveis são os seguintes:
o Enabled or not configured (Ativada ou não
configurada). Se esta definição de diretiva estiver
ativada ou não configurada, o servidor de terminal
tentará primeiro usar o driver Terminal Services Easy
Print para instalar todas as impressoras de clientes.
Se, por alguma razão, o driver Terminal Services Easy
Print não puder ser usado, um driver de impressora
que corresponda à impressora do cliente será usado.
Se o servidor de terminal não tiver um driver de
impressora que corresponda à impressora do cliente, a
impressora do cliente não ficará disponível para a
sessão de Serviços de Terminal. Por padrão, essa
definição de diretiva não é configurada.
o Disabled (Desativada). Se você desativar essa
definição de diretiva, o servidor de terminal tentará
encontrar um driver de impressora adequado para
instalar a impressora do cliente. Se o servidor de
terminal não tiver um driver de impressora que
corresponda à impressora do cliente, o servidor de
terminal tentará usar o driver Terminal Services Easy
Print para instalar a impressora do cliente. Se, por
alguma razão, o driver Terminal Services Easy Print
não puder ser usado, a impressora do cliente não
ficará disponível para a sessão de Serviços de
Terminal.
• Redirect only the default client printer (Redirecionar
apenas a impressora padrão do cliente). Essa definição de
diretiva está localizada no seguinte nó do Editor de
Objetos de Diretiva de Grupo:
ComponentsTerminal ServicesTerminal ServerPrinter
Redirection
Os valores possíveis são:
o Enabled (Ativada). Se você ativar essa definição de
diretiva, somente a impressora padrão do cliente é
redirecionada em sessões de Serviços de Terminal.
o Disabled or not configured (Desativada ou não
configurada). Se você desativar ou não configurar
essa definição de diretiva, todas as impressoras de
clientes são redirecionadas em sessões de Serviços de


72

Terminal. Por padrão, essa definição de diretiva não
é configurada.


73

3.07 Session Broker de Serviços de Terminal

O Session Broker de Serviços de Terminal (TS Session Broker) é um
serviço de função no Windows Server “Longhorn” Beta 3 que permite
que um usuário se reconecte a uma sessão existente em uma farm de
servidor de terminal de carga balanceada. O TS Session Broker
armazena informações de estado da sessão que incluem IDs de
sessão e seus nomes de usuários associados, e o nome do servidor
onde cada sessão reside.
O Windows Server “Longhorn” Beta 3 introduz um novo recurso do TS
Session Broker — o balanceamento de carga do TS Session Broker.
Esse recurso permite que você distribua a carga da sessão entre
servidores em um farm de servidores de terminal de carga
balanceada. Essa solução é mais fácil de implantar que o
Balanceamento de Carga de Rede Windows (NLB - Windows Network
Load Balancing), e é recomendada para farms de servidores de
terminal que consistam em dois a cinco servidores.
Nota
No Windows Server “Longhorn” Beta 3, o nome do recurso
Diretório de Sessão de Serviços de Terminal (TS Session
Directory) foi alterado para Session Broker de Serviços de
Terminal (TS Session Broker).
Para participar do balanceamento de carga do TS Session Broker, o
servidor do TS Session Broker e os servidores de terminal na farm
devem estar executando o Windows Server “Longhorn” Beta 3.
Servidores de terminal baseados no Microsoft Windows Server 2003
usam o recurso de balanceamento de carga do TS Session Broker.
Em vez de ter de usar o NLB para balancear a carga das sessões de
usuários, com o recurso de balanceamento de carga do TS Session
Broker você tem apenas de configurar entradas no Sistema de Nome
de Domínio (DNS - Domain Name System). Para configurar o DNS,
você deve registrar o endereço IP de cada servidor de terminal na
farm em uma única entrada de DNS para a farm. Todos os clientes
de entrada nos Serviços de Terminal tentarão se conectar ao
primeiro endereço IP para o registro de DNS. Se isso falhar, o
cliente tentará automaticamente se conectar ao endereço IP
seguinte. Isso proporciona certo grau de tolerância a falhas, no
caso de um dos servidores de terminal estar indisponível. Embora
todos os clientes inicialmente se conectem ao endereço IP do
primeiro servidor de terminal, são rapidamente redirecionados
para o servidor na farm com a menor carga. Se um servidor de
terminal na farm estiver indisponível ou sobrecarregado, a
sessão é redirecionada para um terminal que possa aceitar a
conexão.
O recurso de balanceamento de carga do TS Session Broker também
permite que você atribua um valor de peso para cada servidor.
Atribuindo um valor de peso a um servidor, você pode ajudar a
distribuir a carga entre servidores mais e menos poderosos em uma
farm.


74

Nota
Para configurar um servidor para participar do
balanceamento de carga do TS Session Broker, e para
atribuir um valor de peso a um servidor, você pode usar a
ferramenta Configuração de Serviços de Terminal.
Além disso, é fornecido um novo mecanismo que possibilita que
você permita ou recuse novas conexões de usuário ao servidor de
terminal. Esse mecanismo fornece a capacidade de se colocar um
servidor offline para manutenção sem interromper a experiência do
usuário. Se novas conexões forem recusadas em um servidor de
terminal na farm, o TS Session Broker redirecionará as sessões de
usuários para servidores de terminal configurados para permitir
novas conexões.
Nota
A configuração que você pode usar para permitir ou recusar
novas conexões de usuários está localizada na guia Geral da
conexão RDP-Tcp na ferramenta Configuração de Serviços de
Terminal.
Se você quiser usar o recurso de balanceamento de carga do TS
Session Broker, tanto o servidor do TS Session Broker como os
servidores de terminal na mesma farm devem estar executando o
Windows Server “Longhorn” Beta 3.
você deve registrar o endereço IP de todos os servidores de terminal
em uma única entrada do DNS para a farm. Se preferir, pode usar
rodízio de DNS ou um balanceador de carga de hardware para espalhar
a carga de conexão e autenticação inicial entre múltiplos servidores
de terminal na farm.

A seguinte definição de Diretiva de Grupo foi acrescentada para o TS
Session Broker:
ComponentsTerminal ServicesTerminal ServerTS Session Broker
Load Balancing
Os valores possíveis são:
• Enabled (Ativada). Se você ativar essa definição de diretiva,
o TS Session Broker redirecionará os usuários que não tenham
uma sessão existente para o servidor de terminal na farm com o
menor número de sessões. O comportamento de redirecionamento
para usuários com sessões existentes não será afetado. Se o
servidor estiver configurado para usar o TS Session Broker, os
usuários com uma sessão existente serão redirecionados para o
servidor de terminal em que sua sessão existir.
• Disabled (Desativada). Se você desativar essa definição de
diretiva, os usuários que não tiverem uma sessão existente
efetuarão o logon no servidor de terminal a que se conectarem
primeiro.

75

• Not configured (Não configurada). Se você não configurar essa
definição de diretiva, o balanceamento de carga do TS Session
Broker não é especificado no nível de Diretiva de Grupo. Neste
caso, você pode configurar o servidor de terminal para
participar do balanceamento de carga do TS Session Broker
usando a ferramenta Configuração de Serviços de Terminal ou o
provedor de WMI de Serviços de Terminal. Por padrão essa
definição de diretiva não é configurada.


76

3.08 Licenciamento de Serviços de Terminal

O Windows Server “Longhorn” oferece um sistema de gerenciamento
de licenças conhecido como Licenciamento de Serviços de Terminal
(TS Licensing). Este sistema permite a servidores de terminal
obter e gerenciar licenças de acesso de clientes de Serviços de
Terminal (TS CALs) para dispositivos e usuários que se conectem a
um servidor de terminal. O TS Licensing gerencia clientes não-
licenciados, temporariamente licenciados, e licenciados para
acesso de cliente, e suporta servidores de terminal que executem
o Windows Server “Longhorn” assim como o sistema operacional
Microsoft Windows Server 2003. O TS Licensing simplifica
enormemente a tarefa de gerenciamento de licenças para o
administrador de sistemas, ao mesmo tempo em que minimiza a
deficiência ou excesso de licenças compradas por uma organização.
Nota
O TS Licensing é usado apenas com Serviços de Terminal e
não com Área de trabalho Remota.
Um servidor de terminal é um computador no qual o serviço de
função de Servidor de Terminal é instalado. Ele fornece aos
clientes acesso a aplicações baseadas em Windows sendo executadas
inteiramente no servidor e suporta múltiplas sessões de clientes
no servidor. Conforme os clientes se conectam ao servidor de
terminal, este determina se o cliente precisa de um token de
licença, solicita um ao servidor de licenças, e em seguida o
entrega ao cliente.
Um servidor de licenças de Serviços de Terminal é um computador
em que o serviço de função de TS Licencing está instalado. Um
servidor de licenças armazena todos os tokens de TS CAL que
tenham sido instaladas para um grupo de servidores de terminal e
acompanha os tokens de licença que foram emitidos. Um servidor de
licenças pode atender vários servidores de terminal
simultaneamente. Para emitir tokens de licença permanentes a
dispositivos clientes, um servidor de terminal deve ser capaz de
se conectar a um servidor de licenças ativado. Um servidor de
licenças que tenha sido instalado, mas não ativado, emitirá
apenas tokens de licença temporários.
O TS Licensing é uma entidade separada do servidor de terminal.
Na maioria das grandes implantações, o servidor de licenças é
implantado em um servidor separado, embora possa ser um co-
residente no servidor de terminal em algumas implantações
menores.
O TS Licensing é um serviço de baixo impacto. Requer muito pouca
CPU ou memória para operações regulares, e seus requisitos de
disco rígido são pequenos, mesmo para um número significativo de
clientes. Atividades ociosas são insignificantes. O uso de
memória é de menos de 10 MB. O banco de dados de licenças cresce
em incrementos de 5 MB para cada 6.000 tokens de licença
emitidos. O servidor de licenças é ativo apenas quando um

77

servidor de terminal solicita um token de licença, e seu impacto
sobre o desempenho do servidor é muito baixo, mesmo em cenários
de cargas altas.
O TS Licensing inclui os seguintes recursos e benefícios:
• Administração centralizada para TS CALs e os tokens
correspondentes
• Acompanhamento e relatórios de licenças para o modo de
licenciamento Por Usuário
• Suporte simples para vários canais de comunicação e
programas de compra
• Impacto mínimo sobre rede e servidores
O gerenciamento efetivo de TS CALS usando o TS Licensing será do
interesse de organizações que atualmente usam ou estão
interessadas em usar os Serviços de Terminal. Os Serviços de
Terminal oferecem tecnologias que permitem acesso, a partir de
quase qualquer dispositivo de computação, a um servidor que
execute programas baseados em Windows ou à área de trabalho
Windows plena. Os usuários podem se conectar a um servidor de
terminal para executar programas e usar recursos de rede naquele
servidor.
O TS Licensing para Windows Server “Longhorn” agora inclui a
capacidade de acompanhar a emissão de TS CALs Por Usuário usando
o Gerenciador de TS Licensing.
Se o servidor de terminal estiver no modo de licenciamento Por
Usuário, o usuário conectando-se a ele deve ter uma TS CAL Por
Usuário. Se o usuário não tiver a TS CAL Por Usuário necessária,
o servidor de terminal entrará em contato com o servidor de
licenças para obter a CAL para o usuário.
Depois que o servidor de licenças emitir uma TS CAL Por Usuário
para o usuário, o administrador pode rastrear a emissão da CAL
usando o Gerenciador de TS Licensing.
Para usar o TS Licensing para gerenciar TS CALs, você precisará
do seguinte em um servidor executando o Windows Server
“Longhorn”:
Para configurar o TS Licensing para gerenciar TS CALs, faça o
seguinte:

1. Instale o serviço de função de TS Licensing.

2. Abra o Gerenciador de TS Licensing e conecte-se ao servidor
de licenças de Serviços de Terminal.

3. Abra o Gerenciador de TS Licensing e conecte-se ao servidor
de licenças de Serviços de Terminal.

4. Instale as licenças de acesso de cliente necessárias no
servidor de licenças.

78

Para mais informações sobre a instalação e configuração do TS
Licensing no Windows Server “Longhorn,” consulte o Licenciamento
de Servidor de Terminal do Windows Server 2003
Para tirar vantagem do TS Licensing, você deve atender os
seguintes pré-requisitos:
• Instalar o serviço de função de TS Licensing em um servidor
executando o Windows Server “Longhorn.”
• O rastreio e apresentação de relatórios de TS CALs Por
Usuário é suportado apenas em cenários unidos por domínio
(o servidor de terminal e o servidor de licenças são
membros de um domínio) e não é suportado no modo de grupo
de trabalho. Os Serviços de Domínio do Active Directory são
usados para o acompanhamento de licenças no modo Por
Usuário. Os Serviços de Domínio do Active Directory podem
ser baseados no Windows Server “Longhorn” ou no Windows
Server 2003.
Nota
Não são necessárias atualizações para o esquema dos
Serviços de Domínio do Active Directory para implementar o
rastreio e apresentação de relatórios de TS CALs Por
Usuário.
• Um servidor de terminal executando o Windows Server
“Longhorn” não se comunica com um servidor de licenças
executando o Windows Server 2003. Contudo. É possível um
servidor de terminal executando o Windows Server 2003 se
comunicar com um servidor de licenças executando o Windows


79

3.09 Gerenciador de Recursos de Sistema do Windows

O Gerenciador de Recursos de Sistema do Windows (WSRM) no Windows
Server “Longhorn” permite que você controle como os recursos de
CPU e memória são alocados para aplicações, serviços e processos
no computador. Gerenciar recursos dessa maneira melhora o
desempenho do sistema e reduz a chance de que aplicações,
serviços ou processos tirem recursos de CPU ou memória uns dos
outros e reduzam o desempenho do computador. Gerenciar recursos
também cria uma experiência mais coerente e previsível para
usuários de aplicações e serviços sendo executados no computador.
Você pode usar o WSRM para gerenciar múltiplas aplicações em um
único computador ou usuários em um computador no qual os Serviços
de Terminal estejam instalados.
Para mais informações sobre o WSRM, consulte a seguinte
documentação:
• Guia Passo a Passo do Gerenciador de Recursos de Sistema do
Windows do Microsoft Windows Server “Longhorn” Beta 2 no
Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
• Ajuda do Windows Server 2003 Help para o Gerenciador de
Recursos do Sistema do Windows na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)
A capacidade de usar o WSRM para gerenciar aplicações ou usuários
em um servidor de terminal do Windows Server “Longhorn” será
interessante para organizações que atualmente usem ou estejam
interessadas em usar Serviços de Terminal. Os Serviços de
Terminal fornecem tecnologias que possibilitam o acesso, a partir
de qualquer dispositivo de computação, a um servidor executando
programas baseados em Windows ou a uma área de trabalho Windows
plena. Usuários podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede naquele servidor.
O WSRM para Windows Server “Longhorn” agora inclui uma diretiva
de alocação de recursos Igual_Por_Sessão (Equal_Per_Session).
Para usar o WSRM para gerenciar aplicações ou usuários em um
servidor de terminal do Windows Server “Longhorn”, você vai
precisar fazer o seguinte:
Para configurar o WSRM para gerenciar aplicações ou usuários,
faça o seguinte:

1. Use o snap-in Gerenciador de Servidor para instalar o
serviço de função de Servidor de Terminal.

2. Instale o WSRM.

3. Configure o WSRM para Serviços de Terminal

Instalando o Servidor de Terminal

80

Instale o serviço de função de Servidor de Terminal em seu
computador antes de instalar e configurar o WSRM.
O serviço de função de Servidor de Terminal, conhecido como
componente de Servidor de Terminal no Microsoft Windows Server
2003, permite a um servidor baseado no Windows Server “Longhorn”
hospedar programas baseados no Windows ou a área de trabalho
Windows plena. A partir de seus dispositivos de computação, os
usuários podem se conectar a um servidor de terminal para
executar programas e usar recursos de rede naquele servidor.
No Windows Server “Longhorn,” você deve fazer o seguinte para
instalar o serviço de função de Servidor de Terminal, e para
configurar o servidor de terminal para hospedar programas:
Para instalar o serviço de função de Servidor de Terminal e
configurá-lo para hospedar programas, faça o seguinte:

1. Use o snap-in Gerenciador de Servidor para instalar o
serviço de função de Servidor de Terminal.

2. Instale programas no servidor.

3. Configure configurações de conexão remota. Isso inclui
adicionar usuários e grupos que precisam conectar-se ao
servidor de terminal.

Para mais informações sobre instalar o serviço de função de
Servidor de Terminal, consulte o TechCenter de Servidor de
Terminal do Windows Server “Longhorn”

Instalando o WSRM
Para instalar o serviço de função de Servidor de Terminal e
configurá-lo para hospedar programas, faça o seguinte:

1. Abra o Gerenciador de Servidor. Clique em Start, aponte
para Administrative Tools, e em seguida clique em Server
Manager.

2. Em Features Summary, clique em Add features.

3. Na página Select Features, assinale a caixa de seleção
Windows System Resource Manager (WSRM).

4. Uma caixa de diálogo aparecerá informando que o serviço de
função SQL Server™ 2005 Embedded Edition (Windows) também
precisa ser instalada para que o WSRM funcione
corretamente. Clique em Add Required Role Services, e em
seguida clique em Next.

5. Na página Confirm Installation Options, certifique-se de
que o SQL Server 2005 Embedded Edition (Windows) e o


81

Gerenciador de Recursos do Windows Server (WSRM) serão
instalados e em seguida clique em Install.

6. Na página Installation Results, confirme que a instalação
do SQL Server 2005 Embedded Edition (Windows) e do e o
Gerenciador de Recursos do Windows Server (WSRM) foi bem
sucedida, e clique em Close.

Depois de instalar o WSRM, você precisa iniciar o serviço do
Gerenciador de Recursos de Sistema do Windows.
Para iniciar o serviço do Gerenciador de Recursos de Sistema
do Windows, faça o seguinte:

1. Abra o snap-in Serviços. Para abrir o snap-in Serviços,
clique em Start, aponte para Administrative Tools, e clique
em Services.

2. Na caixa de diálogo Services, na coluna Name, clique com o
botão direito do mouse em Windows System Resource Manager,
e em seguida clique em Start.

Configurando o WSRM para Serviços de Terminal
Para configurar o WSRM, você usa o snap-in Gerenciador de
Recursos de Sistema do Windows.
Para abrir o snap-in Gerenciador de Recursos de Sistema do
Windows, faça o seguinte:

1. clique em Start, aponte para Administrative Tools, e clique
em Windows System Resource Manager.

2. Na caixa de diálogo Connect to computer, clique em This
computer, e em seguida clique em Connect para fazer o
Gerenciador de Recursos de Sistema do Windows administrar o
computador que você está usando.

Diretivas de Alocação de Recursos
O WSRM usa diretivas de alocação de recursos para determinar como
recursos de computador, como CPU e memória, são alocados a
processos sendo executados no computador. Há duas diretivas de
alocação de recursos especificamente projetadas para computadores
executando Serviços de Terminal:
• Igual_Por_Usuário (Equal_Per_User)
• Igual_Por_Sessão (Equal_Per_Session)
Nota
A diretiva de alocação Igual_Por_Sessão é nova no Windows


82

Se você implementar a diretiva de alocação Igual_Por_Sessão, cada
sessão de usuário (e seus processos associados) recebe uma
parcela igual de recursos da CPU do computador.
Para implementar a diretiva de alocação Igual_Por_Sessão, faça
o seguinte:

1. Abra o snap-in Windows System Resource Manager.

2. Na árvore do console, expanda o nó Resource Allocation
Policies.

3. Clique com o botão direito do mouse em Clique com o botão
direito do mouse em Equal_Per_Session, e em seguida clique
em Set as Managing Policy.

4. Se uma caixa de diálogo aparecer informando que o
calendário será desativado, clique em OK.

Para informações sobre a diretiva de alocação de recursos
Igual_Por_Usuário e configurações e configurações adicionais do
WSRM (como criar um critério correspondente ao processo através
da utilização de correspondência de usuário ou grupo), consulte a
seguinte documentação:
• Guia Passo a Passo do Gerenciador de Recursos de Sistema do
Windows do Microsoft Windows Server “Longhorn” Beta 2 no
Website Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779)
• Ajuda do Windows Server 2003 Help para o Gerenciador de
Recursos do Sistema do Windows na Central de Downloads
Microsoft (http://go.microsoft.com/fwlink/?LinkId=49774)

Desempenho de Monitoramento
Você deve coletar dados sobre o desempenho de seu servidor de
terminal antes e depois de implementar a diretiva de alocação de
recursos Igual_Por_Sessão (ou de fazer qualquer outra alteração
de configuração relacionada ao WSRM). Você pode usar o Monitor de
Recursos do snap-in Gerenciador de Recursos de Sistema do Windows
para coletar e visualizar dados sobre o uso de recursos de
hardware e a atividade de serviços de sistema no computador.


83

Seção 4: Escritórios Remotos



84

4.01 Introdução ao Suporte a Escritórios Remotos/Filiais

Este cenário se concentra no aperfeiçoamento da comunicação,
segurança e gerenciamento, os quais estarão disponíveis para as
filiais onde o Windows Server® “Longhorn” for instalado.

As principais proposições de valor disponíveis para as filiais
são as seguintes:
• Melhorar a eficiência da instalação e administração do
servidor da filial.
• Diminuir os riscos de segurança física nas filiais.
• Melhorar a eficiência das comunicações WAN da filial.

Os requisitos adicionais de hardware são os seguintes:
• Trusted Platform Module 1.2 (somente para Criptografia de
Disco BitLocker™)


85

4.02 Controlador de Domínio Somente Leitura

Um controlador de domínio somente leitura (RODC) é um novo tipo
de controlador de domínio no sistema operacional do Windows
Server “Longhorn”. Com o RODC, as empresas podem facilmente
implantar um controlador de domínio nos locais onde não é
possível garantir a segurança física. Um RODC hospeda partições
somente leitura da base de dados dos Serviços de Domínio do Active
Directory®.
Antes do lançamento do Windows Server “Longhorn”, os usuários não
possuíam alternativas caso quisessem realizar a autenticação com um
controlador de domínio em uma Rede Remota (WAN). Em muitos casos,
esta não era uma solução eficaz. As filiais raramente oferecem a
segurança física necessária a um controlador de domínio gravável.
Além disso, as filiais geralmente contam com pouca largura de banda
de rede quando são conectadas a um site hub, o que pode vir a
aumentar o tempo necessário para o logon e inclusive atrasar o
acesso aos recursos de rede.
Através da utilização do Windows Server “Longhorn”, uma empresa
pode implantar um RODC para resolver estes problemas. Como
resultado, os usuários podem receber os seguintes benefícios:
• Maior segurança
• Logon mais rápido
• Acesso mais eficiente aos recursos de rede
A falta de segurança física é a razão mais comum para se
considerar a implantação de um RODC. Com o RODC, é possível
implantar um controlador de domínio de forma mais segura, em
locais que exigem serviços de autenticação rápidos e confiáveis,
mas que no entanto não podem assegurar segurança física para um
controlador de domínio gravável.
Entretanto, sua empresa também pode optar pela implantação de um
RODC para requisitos administrativos especiais. Por exemplo: uma
aplicação LOB pode ser executada com sucesso somente se for
instalada em um controlador de domínio; ou ainda, o controlador
de domínio poderá ser o único servidor da filial, e então poderá
ter que hospedar as aplicações do servidor.
Nestes casos, o proprietário da aplicação LOB precisa se
registrar seguidamente no controlador de domínio de forma
interativa ou utilizar os Serviços de Terminal para configurar e
gerenciar a aplicação. Esta situação cria um risco de segurança
que pode se tornar inaceitável em um controlador de domínio
gravável.
Neste cenário, o RODC fornece um mecanismo mais seguro para a
implantação de um controlador de domínio. Você pode oferecer ao
usuário não administrativo do domínio o direito de acessar o


86

RODC, ao mesmo tempo em que reduz o risco de segurança para a
floresta do Active Directory.
Você também pode implantar um RODC em outros cenários onde o
armazenamento local de todas as senhas de usuário do domínio não
garanta segurança, como em uma extranet ou uma função de
aplicação.
O RODC foi desenvolvido especialmente para ser implantado em
ambientes remotos e em filiais. As filiais geralmente apresentam
as seguintes características:
• Número reduzido de usuários
• Pouca Segurança física
• Pouca largura de banda para um site hub
• Baixo conhecimento de TI
Você deveria revisar este capítulo, bem como a documentação de
suporte complementar sobre o RODC, caso você pertença a algum dos
seguintes grupos:
• Planejadores de TI e analistas que estejam avaliando
tecnicamente o produto
• Planejadores de TI corporativos e designers corporativos
• Profissionais responsáveis pela segurança de TI
• Administradores dos Serviços de Domínio do Active Directory®
que lidam com escritórios pequenos de filiais
Para oferecer suporte à Diretiva de Replicação de Senhas do RODC,
os Serviços de Domínio do Active Directory® do Windows Server
“Longhorn” incorporam novos atributos. A Diretiva de Replicação
de Senhas é o mecanismo que determina se as credenciais de um
usuário ou de um computador possuem a permissão para operar a
replicação de um controlador de domínio somente leitura para um
RODC. A Diretiva de Replicação de Senhas é sempre configurada em
um controlador de domínio gravável que execute o Windows Server
“Longhorn.”
Os atributos dos Serviços de Domínio do Active Directory®
adicionados ao plano do Windows Server “Longhorn” Active
Directory para oferecer suporte aos RODCs incluem o seguinte:
• msDS-Reveal-OnDemandGroup
• msDS-NeverRevealGroup
• msDS-RevealedUsers
• msDS-AuthenticatedToAccountList
Para mais informações sobre estes atributos, veja o Guia Passo a
Passo para Planejamento, Implantação e Utilização do Controlador
de Domínio Somente Leitura do Windows Server “Longhorn”:


87

Para implantar um RODC, o controlador de domínio que possui o
papel mestre de emulador do controlador de domínio principal
(PDC), também conhecido como FSMO (Flexible Single Master
Operations) para o domínio, precisa executar o Windows Server
“Longhorn”. Além disso, o nível funcional para o domínio e a
floresta deve ser o Microsoft® Windows Server 2003 ou superior.
O RODC aborda alguns dos problemas normalmente encontrados nas
filiais. Estes locais nem sempre possuem um controlador de
domínio. Ou talvez eles possuam um controlador de domínio
gravável, porém sem a segurança física, a largura de banda ou
técnicos locais especializados para lhes oferecer suporte. A
funcionalidade do RODC a seguir mitiga estes problemas:
• Banco de dados somente leitura dos Serviços de Domínio do
Active Directory®.
• Replicação unidirecional
• Caching de credenciais
• Separação do papel de administrador
• DNS Somente Leitura

Base de Dados Somente Leitura dos Serviços de Domínio do Active
Directory .
Com exceção das senhas de contas, um RODC contém todos os objetos
e atributos do Active Directory encontrados em um controlador de
domínio gravável. Entretanto, não é possível efetuar mudanças na
base de dados armazenada no RODC. As mudanças devem ser feitas em
um controlador de domínio gravável e então replicadas para o
RODC. Esta medida previne contra alguma mudança que possa ser
realizada nas filiais, levando a poluir ou corromper a floresta
inteira.
Aplicações locais que exigem acesso de Leitura para o diretório,
podem obter este acesso. As aplicações do protocolo LDAP
(Lightweight Directory Application Protocol)que exigem o acesso
de Gravação recebem uma resposta de indicação LDAP. Esta resposta
irá direcioná-las para um controlador de domínio gravável,
normalmente em um site hub.

Replicação Unidirecional
Nenhuma mudança é gravada diretamente no RODC, pois nenhuma
mudança se origina no RODC. Como resultado, os controladores de
domínio gravável, que são parceiros na replicação, não precisam
extrair mudanças do RODC. Isto reduz a carga de trabalho dos
servidores bridgehead no hub e o esforço necessário para
monitorar a replicação.
A replicação unidirecional do RODC se aplica tanto aos Serviços
de Domínio do Active Directory® como à Replicação do Sistema de
Arquivos Distribuído (DFS). O RODC desempenha a replicação normal


88

de chegada para os Serviços de Domínio do Active Directory® e
mudanças na Replicação DFS.

Caching de Credenciais
Caching de credenciais é o armazenamento de credenciais do
usuário ou do computador. As credenciais consistem em um pequeno
conjunto de aproximadamente 10 senhas que estão associadas aos
diretores de segurança. Por padrão, um RODC não armazena as
credenciais do usuário ou do computador. As exceções são a conta
de computador do RODC e uma conta krbtgt especial existente em
cada RODC. É necessário conceder permissão explícita a qualquer
outro caching de credencial explicitamente em um RODC.
O RODC é anunciado como o Principal Centro de Distribuição (KDC –
Key Distribution Center) para a filial. O RODC utiliza uma conta
krbtgt e senha diferente do KDC em um controlador de domínio
gravável, quando este assina ou criptografa pedidos TGT (ticket-
granting ticket).
Após uma conta ser devidamente autenticada, o RODC tenta contatar
um controlador de domínio gravável no site hub e pede uma cópia
das credenciais apropriadas. O controlador de domínio gravável
reconhece que o pedido se origina de um RODC e consulta a
Diretiva de Replicação de Senhas em vigor para aquele RODC.
A Diretiva de Replicação de Senhas determina se podem ser
replicadas as credenciais de um usuário ou de um computador do
controlador de domínio gravável para o RODC. Se a Diretiva de
Replicação de Senhas permitir, o controlador de domínio gravável
replica as credenciais para o RODC, que faz o caching.
Depois de fazer o caching das credenciais, o RODC pode atender
diretamente os pedidos de registro do usuário até o momento de
troca de credenciais. (Quando um TGT é assinado com a conta
krbtgt do RODC, este reconhece que existe uma cópia cache das
credenciais. Caso outro controlador de domínio assine o TGT, o
RODC envia os pedidos ao controlador de domínio gravável.)
Ao limitar o caching de credenciais somente aos usuários
certificados com o RODC, a exposição potencial de credenciais do
RODC também é limitada. De maneira geral, apenas um pequeno grupo
de usuários do domínio possui o caching das credenciais em
qualquer RODC. Portanto, no caso de o RODC ser roubado, somente
as credenciais cacheadas podem potencialmente ser quebradas.
O ato de deixar o caching de credenciais desabilitado pode mais
adiante limitar a exposição, mas faz com que todos os pedidos de
autenticação sejam encaminhados para um controlador de domínio
gravável. Um administrador pode modificar a Diretiva de
Replicação de Senhas para permitir o caching de credenciais dos
usuários no RODC.

Separação do Papel de Administrador

89

Você pode delegar o papel de administrador local de RODC a
qualquer usuário do domínio, sem a necessidade de lhe oferecer
quaisquer direitos relativos ao domínio ou outros controladores
de domínio. Assim, é possível um usuário da filial efetuar o
logon em um RODC e realizar o trabalho de manutenção no servidor,
como, por exemplo, a atualização de uma unidade. Entretanto, o
usuário da filial não pode efetuar o logon em nenhum outro
controlador de domínio ou realizar qualquer outra tarefa
administrativa no domínio. Desta forma, pode-se delegar ao
usuário da filial a capacidade de gerenciar o RODC no escritório
da filial, sem comprometer a segurança do restante do domínio.

DNS Somente Leitura
Você pode instalar o serviço de Servidor DNS em um RODC. O RODC
possui a capacidade de replicar todas as partições do diretório
de aplicações utilizados pelo DNS, inclusive ForestDNSZones e
DomainDNSZones. Se o Servidor DNS estiver instalado em um RODC,
os clientes podem examiná-lo para a resolução de nomes da mesma
forma que fazem com outros servidores DNS.
Porém, o Servidor DNS em um RODC não suporta atualizações de
clientes diretamente. Por conseqüência, o RODC não registra as
gravações de recursos de name server (NS) para nenhuma zona
integrada ao Active Directory que ele hospeda. Quando um cliente
faz a tentativa de atualizar suas gravações frente a um RODC, o
servidor retorna uma orientação. O cliente então pode tentar
fazer a atualização frente a um servidor DNS, o qual é fornecido
na mensagem de orientação. No fundo, o servidor DNS no RODC tenta
replicar o relatório atualizado pelo servidor DNS. Este pedido de
replicação se refere a um único objeto (a gravação DNS). A lista
completa da zona modificada ou dos dados de domínio não é
replicada durante este pedido especial para a replicação de
objeto único.

Implantação
Os pré-requisitos para a implantação de um RODC são os seguintes:
• O controlador de domínio que contém a função de mestre de
operações do emulador PDC (controlador de domínio primário)
precisa executar o Windows Server “Longhorn”. Isto é
necessário para a criação da nova conta krbtgt para o RODC
e suas operações.
• O RODC precisa encaminhar pedidos de autenticação para um
controlador de domínio gravável que tenha instalado o
Windows Server “Longhorn.” A Diretiva de Replicação de
Senhas é instalada neste controlador de domínio para
determinar que as credenciais sejam replicadas para a
filial, em um pedido encaminhado pelo RODC.
• O nível funcional do domínio deve ser Windows Server 2003
ou superior, em que esteja disponível uma delegação
limitada por kerberos. Uma delegação limitada é utilizada


90

para chamadas de segurança, que devem personificar o
contexto do visitante.
• O nível funcional da floresta deve ser Windows Server 2003
ou superior, para que esteja disponível a replicação de
valor relacionado. Isto permite um nível mais alto de
consistência de replicação.
• É preciso executar adprep /rodcprep uma vez na floresta, a
fim de atualizar as permissões em todas as partições do
diretório de aplicações DNS da floresta. Desta forma, todos
os RODCs que também são servidores DNS podem replicar com
sucesso as permissões.


91

4.03 Criptografia de Unidade de Disco BitLocker

O Criptografia de Unidade de Disco BitLocker do Windows® é um
recurso de segurança nos sistemas operacionais Windows Vista™
Enterprise e Ultimate, e Windows Server “Longhorn”. Este recurso
fornece proteção ao sistema operacional de seu computador e aos
dados armazenados no volume do sistema operacional. No Windows
Server “Longhorn”, a proteção do BitLocker também pode ser
estendida aos volumes utilizados para o armazenamento de dados.
O BitLocker exerce duas funções:
• O BitLocker criptografa todos os dados armazenados no
volume do sistema (e volumes de dados configurados). Isto
inclui o sistema operacional Windows, arquivos de página e
hibernação, aplicações e dados utilizados pelas aplicações.
• O BitLocker é configurado por padrão para utilizar um TPM
(Trusted Platform Module), a fim de garantir a integridade
dos primeiros componentes de inicialização(componentes
empregados nos primeiros estágios do processo de
inicialização). Como ele “trava” quaisquer volumes
protegidos pelo BitLocker, estes permanecem criptografados
mesmo quando o sistema operacional não estiver sendo
executado e o computador for mexido.

O BitLocker é um componente opcional que precisa ser instalado
antes de ser usado em um sistema baseado no Windows Server
“Longhorn”. Para instalar o BitLocker, é preciso selecioná-lo no
Gerenciador de Servidor ou digitar no prompt de comando o
seguinte:
start /w pkgmgr /iu:BitLocker /norestart
O BitLocker pode interessar aos seguintes grupos:
• Administradores, profissionais de segurança de TI e
oficiais responsáveis por garantir que dados confidenciais
não sejam revelados sem autorização
• Administradores responsáveis pela segurança dos
computadores em escritórios remotos ou filiais
• Administradores responsáveis por servidores ou computadores
clientes Windows Vista que sejam móveis
Para fazer uso de sua total funcionalidade, O BitLocker requer
um sistema com microchip TPM compatível e BIOS. Um TPM compatível
se define como versão 1.2 TPM. Um BIOS compatível deve suportar o
TPM e o Static Root of Trust Measurement, conforme definido pelo
Trusted Computing Group. Para mais informações sobre as
especificações do TPM, visite a seção TPM Specifications no site
do Trusted Computing Group:


92

O BitLocker exige que a partição ativa (também chamada de
partição de sistema) não seja criptografada. O sistema
operacional Windows é instalado em uma segunda partição, a qual é
criptografada pelo BitLocker.
Ao trabalhar com a criptografia de dados, especialmente em um
ambiente corporativo, é necessário ter em mente como estes dados
poderão ser recuperados no caso de uma falha de hardware, de
mudanças no quadro de funcionários, ou outras situações em que há
perda das chaves de criptografia. O BitLocker suporta um cenário
robusto de recuperação, o qual será descrito neste artigo mais
adiante.
Os principais recursos do BitLocker incluem criptografia de
unidade de disco, verificação da integridade dos primeiros
componentes de inicialização e o mecanismo de recuperação.

Criptografia de Unidade de Disco
Tudo que é gravado em um disco protegido pelo BitLocker é
criptografado, inclusive o próprio sistema operacional, todos os
dados e aplicações.
Isso ajuda na proteção dos dados contra acessos não autorizados.
Embora a segurança física dos servidores seja importante, o
BitLocker pode ajudar a proteger os dados em situações em que um
computador é roubado, enviado de um lugar a outro, ou esteja de
alguma forma fora de seu controle físico.
A criptografia de disco auxilia na prevenção de ataques offline,
como a remoção de uma unidade de disco de um computador e sua
instalação em outro, numa tentativa de burlar medidas de
segurança do Windows, tais como permissões estabelecidas pelas
listas de controle de acesso (ACLs)do NTF.
O BitLocker é implementado em código nos primeiros componentes da
inicialização (registro mestre de inicialização (MBR), setor de
partida, gerenciador de inicialização, Windows Loader), e como
uma unidade de filtro, que é parte integral do sistema
operacional.
Na primeira ativação do BitLocker, deve ser efetuada a
criptografia dos dados existentes no volume. Você pode continuar
utilizando o computador durante este processo, mas poderá notar
uma redução no desempenho durante a criptografia inicial.
Após completar a criptografia inicial, o uso do volume
criptografado provoca uma leve perda de desempenho no acesso ao
disco. Embora dependa muito do tipo de hardware e dos padrões de
operação, esta perda é estimada entre 3 e 5 por cento. Em
sistemas clientes, a perda geralmente não é notada pelos
usuários. Nos casos de servidores muito carregados, é preciso
avaliar o desempenho do subsistema de disco.


93

O uso de um disco capacitado para BitLocker é transparente para o
sistema operacional e todas as aplicações.
Para informações mais específicas do algoritmo de criptografia
do BitLocker, consulte “AES-CBC + Elephant diffuser”:
(http://go.microsoft.com/fwlink/?LinkId=82824)

Verificação de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos
primeiros componentes da inicialização, para ajudar na prevenção
contra ataques offline adicionais, como por exemplo, tentativas
de inserir códigos maliciosos nesses componentes.
Na primeira etapa do processo de inicialização, os componentes
não podem estar criptografados, para que o computador possa
iniciar. Por esta razão, um agressor pode efetuar mudança de
código nos primeiros componentes da inicialização, tendo acesso
ao computador, mesmo que os dados do disco estejam
criptografados. Assim, se o agressor conseguir acesso às
informações confidenciais, como as chaves do BitLocker ou senhas
do usuário, o BitLocker, bem como outras proteções de segurança
do Windows, podem ser burladas.
Cada vez que um computador equipado com TPM inicia, cada um dos
primeiros componentes de inicialização (como BIOS, MBR, setor de
partida e código de gerenciamento de inicialização) examina o
código a ser executado, calcula um valor de seqüência e armazena
este valor no TPM. Uma vez instalado no TPM, esse valor não pode
ser mudado até que o sistema reinicialize. Uma combinação destes
valores é gravada e usada para proteger as chaves de
criptografia.
Os computadores que incorporam um TPM podem criar uma chave
vinculada a estes valores. Quando este tipo de chave é criada,
ela é criptografada pelo TPM, e somente o TPM pode
descriptografá-la. Cada vez que o computador inicia, o TPM
compara os valores produzidos durante a inicialização atual com
os valores que existiam no momento da criação da chave. Ele
somente criptografa a chave se os valores combinarem. Este
processo é chamado “lacrar” e “deslacrar” a chave.
O BitLocker examina e lacra as chaves nas dimensões do CRTM (Core
Root of Trust), do BIOS e de qualquer extensão de plataforma,
opção de código memória somente leitura (ROM), código MBR, setor
de partida e gerenciador de partida. Isto significa que, no caso
de ocorrer alguma mudança inesperada em qualquer desses ítens, o
BitLocker travará a unidade e impedirá que ela seja acessada ou
descriptografada.
O Bitlocker é configurado para buscar e utilizar um TPM. Você
pode empregar a Diretiva de Grupo para permitir que o BitLocker
opere sem um TPM e armazene as chaves em uma unidade externa USB;
entretanto, o BitLocker não pode então verificar os primeiros
componentes da inicialização.

94

É preciso levar em consideração a disponibilidade de um TPM no
momento da compra de hardware. Na ausência de um TPM, a segurança
física do servidor torna-se ainda mais importante.
O BitLocker deve ser desativado durante a manutenção programada
que envolva mudança em algum dos primeiros componentes de
inicialização dimensionados. Após o término da manutenção, o
BitLocker pode ser reativado, e novas dimensões de plataforma são
usadas para as chaves. A desativação e reativação não exigem a
criptografia e re-criptografia do disco.

Opções de Recuperação
O BitLocker suporta uma grande série de opções de recuperação, de
modo a garantir a disponibilidade dos dados aos seus usuários
legítimos.
É fundamental que os dados de uma empresa possam ser
descriptografados, mesmo que estejam disponíveis as chaves de
descriptorafia mais amplamente utilizadas. A capacidade de
recuperação está inserida no BitLocker, sem “back doors”. Porém,
as empresas podem facilmente assegurar-se de que seus dados estão
protegidos e disponíveis.
Quando o BitLocker é ativado, o usuário recebe uma solicitação
para armazenar uma “senha de recuperação”, a qual será utilizada
para destravar um volume BitLocker que estiver travado. O
assistente de instalação do BitLocker exige que pelo menos uma
cópia da senha de recuperação seja salva.
Porém, em muitos ambientes, não é possível confiar a usuários a
guarda e proteção das senhas de recuperação. Assim sendo, você
pode configurar o BitLocker para salvar as informações de
recuperação no Active Directory ou nos Serviços de Domínio do
Active Directory.
Nós recomendamos que as senhas de recuperação sejam salvas no
Active Directory em ambientes corporativos.
As configurações da Diretiva de Grupo podem ser usadas para
configurar o BitLocker, de forma a exigir ou proibir diferentes
tipos de armazenamento de senhas de recuperação, ou torná-las
opcionais.
As configurações da Diretiva de Grupo também podem ser usadas
para evitar a desativação do BitLocker, caso não seja possível o
backup das chaves no Active Directory.
Para mais informações sobre como configurar o Active Directory
para suportar as opções de recuperação, veja: Configuring Active
Directory to Back up Windows Criptografia de Unidade de Disco
BitLocker e Trusted Platform Module Recovery Information


95

Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto através do Windows
Management Instrumentation (WMI) ou de uma interface de comando
por linha.
Em um ambiente com muitos computadores ou computadores em
escritórios remotos e filiais, fica difícil ou impossível
gerenciar recursos e configurações de forma individual.
Os recursos do BitLocker estão dispostos no subsistema WMI, que é
uma implementação das estruturas e funções do WBEM (Web-Based
Enterprise Management). Por essa razão, os administradores podem
usar qualquer software WBEM compatível com WMI para gerenciar o
BitLocker em computadores locais ou remotos.
Para mais informações sobre BitLocker e WMI, veja: Criptografia
de Unidade de Disco BitLocker Provider
O Windows também adiciona ao BitLocker uma interface de comando
por linha, implementada como um script chamado manage-
bde.wsf.Você pode usar o manage-bde.wsf para controlar todos os
aspectos do BitLocker em um computador local ou remoto. Para
obter uma lista completa da sintaxe e dos comandos do of manage-
bde, digite o seguinte em um prompt de comando:
manage-bde.wsf /?
O gerenciamento remoto do BitLocker é um componente opcional que
pode ser instalado no Windows Server “Longhorn”, para permitir
que você gerencie outros computadores sem ativar o BitLocker no
servidor que você esteja usando.
O componente opcional para o gerenciamento remoto do BitLocker é
chamado BitLocker-RemoteAdminTool. Este pacote de componente
opcional contém o manage-bde.wsf e o arquivo associado .ini. Para
instalar somente o componente de gerenciamento remoto, você deve
digitar no prompt de comando:
start /w pkgmgr /iu:BitLocker-RemoteAdminTool

Dois conjuntos novos de configurações de Diretiva de Grupo foram
introduzidos para oferecer suporte ao BitLocker e ao
gerenciamento do TPM. Todas as configurações da diretiva estão
explicadas no Editor de Objetos de Diretiva de Grupo. Para obter
mais detalhes, abra o Group Policy Object Editor (gpedit.msc) e
examine cada configuração.
As configurações de Diretiva de Grupo que afetam o BitLocker
encontram-se em: Computer Configuration/Administrative
Templates/Windows Components/Criptografia de Unidade de Disco
BitLocker. A tabela a seguir resume estas configurações.


96

Criptografia do BitLocker — Configurações de Diretiva de Grupo

Nome da Padrão Descrição
Configuração
Ativar backup Desativado Esta configuração verifica se a informação
do BitLocker de recuperação do BitLocker foi copiada
para Serviços para o Serviços de Domínio do Active
de Domínio do Directory. Se ativada, ela também pode
Active verificar se o backup é obrigatório ou
Directory opcional e se somente uma senha de
recuperação ou um pacote inteiro está
salvo.
Configuração do Nenhum(Seleção do Esta configuração especifica a posição
Painel de usuário) padrão mostrada ao usuário para salvar
Controle: chaves de recuperação. Pode ser uma posição
Configurar local ou em rede. O usuário é livre para
pasta de escolher outras posições.
recuperação
Configuração do Nenhum (Seleção do Esta configuração permite escolher se o
Painel de usuário) assistente de configuração do Criptografia
Controle: de Unidade de Disco BitLocker pedirá ao
Configurar usuário para salvar as opções de
opções de recuperação do BitLocker.
recuperação Duas opções de recuperação podem destravar
o acesso aos dados criptografados do
BitLocker. O usuário pode digitar uma senha
de recuperação numérica de 48 dígitos, à
sua escolha . O usuário também pode inserir
uma unidade USB que contenha uma chave de
recuperação aleatória de 256 bits.
Cada uma delas pode ser exigida ou
proibida. Caso você proíba as duas opções o
backup para os Serviços de Domínio do Active Directory
precisa ser ativado.
Configuração do Desativado Esta configuração permite escolher se o
Painel de BitLocker pode ser ativado em computadores
Controle: sem TPM, e se a autenticação multifactor
Ativar opções pode ser usada em computadores sem TPM.
de configuração
avançadas
Configurar AES 128-bit com Esta configuração estabelece a extensão da
método de Difusor chave de criptografia AES e a utilização ou
criptografia não do Difusor.
Prevenir Desativado (a As chaves do BitLocker podem continuar na
regravação de memória será memória entre uma inicialização e outra se
memória na regravada) o computador não for desligado. Portanto, o
reinicialização BitLocker instrui os BIOS a limpar toda a memória
em reinicializações “mornas”, o que pode resultar em demora em
sistemas com grande quantidade de memória. Ativar esta
configuração pode melhorar o desempenho da reinicialização,
mas não aumenta o risco de segurança.
Configurar PCRs 0, 2, 4, 8, Determina quais dimensões de plataforma do
perfil de 9, 11 TPM, armazenadas nos registros de controle
validação de de plataforma (PCRs), serão utilizadas para
plataforma do lacrar as chaves do BitLocker.
TPM

As configurações de Diretiva de Grupo que controlam o
comportamento do TPM podem ser encontradas em: Computer
Configuration/Administrative Templates/System/Trusted Platform
Module services. A tabela a seguir resume estas configurações.


97

Comportamento do TPM — Configurações de Diretiva de Grupo
Nome da Padrão Descrição
Configuração
Ativar backup Desativado Esta configuração controla o backup da
do TPM para informação de senha do proprietário do TPM
Serviços de nos Serviços de Domínio do Active
Domínio do Directory.Caso esteja ativada, ela também
Active pode controlar se o backup é obrigatório ou
Directory opcional.
Configurar Nenhum Esta diretiva permite que funções
lista de específicas do TPM sejam ativadas ou
comandos desativadas. Porém, as duas próximas
bloqueados do configurações podem restringir os comandos
TPM disponíveis. As listas baseadas em Diretiva
de Grupo prevalecem sobre as listas locais.
As listas locais podem ser configuradas no
console de Gerenciamento do TPM.
Ignorar a lista Desativado Por padrão, alguns comandos do TPM são
padrão dos bloqueados. Para ativar estes comandos,
comandos do TPM esta configuração de diretiva precisa ser
bloqueados ativada.
Ignorar a lista Desativado Por padrão, um administrador local pode
local dos bloquear os comandos no console de
comandos do TPM Gerenciamento do TPM. Esta configuração
bloqueados pode ser usada para evitar tal
comportamento.

Para mais informações sobre a operação do TPM e a utilização do
console de Gerenciamento do TPM, veja o Guia Passo a Passo
Windows Trusted Platform Module Management:

Implantação
O BitLocker é um componente opcional em todas as edições do
Windows Server “Longhorn.”
O BitLocker está disponível no Windows Vista Enterprise e no
Windows Vista Ultimate, e pode ser muito útil na proteção de
dados armazenados em computadores clientes, especialmente nos
móveis.
Antes de ativar o BitLocker, você deve levar em consideração:
• Requisitos de Hardware. Se o hardware existente não tiver
potência suficiente para realizar a criptografia, considere
fazer uma atualização. Para utilizar a totalidade de
recursos do sistema, como será descrito adiante, a
plataforma de hardware deve estar equipada com um TPM
versão 1.2.
• Diretivas corporativas. Avalie suas diretivas relacionadas
à retenção de dados, criptografia e compatibilidade.
Certifique-se de ter um plano para recuperação de dados,
como será discutido na próxima seção.


98

• Como serão armazenadas as informações de recuperação. Nós
recomendamos a utilização do Active Directory para backups
de informações de recuperação em ambientes corporativos.

Informações Adicionais
• Para informações adicionais sobre o BitLocker, visite:
Criptografia de Unidade de Disco BitLocker: Visão Geral
Técnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a-
Passo Windows Criptografia de Unidade de Disco BitLocker
• Artigos e recursos adicionais sobre o BitLocker estão
disponíveis no TechCenter do Microsoft Windows Vista


99


No Windows Server “Longhorn”, os administradores agora podem
optar por instalar um ambiente mínimo, que evita sobrecargas.
Para saber Embora esta opção limite o papel a ser desempenhado pelo
mais, veja servidor, ela pode melhorar a segurança e reduzir o
a seção
7.05 gerenciamento. Este tipo de instalação é chamado de instalação do
Núcleo do Núcleo do Servidor.
Servidor
na página Para mais informações sobre o Núcleo do Servidor, veja a seção 7.05
242. Núcleo do Servidor na página 242.


100

Seção 5: Aplicação de Diretivas
e Segurança


101

5.01 Introdução à Aplicação de Diretivas e Segurança

O foco deste cenário é a conformidade aprimorada de segurança e
gerenciamento que se torna possível por meio dos recursos de
acesso voltados às diretivas para as organizações que implantaram
o Windows Server® “Longhorn” com Windows Vista™, Windows® XP SP2 e
o Windows Server 2003 R2.
Esse cenário também inclui o conjunto completo de serviços de
identidade e acesso de que os clientes precisam para fornecer o
gerenciamento d de usuários, a consolidação de diretórios, o
logon único, a autenticação forte e a proteção e federação de
informações.

Proposta de Valor para os Cenários
O reforço de diretivas e de segurança permite:
• Determinar a integridade e o status de laptops e
computadores domésticos não-gerenciados (desktop e laptop),
verificar a conformidade e reforçar a remediação de
dispositivos não-conformes. Simplificar tarefas
administrativas, como atualizações de sistema e instalações
de aplicativos.
• Determinar a integridade de laptops visitantes e reforçar a
inspeção de dados de camada de aplicativos, verificando a
existência de malware. Simplificar tarefas administrativas,
como atualizações de sistema e instalações de aplicativos.
• Utilizar a qualidade de serviço baseada em diretivas para
priorizar e gerenciar a taxa de envio do tráfego de rede
contínuo e a filtragem do tráfego de entrada e saída.
• Aprimorar o acesso sem fio à rede, dando suporte a redes
que utilizam switches de autenticação, mecanismos
aprimorados de criptografia e a integração com o NAP
(Network Access Protection) para diretivas específicas sem
fio que dão suporte à autenticação 802.1x.
• Ajudar a estender, de forma segura, as informações e os
aplicativos aos parceiros de negócios, como também dar
proteção a eles.
• Reduzir o risco de acesso não-autorizado por meio da
autenticação forte.
• Reduzir o número de contas de usuário e repositórios que
precisam de gerenciamento.
• Ajudar no gerenciamento seguro das contas e informações de
usuário fora do datacenter.
• Ativar a troca flexível de informações dentro e fora da
organização, enquanto o controle de acesso granular é
mantido.

102

Os requisitos de hardware adicionais são estes:
• Os smart cards são exigidos para clientes que desejam
implantar uma solução de autenticação forte e, dessa forma,
reduzir o risco de acesso sem autorização.
• Placas de acesso sem fio e pontos de acesso são exigidos
para o acesso seguro sem fio.


103

5.02 Serviços de Acesso e Diretiva de Rede

Os Serviços de Acesso e Diretiva de Rede (Network Policy and
Access Services) fornecem uma variedade de métodos para oferecer
conectividade de rede remota e local aos usuários, para conectar
segmentos de rede e permitir que os administradores de rede
gerenciem, de forma centralizada, o acesso à rede e as diretivas
de integridade do cliente.
Com os Serviços de Acesso à Rede (Network Access Services), é
possível implantar servidores VPN e de discagem, roteadores e o
acesso sem fio protegido pela autenticação 802.11. Você também
pode implantar servidores e proxies RADIUS e utilizar o
Connection Manager Administration Kit para criar perfis de acesso
remoto os quais permitam que os computadores cliente conectem-se
a sua rede.
Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes
soluções de conectividade de rede:
• Proteção Contra Acesso à Rede. A Proteção Contra Acesso à
Rede, ou NAP (Network Access Protection), é uma criação de
diretiva de integridade de cliente, uma tecnologia de
reforço e remediação incluída nos sistemas operacionais
Windows Vista Business, Enterprise e Ultimate, como também
no Windows Server “Longhorn”. Com o NAP, os administradores
de sistema podem estabelecer e, automaticamente, forçar
diretivas de integridade, as quais podem incluir requisitos
de software, de atualização de rede, configurações exigidas
de computador, além de outras configurações. Computadores
cliente que não estiverem de acordo com a diretiva de
integridade podem ter o acesso de rede restringido até que
suas configurações sejam atualizadas, fazendo com que
estejam de acordo com a diretiva. Dependendo da forma com
que implantar o NAP, os clientes não-conformes serão
automaticamente atualizados, de forma que os usuários
possam rapidamente obter novamente o acesso completo à
rede, sem a necessidade de atualizar ou reconfigurar
manualmente seus computadores.
• Proteção contra Acesso com e sem fio. Ao implantar pontos
de acesso sem fio 802.1X, o acesso seguro sem fio fornece
aos usuários um método de autenticação baseado em senhas e
com segurança aprimorada fácil de ser implantado. Ao
implantar switches de autenticação 802.1X, o acesso com fio
permite que você assegure sua rede, garantindo que os
usuários da intranet sejam autenticados antes que possam
conectar-se à rede ou obter um endereço IP utilizando o
DHCP.
• Soluções de acesso remoto. Com as soluções de acesso
remoto, você pode fornecer aos usuários o acesso discado e
VPN à rede da organização. Além disso, é possível conectar

104

os escritórios de filiais a sua rede por meio de soluções
VPN, implantar roteadores de software com diversos recursos
em sua rede, como também compartilhar conexões da Internet
pela intranet.
• Gerenciamento central de diretivas de rede com o servidor e
o proxy RADIUS. Em vez de configurar diretivas de acesso à
rede em cada servidor de acesso à rede, como pontos de
acesso sem fio, switches de autenticação, servidores VPN e
servidores de discagem, você poderá criar diretivas em um
único local que especifique todos os aspectos das
solicitações de conexão à rede, incluindo quem tem
permissão para conectar-se, quando a conexão poderá ser
feita e o nível de segurança que deve ser utilizado para
conectar-se a sua rede.

Serviços de Função para Serviços de Acesso e
Diretiva de Rede
Ao instalar os Serviços de Acesso e Diretiva de Rede, os
seguintes serviços de função estarão disponíveis:
• Network Policy Server. O NPS é a implementação da Microsoft®
de um servidor e proxy RADIUS. Ele pode ser utilizado para
gerenciar, de forma centralizada, o acesso à rede por meio
de uma variedade de servidores de acesso à rede, incluindo
pontos de acesso sem fio, servidores VPN (virtual private
networking) servidores de discagem e switches de
autenticação 802.1X. Além disso, você pode utilizar o NPS
para implantar a autenticação segura de senhas com o
protocolo PEAP (Protected Extensible Authentication
Protocol)-MS-CHAP v2 para conexões sem fio. O NPS também
contém componentes principais para a implantação do NAP na
rede.
As seguintes tecnologias podem ser implantadas após a
instalação do serviço de função NPS:
o Servidor de diretiva NAP. Quando você configura o NPS
como um servidor de diretiva NAP, o NPS avalia o SoH
(statements of health) enviado pelos computadores
clientes ativados para o NAP que desejam conectar-se
à rede. Você pode configurar diretivas NAP no NPS
que permitam que os computadores cliente atualizem
suas configurações de forma que estejam de acordo com
a diretiva de rede de sua organização.
o IEEE 802.11 Sem fio. Com a utilização do snap-in do
MMC (Microsoft Management Console) NPS, você pode
configurar diretivas de solicitação de conexão
baseadas na autenticação 802.1X para o acesso à rede
cliente sem fio IEEE 802.11. Além disso, você pode
configurar pontos de acesso sem fio como clientes
RADIUS (Remote Authentication Dial-In User Service)


105

no NPS e utilizar o NPS como um servidor RADIUS para
processar solicitações de conexão, bem como realizar
a autenticação, autorização e registro de conexões
sem fio 802.11. É possível integrar totalmente o
acesso sem fio IEEE 802.11 com o NAP durante a
implantação de uma infra-estrutura de autenticação
sem fio 802.1X para que o status de integridade dos
clientes sem fio seja verificado diante da diretiva
de integridade antes que os clientes tenham permissão
para conectar-se à rede.
o IEEE 802.3 Com fio. Com a utilização do snap-in do
MMC NPS, você pode configurar diretivas de
solicitação de conexão baseadas na autenticação
802,1X para o acesso à rede Ethernet com fio IEEE
802.3. Você pode configurar switches em conformidade
com o 802.1X como clientes RADIUS no NPS e utilizar o
NPS como um servidor RADIUS para processar
solicitações de conexão, bem como realizar
autenticação, autorização e registro de conexões
Ethernet 802.3. É possível integrar totalmente o
acesso cliente com fio IEEE 802.3 com o NAP durante a
implantação de uma infra-estrutura de autenticação
com fio 802.1X.
o Servidor RADIUS. O NPS realiza a autenticação de
conexão centralizada, a autorização e o registro de
conexões VPN, discadas de acesso remoto e de switch
de autenticação. - Dúvida Ao utilizar o NPS como um
servidor RADIUS, você configura servidores de acesso
à rede, tais como pontos de acesso sem fio e
servidores VPN, como clientes RADIUS no NPS. Você
também pode configurar diretivas de rede utilizadas
pelo NPS para autorizar solicitações de conexão, além
de poder configurar o registro RADIUS para que os
logs do NPS registrem informações nos arquivos de log
no disco rígido local ou em um banco de dados do
Microsoft SQL Server™.
o Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS,
você poderá configurar diretivas de solicitação de
conexão que informem o servidor NPS quais
solicitações de conexão devem ser encaminhadas a
outros servidores RADIUS e para quais servidores
RADIUS você deseja encaminhar solicitações de
conexão. O NPS também pode ser configurado para
encaminhar dados de registro a serem gravados por um
ou mais computadores em um grupo de servidores RADIUS
remotos.
• Roteamento e Acesso Remoto. Com o Roteamento e Acesso
Remoto, você pode implantar serviços de acesso remoto,
serviços de roteamento NAT de rede e multiprotocolos LAN-
to-LAN e LAN-to-WAN. (Dúvida)

106

As seguintes tecnologias podem ser implantadas durante a
instalação do serviço de função de Roteamento e Acesso Remoto:
o Serviço de Acesso Remoto. Com o Roteamento e Acesso
Remoto, você pode implantar o PPTP (Point-to-Point
Tunneling Protocol) ou o L2TP (Layer Two Tunneling
Protocol) com conexões VPN IPsec (Internet Protocol
security) a fim de fornecer aos usuários finais o
acesso remoto à rede de sua organização. Você também
pode criar uma conexão VPN de site para site entre
dois servidores em diferentes locais. Cada servidor é
configurado com o Roteamento e Acesso Remoto para
enviar dados particulares de forma segura. A conexão
entre os dois servidores pode ser persistente (sempre
ativada) ou sob demanda (discagem sob demanda).
O Acesso Remoto também fornece acesso remoto
tradicional para dar suporte a usuários móveis ou
domésticos que se conectam a intranets de uma
organização. O equipamento dial-up instalado no
servidor que executa o Roteamento e Acesso Remoto
responde solicitações de conexões de entrada a partir
de clientes de rede dial-up. O servidor de acesso
remoto responde à chamada, autentica e autoriza o
chamador e transfere os dados entre o cliente de rede
dial-up e a intranet da organização.
o Roteamento. O roteamento fornece um roteador de
software com diversos recursos e uma plataforma
aberta para o roteamento e o uso da Internet. Além
disso, ele oferece serviços de roteamento aos
negócios em ambientes LAN (local area network) e WAN
(wide area network).
Ao implantar o NAT, o servidor que executa o
Roteamento e Acesso Remoto é configurado para
compartilhar uma conexão da Internet com os
computadores de uma rede privada e traduzir o tráfego
entre seu endereço público e a rede privada.
Utilizando o NAT, os computadores na rede privada
obtêm alguma medida de proteção, pois o roteador com
o NAT configurado não encaminha o tráfego a partir da
Internet para a rede privada, a menos que um cliente
de rede privada tenha solicitado ou que o tráfego
esteja explicitamente permitido.
Ao implantar a VPN e o NAT, o servidor que executa o
Roteamento e Acesso Remoto é configurado para
fornecer o NAT para a rede privada e para aceitar
conexões VPN. Os computadores na Internet não poderão
determinar os endereços IP dos computadores na rede
privada. Entretanto, os clientes VPN poderão
conectar-se aos computadores na rede privada, como se
estivessem fisicamente ligados à mesma rede.


107

• Health Registration Authority (HRA). O HRA é um componente
NAP que emite certificados de integridade a clientes que
passam pela verificação de diretiva de integridade
realizada pelo NPS utilizando o SoH cliente. O HRA é
utilizado somente quando o método de reforço NAP é um
reforço do IPsec.
• Host Credential Authorization Protocol (HCAP). O HCAP
permite que você integre sua solução Microsoft NAP ao Cisco
Network Access Control Server. Ao implantar o HCAP com o
NPS e o NAP, o NPS pode realizar a avaliação de integridade
do cliente e a autorização dos clientes de aceso Cisco
802.1X.

Gerenciando a Função de Network Policy Server
and Access Services
As seguintes ferramentas são fornecidas para gerenciar a função
de Network Policy Server and Access Services:
• Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um
servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP.
• Comandos Netsh para o NPS. Os comandos Netsh para o NPS
fornecem um conjunto de comandos equivalentes a todas as
configurações disponíveis por meio do snap-in MMC NPS. Os
comandos Netsh podem ser executados manualmente no prompt
Netsh ou em scripts do administrador.
• Snap-in MMC HRA Utilize o MMC HRA para designar a CA
(certification authority - autoridade de certificação)
utilizada pelo HRA para obter certificados de integridade
para computadores cliente e para definir o servidor NPS ao
qual o HRA enviará SoHs cliente para verificação mediante a
diretiva de integridade.
• Comandos Netsh para o HRA. Os comandos Netsh para o HRA
configurações disponíveis por meio do snap-in MMC HRA. Os
Netsh ou em scripts autorizados pelo administrador.
• Snap-in MMC NAP Client Management. Você pode utilizar o
snap-in NAP Client Management para definir configurações de
segurança e de interface de usuário em computadores cliente
com suporte para a arquitetura NAP.
• Comandos Netsh para definir configurações de cliente NAP.
Os comandos Netsh para as configurações de cliente NAP
configurações disponíveis por meio do snap-in MMC NAP. Os
Netsh ou em scripts autorizados pelo administrador.
• Snap-in MMC Routing and Remote Access. Utilize este snap-in
MMC para configurar um servidor VPN, um servidor de rede

108

dial-up, um roteador, um conexão site-site VPN, VPN e NAT
ou NAT.
• Comandos Netsh para acesso remoto (RAS). Os comandos Netsh
para o acesso remoto fornecem um conjunto de comandos
equivalentes a todas as configurações de acesso remoto
disponíveis por meio do snap-in Roteamento e Acesso Remoto.
Os comandos Netsh podem ser executados manualmente no
prompt Netsh ou em scripts do administrador.
• Comandos Netsh para roteamento. Os comandos Netsh para o
roteamento fornecem um conjunto de comandos equivalentes a
todas as configurações de acesso remoto disponíveis por
meio do snap-in de Roteamento e Acesso Remoto. Os comandos
Netsh podem ser executados manualmente no prompt Netsh ou
em scripts do administrador.
• Wireless Network (IEEE 802.11) Policies – snap-in (MMC)
Group Policy Object Editor. A extensão Wireless Network
(IEEE 802.11) Policies automatiza a definição das
configurações de rede sem fio em computadores com unidades
de adaptador de rede sem fio com suporte ao WLAN Autoconfig
Service (Wireless LAN Autoconfiguration Service - serviço
de configuração automática de LAN sem fio). Você pode
utilizar a extensão Wireless Network (IEEE 802.11) Policies
no Group Policy Object Editor para especificar as
configurações para clientes sem fio Windows XP e Windows
Vista. As extensões Wireless Network (IEEE 802.11) Policies
Group Policy incluem configurações globais sem fio, a lista
de redes preferidas, as configurações WPA (Wi-Fi Protected
Access), além das configurações IEEE 802.1X.
Quando essas configurações são definidas, o download delas
é feito para os clientes sem fio do Windows que são membros
do domínio. As configurações sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group Policy
(Diretiva de Grupo de Configuração de Computador. Por
padrão, a extensão Wireless Network (IEEE 802,11) Policies
não é configurada ou ativada.
• Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN é uma
alternativa para utilizar a Diretiva de Grupo para
configurar a conectividade sem fio e as configurações de
segurança do Windows Vista. Você pode utilizar os comandos
Netsh wlan para configurar o computador local ou para
configurar múltiplos computadores que utilizem um script de
logon. Além disso, é possível utilizar os comandos Netsh
wlan para visualizar as configurações de Diretiva de Grupo
e administrar as configurações do WISP (Wireless Internet
Service Provider) e as configurações sem fio de usuário.
A interface Netsh sem fio fornece os seguintes benefícios:
o Suporte para o modo misto. Isso permite que os
administradores configurem clientes para dar suporte


109

às múltiplas opções de segurança. Por exemplo, um
cliente pode ser configurado para os padrões de
autenticação WPA2 e WPA. Isso permite que o cliente
utilize o WPA2 para conectar-se às redes com suporte
ao WPA2 e utilize o WPA para conectar-se às redes com
suporte apenas ao WPA.
o Bloqueio de redes não desejadas. Os administradores
podem bloquear e ocultar o acesso às redes sem fio
não-corporativas, adicionando redes ou tipos de redes
à lista de redes negadas. De forma semelhante, é
possível permitir o acesso às redes sem fio
corporativas.
• Wireless Network (IEEE 802.3) Policies – snap-in (MMC)
Group Policy Object Editor. Você pode utilizar o Wired
Network (IEEE 802.3) Policies para especificar e modificar
as configurações para os clientes do Windows Vista que
possuem adaptadores e unidades de rede com suporte ao Wired
AutoConfig Service. As extensões Wireless Network (IEEE
802.11) Policies Group Policy incluem configurações globais
com fio e IEEE 802.1X. Essas configurações incluem o
conjunto completo de itens de configuração com fio
associados às guias Geral e Segurança.
Quando essas configurações são definidas, o download delas
é feito para os clientes sem fio do Windows que são membros
do domínio. As configurações sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group
Policy. Por padrão, a extensão Wired Network (IEEE 802.3)
Policies não é configurada ou ativada.
• Comandos Netsh para a LAN. A interface Netsh LAN é uma
alternativa para utilizar a Diretiva de Grupo no Windows
Server “Longhorn” a fim de configurar as configurações de
segurança e a conectividade com fio do Windows Vista. Você
pode utilizar a linha de comando Netsh LAN para configurar
o computador local ou utilizar os comandos em scripts de
logon para configurar múltiplos computadores. Além disso, é
possível utilizar os comandos Netsh LAN para visualizar a
Wired Network (IEEE 802.3) Policies e administrar as
configurações 1x com fio do cliente.

Recursos Adicionais
Para saber mais sobre os Serviços de Acesso e Diretiva de Rede,
abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de
exibir a Ajuda:
• Snap-in MMC NPS
• Snap-in MMC Routing and Remote Access.
• Snap-in MMC HRA
• Snap-in MMC Group Policy Object Editor


110

5.03 Proteção contra Acesso à Rede

Um dos maiores desafios encontrados nos negócios dos dias de hoje é
a exposição crescente dos dispositivos de clientes a softwares
maliciosos, como vírus e worms. Esses programas podem obter a
entrada a sistemas de host configurados de forma incorreta ou
sistemas desprotegidos e podem utilizar esses sistemas como um
ponto inicial para se propagarem em outros dispositivos na rede
corporativa. Os administradores de rede podem utilizar a plataforma
NAP para melhor proteger suas redes, ajudando a garantir que os
sistemas cliente mantenham as atualizações de software e as
configurações de sistema apropriadas para protegê-los contra
softwares maliciosos.
O NAP (Network Access Protection) é um novo conjunto de componentes
de sistema operacional incluído no Windows Server “Longhorn” e no
Windows Vista que fornece uma plataforma que ajuda a garantir que
os computadores clientes em uma rede corporativa atendam aos
requisitos quanto à integridade do sistema definidos pelo
administrador. As diretivas NAP definem a configuração e o status
de atualização exigidos para o sistema operacional e o software
principal do computador de um cliente. Por exemplo, pode ser
exigido que os computadores possuam um software antivírus com as
mais recentes assinaturas instaladas, com as atualizações
instaladas no sistema operacional atual e com um firewall baseado
em host ativado. Reforçando o cumprimento desses requisitos de
integridade, o NAP pode ajudar os administradores de rede na
diminuição de alguns riscos causados por computadores cliente
configurados de forma imprópria que podem ser expostos a vírus e a
outros softwares maliciosos.
O NAP reforça os requisitos de integridade, monitorando e avaliando
o funcionamento dos computadores cliente quando estes tentam
conectar-se à rede ou comunicar-se com ela. Caso seja determinado
que os computadores cliente não estejam em conformidade com os
requisitos de integridade, eles poderão ser colocados em uma rede
restrita que contenha os recursos para dar assistência na
remediação de sistemas de clientes de forma que eles possam estar
em conformidade com as diretivas de integridade.
Os administradores de sistemas e de rede que desejam reforçar os
requisitos de integridade do sistema para computadores cliente que
se conectam às redes suportadas por eles terão interesse em
utilizar o NAP. Com o NAP, os administradores de rede poderão:
• Garantir a integridade dos computadores desktop na LAN, ou
que estão configurados para o DHCP, ou que se conectam por
meio de dispositivos de autenticação 802.1X, ou ainda que
possuam diretivas IPsec NAP aplicadas em suas comunicações.


111

• Reforçar os requisitos de integridade para laptops móveis
quando estes forem conectados novamente na rede da empresa.
• Verificar a integridade e a conformidade de diretivas dos
computadores domésticos não-gerenciados que se conectam à
rede da empresa por meio de um servidor VPN que executa o
Roteamento e Acesso Remoto.
• Determinar a integridade e restringir o acesso dos laptops
trazidos para uma organização pelos visitantes e parceiros.
Dependendo de suas necessidades, os administradores podem
configurar uma solução para lidar com qualquer um desses cenários.
O NAP também inclui um conjunto API para desenvolvedores e
fornecedores para que estes possam criar seus próprios componentes
para validação de diretivas de rede, para a conformidade contínua e
o isolamento de rede.
As implantações do NAP exigem servidores que executem o Windows
Server “Longhorn”. Além disso, são exigidos computadores cliente
que executem o Windows Vista, o Windows Server “Longhorn” ou o
Windows XP com SP2 e o Network Access Protection Client para
Windows XP. O servidor central que realiza a análise de
determinação da integridade para o NAP é um computador que executa
o Windows Server “Longhorn” e o NPS. O NPS é a implementação do
Windows de um servidor e proxy RADIUS. O NPS é o substituto do IAS
(Internet Authentication Service) no Windows Server 2003. Os
dispositivos de acesso e os servidores NAP atuam como clientes
RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a
autenticação e a autorização de uma tentativa de conexão à rede e,
com base nas diretivas de integridade do sistema, determina a
conformidade da integridade do computador e também como limitar o
acesso à rede de um computador que não está em conformidade com as
diretivas.
A plataforma NAP é uma nova tecnologia de reforço e validação de
integridade do cliente incluída nos sistemas operacionais Windows
Server “Longhorn” e Windows Vista.
Nota
O framework do NAP não é o mesmo do Network Access Quarantine
Control, o qual é um recurso fornecido com o Windows Server 2003 e
o ISA Server 2004. O Network Access Quarantine Control pode
fornecer proteção adicional para conexões de acesso remoto (dial-up
e VPN). Para mais informações sobre o Network Access Quarantine
Control no Windows Server 2003, veja Network Access Quarantine
Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447).
Para mais informações sobre esse recurso no ISA Server 2004, veja
Clientes Móveis VPN e Quarantine Control no ISA Server 2004
Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).


112

Principais Processos do NAP
Diversos processos importantes são exigidos para que o NAP funcione
de forma apropriada: a validação de diretivas, o reforço NAP e a
restrição de rede, a remediação e o monitoramento contínuo para
garantir a conformidade.

Validação de Diretivas
Os SHVs (System health validators – validadores de integridade do
sistema) são utilizados pelo NPS para analisar o status de
integridade dos computadores cliente. OS SHVs são incorporados às
diretivas de rede que determinam as ações a serem realizadas com
base no status da integridade do cliente, como conceder acesso
total à rede ou restringir o acesso à rede. O status da
integridade é monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents – agentes de
integridade do sistema). O NAP utiliza os SHAs e os SHVs para
monitorar, reforçar e remediar configurações de computadores
cliente.
O Windows Security Health Agent e o Windows Security Health
Validator estão incluídos nos sistemas operacionais Windows Server
“Longhorn” e Windows Vista e reforçam as seguintes configurações
para computadores ativados para o NAP:
• O computador cliente deve possuir software de firewall
instalado e ativado.
• O computador cliente deve possuir software antivírus
instalado e em execução.
• O computador cliente deve possuir atualizações de antivírus
atuais instaladas.
• O computador cliente deve possuir software anti-spyware
instalado e em execução.
• O computador cliente deve possuir atualizações de anti-
spywares atuais instaladas.
• O Microsoft Update Services deve estar ativado no computador
cliente.
Além disso, se computadores clientes ativados para o NAP estiverem
executando o Windows Update Agent e estiverem registrados com um
servidor WSUS (Windows Server Update Service), o NAP poderá
verificar se a maioria das atualizações de segurança de software
está instalada, com base em um dos quatro valores possíveis que
correspondem à classificação de severidade de segurança do
MSRC(Microsoft Security Response Center).

Reforço do NAP e Restrição de Rede
O NAP pode ser configurado para negar o acesso à rede para
computadores cliente em não-conformidade e permitir que esses
computadores acessem somente uma rede restrita. Uma rede restrita


113

deve conter os serviços NAP principais, como os servidores HRA e os
servidores de remediação, para que clientes NAP em não-conformidade
possam atualizar suas configurações e estar em conformidade com os
requisitos de integridade.
As configurações de reforço NAP permitem que você limite o acesso à
rede de clientes em não-conformidade ou apenas observe e registre o
status de integridade de computadores cliente ativados para o NAP.
Você pode optar por restringir o acesso, adiar a restrição de
acesso ou ainda permitir o acesso por meio da utilização das
seguintes configurações:
• Do not enforce (Não aplicar). Esta é a configuração padrão.
Os clientes que atendem às condições de diretiva são
considerados como estando em conformidade com os requisitos
de integridade de rede e a eles é concedido acesso irrestrito
à rede caso a solicitação de conexão seja autenticada e
autorizada. O status de conformidade de integridade dos
computadores cliente ativados para o NAP é registrado.
• Enforce (Aplicar). Os computadores cliente que atendem às
condições de diretivas são considerados como não estando em
conformidade com os requisitos de integridade de rede. Esses
computadores são colocados na rede restrita.
• Defer enforcement (Adiar aplicação). Os clientes que atendem
às condições de diretivas recebem, temporariamente, acesso
irrestrito. O NAP é adiado até a data e o horário
especificados.

Remediação
Os computadores cliente não-conformes que são colocados em uma rede
restrita podem ser submetidos à remediação. Remediação é o
processo de atualizar um computador cliente de forma que ele passe
a atender aos requisitos atuais de integridade. Por exemplo, uma
rede restrita pode conter um servidor FTP (File Transfer Protocol)
que fornece assinaturas atuais de vírus de forma que os
computadores cliente em não-conformidade possam atualizar suas
assinaturas.
É possível utilizar as configurações do NAP nas diretivas de
integridade NPS para configurar a remediação automática, de forma
que os componentes do cliente NAP tentem, automaticamente,
atualizar o computador cliente quando este estiver em não-
conformidade com os requisitos de integridade de rede. Você pode
utilizar a seguinte configuração de diretiva para configurar a
remediação automática:
• Atualizações de computador. Se a opção Update noncompliant
computers automatically estiver selecionada, a remediação
automática estará ativada, e os computadores ativados para o
que não estiverem em conformidade com os requisitos de
integridade tentarão, automaticamente, fazer a atualização.


114

Monitoramento Contínuo para Garantir a Conformidade
O NAP pode reforçar a conformidade da integridade em computadores
cliente em conformidade que já estejam conectados à rede. Esta
funcionalidade é muito útil para garantir que uma rede esteja
protegida em uma base continua conforme vão ocorrendo mudanças nas
diretivas de integridade e nos computadores cliente. Por exemplo,
se a diretiva de integridade exigir que o Windows Firewall esteja
ativado, e um usuário, inadvertidamente, desabilitá-lo, o NAP
poderá determinar se o computador cliente está em um estado de não-
conformidade. O NAP irá então colocar o computador cliente na rede
restrita até que o Windows Firewall seja ativado novamente.
Se a remediação automática estiver ativada, os componentes do
cliente NAP poderão ativar automaticamente o Firewall do Windows
sem a intervenção do usuário.

Métodos de Reforço NAP
Baseado no estado de funcionamento de um computador cliente, o NAP
pode permitir o acesso total à rede, limitar o acesso a uma rede
restrita ou negar o acesso à rede. Os computadores cliente que são
determinados como estando em não-conformidade com as diretivas de
integridade também podem ser automaticamente atualizados a fim de
atender a esses requisitos. A forma com que o NAP é reforçado
depende no método de reforço escolhido. O NAP reforça as diretivas
de integridade para:
• O tráfego protegido pelo IPsec
• O controle de acesso à rede com e sem fio baseado na porta
802.1X
• A VPN com o Routing and Remote Access
• O lease e a renovação de endereços IPv4 DHCP
As seções a seguir descrevem esses métodos de reforço.

Reforço NAP para Comunicações IPsec
O reforço NAP para o tráfego protegido pelo IPsec é implantado com
um servidor de certificado de integridade, um servidor HRA, um
servidor NPS e um cliente de reforço IPsec. O servidor de
certificado de integridade emite certificados X.509 aos clientes
NAP quando é determinado que esses clientes estão em conformidade
com os requisitos de integridade de rede. Então, esses
certificados são utilizados para autenticar clientes NAP quando
estes iniciam comunicações protegidas pelo IPsec com outros
clientes NAP em uma intranet.
O reforço IPsec limita a comunicação em sua rede aos clientes em
conformidade e fornece a forma mais forte do reforço NAP. Como
esse método de reforço utiliza o IPsec, é possível definir
requisitos para comunicações protegidas em uma base por endereço IP
ou por número de porta TCP/UDP.


115

Reforço NAP para 802.1X
O reforço NAP para o controle de acesso à rede baseado na porta
802.1X é implantado com um servidor NPS e um componente cliente de
reforço EAPHost. Com o reforço baseado na porta 802.1X, um
servidor NPS ordena que um switch de autenticação 802.1X ou um
ponto de acesso sem fio em conformidade com o 802.1X coloque
clientes 802.1X em não-conformidade em uma rede restrita. O
servidor NPS limita o acesso à rede do cliente à rede restrita,
ordenando que o ponto de acesso aplique filtros IP ou um
identificador de LAN à conexão. O reforço 802.1X fornece forte
restrição de rede para todos os computadores que acessam a rede por
meio de dispositivos de acesso à rede ativados para 802.1X.

Reforço NAP para VPN
O reforço NAP para VPN é implantado com um componente de servidor
de reforço VPN e um componente cliente de reforço VPN. Com o
reforço NAP para VPN, os servidores VPN poderão reforçar a diretiva
de integridade quando computadores clientes tentarem conectar-se à
rede utilizando uma conexão VPN de acesso remoto. O reforço VPN
fornece forte acesso limitado à rede para todos os computadores que
acessam a rede por meio de uma conexão VPN de acesso remoto.

Reforço NAP para DHCP
O reforço DHCP é implantado com um componente de servidor de
reforço NAP DHCP, um componente cliente de reforço DHCP e o NPS.
Utilizando o reforço DHCP, os servidores DHCP e o NPS poderão
reforçar a diretiva de integridade quando um computador tentar
obter ou renovar um endereço IPv4. O servidor NPS limita o acesso
à rede do cliente à rede restrita, ordenando que o servidor DHCP
atribua uma configuração limitada de endereço IP. Entretanto, se
os computadores cliente estiverem configurados para tirar vantagem
(circumvent) da configuração de endereço IP, o DHCP não será
eficiente.

Abordagens Combinadas
Cada um desses métodos de reforço NAP possui diferentes vantagens.
Combinando os métodos de reforço, será possível combinar as
vantagens desses métodos. Entretanto, ao implantar múltiplos
métodos de reforço NAP, você poderá fazer com que sua implementação
NAP seja mais complexa de ser gerenciada.
O framework do NAP também fornece um conjunto de APIs que permite
que outras empresas que não sejam a Microsoft integrem seus
softwares com a NAP. Utilizando as APIs do NAP, fornecedores e
desenvolvedores de software poderão fornecer soluções de fim a fim
que validem o funcionamento e façam a remediação de clientes em
não-conformidade.

Implantação


116

Os preparativos necessários para a implantação do NAP dependem do
método (ou métodos) de reforço escolhido e dos requisitos de
integridade que se pretende reforçar quando os computadores cliente
tentam conectar-se à rede ou comunicar-se com ela.
Se você for um administrador de sistemas ou de rede, será possível
implantar o NAP com o Windows Security Health Agent e o Windows
Security Health Validator. Você também poderá verificar com outros
fornecedores de software se eles possuem SHAs e SHVs para seus
produtos. Por exemplo, se um fornecedor de software antivírus
desejar criar uma solução NAP que inclua um SHA e um SHV
personalizado, ele poderá utilizar um conjunto de APIs para criar
esses componentes, os quais poderão ser integrados com as soluções
NAP implantadas pelos clientes desse fornecedor.
Além dos SHAs e SHVs, a plataforma NAP utilize múltiplos
componentes de servidor e cliente para detectar e monitorar o
status da integridade do sistema dos computadores cliente quando
estes tentam conectar-se à rede ou comunicar-se com ela. Na figura
abaixo, são ilustrados alguns componentes comuns utilizados na
implantação do NAP:


117

Componentes do Cliente NAP
Um cliente ativado para o NAP é um computador que possui os
componentes NAP instalados e que pode verificar seu estado de
funcionamento, enviando uma lista de SoH (statements of health) ao
NPS. A seguir, estão os componentes do cliente NAP comuns:
Agente de integridade do sistema. Um SHA monitora e relata o estado
de funcionamento do computador cliente de forma que o NPS possa
determinar se as configurações monitoradas pelo SHA estão
atualizadas e configuradas corretamente. Por exemplo, o Microsoft
SHA pode monitorar o Firewall do Windows; se um software antivírus
estiver instalado, ativado e atualizado; se há softwares anti-
spyware instalado, ativado e atualizado e se o Microsoft Update
Services está ativado e o computador possui suas mais recentes
atualizações. Também pode haver SHAs disponíveis em outras empresas
que fornecem funcionalidades adicionais.
NAP Agent (Agente NAP). O agente NAP coleta e gerencia informações
de funcionamento. O agente NAP também processa o SoH a partir dos
SHAs e relata o funcionamento do cliente aos clientes de reforço
instalados. Para indicar o estado completo de um cliente NAP, o
agente NAP utiliza uma lista de SoH.
NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um
NAP EC (NAP enforcement client) deve estar instalado e ativado nos
computadores cliente. NAP EC individuais são específicos ao método,
conforme descrito anteriormente. Os clientes de reforço NAP
integram-se com tecnologias de acesso à rede, como IPsec, o
controle de acesso à rede com e sem fio baseado em porta 802.1X,
VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforço
NAP solicita acesso à rede, informa o status do funcionamento de um
computador cliente ao servidor NPS e informa o status restrito do
computador cliente aos outros componentes da arquitetura NAP.
SoH (Statement of health). Um SoH é uma declaração de um SHA que
afirma seu status de funcionamento. Os SHAs criam SoHs, os quais
são enviados ao agente NAP.

Componentes de Servidor NAP
A seguir, estão os componentes de servidor NAP comuns:
Diretivas de funcionamento. As diretivas NPS definem os requisitos
de integridade e as configurações de reforço para os computadores
cliente que solicitam acesso à rede. O NPS processa as mensagens de
Solicitação de Acesso RADIUS (RADIUS Access-Request) que contêm a
lista de SoH enviada pelo NAP EC e passa essas mensagens para o
servidor de administração NAP.
Servidor de administração NAP. O componente de servidor de
administração NAP fornece uma função de processamento parecida com
o agente NAP no lado do cliente. Ele recebe a lista de SoH do
servidor de reforço NAP por meio do NPS e distribui cada SoH para o
SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos

118

SHVs e envia essas respostas ao NPS para que este faça uma
avaliação.
SHVs (System health validators - validadores de integridade do
sistema). Os SHVs são cópias de software de servidor para os SHAs.
Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs
verificam o SoH feito por seu SHA correspondente no computador
cliente.
Os SHAs e os SHVs são associados um ao outro, juntamente com um
servidor de diretivas correspondente (se exigido) e, talvez, a um
servidor de remediação.
Um SHV também pode detectar que nenhum SoH foi recebido (por
exemplo, se o SHA nunca tiver sido instalado, se tiver sido
danificado ou removido). Se o SoH atender ou não à diretiva
definida, o SHV enviará uma mensagem SoHR (statement of health
response - declaração de resposta de integridade) para o servidor
de administração NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o
servidor NPS deverá coordenar a saída de todos os SHVs e determinar
se deve ser limitado o acesso de um computador em não-conformidade.
Isso exige um planejamento cuidadoso ao definir diretivas de
integridade para o seu ambiente e avaliar na diferente forma com
que os SHVs interagem.
NAP enforcement server (servidor de reforço NAP). O NAP ES é
associado a um NAP EC correspondente para o método de reforço NAP
que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,
passando-os para que o NPS faça uma avaliação. Com base na
resposta, é fornecido acesso limitado ou ilimitado à rede para o
cliente ativado para o NAP. Dependendo do tipo de reforço NAP, o
NAP ES pode ser uma autoridade de certificação (reforço IPsec), um
switch de autenticação ou um ponto de acesso sem fio (reforço
802.1x), um servidor Roteamento e Acesso Remoto(reforço VPN) ou um
servidor DHCP (reforço DHCP).
Servidor de diretivas. Um servidor de diretivas é um componente de
software que se comunica com um SHV a fim de fornecer as
informações utilizadas na avaliação dos requisitos para a
integridade do sistema. Por exemplo, um servidor de diretivas, como
um servidor de assinaturas antivírus, pode fornecer a versão do
arquivo atual de assinaturas para a validação de um SoH antivírus
cliente. Os servidores de diretivas são associados aos SHVs, mas
nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um
SHV pode simplesmente ordenar que clientes ativados para o NAP
verifiquem as configurações locais de sistema a fim de assegurar
que um firewall baseado em host esteja ativado.
Servidor de remediação. Um servidor de remediação hospeda as
atualizações que podem ser utilizadas pelos SHAs para fazer com que
computadores cliente em não-conformidade passem a estar em
conformidade. Por exemplo, um servidor de remediação pode hospedar
atualizações de software. Se a diretiva de integridade exigir que


119

os computadores cliente NAP possuam as mais recentes atualizações
de software instaladas, o NAP EC irá restringir o acesso à rede dos
clientes que não possuírem essas atualizações. Os servidores de
remediação devem estar acessíveis aos clientes com acesso restrito
à rede para que os clientes obtenham as atualizações exigidas para
que estejam em conformidade com as diretivas de integridade.
SoHR (Statement of health response). Depois que o SoH cliente for
avaliado mediante a diretiva de integridade pelo SHV apropriado, um
SoHR será gerado, contendo os resultados da avaliação. O SoHR
inverte o caminho do SoH e é enviado de volta ao SHA do computador
cliente. Se o computador cliente for considerado como estando em
não-conformidade, o SoHR irá conter as instruções de remediação
utilizadas pelo SHA para fazer com que a configuração do computador
cliente esteja em conformidade com os requisitos de integridade.
Assim como cada tipo de SoH contém diferentes tipos de informações
sobre o status do funcionamento do sistema, cada mensagem SoHR
contém as informações sobre como estar em conformidade com os
requisitos de integridade.

Informações Adicionais
Para mais informações sobre o NAP, acesse o site sobre Network
Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).


120

5.04 Protocolos TCP/IP e Componentes de Rede de
Última Geração

A rede e as comunicações são muito importantes para que as
organizações consigam superar o desafio da grande competição no
mercado global. Os funcionários precisam conectar-se à rede onde
quer que eles estejam e a partir de qualquer dispositivo.
Parceiros, fornecedores e outras pessoas fora da rede precisam
interagir, de forma eficiente, com os recursos principais. Além
disso, segurança é um fator mais importante do que nunca.
A seguir, teremos uma visão geral técnica sobre as melhorias de
comunicação e rede TCP/IP encontradas no Microsoft Windows Server
“Longhorn” e Windows Vista para lidar com questões de
conectividade, facilidade de uso, gerenciamento, confiabilidade e
segurança. Com o Windows Server “Longhorn” e o Windows Vista, os
administradores de TI possuem mais opções flexíveis para
gerenciar a infra-estrutura de rede, rotear o tráfego de rede de
forma eficiente e implantar cenários de tráfego protegido.
O Windows Server “Longhorn” e o Windows Vista incluem muitas
alterações e melhorias para os seguintes protocolos e componentes
centrais de rede:
• Pilha TCP/IP de última geração
• Melhorias no IPv6
• QoS (Quality of Service) baseada em diretivas para redes
corporativas.

Pilha TCP/IP de Última Geração
O Windows Server “Longhorn” e o Windows Vista incluem uma nova
implementação da pilha do protocolo TCP/IP, conhecida como a
Pilha TCP/IP de última geração. A Pilha TCP/IP de última geração
é um design completamente reformulado da funcionalidade do TCP/IP
tanto para o IPv4 (Internet Protocol version 4) quanto para o
IPv6 (Internet Protocol version 6) que atende às necessidades de
desempenho e conectividade dos diversos ambientes e tecnologias
de rede dos dias de hoje.
Os seguintes recursos são novos ou aprimorados:
• Receive Window Auto-Tuning
• Compound TCP
• Melhorias para ambientes de alto índice de perda
• Neighbor Un-reach-ability Detection for IPv4
• Alterações na detecção de gateways inativos
• Alterações na detecção de roteadores de buraco negro PMTU
• Compartimentos de Roteamento

121

• Suporte ao Network Diagnostics Framework
• Windows Filtering Platform
• Explicit Congestion Notification

Receive Window Auto-Tuning
O tamanho da janela de recebimento TCP (TCP receive window size)
é a quantidade de bytes em um buffer de memória em um host de
recebimento utilizada para armazenar dados de entrada em uma
conexão TCP. Para determinar corretamente o valor do tamanho
máximo da janela de recebimento para uma conexão com base nas
condições atuais da rede, a Pilha TCP/IP de última geração dá
suporte ao Receive Window Auto-Tuning. O Receive Window Auto-
Tuning determina o tamanho da janela de recebimento ideal por
conexão, calculando o produto do atraso da largura de banda (a
largura de banda multiplicada pela latência da conexão) e o
índice de recuperação do aplicativo. Depois, o tamanho máximo da
janela de recebimento é ajustado em uma base regular.
Com maior velocidade do processamento entre os pontos TCP, a
utilização da largura de banda de rede aumenta durante a
transferência de dados. Se todos os aplicativos forem otimizados
para receber dados TCP, a utilização total da rede poderá
aumentar de forma significativa.

Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a
velocidade do processamento do receptor, o CTCP (Compound TCP) na
Pilha TCP/IP de última geração otimiza a velocidade do
processamento do emissor. Trabalhando juntos, eles podem aumentar
a utilização de links e produzir ganhos substanciais de
desempenho para grandes conexões de produto de atraso de largura
de banda.
O CTCP é utilizado para conexões TCP com um grande tamanho de
janela de recebimento e um grande produto de atraso de largura de
banda (a largura de banda de uma conexão multiplicada pelo seu
atraso). Ele aumenta, de forma significativa, a quantidade de
dados enviados por vez e ajuda a garantir que seu comportamento
não cause impactos negativos em outras conexões TCP.
Por exemplo, em testes realizados internamente na Microsoft, os
horários de backup para arquivos extensos foram reduzidos em
quase metade para uma conexão de 1 gigabit por segundo com um RTT
(round-trip time) de 50 milésimos de segundo. Conexões com um
produto de atraso de largura de banda maior podem ter um melhor
desempenho.

Melhorias para Ambientes de Alto Índice de Perda
A Pilha TCP/IP de última geração tem suporte para as seguintes
RFCs (Request for Comments) a fim de otimizar a velocidade do
processamento em ambientes alto índice de perda:

122

• RFC 2582: Modificação NewReno para o Algoritmo de
Recuperação Rápida do TCP
Quando múltiplos segmentos em uma janela de dados forem
perdidos, e o emissor receber uma confirmação parcial
informando que os dados foram recebidos, o algoritmo NewReno
fornecerá uma maior velocidade do processamento, alterando a
forma com que um emissor pode aumentar sua taxa de envio.
• RFC 2883: Uma Extensão à Opção SACK (Selective
Acknowledgement) para TCP
O SACK, definido na RFC 2018, permite que um receptor indique
até quatro blocos não-contíguos de dados recebidos. A RFC 2883
define uma utilização adicional da opção SACK TCP para
reconhecer pacotes duplicados. Isso permite que o receptor do
segmento TCP que contém a opção SACK determine quando um
segmento foi retransmitido desnecessariamente e ajuste o
comportamento para evitar futuras retransmissões. Reduzir o
número de retransmissões enviadas melhora a velocidade do
processamento.
• RFC 3517: Um Algoritmo de Recuperação de Perdas Baseado no
SACK (Selective Acknowledgment) Conservador para TCP
Considerando que o Windows Server 2003 e o Windows XP utilizam
as informações do SACK somente para determinar quais segmentos
TCP não chegaram no destino, a RFC 3517 define um método de
utilizar as informações do SACK para realizar a recuperação de
perda quando confirmações duplicadas tiverem sido recebidas e
substitui o algoritmo de recuperação rápida quando o SACK
estiver ativado em uma conexão. A Pilha TCP/IP de última
geração controla as informações do SACK em uma base por
conexão e monitora as confirmações de entrada a fim fazer a
recuperação mais rapidamente quando segmentos não forem
recebidos no destino.
• RFC 4138: Recuperação F-RTO (Forward RTO): Um Algoritmo
para a Detecção de Falsos Timeouts de Retransmissão com o
TCP e o SCTP (Stream Control Transmission Protocol)
O algoritmo F-RTO (Forward-Retransmission Timeout) evita a
retransmissão desnecessária de segmentos TCP. Retransmissões
desnecessárias de segmentos TCP podem ocorrer quando houver um
aumento repentino ou temporário no RTT (round-trip time). O
resultado do algoritmo F-RTO é indicado para ambientes com
aumentos repentinos ou temporários no RTT, como quando um
cliente sem fio passa de um ponto de acesso sem fio (AP -
access point) para outro. O F-RTO evita a retransmissão
desnecessária de segmentos e retorna mais rapidamente a sua
taxa de envio normal.

Neighbor Un-reach-ability Detection for IPv4
O Neighbor Un-reach-ability Detection é um recurso do IPv6 no
qual um nó mantém o status informando se um nó vizinho pode ser

123

alcançado, fornecendo melhor detecção e recuperação de erros
quando os nós, repentinamente, ficarem indisponíveis. A Pilha
TCP/IP de última geração também dá suporte ao tráfego do Neighbor
Un-reach-ability Detection for IPv4, por meio do controle do
estado alcançável dos nós IPv4 no cache de rota do IPv4. O
Neighbor Un-reach-ability Detection for IPv4 determina a
capacidade de alcance por meio de uma troca de mensagens ARP
Reply e ARP (Address Resolution Protocol) Request ou por meio da
relação de confiança em protocolos de camada superior, como o
TCP.

Alterações na detecção de gateways inativos
A detecção de gateways inativos no TCP/IP para o Windows Server
2003 e o Windows XP fornece uma função de failover, mas não uma
função de failback, na qual um gateway inativo é testado
novamente a fim de determinar se ele se tornou disponível. A
Pilha TCP/IP de última geração fornece failback para gateways
inativos, tentando periodicamente enviar o tráfego TCP,
utilizando o gateway inativo detectado anteriormente. Se o
tráfego IP enviado por meio do gateway inativo obtiver sucesso, a
Pilha TCP/IP de última geração irá alternar do gateway padrão
para o gateway inativo detectado anteriormente. O suporte ao
failback para os gateways padrão primários pode fornecer maior
velocidade de processamento, enviando o tráfego com a utilização
do gateway padrão primário na sub-rede.

Alterações na Detecção de Roteadores de Buraco Negro PMTU
A descoberta PMTU (Path maximum transmission unit), definida na
RFC 1191, confia no recebimento de mensagens ICMP (Internet
Control Message Protocol) Destination Unreachable-Fragmentation
Needed e DF (Don’t Fragment) Set dos roteadores que contêm o MTU
do próximo link. Entretanto, em alguns casos, roteadores
intermediários descartam pacotes que não podem ser fragmentados.
Esses tipos de roteadores são conhecidos como roteadores PMTU de
buraco negro. Além disso, os roteadores intermediários podem
bloquear mensagens ICMP devido às regras de firewall. Devido aos
roteadores PMTU de buraco negro, as conexões TCP podem falhar e
serem encerradas.
A detecção de roteadores de buraco negro PMTU faz sentido quando
extensos segmentos TCP estão sendo retransmitidos; o PMTU é
automaticamente ajustado para a conexão, em vez de confiar no
recibo das mensagens de erro ICMP. No Windows Server 2003 e no
Windows XP, a detecção de roteadores de buraco negro PMTU é
desabilitada por padrão, pois estando ativada, o número máximo de
transmissões executadas para um segmento de rede específico
aumenta.
Por padrão, a Pilha TCP/IP de última geração ativa a detecção de
roteadores de buraco negro PMTU a fim de evitar o encerramento
das conexões TCP.


124

Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do tráfego entre
interfaces para configurações VPN, a Pilha TCP/IP de última
geração dá suporte aos compartimentos de roteamento. Um
compartimento de roteamento é a combinação de um conjunto de
interfaces com uma sessão de login que possui suas próprias
tabelas de roteamento IP. Um computador pode possuir múltiplos
compartimentos de roteamento isolados uns dos outros. Cada
interface pode pertencer somente a um único compartimento.
Por exemplo, quando um usuário inicia uma conexão VPN pela
Internet com a implementação TCP/IP no Windows XP, o computador
do usuário terá conectividade parcial tanto para a Internet
quanto para a intranet particular, manipulando entradas na tabela
de roteamento IPv4. Em algumas situações, é possível que o
tráfego da Internet seja encaminhado pela conexão VPN para a
intranet particular. Para clientes VPN com suporte para
compartimentos de roteamento, a Pilha TCP/IP de última geração
isola a conectividade da Internet da conectividade da intranet
particular por meio de tabelas de roteamento IP separadas.

Suporte ao Network Diagnostics Framework
O Network Diagnostics Framework é uma arquitetura extensível que
ajuda os usuários na recuperação e resolução de problemas com
conexões de rede. Para a comunicação baseada em TCP/IP, o Network
Diagnostics Framework exibe ao usuário diversas opções para
eliminar as possíveis causas até que a causa do problema seja
identificada ou que todas as possibilidades sejam eliminadas.
Estes são os problemas específicos relacionados ao TCP/IP que
podem ser diagnosticados pelo Network Diagnostics Framework:
• Endereço IP incorreto
• O gateway padrão (roteador) não está disponível
• Gateway padrão incorreto
• Falha de resolução de nomes NetBT (NetBIOS over TCP/IP)
• Configurações de DNS incorretas
• A porta local já está sendo utilizada
• O serviço DHCP Client não está sendo executado
• Não há escuta remota
• A mídia está desconectada
• A porta local está bloqueada
• Pouca memória
• Suporte ESTATS (extended statistics)
A Pilha TCP/IP de última geração dá suporte ao esboço do IETF
(Internet Engineering Task Force) “TCP Extended Statistics MIB”,
o qual define as estatísticas de desempenho estendidas para o


125

TCP. Analisando o ESTATS em uma conexão, é possível determinar se
o gargalo de desempenho para uma conexão é o aplicativo de envio,
de recepção ou se é a rede. Por padrão, o ESTATS é desabilitado e
pode ser ativado por conexão. Com o ESTATS, os ISVs (independent
software vendors) que não são da Microsoft podem criar
diagnósticos eficientes e aplicativos de análise de velocidade de
processamento de rede.

Windows Filtering Platform
O WFP (Windows Filtering Platform - Plataforma de Filtragem
Windows) é uma nova arquitetura na Nova Geração da pilha TCP/IP
que fornece APIs para que os ISVs não-Microsoft possam fazer a
filtragem em diversas camadas na pilha do protocolo TCP/IP e por
todo o sistema operacional.
O WFP também integra e fornece suporte para a nova geração de
recursos de firewall, como a comunicação autenticada e a
configuração de firewall dinâmica baseadas na utilização de um
aplicativo do Windows Sockets API. Os ISVs podem criar firewalls,
softwares antivírus, além de outros tipos de aplicativos e
serviços. O Windows Firewall e o IPsec no Windows Server
“Longhorn” e no Windows Vista utilizam o WFP API.

Explicit Congestion Notification
Quando um segmento TCP é perdido, o TCP supõe que o segmento foi
perdido devido ao congestionamento em um roteador e executa o
controle de congestionamento, o que diminui, de forma drástica, a
taxa de transmissão do emissor TCP. Com o suporte ECN (Explicit
Congestion Notification - Notificação Explícita de
Congestionamento) nos pontos TCP e na infra-estrutura de
roteamento, os roteadores que estão vivenciando o
congestionamento marcam os pacotes como se estivessem
encaminhando-os. Os pontos TCP que recebem os pacotes marcados
diminuem sua taxa de transmissão a fim facilitar o
congestionamento e evitar a perda de segmentos. Detectar o
congestionamento antes das perdas de pacotes aumenta a velocidade
de processamento entre os pontos TCP. O ECN não é ativado por
padrão.

Melhorias no IPv6
A Pilha TCP/IP de última geração dá suporte às seguintes
melhorias no IPv6:
• IPv6 ativado por padrão
• Pilha IP dupla
• Configuração baseada em GUI
• Melhorias no Teredo
• Suporte IPsec integrado
• Multicast Listener Discovery versão 2

126

• Link-Local Multicast Name Resolution
• IPv6 pelo PPP
• IDs aleatórios de interface para endereços IPv6
• Suporte DHCPv6

IPv6 Ativado por Padrão
No Windows Server “Longhorn” e no Windows Vista, o IPv6 é
instalado e ativado por padrão. É possível definir as
configurações do IPv6 por meio das propriedades do componente
TCP/IPv6 (Internet Protocol version 6) e também pelos comandos no
contexto IPv6 da interface.
O IPv6 no Windows Server “Longhorn” e no Windows Vista não pode
ser desinstalado, mas pode ser desabilitado.

Pilha IP Dupla
A Pilha TCP/IP de última geração dá suporte à arquitetura de
camadas IP dupla, na qual as implementações do IPv4 e IPv6
compartilham camadas comuns de frame e transporte (TCP e UDP). A
Pilha TCP/IP de última geração possui o IPv4 e o IPv6 ativados
por padrão. Não é necessário instalar um componente separado para
obter o suporte ao IPv6.

Configuração Baseada em GUI
No Windows Server “Longhorn” e no Windows Vista, você pode
definir manualmente as configurações do IPv6, utilizando um
conjunto de caixas de diálogo na pasta Conexões de Rede,
semelhante ao processo de definir manualmente as configurações do
IPv4.

Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos
ativados para o IPv6, fornecendo globalmente o endereçamento IPv6
exclusivo e permitindo o tráfego IPv6 para atravessar os NATs.
Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
tráfego de entrada não solicitado e o endereçamento global, como
aplicativos entre iguais, funcionarão pelo NAT. Esses mesmos
tipos de aplicativos, se utilizassem o tráfego IPv4, ou exigiriam
a configuração manual do NAT, ou não funcionariam sem a
modificação do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrás
de um ou mais NATs simétricos. Um NAT simétrico mapeia o mesmo
endereço (privado) e o mesmo número de porta internos para
diferentes endereços e portas (públicos) externos, dependendo do
endereço externo de destino (para o tráfego de saída). Este novo
comportamento permite que o Teredo funcione entre um conjunto
maior de hosts conectados à Internet.


127

No Windows Vista, o componente Teredo estará ativado, mas inativo
por padrão. Para ativá-lo, um usuário deve instalar um aplicativo
que precise utilizar o Teredo ou optar por alterar as
configurações de firewall a fim de permitir que um aplicativo
utilize o Teredo.

Suporte IPsec Integrado
No Windows Server “Longhorn” e no Windows Vista, o suporte IPsec
para o tráfego IPv6 é o mesmo existente para o IPv4, incluindo o
suporte para o IKE (Internet Key Exchange) e a criptografia de
dados. Os snap-ins Windows Firewall with Advanced Security e IP
Security Policies agora possuem suporte para a configuração de
diretivas IPsec para o tráfego IPv6, igual ao que ocorre com o
tráfego IPv4. Por exemplo, quando você configurar um filtro IP
como parte de uma lista de filtros IP no snap-in IP Security
Policies, será possível especificar endereços IPv6 e prefixos de
endereços nos campos IP Address ou Subnet ao determinar um
endereço IP específico de origem ou destino.

Multicast Listener Discovery Versão 2
O MLDv2 (Multicast Listener Discovery versão 2), especificado na
RFC 3810, fornece suporte para o tráfego multicast específico à
origem. O MLDv2 equivale ao IGMPv3 (Internet Group Management
Protocol version 3) para IPv4.

Link-Local Multicast Name Resolution
O LLMNR (Link-Local Multicast Name Resolution) permite que hosts
IPv6 em uma única sub-rede sem um servidor de DNS resolvam os
nomes uns dos outros. Essa capacidade é muito útil para redes
domésticas de única sub-rede e redes sem fio ad hoc.

IPv6 Pelo PPP
O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point
Protocol), conforme definido na RFC 2472. O tráfego IPv6 pode
agora ser enviado por conexões baseadas em PPP. Por exemplo, o
suporte IPv6 pelo PPP permite que você se conecte a um ISP
(Internet service provider) baseado no IPv6 por meio de conexões
dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser
utilizadas para o acesso de banda larga à Internet.

IDs Aleatórios de Interface para Endereços IPv6
Por padrão, com o intuito de evitar a varredura de endereços IPv6
baseados nos IDs conhecidos da empresa dos fabricantes de
adaptadores de rede, o Windows Server “Longhorn” e o Windows
Vista geram IDs aleatórios de interface para endereços IPv6
estáticos autoconfigurados, incluindo endereços públicos e locais
de link.

Suporte DHCPv6

128

O Windows Server “Longhorn” e o Windows Vista incluem um cliente
DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol
version 6) que efetua a configuração automática de endereços com
monitoramento de estado com um servidor DHCP. O Windows Server
“Longhorn” inclui um serviço DHCP Server ativado para o DHCPv6.

Quality of Service (Qualidade de Serviço)
No Windows Server 2003 e no Windows XP, a funcionalidade QoS
(Quality of Service) está disponível para os aplicativos por meio
das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as
APIs GQoS acessavam funções priorizadas de entrega. No Windows
Server “Longhorn” e no Windows Vista, existem novos recursos para
gerenciar o tráfego de rede corporativa e doméstica.

QoS Baseado em Diretivas para Redes Corporativas
As diretivas de QoS no Windows Server “Longhorn” e no Windows
Vista permitem que os profissionais de TI dêem prioridade à taxa
de envio para o tráfego de rede de saída ou gerenciem essa taxa.
O profissional de TI pode restringir as configurações a nomes
específicos de aplicativos, a endereços IP de origem e destino
específicos e a portas UDP ou TCP de origem e destino.
As configurações de diretivas de QoS fazem parte da Diretiva de
Grupo user configuration (configuração de usuário) ou computer
configuration (configuração de computador) e são configuradas com
a utilização do Group Policy Object Editor. Elas são vinculadas
aos containeres dos Serviços de Domínio do Active Directory
(domínios, sites e OUs - unidades organizacionais), por meio da
utilização do Group Policy Management Console (Console de
Gerenciamento de Diretivas de Grupo).
Para gerenciar a utilização de largura de banda, você pode
configurar uma diretiva de QoS com uma taxa de aceleração para o
tráfego de saída. Utilizando a otimização, uma diretiva de QoS
pode limitar o tráfego de rede de saída agregado para uma taxa
específica. Para especificar a entrega priorizada, o tráfego é
marcado com um valor DSCP (Differentiated Services Code Point).
Os roteadores ou os pontos de acesso sem fio na infra-estrutura
de rede podem colocar pacotes marcados com o DSCP em filas
diferentes para uma entrega diferenciada. A marcação com o DSCP e
a otimização podem ser utilizados em conjunto para gerenciar o
tráfego de forma eficiente. Como os processos de otimização e de
marcação de prioridade são aplicados na camada de rede, não é
preciso modificar os aplicativos.


129

5.05 Firewall do Windows com Segurança Avançada

Começando com o Windows Vista e o Windows Server “Longhorn”, a
configuração do Firewall do Windows e do IPsec é combinada em uma
única ferramenta, o snap-in MMC Windows Firewall with Advanced
Security.
O snap-in MMC Windows Firewall with Advanced Security substitui
ambas as versões anteriores dos snap-ins do IPsec, o IP Security
Policies e o IP Security Monitor, para a configuração de
computadores que executam o Windows Server 2003, o Windows XP ou
o Windows 2000. Embora os computadores que executam o Windows
Vista e o Windows Server “Longhorn” também possam ser
configurados e monitorados por meio da utilização dos snap-ins
anteriores do IPsec, não é possível utilizar as ferramentas mais
antigas para configurar os diversos novos recursos e opções de
segurança apresentados no Windows Vista e no Windows Server
“Longhorn”. Para obter as vantagens desses novos recursos, você
deve definir as configurações, utilizando o snap-in Windows
Firewall with Advanced Security ou os comandos no contexto
advfirewall da ferramenta Netsh.
O Windows Firewall with Advanced Security fornece diversas
funções em um computador que executa o Windows Vista ou o Windows
Server “Longhorn”:
• Filtragem de todo o tráfego do IPv6 e do IPv4 que entra no
computador ou sai dele. Por padrão, todo o tráfego de
entrada é bloqueado, a menos que ele seja uma resposta a
uma solicitação de saída anterior do computador (tráfego
solicitado) ou que ele seja especificamente permitido por
uma regra criada para permitir esse tráfego. Por padrão,
todo o tráfego de saída é permitido, exceto para regras de
fortalecimento de serviço que evita a comunicação de
serviços padrão de formas inesperadas. É possível optar por
permitir o tráfego baseado em números de portas, em
endereços do IPv4 ou IPv6, no caminho e nome de um
aplicativo ou no nome de um serviço executado no computador
ou, ainda, em outros critérios.
• Proteção do tráfego de rede que entra no computador ou sai
dele, utilizando o protocolo IPsec a fim de verificar a
integridade do tráfego de rede, autenticar a identidade dos
computadores ou usuários de envio e recepção e,
opcionalmente, criptografar o tráfego a fim de fornecer
confidencialidade.
Começando com o Windows XP Service Pack 2, o Firewall do Windows
foi ativado por padrão nos sistemas operacionais da Microsoft. O
Windows Server “Longhorn” é o primeiro sistema operacional de
servidor da Microsoft a ter o Firewall do Windows ativado por


130

padrão. Pelo fato de o Firewall do Windows estar ativado por
padrão, todo administrador de um servidor que executa o Windows
Server “Longhorn” deve estar atento a esse recurso e entender
como o firewall deve ser configurado a fim de permitir o tráfego
de rede exigido.
O console Windows Firewall with Advanced Security pode ser
completamente configurado, utilizando o snap-in MMC Windows
Firewall with Advanced Security ou os comandos disponíveis no
contexto advfirewall da ferramenta de linha de comando Netsh.
Tanto as ferramentas gráficas quanto as de linha de comando dão
suporte ao gerenciamento do Windows Firewall with Advanced
Security no computador local ou em um computador remoto que
executa o Windows Server “Longhorn” ou Windows Vista que esteja
na rede. As configurações criadas com a utilização dessas
ferramentas podem ser implantadas nos computadores vinculados à
rede, utilizando a Diretiva de Grupo.
Será preciso rever esta seção sobre o Windows Firewall with
Advanced Security se você fizer parte de um dos seguintes grupos:
• Planejadores e analistas de TI que estão avaliando
tecnicamente o produto.
• Planejadores e designers corporativos de TI.
• Profissionais de TI que implantam ou administram soluções
de segurança de rede em uma organização.
O Windows Firewall with Advanced Security consolida duas funções
que eram gerenciadas separadamente em versões anteriores do
Windows. Além disso, a principal funcionalidade dos componentes
do IPsec e de firewall do Windows Firewall with Advanced Security
foi aprimorada de forma significativa no Windows Vista e Windows
Server “Longhorn”.
Se você criar um software projetado para ser instalado no Windows
Vista ou no Windows Server “Longhorn”, será preciso ter a certeza
de que o firewall é configurado corretamente pela sua ferramenta
de instalação, criando ou ativando regras que permitam que o
tráfego de rede do programa passe pelo firewall. O seu programa
deverá reconhecer os diferentes tipos de locais de rede
reconhecidos pelo Windows, domínio, privado e público, e
responder corretamente a uma alteração no tipo de local de rede.
É importante lembrar que uma alteração no tipo de local de rede
poderá resultar em diferentes regras de firewall sendo aplicadas
no computador. Por exemplo, se você quiser que seu aplicativo
seja executado somente em um ambiente seguro, como um domínio ou
uma rede privada, as regras de firewall deverão evitar que o seu
aplicativo envie o tráfego de rede quando o computador estiver em
uma rede pública. Se o tipo de local de rede for alterado de
forma inesperada durante a execução de seu aplicativo, ele deverá
lidar muito bem com essa situação.


131

O Firewall do Windows é Ativado Por Padrão
O Firewall do Windows vem ativado por padrão nos sistemas
operacionais cliente Windows desde o Windows XP Service Pack 2,
mas, o Windows Server “Longhorn” é a primeira versão de servidor
do sistema operacional Windows que possui o Firewall do Windows
ativado por padrão. Isso causa conseqüências sempre que um
aplicativo ou serviço é instalado e deve ter permissão para
receber o tráfego de entrada não-solicitado pela rede. Muitos
aplicativos antigos não são projetados para funcionar com um
firewall baseado em host e podem não operar de forma correta, a
menos que sejam definidas regras que permitam que o aplicativo
aceite o tráfego de entrada de rede não-solicitado. Ao instalar
uma função ou recurso de servidor incluído no Windows Server
“Longhorn”, o instalador irá ativar ou criar regras para garantir
que a função ou recurso de servidor funcione corretamente. Para
determinar quais configurações de firewall devem ser definidas
para um aplicativo, entre em contato com o fornecedor do
aplicativo. As configurações de firewall são sempre publicadas no
site de suporte do fornecedor.
Nota
Um computador que executa o Windows Server 2003 e é
atualizado para o Windows Server “Longhorn” mantém o mesmo
estado operacional do firewall que tinha antes da
atualização. Se o firewall for desabilitado antes da
atualização, ele permanecerá nesse estado após a
atualização. Recomendamos que você ative o firewall assim
que houver a confirmação de que os aplicativos na rede
funcionam com o firewall conforme configurado ou assim que
as regras de firewall apropriadas forem configuradas para
os aplicativos executados em seu computador.

O Gerenciamento da Diretiva IPsec é Simplificado
Em versões anteriores do Windows, as implementações de isolamento
de domínio ou servidor exigiam a criação de um grande número de
regras IPsec para garantir que o tráfego de rede exigido estava
protegido de forma apropriada, fazendo com que o tráfego de rede
exigido não pudesse ser assegurado com o IPsec.
A necessidade de um conjunto grande e complexo de regras IPsec é
reduzida devido a um novo comportamento padrão para a negociação
IPsec que solicita , mas não exige a proteção IPsec. Ao utilizar
essa configuração, o IPsec envia uma tentativa de negociação
IPsec e, ao mesmo tempo, envia pacotes de texto plano para o
computador de destino. Se o computador de destino responder à
negociação e concluí-la com sucesso, a comunicação de texto plano
será interrompida, e a comunicação subseqüente será protegida
pelo IPsec. Entretanto, se o computador de destino não responder


132

à negociação IPsec, a tentativa de texto plano terá permissão
para prosseguir. Em versões anteriores do Windows, era preciso
aguardar três segundos após a tentativa de negociação IPsec antes
de tentar a comunicação utilizando o texto plano. Isso resultava
em grandes atrasos no desempenho do tráfego, que não podia ser
protegido e tinha de ser testado novamente em texto plano. Para
evitar esse atraso de desempenho, um administrador precisava
criar múltiplas regras IPsec para lidar com os diferentes
requisitos de cada tipo de tráfego de rede.
Esse novo comportamento permite solicitar, mas não exigir, que a
proteção IPsec realize o tráfego desprotegido, uma vez que o
atraso de três segundos não é mais exigido. isso permite que você
proteja o tráfego onde quer que ele seja exigido, sem a
necessidade de criar regras que permitam explicitamente as
exceções necessárias. Isso resulta em um ambiente mais seguro,
menos complexo e que facilita a solução de problemas.

Suporte para IP Autenticado
Em versões anteriores do Windows, o IPsec dava suporte somente ao
protocolo IKE (Internet Key Exchange) para negociar SAs (security
association) do IPsec. O Windows Vista e o Windows Server
“Longhorn” dão suporte a uma extensão ao IKE conhecida como
AuthIP (Authenticated IP). O AuthIP fornece capacidades
adicionais de autenticação. São elas:
• Suporte para os novos tipos de credenciais que não estão
disponíveis no IKE isoladamente. Isso inclui: certificados
de integridade fornecidos por um Health Certificate Server,
o qual faz parte de uma implantação NAP (Network Access
Protection; certificados baseados em usuários; credenciais
de usuário Kerberos e credenciais de computador ou de
usuário NTLM versão 2. Essas credenciais são adicionais
para os tipos de credenciais suportados pelo IKE, como
certificados baseados em computador, credenciais Kerberos
para a conta de computador ou simplesmente chaves pré-
compartilhadas.
• Suporte para autenticação, utilizando múltiplas
credenciais. Por exemplo, o IPsec pode ser configurado para
exigir que tanto as credenciais do usuário quanto as do
computador sejam processadas com sucesso antes que o
tráfego seja permitido. Isso aumenta a segurança da rede,
reduzindo a chance de um computador confiável ser utilizado
por um usuário não-confiável.

Suporte para Proteger um Membro de Domínio para o Tráfego de
Controlador de Domínio Utilizando o IPsec
Versões anteriores do Windows não suportam a utilização do IPsec
para proteger o tráfego entre controladores de domínio e


133

computadores membro de domínio. O Windows Vista e o Windows
Server “Longhorn” são suporte à proteção do tráfego de rede entre
computadores membro de domínio e controladores de domínio,
utilizando o IPsec, enquanto permitem que um computador que não é
membro de domínio passem a fazer parte de um domínio por meio da
utilização do controlador de domínio protegido pelo IPsec.

Suporte Aprimorado para Criptografia
A implementação do IPsec no Windows Vista e no Windows Server
“Longhorn” dá suporte a algoritmos adicionais para a negociação
de modo principal de SAs:
• Curva Elíptica Diffie-Hellman P-256 (Elliptic Curve Diffie-
Hellman P-256), um algoritmo de curva elíptica que utiliza
um grupo de curva aleatória de 256 bits
• Curva Elíptica Diffie-Hellman P-384 (Elliptic Curve Diffie-
Hellman P-384), um algoritmo de curva elíptica que utiliza
um grupo de curva aleatória de 384 bits
Além disso, os seguintes métodos de criptografia que utilizam o
AES (Advanced Encryption Standard) são suportados:
• AES com CBC (cipher block chaining) e um tamanho de chave
de 128 bits (AES 128)
• AES com CBC e um tamanho de chave de 192 bits (AES 192)
• AES com CBC e um tamanho de chave de 256 bits (AES 256)

As Configurações Podem Ser Alteradas Dinamicamente Com Base no
Tipo de Local de Rede
O Windows Vista e o Windows Server “Longhorn” podem notificar
aplicativos, ativados para a rede, como o Windows Firewall,
quanto às alterações nos tipos de local de rede disponíveis por
meio de adaptadores de rede anexados, conexões VPN e assim por
diante. O Windows dá suporte a três tipos de local de rede, e os
programas podem utilizar esses tipos para aplicar automaticamente
o conjunto apropriado de opções de configuração. Os aplicativos
devem ser criados de forma que possam obter a vantagem desse
recurso e receber notificações de alterações feitas nos tipos de
local de rede. O Windows Firewall with Advanced Security no
Windows Vista e no Windows Server “Longhorn” pode fornecer
diferentes níveis de proteção com base no tipo de local de rede
ao qual o computador está ligado.
Estes são os tipos de locais de rede:
• Domínio. Este tipo de local de rede será selecionado quando
computador for membro de um domínio, e o Windows irá
determinar que o computador está atualmente ligado à rede
que hospeda o domínio. Essa seleção é baseada na


134

autenticação bem-sucedida com um controlador de domínio na
rede.
• Privado. Este tipo de local de rede pode ser selecionado
para redes confiáveis pelo usuário, como uma rede doméstica
ou uma rede de um pequeno escritório, por exemplo. As
configurações atribuídas a este tipo de local são mais
restritivas do que uma rede de domínio, pois não se espera
que uma rede doméstica seja tão ativamente gerenciada
quanto uma rede de domínio. Uma rede recém detectada nunca
será automaticamente atribuída ao tipo de local Privado. Um
usuário deve optar explicitamente por atribuir a rede ao
tipo de local Privado.
• Público. Este tipo de local de rede é atribuído por padrão
a todas as redes recém detectadas. As configurações
atribuídas a este tipo de local são muito mais restritivas,
devido aos riscos de segurança existentes em uma rede
pública.
Nota
O recurso que permite definir o tipo de local de rede é muito
útil em computadores cliente, principalmente em computadores
portáteis, os quais são movidos de uma rede para outra. Não se
espera que um servidor seja móvel. Por esse motivo, uma
estratégia sugerida para um computador típico que executa o
Windows Server “Longhorn” é configurar esses três perfis da mesma
forma.

Integração do Firewall do Windows e do IPsec Management em uma
Única Interface de Usuário
No Windows Vista e no Windows Server “Longhorn”, a interface de
usuário para os componentes de firewall e do IPsec é agora
combinada no snap-in MMC Windows Firewall with Advanced Security
e em comandos no contexto advfirewall da ferramenta de linha de
comando Netsh. As ferramentas utilizadas no Windows XP, Windows
Server 2003 e na família Windows 2000 — o modelo administrativo
Windows Firewall, as configurações de Diretiva de Grupo, o IP
Security Policy, os snap-ins MMC do IP Security Monitor e os
contextos ipsec e firewall do comando Netsh — ainda estão
disponíveis, mas não dão suporte aos mais novos recursos
incluídos no Windows Vista e no Windows Server “Longhorn”. O
ícone do Windows Firewall no Painel de Controle também ainda está
presente, mas é uma interface de usuário final para gerenciar as
funcionalidades básicas do firewall e não apresenta as opções
avançadas exigidas por um administrador.
Utilizando as diversas ferramentas para o firewall e o IPsec em
versões anteriores do Windows, aos administradores podem criar,
acidentalmente, configurações conflitantes, como uma regra IPsec
que faz com que um tipo específico de pacote de rede seja


135

interrompido, mesmo que exista uma regra de firewall para
permitir que o mesmo tipo de pacote de rede esteja presente.
Isso pode resultar em cenários com problemas difíceis de serem
solucionados. Combinar as duas funções reduz a possibilidade de
criar regras conflitantes e ajuda a garantir que o tráfego que
você deseja proteger seja manipulado corretamente.

Suporte Total para a Proteção de Tráfego de Rede IPv4 e IPv6
Todos os recursos de firewall e do IPsec disponíveis no Windows
Vista e no Windows Server “Longhorn” são utilizados para proteger
o tráfego de rede IPv4 e IPv6.

Referências Adicionais
Os recursos a seguir fornecem informações adicionais sobre o
Windows Firewall with Advanced Security e o IPsec:
• Para mais informações sobre o Windows Firewall with Advanced
Security, veja “Windows Firewall”
(http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft
TechNet.
• Para mais informações sobre o IPsec, veja IPsec
TechNet.
• Para mais informações sobre os cenários de isolamento de
servidor e domínio, veja Isolamento de Domínio e Servidor
TechNet.
• Para mais informações sobre o Network Access Protection, veja
Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no
site da Web Microsoft TechNet.
• Para mais informações sobre como criar aplicativos que estejam
cientes dos tipos de local de rede, consulte o Network
Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e
Network Location Awareness Service Provider
(http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft
MSDN®.


136

5.06 Cryptography Next Generation

O CNG (Cryptography Next Generation – Criptografia de Última
Geração) fornece uma plataforma de desenvolvimento criptográfico
flexível que permite que profissionais de TI criem, atualizem e
utilizem algoritmos de criptografia personalizados em aplicativos
relacionados à criptografia, como o Active Directory® Certificate
Services, o SSL e o IPsec. O CNG implementa os algoritmos de
criptografia Suite B do governo dos E.U.A , os quais incluem
algoritmos para criptografia, assinaturas digitais, troca de
chaves e hashing.
Além disso, o CNG fornece um conjunto de APIs utilizadas para:
• Realizar operações básicas de criptografia, como a criação
de hashes e a criptografia e descriptografia de dados.
• Criar, armazenar e recuperar chaves de criptografia.
• Instalar e utilizar provedores adicionais de criptografia.
O CNG possui as seguintes capacidades:
• O CNG permite que os clientes utilizem seus próprios
algoritmos de criptografia ou implementações de algoritmos
padrão de criptografia. É possível adicionar novos
algoritmos.
• O CNG dá suporte à criptografia no modo kernel. A mesma API
é utilizada no modo kernel e no modo usuário para dar
suporte total aos recursos de criptografia. O SSL/TLS e o
IPsec, além dos processos de inicialização que utilizam o
CNG, operam no modo kernel.
• O plano para o CNG inclui a aquisição da certificação FIPS
(Federal Information Processing Standards) 140-2 nível 2
juntamente com as avaliações de Critérios Comuns (Common
Criteria).
• O CNG atende aos requisitos do Common Criteria, utilizando
e armazenando chaves de longa duração em um processo
seguro.
• O CNG dá suporte ao conjunto atual de algoritmos CryptoAPI
1.0.
• O CNG fornece suporte aos algoritmos ECC (elliptic curve
cryptography - criptografia de curva elíptica). Um grande
número de algoritmos ECC é exigido pelo Suite B do governo
dos Estados Unidos.
• Qualquer computador com um TPM (Trusted Platform Module -
módulo de plataforma confiável) poderá fornecer isolamento
e armazenamento de chave no TPM.
O CNG aplica à PKI (public key infrastructure) implantações que
exigem a utilização dos algoritmos Suite B e que não precisam

137

estar integrados às CAs (certification authorities) que não dão
suporte aos algoritmos Suite B, como as CAs instaladas em
servidores que executam o Windows Server 2003 e o Windows 2000
Server.
Para utilizar os novos algoritmos de criptografia, a CA e os
aplicativos deverão dar suporte ao ECC (ou a qualquer outro novo
algoritmo implementado no CNG). Embora a CA precise emitir e
gerenciar estes novos tipos de certificado, os aplicativos devem
ser capazes de lidar com a validação da cadeia de certificados e
utilizar as chaves geradas com os algoritmos Suite B.
Os algoritmos Suite B, como o ECC, são suportados somente no
Windows Vista e no Windows Server “Longhorn”. Isso significa que
não é possível utilizar esses certificados em versões anteriores
do Windows, como Windows XP ou Windows Server 2003. Entretanto, é
possível utilizar os algoritmos clássicos, como o RSA (Rivest-
Shamir-Adleman) mesmo se as chaves tiverem sido gerada com um
provedor de chaves CNG.
Os clientes que executam o Windows Vista ou o Windows Server
“Longhorn” podem utilizar tanto o CryptoAPI 1.0 quanto a nova
API CNG, pois ambas as APIs podem ser executadas lado a lado. No
entanto, aplicativos, como o SSL, IPsec, S/MIME
(Secure/Multipurpose Internet Mail Extensions) e o Kerberos,
devem ser atualizados a fim de utilizar os algoritmos Suite B.

Implantação
Não implante certificados com algoritmos Suite B antes de
verificar os seguintes requisitos:
• Antes de emitir certificados que utilizem algoritmos, tais
como o ECC, verifique se suas CAs e seu sistema operacional
dão suporte a esses algoritmos.
• Verifique se os aplicativos ativados para a PKI de sua
organização podem utilizar certificados que confiam em
provedores de criptografia CNG.
• Caso sua organização utilize certificados para suportar o
logon de smart card, entre em contato com o fornecedor de
seu smart card e veja se os smart cards que ele fornece
podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server “Longhorn”, os seguintes
aplicativos ativados para certificados podem lidar com
certificados que utilizam algoritmos de criptografia registrados
no provedor CNG.


138

Aplicativos Ativados para Certificados
Nome do Aplicativo Verifica uma cadeia de Utiliza algoritmos que não são suportados pelo
certificados que CryptoAPI
contém certificados
com algoritmos
registrados em um
provedor CNG
EFS (Sistema de Sim Não
Arquivos
Criptografado)
IPsec Sim Sim
Kerberos Não Não
S/MIME Outlook® 2003: não Outlook 2003: não
Outlook 2007: sim Outlook 2007: sim
logon via cartão Não Não
inteligente
SSL Sim Sim
Sem fio Sim Sim

Para utilizar os algoritmos para as operações de criptografia,
primeiro, você precisa de uma CA baseada no Windows Server
“Longhorn” para emitir certificados ativados para o Suite B.
Caso você ainda não possua uma PKI, será possível configurar uma
CA baseada no Windows Server “Longhorn” em que os certificados da
CA e os certificados da entidade final utilizem algoritmos Suite
B. Entretanto, ainda será preciso verificar se todos os seus
aplicativos estão preparados para os algoritmos Suite B e se
podem dar suporte a esses certificados.
Caso você já possua uma PKI com CAs sendo executadas no Windows
Server 2003 ou na qual algoritmos clássicos estão sendo
utilizados para dar suporte aos aplicativos existentes, será
possível adicionar uma CA subordinada em um servidor que executa
o Windows Server “Longhorn”. No entanto, você deverá continuar
utilizando os algoritmos clássicos.
Para inserir os algoritmos Suite B em um ambiente existente, no
qual são utilizados os algoritmos clássicos, será preciso
considerar a inserção de uma PKI secundária e a realização de uma
certificação cruzada entre as duas hierarquias de CA.
Para mais informações sobre o CNG, veja API de Criptografia:
Última Geração (http://go.microsoft.com/fwlink/?LinkID=74141).
Para mais informações sobre o Suite B, veja Criptografia Suite B
NSA (NSA Suite B Cryptography Fact Sheet)


139

5.07 Serviços de Certificado do Active Directory

Os Serviços de Certificado do Active Directory fornece serviços
personalizáveis para criar e gerenciar certificados de chave
pública utilizados em sistemas de segurança de software que
utilizam tecnologias de chave pública. As organizações podem
utilizar os Serviços de Certificado do Active Directory para
aprimorar a segurança, unindo a identidade de uma pessoa,
dispositivo ou serviço a uma chave privada correspondente. Os
Serviços de Certificado do Active Directory também inclui
recursos que permitem gerenciar o registro e a revogação de
certificados em diversos ambientes escalonáveis.
Os seguintes tópicos descrevem as alterações na funcionalidade
dos Serviços de Certificado do Active Directory disponível neste
lançamento:
• Serviços de Certificado do Active Directory: Registro Web
• Serviços de Certificado do Active Directory: Configurações
de Diretivas
• Serviços de Certificado do Active Directory: Serviço de
Registro de Dispositivo de Rede
• Serviços de Certificado do Active Directory: PKI
Corporativo(PKIView)
• Serviços de Certificado do Active Directory: Suporte ao
Protocolo de Status de Certificado Online

Serviços de Certificado do Active Directory:
Registro Web
Um grande número de alterações foi feito ao suporte de registro
Web de certificados no Windows Server “Longhorn”. Essas
alterações resultam da exclusão do controle anterior de registro
ActiveX® do Windows Vista e do Windows Server “Longhorn”e sua
substituição pelo controle de registros COM. As seções a seguir
descrevem essas alterações e suas respectivas implicações.
O registro Web de certificados está disponível desde sua inclusão
nos sistemas operacionais Windows 2000. Ele é projetado para
fornecer um mecanismo de ambiente para as organizações que
precisam emitir e renovar certificados para usuários e
computadores que não fazem parte de um domínio ou que não está
conectados diretamente à rede e para usuários de sistemas
operacionais não-Microsoft. Em vez de confiar no mecanismo de
registro automático de uma CA ou utilizar o Certificate Request
Wizard, o suporte de registro Web fornecido por uma CA baseada no
em Windows permite que esses usuários solicitem e obtenham
certificados novos e renovados por uma conexão da Internet ou da
intranet.


140

Esse recurso é indicado para organizações que possuem PKIs com
uma ou mais CAs que executam o Windows Server “Longhorn” e
clientes que executam o Windows Vista e que desejam fornecer aos
usuários a capacidade de obter novos certificados ou renovar os
existentes, utilizando páginas da Web.
Adicionar suporte para páginas de registro Web pode aprimorar, de
forma significativa, a flexibilidade e a escalabilidade da PKI de
uma organização; portanto, esse recursos será de interesse de:
• Arquitetos de PKI
• Planejadores de PKI
• Administradores de PKI
O controle de registro anterior, o XEnroll.dll, foi removido do
Windows Vista e do Windows Server “Longhorn”, e um novo controle
de registro, o CertEnroll.dll, foi inserido. Embora o processo de
registro Web ocorra essencialmente como para o Windows 2000,
Windows XP e Windows Server 2003, essa alteração nos controles de
registro poderá impactar na compatibilidade quando usuários e
computadores que executam o Windows Vista ou o Windows Server
“Longhorn” tentarem solicitar um certificado, utilizando páginas
de registro Web instaladas nessas versões anteriores do Windows.
O XEnroll.dll está sendo retirado pelas seguintes razões:
• O XEnroll.dll é um controle de legado criado há alguns anos
e não é considerado tão seguro quanto os controles criados
recentemente.
• O XEnroll.dll possui uma interface monolítica que expõe
diversos conjuntos de funcionalidades. Ele possui mais de
100 métodos e propriedades. Esses métodos e propriedades
foram inseridos com o passar dos anos, e chamar uma função
pode alterar o comportamento de outra função, o que
dificulta os processos de teste e manutenção.
Nota
O XEnroll.dll pode continuar a ser utilizado para o
registro Web em computadores que executam o Windows 2000,
Windows XP e Windows Server 2003. Por outro lado, o
CertEnroll.dll foi criado para ser mais seguro, mais fácil
de ser preparado e atualizado do que o XEnroll.dll.
As CAs do Windows Server “Longhorn” continuarão a dar suporte às
solicitações de registro Web de certificados a provenientes de
usuários em clientes Windows XP e Windows Server 2003. Se você
registra certificados por meio das páginas de registro Web do
Windows Server “Longhorn” a partir de um computador baseado no
Windows XP, Windows Server 2003 ou Windows 2000, as páginas de
registro Web irão detectar esse fato e utilizarão o controle
Xenroll.dll instalado localmente no cliente. Entretanto, alguns
comportamentos do cliente serão diferentes daqueles das versões
anteriores do Windows. São eles:


141

• A capacidade de agente de registro (também conhecida como a
estação de registro de smart card) foi removida do registro
Web no Windows Server “Longhorn”, pois o Windows Vista
fornece sua própria capacidade de agente de registro. Se
houver a necessidade de efetuar o registro em nome de outro
cliente com um registro Web do Windows Server “Longhorn”,
você deverá utilizar computadores que executem o Windows
Vista como estações de registro. De forma alternativa, você
poderá utilizar um servidor baseado no Windows Server 2003
com o registro Web instalado e utilizar o servidor como um
agente de registro a fim de registrar certificados por meio
de uma CA do Windows Server “Longhorn”.
• Somente os usuários do Internet Explorer® versão 6.x ou
Netscape 8.1 Browser poderão enviar solicitações de
certificado diretamente por meio das páginas de registro
Web. Usuários de outros navegadores da Web ainda poderão
enviar solicitações de registro, utilizando as páginas de
registro Web, mas, primeiramente, deverão gerar previamente
uma solicitação PKCS#10 para ser enviada por meio das
páginas de registro Web.
• O registro de Web de certificados não pode ser utilizado
com os templates de certificado versão 3,0 (os quais estão
sendo apresentados no Windows Server “Longhorn” para o
suporte à emissão de certificados em conformidade com o
Suite B).
• O Internet Explorer não pode ser utilizado no contexto de
segurança de computadores locais; portanto, os usuários não
podem mais solicitar certificados de computador com a
utilização do registro Web.
• No Windows Server “Longhorn” Beta 2, o suporte de registro
Web está disponível somente nas edições dos idiomas alemão
e inglês dos EUA O suporte de registro Web estará
disponível em todas as versões de idiomas do produto final
do Windows Server “Longhorn”.
A configuração que deve ser feita para o suporte de registro Web
de certificados é, simplesmente, adicionar o serviço de função à
função de servidor.
Se o suporte de registro Web estiver instalado no mesmo
computador que a CA, não será exigida nenhuma configuração
adicional.
Se o serviço de função de registro Web e a CA estiverem
instalados em computadores diferentes,será preciso identificar a
CA como parte da instalação do registro Web.
Após a instalação do serviço de função de registro Web, um novo
site chamado “CertSrv” estará disponível por meio do IIS.
Nota


142

No Windows Server “Longhorn” Beta 2, o arquivo utilizado
pelo suporte de registro Web para encontrar a CA está
localizado no diretório de linguagem específica, como
%SYSTEMROOT%system32certsrv[language]certdat.inc. Esse
arquivo passará a ser um arquivo de configuração global que
define a configuração para todos os pacotes de idioma
instalados para o registro Web. Se você possuir diversos
pacotes de idioma instalados em um servidor IIS, todos os
arquivos certdat.inc nos subdiretórios de linguagem
específica deverão ser idênticos.
As páginas de registro Web não-Microsoft sofrerão um grande
impacto, pois o controle XEnroll.dll não está disponível no
Windows Server “Longhorn” e no Windows Vista. Os administradores
dessas CAs terão de criar soluções alternativas para o suporte à
emissão de certificados e a renovação para clientes que utilizam
o Windows Server “Longhorn” e o Windows Vista, enquanto continuam
utilizando o Xenroll.dll para versões anteriores do Windows.
Os administradores também precisam planejar a configuração
apropriada de seus servidores que executam o IIS. O IIS pode ser
executado somente nos modos de 64 ou 32 bits. Se você instalar o
IIS em um servidor que executa a versão de 64 bits do Windows
Server “Longhorn”, você não deverá instalar nenhum aplicativo Web
de 32 bits, como o WSUS, nesse computador. Caso contrário,
instalação do serviço de função de registro irá falhar.

Configurações de Diretivas
As configurações de certificado na Diretiva de Grupo do Windows
Server “Longhorn” permitem que os administradores gerenciem
configurações de validação de certificado de acordo com as
necessidades de segurança da organização.
As configurações de certificado na Diretiva de Grupo permite que
os administradores gerenciem as configurações de certificado em
todos os computadores do domínio a partir de um local central.
Definir as configurações utilizando a Diretiva de Grupo poderá
causar alterações em todo o domínio.
Por exemplo, em situações em que determinados certificados de CA
expiram e os clientes não conseguem recuperar automaticamente um
novo certificado, os administradores poderão implantar esses
certificados para os computadores cliente por meio da Diretiva de
Grupo.
Outro cenário é quando os administradores desejam garantir que os
usuários nunca irão instalar aplicativos assinados com
certificados de publicação não aprovada. Eles poderão configurar
timeouts de rede para um melhor controle dos timeouts de
construção em cadeia para grandes CRLs (certification revocation
lists - listas de revogação de certificação). Além disso, os
administradores poderão utilizar as configurações de revogação


143

para estender os tempos de expiração das CRLs caso um atraso na
publicação de uma nova CRL afete os aplicativos.
Esse recurso aplica-se às organizações que possuem PKIs com uma
ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para
gerenciar computadores cliente.
Utilizar as configurações de validação de certificado na Diretiva
de Grupo poderá aprimorar, de forma significativa, a capacidade
de:
• Arquitetos de segurança aprimorarem a utilização da relação
de confiança baseada em certificados.
• Administradores de segurança gerenciarem aplicativos
ativados para a PKI em seus ambientes.
Pelo fato de as infra-estruturas de chave pública X.509 terem se
tornado mais amplamente utilizadas como uma base de confiança,
muitas organizações precisam de mais opções para gerenciar a
descoberta de caminho de certificados e a validação de caminhos.
Versões anteriores dos sistemas operacionais Windows possuíam
poucas configurações para implementar esse tipo de controle.
As configurações de Diretiva de Grupo relacionadas a certificados
podem ser encontradas no Group Policy Object Editor, em
Configuração do ComputadorConfigurações do WindowsConfigurações
de SegurançaDiretivas de Chave Pública. As seguintes opções de
diretiva podem ser gerenciadas em guias separadas na página de
propriedades Certificate Path Validation Settings:
• Stores (Armazenamentos)
• Trusted Publishers (Editores Confiáveis)
• Network Retrieval (Recuperação de Rede)
• Revocation (Revogação)
Além disso, quatro novos armazenamentos de diretiva foram
adicionados em Diretivas de Chave Pública (Public Key Policies)
para serem utilizados na distribuição de diferentes tipos de
certificados para os clientes:
• Intermediate Certification Authorities (Autoridades
Intermediárias de Certificação)
• Trusted Publishers (Editores Confiáveis)
• Untrusted Certificates (Certificados Não-Confiáveis)
• Trusted People (Pessoas Confiáveis)
Esses novos armazenamentos são uma adição aos armazenamentos
Enterprise Trust (Relação de confiança Corporativa) e Trusted
Root Certification Authorities (Autoridades de Certificação de
Raiz Confiável) disponíveis no Windows Server 2003.
Essas configurações de validação de caminho e armazenamentos de
certificados podem ser utilizadas para realizar as seguintes
tarefas:

144

• Gerenciar armazenamentos de certificado peer trust e
trusted root.
• Gerenciar editores confiáveis.
• Bloquear certificados que não sejam confiáveis de acordo
com a diretiva.
• Gerenciar a recuperação de dados relacionados a
certificados.
• Gerenciar períodos de expiração para CRLs e respostas OCSP
(online certificate status protocol).
• Implantar certificados.

Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root
Utilizando a guia Stores na caixa de diálogo Certificate Path
Validation Settings, os administradores podem regular a
capacidade de os usuários gerenciarem seus próprios certificados
trusted root e peer trust. Este controle pode ser implementado
para que os usuários não tenham permissão para tomar quaisquer
decisões quanto à relação de confianças de ponto ou raiz (root or
peer trust). Além disso, ele pode ser utilizado para controlar
quantos propósitos de certificado específicos, como assinatura e
criptografia, os usuários podem gerenciar por relação de
confiança entre iguais (peer trust).
A guia Stores também permite que os administradores especifiquem
se os usuários em um computador ligado a um domínio poderão
confiar somente em CAs de raiz corporativa ou em CAs de raiz não-
Microsoft de raiz corporativa.
Se, por um lado, um administrador precisa distribuir certificados
selecionados de raiz confiável, para computadores no domínio,
esses certificados serão propagados para o armazenamento de
certificado apropriado na próxima vez em que a diretiva de
domínio for restaurada.
Devido à crescente variedade de certificados em uso nos dias de
hoje e à grande importância das decisões a serem tomadas quanto
ao fato de reconhecer ou não esses certificados, algumas
organizações podem desejar gerenciar a relação de confiança de
certificados e evitar que os usuários no domínio configurem seu
próprio conjunto de certificados de raiz confiável.
Utilizar as configurações de Diretiva de Grupo relacionadas à
relação de confiança de certificados exige um planejamento
cuidadoso a fim de determinar as necessidades de certificado de
usuários e computadores em sua organização, além de terminar como
esses certificados deverão ser controlados. Você pode conseguir
fornecer as usuários maior tolerância se combinar a utilização
dessas configurações com um treinamento claro e eficiente de
forma que os usuários entendam a importância dos certificados, os
riscos de um mau gerenciamento de certificados e como eles devem
gerenciar seus certificados com responsabilidade.

145

Gerenciar Editores Confiáveis
As opções de diretiva encontradas na guia Trusted Publishers da
caixa de diálogo Configurações de Validação de Caminho permitem
que os administradores controlem quais certificados podem ser
aceitos quando vierem de um editor confiável.
A assinatura de software tem sido utilizada por um número
crescente de editores de software e desenvolvedores de
aplicativos a fim de verificar se seus aplicativos são
provenientes de uma fonte confiável. No entanto, muitos usuários
não compreendem os certificados de assinatura associados aos
aplicativos que instalam ou sequer dão atenção a esse fato.
Especificar opções de diretiva de publicação confiáveis por toda
a organização permite que as organizações decidam de os
certificados Authenticode® podem ser gerenciados pelos usuários e
administradores ou se apenas pelos administradores corporativos.
Além disso, esta seção da diretiva de validação de caminho pode
exigir que as verificações de revogação adicional e o time stamp
sejam realizados antes que um certificado de publicação confiável
seja aceito.
usuários e computadores em sua organização, além de determinar
como esses certificados deverão ser controlados. Você pode
conseguir fornecer aos usuários maior tolerância se combinar a
utilização dessas configurações com um treinamento claro e
eficiente de forma que os usuários entendam a importância dos
certificados, os riscos de um mau gerenciamento de certificados e
como eles devem gerenciar seus certificados com responsabilidade.

Bloquear Certificados Que Não Sejam Confiáveis de Acordo Com a
Diretiva.
É possível evitar que determinados certificados sejam utilizados
em sua organização, adicionando-os no armazenamento Untrusted
Certificates (Certificados Não-Confiáveis).
Pelo fato de os administradores serem responsáveis pela prevenção
da entrada de vírus e outros softwares maliciosos em seus
ambientes, no futuro, eles poderão desejar bloquear a utilização
de determinados certificados. Um certificado emitido por sua
própria CA pode ser revogado, sendo adicionado a uma lista de
revogação de certificados. Não é possível revogar certificados
emitidos por CAs externas. Entretanto, é possível proibir esses
certificados não-confiáveis, adicionando-os no armazenamento
Untrusted Certificates. Esses certificados serão copiados para o
armazenamento Untrusted Certificates de cada computador cliente
no domínio na próxima vez em que a Diretiva de Grupo for
restaurada.


146

usuários e computadores em sua organização, além de terminar como
esses certificados deverão ser controlados. Você pode conseguir
fornecer aos usuários maior tolerância se combinar a utilização
dessas configurações com um treinamento claro e eficiente de
forma que os usuários entendam a importância dos certificados, os
riscos de um mau gerenciamento de certificados e como eles devem
gerenciar seus certificados com responsabilidade.

Gerenciar a Recuperação de Dados Relacionados a Certificados.
As CRLs podem tornar-se muito grandes e, conseqüentemente,
falharem no processo de download, pois o processo é mais demorado
do que o timeout padrão de 15 segundos. As opções encontradas na
guia Network Retrieval da caixa de diálogo Configurações de
Validação de Caminho permitem que os administradores modifiquem
os timeouts de recuperação padrão a fim de resolver esse
problema.
Além disso, as configurações de validação de caminho e de
recuperação de rede permitem que os administradores:
• Atualizem certificados automaticamente no Microsoft Root
Certificate Program.
• Configurem valores de timeout de recuperação para as CRLS e
a validação de caminho (valores padrão maiores poderão ser
úteis se as condições de rede não forem ótimas).
• Ativem a recuperação de certificados do emissor durante a
validação de caminho.
• Definam a freqüência de realização do download de
certificados cruzados.
Para melhor eficiência, dados relacionados aos certificados, como
certificados de raiz confiável e listas de revogação de
certificados, deverão ser atualizados adequadamente. No entanto,
as condições de rede nem sempre são ótimas, como para usuários
remotos ou escritórios de filiais. Essas configurações de
Diretiva de Grupo permitem que você garanta que os dados
relacionados aos certificados sejam atualizados mesmo quando as
condições de rede forem inferiores ao estado otimizado.
Ao preparar-se para esta alteração, determine se as condições de
rede impactam nos tempos de download das CRLs.

Gerenciar Períodos de Expiração para CRLs e Respostas OCSP
A revogação de um certificado anula um certificado como uma
credencial de segurança confiável antes da expiração natural de
seu período de validade. Um PKI depende da verificação
distribuída das credenciais, em que não há necessidade de


147

comunicação direta com a entidade confiável principal que atesta
as credenciais.
Para o suporte eficiente da revogação de certificados, o cliente
deve determinar se o certificado é válido ou se ele foi revogado.
Para dar suporte a uma variedade de cenários, os Serviços de
Certificado do Active Directory tem suporte para os métodos de
padrão industrial de revogação de certificados.
Isso inclui a publicação de CRLs e CRLs em diversos locais para
serem acessadas pelos clientes, incluindo os Serviços de Domínio
do Active Directory, servidores Web e compartilhamentos de
arquivos de rede. No Windows, os dados de revogação podem ser
disponibilizados em diversas configurações por meio das respostas
OCSP.
As condições de rede podem evitar que as CRLs mais recentes sejam
publicadas, o que poderá fazer com que todos as validações da
cadeia de certificados falhem. Estender o tempo de expiração da
CRL existente e da resposta OCSP pode prevenir que isso ocorra.
Utilizar configurações de Diretiva de Grupo relacionadas aos
dados de revogação de certificados exige um planejamento
cuidadoso para determinar o equilíbrio apropriado entre a adesão
rigorosa ao cronograma de publicação de CRL padrão e as
conseqüências potenciais de estender o período de validade da CRL
caso uma CRL atualizada não esteja disponível.

Implantando Certificados
Os certificados de usuário e computador podem ser implantados,
usando-se diversos mecanismos, incluindo o registro automático, o
Assistente para Requisição de Certificado e o registro na Web.
Mas implantar outros tipos de certificados em uma grande
quantidade de computadores pode ser algo desafiador. No Windows
Server 2003, era possível distribuir um certificado CA de raiz
confiável e certificados corporativos de confiança usando a
Diretiva de Grupo. No Windows Server “Longhorn”, todos os tipos
de certificados que seguem podem ser distribuídos, quando são
armazenados adequadamente na Diretiva de Grupo:
• Certificados CA de raiz confiáveis
• Certificados corporativos de confiança
• Certificados CA Intermediários
• Certificados confiáveis do editor
• Certificados não-confiáveis
• Pessoas confiáveis (para os certificados de confiança)
A variedade crescente dos certificados e a sua utilização exige
que os administradores tenham meios eficientes para distribuí-los
a usuários e computadores em suas organizações.


148

Usar configurações de Diretiva de Grupo relacionadas à relação de
confiança requer um planejamento cauteloso para determinar as
necessidades de usuários e computadores em sua organização, além
da quantidade de controle que eles devem ter sobre esses
certificados. Você deve ter a capacidade de fornecer o livre
arbítrio aos usuários, se combinar o uso dessas configurações com
um treinamento claro e efetivo, a fim de que os usuários entendam
a importância dos certificados, os riscos de um gerenciamento
fraco de certificados e a maneira de gerenciá-los de forma
responsável.
Você deve ser membro do grupo de Administradores de Domínio para
configurar a Diretiva de Grupo neste domínio.

Network Device Enrollment Service
O Network Device Enrollment Service (NDES) é a implementação da
Microsoft para o certificado Enrollment Protocol (SCEP), um
protocolo de comunicação que possibilita que o software seja
executado em dispositivos de rede, como roteadores e
alternadores, que, por sua vez, não podem ser autenticados na
rede, para registrar certificados de x509 a partir do CA.
O NDES opera como um filtro da Interface de Programação de
Aplicação para o Servidor da Internet (ISAPI) no IIS que
desempenha as seguintes funções:
• Gerar e fornecer senhas únicas de registro aos
administradores
• Receber e processar requisições de registro SCEP em nome de
softwares executados nos dispositivos de rede
• Recuperar requisições pendentes do CA.
Este recurso aplica-se às organizações que têm PKIs com um ou
mais CAs do Windows Server “Longhorn” CAs e que desejam aprimorar
a segurança das comunicações, usando o IPsec com dispositivos de
rede, como os roteadores e alternadores.
Adicionar suporte ao NDES pode aprimorar, de forma significativa,
a flexibilidade e escalabilidade do PKI de uma organização;
portanto, este recurso pode interessar os arquitetos de PKI,
planejadores e administradores.
As organizações e os profissionais interessados nos NDES podem
querer saber mais sobre as especificações de SCEP em que ele se
baseia.
O SCEP foi desenvolvido pela Cisco Systems Inc. como extensão aos
já existentes HTTP, PKCS #10, PKCS #7, RFC 2459 e outros padrões,
para permitir o registro de dispositivo de rede e certificado da
aplicação com os CAs.
No Windows Server 2003, o Microsoft SCEP (MSCEP) era um
suplemento do Windows Server 2003 Resource Kit que precisava ser


149

instalado no mesmo computador que o CA. No Windows Server
“Longhorn,” o suporte do MSCEP foi renomeado para NDES e faz
parte do sistema operacional, podendo ser instalado em um
computador diferente do CA.
A extensão do NDES ao IIS utiliza o registro para armazenar
configurações de configurações. Todas as configurações são
armazenadas sob a chave do Registro:
HKEY_LOCAL_ROOTSoftwareMicrosoftCryptographyMSCEP
A tabela que segue define as chaves de registro usadas para
configurar o MSCEP:

Chaves do Registro em MSCEP
Nome da Configuração Opcional Valor Valores Possíveis
Padrão
Atualização Não 7 Quantidade de dias em que as
requisições pendentes são mantidas no
banco de dados NDESP.
Aplicar Senha Não 1 Define se as senhas são exigidas para
requisições de registro. O valor 1
significa que o NDES requer uma senha
para requisições de registro. O valor
0 (zero) significa as senhas não
requeridas.
PasswordMax Não 5 Quantidade máxima de senhas
disponíveis que podem ser
armazenadas.
Nota:
Nas versões anteriores, o padrão era
1.000.
PasswordValidity Não 60 Quantidade de minutos em que uma
senha é válida.
PasswordVDir Sim O nome do diretório virtual pode ser
usado para as requisições de senha.
Se definido, o NDES aceita
requisições de senha apenas do
diretório virtual estabelecido. Se o
valor está vazio ou não configurado,
o NDES aceita as requisições de senha
de qualquer diretório virtual.
CacheRequest Não 20 Quantidade de minutos em que os
certificados emitidos são mantidos no
banco de dados SCEP.
CAType Não Baseado Identifica o tipo de CA ao qual o
na NDES está ligado. O valor 1 significa
configur que é um CA corporativa; o valor 0
ação significa que é um CA autônomo.
SigningTemplate Sim Não Se a chave estiver definida, o NDES
definido usa um valor, como o nome modelo do
certificado, quando os clientes se
cadastram para assinar o certificado.
EncryptionTemplate Sim Não Se a chave estiver definida, o NDES
definido usa um valor, como o nome modelo do
cadastram para um certificado de
criptografia.
SigningAndEncryptionTem Sim Não Se a chave estiver definida, o NDES
plate definido usa um valor, como o nome modelo do
cadastram para assinar e criptografar

150

um certificado, ou quando a
requisição não inclui uma utilização
estendida da chave.

Antes de instalar o NDES, decida o seguinte:
• Se usar uma conta de usuário dedicada para o serviço ou
usar a conta do Network Service
• O nome da autoridade de registro (RA) do NDES e qual
país/região usar. As informações são incluídas em qualquer
certificado MSCEP emitido
• O provedor de serviço criptográfico (CSP) para usar na
chave de assinatura usada para criptografar a comunicação
entre o CA e a RA
• O CSP a ser usado para a chave de criptografia usada para
criptografar a comunicação entre a RA e o dispositivo de
rede
• A extensão de cada chave
Além disso, você precisa criar e configurar modelos de
certificado usados juntamente com o NDES.
Instalar o NDES em um computador cria uma nova RA e exclui
quaisquer certificados RA pré-existentes no computador. Portanto,
se você planeja instalar o NDES em um computador em que outra RA
tenha sido configurada, quaisquer requisições pendentes de
certificado devem ser processadas e todos os certificados não
declarados devem ser antes de o NDES ser instalado.

PKI Corporativo
Monitorar e ajustar a integridade de múltiplos CAs para a
hierarquia de PKI corporativo, nos Serviços de Certificado do
Active Directory, são tarefas administrativas essenciais
simplificadas pelo PKI Corporativo (PKIView). Originalmente parte
do Microsoft Windows Server 2003 Resource Kit, chamado de
ferramenta PKI Health, o PKIView é agora um snap-in de MMC do
Windows Server “Longhorn.” Como ele faz parte do sistema
operacional núcleo do Windows Server “Longhorn,” você pode usá-lo
depois da instalação do servidor, apenas adicionando-o ao MMC.
Ele então se torna disponível para analisar o estado de
integridade dos CAs e para ver detalhes dos certificados de CA
publicados nos Serviços de Certificados do Active Directory.
O PKIView fornece uma visualização do status do seu ambiente PKI
da rede. Ter uma visão de todos os CAs e de seus estados permite
que os administradores gerenciem as hierarquias de CA e
solucionem problemas de possíveis erros, de forma fácil e
efetiva. Mais especificamente, o PKIView indica a validade ou
acessibilidade dos locais de acesso às informações de autoridade
(AIA) e dos pontos de distribuição de CRL (CDP).

151

Para cada CA selecionado, o PKIView indica o estado de
integridade do CA em árvore, como segue:

Estados de integridade do CA
Indicador Estado do CA
Ponto de Interrogação Avaliação do estado de integridade
do CA
Indicador verde CA sem nenhum problema
Indicador amarelo CA com problema não-crítico
Indicador vermelho CA com problema crítico
Cruz vermelha sobre o CA está offline
ícone do CA

Ao adicionar um snap-in do PKIView ao MMC, você vê três painéis:
• Árvore. Este painel exibe uma representação em árvore da
sua hierarquia de PKI corporativo. Cada nó abaixo de
Enterprise PKI representa um CA com outros CAs atuando como
nós filhos.
• Resultados. Para o CA selecionado na árvore, este painel
exibe uma lista de CAs subordinados, certificados de CA,
pontos de distribuição CRL (CDPs) e locais AIA. Se a raiz
do console for selecionada na árvore, o painel de
resultados exibe todos os CAs da raiz. Há três colunas no
painel de resultados:
o Nome. Se o nó Enterprise PKI é selecionado, os nomes
dos CAs raiz, abaixo do primeiro, são exibidos. Se um
CA ou um CA filho for selecionado, então os nomes dos
certificados de CA, locais AIA e CDPs são exibidos.
o Status. Breve descrição do status do CA (também
indicado na árvore pelo ícone associado ao CA
selecionado) ou o status dos Certificados de CA,
locais AIA ou CDPs (indicado pelas descrições em
texto do status, exemplos dos quais são OK e Não é
possível fazer o Download).
o Local. Os locais AIA e os CDPs (protocolo e caminho)
para cada certificado. Alguns exemplos são file://,
HTTP:// e LDAP://.
• Ações. Este painel fornece a mesma funcionalidade
encontrada nos menus Ações, Exibir e Ajuda.
Dependendo do item selecionado tanto na árvore como no painel de
resultados, você pode visualizar mais detalhes sobre os CAs e
certificados de CA, incluindo informações de AIA e CRL no painel
de ações. Você também pode gerenciar a estrutura do PKI
corporativo e fazer correções ou alterações nos certificados de
CA ou CRLs.


152

Você pode usar o PKIView em uma rede corporativa que utilize os
Serviços de Certificado do Active Directory e contenha um ou mais
CAs, geralmente com mais de uma hierarquia de PKI.
Os usuários mais avançados de PKIView incluem administradores e
profissionais de TI familiarizados com o monitoramento da
integridade do CA e a resolução de problemas no ambiente de rede
dos Serviços de Certificado do Active Directory.
Você pode usar o PKIView apenas no ambiente dos Serviços de
Certificado do Active Directory.
O PKIView agora suporta a codificação de caracteres Unicode.

Suporte a Caracteres Unicode
O PKIView fornece suporte completo para caracteres Unicode,
juntamente com a codificação do PrintableString. Usar a
codificação de caracteres Unicode permite que você apresente
textos e símbolos de todos os idiomas. A codificação Unicode usa
um esquema de Formato de Transformação Unicode (UTF-8) que
atribui dois bytes para cada caractere. É possível um total de
65.536 combinações. Em contrapartida, a codificação
PrintableString permite que você use apenas um simples sub-
conjunto de caracteres ASCII. Esses caracteres são de A-Z a-z 0-9
(espaço) ' () + , . / : = ?.

Suporte ao Protocolo de Status do Certificado
Online
Cancelar um certificado é uma parte necessária do processo de
gerenciar certificados emitidos por CAs. Os meios mais comuns de
comunicar um status do certificado é distribuindo CRLs. Nas
infra-estruturas de chave pública do Windows Server “Longhorn”,
em que o uso de CRLs convencionais não é a melhor solução, um
Online Responder, baseado no OCSP, pode ser usado para gerenciar
e distribuir as informações de status da revogação.
O uso dos Online Responders que distribuem respostas de OCSP,
junto com o uso dos CRLs, é um dos dois métodos mais comuns para
transmitir informações sobre a validade dos certificados.
Diferente dos CRLs, distribuídos periodicamente, com informações
sobre todos os certificados que foram cancelados ou suspensos, um
Online Responder recebe e responde apenas as requisições de
clientes que pedem informações sobre o status de um único
certificado. A quantidade de dados recuperados por requisição
permanece constante, independente de quantos certificados
cancelados possam haver.
Em muitos casos, os Online Responders podem processar requisições
de status do certificado de forma mais eficiente do que usando
listas de revogação de certificado.


153

• Os clientes se conectam remotamente à rede e não precisam,
ou não têm, conexões de alta velocidade para o download de
grandes CRLs.
• Uma rede precisa controlar altos picos de atividade de
verificação de revogação, como quando grande número de
usuários efetua login ou envia um e-mail assinado ao mesmo
tempo.
• Uma organização precisa de meios eficientes para distribuir
os dados de revogação para certificados emitidos por um CA
que não seja Microsoft.
• Uma organização deseja fornecer apenas os dados de
revogação necessários para verificar as requisições
individuais do status do certificado, e não só tornar
disponíveis as informações sobre todos os certificados
cancelados ou suspensos.
Este recurso aplica-se a organizações que têm PKIs com um ou mais
CAs do Windows.
Adicionar um ou mais Online Responders pode aprimorar, de forma
significativa, a flexibilidade e escalabilidade do PKI de uma
organização; portanto, este recurso pode interessar os arquitetos
de PKI, planejadores e administradores.
Para instalar um Online Responder, você deve ser administrador do
computador em que ele está instalado.
Os Online Responders, no Windows Server “Longhorn”, incluem os
seguintes recursos.
• Caching do proxy da Web. O armazenamento do proxy da Web do
Online Responder é a interface de serviços para o Online
Responder. Ele é implementado como uma extensão ISAPI
hospedada pelo IIS.
• Suporte a requisições únicas ou contínuas. As opções de
configuração para requisição única ou contínua podem ser
usadas para prevenir ataques freqüentes de respostas do
Online Responder.
• Integração de configuração do Windows. Um Online Responder
pode ser configurado, usando-se a Ferramenta de
Gerenciamento de Funções do Windows Server.
• Suporte avançado à criptografia. Um Online Responder pode
ser configurado para usar uma criptografia de curva
elíptica (ECC) e SHA-256 para operações criptográficas.
• Modelos pré-configurados de certificados de assinatura
OCSP. A implantação de um Online Responder é simplificado
pelo uso de um modelo de certificado de assinatura OCSP,
disponível no Windows Server “Longhorn.”
• Integração do protocolo Kerberos. As requisições e
respostas do Online Responder podem ser processadas junto


154

com a autenticação de senha do para uma validação imediata
dos certificados de servidor ao efetuar login.
Os Microsoft Online Responders são baseados no RFC 2560 para OCSP
e estão em conformidade com eles. Por essa razão, as respostas
quanto ao status do certificado dos Online Responders são
geralmente referidas como respostas OCSP. Para mais informações
sobre o RFC 2560, visite o site do Internet Engineering Task
Force em (http://go.microsoft.com/fwlink/?LinkId=67082).
Dois novos conjuntos de funcionalidades podem ser originados do
serviço Online Responder:
• Online Responders. A funcionalidade básica do Online
Responder fornecida por um único computador em que seu
Serviço está instalado.
• Matrizes do Responder. Diversos computadores ligados que
hospedam o Online Responders e processam as requisições de
status do certificado.

Online Responder
Um Online Responder é um computador em que o serviço do Online
Responder é executado. Um computador que hospeda um CA também
pode ser configurado como um Online Responder, mas recomenda-se
manter os CAs e os Online Responders em computadores separados.
Um único Online Responder pode fornecer informações de status de
revogação para certificados emitidos por um único CA ou diversos.
As informações de revogação de CA podem ser distribuídas usando
mais de um Online Responder.
As aplicações que dependem de certificados X.509, como S/MIME,
SSL, EFS e smart cards precisam validar o status dos certificados
sempre que são usados para realizar autenticação, assinatura ou
criptografia. A verificação de revogação e status do certificado
analisa a validade dos certificados com base em:
• Tempo. Os certificados são emitidos em um período de tempo
fixo e considerado válido, contanto que não se atinja a
data de vencimento do certificado e que ele não seja
cancelado antes da data.
• Status da revogação. Os certificados podem ser cancelados
antes da sua data de vencimento, por uma série de motivos,
como a suspensão ou comprometimento da chave.
As listas de revogação do certificado contêm os números de série
de todos os certificados emitidos por um CA que tenha sido
cancelado. Para um cliente verificar o status de revogação de um
certificado, ele deve fazer o download de um CRL que contenha
informações sobre todos os certificados que tenham sido
cancelados pelo CA.
Há duas principais desvantagens nisso: Com o tempo, os CRLs podem
se tornar extremamente grandes, o que pode exigir recursos
significativos de rede e armazenamento para o CA, além da parte

155

componente. Isso pode resultar em compensações entre uma
distribuição mais freqüente de CRLs atualizados e o tempo e
largura de banda da rede para distribuí-los. Se os CRLs forem
publicados com menor freqüência, os clientes deverão contar com
informações sobre a revogação menos precisas.
Já houve inúmeras tentativas de resolver o tamanho do CRL por
meio da introdução de CRLs particionados, CRLs delta e CRLs
indiretos. Todas essas abordagens acrescentaram complexidade e
custo ao sistema, sem fornecer uma solução.
Quando você utiliza o Online Responders, em vez de contar com os
clientes, eles recebem todos os dados de revogação do
certificado. Uma parte confiável envia uma requisição de status
sobre um certificado individual para um Online Responder, que
retorna uma resposta definitiva e digitalmente assinada,
indicando o status apenas do certificado solicitado. A
quantidade de dados recuperados por requisição é constante,
independente de quantos certificados cancelados existam no banco
de dados, dentro do CA. Os Online Responders podem ser instalados
em computadores que executam o Windows Server “Longhorn”. Eles
devem ser instalados depois dos CAs, mas antes que os
certificados clientes sejam emitidos. Os dados de revogação do
certificado são derivados de um CRL publicado que pode vir de um
CA em um computador que execute o Windows Server “Longhorn,” um
que execute o Windows Server 2003, ou de um CA não-Microsoft.
Antes de configurar um CA para suportar o serviço Online
Responder, deve-se apresentar o seguinte:
• O IIS deve estar instalado no computador, antes que o
Online Responder possa ser instalado. A configuração
correta do IIS para o Online Responder é instalada
automaticamente quando você instala um Online Responder.
• Um modelo de certificado de assinatura OCSP deve ser
configurado no CA, além do registro automático usado para
emitir um certificado de assinatura OCSP para o computador
em que o Online Responder será instalado.
• A URL do Online Responder deve ser incluída na extensão AIA
dos certificados emitidos pelo CA. Essa URL é usada pelo
cliente Online Responder para validar o status do
certificado.
Depois que um Online Responder foi instalado, você também precisa
criar uma configuração de revogação para cada CA e certificado CA
atendido por um Online Responder.
Uma configuração de revogação inclui todas as configurações
necessárias para responder às requisições de status quanto aos
certificados que foram emitidos usando uma chave específica de
CA. Essas configurações de configuração incluem o seguinte:


156

• certificado CA. Este certificado pode ser encontrado em um
controlador de domínio, em seu armazenamento local ou
importado de um arquivo.
• Assinando um certificado para o Online Responder. Este
certificado pode ser selecionado automaticamente para você,
manualmente (que envolve uma instrução separada de
importação depois que você concluir o procedimento regular
de configuração da revogação), ou você pode usar o
certificado CA selecionado.
• Provedor de revogação que irá fornecer os dados de
revogação usados por essa configuração. Essas informações
são inseridas na forma de um ou mais URLs, em que uma base
válida e CRLs delta podem ser obtidos.
Importante
Antes de começar a adicionar uma nova configuração de
revogação, verifique se possui essas informações
disponíveis.

Matrizes do Responder
Múltiplos Online Responders podem ser ligados a uma Matriz do
Online Responder. Os Online Responders, em uma Matriz, são
referidos como membros da Matriz. Um membro da Matriz pode ser
designado o Controlador da Matriz. Embora cada Online Responder
em uma Matriz possa ser configurado de forma independente, no
caso de conflitos, as informações de configuração do Controlador
da Matriz irão superar as opções definidas em outros membros da
Matriz.
Uma Matriz de Online Responder pode ser criada e outros Online
Responders podem ser adicionados por uma série de razões,
incluindo tolerância a falhas no caso de um Online Responder
individual se tornar indisponível, por considerações geográficas,
escalabilidade ou estrutura da rede.
Por exemplo, as filiais remotas podem não ter conexões
consistentes com suas matrizes, onde o CA está localizado.
Portanto, nem sempre é possível contatar o CA ou um Online
Responder remoto para processar uma requisição do status de
revogação.
Como os membros de uma Matriz do Online Responder podem ser
remotos e estar sujeitos a condições de rede insatisfatórias,
cada membro da matriz pode ser monitorado e gerenciado de forma
independente.
Configurar uma Matriz do Online Responder requer bons
conhecimentos de planejamento baseado em:
• Número e local dos CAs que estão sendo atendidos pela
matriz


157

• Número de clientes que irão solicitar certificados a
partir dos CAs e seus locais
• Conectividade de rede entre clientes, CAs e Online
Responders potenciais
• Volume de registros de certificado, revogações e
requisições de status que a infra-estrutura da chave
pública da organização controla
• Necessidade de redundância no caso de os Online Responders
se tornarem disponíveis
Depois que a Matriz do Online Responder foi planejada, configurar
uma Matriz envolve uma quantidade de procedimentos que devem ser
coordenados.

Diretiva de Grupo
Diversas configurações da Diretiva de Grupo foram adicionadas
para aprimorar o gerenciamento do OCSP e uso dos dados do CRL.
Por exemplo, os CRLs possuem datas de vencimento, como os
certificados, e, se essa data passar antes de uma atualização ser
publicada ou disponibilizada, a validação da cadeia de
certificados pode falhar, mesmo com a presença de um Online
Responder. Isso acontece, pois o Online Responder conta com os
dados de uma CRL expirada. Em situações em que as condições de
rede podem atrasar a publicação adequada e o recebimento das CRLs
atualizadas, os administradores podem usar essas configurações da
Diretiva de Grupo para estender o tempo de validade de um CRL
existente ou resposta do OCSP.
Você pode estender o período dos CRLs e respostas do OCSP, indo à
guia revogação nas configurações de Validação (Configuração do
Computador, Configurações do Windows, Configurações de Segurança
e Diretivas da Chave Pública). Para configurar essas opções, faça
o seguinte:
• Clique em Definir essas configurações de segurança.
• Clique em Permitir que todos os CRLs e respostas do OCSP
sejam válidas por mais tempo.
• Selecione Tempo padrão em que o período de validade pode
ser estendido, e informe o valor desejado de tempo (em
horas).
Uma opção separada da guia revogação permite que você sobrescreva
as respostas do OCSP com informações contidas nos CRLs. Assim, um
certificado que tenha sido cancelado, adicionando-o a um CRL
local, pode ser verificado como válido, se um cliente tiver um
CRL que não inclua seu status de revogação. Embora esta opção não
seja recomendada, pode ser útil em casos em que as alterações de
revogação feitas por um administrador local não sejam finais até
que um administrador de CA verifique a mudança.


158

Essas configurações estão localizadas em Configuração do
Computador, Configurações do Windows, Configurações de Segurança
e Diretivas da Chave Pública.
Importante
As credenciais administrativas são necessárias para
modificar as configurações da Diretiva de Grupo.

Implantação
Como os Online Responders são feitos para atender requisições
individuais de status do certificado, uma Matriz de Online
Responder geralmente requer múltiplos Online Responders,
geograficamente dispersos, para equilibrar a carga. Como cada
resposta do status é assinada, cada Online Responder deve ser
instalado em um servidor confiável.
Os Online Responders do Windows Server “Longhorn” podem ser
instalados nas seguintes configurações matrizes:
• Online Responder Único para múltiplos CAs. O Online
Responder requer uma chave e um certificado assinado para
cada CA suportado. Um Online Responder deve ser emitido com
um certificado assinado a partir do CA emitido. Um Online
Responder não pode fornecer o status de um certificado
maior na cadeia do que um CA que tenha emitido o
certificado assinado.
• Online Responders Múltiplos para um Único CA. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado. Esse suporte vem por meio de
clustering. A lógica do clustering se responsabiliza por
conduzir o cliente a requisições de um Online Responder
específico.
• Múltiplos Online Responders para múltiplos CAs. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado.
Você pode se preparar para implantar o Online Responders fazendo
o seguinte:
• Avaliar os benefícios potenciais de suplementar CRLs usando
Online Responders para gerenciar a verificação de revogação
na sua organização
• Identificar os locais possíveis onde o Online Responders
possa ser útil
• Dependendo do número de CAs e locais que você está
suportando, o volume de requisições de validação do
certificado que você antecipar e as condições de rede entre
os CAs e os locais, identificar a configuração da
instalação a partir de uma lista precedente que melhor se
adapte à sua organização


159

• Identificar os locais para cada Online Responder e a forma
como eles devem ser gerenciados
• Testar o Online Responder e a configuração do PKI em um
ambiente de laboratório para validar o modelo de PKI e
identificar as opções de configuração para cada Online
Responder e configuração de revogação
• Instalar e configurar cada Online Responder


160

5.08 Serviços de Domínio do Active Directory

Os Serviços de Domínio do Active Directory armazena informações
sobre usuários, computadores e outros dispositivos na rede. Os
Serviços de Domínio do Active Directory ajuda os administradores
a gerenciar, de forma segura, essas informações e facilita o
compartilhamento de recursos e colaboração entre os usuários.
Exige-se também que ele seja instalado na rede para instalar as
aplicações ativadas pelo diretório, como o Microsoft Exchange
Server, e para aplicar outras tecnologias do Windows Server, como
a Diretiva de Grupo.
Os tópicos que seguem descrevem alterações na funcionalidade dos
Serviços de Domínio do Active Directory disponível nesta versão:
• Serviços de Domínio do Active Directory: Auditoria
• Serviços de Domínio do Active Directory: Diretivas de Senha
Granuladas
• Serviços de Domínio do Active Directory: Controladores de
Domínio de Somente Leitura
• Serviços de Domínio do Active Directory: Serviços de
Domínio do Active Directory Reinicializáveis
• Serviços de Domínio do Active Directory: Exibição em Telas
• Serviços de Domínio do Active Directory: Melhorias na
Interface de Usuário

Serviços de Domínio do Active Directory:
Auditoria
No Windows Server “Longhorn,” você agora pode configurar a
auditoria dos Serviços de Domínio do Active Directory por uma
nova sub-categoria da diretiva de auditoria (Alterações no
Serviço de Diretório) para registrar valores novos e antigos
quando houver alterações nos objetos dos Serviços de Domínio do
Active Directory e seus atributos.
Nota
Este novo recurso de auditoria também se aplica ao Active
Directory Lightweight Directory Services. No entanto, a
discussão refere-se apenas aos Serviços de Domínio do
Active Directory.
A diretiva global de auditoria, Auditoria do acesso ao serviço de
diretório, controla se a auditoria para os eventos do serviço de
diretório esta ativada ou não. Essa configuração de segurança
determina se os eventos estão registrados no log de Segurança,
quando certas operações são realizadas em objetos do diretório.
Você pode controlar quais operações auditar, modificando a lista
de controle de acesso ao sistema (SACL) em um objeto. No Windows
Server “Longhorn,” esta diretiva está ativada por padrão.

161

Se você definir a configuração da diretiva (modificando a
Diretiva padrão dos Controladores de Domínio), pode especificar
auditar os sucessos, falhas ou então não auditar nada. As
auditorias de sucesso geram uma entrada sempre que um usuário
acessa, com sucesso, um objeto dos Serviços de Domínio do Active
Directory que tenha um SACL especificado. As auditorias de falha
geram uma entrada sempre que um usuário acessa, sem sucesso, um
objeto dos Serviços de Domínio do Active Directory que tenha um
SACL especificado.
Você pode definir um SACL em um objeto dos Serviços de Domínio do
Active Directory na guia Segurança, na caixa de diálogo de
propriedades do objeto. A Auditoria de acesso ao serviço de
diretório é aplicada da mesma forma como na Auditoria de acesso
ao objeto; no entanto, ela se aplica apenas aos objetos dos
Serviços de Domínio do Active Directory e não aos objetos do
sistema de arquivo e do registro.
Esse recurso aplica-se aos administradores de Serviços de Domínio
do Active Directory, responsáveis por configurar a auditoria no
diretório. Os administradores definem SACLs apropriados para
fazer a auditoria.
Em geral, as permissões para modificar SACLs e visualizar o log
de Segurança são atribuídos apenas a membros dos grupos de
Administradores, incluindo de Domínio Domain,
BuiltinAdministradores e de Empresa.
O Windows Server “Longhorn” está incluindo a capacidade de a
auditoria dos Serviços de Domínio do Active Directory registrar
valores novos e antigos de um atributo quando uma alteração bem
sucedida é feita nele. Antes, a auditoria dos Serviços de Domínio
do Active Directory registrava apenas o nome do atributo que era
alterado; e não seus valores antigos e atuais.

Auditoria de Acesso aos Serviços de Domínio do Active Directory
No Windows 2000 Server e Windows Server 2003, havia uma diretiva
de auditoria, o Audit Directory Service Access, que controlava se
a auditoria dos eventos de serviço de diretório era ativada ou
não. No Windows Server “Longhorn,” essa diretiva é dividida em
quatro sub-categorias:
• Directory Service Access
• Directory Service Changes
• Directory Service Replication
• Detailed Directory Service Replication
A capacidade de auditar alterações nos objetos dos Serviços de
Domínio do Active Directory é ativada com a nova sub-categoria de
auditoria, o Directory Service Changes. Os tipos de alterações
que você pode auditar são criar, modificar, mover e não excluir
operações feitas em um objeto. Os eventos que são gerados por
essas operações aparecem no log de Segurança.


162

Essa nova sub-categoria da diretiva adiciona as seguintes
capacidades aos Serviços de Domínio do Active Directory:
• Quando uma operação bem sucedida de modificação é realizada
em um atributo de um objeto, os Serviços de Domínio do
Active Directory registra seus valores novos e atuais. Se o
atributo possuir mais de um valor, apenas os valores que
mudam, como resultado da operação de modificação, são
registrados.
• Caso um novo objeto seja criado, os valores dos atributos
populados no momento da criação são registrados. Se os
atributos são adicionados durante a operação de criação,
esses novos valores são registrados. Na maioria dos casos,
os Serviços de Domínio do Active Directory atribui valores
padrões aos atributos (como o sAMAccountName). Os valores
desses atributos do sistema não são registrados.
• Se um objeto é movido dentro de um domínio, o local novo e
o anterior (na forma de nome diferente) é registrado.
Quando um objeto é movido para um domínio diferente, um
evento de criação é gerado no controlador de domínio do
domínio alvo.
• Se um objeto não é excluído, o local para o qual ele foi
movido é registrado. Além disso, se os atributos forem
adicionados, modificados ou excluídos durante uma operação
de não-exclusão, seus valores não serão registrados.
Nota
Caso um objeto seja excluído, não são gerados eventos de
auditoria de alteração. No entanto, um evento de auditoria
é gerado caso a sub-categoria do Directory Service Access
seja ativado.
Depois que o Directory Service Changes é ativado, os Serviços de
Domínio do Active Directory registra eventos no log de Segurança,
quando são feitas alterações aos objetos que um administrador
configurou para auditoria. A tabela que segue descreve esses
eventos.

Alterações no Directory Service — Eventos dos Serviços de Domínio do Active
Directory
ID do Evento Tipo de Evento Descrição do Evento
5136 Modificar O evento é registrado quando uma
modificação bem sucedida é feita
a um atributo no diretório.
5137 Criar Este evento é registrado quando
um novo objeto é criado no
diretório.
5138 Não excluir Este evento é registrado quando
um objeto não é excluído do
diretório.
5139 Mover Este evento é registrado quando
um objeto é movido dentro do
domínio.

163

A capacidade de identificar como os atributos do objeto mudam
torna os logs de eventos mais úteis como um mecanismo de
acompanhamento a alterações que ocorrem por toda a duração de um
projeto.
No Windows Server “Longhorn,” você implementa um novo recurso de
auditoria, usando os seguintes controles:
• Diretiva de auditoria global
• SACL
• Esquema

Diretiva de auditoria global
Ativar a diretiva de auditoria global, Auditoria do acesso ao
serviço de diretório, ativa todas as sub-categorias da diretiva
do serviço de diretório. Você pode definir essa diretiva global
na Diretiva de Grupo dos Controladores de Domínio Padrão (abaixo
de Configurações de SegurançaDiretivas LocaisDiretiva de
Auditoria). No Windows Server “Longhorn,” esta diretiva está
ativada por padrão. Portanto, a sub-categoria Directory Service
Changes também está ativada por padrão. Esta sub-categoria está
definida apenas para os eventos de sucesso.
No Windows 2000 Server e Windows Server 2003, a diretiva
Auditoria do acesso ao serviço de diretório era o único controle
disponível para o Active Directory. Os eventos que eram gerados
por esse controle não mostravam os valores novos e antigos de
nenhuma modificação. Essa configuração gerava eventos de
auditoria no log de Segurança, com o número de ID 566. No Windows
Server “Longhorn,” a sub-categoria Directory Service Access ainda
gera os mesmos eventos, mas seu número de ID é alterado para
4662.
Com a nova sub-categoria Directory Service Changes, alterações
bem sucedidas são registradas junto com os valores novos e
antigos do atributo. As configurações para Directory Service
Access e Directory Service Changes estão armazenadas no banco de
dados da Autoridade de Segurança Local (LSA). Elas podem ser
consultadas com novos LSA APIs.
As duas sub-categorias de auditoria são independentes uma da
outra. Você pode desabilitar Directory Service Access e ainda ser
capaz de ver eventos de alteração gerados caso a sub-categoria
Directory Service Changes esteja ativada. Da mesma forma, se você
desabilitar Directory Service Changes e ativar Directory Service
Access, pode ver os eventos do log de Segurança com o número de
ID 4662.
Você pode usar a ferramenta Auditpol.exe da linha de comando ou
definir sub-categorias da diretiva de auditoria. Não existe uma
ferramenta de interface do Windows disponível no Windows Server


164

“Longhorn” Beta 2 para visualizar ou definir sub-categorias da
diretiva de auditoria.

SACL
O SACL é a parte de um descritor de segurança do objeto que
especifica as operações a serem auditadas para princípio de
segurança. O SACL do objeto ainda é a autoridade principal para
determinar se uma verificação de acesso deve ou não ser auditada.
O conteúdo do SACL é controlado pelos administradores de
segurança do sistema local. Os administradores de segurança são
usuários atribuídos aos privilégio de Gerenciar Log de Auditoria
e Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é
atribuído ao grupo de Administradores integrado.
Se não houver entrada de controle de acesso (ACE) no SACL que
requer o registro das modificações do atributo, mesmo que a sub-
categoria de Directory Service Changes esteja ativada, nenhum
evento de auditoria de alteração é registrado. Por exemplo, se
não houver ACE no SACL que requer acesso à Propriedade de Escrita
no atributo do número de telefone de um objeto de usuário a ser
auditado, nenhum evento de auditoria é gerado quando esse
atributo é modificado, mesmo que a sub-categoria Directory
Service Changes esteja ativada.

Esquema
Para evitar a possibilidade de um número excessivo de eventos que
estão sendo gerados, existe um controle adicional no esquema, que
pode ser usado para criar exceções ao que é auditado.
Por exemplo, se você deseja ver alterações a todas as
modificações de atributo em um objeto de usuário — exceto a um ou
dois atributos — você pode definir uma indicação no esquema para
atributos que não deseja auditar. A propriedade searchFlags de
cada atributo define se ele é indexado, replicado ao catálogo
global ou algum outro tipo de comportamento. Existem sete bits
atualmente definidos para a propriedade searchFlags.
Se o bit 9 (valor 256) for definido para um atributo, os Serviços
de Domínio do Active Directory não registrará eventos de
alteração quando as modificações forem feitas. Isso se aplica a
todos os objetos que contêm aquele atributo.

Configurações do Registro
Os seguintes valores de chave do registro são usados para
configurar a auditoria dos Serviços de Domínio do Active
Directory.

Valores de Chave do Registro — Auditoria dos Serviços de Domínio do Active
Directory
Nome da Configuração Local Valores Possíveis
MaximumStringBytesToAudit HKEY_LOCAL_MACHINE • Valor mínimo do
SystemCurrentControlSet registro: 0


165

ServicesNTDSParameters • Valor máximo do
registro: 64000
• Valor padrão: 1000
5137 Criar Este evento é registrado
quando um novo objeto é
criado no diretório.
5138 Não excluir Este evento é registrado
quando um objeto não é
excluído do diretório.
5139 Mover Este evento é registrado
quando um objeto é movido
dentro do domínio.

Configurações da Diretiva de Grupo
Você não pode visualizar as sub-categorias da diretiva de
auditoria com o Editor de Objeto da Diretiva de Grupo
(GPedit.msc). Você pode apenas visualizá-las com a ferramenta
Auditpol.exe de linha de comando. O comando auditpol do exemplo
que segue ativa a sub-categoria Directory Service Changes:
auditpol /set /subcategory:"directory service changes"
/success:enable

Diretivas de Senhas Detalhadas
O Windows Server “Longhorn” fornece às organizações uma forma de
definir diretivas diferentes de senha e bloqueio de conta para
diferentes grupos de usuários em um domínio. Nos domínios do
Windows 2000 e Windows Server 2003 Active Directory, apenas uma
diretiva de senha e bloqueio de conta pode ser aplicada a todos
os usuários no domínio. Essas diretivas foram especificadas na
Diretiva de Domínio Padrão do domínio. Como resultado, as
organizações que desejavam configurações diferentes de senha e
bloqueio de conta, para grupos diferentes de usuários, precisavam
tanto criar um filtro para senha como implantar múltiplos
domínios. As duas opções têm alto custo, por diversas razões.
Você pode usar diretivas de senhas granuladas para especificar
múltiplas diretivas dentro de um único domínio. Pode usá-las
também para aplicar diferentes restrições a senhas e diretivas de
bloqueio de conta para diferentes grupos de usuários em um
domínio.
Por exemplo, você pode aplicar configurações mais rigorosas às
contas privilegiadas e outras menos rigorosas às contas de outros
usuários. Em outros casos, você pode aplicar uma diretiva de
senha especial a contas cujas senhas são sincronizadas com outras
fontes de dados.
Os seguintes indivíduos devem verificar essas informações sobre
diretivas de senhas granuladas:
• Planejadores e analistas de TI que avaliam tecnicamente o
produto

166

• Planejadores corporativos de TI e designers de organizações
• Administradores ou gerentes responsáveis pela segurança da
TI
Essas diretivas aplicam-se apenas a objetos do usuário (ou
objetos inetOrgPerson caso sejam usados no lugar de objetos do
usuário) e grupos de segurança global. Por padrão, apenas membros
do grupo de Administradores do Domínio podem definir diretivas de
senhas granuladas. No entanto, você também pode delegar a
habilidade de definir essas diretivas a outros usuários. O nível
funcional do domínio deve ser Windows Server “Longhorn.”
Essas diretivas de senhas granuladas não interferem nos filtros
regulares que você deve usar no mesmo domínio. As organizações
que têm filtros de senha implantados em controladores de domínio
que executam o Windows 2000 ou Windows Server 2003 podem
continuar usando esses filtros para reforçar restrições
adicionais de senhas.

Armazenando Diretivas de Senhas Detalhadas
Para armazenar essas diretivas de senhas detalhadas, o Windows
Server “Longhorn” inclui duas novas classes de objetos no esquema
dos Serviços de Domínio do Active Directory:
• Container de Configuração de Senha
• Configurações de Senha
O Container de Configuração de Senha é criado por padrão, abaixo
do container Sistema, no domínio. Ele armazena os objetos de
Configuração de Senha (PSOs) para esse domínio. Você não pode
renomear, mover ou excluir esse container.
Um PSO possui atributos para todas as configurações que podem ser
definidas na Diretiva de Domínio Padrão (exceto as configurações
Kerberos). Essas configurações incluem atributos para as
seguintes configurações de senha:
• Reforçar o histórico de senha
• Tempo máximo da senha
• Tempo mínimo da senha
• Extensão mínima da senha
• As senhas devem suprir os requisitos de complexidade
• Armazenar senhas usando criptografia reversível
Essas configurações também incluem atributos para as seguintes
configurações de bloqueio de conta:
• Duração do bloqueio da conta
• Limite de bloqueio da conta
• Redefinição de bloqueio da conta após
Além disso, um PSO possui os dois seguintes novos atributos:

167

• PSO link. Este é um atributo multivalorizado, ligado a
usuários e/ou objetos de grupo.
• Precedência. Este é um valor inteiro usado para resolver
conflitos, se muitos PSOs são aplicados a um usuário ou
objeto de grupo.
Estes nove atributos são do tipo mustHave. Isso significa que
você deve definir um valor a cada um. As configurações de
múltiplos PSOs não podem ser mescladas.

Definindo o Escopo das Diretivas de Senhas Detalhadas
Um PSO pode ser vinculado a um usuário (ou inetOrgPerson) ou
objeto de grupo que esteja no mesmo domínio que o PSO.
• Um PSO possui um atributo chamado PSOAppliesTo que contém
um link de encaminhamento a somente usuário ou objetos do
grupo. O atributo PSOAppliesTo é multivalorizado, o que
quer dizer que você pode aplicar um PSO a múltiplos
usuários ou grupos. Você pode criar uma diretiva de senha e
aplicá-la a diferentes conjuntos de usuários ou grupos.
• Um novo atributo chamado PSOApplied foi adicionado ao
usuário e objetos de grupo no Windows Server “Longhorn.” O
atributo PSOApplied contém um link de retorno ao PSO. Como
o atributo PSOApplied possui um link de retorno, um usuário
ou grupo pode ter diversos PSOs aplicados a ele. Nesse
caso, as configurações aplicadas são calculadas pelo
Conjunto Resultante da Diretiva (RSOP). Para mais
informações, confira o “RSOP”, mais adiante, neste tópico.
Você pode vincular um PSO a outros tipos de grupos, além dos
grupos globais de segurança. Mas quando um conjunto resultante de
diretivas é determinado a um usuário ou grupo, apenas os PSOs
vinculados a grupos globais de segurança ou objetos de usuários
são considerados. Os PSOs vinculados a grupos de distribuição ou
outros tipos de grupos de segurança são ignorados.

RSOP
Um usuário ou objeto de grupo pode ter múltiplos PSOs vinculados
a ele, tanto porque os membros, em múltiplos grupos, têm, cada
um, PSOs diferentes vinculados a eles, como porque múltiplos PSOs
são aplicados diretamente ao objeto. No entanto, apenas um PSO
pode ser aplicado como diretiva efetiva de senha. Apenas as
configurações daquele PSO podem afetar o usuário ou grupo. As
configurações de outros PSOs, que estão ligados ao usuário ou
grupo, não podem ser mescladas de maneira alguma.
O RSOP pode apenas ser calculado para um objeto do usuário. O PSO
pode ser aplicado ao objeto de usuário nas duas maneiras que
seguem:
• Diretamente. O PSO é vinculado ao usuário


168

• Indiretamente. O PSO é vinculado ao grupo(s) do qual o
usuário é membro
Cada PSO possui um atributo adicional chamado precedência, que
ajuda no cálculo do RSOP. O atributo precedência possui um valor
inteiro de 1 ou mais. Um valor mais baixo para o atributo
precedência indica que o PSO tem uma classificação maior, ou
maior prioridade, do que outros PSOs. Por exemplo, suponha que um
objeto tenha dois PSOs vinculados a ele. Um PSO possui valor de
precedência 2 e o outro tenha um valor 4. Neste caso, o PSO que
possui o valor de precedência 2 tem maior classificação e,
portanto, é aplicado ao objeto.
Se múltiplos PSOs são vinculados a um usuário ou grupo, o PSO
resultante aplicado é determinado conforme o seguinte:
• Um PSO que seja vinculado diretamente ao objeto de usuário
é o PSO resultante. Se mais de um PSO for diretamente
vinculado ao objeto de usuário, uma mensagem de aviso será
registrada no log de evento, e o PSO com o menor valor de
precedência será o PSO resultante.
• Se não houver um PSO vinculado ao objeto de usuário, os
membros do grupo global de segurança do usuário, e todos os
PSOs que são aplicáveis ao usuário com base nos membros do
grupo global, são comparados. O PSO com o valor de
precedência mais baixo é o PSO resultante.
• Se nenhum PSO for obtido a partir das condições (1) e (2),
A Diretiva de Domínio Padrão será aplicada.
Recomendamos que você atribua um valor de precedência único para
cada PSO que você criar. No entanto, você pode criar múltiplos
PSOs com o mesmo valor. Se múltiplos PSOs com o mesmo valor de
precedência são obtidos para um usuário, o primeiro PSO obtido
será aplicado.
Outro novo atributo chamado ResultantPSO foi adicionado ao objeto
de usuário. Um administrador pode consultar este atributo para
recuperar o nome distinto do PSO, que é aplicado àquele usuário
(baseado nas regras listadas anteriormente). Se não houver um
objeto de PSO que se aplique ao usuário, tanto direta quanto
virtualmente dos membros do grupo, a consulta retorna o nome
distinto do domínio.
Ao aplicar um PSO que seja diretamente ligado a um usuário ou
grupo, antes de outros PSOs, você pode criar exceções para certos
usuários de um grupo. Você pode atribuir um PSO a um grupo de
usuários, mas atribuir uma diretiva diferente a alguns dos
membros. Em vez de ter de criar uma nova diretiva e reorganizar a
precedência de todas as diretivas anteriores para um usuário em
particular, você pode criar uma diretiva com qualquer
precedência. Quando você aplica a diretiva diretamente ao
usuário, ela é aplicada primeiro.


169

O objeto de usuário possui três bits, que podem ser definidos no
atributo userAccountControl do objeto de usuário que pode
sobrescrever as configurações presentes no PSO resultante (muitos
desses bits sobrescrevem as configurações da Diretiva de Domínio
Padrão, no Windows 2000 e Windows Server 2003). Esses bits
incluem o seguinte:
• Criptografia de senha reversível exigida
• Senha não exigida
• Senha não expira
Esses bits continuam a superar as configurações no PSO resultante
que é aplicado ao objeto de usuário.

Segurança e Delegação
Por padrão, apenas membros do grupo de Administradores de Domínio
podem criar PSOs. Apenas membros deste grupo possuem as
permissões Criar Filho e Excluir Filho, no objeto Password
Settings Container. Além disso, apenas membros do grupo de
Administradores de Domínio têm permissões de Propriedade de
Escrita no PSO, por padrão. Portanto, apenas membros deste grupo
podem aplicar um PSO a um grupo ou usuário. Você pode delegar
essa permissão a outros grupos ou usuários.
Você não precisa de permissões sobre o objeto do grupo ou usuário
para poder aplicar um PSO a ele. Ter permissões de Escrita no
usuário ou objeto de grupo não fornece a você a capacidade de
vincular um PSO a um usuário ou grupo. O proprietário de um grupo
não possui permissões de vincular um PSO ao grupo, pois o link de
encaminhamento está no PSO. O poder de vincular um PSO ao grupo
ou usuário é dado ao proprietário do PSO.
As configurações no PSO podem ser consideradas confidenciais;
portanto, por padrão, os Usuários Autenticados não têm permissões
de Propriedade de Leitura para um PSO. Por padrão, apenas membros
do grupo de Administradores de Domínio possuem permissões da
Propriedade de Leitura no descritor de segurança padrão do objeto
PSO no esquema.
Você pode delegar essas permissões a qualquer grupo (como o help
desk ou aplicação de gerenciamento) no domínio ou floresta. Isso
também pode prevenir um usuário de ver suas configurações de
senha no diretório. O usuário pode ler os atributos ResultantPSO
ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que
se aplica ao usuário. O usuário não pode ver as configurações
dentro do PSO.
Antes de adicionar um controlador de domínio que execute no
Windows Server “Longhorn” a um domínio existente do Active
Directory, você deve executar o adprep /domainprep. Ao executar o
adprep /domainprep, o esquema do Active Directory é estendido
para incluir novas classes de objetos que as diretivas de senhas
granuladas requerem.


170

Caso você não crie essas diretivas para diferentes grupos de
usuários, as configurações da Diretiva de Domínio Padrão aplicam-
se a todos os usuários no domínio, assim como no Windows 2000 e
Windows Server 2003.

Para saber
Controladores de Domínio de Somente Leitura
mais, Um controlador de domínio de somente leitura (RODC) é um novo
recorra à
tipo de controlador no sistema operacional do Windows Server
seção 4.02
Controlador “Longhorn”. Com o RODC, as organizações são capazes de implantar,
de Domínio facilmente, um controlador de domínio em locais onde a segurança
de Somente física não é garantida. Um RODC hospeda partições de somente-
Leitura na leitura dos Serviços de Domínio do Active Directory.
página 85.
Para mais informações sobre os Controladores de Domínio de
Somente Leitura, recorra à seção 4.02 Controlador de Domínio de Somente
Leitura, na página 85.

Serviços de Domínio do Active Directory
Reinicializáveis
Os administradores podem parar e reiniciar os Serviços de Domínio
do Active Directory no Windows Server “Longhorn”, usando os snap-
ins do MMC ou a linha de comando.
Os Serviços de Domínio do Active Directory Reinicializável reduz
o tempo requerido para realizar certas operações. Os Serviços de
Domínio do Active Directory pode ser parado para que as
atualizações possam ser aplicadas a um controlador de domínio; e
também, eles podem parar os Serviços de Domínio do Active
Directory para realizar tarefas, como a desfragmentação offline
do banco de dados do Active Directory, sem reiniciar o
controlador de domínio. Outros serviços que estão sendo
executados no servidor e que não dependem dos Serviços de Domínio
do Active Directory para funcionar, como o Dynamic Host
Configuration Protocol (DHCP), permanecem disponíveis para
satisfazer as requisições de clientes, enquanto os Serviços de
Domínio do Active Directory é parado.
Os Serviços de Domínio do Active Directory Reinicializável
fornece benefícios para o seguinte:
• Planejadores e administradores da atualização da segurança
• Equipes de gerenciamento dos Serviços de Domínio do Active
Directory
• Administradores dos Serviços de Domínio do Active Directory
Os Serviços de Domínio do Active Directory Reinicializável é
disponível por padrão em todos os controladores de domínio que
executam o Windows Server “Longhorn.” Não existem requisitos
funcionais, ou outros pré-requisitos, para usar esse recurso.


171

No Active Directory do sistema operacional Microsoft Windows 2000
Server e Windows Server 2003, a desfragmentação offline do banco
de dados exigia uma reinicialização do controlador de domínio no
Modo de Recuperação do Directory Services. Aplicar as
atualizações de segurança geralmente requer uma reinicialização
do controlador de domínio.
No Windows Server “Longhorn,“ no entanto, os administradores
podem parar e reiniciar os Serviços de Domínio do Active
Directory. Isso torna possível desempenhar as operações offline
dos Serviços de Domínio do Active Directory de forma mais rápida.
Os Serviços de Domínio do Active Directory Reinicializável
adiciona as menores alterações aos snap-ins do MMC. Um
controlador de domínio que executa o Windows Server “Longhorn”
Active Directory Domain Services exibe o Controlador de Domínio
no nó Serviços (Local) do snap-in Serviços de Componente e do
Gerenciamento do Computador. Usando qualquer um deles, um
administrador pode facilmente parar e reiniciar os Serviços de
Domínio do Active Directory da mesma forma como com qualquer
outro serviço que esteja sendo executado localmente no servidor.
Embora parar os Serviços de Domínio do Active Directory seja como
efetuar logon no Modo de Recuperação do Directory Services, o
Active Directory Domain Services reinicializável fornece um
estado único para um controlador de domínio que execute o
Windows Server “Longhorn.” Esse estado é conhecido como Active
Directory Domain Services Stopped.
Os três estados possíveis para um controlador de domínio que
execute o Windows Server “Longhorn” são os seguintes:
• Active Directory Domain Services Started. Neste estado, os
Serviços de Domínio do Active Directory é iniciado. Para os
clientes e outros serviços executados no servidor, um
controlador de domínio do Windows Server “Longhorn”
executado neste estado é o mesmo que o controlador
executado no Windows 2000 Server ou Windows Server 2003.
• Active Directory Domain Services Stopped. Neste estado, os
Serviços de Domínio do Active Directory é parado. Embora
este modo seja exclusivo, o servidor possui algumas
características tanto de controlador de domínio no Modo de
Recuperação do Directory Services quanto como um servidor
membro ligado ao domínio.
Assim como no Modo de Recuperação do Directory Services, o
banco de dados do Active Directory (Ntds.dit) está offline.
Além disso, a senha do Modo de Recuperação do Directory
Services pode ser usada para um login local, caso outro
controlador de domínio não possa ser contatado.
Assim como com um servidor membro, o servidor é ligado ao
domínio. Além disso, os usuários podem efetuar logon de
forma interativa, ou pela rede, usando outro controlador de
domínio para o logon. No entanto, um controlador de domínio

172

não deve permanecer neste estado por um longo período de
tempo, pois ele não consegue atender as requisições de
logon ou replicar com outros controladores de domínio.
• Modo de Recuperação do Directory Services. Este modo (ou
estado) é inalterável a partir do Windows Server 2003.
O seguinte fluxograma apresenta como um controlador de domínio
que executa o Windows Server “Longhorn” pode fazer a transição
entre esses três estados possíveis.

Serviços de Domínio do
Active Directory: Exibição
em Instantâneo
A Exibição em Telas dos Serviços de
Domínio do Active Directory é um novo
recurso do Windows Server “Longhorn.”
Ele o ajuda a identificar objetos que
foram acidentalmente excluídos ao expor
informações sobre os objetos, em
imagens (instantâneos) dos Serviços de
Domínio do Active Directory obtidas com
o tempo. Esses instantâneos podem ser
visualizados em um controlador de
domínio, sem iniciar o controlador de
domínio no Modo de Restauração do
Directory Services. Comparando os
diversos estados dos objetos assim que eles aparecem nos
instantâneos, será possível decidir mais facilmente qual backup
dos Serviços de Domínio do Active Directory utilizar para
restaurar os objetos excluídos.
Ao usar a Exposição de Telas dos Serviços de Domínio do Active
Directory, você pode examinar todas as alterações feitas aos
dados armazenados nos Serviços de Domínio do Active Directory.
Por exemplo, se um objeto da Diretiva de Grupo é acidentalmente
modificado, você pode usar a Exposição de Telas dos Serviços de


173

Domínio do Active Directory para examinar as alterações e ajudar
a decidir como corrigi-las, se necessário.
Embora a Exposição de Telas dos Serviços de Domínio do Active
Directory não recupere objetos excluídos, ele ajuda a dinamizar o
processo de recuperação de objetos que tenham sido acidentalmente
excluídos. Antes do Windows Server “Longhorn,” quando os objetos
ou unidades organizacionais (OUs) foram acidentalmente excluídas,
a única forma de determinar exatamente quais objetos haviam sido
excluídos era restaurando os dados a partir de backups. Mas isso
trazia duas desvantagens:
• O Active Directory precisava ser reiniciado no Modo de
Recuperação do Directory Services para desempenhar uma
restauração autorizada.
• Um administrador não podia comparar os dados nos backups
que eram obtidos em momentos diferentes (a menos que os
backups fossem restaurados a vários controladores de
domínio; um processo que não é viável).
A finalidade do recurso de Exposição de Telas dos Serviços de
Domínio do Active Directory é expor os dados dos Serviços de
Domínio do Active Directory armazenados nas imagens de forma
online. Os administradores podem então comparar os dados das
imagens obtidas em diferentes momentos, que, por sua vez, ajudam
a decidir sobre os dados a serem restaurados, sem acabar em uma
parada de serviço.
Os seguintes indivíduos devem ver essas informações sobre a
Exposição de Telas do Active Directory Domain Services:
• Planejadores e analistas de TI que avaliam tecnicamente o
produto
• Planejadores corporativos de TI e designers de
organizações
• Administradores, operadores e gerentes responsáveis pelas
operações de TI, incluindo a recuperação de dados excluídos
dos Serviços de Domínio do Active Directory
Há dois aspectos para o problema de se recuperar dados excluídos:
• Preservar os dados excluídos para que eles possam ser
recuperados
• Recuperar os dados excluídos recentemente quando solicitado
A Exposição de Telas dos Serviços de Domínio do Active Directory
torna possível para os dados excluídos dos Serviços de Domínio do
Active Directory serem preservados em forma de imagens dos
Serviços de Domínio do Active Directory, obtidas pelo Serviço de
Cópia de Sombra do Volume. A Exposição de Telas dos Serviços de
Domínio do Active Directory Snapshot, na verdade, não recupera
objetos e containeres excluídos. O administrador deve desempenhar
a recuperação como um passo subseqüente.


174

Você pode usar a ferramenta LDAP, como o Ldp.exe, que é uma
ferramenta integrada no Windows Server “Longhorn,” para ver os
dados expostos nas imagens. Esses dados são de somente leitura.
Por padrão, apenas os membros dos grupos de Administradores de
Domínio e Corporativos podem visualizar as imagens, pois elas
contêm dados sensíveis dos Serviços de Domínio do Active
Directory.
Proteja as imagens dos Serviços de Domínio do Active Directory
contra acesso não-autorizado, assim como você o faz com backups
dos Serviços de Domínio do Active Directory. Um usuário malicioso
que tenha acesso às imagens pode usá-las para revelar dados
sensíveis que possam estar armazenados nos Serviços de Domínio do
Active Directory. Por exemplo, um usuário malicioso pode copiar
as imagens dos Serviços de Domínio do Active Directory de uma
floresta A para B e depois usar as credenciais de Administrador
do Domínio ou Corporativo da floresta B para examinar os dados.
Use a criptografia ou outras precauções de segurança dos dados
com as imagens do Active Directory Domain Services a fim de
ajudar a reduzir a chance de acesso não-autorizado às imagens dos
Serviços de Domínio do Active Directory.
O processo de uso da Exposição de Telas dos Serviços de Domínio
do Active Directory inclui os seguintes passos:
1. Programe uma tarefa que regularmente execute o Ntdsutil.exe
para obter imagens do volume que contém o banco de dados
dos Serviços de Domínio do Active Directory.
2. Execute o Ntdsutil.exe para listar as imagens disponíveis e
monte a imagem que deseja visualizar.
3. Execute o Dsamain.exe para expor o volume de imagens como
um servidor LDAP.
O Dsamain.exe tem os seguintes argumentos:
• Caminho do banco de dados dos Serviços de Domínio
do Active Directory (NTDS.dit). Por padrão, esse
caminho é aberto somente como leitura, mas ele
deve estar em ASCII.
• Caminho do Log. Esse pode ser um caminho
temporário, mas você deve ter acesso de escrita.
• Quatro números de portas para LDAP, LDAP-SSL,
Global Catalog e Global Catalog–SSL.
Você pode parar o Dsamain, pressionando CTRL+C ou definindo
o atributo stopservice no objeto rootDSE.
4. Execute e anexe o Ldp.exe à porta LDAP da imagem que você
especificou quando expôs a imagem como um servidor LDAP, no
passo anterior.
5. Navegue pela imagem como faria com qualquer controlador de
domínio dinâmico.


175

Caso você tenha idéia de qual OU ou objetos foram excluídos, pode
procurar nos objetos excluídos, nas imagens, e gravar os
atributos e links de retorno que pertenciam aos objetos
excluídos. Reanime esses objetos, usando o recurso de reanimação
em ícones. Depois, alimente manualmente esses objetos com os
atributos e links de retorno, assim que identificados nas
imagens.
No entanto, você não pode realimentar os atributos apenas do
sistema, que foram divididos quando os objetos foram excluídos.
Embora você deva recriar manualmente os atributos e links de
retorno, o navegador de imagens torna possível recriar os objetos
excluídos e seus links sem precisar reiniciar o controlador de
domínio no Modo de Recuperação do Directory Services. Além disso,
você pode usar o navegador de imagens para analisar configurações
anteriores dos Serviços de Domínio do Active Directory, incluindo
as permissões e a Diretiva de Grupo.

Melhorias na Interface de Usuário
Para aprimorar a instalação e o gerenciamento dos Serviços de
Domínio do Active Directory, o Windows Server “Longhorn” inclui
um Assistente de Instalação atualizado para o Active Directory
Domain Services. O Windows Server “Longhorn” também inclui
alterações nas funções de snap-in do MMC que gerenciam os
Serviços de Domínio do Active Directory.
As melhorias na UI dos Serviços de Domínio do Active Directory
fornecem novas opções de instalação para os controladores de
domínio. Além disso, o Assistente de Instalação atualizado
dinamiza e simplifica a instalação dos Serviços de Domínio do
Active Directory.
também fornecem novas opções de gerenciamento para os recursos
dos Serviços de Domínio do Active Directory, como os
controladores de domínio de somente leitura (RODCs). Alterações
adicionais às ferramentas de gerenciamento fornecem a capacidade
de encontrar os controladores de domínio por toda a empresa. Eles
também fornecem controles importantes para novos recursos, como a
Diretiva de Replicação de Senha para RODCs.
As melhorias da UI dos Serviços de Domínio do Active Directory
são importantes para os seguintes usuários:
• Administradores dos Serviços de Domínio do Active Directory
responsáveis por gerenciar controladores de domínio em
locais centrais e data centers
• Administradores de filiais
• Desenvolvedores de sistema que realizam instalações e
desautorizam servidores


176

não requerem considerações especiais. As melhorias ao Assistente
de Instalação também estão todas disponíveis por padrão. No
entanto, algumas páginas do assistente aparecem apenas se a caixa
de verificação de Usar instalação no modo avançado estiver
selecionada na página de Boas Vindas do assistente.
O modo de instalação avançado fornece aos usuários mais
experientes um controle maior sobre o processo de instalação, sem
confundir os usuários mais novos quanto às opções de configuração
que podem não ser familiares. Para os usuários que não selecionam
a caixa Usar instalação no modo avançado, o assistente utiliza
opções padrões que se aplicam à maior parte das configurações.
fornecem novas funcionalidades para o Assistente de Instalação
dos Serviços de Domínio do Active Directory e funções de snap-in
do MMC.

Novo Assistente de Instalação dos Serviços de Domínio do Active
Directory
Para adicionar a função de servidor dos Serviços de Domínio do
Active Directory de forma interativa, você pode acessar o
Assistente de Instalação nas seguintes maneiras:
• Você pode clicar em Adicionar Funções, nas Tarefas Iniciais
de Configuração, que aparece quando você instala o sistema
pela primeira vez.
• Você pode clicar em Adicionar Funções no Gerenciador do
Servidor. O Gerenciador do Servidor está disponível no menu
Ferramentas Administrativas, ou por meio de um ícone na
área de notificação.
• Você pode clicar em Iniciar, clicar em Executar e depois
digitar dcpromo. Uma alternativa é digitar dcpromo no
prompt de comando, como nas versões anteriores do sistema
operacional do Microsoft Windows Server.
Nota
Embora não seja uma melhoria de UI, novas opções para
executar instalações falhas dos Serviços de Domínio do
Active Directory estão disponíveis no Windows Server
“Longhorn.” Diferente de uma instalação falha no Windows
Server 2003, uma instalação falha no Windows Server
“Longhorn” nunca requer uma resposta a um prompt da UI,
como aquele que reinicia o controlador de domínio. Isso é
necessário para instalar os Serviços de Domínio do Active
Directory no Núcleo do Servidor do Windows Server
“Longhorn,” uma nova opção de instalação do Windows Server
“Longhorn” que não fornece opções de UI, como um Assistente
de Instalação interativo dos Serviços de Domínio do Active
Directory.


177

• Você pode iniciar uma instalação RODC, usando o snap-in do
MMC Active Directory Users and Computers. Você pode tanto
clicar com o botão direito em Controladores de Domínio como
clicar em Controladores de Domínio e depois em Pré-criar
uma conta Somente-leitura de Controlador de Domínio. Este
método instala o RODC em dois estágios. Durante o estágio
seguinte da instalação, você executa o Assistente dos
Serviços de Domínio do Active Directory no servidor que
deseja anexar à conta do RODC.
O Assistente de Instalação dos Serviços de Domínio do Active
Directory contém uma nova opção na página de Boas Vindas para
ativar o modo avançado como uma alternativa para executar o
Dcpromo com a chave /adv (por exemplo, o dcpromo /adv). O modo
avançado exibe opções adicionais que permitem configurações mais
avançadas e fornecem aos usuários mais experientes um controle
maior sobre a operação. As opções adicionais do modo avançado
incluem o seguinte:
• Criar uma nova árvore de domínio
• Usar uma mídia de backup a partir de um controlador de
domínio existente no mesmo domínio, a fim de reduzir o
tráfego de rede que está associado com a replicação inicial
• Selecionar o controlador de domínio de origem para a
instalação
• Modificar o nome do NetBIOS que o assistente gera por
padrão
• Definir a diretiva de replicação de senha para um RODC
Além dessas alterações, o Assistente de Instalação dos Serviços
de Domínio do Active Directory possui novas páginas, que são
descritas na tabela que segue.

Assistente de Instalação dos Serviços de Domínio do Active Directory
Nova Página do Assistente Descrição
Opções Adicionais Especifica que, durante a instalação do
controlador de domínio, ele também será
configurado para ser um DNS server, servidor do
catálogo global ou RODC.
Seleção de local Especifica o local onde o controlador de domínio
deve ser instalado.
Definição de níveis de função Define o domínio e o nível funcional da floresta
durante a instalação do novo domínio ou
floresta.
Diretiva de Replicação de Senha Especifica quais senhas de contas são permitidas
ou negadas de serem armazenadas no RODC. Essa
página aparece apenas quando a caixa Usar
instalação no modo avançado está selecionada.
Criação de delegação do DNS Fornece uma opção padrão para criar uma
delegação DNS no tipo de instalação do
controlador de domínio (conforme especificado na
página Escolha uma Configuração de Implantação)
e o ambiente DNS.


178

Outras melhorias reduzem as chances de erro durante a instalação
dos Serviços de Domínio do Active Directory. Por exemplo, se você
está instalando um controlador de domínio adicional, pode
selecionar o nome do domínio a partir de uma árvore de domínio,
em vez de digitá-la.
Para assegurar que um DNS server recém-instalado esteja operando
corretamente, o DNS é automaticamente configurado para as
configurações do cliente DNS, encaminhadores e dicas de raiz, se
necessário, com base nas opções de instalação que são
selecionadas.

Instalação em Fases para o RODCs
Você pode realizar uma instalação em fases de um RODC, em que a
instalação é concluída em duas fases, por diferentes pessoas.
Você pode usar o Assistente de Instalação dos Serviços de Domínio
do Active Directory para concluir cada fase da instalação.
A primeira fase cria uma conta para o RODC nos Serviços de
Domínio do Active Directory. A segunda fase anexa o servidor
atual, que será o RODC, à conta que foi anteriormente criada para
isso.
Durante a primeira fase, o assistente grava todos os dados sobre
o RODC que serão armazenados no banco de dados distribuído do
Active Directory, assim como seu nome da conta do controlador de
domínio e o local em que serão colocados. Essa fase deve ser
realizada por um membro do grupo de Administradores de Domínio.
O usuário que cria a conta RODC também pode especificar, naquele
momento, quais usuários ou grupos podem concluir o próximo passo
da instalação. A próxima fase pode ser realizada na filial, por
qualquer usuário ou grupo a quem tenha sido delegado o direito
de concluir a instalação quando a conta foi criada. A fase não
requer membros nos grupos integrados, como o grupo de
Administradores do Domínio. Se o usuário que cria a conta RODC
não especificar qualquer delegação para concluir a instalação (e
administrar o RODC), apenas um membro dos Administradores de
Domínio ou Corporativo pode concluir a instalação.
A segunda fase instala os Serviços de Domínio do Active Directory
no servidor que se tornará o RODC. Essa fase ocorre, basicamente,
na filial onde o RODC é implantado. Durante essa fase, todos os
dados dos Serviços de Domínio do Active Directory que residem
localmente, arquivos de log e etc, são criados no próprio RODC.
Os arquivos de origem da instalação podem ser replicados para o
RODC a partir de um controlador de domínio sobre a rede, ou então
você pode usar a instalação do recurso de mídia (IFM). Para usar
o IFM, use o Ntdsutil.exe para criar a mídia de instalação.
O servidor que se tornará o RODC não deve ser ligado ao domínio
antes de você tentar anexá-lo à conta do RODC. Como parte da
instalação, o assistente detecta, automaticamente, se o nome do


179

servidor associa-se aos nomes de qualquer conta do RODC que tenha
sido criada antes para o domínio. Quando o assistente encontra um
nome associado da conta, ele alerta o usuário para usar aquela
conta para concluir a instalação do RODC.

Melhorias Adicionais no Assistente
O novo Assistente de Instalação dos Serviços de Domínio do Active
Directory também inclui as seguintes melhorias:
• Por padrão, o assistente agora utiliza as credenciais do
usuário que está conectado no momento. Você é alertado
sobre as credenciais adicionais, caso elas sejam
necessárias.
• Ao criar um controlador de domínio adicional em um domínio
filho, o assistente detecta se o papel principal da infra-
estrutura está hospedado em um servidor de catálogo global
naquele domínio, alertando-o para transferir essa infra-
estrutura para o controlador de domínio que você está
criando. Isso ajuda a prevenir uma má colocação do papel
principal da infra-estrutura.
• Na página Sumário do assistente, você pode exportar as
configurações que selecionou para um arquivo de respostas
correspondente que pode usar para operações subseqüentes
(instalações ou desinstalações).
• Você agora pode omitir a senha do seu administrador a
partir do arquivo de respostas. Em vez disso, digite
senha=* no arquivo de respostas, para garantir que o
usuário está avisado sobre as credenciais da conta.
• Você pode pré-alimentar o assistente, especificando alguns
parâmetros na linha de comando, reduzindo a quantidade de
interação de usuário que é exigida com o assistente.
• Você agora pode forçar o rebaixamento de um controlador de
domínio iniciado no Modo de Recuperação do Directory
Services).

Novas Funções de Snap-In do MMC
O snap-in do Active Directory Sites and Services no Windows
Server “Longhorn” inclui um comando Localizar, na barra de
ferramentas e no menu Ação. Esse comando facilita encontrar o
local onde o controlador de domínio está, o que pode ajudar na
solução de problemas de replicações. Antes, o Active Directory
Sites and Services não indicavam facilmente onde certo
controlador de domínio estava localizado. Isso aumentava o tempo
requerido para solucionar problemas, como os de replicação.
Para ajudar a gerenciar os RODCs, agora existe uma guia de
Diretiva de Replicação de Senha na página de Propriedades do
controlador de domínio. Clicando no botão Avançado, nesta guia,um
administrador pode ver o seguinte:


180

• Quais senhas foram enviadas ao RODC
• Quais senhas estão atualmente armazenadas no RODC
• Quais contas foram autenticadas para o RODC, incluindo
contas não definidas nos grupos de segurança, que têm a
replicação permitida ou negada. Como resultado, o
administrador pode ver quem está usando o RODC e determinar
se permite ou nega a replicação da senha.


181

5.09 Serviços Federados do Active Directory

Os Serviços Federados do Active Directory é uma função de
servidor no Windows Server "Longhorn" que pode ser utilizado para
criar uma solução de acesso de identidade segura e escalonável
com a Internet, altamente extensível que opere por diversas
plataformas, incluindo ambientes Windows e não-Windows. As seções
que seguem fornecem informações sobre os Serviços Federados do
Active Directory no Windows Server “Longhorn,” incluindo
informações sobre as funcionalidades adicionais dos Serviços
Federados do Active Directory no Windows Server “Longhorn”
comparadas com a versão dos Serviços Federados do Active
Directory no Windows Server 2003 R2.
Os Serviços Federados do Active Directory é uma solução de acesso
à identidade que fornece aos clientes baseados em navegadores
(internos ou externos à rede) um acesso dinâmico e único a
aplicações mais protegidas quanto à Internet, mesmo quando as
contas e aplicações estão localizadas em redes completamente
diferentes ou organizações.
Quando uma aplicação está em uma rede e as contas de usuário em
outra rede, é importante que os usuários estejam avisados sobre
as credenciais secundárias quando tentarem acessar a aplicação.
Essas credenciais secundárias representam a identidade dos
usuários no local em que a aplicação reside. O Web server que
hospeda a aplicação geralmente requer essas credenciais para que
possa tomar a decisão mais apropriada.
Os Serviços Federados do Active Directory torna as contas
secundárias desnecessárias, fornecendo relações de confiança que
você pode usar para projetar uma identidade digital do usuário e
acessar direitos dos parceiros confiáveis. Em um ambiente
federado, cada organização continua a gerenciar suas próprias
identidades, mas cada uma pode projetar de forma mais segura e
aceitar identidades de outras organizações.
Além disso, você pode implantar os servidores de federação em
múltiplas organizações, para facilitar as transações de business-
to-business (B2B) entre as organizações de parceiros confiáveis.
As parcerias federadas de B2B identificam os parceiros de
negócios como um dos seguintes tipos de organização:
• Organização de Recursos As organizações que possuem e
gerenciam recursos acessíveis a partir da Internet podem
implantar os servidores de federação dos Serviços Federados
do Active Directory e os servidores da Web baseados nos
Serviços Federados do Active Directory que gerenciam o
acesso aos recursos protegidos de parceiros confiáveis.
Esses parceiros podem incluir partes internas e externas ou
outros departamentos ou subsidiárias na mesma organização.


182

• Organização da Conta As organizações que possuem e
gerenciam as contas de usuário podem implantar os Serviços
Federados do Active Directory que autenticam usuários
locais e criam tokens que, mais adiante, são usados na
organização de recurso para tomar decisões quanto à
autorização.
O processo de autenticação de uma rede enquanto se acessam
recursos em outra rede — sem o incômodo de ações repetidas de
login pelos usuários — é conhecido como longo único (SSO). Os
Serviços Federados do Active Directory fornece uma solução
baseada na Web, de SSO, que autentica os usuários em múltiplas
aplicações da Web pela duração de uma simples sessão de
navegação.
Os Serviços Federados do Active Directory é designado para ser
implantado em organizações de médio a grande porte, que possuem o
seguinte:
• No mínimo, um serviço de diretório: tanto o Active
Directory Domain Services ou Active Directory Lightweight
Directory Services (antes conhecido como Active Directory
Application Mode)
• Computadores executados em diversas plataformas de sistemas
operacionais
• Computadores ligados a um domínio
• Computadores conectados à Internet
• Uma ou mais aplicações baseadas na Web
Veja essas informações, juntamente com a documentação adicional
sobre os Serviços Federados do Active Directory, se você faz
parte de um dos seguintes grupos:
• Profissional de TI responsável pelo suporte de uma infra-
estrutura existente dos Serviços Federados do Active
Directory
• Planejador de TI, analista ou arquiteto em fase de
avaliação dos produtos de federação da identidade
Se você tem uma infra-estrutura existente dos Serviços Federados
do Active Directory, existem algumas considerações especiais a
saber antes de você começar a atualizar os servidores de
federação, proxies e servidores da Web ativados pelos Serviços
Federados do Active Directory que executam o Windows Server 2003
R2 para o Windows Server “Longhorn.” Essas considerações aplicam-
se apenas quando você tem servidores dos Serviços Federados do
Active Directory que tenham sido manualmente configurados para
usar contas exclusivas do serviço.
Os Serviços Federados do Active Directory usa a conta do Network
Service como padrão para os Serviços Federados do Active


183

Directory Web Agent Authentication Service e a identidade do pool
de aplicação do ADFSAppPool. Se você configurou manualmente um ou
mais servidores dos Serviços Federados do Active Directory em sua
implantação existente dos Serviços Federados do Active Directory
para usar uma conta de serviço que não seja a conta padrão do
Network Service, verifique qual dos servidores dos Serviços
Federados do Active Directory utiliza essas contas de serviço e
grave o nome de usuário e a senha de cada conta.
Quando você atualiza um servidor para o Windows Server
“Longhorn,” o processo recupera, automaticamente, todas as contas
de serviço para seus valores padrões originais. Portanto, você
deve fornecer as informações da conta do serviço novamente,
manualmente, para cada servidor aplicável depois que o Windows
Server “Longhorn” está completamente instalado.
Para o Windows Server “Longhorn,” os Serviços Federados do Active
Directory inclui novas funcionalidades que não estão disponíveis
no Windows Server 2003 R2. Essas novas funcionalidades são feitas
para facilitar a sobrecarga administrativa e para estender ainda
mais o suporte às principais aplicações:
• Instalação Aprimorada. Os Serviços Federados do Active
Directory está incluído no Windows Server “Longhorn” como
uma função de servidor, havendo ainda novas verificações de
validação do servidor no assistente de instalação.
• Suporte aprimorado da aplicação. Os Serviços Federados do
Active Directory é mais integrado com o Microsoft Office
SharePoint Services 2007 e os Serviços de Gerenciamento de
Direitos do Active Directory.
• Melhor experiência administrativa ao estabelecer relação de
confiança federada. A funcionalidade aprimorada de importar
e exportar uma diretiva de relação de confiança ajuda a
minimizar os problemas de configuração baseados nos
parceiros, geralmente associados com o estabelecimento de
uma relação de confiança federada.

Instalação Aprimorada.
Os Serviços Federados do Active Directory no Windows Server
“Longhorn” traz diversas melhorias à experiência de instalação.
Para instalar os Serviços Federados do Active Directory no
Windows Server 2003 R2, você deve ir até Adicionar/Remover
Programas para encontrar e instalar o componente dos Serviços
Federados do Active Directory. No entanto, no Windows Server
“Longhorn,” você pode instalar os Serviços Federados do Active
Directory como uma função de servidor que utiliza o Server
Manager.
Você pode usar o assistente de configuração aprimorado dos
Serviços Federados do Active Directory para realizar as


184

verificações de validação do servidor antes de continuar com a
instalação dos Serviços Federados do Active Directory. Além
disso, o Server Manager automaticamente lista e instala todos os
serviços dos quais os Serviços Federados do Active Directory
depende durante a instalação dos Serviços Federados do Active
Directory. Esses serviços incluem o Microsoft ASP.NET 2.0 e
outros serviços que fazem parte da função de servidor do Web
Server (IIS).

Suporte Aprimorado da Aplicação.
Os Serviços Federados do Active Directory no Windows Server
“Longhorn” inclui melhorias que aumentam a capacidade de
integração com outras aplicações, como o Office SharePoint
Services 2007 e os Serviços de Gerenciamento de Direitos do
Active Directory.
Integração com o Office SharePoint Services 2007
O Office SharePoint® Services 2007 tira o máximo proveito das
capacidades do SSO que são integradas nesta versão dos Serviços
Federados do Active Directory. Os Serviços Federados do Active
Directory no Windows Server “Longhorn” inclui funcionalidades
para suportar os membros do Office SharePoint Services 2007 e os
provedores de funções. Isso significa que você pode, de forma
efetiva, configurar o Office SharePoint Services 2007 como uma
aplicação consciente dos Serviços Federados do Active Directory,
podendo ainda administrar quaisquer sites do Office SharePoint
Services 2007, usando os membros e controle de acesso baseado em
função. Os membros e os provedores de funções incluídos nesta
versão dos Serviços Federados do Active Directory servem para
consumo apenas pelo Office SharePoint Services 2007.
Integração com o Active Directory Rights Management Server
Os Serviços de Gerenciamento de Direitos do Active Directory e os
Serviços Federados do Active Directory podem ser integrados de
forma que as organizações possam obter vantagens das relações
confiáveis federadas existentes, a fim de colaborar com parceiros
externos e compartilhar conteúdos protegidos pelos direitos. Por
exemplo, uma organização que tenha implantado os Serviços de
Gerenciamento de Direitos do Active Directory pode configurar uma
federação com uma organização externa, usando os Serviços
Federados do Active Directory. A organização pode então usar essa
relação para compartilhar conteúdo protegido por meio de duas
organizações, sem exigir uma implantação dos Serviços de
Gerenciamento de Direitos do Active Directory nas duas
organizações.

Melhor Experiência Administrativa ao Estabelecer Relações de Confiança
Federadas


185

Tanto no Windows Server 2003 R2 como no Windows Server
“Longhorn,“ os administradores dos Serviços Federados do Active
Directory podem criar uma relação de confiança federada entre
duas organizações, usando tanto um processo de importar e
exportar arquivos de diretivas como um processo manual que
envolva uma troca mútua entre os valores dos parceiros, como o
Uniform Resource Indicators (URIs), tipos de declaração,
mapeamento de declaração, exibição de nomes etc. O processo
manual requer que o administrador, que recebe esses dados, digite
todos os dados recebidos nas páginas apropriadas do Assistente
para Adicionar Parceiro, o que pode resultar em erros
tipográficos. Além disso, o processo manual exige que o
administrador parceiro da conta envie uma cópia do certificado de
verificação para o servidor de federação, a fim de que o
certificado possa ser adicionado pelo assistente.
Embora a capacidade de importar e exportar arquivos da diretiva
fosse disponível no Windows Server 2003 R2, criar relações de
confiança federadas entre as organizações dos parceiros é mais
fácil no Windows Server “Longhorn”, como um resultado da
funcionalidade de importar e exportar baseada na diretiva. Essas
melhorias foram feitas para aprimorar a experiência
administrativa, permitindo mais flexibilidade para a
funcionalidade de importação no Assistente para Adicionar
Parceiro. Por exemplo, quando uma diretiva de parceiro é
importada, o administrador pode usar esse Assistente para
modificar todos os valores que foram importados antes de o
processo do assistente ser concluído. Isso inclui a capacidade de
especificar um certificado diferente de verificação da conta do
parceiro e a de mapear as declarações de entrada e saída entre os
parceiros.
Usando os recursos de importar e exportar, incluídos nos Serviços
Federados do Active Directory no Windows Server “Longhorn,” os
administradores podem apenas exportar suas configurações da
diretiva de relação de confiança para um arquivo .xml e então
enviar o arquivo ao administrador parceiro. Essa troca de
arquivos de diretiva de parceiros fornece todas as URIs, tipos de
declaração, mapeamentos de declaração e outros valores e
certificados de verificação necessários para criar uma relação de
confiança federada entre duas organizações parceiras.
A ilustração que segue e as instruções que acompanham mostram
como uma troca bem sucedida de diretivas entre os parceiros —
neste caso, iniciada pelo administrador da organização parceira
da conta — pode ajudar a dinamizar o processo de estabelecer uma
relação de confiança federada entre duas organizações fictícias:
A. Datum Corp. e Trey Research.
O seguinte fluxograma apresenta como um controlador de domínio
que executa o Windows Server “Longhorn” pode fazer a transição
entre esses três estados possíveis.


186

1. O administrador parceiro da conta especifica a opção
Exportar Diretiva Parceira Básica, clicando com o botão
direito na pasta Diretiva Confiável, e exporta um arquivo
de diretiva parceira que contém a URL, o nome de exibição,
a URL do proxy do servidor da federação e o certificado de
verificação da A. Datum Corp. O administrador parceiro da


187

conta então envia o arquivo da diretiva parceira (por e-
mail ou outros meios) ao administrador parceiro do recurso.
2. Esse administrador cria um novo parceiro de conta usando o
Assistente para Adicionar Parceiro de Conta e seleciona a
opção para importar um arquivo de diretiva parceira da
conta. O administrador parceiro do recurso continua a
especificar o local e o arquivo de diretiva parceira e a
verificar se todos os valores apresentados em cada página
do assistente — que são pré-alimentados como resultado da
importação da diretiva — são precisos. O administrador
então conclui o assistente.
3. O administrador parceiro do recurso agora pode configurar
declarações adicionais ou configurações da diretiva de
relação de confiança para aquele parceiro da conta. Após
concluir essa configuração,o administrador especifica a
opção Exportar Diretiva, clicando com o botão direito no
parceiro de conta de A. Datum Corp. O administrador
parceiro do recurso exporta um arquivo da diretiva do
parceiro que contém valores, como a URL, a URL do proxy do
servidor de federação, o nome de exibição, tipos de
declaração e mapeamentos de declaração para a organização
Trey Research. O administrador parceiro do recurso então
envia o arquivo da diretiva parceira ao administrador
parceiro da conta.
4. Esse administrador cria um novo parceiro de recurso usando
o Assistente para Adicionar Parceiro de Conta e seleciona a
opção para importar um arquivo de diretiva parceira do
recurso. O administrador parceiro da conta continua a
especificar o local e o arquivo de diretiva parceira do
recurso e a verificar se todos os valores apresentados em
cada página do assistente — que são pré-alimentados como
resultado da importação da diretiva — são precisos. O
administrador então conclui o assistente.
Quando este processo está concluído, uma relação de confiança bem
sucedida da federação entre os parceiros é estabelecida. Os
administradores parceiros de recursos também podem iniciar um
processo de diretiva para importar e exportar, embora o processo
não seja descrito aqui.

Novas Configurações
Você configura as configurações do Web Agent baseado no token do
Windows NT com o snap-in do IIS Manager. Para suportar as novas
funcionalidades fornecidas com o IIS 7.0, os Serviços Federados
do Active Directory do Windows Server “Longhorn” inclui
atualizações na UI para o serviço de função do Web Agent dos
Serviços Federados do Active Directory. A tabela que segue lista
os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0


188

para cada uma das páginas de propriedades do Web Agent do Active
Directory Federation, dependendo da versão do IIS que está sendo
usada.

Páginas de Propriedades do Web Agent dos Serviços Federados do Active
Directory
Página de Local Antigo IIS 7.0 Novo Local
Propriedades do IIS Propriedade
6.0
Página
Guia de Serviços <COMPUTERNAME>Web URL do Federation <COMPUTERNAME> (na seção
Federados do Sites Service Outros do painel
Active Directory central)
Web Agent
Guia de Serviços <COMPUTERNAME>Web Web Agent dos <COMPUTERNAME>Web
Federados do Sites<Site ou Serviços Federados Sites<Site ou Virtual
Active Directory Virtual Directory> do Active Directory> (na seção
Web Agent Directory IISAuthentication do
painel centra)

Nota
Não existem diferenças significativas de UI entre o snap-in
dos Serviços Federados do Active Directory no Windows
Server “Longhorn” e o dos Serviços Federados do Active
Directory no Windows Server 2003 R2.


189

5.10 Active Directory Lightweight Directory Services

A função do servidor do Active Directory Lightweight Directory
Services é um serviço de diretório do LDAP. Ele fornece
armazenamento e recuperação de dados para as aplicações ativadas
pelo diretório, sem as dependências requeridas para os Serviços
de Domínio do Active Directory.
O Active Directory Lightweight Directory Services no Windows
Server “Longhorn” abrange as funcionalidades fornecidas pelo Modo
de Aplicação do Active Directory, que estão disponíveis no
Microsoft Windows XP Professional e Windows Server 2003.
O Active Directory Lightweight Directory Services fornece às
organizações um suporte flexível às aplicações ativadas pelo
diretório. Uma aplicação ativada pelo diretório usa um diretório
— em vez de um banco de dados, arquivo ou outra estrutura para
armazenar dados — para manter seus dados. Os serviços de
diretório (como o Active Directory Lightweight Directory
Services) e os bancos de dados relacionais fornecem o
armazenamento e recuperação dos dados, mas eles diferem na
otimização. Os serviços de diretório são otimizados para o
processamento da leitura, enquanto os bancos de dados relacionais
são para o processamento de transação. Muitas aplicações
personalizadas e outras regulares utilizam um design ativado para
diretório. Enter esses exemplos estão:
• Aplicações de gerenciamento da relação com clientes (CRM)
• Aplicações de recursos humanos (HR)
• Aplicações de catálogo de endereços global
O Active Directory Lightweight Directory Services fornece muitas
das mesmas funcionalidades dos Serviços de Domínio do Active
Directory (e, na verdade, ambos são construídos sob a mesma base
de código), mas ele não requer a implantação de domínios ou
controladores de domínio.
Você pode executar múltiplas instâncias do Active Directory
Lightweight Directory Services ao mesmo tempo em um único
computador, com um esquema independentemente gerenciado para cada
instância ou configuração do Active Directory Lightweight
Directory Services (caso a instância faça parte do conjunto de
configurações). Os servidores membros, controladores de domínio e
servidores autônomos podem ser configurados para executar o
Active Directory Lightweight Directory Services.
O Active Directory Lightweight Directory Services é semelhante
aos Serviços de Domínio do Active Directory ao fornecer o
seguinte:
• Replicação Multimaster
• Suporte à API de Interfaces do Active Directory Service
• Partições do diretório da aplicação
• LDAP sobre o SSL


190

O Active Directory Lightweight Directory Services se difere dos
Serviços de Domínio do Active Directory principalmente no que se
refere a não armazenar os princípios de segurança do Windows.
Embora o Active Directory Lightweight Directory Services possa
usar os princípios de segurança do Windows (como os usuários do
domínio) nos ACLs que controlam o acesso aos objetos no Active
Directory Lightweight Directory Services, o Windows não pode
autenticar os usuários armazenados no Active Directory
Lightweight Directory Services ou utilizar os usuários do Active
Directory Lightweight Directory Services em seus ACLs. Além
disso, o Active Directory Lightweight Directory Services não
suporta domínios e florestas, Diretiva de Grupo ou catálogos
globais.
As organizações que têm os seguintes requisitos irão considerar o
Active Directory Lightweight Directory Services particularmente
útil:
• Diretórios específicos da aplicação que usam esquemas
personalizados ou que dependem de um gerenciamento
descentralizado de diretório
Diretórios do Active Directory Lightweight Directory
Services que sejam separados da infra-estrutura de domínio
dos Serviços de Domínio do Active Directory. Como
resultado, eles podem suportar aplicações que dependam das
extensões de esquemas não desejáveis no diretório do
Active Directory Domain Services — como as que são úteis a
uma única aplicação. Além disso, o administrador do
servidor local pode gerenciar os diretórios do Active
Directory Lightweight Directory Services; os
administradores de domínio não precisam fornecer suporte
administrativo.
• Desenvolvimento da aplicação ativada pelo diretório e os
ambientes de protótipo separados da estrutura de domínio da
empresa
Os desenvolvedores de aplicação que estão criando
aplicações ativadas pelo diretório podem instalar a função
do Active Directory Lightweight Directory Services em
qualquer servidor, mesmo nos autônomos. Como resultado, os
desenvolvedores podem controlar e modificar o diretório em
seu ambiente de desenvolvimento, sem interferir na infra-
estrutura de Active Directory Domain Services da
organização. Essas aplicações podem ser implantadas de
forma subseqüente, tanto com o Active Directory Lightweight
Directory Services como com os Serviços de Domínio do
Active Directory como serviço de diretório da aplicação,
conforme apropriado.
Os administradores de rede podem usar o Active Directory
Lightweight Directory Services como ambiente protótipo ou
piloto para aplicações que, eventualmente, serão
implantadas com os Serviços de Domínio do Active Directory
como seu armazenamento de diretório, contanto que a
aplicação não dependa de recursos específicos dos Serviços
de Domínio do Active Directory.


191

• Gerenciamento de acesso de computadores de clientes
externos aos recursos da rede
Empresas que precisam autenticar computadores, como os de
Web client ou visitantes, podem usar o Active Directory
Lightweight Directory Services como local de diretório para
autenticação. Isso ajuda as empresas a evitarem precisar
manter informações de clientes externos no diretório de
domínio da empresa.
• Ativando computadores clientes LDAP em um ambiente
heterogêneo para autenticar os Serviços de Domínio do
Active Directory
Quando as organizações se fundem, geralmente há uma
necessidade de integrar os computadores clientes LDAP que
executam diferentes sistemas operacionais de servidores em
uma única infra-estrutura de rede. Nesses casos, em vez de
atualizar imediatamente os computadores clientes que
executam aplicações em LDAP ou modificar o esquema dos
Serviços de Domínio do Active Directory para funcionar com
os clientes existentes, os administradores de rede podem
instalar o Active Directory Lightweight Directory Services
em um ou mais servidores. A função de servidor do Active
Directory Lightweight Directory Services age como um
diretório intermediário que usa um esquema existente até
que os computadores clientes possam ser atualizados para
usar os Serviços de Domínio do Active Directory, de forma
nativa, para acesso LDAP e autenticação.
Como o Active Directory Lightweight Directory Services é feito
para ser um serviço de diretório para aplicações, espera-se que
elas criem, gerenciem e removam objetos de diretório. Como
serviço de diretório de propósito geral, o Active Directory
Lightweight Directory Services não é suportado por ferramentas
orientadas a domínio, como estas:
• Domínios e Relações de Confiança do Active Directory
• Usuários e Computadores do Active Directory
• Locais e Serviços do Active Directory
No entanto, os administradores podem gerenciar os diretórios do
Active Directory Lightweight Directory Services, usando as
ferramentas de diretório, como as seguintes:
• ADSI Edit (para visualizar, modificar, criar e excluir
qualquer objeto do Active Directory Lightweight Directory
Services)
• Ldp.exe (para administração geral em LDAP)
• Outros utilitários do gerenciamento de esquema
As aplicações que foram designadas para trabalhar no Modo de
Aplicação do Active Directory não exigem alterações para
funcionar com o Active Directory Lightweight Directory Services.


192

5.11 Serviços de Gerenciamento de Direitos do Active
Directory

Para o Windows Server “Longhorn,” os Serviços de Gerenciamento de
Direitos do Active Directory inclui diversos recursos novos que
não estavam disponíveis no Microsoft Windows Rights Management
Services (RMS). Esses novos recursos foram feitos para facilitar
a sobrecarga administrativa dos Serviços de Gerenciamento de
Direitos do Active Directory e para estender seu uso para foram
da sua organização. Entre os novos recursos, estão:

• Inclusão dos Serviços de Gerenciamento de Direitos do
Active Directory no Windows Server “Longhorn” como função
de servidor
• Administração por meio de um MMC
• Integração com os Serviços Federados do Active Directory
• Registro automático dos servidores dos Serviços de
Gerenciamento de Direitos do Active Directory
• Habilidade de delegar responsabilidades por meio de novas
funções administrativas dos Serviços de Gerenciamento de
Direitos do Active Directory

Nota
Este tópico concentra-se nos recursos específicos dos Serviços
de Gerenciamento de Direitos do Active Directory que estão
sendo lançados com o Windows Server “Longhorn.” As versões
anteriores do RMS estão disponíveis em um download separado.
Para mais informações sobre os recursos que eram disponíveis
no RMS, confira o Windows Server 2003 Rights Management
Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637).
Os Serviços de Gerenciamento de Direitos do Active Directory, uma
tecnologia agnóstica de formato e aplicação, fornece serviços que
ativam a criação de soluções de proteção às informações. Ele
funcionará com qualquer aplicação ativada pelos Serviços de
Gerenciamento de Direitos do Active Directory a fim de fornecer
diretivas persistentes de utilização de informações sensíveis. O
conteúdo pode ser protegido, usando os Serviços de Gerenciamento
de Direitos do Active Directory, que inclui sites da intranet,
mensagens de e-mail e documentos. Os Serviços de Gerenciamento de
Direitos do Active Directory inclui uma série de funções centrais
que permitem aos desenvolvedores adicionar proteção às
informações nas funcionalidades de aplicações existentes.
Um sistema dos Serviços de Gerenciamento de Direitos do Active
Directory, que inclui componentes de cliente e servidor, realiza
os seguintes processos:
• Licenciamento de informações protegidas por direitos. Um
sistema dos Serviços de Gerenciamento de Direitos do Active
Directory emite certificados de contas de direitos, que


193

identificam as entidades confiáveis (como usuários, grupos
e serviços) que possam publicar o conteúdo protegido por
direito. Uma vez que a relação de confiança é estabelecida,
os usuários podem atribuir direitos e condições de
utilização ao conteúdo que desejam proteger. Esses direitos
especificam quem pode acessar o conteúdo protegido e o que
a pessoa deseja fazer com ele. Quando o conteúdo é
protegido, uma licença de publicação é criada para ele.
Essa licença vincula os direitos específicos de utilização
a certa parte do conteúdo, para que o conteúdo possa ser
distribuído. Por exemplo, os usuários podem enviar
documentos protegidos a outros usuários, dentro ou fora da
organização, sem que o conteúdo perca sua proteção.
• Adquirindo licenças para descriptografar o conteúdo
protegido por direito e aplicar diretivas de utilização. Os
usuários que receberam um certificado de conta dos direitos
podem acessar o conteúdo protegido, usando uma aplicação
ativada pelos Serviços de Gerenciamento de Direitos do
Active Directory que permite que eles vejam o conteúdo e
trabalhem com ele. Quando os usuários tentam acessar um
conteúdo protegido, são enviadas requisições aos Serviços
de Gerenciamento de Direitos do Active Directory para que
eles acessem ou usem o conteúdo. Quando um usuário tenta
usar o conteúdo protegido, o serviço de licenciamento dos
Serviços de Gerenciamento de Direitos do Active Directory,
no cluster dos Serviços de Gerenciamento de Direitos do
Active Directory, emite uma licença única de utilização que
lê, interpreta e aplica os direitos e condições
especificados nas licenças de publicação. Os direitos e
condições de utilização são aplicados de forma persistente
e automática a qualquer lugar a que o conteúdo possa ir.
• Criando arquivos e modelos protegidos por direitos. Os
usuários que são entidades confiáveis no sistema dos
Serviços de Gerenciamento de Direitos do Active Directory
podem criar e gerenciar arquivos aprimorados pela proteção,
usando ferramentas conhecidas de autoria de uma aplicação
ativada pelos Serviços de Gerenciamento de Direitos do
Active Directory, que incorpora os recursos de tecnologia
dos Serviços de Gerenciamento de Direitos do Active
Directory. Além disso, as aplicações ativadas pelos
podem usar modelos de utilização centralmente definidos e
oficialmente autorizados para ajudar os usuários a aplicar,
efetivamente, uma série pré-definida de diretivas de
utilização.
Os Serviços de Gerenciamento de Direitos do Active Directory é
feito para ajudar a tornar o conteúdo mais seguro, independente
de para onde ele tenha sido movido.
Os seguintes grupos de profissionais devem analisar esta seção
dos Serviços de Gerenciamento de Direitos do Active Directory:
• Planejadores e analistas de TI que avaliam os produtos de
gerenciamento de direitos na empresa
• Profissionais de TI responsáveis por suportar uma infra-
estrutura existente de RMS


194

• Arquitetos de segurança em TI interessados em implantar uma
tecnologia de proteção às informações que forneça proteção
a todos os tipos de dados
Os Serviços de Gerenciamento de Direitos do Active Directory
conta como Active Directory Domain Services para verificar se o
usuário que tenta usar o conteúdo protegido está autorizado para
fazer isso. Ao registrar um ponto de conexão do serviço (SCP) dos
Serviços de Gerenciamento de Direitos do Active Directory durante
a instalação, o usuário deve ter acesso de Escrita ao container
Services nos Serviços de Domínio do Active Directory.
Por fim, todas as informações de configuração e registro são
armazenadas no Banco de Dados de Registro dos Serviços de
Gerenciamento de Direitos do Active Directory. Em um ambiente de
teste, você pode usar o Banco de Dados Interno do Windows, mas,
em um ambiente de produção, recomenda-se usar um servidor de
banco de dados separado.
Os Serviços de Gerenciamento de Direitos do Active Directory
inclui uma série de melhorias quanto às versões anteriores do
RMS. Essas melhorias incluem o seguinte:
• Instalação aprimorada e experiência em administração. Os
está incluído no Windows Server “Longhorn”, sendo instalado
como uma função de servidor. Além disso, a administração
Directory é feita por um MMC, ao contrário da administração
do Web site apresentada nas versões anteriores.
• Registro automático do cluster dos Serviços de
Gerenciamento de Direitos do Active Directory O cluster
Directory pode ser registrado sem uma conexão com o
Microsoft Enrollment Service. Pelo uso de um certificado de
registro automático do servidor, o processo de registro é
feito totalmente em um computador local.
• Integração com os Serviços Federados do Active Directory Os
Serviços de Gerenciamento de Direitos do Active Directory e
os Serviços Federados do Active Directory foram integrados
para que as empresas possam alavancar relações federadas
existentes para colaborar com os parceiros externos.
• Novas funções administrativas dos Serviços de Gerenciamento
de Direitos do Active Directory. A capacidade de delegar
tarefas dos Serviços de Gerenciamento de Direitos do Active
Directory a diferentes administradores para diferentes
administradores é necessária em qualquer ambiente
corporativo com esta versão dos Serviços de Gerenciamento
de Direitos do Active Directory. Três funções
administrativas foram criadas: Administradores Corporativos
de Serviços de Gerenciamento de Direitos do Active
Directory, Administradores de Modelos de Serviços de
Gerenciamento de Direitos do Active Directory e Auditores
de Serviços de Gerenciamento de Direitos do Active
Directory.

Instalação Aprimorada e Experiência em Administração.

195

Os Serviços de Gerenciamento de Direitos do Active Directory no
Windows Server “Longhorn” traz diversas melhorias para a
experiência de instalação e de administração. Nas versões
anteriores do RMS, um pacote separado de instalação precisava de
download para depois ser instalado, mas, nesta versão, os
Serviços de Gerenciamento de Direitos do Active Directory foi
integrado no sistema operacional e instalado como função de
servidor pelo Server Manager. A configuração e fornecimento são
encontrados pela instalação da função do servidor. Além disso, o
Server Manager lista e instala, automaticamente, todos os
serviços dos quais os Serviços de Gerenciamento de Direitos do
Active Directory é dependente, como o Message Queuing e o Web
Server (IIS), durante a instalação da função de servidor dos
Serviços de Gerenciamento de Direitos do Active Directory.
Durante a instalação, se você não especificar um banco de dados
remoto como os Serviços de Gerenciamento de Direitos do Active
Directory Configuration e Logging, os Serviços de Gerenciamento
de Direitos do Active Directory instala e configura,
automaticamente, o Banco de Dados Interno do Windows para usar
com os Serviços de Gerenciamento de Direitos do Active Directory.
Nas versões anteriores do RMS, a administração era feita por uma
interface da Web. Nos Serviços de Gerenciamento de Direitos do
Active Directory, a interface administrativa foi migrada para um
console snap-in do MMC. O console dos Serviços de Gerenciamento
de Direitos do Active Directory fornece a você todas as
funcionalidades disponíveis, com a versão anterior do RMS, mas
com uma interface muito mais fácil de usar.
Oferecer os Serviços de Gerenciamento de Direitos do Active
Directory como função de servidor incluída com o Windows Server
“Longhorn” torna o processo de instalação menos incômodo, por não
exigir que você faça o download dos Serviços de Gerenciamento de
Direitos do Active Directory separadamente, antes de instalá-lo.
Usar o console dos Serviços de Gerenciamento de Direitos do
Active Directory para a administração, em vez de uma interface de
navegador, torna as opções mais disponíveis para aprimorar a
interface de usuário. O console dos Serviços de Gerenciamento de
Direitos do Active Directory emprega os elementos da interface de
usuário que são consistentes pelo Windows Server “Longhorn,”
sendo mais fácil de seguir e de navegar. Além disso, com o
inclusão das funções administrativas dos Serviços de
Gerenciamento de Direitos do Active Directory, o console dos
Serviços de Gerenciamento de Direitos do Active Directory exibe
apenas as partes que o usuário pode acessar. Por exemplo, um
usuário que está usando a função de administração dos Serviços de
Gerenciamento de Direitos do Active Directory Template
Administrators está restrito a tarefas que são específicas aos
modelos dos Serviços de Gerenciamento de Direitos do Active
Directory. Todas as outras tarefas administrativas não estão
disponíveis no console dos Serviços de Gerenciamento de Direitos
do Active Directory.

Registro automático dos Serviços de Gerenciamento de Direitos do Active
Directory Server

196

O registro do servidor nos Serviços de Gerenciamento de Direitos
do Active Directory é o processo de criação e assinatura de um
certificado de licenciamento de servidor (SLC) que garante ao
servidor dos Serviços de Gerenciamento de Direitos do Active
Directory o direito de emitir certificados e licenças. Nas
versões anteriores do RMS, o SLC tinha de ser assinado por um
Serviço de Registro da Microsoft por meio de uma conexão à
Internet. Isso exigia que o servidor do RMS tivesse conectividade
com a Internet para fazer o registro online no Serviço de
Registro da Microsoft ou fosse capaz de se conectar a outro
computador com acesso à Internet que pudesse fazer o registro
offline no servidor.
Nos Serviços de Gerenciamento de Direitos do Active Directory com
o Windows Server “Longhorn,” o requisito de o servidor dos
contatar-se diretamente com o Serviço de Registro da Microsoft
foi removido. Em vez disso, um certificado
de registro automático do servidor é incluído com o Windows
Server “Longhorn”, que assina o SLC do servidor dos Serviços de
Gerenciamento de Direitos do Active Directory.
Exigir que o SLC seja assinado pelo Serviço de Registro da
Microsoft mostrou uma dependência operacional, que muitos
clientes não queriam em seu ambiente. O Serviço de Registro da
Microsoft não é mais requerido para assinar o SLC.
Em vez disso, para assinar o SLC do servidor dos Serviços de
Gerenciamento de Direitos do Active Directory server, o
certificado de registro automático, incluído com o Windows Server
“Longhorn,” pode assinar o SLC localmente. Esse certificado
permite que os Serviços de Gerenciamento de Direitos do Active
Directory opere em uma rede que seja inteiramente isolada da
Internet.
Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser
atualizado antes do cluster de licenciamento apenas. Isso é
exigido para que o cluster de licenciamento apenas receba o SLC
recém-registrado do cluster raiz.

Integração com os Serviços Federados do Active Directory
As empresas vêm continuamente sentindo a necessidade de colaborar
fora dos seus limites corporativos, procurando a federação como
uma solução possível. O suporte da federação com os Serviços de
Gerenciamento de Direitos do Active Directory irá permitir que as
empresas alavanquem suas relações federadas já estabelecidas para
permitir a colaboração com entidades externas. Por exemplo, uma
organização que tenha implantado os Serviços de Gerenciamento de
Direitos do Active Directory pode definir uma federação com uma
entidade externa, usando os Serviços Federados do Active
Directory, alavancando sua relação para compartilhar conteúdos
protegidos entre duas organizações, sem exigir uma implantação
dos Serviços de Gerenciamento de Direitos do Active Directory nos
dois locais.
Nas versões anteriores do RMS, as opções para colaboração externa
de conteúdo protegido eram limitadas ao Microsoft Passport.
Integrar os Serviços Federados do Active Directory com os
Serviços de Gerenciamento de Direitos do Active Directory fornece

197

a capacidade de estabelecer identidades federadas entre as
organizações e compartilhar conteúdos protegidos por direitos.
Se você está interessado em usar os Serviços Federados do Active
Directory com os Serviços de Gerenciamento de Direitos do Active
Directory, deve ter uma relação de confiança federada entre a sua
organização e os parceiros externos com quem gostaria de
colaborar antes de os Serviços de Gerenciamento de Direitos do
Active Directory ser instalado. Além disso, você deve usar o
cliente dos Serviços de Gerenciamento de Direitos do Active
Directory, incluído com o Windows Vista ou o RMS Client com SP2
para tirar proveito da integração dos Serviços Federados do
Active Directory com os Serviços de Gerenciamento de Direitos do
Active Directory. Os clientes do RMS anteriores ao RMS Client com
SP2 não irão suportar a colaboração dos Serviços Federados do
Active Directory.

Novas funções administrativas dos Serviços de Gerenciamento de
Direitos do Active Directory.
Para delegar um maior controle sobre o seu ambiente dos Serviços
de Gerenciamento de Direitos do Active Directory, foram criadas
novas funções administrativas. Essas funções são grupos de
segurança locais criadas quando os Serviços de Gerenciamento de
Direitos do Active Directory está instalado. Cada uma dessas
funções possui níveis diferentes de acesso aos Serviços de
Gerenciamento de Direitos do Active Directory associado a elas.
As novas funções são: Grupo de Serviços de Gerenciamento de
Direitos do Active Directory, Administradores Corporativos de
Serviços de Gerenciamento de Direitos do Active Directory,
Administradores de Modelos de Serviços de Gerenciamento de
Direitos do Active Directory e Auditores Serviços de
O Grupo Serviços de Gerenciamento de Direitos do Active Directory
mantém a conta do serviço dos Serviços de Gerenciamento de
Direitos do Active Directory. Quando a função dos Serviços de
Gerenciamento de Direitos do Active Directory é adicionada, a
conta de serviço configurada durante a instalação é adicionada
automaticamente à função administrativa.
A função dos Administradores Corporativos de Serviços de
Gerenciamento de Direitos do Active Directory permite que os
membros deste grupo gerenciem todas as diretivas e configurações
dos Serviços de Gerenciamento de Direitos do Active Directory.
Durante o fornecimento dos Serviços de Gerenciamento de Direitos
do Active Directory, a conta de usuário que instala a função dos
Serviços de Gerenciamento de Direitos do Active Directory e o
grupo de administradores locais são adicionados à função dos
Administradores Corporativos de Serviços de Gerenciamento de
Direitos do Active Directory. Como uma melhor prática, os membros
deste grupo devem ser restringidos a apenas contas de usuários
que precisam de controle administrativo total sobre os Serviços
de Gerenciamento de Direitos do Active Directory.


198

Os Administradores de Modelos de Serviços de Gerenciamento de
Direitos do Active Directory permitem que os membros deste grupo
gerenciem os modelos de diretiva de direitos. Especificamente, os
Administradores de Modelos de Serviços de Gerenciamento de
Direitos do Active Directory podem ler as informações do cluster,
listar modelos de diretivas, criar novos modelos de diretivas,
modificar um modelo existente e exportar esses modelos.
A função dos Auditores de Serviços de Gerenciamento de Direitos
do Active Directory permite que os membros deste grupo gerenciem
logs e relatórios. Essa é uma função de somente leitura que é
limitada a ler informações do cluster, ler as configurações de
logging e executar relatórios disponíveis no cluster dos Serviços
de Gerenciamento de Direitos do Active Directory.
As funções administrativas do novos Serviços de Gerenciamento de
Direitos do Active Directory fornecem a oportunidade de delegar
tarefas dos Serviços de Gerenciamento de Direitos do Active
Directory sem fornecer controle total sobre todo o cluster desses
serviços.
Os clientes que querem implantar os Serviços de Gerenciamento de
Direitos do Active Directory em sua organização não precisam
fazer nada para se preparar para essa mudança. De forma opcional,
recomenda-se criar grupos de segurança do Active Directory para
cada uma dessas funções administrativas e adicioná-los aos grupos
de segurança locais. Isso dará a você a capacidade de escalar a
sua implantação dos Serviços de Gerenciamento de Direitos do
Active Directory por meio de diversos servidores, sem precisar
adicionar contas de usuário a cada servidor dos Serviços de


199

Seção 6: Plataforma de
Aplicações e da Web


200

6.01 Introdução à Plataforma de Aplicações e da Web

Este cenário enfoca as melhorias em gerenciamento, segurança,
desempenho e capacidade de extensão que estarão disponíveis
quando o Windows Server® “Longhorn” for implantando no host e
gerenciar aplicações e serviços em execução no servidor e/ou
através da Web.

O Windows Server “Longhorn” fornece uma plataforma mais segura e
fácil de ser gerenciada para o desenvolvimento e hospedagem de
aplicações e serviços executados no servidor e/ou através da Web.
Estas são as principais propostas de valor que a plataforma de
aplicações e da Web oferece:
• Gerenciamento mais eficiente de serviços e aplicações da
Web e do servidor
• Configuração e implantação mais rápidas de serviços e
aplicações da Web em farms de servidores
• Plataforma Web personalizada, dinamizada e mais segura
• Maior desempenho e/ou escalabilidade para serviços e
aplicações da Web
• Controle e visibilidade sobre como e quando os serviços e
aplicações utilizam recursos importantes do sistema
operacional

Nenhum


201

6.02 Internet Information Services 7.0

O Windows Server “Longhorn” fornece uma plataforma unificada para
publicação da Web que integra o IIS, o ASP.NET, o Windows®
Communication Foundation e o Microsoft® Windows SharePoint®
Services. O IIS versão 7.0 é uma importante melhoria para o
servidor Web IIS existente e exerce função central na integração
de tecnologias de plataforma Web.
O IIS 7.0 é construído para ser compatível com os lançamentos
existentes. Espera-se que todas as aplicações ASP, ASP.NET 1.1 e
ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma
mudança de código (usando o suporte de ISAPI compatível).
Todas as extensões ISAPI existentes e a maioria dos filtros ISAPI
também continuarão funcionando, sem mudanças. Entretanto, os
filtros ISAPI que dependem da notificação LER DADOS NÃO
PROCESSADOS não são suportados no IIS 7.0.
Para todas as Interfaces de Serviço do Active Directory® e scripts
WMI existentes, o IIS 7.0 fornecerá paridade de recursos com os
lançamentos anteriores, possibilitando que estes sejam executados
diretamente do novo armazenamento de configuração.
Os principais pilares do lançamento do IIS 7.0 são:
• Modelo de extensibilidade flexível para poderosa
personalização
• Poderosas ferramentas de diagnóstico e resolução de
problemas
• Administração delegada
• Segurança aprimorada e superfície de ataque reduzida por
meio de personalização
• Implantação real de xcopy de aplicações
• Gerenciamento integrado de aplicações e integridade para
serviços WCF
• Ferramentas de administração aprimoradas

Modelo de Extensibilidade Flexível para Personalização Poderosa
O IIS 7.0 permite aos desenvolvedores estender o IIS para
fornecer funcionalidade personalizada de novas e mais poderosas
maneiras. A extensibilidade do IIS 7.0 inclui um conjunto
totalmente novo de interfaces de programação de aplicação (API)
de servidor principal, que permite que os módulos de recursos
sejam desenvolvidos tanto em código nativo (C/C++) como em código
gerenciado (linguagens como C#, e o Visual Basic® 2005, que usa o
.NET Framework).
O IIS 7.0 também permite extensibilidade de configuração,
scripts, registro de eventos e conjuntos de recursos de


202

ferramentas de administração, proporcionando aos desenvolvedores
de software uma plataforma de servidor completa sobre a qual é
possível construir extensões de servidor Web.

Ferramentas Poderosas de Diagnóstico e Resolução de Problemas
O IIS 7.0 possibilita aos desenvolvedores e profissionais de TI
resolver mais facilmente problemas de erros em aplicações e sites
da Web. O IIS 7.0 fornece uma visualização clara das informações
de diagnóstico interno sobre o IIS, além de coletar e apresentar
eventos de diagnóstico detalhados para ajudar a solucionar
problemas com servidores.

Administração Delegada
O IIS 7.0 permite àqueles que hospedam ou administram sites da
Web ou serviços WCF delegar controle administrativo aos
desenvolvedores ou donos do conteúdo, reduzindo assim o custo de
propriedade e os encargos administrativos para o administrador.
Novas ferramentas de administração são fornecidas para suportar
esses recursos de delegação.

Segurança Aprimorada e Superfície de Ataque Reduzida por meio de
Personalização
Você pode controlar quais recursos podem ser instalados e
executados em seu servidor Web. O IIS 7.0 é composto por mais de
40 módulos de recursos diferentes. Cada módulo pode ser instalado
de forma independente no servidor, para reduzir a superfície de
ataque do servidor e diminuir o overhead administrativo onde não
for necessário. Para mais informações sobre os diversos módulos
de recursos, consulte: Módulos do IIS 7.0

Implantação de Xcopy em Aplicações Verdadeiras
O IIS 7.0 permite armazenar as configurações do IIS em arquivos
Web.config, o que torna muito mais fácil usar o comando xcopy
para copiar aplicações em múltiplos servidores Web front-end,
evitando assim a replicação dispendiosa e sujeita a erros, além
de problemas de sincronização manual.

Gerenciamento de Aplicações e Integridade para Serviços WCF
Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF
em diversos protocolos, o Windows Server “Longhorn” inclui o
Windows Activation Service (WAS), que suporta a ativação
conectável de escuta arbitrária de protocolo. O WAS fornece
gerenciamento inteligente de recursos para todos os tipos de
aplicações ativadas por mensagem, ativação de processo por
demanda, monitoramento de integridade, além de detecção e
reciclagem automáticas de falhas. O WAS é baseado no modelo de
processo de solicitação do IIS 6.0.

Ferramentas de Administração Aprimoradas


203

O IIS 7.0 apresenta uma nova interface gráfica e uma nova
ferramenta de linha de comando para o gerenciamento e
administração de servidores Web, sites e aplicações da Web.

Suporte de Gerenciamento Integrado para Serviços da Web
Para aprimorar o desenvolvimento e a hospedagem dos serviços WCF
em diversos protocolos, o Windows Server “Longhorn” inclui o
Windows Activation Service (WAS), que suporta a ativação
conectável de escuta arbitrária de protocolo. O WAS fornece
gerenciamento inteligente de recursos para todos os tipos de
aplicações ativadas por mensagem, ativação de processo por
demanda, monitoramento de integridade, além de detecção e
reciclagem automáticas de falhas. O WAS é baseado no modelo de
processo de solicitação do IIS.

Firewall do Windows Ativado por Padrão
O Firewall do Windows é ativado por padrão no Windows Server
“Longhorn”. Durante a instalação da função do servidor Web (IIS),
o processo de instalação adiciona as seguintes regras de entrada
do Firewall do Windows, para permitir o tráfego de todos os
serviços funcionais selecionados:
• Caso sejam instalados serviços funcionais relacionados a
HTTP e HTTPS, uma regra é adicionada ao Firewall do Windows
para permitir o tráfego para HTTP na porta 80 e para HTTPS
na porta 443. Tais regras aparecem na lista do Firewall do
Windows como Tráfego HTTP de Entrada dos Serviços da World
Wide Web e Tráfego HTTPS de Entrada dos Serviços da World
Wide Web. Essas regras são ativadas automaticamente.
• Caso sejam instalados serviços funcionais relacionados a
FTP, uma regra é adicionada ao Firewall do Windows para
permitir o tráfego para FTP na porta 21. Tal regra aparece
na lista do Firewall do Windows como Tráfego de Entrada do
Servidor FTP. Essa regra é ativada automaticamente.
• Caso seja instalado o Serviço de Gerenciamento, uma regra é
adicionada ao Firewall do Windows para permitir o tráfego
para o serviço na porta 8172. Tal regra aparece na lista do
Firewall do Windows como Tráfego de Entrada do Serviço de
Gerenciamento da Web. Essa regra deve ser ativada pelo
administrador do servidor.

Edições
O IIS 7.0 está disponível em todas as edições do Windows Server.
Não há diferença de funcionalidade entre as edições. O IIS 7.0
está disponível em plataformas de 32 bits e 64 bits.

Configuração
O IIS 7.0 apresenta algumas importantes melhorias na maneira como
os dados de configuração são armazenados e acessados. Um dos
principais objetivos do lançamento do IIS 7.0 é possibilitar a

204

configuração distribuída das configurações do IIS, que permite
aos administradores especificar as configurações do IIS nos
arquivos armazenados com o código e o conteúdo.
A configuração distribuída permite aos administradores
especificar as configurações para um site ou aplicação da Web no
mesmo diretório do código ou conteúdo. Ao especificar as
configurações em um único arquivo, a configuração distribuída
permite aos administradores delegar a administração dos recursos
selecionados de sites ou aplicações da Web de forma que
desenvolvedores de aplicações possam modificar tais recursos. Os
administradores também podem bloquear configurações específicas,
de modo que elas não possam ser alteradas por mais ninguém.
Usando a configuração distribuída, as configurações para um site
ou aplicação específica podem ser copiadas de um computador para
outro, à medida que a aplicação passa do desenvolvimento para
teste e, finalmente, para produção. A configuração distribuída
também permite que a configuração de um site ou aplicação seja
compartilhada através de um farm de servidor, em que todos os
servidores recuperam as configurações e o conteúdo de um servidor
de arquivos.
A configuração do IIS 7.0 é baseada no armazenamento de
configuração existente do .NET Framework, o que possibilita que
as configurações do IIS sejam armazenadas em conjunto com a
configuração do ASP.NET em arquivos Web.config. Essa mudança
fornece um armazenamento de configuração para todas as
configurações da plataforma Web, que podem ser acessadas através
de um conjunto comum de APIs e armazenadas em um formato
homogêneo. O sistema de configuração do IIS 7.0 é também
totalmente extensível, de forma que os desenvolvedores podem
estender o armazenamento de configuração para incluir uma
configuração personalizada com a mesma fidelidade e prioridade da
configuração do IIS.
O IIS 7.0 armazena a configuração global, ou de todo o
computador, no diretório %windir%system32inetsrv, em um arquivo
chamado ApplicationHost.config. Nesse arquivo há dois principais
grupos de seção de configuração:
• system.applicationHost
• system.WebServer
O grupo de seção system.applicationHost contém a configuração
para site, aplicação, diretório virtual e pools de aplicações. O
grupo de seção system.WebServer contém a configuração para todas
as demais configurações, incluindo os padrões globais da Web.
A configuração específica de URL também pode ser armazenada em
ApplicationHost.config usando as tags <location>. O IIS 7.0
também pode fazer leitura e escrita de configuração específica de
URL dentro dos diretórios de código ou conteúdo de sites e
aplicações da Web do servidor nos arquivos Web.config, junto com
a configuração do ASP.NET.

205

Como o Windows Server “Longhorn” é uma nova versão, é possível
que você leve algum tempo para familiarizar-se como as novas
opções de configuração.
Os sites de produção e os serviços WCF que atualmente são
executados através do IIS 6.0 devem ser cuidadosamente testados
antes de passarem para produção no IIS 7.0, embora o IIS 7.0 seja
projetado para ser compatível.
Se você usa scripts de linha de comando personalizados do IIS
6.0, pode precisar convertê-los para o IIS 7.0.

Ferramentas de Administração
O IIS 7.0 apresenta as seguintes ferramentas de administração,
novas e completamente reescritas, para o gerenciamento do IIS:
• GUI (Interface Gráfica do Usuário), IIS Manager
• Ferramenta de linha de comando, appcmd.exe
• Armazenamento de configuração, baseado no armazenamento de
configuração do .NET Framework 2.0, que suporta a edição
direta de configurações
• Provedor WMI que pode ler ou alterar configurações no
armazenamento de configuração
• Interface gerenciada, Microsoft.Web.Administration, que
expõe as mesmas informações exibidas pelo provedor WMI
Além disso, o snap-in MMC do IIS 6.0 também é fornecido com o
Windows Server “Longhorn” para suportar administração remota e
administrar sites FTP.
É possível instalar as ferramentas de administração e os
componentes de servidor Web separadamente.
O IIS 7.0 também inclui um novo provedor WMI que amplia o acesso
a scripts para todas as configurações do IIS e do ASP.NET.
A interface Microsoft.Web.Administration fornece uma interface
gerenciada fortemente tipificada para recuperar os mesmos dados
exibidos pelos scripts WMI.
Os scripts de linha de comando do IIS 6.0 também foram
substituídos por uma nova e poderosa ferramenta de linha de
comando, a appcmd.exe.
As novas ferramentas de administração suportam integralmente a
configuração distribuída e a delegação da responsabilidade
administrativa. A delegação pode ser muito específica, permitindo
ao administrador decidir exatamente quais funções delegar, caso a
caso.
As novas ferramentas de administração suportam integralmente a
nova configuração distribuída do IIS 7.0. Elas suportam o o
acesso delegado (não administrativo) para configuração de sites e
aplicações individuais. As ferramentas de administração suportam


206

credenciais que não sejam do Administrador e nem do Windows para
a autenticação de um site ou aplicação específica e o
gerenciamento de configuração somente para aquele escopo.
A nova interface gráfica do IIS Manager suporta administração
remota de HTTP, permitindo administração contínua local, remota e
mesmo através da Internet, sem requerer DCOM ou que outras portas
administrativas sejam abertas no firewall.
As ferramentas de administração são totalmente extensíveis,
permitindo aos desenvolvedores construir novos módulos de
administração usando o .NET Framework, para se conectarem
facilmente a novos módulos de interface gráfica de administração
que trabalham de forma tão transparente como aqueles que fazem
parte do IIS 7.0.

Núcleo do Servidor Web
O Núcleo do Servidor Web do IIS 7.0 apresenta algumas mudanças
fundamentais em relação ao IIS 6.0. Por exemplo, tanto o código
nativo como o código gerenciado são processados por meio de um
único pipeline de requisições. Além disso, o IIS 7.0 apresenta um
mecanismo de servidor Web onde os componentes, chamados módulos,
podem ser adicionados ou removidos, dependendo da necessidade.
Tais mudanças permitem uma redução significativa na superfície de
ataque, maior extensibilidade e melhoria do suporte para estender
a funcionalidade básica do IIS 7.0, pela criação de módulos de
código gerenciados. O novo núcleo Web de processo de trabalho
também fornece acesso para todos os eventos de notificação no
pipeline de requisição. O nível de integração é sem precedentes,
permitindo que os recursos existentes do ASP.NET (como
autenticação baseada em formulários ou autorização de URL) sejam
usados para todos os tipos de conteúdo da Web.
Em versões anteriores do IIS, toda a funcionalidade era
construída por padrão, e não havia uma maneira fácil de estender
ou substituir tal funcionalidade. Entretanto, o núcleo do IIS 7.0
é dividido em mais de 40 módulos de recursos distintos. O núcleo
também inclui uma nova API do Win32® para construir os módulos
básicos do servidor. Os módulos básicos do servidor são novos e
substitutos mais poderosos dos filtros e extensões ISAPI de
Servidor da Internet, embora tais filtros e extensões sejam ainda
suportados no IIS 7.0.
Como todos os recursos básicos do servidor do IIS foram
desenvolvidos de forma que o IIS 7.0 possa usar a nova API do
Win32® e os módulos de recursos em separado, é possível adicionar,
remover ou mesmo substituir os módulos de recursos do IIS.
O IIS 7.0 também inclui suporte para o desenvolvimento de
extensões básicas do servidor Web usando o .NET Framework. O IIS
7.0 integrou a API IHttpModule existente ao ASP.NET, permitindo
que os módulos de código gerenciados acessem todos os eventos no
pipeline de requisição, para todas as solicitações.


207

Diagnóstico
O IIS 7.0 inclui duas principais melhorias que ajudam no
diagnóstico e na resolução de problemas de sites e aplicações da
Web.
As mudanças no diagnóstico e na resolução de problemas no IIS 7.0
permitem que o desenvolvedor ou o administrador visualize, em
tempo real, as solicitações que estão sendo executadas no
servidor. Agora é possível filtrar condições de erro difíceis de
reproduzir e interromper automaticamente o erro com um registro
de rastreamento detalhado.
O IIS 7.0 inclui uma nova API de Controle e Estado do Tempo de
Execução, que proporciona informações, em tempo real, sobre o
estado de pools de aplicações, processos de trabalho, sites,
domínios de aplicações e ainda sobre solicitações que estão sendo
executadas.
Tais informações são exibidas por meio de uma API COM nativa. A
própria API é agrupada e exibida através do novo provedor WMI do
IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usuários
verifiquem o status do servidor Web de forma mais rápida e fácil,
qualquer que seja o ambiente de gerenciamento utilizado.
O IIS 7.0 também inclui eventos de rastreamento detalhados
durante o caminho de solicitação e resposta, permitindo aos
desenvolvedores rastrear uma solicitação à medida que ela abre
caminho para o IIS, através do pipeline de requisição de processo
do IIS, em qualquer código de nível de página existente, e
retornar para a resposta. Tais eventos de rastreamento detalhados
permitem que os desenvolvedores tenham conhecimento não apenas do
caminho da solicitação e de quaisquer informações de erro que
surjam em decorrência de uma solicitação, como também do tempo
decorrido e de outras informações depuradas, para ajudar na
resolução de todos os tipos de erros e quando um sistema pára de
responder.
Para permitir a coleta desses eventos de rastreamento, o IIS 7.0
pode ser configurado para capturar automaticamente todos os
registros de rastreamento para uma determinada solicitação, com
base no tempo decorrido ou nos códigos de resposta de erros.

Recursos Adicionais
Para mais informações sobre o IIS, consulte o Internet
Information Services no site da Microsoft:
Para mais informações sobre APIs de extensibilidade do IIS,
consulte o SDK do Internet Information Services 7.0 no site da
Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).


208

6.03 Windows Media Services

O Microsoft Windows Media® Services 9 Series é uma plataforma de
nível industrial para transmitir conteúdo de mídia digital
através de redes, ao vivo ou por demanda, que inclui o conteúdo
do Windows Media Audio (WMA) e do Windows Media Video (WMV).
O Windows Media Services pode ser usado para gerenciar um ou mais
servidores Windows Media que fornecem conteúdo de mídia digital
para os seguintes tipos de clientes:
• Computadores ou dispositivos que reproduzem o conteúdo usando
um player, como o Windows Media Player
• Outros servidores Windows Media que atuem como proxy,
armazenem em cache ou redistribuam o conteúdo
• Programas personalizados que foram desenvolvidos usando os
Kits de Desenvolvimento de Software do Windows Media

O Windows Media Services pode ser usado por qualquer pessoa que
deseja fornecer conteúdo de mídia digital para clientes através
de redes (tanto a Internet quanto uma intranet). Os seguintes
tipos de organização consideram o Windows Media Services
especialmente útil:
• Empresas de hospedagem que fornecem uma experiência de
fluxo contínuo rápido aos usuários - seja em casa ou no
escritório
• Empresas nas áreas comercial, educacional ou governo que
gerenciam recursos de rede e fornecem comunicações valiosas
para transmissões corporativas, além de aprendizado,
marketing e vendas on-line
• Empresas com tecnologia sem fio que fornecem serviços de
entretenimento de banda larga sem fio, usando os
escalonáveis e confiáveis servidores Windows Media
• Difusoras da Internet que fornecem conteúdo para rádio,
televisão, cabo ou satélite
• Distribuidoras de filmes e música que fornecem conteúdo de
áudio e vídeo de maneira segura, sem excesso de
armazenamento em buffer ou congestionamento da rede
• Profissionais de IPTV que fornecem uma experiência de IPTV
de alta qualidade em LANs
Como nos lançamentos anteriores, alguns recursos do Windows Media
Services não estão disponíveis em determinadas edições do Windows
Server “Longhorn”. Se a implantação do servidor Windows Media
requerer um recurso específico (por exemplo, o fornecimento de
conteúdo para clientes como o fluxo contínuo multicast), consulte

209

a Comparação de Recursos do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição do
Windows Server “Longhorn” deve ser instalada.
Após a instalação da edição correta do Windows Server “Longhorn”,
a função Serviços de Mídia de Fluxo Contínuo, que inclui o
serviço funcional do Windows Media Services (Administrador do
Windows Media Services) e serviços opcionais (Administrador do
Windows Media Services para a Web e Agente de Log de Difusão
Seletiva e Anúncio), não está disponível para instalação no
Server Manager. Antes de usar o Server Manager para instalar a
função Serviços de Mídia de Fluxo Contínuo, deve-se fazer o
download do Windows Media Services 9 Series. Para mais
informações sobre como instalar a função Serviços de Mídia de
Fluxo Contínuo no Windows Server “Longhorn”, consulte: Instalação
e Configuração da Função Serviços de Mídia de Fluxo Contínuo
Se você ainda não usou o Windows Media Services, recomendamos que
você se familiarize com os conceitos de fluxo contínuo. Um bom
lugar para começar é: Usando o Windows Media Services 9 Series
Nota
Você pode adicionar a função Serviços de Mídia de Fluxo
Contínuo para a instalação do Núcleo do Servidor do Windows
Server “Longhorn”. Para mais informações sobre a opção de
instalação do Núcleo do Servidor do Windows Server
“Longhorn”, consulte o Núcleo do Servidor neste documento.
Para mais informações sobre como adicionar a função
Serviços de Mídia de Fluxo Contínuo ao Núcleo do Servidor
do Windows Server “Longhorn”, consulte: Instalação e
Configuração da Função Serviços de Mídia de Fluxo Contínuo

Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contém um novo plug-in
de Gerenciamento de Cache/Proxy que controla a capacidade do
servidor Windows Media de executar funções de cache e proxy. O
plug-in Cache Proxy do WMS pode ser usado para configurar um
servidor Windows Media como um servidor de cache/proxy que mantém
a largura de banda, reduz a latência imposta pela rede e diminui
a carga sobre o servidor de origem. Esses três fatores reduzem os
custos operacionais e criam uma melhor experiência de
visualização para seus clientes.

Atributos das Listas de Reprodução
Os atributos das listas de reprodução do lado servidor noSkip e
noRecede são agora suportados. Clientes suportados (Windows Media
Player 9 Series ou versões mais recentes) que se conectam a
listas de reprodução do lado servidor enviadas para pontos de
publicação por demanda num servidor Windows Media podem obter


210

avanço, retrocesso, busca ou salto rápidos em toda a mídia. Esses
clientes também podem avançar para a mídia anterior ou seguinte
na lista de reprodução. (Esses controles estão agora ativados no
cliente.)

Fluxo Contínuo de MMS
O protocolo MMS não é suportado para fluxo contínuo e o plug-in
do Protocolo de Controle de Servidor MMS foi removido do
Administrador do Windows Media Services. Observe que embora o
protocolo MMS não seja suportado, o prefixo do MMS (mms://) ainda
é suportado. Quando os clientes que suportam o protocolo RTSP
(Real Time Streaming Protocol) se conectam a um servidor Windows
Media usando uma URL com prefixo mms:// (por exemplo,
mms://server_name/clip_name.wmv), o servidor tentará usar a
sobreposição de protocolos para transferir o conteúdo para o
cliente usando RTSP, para fornecer uma ótima experiência de fluxo
contínuo. Os clientes que suportam RTSP são o Windows Media
Player 9 Series (ou versões mais recentes do Windows Media
Player) ou outros players que usam o Controle ActiveX® do Windows
Media Player 9 Series.
Quando versões anteriores do Windows Media Player, outros players
que não suportam o protocolo RTSP ou players em ambientes que não
sejam de RTSP se conectam ao servidor usando uma URL com prefixo
mms://, o servidor tentará usar a sobreposição de protocolos para
transferir o conteúdo para o cliente usando HTTP.
Para garantir que seu conteúdo esteja sempre disponível para
clientes que se conectam ao seu servidor usando uma URL com
prefixo mms://, ative o plug-in do Protocolo de Controle de
Servidor HTTP do WMS no Administrador do Windows Media Services e
abra portas em seu firewall para todos os protocolos de conexão
que possam ser usados durante a sobreposição de protocolos. Para
mais informações, consulte: Informações sobre Firewall para o
Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).

Configuração de Sistema HTTP do Windows Media Services
Se você usa o Windows Media Services e outro serviço da Web, como
o Microsoft IIS nesse servidor, ambos os serviços tentarão se
conectar à porta 80 para o fluxo contínuo de HTTP. Esse conflito
pode ser evitado ao atribuir uma porta diferente para cada
serviço. Caso um serviço seja atribuído para outra porta que não
a 80, a porta correspondente também deve ser aberta no firewall
da rede. Para mais informações, consulte: Informações sobre
Firewall para o Windows Media Services 9 Series
Como alternativa, pode-se atribuir endereços IP adicionais para o
servidor. Isso possibilita que cada serviço tenha seu próprio
endereço IP e, ao mesmo tempo, compartilhe a porta 80 para o
fluxo contínuo de HTTP. A maneira mais simples para essa execução
é instalar múltiplos adaptadores de rede no servidor. Entretanto,
caso essa solução não seja possível, pode-se criar múltiplos

211

endereços IP em um único adaptador de rede e atribuir-lhes
endereços distintos da porta 80. Em seguida, deve-se configurar o
Windows Media Services e o serviço da Web para se conectarem a
diferentes combinações de endereço IP/porta 80. A ferramenta de
Configuração de Sistema HTTP do Windows Media Services, usada em
versões anteriores do Windows Media Services para atribuir
endereços IP adicionais para os serviços, não está disponível
nesta versão. Agora, a lista de inclusão de IP na pilha de
protocolos HTTP (HTTP.sys) deve ser configurada usando os
aprimorados comandos netsh. Para mais informações, consulte os
comandos Netsh em: Novos Recursos de Rede no Windows Server
“Longhorn” e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).

Configuração do Firewall
Não é mais necessário adicionar o programa Windows Media Services
(Wmserver.exe) como uma exceção no Firewall do Windows para abrir
as portas de entrada padrão para fluxo contínuo unicast. Quando a
função Serviços de Mídia de Fluxo Contínuo é instalada no Windows
Server “Longhorn”, o programa Windows Media Services é
automaticamente adicionado como uma exceção no Firewall do
Windows.

Utilitário de Teste de Fluxo Contínuo
O Server Manager deve ser usado para instalar o recurso
Experiência Desktop antes que o Utilitário de Teste de Fluxo
Contínuo possa ser usado no Administrador do Windows Media
Services.

Início Rápido Avançado
O Início Rápido Avançado minimiza a latência de inicialização no
Windows Media Player 10 (ou versões mais recentes) ou no Windows
CE versão 5.0 (ou versões mais recentes) e é ativado por padrão.
Nas versões anteriores do Windows Media Services, o Início Rápido
Avançado era desativado por padrão.

Qualidade de Serviço
O Windows Media Services foi atualizado para usar as diretivas de
Qualidade de Serviço (QoS) no Windows Server “Longhorn” para
gerenciar o tráfego de saída de rede, em vez de usar o Tipo de
Serviço (ToS) para fornecer fluxo contínuo unicast. Para mais
informações, consulte: Qualidade de Serviço

Implantação
As aplicações projetadas para trabalhar com o Windows Media
Services nos sistemas operacionais Windows anteriores não
requerem mudanças para trabalhar com o Windows Media Services no
Em comparação com a versão anterior, o Windows Media Services não
requer nenhuma melhoria especial na rede ou na infra-estrutura de

212

segurança de sua empresa. Caso o Windows Media Services esteja
sendo instalado no Windows Server “Longhorn” pela primeira vez,
os Requisitos de Sistema do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente.
Nota
Em primeiro lugar, é preciso fazer o download e instalar o
Windows Media Services a partir do site da Microsoft
(http://www.microsoft.com) para o Windows Server “Longhorn”.
O Windows Media Services pode ser implantado em diversos
cenários. Depois da instalação do Windows Media Services,
recomendamos a leitura do Guia de Implantação do Windows Media
Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos
e as recomendações para o cenário de fluxo contínuo.
Alguns recursos do Windows Media Services não estão disponíveis
em determinadas edições do Windows Server “Longhorn“. Se a
implantação do servidor Windows Media requerer um recurso
específico (por exemplo, o fornecimento de conteúdo para clientes
como o fluxo contínuo multicast), consulte a Comparação de
Recursos do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edição do
Windows Server “Longhorn” deve ser instalada.

6.04 Servidor de Aplicação

O Servidor de Aplicação é uma nova função de servidor do Windows
Server “Longhorn“. O Servidor de Aplicação fornece um ambiente
integrado para implantação e execução de aplicações de negócios
personalizadas construídas com o Microsoft .NET Framework versão
3.0 (anteriormente WinFX®). O mesmo ambiente integrado do Servidor
de Aplicação pode ser usado para implantar e executar as
aplicações de legado de sua organização, como as aplicações
construídas para usar COM+, Message Queuing, serviços da Web e
transações distribuídas.
O Servidor de Aplicação fornece os seguintes benefícios:
• Um tempo de execução básico que suporta implantação e
gerenciamento eficazes das aplicações de negócios de alto
desempenho
• O ambiente de desenvolvimento do .NET Framework, que
fornece um modelo de programação simplificado e um modelo
de execução de alto desempenho para aplicações baseadas em
servidor, ativa os serviços da Web e integra as novas
aplicações às aplicações e infra-estrutura existentes
• O Assistente para Adicionar Funções, fácil de usar, que
ajuda a escolher os serviços funcionais e os recursos
necessários para executar as aplicações


213

• Instalação automática de todos os recursos necessários para
um determinado serviço funcional
Um ambiente do Servidor de Aplicação pode incluir, dentre outros,
o que segue:
• Computadores clientes conectados por domínio e seus
usuários
• Computadores conectados a uma intranet ou à Internet num
ambiente de serviços da Web
• Servidores que interoperam em plataformas e sistemas
operacionais distintos
• Servidores que hospedam aplicações construídas com o .NET
Framework 3.0
• Servidores que hospedam aplicações construídas para usar
COM+, Message Queuing, serviços da Web e transações
distribuídas
• Servidores múltiplos que hospedam múltiplos bancos de dados
em uma rede
O Servidor de Aplicação é uma nova função de servidor instalada
através do Assistente para Adicionar Funções no Server Manager.
Os administradores que implantam aplicações LOB construídas com o
.NET Framework 3.0 descobrirão que a instalação de um ambiente de
hospedagem para aplicações se torna mais simples com essa função
de servidor. O Assistente para Adicionar Funções orienta o
administrador através do processo de seleção dos serviços
funcionais ou do suporte dos recursos necessários para executar
as aplicações.

Núcleo do Servidor de Aplicação
O Núcleo do Servidor de Aplicação é o grupo de tecnologias
instaladas por padrão quando a função Servidor de Aplicação é
instalada. Basicamente, o Núcleo do Servidor de Aplicação é o
.NET Framework 3.0.
O Windows Server “Longhorn” inclui o .NET Framework 2.0, seja
qual for a função de servidor instalada. O .NET Framework 2.0
contém o CLR, que fornece um ambiente de execução de código que
promove a execução segura do código, implantação de código
simplificada e suporte para a interoperabilidade de múltiplas
linguagens.
O Núcleo do Servidor de Aplicação acrescenta os recursos do .NET
Framework 3.0 aos recursos básicos do .NET Framework 2.0. Para
mais informações sobre o .NET Framework 3.0, consulte: .NET
Framework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263).
Os principais componentes do Núcleo do Servidor de Aplicação são
instalados como um conjunto de bibliotecas e montagens do .NET.
Os principais componentes do Núcleo do Servidor de Aplicação são:


214

• Windows Communication Foundation (WCF)
• Windows Workflow Foundation (WF)
• Windows Presentation Foundation (WPF)
Os componentes mais importantes para as aplicações baseadas em
servidor são o WCF e o WF. O WPF é usado principalmente em
aplicações baseadas em cliente.
O WCF é o modelo de programação unificado da Microsoft para
construir aplicações que usam os serviços da Web para se
comunicarem entre si. Essas aplicações também são conhecidas como
aplicações orientadas para serviços. Os desenvolvedores podem
usar o WCF para construir aplicações transacionadas mais seguras
e confiáveis, que se integram às plataformas e interoperam com os
sistemas e aplicações existentes. Para mais informações sobre o
WCF, consulte: O que é o Windows Communication Foundation?
O WF é o mecanismo e modelo de programação para construir
rapidamente aplicações ativadas por fluxo de trabalho no Windows
Server “Longhorn”. Um fluxo de trabalho é um conjunto de
atividades que descrevem um processo no mundo real. O fluxo de
trabalho é comumente descrito e visualizado graficamente – como
um fluxograma. A descrição do fluxo de trabalho é com freqüência
chamada de modelo. Os trabalhos passam pelo modelo de fluxo de
trabalho do início ao fim.
Os trabalhos ou atividades dentro do modelo podem ser executados
por pessoas, sistemas ou computadores. Embora seja possível
descrever um fluxo de trabalho em linguagens de programação
tradicionais como uma série de etapas e condições, para fluxos de
trabalho mais complexos ou que suportam revisões mais simples, em
geral é muito mais apropriado projetar graficamente o fluxo de
trabalho e armazenar o projeto como um modelo.
Além de permitir a modelagem gráfica dos fluxos de trabalho, o WF
também possibilita a execução dos modelos de fluxo de trabalho.
Após a compilação do modelo de fluxo de trabalho, ele pode ser
executado em qualquer processo do Windows, inclusive aplicações
baseadas em cliente, como aplicações de console e aplicações de
formulários gráficos do Windows, ou aplicações baseadas em
servidor, incluindo o Windows Services, sites do ASP.NET e
serviços da Web do WCF.
O WF fornece suporte para fluxo de trabalho humano e de sistemas
em uma variedade de cenários, incluindo os seguintes:
• Fluxo de trabalho em aplicações LOB
• Fluxo seqüencial de telas, páginas e caixas de diálogo como
apresentadas ao usuário em resposta à interação do usuário
com a interface gráfica
• Fluxo de trabalho centralizado em documentos


215

• Fluxo de trabalho humano
• Fluxo de trabalho composto para aplicações orientadas para
serviços
• Fluxo de trabalho direcionado às regras de negócios
• Fluxo de trabalho para gerenciamento de sistemas
O Servidor de Aplicação é essencialmente novo para o Windows
Server “Longhorn”. A nova função Servidor de Aplicação disponível
no Windows Server “Longhorn” não é uma atualização das
tecnologias de servidor de aplicações que possam ter sido
instaladas anteriormente como parte do Windows Server 2003 ou de
sistemas operacionais anteriores. Como a funcionalidade é
completamente nova, os administradores devem estar cientes de que
não há caminho de migração do Windows Server 2003 ou de sistemas
operacionais anteriores para o Application Server.
Caso um servidor do Windows Server 2003 ou de um sistema
operacional anterior seja atualizado para o Windows Server
“Longhorn”, a função Application Server também deverá ser
reinstalada, usando o Assistente para Adicionar Funções no Server
Manager.
Como parte da preparação para instalação da nova função Servidor
de Aplicação, crie um inventário das aplicações que serão
executadas nesse servidor. Se você for um administrador, trabalhe
com seus desenvolvedores para identificar as tecnologias e
configurações suportadas que devem estar presentes no servidor
para executar as aplicações. Em seguida, organize essas
tecnologias para os serviços funcionais descritos nas próximas
seções, de forma que você possa selecionar e configurar
adequadamente os serviços durante a instalação da função de
servidor.

Servidor Web
Essa opção instala o IIS versão 7.0, o servidor Web construído no
Windows Server “Longhorn“. O IIS fornece os seguintes benefícios:
• Ativa o Servidor de Aplicação para hospedar sites ou
serviços internos e externos com conteúdo fixo ou dinâmico.
• Fornece suporte para a execução de aplicações ASP.NET
acessadas de um navegador da Web.
• Fornece suporte para a execução de serviços da Web
construídos com o Microsoft ASP.NET ou o WCF.

COM+ Network Access
Essa opção adiciona o COM+ Network Access para chamada remota de
aplicações construídas ou hospedadas em COM+ e componentes do
Enterprise Services. O COM+ Network Access é um dos recursos de
chamada remota do Windows Server “Longhorn”. Aplicações mais
recentes podem usar o WCF para suportar chamadas remotas.


216

Serviço de Ativação de Processos no Windows
Essa opção adiciona o Serviço de Ativação de Processos no Windows
(WAS - Windows Process Activation Service). O WAS pode iniciar e
finalizar aplicações de forma dinâmica, baseado em mensagens
recebidas da rede através de HTTP, Message Queuing, TCP e os
chamados protocolos de canalização.

Compartilhamento de Porta TCP
Essa opção adiciona o Compartilhamento de Porta TCP (TCP Port
Sharing). Esse serviço funcional possibilita que múltiplas
aplicações HTTP usem uma única porta TCP. Quando esse serviço
funcional é instalado como parte da função Servidor de Aplicação,
múltiplas aplicações WCF podem compartilhar uma única porta para
receber mensagens da rede. Isso pode ajudar a limitar a área de
superfície potencialmente aberta para ataques, já que o
administrador abre apenas uma porta nos firewalls.
O serviço funcional trabalha aceitando conexões que usam o
protocolo Net.Tcp. O serviço então transfere automaticamente as
mensagens de entrada para os diversos serviços WCF com base no
conteúdo das mensagens. Isso simplifica o gerenciamento dos
servidores de aplicações quando muitas ocorrências de uma mesma
aplicação estão sendo executadas.

Transações Distribuídas
Essa opção ativa as transações distribuídas, que ajudam a
assegurar transações completas e bem-sucedidas em múltiplos
bancos de dados hospedados em diversos computadores em uma rede.


217

6.05 NTFS Transacional

O sistema de arquivos NTFS Transacional e o Registro
Transacional, a tecnologia transacional do kernel no Windows
Server “Longhorn”, foram aprimorados para coordenar seu trabalho
por meio de transações. Como as transações são necessárias para
preservar a integridade dos dados e lidar com condições de erro
de forma confiável, o NTFS Transacional pode ser usado para
desenvolver soluções poderosas para sistemas executados no
Windows.
O NTFS Transacional permite que as operações de arquivos em um
volume de sistema de arquivos NTFS sejam executadas de forma
transacional. Isso fornece suporte para todas as propriedades
ACID (atômica, consistente, isolada e durável) das transações.
Por exemplo, você pode agrupar conjuntos de arquivos e operações
de registro com uma transação, de forma que todos obtenham
sucesso ou nenhum obtenha sucesso. Embora a transação seja ativa,
as mudanças não são vísiveis para leitura fora da transação.
Mesmo que ocorra falha no sistema, o trabalho iniciado é gravado
no disco e o trabalho transacional incompleto é restabelecido.
As transações usadas com o sistema de arquivos ou registro podem
ser coordenadas com qualquer outro recurso transacional, como o
SQL Server™ ou MSMQ. A linha de comando foi extendida com o
comando Transact para permitir scripts simples de linha de
comando usando transações.
O NTFS Transacional destina-se aos profissionais de TI que
precisam de uma maneira de garantir que determinadas operações de
arquivos sejam finalizadas sem interrupção ou possíveis erros.
O NTFS Transacional fornece a seguinte funcionalidade:
• NTFS Transacional integrado a COM+. O COM+ é estendido para
usar as APIs do Windows NT para ligar automaticamente o
equivalente da transação COM+ do Windows NT® ao thread em
que um objeto é programado. Portanto, as aplicações que
usam o modelo de transação COM+ podem simplesmente
especificar uma propriedade de objeto adicional que indica
a intenção de acesso do arquivo transacional. As aplicações
de legado que usam o modelo COM+ que não especificarem essa
propriedade adicional acessarão os arquivos sem usar o NTFS
Transacional.
• Cada volume NTFS é um gerenciador de recursos. Uma
transação que transpõe múltiplos volumes é coordenada pelo
Kernel Transaction Manager (KTM). Compatível com a
arquitetura do Windows NT, esse recurso fornece suporte
para recuperação independente de volume do Windows NT. Por
exemplo, um sistema pode ser reinicializado com alguns dos
volumes “perdidos”, sem afetar a recuperação de outros
volumes.


218

• Um identificador de arquivos pode ser fechado antes da
confirmação ou interrupção da transação. Em geral, a
confirmação ou interrupção é executada por um thread
totalmente diferente daquele que executou o trabalho de
arquivo. Espera-se que os identificadores transacionais
sejam usados apenas enquanto a transação estiver ativa. O
sistema marca os identificadores como inativos depois que a
transação é finalizada. A tentativa de modificar o arquivo
é fracassada e o sistema apresenta uma mensagem de erro.
• Um arquivo pode ser visualizado como uma unidade de
armazenamento. Atualizações parciais e sobregravações de
arquivo completas são suportadas. Não se espera que
transações múltiplas modifiquem partes do arquivo ao mesmo
tempo – isso não é suportado.
• A E/S mapeada na memória trabalha de forma transparente e
compatível com a E/S regular de arquivos. O único trabalho
adicional necessário é que a aplicação esvazie e feche uma
seção aberta antes de confirmar uma transação. Falhas nesse
procedimento resultarão em mudanças parciais na transação.
• O acesso a um arquivo remoto por meio do serviço SMB e do
WebDAV (Web-Based Distributed Authoring and Versioning) é
suportado de forma transparente. O contexto da transação é
transmitido automaticamente pelo sistema ao nó remoto. A
própria transação é distribuída e coordenada para
confirmação ou interrupção. Isso permite que as aplicações
sejam distribuídas para múltiplos nós com um alto grau de
flexibilidade. Esse é um recurso poderoso, já que permite
transferências transacionais de arquivos na rede, imitando
uma forma de mensageria transacional.
• Cada volume possui seu próprio log. O formato comum de log
é usado para fornecer recuperação e interrupções. O formato
comum de log também constrói um meio comum de registro de
transações do Windows para ser usado por outros
armazenamentos.


219

Seção 7: Gerenciamento de
Servidores

7.03 Server Manager ............................................224


220

7.01 Introdução ao Gerenciamento de Servidores

Este cenário se concentra em ferramentas, tecnologias e opções de
instalação disponíveis para uso no Windows Server® “Longhorn”,
para melhorar a experiência de gerenciamento de servidores únicos
e múltiplos dentro de uma empresa.
Para a administração local de um servidor único, o Server Manager
é um Console de Gerenciamento integrado da Microsoft® que oferece
aos profissionais de TI uma experiência integrada e contínua para
adicionar, remover e configurar funções de servidor, serviços e
recursos das funções. Ele também atua como um portal para
gerenciamento, monitoramento e operações de servidor constantes,
expondo tarefas de gerenciamento importantes com base na função
do servidor, e fornecendo acesso a ferramentas avançadas de
administração.
Em empresas maiores, o gerenciamento de servidores múltiplos pode
ser automatizado com o Windows PowerShell™, que consiste de um
novo shell de linha de comando e linguagem de script projetado
especificamente para automatizar as tarefas de administração para
funções de servidor, tais como IIS e Active Directory®.
Os profissionais de TI também podem usar a ferramenta Windows®
Remote Shell (WinRS) para gerenciar os servidores remotamente ou
para obter dados de gerenciamento através dos objetos Windows
Remote Management (WinRM) e Windows Management Instrumentation
(WMI) nos servidores remotos. WinRM é um novo protocolo de acesso
remoto baseado nos Serviços da Web de padrão DMTF para
Gerenciamento.
O Núcleo do Servidor fornece uma opção de instalação mínima para
certas funções de servidor, oferecendo uma memória de servidor e
uma superfície de ataque menor, para reduzir as necessidades de
gerenciamento e serviços.

Proposta de Valores do Cenário
As principais propostas de valores que o gerenciamento de
servidores oferece são:
• Realizar configuração inicial de um servidor local através
de uma única interface
• Adicionar e remover funções e recursos de servidor de modo
mais seguro e confiável
• Examinar o estado de função de servidor, realizar tarefas
de gerenciamento importantes e acessar ferramentas
avançadas de gerenciamento a partir de uma única ferramenta
de gerenciamento local
• Automatizar a administração de servidores múltiplos através
de uma linguagem de script orientada a tarefas


221

• Acelerar a autoria, os testes e a depuração de scripts e
escrever as ferramentas do cliente em um novo ambiente de
shell de comando
• Realizar o gerenciamento de servidores locais e remotos
através do acesso a múltiplos armazenamentos de
gerenciamento de dados, tais como WMI, ADSI, COM,
Certificados, Registro e arquivos de configuração XML
• Reduzir as necessidades de gerenciamento e serviços,
melhorando, ao mesmo tempo, a confiabilidade e a segurança

Nenhum


222

7.02 Tarefas de Configuração Inicial

A janela de Tarefas de Configuração Inicial é um novo recurso do
Windows Server “Longhorn” que abre automaticamente depois que o
processo de instalação do sistema operacional é completado, e
ajuda o administrador a terminar a instalação e a configuração
inicial de um novo servidor. Ele inclui tarefas como configurar a
senha do Administrador, alterar o nome da conta do Administrador
para melhorar a segurança de seu servidor, vincular o servidor a
um domínio existente, ativar a Área de trabalho Remota para o
servidor, e ativar o Windows Update e o Firewall do Windows.
Antes do Windows
Server “Longhorn”, a
instalação do sistema
operacional de classe
de servidor do
Windows pausava para
que os
administradores
fornecessem
informações sobre sua
conta, domínio e
rede. O feedback
indica que essa
prática tornava lento
o processo de
implantação do
sistema operacional e
servidor, pois a
conclusão da instalação do sistema operacional seria adiada até
que os administradores respondessem aos avisos e fornecessem as
informações.

As Tarefas de Configuração Inicial permitem aos administradores
adiar essas tarefas até que a instalação esteja completa, o que
significa menos interrupções durante a instalação.
Além disso, como a ativação do produto pode ser feita dentro de
um período de tolerância (normalmente 30 dias), e não é essencial
para a configuração inicial do servidor, o comando Ativar Seu
Servidor, presente na janela Gerenciar Seu Servidor no Windows
Server 2003, foi removido das Tarefas de Configuração Inicial.
Os comandos Adicionar Funções e Adicionar Recursos na janela
Tarefas de Configuração Inicial permite que você comece a
adicionar funções e recursos ao seu servidor imediatamente.
A janela Tarefas de Configuração Inicial ajuda o administrador a
configurar um servidor e reduzir o tempo entre a instalação do
sistema operacional e a implantação do servidor em uma empresa.


223

Ela permite que o administrador especifique, de maneira lógica,
as configurações do sistema operacional que foram previamente
expostas na Instalação do Windows Server 2003, tais como a conta
do Administrador, informações sobre o domínio, e configurações de
rede.
A janela Tarefas de Configuração Inicial também permite que você
participe dos seguintes programas que fornecem um feedback
anônimo à Microsoft sobre o desempenho do software em sua
empresa:
• Programa de Aperfeiçoamento da Experiência do Cliente com o
Windows Server
• Relatório de Erros do Windows

Configurações Padrão nas Tarefas de Configuração Inicial
Configuração Configuração Padrão
Senha do O padrão é que a senha da conta do Administrador fique
Administrador em branco.
Nome do computador O nome do computador é atribuído de modo randômico
durante a instalação. Você pode modificar o nome do
computador usando comandos na janela Tarefas de
Configuração Inicial.
Membros do domínio O computador não é vinculado a um domínio por padrão; é
vinculado a um grupo de trabalho chamado WORKGROUP.
Windows Update O Windows Update é desligado por padrão.
Conexões de rede Todas as conexões de rede são programadas para obter
endereços de IP automaticamente usando o DHCP.
Firewall do Windows O Firewall do Windows é ligado por padrão.
Funções instaladas Nenhuma função é instalada por padrão.


224

7.03 Server Manager

O Windows Server “Longhorn” facilita a tarefa de gerenciar e
proteger múltiplas funções de servidor em uma empresa com o novo
console Server Manager (Gerenciador de Servidor). O Server Manager
no Windows Server “Longhorn” fornece uma única fonte para gerenciar
a identidade e as informações do sistema de um servidor, exibir o
estado do servidor, identificar problemas na configuração de
funções do servidor, e gerenciar todas as funções instaladas no
servidor.
O Server Manager
substitui vários
recursos incluídos no
Windows Server 2003,
inclusive o Gerenciar
Seu Servidor,
Configurar Seu
Servidor, e Adicionar
ou Remover Componentes
do Windows.
O Server Manager também
elimina a necessidade
de o administrador
executar o Assistente
de Configuração de
Segurança antes de
implantar os
servidores; as funções do servidor são configuradas com
configurações de segurança recomendadas por padrão, e estão prontas
para implantar assim que instaladas e configuradas adequadamente.
O Server Manager é um MMC expandido que permite visualizar a
gerenciar virtualmente todas as informações e ferramentas que
afetam a produtividade de seu servidor. Os comandos do Server
Manager permitem que você instale ou remova funções e recursos do
servidor, e aumente funções já instaladas no servidor adicionando
serviços de função.
O Server Manager torna a administração do servidor mais eficiente,
por permitir que os administradores façam o seguinte com uma única
ferramenta:
• Visualizar e fazer alterações nas funções e recursos
instalados no servidor
• Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional do servidor, tais como iniciar ou parar serviços
e gerenciar contas de usuário local
• Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional das funções instaladas no servidor


225

• Determinar o estado do servidor, identificar eventos críticos
e analisar e resolver problemas ou falhas de configuração
• Instalar ou remover funções, serviços de função e recursos
usando uma linha de comando do Windows
O Server Manager foi projetado para fornecer os melhores
benefícios a qualquer um dos seguintes profissionais de TI:
• Um administrador, planejador ou analista de TI que está
avaliando o Windows Server “Longhorn”
• Um planejador ou designer de TI corporativo
• Um “early adopter” do Windows Server “Longhorn”
• Um arquiteto de TI responsável pelo gerenciamento e
segurança dos computadores de uma organização
Antes de usar o Server Manager, é recomendável que você se
familiarize com as funções, terminologia, requisitos e tarefas
diárias de gerenciamento de qualquer função que planeja instalar
em seu servidor. Para informações mais detalhadas sobre funções
de servidor, veja o TechCenter do Windows Server
O Server Manager é instalado por padrão como parte do processo de
instalação do Windows Server “Longhorn”. Para usar o Server
Manager, você deve fazer logon no computador como membro do grupo
de Administradores no computador local.

Funções
Embora a adição e remoção de funções e recursos de servidor não
representem algo novo, o Server Manager unifica a funcionalidade
de múltiplas ferramentas anteriores em uma única interface de
usuário, simples e baseada em MMC.
Funções e recursos instalados com o Server Manager são ativados
por padrão, para maior segurança. Os administradores não precisam
executar o Assistente de Configuração de Segurança após a
instalação ou remoção de funções, a menos que queiram alterar
configurações padrão.
O Server Manager fornece um único ponto de acesso a snap-ins de
gerenciamento para todas as funções instaladas. Adicionar uma
função automaticamente cria
uma página inicial de
console de gerenciamento no
Server Manager para essa
função, que exibe eventos e
estado de todos os serviços
que fazem parte da função.
Serviços ou sub-componentes
de uma função são listados em uma seção desta página. Os
administradores podem abrir assistentes para adicionar ou remover
serviços de função usando comandos desta página inicial.


226

Uma função de servidor descreve a função primária do servidor. Os
administradores podem optar por dedicar um computador inteiro a
uma função de servidor, ou instalar múltiplas funções de servidor
em um único computador. Cada função pode incluir um ou mais
serviços de função, melhor descritos como sub-elementos de uma
função. As seguintes funções de servidor estão disponíveis no
Windows Server “Longhorn”, e podem ser instaladas e gerenciadas
com o Server Manager.

Funções de Servidor no Server Manager
Nome da Função Descrição
Serviços de Os Serviços de Certificado do Active Directory fornecem
Certificado do serviços personalizáveis para criar e gerenciar certificados de
Active chave pública usados em sistemas de segurança de software,
Directory empregando tecnologias de chave pública. As organizações podem
usar os Serviços de Certificado do Active Directory para
melhorar a segurança vinculando a identidade de uma pessoa,
dispositivo ou serviço a uma chave privada correspondente. Os
Serviços de Certificado do Active Directory também incluem
recursos que permitem gerenciar o registro e a revogação do
certificado em uma variedade de ambientes escalonáveis.
As aplicações suportadas pelos Serviços de Certificado do
Active Directory incluem Secure/Multipurpose Internet Mail
Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema
de Arquivos Encriptados (EFS), logon de cartões inteligentes,
SSL/TLS e assinaturas digitais.
Serviços de Os Serviços de Domínio do Active Directory armazenam
Domínio do informações sobre usuários, computadores e outros dispositivos
Active na rede. Os Serviços de Domínio do Active Directory ajudam os
Directory administradores a gerenciar com mais segurança essas
informações e facilitam o compartilhamento de recursos e a
colaboração entre usuários. Os Serviços de Domínio do Active
Directory também precisam ser instalados na rede para instalar
aplicações ativadas para diretório, tais como o Microsoft
Exchange Server e para aplicar outras tecnologias do Windows
Server como a Diretiva de Grupo.
Serviços de Os Serviços de Federação do Active Directory fornecem
Federação do tecnologias de logon único da Web para autenticar um usuário
Active para múltiplas aplicações da Web usando uma única conta de
Directory usuário. Os Serviços de Federação do Active Directory realizam
isso federando ou compartilhando, de modo seguro, identidades
de usuário e direitos de acesso, nos pedidos digitais ou
formulários, entre organizações parceiras.
Serviços de As organizações que têm aplicações que requerem um diretório
Domínio do para armazenar dados de aplicações podem usar os Serviços de
Active Domínio do Active Directory Lightweight como armazenamento de
Directory dados. Os Serviços de Domínio do Active Directory Lightweight
Lightweight funcionam como um serviço de sistema não operacional e, como
tal, não requer implantação em um controlador de domínio. O
funcionamento como serviço de sistema não operacional permite
que múltiplas instâncias dos Serviços de Domínio do Active
Directory Lightweight sejam executadas simultaneamente em um
único servidor, e que cada instância possa ser configurada
independentemente para prestar serviços a múltiplas aplicações.
Serviços de Os Serviços de Gerenciamento de Direitos do Active Directory
Gerenciamento são uma tecnologia de proteção de informações que trabalha com
de Direitos do aplicações ativadas para esses serviços, para ajudar a proteger
Active informações digitais contra o uso não autorizado. Os
Directory proprietários do conteúdo podem definir exatamente como um
recipiente pode usar as informações, como quem pode abrir,
modificar, imprimir, encaminhar ou usar outros procedimentos
com as informações. As organizações podem criar modelos de
direitos de uso personalizados como “Confidencial – Somente
Leitura”, que podem ser aplicados diretamente a informações
como relatórios financeiros, especificações do produto, dados


227

de clientes e mensagens de e-mail.
Application O Application Server (Servidor de Aplicações) fornece uma
Server solução completa para hospedar e gerenciar aplicações de
negócios de alto desempenho distribuídas. Serviços integrados,
tais como .NET Framework, Suporte a Servidor da Web,
Enfileiramento de Mensagens, COM+, Windows Communication
Foundation e suporte a Clustering Failover impulsionam a
produtividade durante todo o ciclo de vida da aplicação, desde
o projeto e o desenvolvimento até a implantação e as operações.
Servidor de O DHCP permite que os servidores atribuam ou aluguem endereços
Protocolo de de IP a computadores e outros dispositivos ativados como
Configuração clientes de DHCP. A implantação de servidores de DHCP na rede
Dinâmica de fornece automaticamente, aos computadores e outros dispositivos
Host (DHCP) de rede baseados em TCP/IP, endereços de IP válidos e os
parâmetros de configuração adicionais de que esses dispositivos
precisam, chamados opções de DHCP, que lhes permitem conectar-
se a outros recursos de rede, tais como servidores DNS,
servidores WINS e roteadores.
Servidor DNS O DNS fornece um método padrão para associar nomes a endereços
de Internet numéricos. Isso possibilita aos usuários o acesso a
computadores da rede através de nomes fáceis de lembrar, em vez
de uma longa série de números. Os Serviços de DNS podem ser
integrados a serviços de DHCP no Windows, eliminando a
necessidade de adicionar registros de DNS quando os
computadores são adicionados à rede.
Servidor de O Servidor de Fax envia e recebe fax, e permite gerenciar
Fax recursos de fax como tarefas, configurações, relatórios e
dispositivos de fax nesse computador ou na rede.
Serviços de Os Serviços de Arquivo fornecem tecnologias para gerenciamento
Arquivo de armazenamentos, replicação de arquivos, gerenciamento de
espaços de nomes distribuídos, busca rápida de arquivos e
acesso dinamizado de cliente aos arquivos.
Serviços de Os Serviços de Acesso e Diretiva de Rede oferecem uma variedade
Acesso e de métodos para fornecer aos usuários conectividade à rede
Diretiva de remota e local, para conectar-se a segmentos da rede, e para
Rede permitir que os administradores da rede gerenciem centralmente
o acesso à rede e as diretivas de integridade do cliente. Com
os Serviços de Acesso à Rede, você pode implantar servidores de
VPN, servidores de conexão discada, roteadores e acesso sem fio
protegido 802.11. Você também pode implantar servidores e
proxies RADIUS, e usar o Kit de Administração de Gerenciador de
Conexão para criar perfis de acesso remoto que permitem aos
computadores cliente conectar-se à sua rede.
Serviços de Os Serviços de Impressão ativam o gerenciamento de servidores
Impressão de impressão e impressoras. Um servidor de impressão reduz a
carga de trabalho administrativa e de gerenciamento através da
centralização de tarefas de gerenciamento de impressoras.
Serviços de Os Serviços de Terminal fornecem tecnologias que permitem aos
Terminal usuários acessar programas baseados em Windows que estão
instalados em um servidor de terminal, ou acessar a própria
área de trabalho do Windows a partir de quase todos os
dispositivos de computação. Os usuários podem conectar-se a um
servidor de terminal para executar programas e para usar
recursos de rede nesse servidor.
Serviço O Serviço UDDI fornece capacidades de UDDI para compartilhar
Universal de informações sobre serviços da Web dentro do intranet de uma
Descrição, organização, entre parceiros de negócios em um extranet ou na
Descoberta e Internet. O Serviço UDDI pode ajudar a melhorar a produtividade
Integração de desenvolvedores e profissionais de TI com aplicações mais
(UDDI) confiáveis e gerenciáveis. Com o Serviço UDDI você pode evitar
a duplicação de esforços promovendo a reutilização do trabalho
de desenvolvimento existente.
Servidor Web O Servidor Web (IIS) ativa o compartilhamento de informações na
(IIS) Internet, em um intranet ou um extranet. É uma plataforma da
Web unificada que integra IIS 7.0, ASP.NET, Windows
Communication Foundation e Windows SharePoint® Services. O IIS
7.0 também oferece maior segurança, diagnósticos simplificados


228

e administração delegada.
Serviços de Você pode usar os Serviços de Implantação do Windows para
Implantação do instalar e configurar os sistemas operacionais do Microsoft
Windows Windows remotamente em computadores com ROMs de inicialização
do Ambiente de Pre-boot Execution (PXE). O overhead de
administração é reduzido através da implementação do snap-in
WdsMgmt MMC, que gerencia todos os aspectos dos Serviços de
Implantação do Windows. Os Serviços de Implantação do Windows
também fornecem aos usuários finais uma experiência consistente
com a Instalação do Windows.
Windows A função Windows SharePoint Services ajuda as organizações a
SharePoint aumentar a produtividade criando sites em que os usuários podem
Services colaborar com documentos, tarefas e eventos, e compartilhar
facilmente contatos e outras informações. O ambiente foi
projetado para implantação, desenvolvimento de aplicações e
administração flexíveis.

O seguinte gráfico mostra a página inicial da função Serviços de
Arquivo no Server Manager.

Recursos
Recursos, de modo geral, não descrevem a função primária de um
servidor. Eles fornecem funções auxiliares ou de suporte aos
servidores. Normalmente, os administradores adicionam recursos
não como a função primária de um servidor, mas para aumentar a
funcionalidade das funções instaladas.
Por exemplo, o Clustering Failover é um recurso que os
administradores podem instalar após a instalação de certas
funções de servidor, como os Serviços de Arquivo, para adicionar


229

redundância aos Serviços de Arquivo e diminuir o tempo de
recuperação de possíveis desastres.
Os seguintes recursos estão disponíveis no Windows Server
“Longhorn”, e podem ser instalados usando comandos do Server
Manager.

Recursos no Server Manager
Nome do Descrição
Recurso
Recursos do O Microsoft .NET Framework 3.0 combina a potência das APIs do
Microsoft .NET .NET Framework 2.0 com novas tecnologias para construir
Framework 3.0 aplicações que oferecem interfaces de usuário atraentes, ajudam
a proteger as informações de identidade pessoal de seus
clientes, ativam a comunicação contínua e mais segura, e
fornecem a habilidade de modelar uma série de processos de
negócios.
Criptografia A Criptografia da Unidade BitLocker™ ajuda a proteger dados em
da Unidade computadores perdidos, roubados ou encerrados inadequadamente,
BitLocker criptografando todo o volume e verificando a integridade de
componentes de inicialização antecipada. Os dados são
decriptografados apenas se esses componentes forem verificados
com sucesso e a unidade criptografada estiver localizada no
computador original. A verificação de integridade requer um
módulo de TPM (trusted platform module) compatível.
Extensões do As Extensões do Servidor de Serviço de Transferência
Servidor BITS Inteligente de Segundo Plano (BITS) permitem que um servidor
receba arquivos carregados por clientes usando o BITS. O BITS
permite aos computadores cliente transferir arquivos em
primeiro ou segundo plano de modo assíncrono, preservar a
capacidade de reação de outras aplicações da rede, e retomar
transferências de arquivo após falhas da rede e
reinicializações do computador.
Kit de O CMAK gera perfis do Gerenciador de Conexão.
Administração
do Gerenciador
de Conexão
(CMAK)
Experiência A Experiência Desktop inclui recursos do Windows Vista™, como o
Desktop Windows Media® Player, temas de área de trabalho e
gerenciamento de fotos. A Experiência Desktop não ativa nenhum
dos recursos do Windows Vista por padrão; você precisa ativá-
los manualmente.
Cliente de O Cliente de Impressão da Internet permite usar HTTP para
Impressão da conectar-se a e usar impressoras que estão em servidores de
Internet impressão da Web. A impressão da Internet ativa conexões entre
usuários e impressoras que não estão no mesmo domínio ou rede.
Um exemplo de uso é de um funcionário que está viajando, e
agora está em um escritório em local remoto, ou em uma
lanchonete equipada com acesso Wi-Fi.
Servidor de O iSNS fornece serviços de descoberta para redes da área de
Nome de armazenamento da Interface de Sistemas Computacionais Pequenos
Armazenamento na Internet (iSCSI). O iSNS processa pedidos de registro, de
na Internet anulação e consultas a partir de clientes de iSNS.
(iSNS)
Monitor de O Monitor de Porta LPR permite que os usuários que têm acesso a
Porta LPR computadores baseados em UNIX imprimam em dispositivos anexados
(LPR) a eles.
Enfileiramento O Enfileiramento de Mensagens fornece entrega garantida de
de Mensagens mensagens, roteamento eficiente, segurança e troca de mensagens
entre as aplicações baseada em prioridades. O Enfileiramento de
Mensagens também acomoda a troca de mensagens entre aplicações
que executam sistemas operacionais diferentes, que usam infra-
estruturas de rede não similares, que estão temporariamente


230

off-line, ou que estão executando em tempos diferentes.
Multipath I/O O MPIO, junto com o Módulo Específico de Dispositivo da
(MPIO) Microsoft (DSM) ou um DSM de terceiros, fornece suporte para
usar múltiplos caminhos de dados para um dispositivo de
armazenamento no Microsoft Windows.
Protocolo de O PNRP permite que as aplicações registrem e resolvam nomes a
Resolução de partir de seu computador, para que outros computadores possam
Nome Similar comunicar-se com essas aplicações.
(PNRP)
Experiência de O qWave é uma plataforma de rede para aplicações de fluxo
Áudio e Vídeo contínuo de áudio e vídeo (AV) em redes domésticas de protocolo
de Qualidade da Internet. O qWave melhora o desempenho e a confiabilidade do
do Windows fluxo contínuo de AV por garantir a qualidade do serviço de
(qWave) rede para aplicações de AV. Ele fornece controle de admissão,
monitoramento e cumprimento de tempo de execução, feedback de
aplicações e priorização de tráfego. Em plataformas do Windows
Server, o qWave fornece apenas serviços de taxa de fluxo e
priorização.
Disco de O Disco de Recuperação é um utilitário para criação de um disco
Recuperação de instalação do sistema operacional Windows. Usando o Disco de
Recuperação, você pode recuperar dados em seu computador se não
tiver um disco do produto Windows, ou não puder acessar
ferramentas de recuperação fornecidas pelo fabricante de seu
computador.
Assistência A Assistência Remota permite que você (ou uma pessoa do
Remota suporte) ofereça assistência aos usuários com problemas ou
dúvidas nos computadores. A Assistência Remota permite que você
visualize e compartilhe o controle da área de trabalho do
usuário para resolver os problemas. Os usuários também podem
pedir ajuda de amigos e colegas de trabalho.
Ferramentas de As Ferramentas de Administração do Servidor Remoto ativam o
Administração gerenciamento remoto do Windows Server 2003 e do Windows Server
do Servidor “Longhorn” a partir de um computador que está executando o
Remoto Windows Server “Longhorn”, permitindo que você execute algumas
das ferramentas de gerenciamento para funções, serviços de
função e recursos em um computador remoto.
Gerenciador de O RSM gerencia e cataloga a mídia removível e opera
Armazenamento dispositivos automáticos de mídia removível.
Removível
(RSM)
Proxy RPC O RPC Over HTTP Proxy é um proxy usado por objetos que recebem
sobre HTTP chamadas de procedimento remoto por HTTP. Esse Proxy permite
que os clientes descubram esses objetos mesmo que estes forem
movidos entre servidores ou se existirem em áreas discretas da
rede, geralmente por razões de segurança.
Network Os Serviços para NFS são um protocolo que atua como um sistema
Filesystem de arquivos distribuídos, permitindo que um computador acesse
Services (NFS) arquivos por uma rede facilmente, como se eles estivessem nos
discos locais. Esse recurso está disponível para instalação
apenas em versões de 64 bits do Windows Server “Longhorn”; em
outras versões, os Serviços para NFS estão disponíveis como um
serviço de função da função Serviços de Arquivo.
Servidor SMTP O Servidor SMTP suporta a transferência de mensagens de e-mail
entre sistemas de e-mail.
Gerenciador de As SANs ajudam a criar e gerenciar números de unidade lógica em
Armazenamento subsistemas de unidade de disco iSCSI e Fibre Channel que
para Redes da suportam o Serviço de Disco Virtual (VDS) em sua SAN.
Área de
Armazenamento
(SANs)
Serviços de Os Serviços de TCP/IP Simples suportam os seguintes serviços de
TCP/IP Simples TCP/IP: Character Generator (Gerador de Caracteres), Daytime
(Dia), Discard (Descartar), Echo (Eco) e Quote of the Day
(Citação do Dia). Os Serviços de TCP/IP Simples são fornecidos
para retro-compatibilidade e não devem ser instalados a menos
que seja solicitado.

231

Simple Network O SNMP é o protocolo padrão da Internet para troca de
Management informações de gerenciamento entre aplicações de console de
Protocol gerenciamento – tais como HP Openview, Novell NMS, IBM NetView
(SNMP) ou Sun Net Manager – e entidades gerenciadas. Entidades
gerenciadas podem incluir hosts (anfitriões), roteadores,
bridges (pontes) e hubs.
Subsistema O Subsistema para Aplicações baseadas em UNIX (SUA), junto com
para um pacote de utilitários de suporte disponíveis para download
Aplicações no site da Microsoft, permite que você execute programas
baseadas em baseados em UNIX, e compile e execute aplicações baseadas em
UNIX UNIX personalizadas no ambiente do Windows.
Cliente Telnet O Cliente Telnet usa o protocolo Telnet para conectar-se a um
servidor telnet remoto e executar aplicações nesse servidor.
Servidor O Servidor Telnet permite que usuários remotos, incluindo os
Telnet que executam sistemas operacionais baseados em UNIX, realizem
tarefas de administração de linha de comando e executem
programas usando um cliente telnet.
Cliente de O Cliente de TFTP é usado para ler arquivos de, ou escrever
Protocolo de arquivos para, um servidor de TFTP remoto. o TFTP é usado
Transferência principalmente por dispositivos ou sistemas embutidos que
de Arquivos recuperam firmware, informações de configuração, ou uma imagem
Simples (TFTP) de sistema durante o processo de inicialização a partir de um
servidor de TFTP.
Clustering O Clustering Failover permite que múltiplos servidores
Failover trabalhem juntos para fornecer alta disponibilidade de serviços
e aplicações. O Clustering Failover é usado com freqüência para
serviços de arquivo e impressão, bancos de dados e aplicações
de e-mail.
Balanceamento O NLB distribui o tráfego para vários servidores, usando o
de Carga de protocolo de rede TCP/IP. O NLB é particularmente útil para
Rede (NLB) garantir que aplicações sem estado, como um servidor Web
executando IIS, sejam escalonáveis através da adição de outros
servidores conforme o aumento da carga.
Backup do O Backup do Windows Server permite que você faça backup e
Windows Server recupere seu sistema operacional, aplicações e dados. Você pode
agendar backups para serem executados uma vez por dia ou com
mais freqüência, e pode proteger todo o servidor ou volumes
específicos.
Gerenciador de O WSRM é uma ferramenta administrativa do sistema operacional
Recursos de Windows Server que pode controlar como os recursos da CPU e da
Serviços de memória são atribuídos. O gerenciamento da atribuição de
Terminal do recursos melhora o desempenho do sistema e reduz o risco de as
Windows (WSRM) aplicações, serviços ou processos interferirem uns nos outros,
o que reduziria a eficiência do servidor e a reação do sistema.
Windows O WINS fornece um banco de dados distribuído para registrar e
Internet Name consultar mapeamentos dinâmicos de nomes de NetBIOS para
Services computadores e grupos usados em sua rede. O WINS mapeia os
(WINS) nomes de NetBIOS para endereços de IP e resolve os problemas
que surgem da resolução de nomes de NetBIOS em ambientes
roteados.
Serviço de LAN O Serviço de WLAN configura e inicia o serviço de Auto-
Sem Fio (WLAN) Configuração de WLAN, não importando se o computador tem ou não
adaptadores sem fio. A Auto-Configuração de WLAN enumera
adaptadores sem fio, e gerencia tanto as conexões como os
perfis sem fio que contêm as configurações necessárias para
configurar um cliente sem fio para conectar-se a uma rede sem
fio.
Banco de Dados O Banco de Dados Interno do Windows é um armazenamento de dados
Interno do relacional que pode ser usado apenas pelas funções e recursos
Windows do Windows, como os Serviços de UDDI, os Serviços de
Gerenciamento de Direitos do Active Directory, o Windows
Sharepoint Services, o Windows Server Update Services e o
Gerenciador de Recursos de Serviços de Terminal do Windows.
Windows Windows PowerShell é um shell de linha de comando e linguagem
PowerShell de script que ajuda os profissionais de TI a alcançar maior
produtividade. Ele fornece uma nova linguagem de script voltada

232

ao administrador e mais de 130 ferramentas de linha de comando
padrão para possibilitar uma administração de sistema mais
fácil e uma automatização acelerada.
Serviço de O WPAS generaliza o modelo de processo de IIS, removendo a
Ativação de dependência ao HTTP. Todos os recursos de IIS previamente
Processo do disponíveis apenas para aplicações de HTTP estão agora
Windows (WPAS) disponíveis para aplicações que hospedam serviços de WCF,
usando protocolos que não são de HTTP. O IIS 7.0 também usa
WPAS para ativação baseada em mensagens por HTTP.

O seguinte gráfico mostra a página inicial da função Recursos no
Server Manager.

Console do Server Manager
O Console do Server Manager é um novo snap in de MMC que fornece
uma visão consolidada do servidor, incluindo informações sobre
configuração do servidor, estado das funções instaladas e
comandos para adicionar e remover funções e recursos.
O painel hierárquico do console do Server Manager contém nós
expansíveis que os administradores podem usar para ir diretamente
aos consoles para gerenciar funções específicas, ferramentas de
resolução de problemas, ou opções de backup e recuperação de
desastres.
O console do Server Manager é bastante parecido à primeira página
de um jornal sobre seu servidor. Ele fornece um único local para
que os administradores tenham uma visão geral concisa de um
servidor, alterem as propriedades de sistema do servidor, e
instalem ou removam funções ou recursos.


233

O seguinte gráfico mostra a página inicial do Server Manager com
múltiplas funções e recursos instalados.

A janela principal do console do Server Manager contém estas
quatro seções flexíveis:

• Sumário do Servidor
A seção Sumário do Servidor inclui duas subseções:
Informações do Sistema e Sumário de Segurança. A subseção
Informações do Sistema exibe o nome do computador, o
domínio, o nome de conta do administrador local, conexões
de rede e o ID de produto do sistema operacional. Os
comandos dessa subseção permitem que você edite essas
informações.
A subseção Sumário de Segurança mostra se o Windows Update
e o Firewall do Windows estão ativados. Os comandos dessa
subseção permitem que você edite essas configurações ou
visualize opções avançadas.
• Sumário de Funções
A seção Sumário de Funções contém uma tabela indicando
quais funções estão instaladas no servidor. Os comandos
desta seção permitem que você adicione ou remova funções,
ou vá a um console mais detalhado no qual poderá gerenciar
uma função específica.
• Sumário de Recursos


234

A seção Sumário de Recursos contém uma tabela indicando
quais recursos estão instalados no servidor. Os comandos
dessa seção permitem que você adicione ou remova recursos.
• Recursos e Suporte
A seção Recursos e Suporte mostra se esse servidor está
participando dos programas de feedback Windows Server CEIP
e Relatório de Erros do Windows. A seção Recursos e suporte
também foi projetada para ser um ponto de partida para
entrar em grupos de notícias tópicos, ou para localizar
mais ajuda e pesquisar tópicos disponíveis on-line no
TechCenter do Windows Server
Os comandos dessa seção permitem que você modifique a
participação do servidor em programas de feedback, e
encontre mais ajuda e suporte.

Assistentes do Server Manager
Os Assistentes do Server Manager dinamizam a tarefa de implantar
servidores em sua empresa, pois reduzem o tempo que levava em
versões anteriores do Windows Server para instalar, configurar ou
remover funções, serviços de função e recursos. Múltiplas
funções, serviços de função ou recursos podem ser instalados ou
removidos em uma única sessão com os assistentes do Server
Manager.
E o mais importante, o Windows Server “Longhorn” realiza
verificações de dependência conforme você avança nos assistentes
do Server Manager, garantindo que estejam instaladas todas as
funções e serviços de função necessários para uma função que você
seleciona, e que não seja removido nenhum que ainda possa ser
requisitado por funções ou serviços de função remanescentes.
As versões anteriores do Windows Server solicitavam que você
usasse as opções Configurar Seu Servidor, Gerenciar Seu Servidor
ou Adicionar ou Remover Componentes do Windows para adicionar ou
remover funções de servidor ou outros softwares. As verificações
de dependência eram limitadas, e a opção Adicionar ou Remover
Componentes do Windows limitava os administradores à instalação
de apenas uma função por vez. Antes de poder adicionar mais
funções, a instalação de cada uma tinha que ser completada.
A coleção de assistentes do Server Manager permite adicionar,
remover ou aumentar múltiplas funções em uma única sessão. É
possível ter seu servidor completamente pronto para implantação
após a realização de uma única sessão em um dos assistentes do
Server Manager. As configurações de funções são feitas com
configurações de segurança recomendadas por padrão; não há
requisitos para executar o Assistente de Configuração de
Segurança após a instalação de funções ou recursos, a menos que
seja necessário modificar padrões de segurança.


235

Assistente para Adicionar Funções
O Assistente para Adicionar Funções, que pode ser usado para
adicionar uma ou mais funções ao servidor, verifica
automaticamente se há dependências entre funções e se todas as
funções e serviços de função necessários estão instalados para
cada função selecionada.
Para algumas funções, tais como Serviços de Terminal e Serviços
de Certificado do Active Directory, o Assistente para Adicionar
Funções também fornece páginas de configuração que permitem ao
usuário especificar de que modo a função deve ser configurada
como parte do processo de instalação.

Assistente para Adicionar Serviços de Função
A maioria das funções, como Serviços de Arquivo, Serviços de
Terminal e Serviços de Certificado do Active Directory, é
composta de múltiplos sub-elementos, identificados como serviços
de função na interface do Server Manager.
Depois que uma dessas funções complexas é instalada, você pode
adicionar serviços de função a ela durante o Assistente para
Adicionar Funções inicial, ou
usando o
Assistente
para
Adicionar


236

Serviços de Função. O comando que abre o Assistente para
Adicionar Serviços de Função é encontrado na página inicial de
cada função no console do Server Manager.
Um novo aviso inteligente permite que você adicione
automaticamente os serviços de função necessários se a função que
você está instalando requer serviços e recursos para ser
instalada.

Assistente para Adicionar Recursos
O Assistente para Adicionar Recursos permite que você instale um
ou mais recursos ao computador
em uma única
sessão.
Recursos são
programas de
software que
suportam ou
aumentam a
funcionalida
de de uma ou
mais
funções, ou
melhoram a
funcionalida
de do
próprio
servidor,
sejam quais forem as funções instaladas.
Os comandos que abrem o Assistente para Adicionar Recursos estão
na área Personalizar esse servidor, na janela Tarefas de
Configuração Inicial, e também na seção Sumário de Recursos da
janela do console do Server Manager.

Assistente para Remover Funções
O Assistente para Remover Funções, que pode ser usado para
remover uma ou mais funções do servidor, verifica automaticamente
se há dependências entre funções e se as funções e serviços de
função necessários continuam instalados para as funções que você
não quer remover. O processo do Assistente para Remover Funções
evita a remoção acidental de funções ou serviços de função
necessários para funções remanescentes no servidor.

Assistente para Remover Serviços de Função
Você pode remover serviços de função de uma função instalada
usando o Assistente para Remover Serviços de Função. O comando
que abre o Assistente para Remover Serviços de Função é
encontrado na página inicial de cada função no console do Server
Manager.

Assistente para Remover Recursos

237

O Assistente para Remover Recursos permite que você remova um ou
mais recursos do computador em uma única sessão. Recursos são
programas de software que suportam ou aumentam a funcionalidade
de uma ou mais funções, ou melhoram a funcionalidade do próprio
servidor, sejam quais forem as funções instaladas.
Os comandos que abrem o Assistente para Remover Recursos estão na
área Personalizar esse servidor, na janela Tarefas de
Configuração Inicial, e também na seção Sumário de Recursos da
janela do Console do Server Manager.

Linha de Comando do Server Manager
O Server Manager oferece uma ferramenta de linha de comando –
ServerManagerCmd.exe – que automatiza a implantação de funções e
recursos em computadores com Windows Server “Longhorn”.
Você pode usar o ServerManagerCmd.exe para instalar e remover
funções, serviços de função e recursos. Os parâmetros do
ServerManagerCmd.exe também exibem uma lista de todas as funções,
serviços de função e recursos instalados e disponíveis para
instalação no computador.
A linha de comando do Server Manager possibilita instalação ou
remoção autônoma de funções, serviços de função e recursos. Você
pode usar a linha de comando do Server Manager para instalar ou
remover uma única função, serviço de função ou recurso em uma
instância de comando, ou pode usar um arquivo de resposta XML com
o comando do Server Manager para adicionar ou remover múltiplas
funções, serviços de função e recursos em uma única instância de
comando.
As opções do ServerManagerCmd.exe permitem que os usuários
visualizem registros de suas operações, e executem consultas para
exibir listas de funções, serviços de função e recursos
instalados e disponíveis para instalação no computador.
Para informações detalhadas sobre como usar a linha de comando do
Server Manager, veja a Ajuda do Server Manager.
Importante
Devido a restrições de segurança impostas pelo Controle de
Contas de Usuário no Windows Server “Longhorn”, você deve
executar o ServerManagerCmd.exe em uma janela de Aviso de
Comando aberta com privilégios elevados. Para isso, clique
com o botão direito no executável do Aviso de Comando, ou
no objeto do Aviso de Comando no menu Iniciar, e depois
clique em Executar como administrador.
Antes da implementação da linha de comando do Server Manager, as
únicas ferramentas de linha de comando disponíveis para instalar
pacotes de software do Windows em um computador eram ocsetup e
pkgmgr. A sintaxe da linha de comando para essas ferramentas é
complexa, e os nomes de funções, serviços de função e recursos
disponíveis para instalação ou remoção com o uso dessas duas


238

ferramentas não eram intuitivos. O ServerManagerCmd.exe
simplifica a instalação e remoção por linha de comando de
funções, serviços de função e recursos.

Configurações de Registro
As seguintes configurações de registro se aplicam ao Server
Manager e às Tarefas de Configuração Inicial em todas as
variações disponíveis do Windows Server “Longhorn”.
As configurações de registro da seguinte tabela controlam o
comportamento padrão de abertura do Server Manager e das janelas
de Tarefas de Configuração Inicial.

Configurações de Registro
Nome da Localização Valor Valores
Configuração Padrão Possíveis
Não abrir o HKEY_LOCAL_MACHINESOFTWAREMicrosoftServer 0 0 para
Server Manager desativar e
Manager no abrir a
logon janela
normalmente;
1 para ativar
e impedir a
abertura da
janela
Não abrir HKEY_LOCAL_MACHINESOFTWAREMicrosoftInitial 0 0 para
Tarefas de Configuration Tasks desativar e
Configuração abrir a
Inicial no janela
logon normalmente;
1 para ativar
e impedir a
abertura da
janela.

Como Inicio o Server Manager?
O Server Manager abre por padrão quando a janela Tarefas de
Configuração Inicial é fechada.
Após completar as tarefas de configuração inicial, o Server
Manager abre por padrão quando um administrador faz logon em um
computador que está executando o Windows Server “Longhorn”. Se
você fechar o Server Manager e quiser abri-lo novamente, pode
fazer isso usando o comando do Server Manager em qualquer um dos
seguintes locais:
• No menu Start, sob Administrative Tools.
• No menu Start(se você fez logon no computador como membro
do grupo de Administradores).
• No menu Start, clique com o botão direito em Computer, e
depois clique em Manage.
• Na barra de ferramentas Quick Launch, adjacente ao botão
Start.


239

• Em Control Panel, clique em Programs, em Programs and
Features, e depois em Turn Windows features on or off.
O Server Manager é instalado por padrão como parte do Windows
Server “Longhorn”. Para usar o Server Manager, você deve fazer
logon no computador como membro do grupo de Administradores.
Nota
Se você fizer logon no computador usando uma conta de
Administrador diferente da padrão, uma caixa de diálogo
pode abrir para alertá-lo sobre sua permissão para executar
o Server Manager. Clique em Permitir o início do Server
Manager.

Recursos Adicionais
Para mais informações sobre o Server Manager, veja o TechCenter
do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Você também
pode aprender a realizar operações específicas no Server Manager
com a Ajuda do Server Manager, disponível ao apertar F1 em uma
janela aberta do Console do Server Manager.


240

7.04 Windows PowerShell

O Windows PowerShell é um novo Shell de linha de comando do
Windows projetado especialmente para administradores de sistemas.
O shell inclui um aviso interativo e um ambiente de script que
podem ser usados independentemente ou em combinação.
Diferente da maioria dos shells, que aceitam e retornam texto, o
Windows PowerShell foi construído sobre o .NET common language
runtime (CLR) e o .NET Framework, e aceita e retorna objetos
.NET. Essa alteração fundamental no ambiente traz ferramentas e
métodos inteiramente novos para o gerenciamento e a configuração
do Windows.
O Windows PowerShell introduz o conceito de um cmdlet (pronuncia-
se “command-let”), uma ferramenta de linha de comando simples e
de função única construída dentro do shell. Você pode usar cada
cmdlet separadamente, mas seu poder é notado quando você usa
essas ferramentas simples em combinação para desempenhar tarefas
complexas. O Windows PowerShell inclui mais de cem cmdlets
básicos, e você pode escrever seus próprios cmdlets e
compartilhá-los com outros usuários.
Como muitos shells, o Windows PowerShell dá a você acesso ao
sistema de arquivos do computador. Além disso, os provedores do
Windows PowerShell permitem acessar outros armazenamentos de
dados, como o registro e os armazenamentos de certificados de
assinatura digital, e é tão fácil como acessar o sistema de
arquivos.
A maioria dos shells, incluindo Cmd.exe e os shells do Unix – SH,
KSH, CSH e BASH, operam executando um comando ou utilitário em um
novo processo, e apresentando os resultados ao usuário em forma
de texto. Com o passar dos anos, muitos utilitários de
processamento de texto, tais como sed, AWK e PERL, evoluíram para
suportar essa interação.
Esses shells também têm comandos construídos dentro do shell e
executados no processo do shell, como o comando typeset no KSH e
o comando dir no Cmd.exe. Na maioria dos shells, como há poucos
comandos embutidos, muitos utilitários foram criados.
O Windows PowerShell é muito diferente.
• O Windows PowerShell não processa texto. Em vez disso,
processa objetos baseados na plataforma .NET.
• O Windows PowerShell vem com um grande conjunto de comandos
embutidos com uma interface consistente.
• Todos os comandos de Shell usam o mesmo analisador de
comandos, em vez de analisadores diferentes para cada
ferramenta. Assim é muito mais fácil aprender a usar cada
comando.

241

E o melhor, você não precisa abandonar as ferramentas que se
acostumou a usar. Ainda pode usar as ferramentas tradicionais do
Windows, como Net, SC e Reg.exe no Windows PowerShell.

Cmdlets do Windows PowerShell
Um cmdlet (pronunciado “command-let”) é um comando de recurso
único que manipula objetos no Windows PowerShell. Você pode
reconhecer os cmdlets pelo formato de seus nomes – um verbo e um
substantivo separados por um traço (-), como Get-Help (Buscar-
Ajuda), Get-Process (Buscar-Processo) e Start-Service (Iniciar-
Serviço).
Em shells tradicionais, os comandos são programas executáveis que
variam do muito simples (como o attrib.exe) ao muito complexo
(como o netsh.exe).
No Windows PowerShell, a maioria dos cmdlets é muito simples, e
eles são projetados para uso em combinação com outros cmdlets.
Por exemplo, os cmdlets “get” apenas recuperam dados, os cmdlets
“set” apenas estabelecem ou alteram dados, os cmdlets “format”
apenas formatam dados, e os cmdlets “out” apenas direcionam os
dados de saída para um destino especificado.
Cada cmdlet tem um arquivo de ajuda que você pode acessar
digitando:
• get-help <cmdlet-name> -detailed
A visão detalhada do arquivo de ajuda do cmdlet inclui uma
descrição do cmdlet, a sintaxe do comando, descrições dos
parâmetros, e exemplos que demonstram o uso do cmdlet.

Uma Nova Linguagem de Script
• O Windows PowerShell necessitava de uma linguagem para
gerenciar os objetos .NET.
• A linguagem precisava fornecer um ambiente consistente para
usar cmdlets.
• Precisava suportar tarefas complexas, sem tornar as tarefas
simples mais complexas.
• Precisava também ser consistente com linguagens de nível
mais alto usadas na programação .NET, como C#.

Comandos e Utilitários do Windows
Você pode executar programas de linha de comando do Windows no
Windows PowerShell, e pode iniciar os programas do Windows que
têm uma interface gráfica de usuário, como o Bloco de Notas e a
Calculadora, dentro do shell. Você também pode capturar o texto
que os programas geram e usá-lo no shell, praticamente do mesmo
modo que faria no Cmd.exe.


242


No Windows Server “Longhorn”, os administradores agora podem
optar por instalar um ambiente mínimo que evita carga extra.
Embora essa opção limite as funções que podem ser desempenhadas
pelo servidor, ela pode melhorar a segurança e reduzir o
gerenciamento. Esse tipo de instalação é chamado de instalação do
Núcleo do Servidor.
Uma instalação do Núcleo do Servidor é uma opção de instalação de
servidor mínima, para nextref longhorn. As instalações no Núcleo
do Servidor fornecem um ambiente para executar as seguintes
funções de servidor:
• Servidor DHCP
• Serviços de Arquivo
• Servidor de Impressão
• Servidor DNS
• Serviços de Domínio do Active Directory
• Serviços de Domínio do Active Directory Lightweight (AD
LDS)
Escolhendo usar a opção de instalação no Núcleo do Servidor em um
servidor, você pode reduzir seu trabalho administrativo e ajudar
a limitar os riscos à segurança. Uma instalação no Núcleo do
Servidor fornece esses benefícios de três maneiras:
• Reduzindo a manutenção de software necessária
• Reduzindo o gerenciamento necessário
• Reduzindo a superfície de ataque
Para isso, a opção de instalação no Núcleo do Servidor instala
apenas o subconjunto dos arquivos binários que são necessários
para as funções de servidor suportadas. Por exemplo, a interface
de usuário (ou “shell”) do Windows Explorer não é instalada como
parte de uma instalação no Núcleo do Servidor . Em vez disso, a
interface de usuário padrão para um servidor Server Core é o
aviso de comando.
Uma instalação no Núcleo do Servidor do Windows Server “Longhorn”
suporta os seguintes recursos opcionais:
• Cluster Failover da Microsoft
• Balanceamento de Carga de Rede
• Subsistema para aplicações baseadas em UNIX
• Backup
• Multipath IO


243

• Gerenciamento de Armazenamento Removível
• Criptografia da Unidade BitLocker
• Simple Network Management Protocol (SNMP)
• Windows Internet Name Services (WINS)
• Cliente Telnet
A opção de instalação no Núcleo do Servidor foi projetada para
uso em organizações que têm muitos servidores, onde alguns apenas
precisam desempenhar tarefas dedicadas, ou em ambientes em que os
requisitos de alta segurança exigem uma superfície de ataque
mínima no servidor.
Como nenhuma interface gráfica de usuário está disponível para
muitas operações do Windows, a opção de instalação no Núcleo do
Servidor requer administradores experientes no uso de avisos de
comando ou técnicas de script para administração local do
servidor. Alternativamente, você pode gerenciar a instalação no
Núcleo do Servidor com os snap-ins do Console de Gerenciamento da
Microsoft (MMC) a partir de outro computador que esteja
executando o Windows Server “Longhorn”, selecionando o computador
Server Core como computador remoto para gerenciar.
Você deve analisar esse tópico e a documentação adicional sobre a
opção de instalação no Núcleo do Servidor se estiver em algum dos
seguintes grupos:
• Planejadores e analistas de TI que estão avaliando
tecnicamente o produto
• Planejadores e designers de TI corporativos para
organizações
• Os responsáveis pela segurança do TI
• Profissionais de TI que estão gerenciando as seguintes
funções de servidor: Servidor DHCP, Serviços de Arquivo,
Servidor de Impressão, Servidor DNS, Serviços de Domínio do
Active Directory Lightweight (AD LDS), ou Serviços de
Domínio do Active Directory
A opção de instalação no Núcleo do Servidor não adiciona nova
funcionalidade às funções de servidor que suporta. Cada função de
servidor, no entanto, pode ter alterações no Windows Server
“Longhorn”.
As instalações no Núcleo do Servidor oferecem os seguintes
benefícios:
• Manutenção reduzida. Como uma instalação no Núcleo do
Servidor instala apenas o que é necessário para as funções
especificadas (Servidor DHCP, Serviços de Arquivo, Servidor
de Impressão, Servidor DNS, AD LDS, ou Serviços de Domínio


244

do Active Directory), são requisitados menos serviços que
em uma instalação completa do Windows Server “Longhorn”.
• Superfície de ataque reduzida. Como as instalações no
Núcleo do Servidor são mínimas, há menos aplicações sendo
executadas no servidor, o que diminui a superfície de
ataque.
• Gerenciamento reduzido. Como menos aplicações e serviços
estão instalados em um servidor com instalação no Núcleo do
Servidor, há menos para gerenciar.
• Menos espaço em disco necessário. Uma instalação no Núcleo
do Servidor requer apenas cerca de 1 gigabyte (GB) de
espaço em disco para instalar, e aproximadamente 2 GB para
operações após a instalação.
Os servidores Server Core não têm uma interface de usuário, nem
oferecem a habilidade de executar aplicações. Uma instalação no
Núcleo do Servidor é mínima, para executar as seguintes funções:
Servidor DHCP, Serviços de Arquivo, Servidor de Impressão,
Servidor DNS, AD LDS, ou Serviços de Domínio do Active Directory.
A experiência de gerenciamento também será diferente ao usar uma
instalação no Núcleo do Servidor. Ela requer que você configure
inicialmente o sistema a partir da linha de comando, ou usando
métodos de script como uma instalação autônoma, pois não inclui a
tradicional interface de usuário completa.
Uma vez que o servidor está configurado, você pode gerenciá-lo a
partir da linha de comando, local ou remotamente, com uma conexão
de área de trabalho remota de Serviços de Terminal. Você também
pode usar snap-ins do MMC ou ferramentas de linha de comando que
suportam conexões remotas para gerenciar o servidor remotamente.
Os administradores que gerenciam uma instalação no Núcleo do
Servidor precisam estar cientes de que não há uma interface
gráfica de usuário (GUI) disponível.
Embora nenhuma alteração seja necessária para a configuração de
sua rede, você talvez precise se familiarizar com as ferramentas
de linha de comando.
A opção de instalação no Núcleo do Servidor não adiciona ou
altera nenhuma configuração. Entretanto, você deve analisar a
documentação para cada uma das funções de servidor suportadas que
estão disponíveis na opção de instalação no Núcleo do Servidor,
para verificar se há alterações no Windows Server “Longhorn”.
As alterações em cada uma dessas funções são as mesmas, esteja
você usando a instalação no Núcleo do Servidor ou a instalação
completa.
A opção de instalação no Núcleo do Servidor não é uma plataforma
de aplicação, e você não pode executar ou desenvolver aplicações


245

de servidor em uma instalação no Núcleo do Servidor. Uma
instalação no Núcleo do Servidor só pode ser usada para executar
as funções de servidor e ferramentas de gerenciamento suportadas.
Os servidores Server Core suportam o desenvolvimento de
ferramentas e agentes de gerenciamento, que podem ser divididos
em duas categorias:
• Ferramentas de gerenciamento remoto. Essas ferramentas não
requerem nenhuma alteração, contanto que usem um dos
protocolos suportados nas instalações no Núcleo do Servidor
para comunicar-se com a área de trabalho de gerenciamento
remoto, como a chamada de procedimento remoto (RPC).
• Ferramentas e agentes de gerenciamento local. Essas
ferramentas podem necessitar de alterações para trabalhar
com instalações no Núcleo do Servidor, pois não podem ter
nenhuma dependência a shell ou interface de usuário, e não
podem usar código gerenciado.
O Kit de Desenvolvimento de Software (SDK) do Windows Server
“Longhorn” inclui uma lista de APIs que são suportados em
instalações no Núcleo do Servidor. Você precisa verificar se
todos os APIs chamados por seu código estão listados, e também
precisa testar seu código em uma instalação no Núcleo do Servidor
para garantir que ele se comportará como o esperado.
Nenhuma alteração em seu ambiente ou infra-estrutura é
necessária.
A opção de instalação no Núcleo do Servidor suporta apenas uma
instalação do zero em um servidor. Você não pode atualizar para
uma instalação no Núcleo do Servidor a partir de uma versão
prévia do Windows.
Para fazer uma instalação no Núcleo do Servidor do Windows Server
“Longhorn”, inicie o computador do servidor com um DVD
inicializável do Windows Server “Longhorn” na unidade de DVD do
computador. Quando aparecer a caixa de diálogo Autorun, clique em
Install Now, e siga as instruções na tela para completar a
instalação.
Em muitos casos, uma instalação no Núcleo do Servidor será feita
usando um script de instalação autônoma.
Os seguintes recursos opcionais requerem hardware apropriado para
que possam ser usados:
• Cluster Failover
• Balanceamento de Carga de Rede
• Armazenamento Removível
• Criptografia da Unidade BitLocker


246

Alguma funcionalidade de BitLocker está disponível sem hardware
específico.
Não há pré-requisitos para os seguintes recursos opcionais:
• Subsistema para aplicações baseadas em UNIX
• Backup
• Simple Network Management Protocol (SNMP)
• Windows Internet Name Services (WINS)
• Cliente Telnet
Os seguintes recursos oferecem informações adicionais sobre
instalações no Núcleo do Servidor:
• Se você precisa de suporte ao produto, visite o Microsoft
Connect (http://go.microsoft.com/fwlink/?LinkId=49779).
• Para acessar grupos de notícias para esse recurso, siga as
instruções fornecidas no Microsoft Connect
• Se você é um beta tester e parte do programa beta especial
chamado Programa de Adoção de Tecnologia (TAP), também pode
entrar em contato com o membro da equipe de desenvolvimento
da Microsoft que designou para obter assistência.
Os seguintes recursos no site da Microsoft fornecem informações
adicionais sobre alguns dos comandos que você pode usar para
configurar instalações no Núcleo do Servidor e ativar as funções
de servidor:
• Referências sobre linha de comando de A-Z
• Arquivos de instalação autônoma dcpromo
o Realizando uma Instalação Autônoma do Active
Directory (http://go.microsoft.com/fwlink/?LinkId=49661)
• Netsh
o Visão geral do Netsh (http://go.microsoft.com/fwlink/?LinkId=49654)
• Dnscmd
o Visão geral do Dnscmd(http://go.microsoft.com/fwlink/?LinkId=49656)
o Sintaxe do Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49659)
o Exemplos de Dnscmd (http://go.microsoft.com/fwlink/?LinkId=49660)
• Dfscmd
o Referências do Dfscmd


247

O seguinte recurso fornece informações adicionais para implantar,
configurar e gerenciar uma instalação no Núcleo do Servidor, e
também para ativar uma função de servidor nessa instalação:
• Guia Passo a Passo Beta 2 sobre o Núcleo do Servidor em
Windows Server "Longhorn" no Microsoft Connect


248

7.07 Backup do Windows Server

O recurso Backup do Windows Server “Longhorn” oferece uma solução
básica de backup e recuperação para o servidor em que está
instalado. Você também pode usar esse recurso para gerenciar
backups em servidores remotos. Essa versão do Backup introduz uma
nova tecnologia de backup e recuperação e substitui o recurso que
estava disponível em versões anteriores do sistema operacional
Windows.
Você pode usar o recurso Backup para proteger todo o seu servidor
de modo eficiente e confiável sem se preocupar com detalhes da
tecnologia de backup e recuperação. Assistentes simples o guiarão
através da instalação de um agendamento automático de backups,
criando backups manuais se necessário, e recuperando itens ou
volumes inteiros. Você pode usar esse recurso para fazer um
backup de um servidor inteiro ou de volumes selecionados. E, em
caso de desastres como falhas do disco rígido, você pode realizar
uma recuperação de sistema, que vai restaurar completamente seu
sistema para o novo disco rígido usando um backup de servidor
completo e o Ambiente de Recuperação do Windows.
O Backup foi
projetado para ser
usado por todos, de
proprietários de
pequenas empresas a
administradores de TI
em grandes empresas,
que precisam de uma
solução de backup
fácil de implantar e usar, e que esteja disponível sem nenhum
custo extra. No entanto, seu
design simples o torna
especialmente adequado para
organizações menores ou
indivíduos que não são
profissionais de TI.
Você deve ser um membro do
grupo de Administradores ou do
grupo de Operadores de Backup
para usar o Backup.
O recurso Backup inclui as
seguintes melhorias:
• T
e
c
n
o
l
o
g
i
a
de backup nova
e mais rápida. O


249

Backup usa o Serviço de Cópias por Volume de Sombra (VSS) e
a tecnologia de backup em nível de blocos para realizar o
backup de modo eficiente e recuperar seu sistema
operacional, arquivos, pastas e volumes. Após o primeiro
backup completo ser criado, o Backup pode ser configurado
para executar, automaticamente, backups incrementais,
salvando apenas os dados que foram alterados desde o último
backup. Entretanto, mesmo que você opte por sempre fazer
backups completos, ele levará menos tempo que o recurso
Backup das versões anteriores do Windows.
• Restauração simplificada. Você agora pode restaurar itens
escolhendo o backup a partir do qual a recuperação será
feita, e selecionando então os itens a serem restaurados.
Pode recuperar arquivos específicos ou todos os conteúdos
de uma pasta. Anteriormente, você precisava restaurar
manualmente a partir de múltiplos backups se o item
estivesse armazenado em um backup incremental. Agora,
simplesmente escolhe a data em que fez o backup da versão
do item que quer restaurar.
• Recuperação simplificada de seu sistema operacional. O
Backup trabalha com novas ferramentas de recuperação do
Windows para facilitar a tarefa de recuperar seu sistema
operacional. Você pode recuperar para o mesmo servidor, ou,
se o hardware falhar, pode recuperar para um novo servidor
que não tem sistema operacional.
• Habilidade de recuperar aplicações. O Backup usa a
funcionalidade VSS que é construída dentro de aplicações
como o Microsoft SQL Server™ e o Windows SharePoint
Services para proteger os dados da aplicação.
• Agendamento aperfeiçoado. O Backup agora inclui um
assistente que guia através do processo de criação de
backups diários. Os volumes do sistema são automaticamente
incluídos em todos os backups agendados, para que você
esteja sempre protegido contra desastres.
• Fácil remoção de backups externos para proteção contra
desastres. Você pode executar backups para múltiplos discos
em rotação para que seja fácil mover discos externos. Basta
adicionar cada disco como um local de backup agendado e, se
o primeiro disco é retirado, o Backup vai automaticamente
executar backups para o disco seguinte na rotação.
• Administração remota. O Backup agora usa um snap-in do MMC
para dar a você uma experiência familiar e consistente no
gerenciamento seus backups. Após instalar o snap-in do
Backup, você pode acessar essa ferramenta através do Server
Manager ou adicionando o snap-in a um console do MMC novo
ou já existente. Então, pode usar o Backup para gerenciar
backups em outros servidores clicando em Ação, e depois em
Conectar-se a Outro Computador.
• Gerenciamento automático de uso de disco. Uma vez que você
configura um disco para um backup agendado, o Backup vai
automaticamente gerenciar o uso do disco – você não precisa
se preocupar com o espaço em disco após vários backups. O
Backup vai automaticamente reutilizar o espaço de backups
anteriores quando criar os novos. A ferramenta de


250

gerenciamento exibe os backups que estão disponíveis e as
informações sobre uso do disco, que podem ajudar a preparar
um armazenamento adicional para atender seus objetivos
relacionados ao tempo de recuperação.
• Suporte extensivo de linha de comando. O Backup agora vem
com suporte e documentação extensivos de linha de comando
para permitir que você desempenhe quase todas as mesmas
tarefas que podem ser feitas com a ferramenta de
gerenciamento. Você também pode automatizar as atividades
de backup através dos scripts.
• Suporte para mídia de DVD. Você pode fazer backups manuais
de volumes diretamente para DVD. Isso pode ser uma solução
fácil se você quiser criar backups externos para fins
específicos. O Backup também tem suporte a backup manual
para pastas e discos rígidos compartilhados. Backups
agendados são armazenados em discos rígidos.

Nota
A nova ferramenta Backup não usa dispositivos de
armazenamento em fita – o uso de discos externos e
internos, DVDs e pastas compartilhadas são suportados. No
entanto, o suporte de drivers para fita ainda está incluído
no Windows Server “Longhorn”.
Se você é atualmente usuário do Backup do Windows (Ntbackup.exe)
e planeja mudar para o novo Backup do Windows Server, pode ser
surpreendido pelas seguintes questões e alterações:
• As configurações do Backup não serão atualizadas quando
você mudar para o Windows Server “Longhorn”. Você terá que
reconfigurar as configurações.
• Você precisará de um disco separado e dedicado para
executar backups agendados.
• Não pode mais fazer backups em fita.
• Não pode recuperar backups que criou com o Backup do
Windows usando o Backup do Windows Server. O Backup do
Windows está disponível como um download para os usuários
do Windows Server “Longhorn” que querem recuperar dados de
backups feitos com o NTBackup. No entanto a versão para
download do Backup do Windows não pode ser usada para criar
backups no Windows Server “Longhorn”. Para fazer o download
do Backup do Windows (Ntbackup.exe), veja
http://go.microsoft.com/fwlink/?LinkId=82917.


251

7.08 Monitor de Confiabilidade e Desempenho do
Windows

O Windows Server “Longhorn” inclui o Monitor de Confiabilidade e
Desempenho do Windows, que fornece aos profissionais de TI as
ferramentas para monitorar e avaliar o desempenho e a
confiabilidade do sistema.

Nota

Em algumas versões pré-
lançamento do Windows,
esse recurso foi chamado
de Console de
Diagnóstico de
Desempenho do Windows.

O Monitor de
Confiabilidade e
Desempenho do Windows é
um snap-in do MMC que
combina a funcionalidade
de ferramentas
independentes
anteriores, incluindo os
Registros e Alertas de Desempenho, o Consultor de Desempenho do
Servidor, e o Monitor de Sistema. Ele oferece uma interface
gráfica para personalizar a coleção de dados do desempenho e as
Sessões de Acompanhamento de Eventos.

Ele também inclui o Monitor de Confiabilidade, um snap-in do MMC
que acompanha as alterações no sistema e as compara a alterações
na estabilidade do sistema, fornecendo uma visualização gráfica
de seu relacionamento.

O Monitor de Confiabilidade e Desempenho do Windows é uma
ferramenta destinada ao uso por profissionais de TI ou
administradores de computador. Para visualizar o estado em tempo
real na Visualização de Recursos, o console deve ser executado
como membro do grupo de Administradores. Para criar Conjuntos de
Coletores de Dados, configurar registros ou visualizar
relatórios, o console deve ser executado como membro do grupo de
Administradores ou do Grupo de Usuários de Registro do
Desempenho.

Os contadores de desempenho, provedores de acompanhamento de
eventos e outros elementos de código anteriores, relacionados a
desempenho, não precisam mudar para trabalhar com o novo Monitor
de Confiabilidade e Desempenho do Windows ou seus recursos.


252

Os recursos do Monitor de Confiabilidade e Desempenho do Windows
que são novos para o Windows Server “Longhorn” incluem o
seguinte.

Conjuntos de Coletores de Dados
Um novo recurso importante do Monitor de Confiabilidade e
Desempenho do Windows é o Conjunto de Coletores de Dados, que
agrupa coletores de dados em elementos reutilizáveis para uso em
diferentes cenários de monitoramento de desempenho. Uma vez que
um grupo de coletores de dados é armazenado como um Conjunto de
Coletores de Dados, operações como o agendamento podem ser
aplicadas a todo o conjunto através de uma única alteração de
propriedade.

O Monitor de
Confiabilidade e
Desempenho do Windows
também inclui modelos
padrão de Conjunto de
Coletores de Dados
para ajudar os
administradores de
sistema a começar a
coletar dados de
desempenho
específicos de uma
Função de Servidor ou
cenário de
monitoramento
imediatamente.

Assistentes e Modelos para Criação de Registros
A adição de contadores a arquivos de registro e o agendamento de
seu início, interrupção e duração agora podem ser feitos através
da interface de um Assistente. Além disso, salvando essa
configuração como um modelo, os administradores de sistema podem
coletar o mesmo registro em computadores subseqüentes sem repetir
a seleção de coletores de dados e processos de agendamento. Os
recursos de Registros e Alertas de Desempenho foram incorporados
ao Monitor de Confiabilidade e Desempenho do Windows para uso com
qualquer Conjunto de Coletores de Dados.

Visualização de Recursos
A página inicial do Monitor de Confiabilidade e Desempenho do
Windows é a nova tela de Visualização de Recursos, que fornece
uma visão geral gráfica em tempo real da CPU, disco, rede e uso
da memória. Expandido cada um desses elementos monitorados, os
administradores de sistema podem identificar quais processos
estão usando quais recursos. Em versões anteriores do Windows,


253

esses dados específicos de processos em tempo real só eram
disponíveis de forma limitada no Gerenciador de Tarefas.

Monitor de Confiabilidade
O Monitor de
Confiabilidade calcula o
Índice de Estabilidade do
Sistema, que reflete se
problemas inesperados
reduziram a confiabilidade
do sistema. Um gráfico do
Índice de Estabilidade em
um período de tempo
identifica rapidamente as
datas em que os problemas
começaram a ocorrer. O
Relatório de Estabilidade
do Sistema que acompanha o
Índice fornece detalhes para ajudar a resolver a causa raiz da
redução de confiabilidade. Visualizando as alterações do sistema
(instalação ou remoção de aplicações, atualizações no sistema
operacional, adição ou modificação de drivers) lado a lado com as
falhas (de aplicação, de sistema operacional ou de hardware), uma
estratégia para lidar com os problemas pode ser desenvolvida
rapidamente.

Configuração Unificada de Propriedades para Toda a Coleção de Dados,
Inclusive o Agendamento
Seja na criação de um Conjunto de Coletores de Dados para uso em
uma única vez ou para atividade contínua de registro, a interface
para criação, agendamento e modificação é a mesma. Se um Conjunto
de Coletores de Dados prova que é útil para o futuro
monitoramento de desempenho, não precisa ser recriado. Pode ser
reconfigurado ou copiado como um modelo.

Relatórios de Diagnóstico Fáceis de Usar
Os usuários do Consultor de Desempenho do Servidor no Windows
Server 2003 podem agora encontrar os mesmos tipos de relatórios
de diagnóstico no Monitor de Confiabilidade e Desempenho do
Windows no Windows Server “Longhorn”. O tempo de geração dos
relatórios foi melhorado e os relatórios podem ser criados com
dados coletados através do Conjunto de Coletores de Dados. Assim
os administradores de sistema podem repetir relatórios e avaliar
como as alterações afetaram o desempenho ou as recomendações do
relatório.


254

7.09 Serviços de Implantação do Windows

Os Serviços de Implantação do Windows, versão atualizada e
reprojetada dos Serviços de Instalação Remota (RIS), são um
pacote de componentes que trabalham juntos no Windows Server
“Longhorn” para ativar a implantação de sistemas operacionais
Windows, particularmente o Windows Vista. Esses componentes são
organizados nestas três categorias:

• Componentes de servidor. Esses componentes incluem um
servidor de Ambiente de Pré-Boot Execution (PXE) e um
servidor de Protocolo de Transferência de Arquivos Simples
(TFTP) para inicializar por rede um cliente para carregar e
instalar um sistema operacional. Também estão incluídos um
repositório de imagem e uma pasta compartilhada, que contêm
imagens de inicialização, de instalação, e arquivos que
você precisa especificamente para inicialização por rede.

• Componentes de cliente. Esses componentes incluem uma GUI
que é executada dentro do Ambiente de Pré-Instalação do
Windows (Windows PE) e se comunica com os componentes de
servidor para selecionar e instalar uma imagem de sistema
operacional.

• Componentes de gerenciamento. Esses componentes são um
conjunto de ferramentas que você usa para gerenciar o
servidor, as imagens do sistema operacional e as contas do
computador cliente.

Os Serviços de Implantação do Windows ajudam na rápida adoção e
implantação de sistemas operacionais Microsoft Windows. Você pode
usá-los para instalar novos computadores usando uma instalação
baseada em rede. Isso significa que você não tem que estar
fisicamente presente diante de cada computador e não tem que
instalar diretamente a partir de um CD ou DVD. Você também pode
usar os Serviços de Implantação do Windows para redefinir os
propósitos dos computadores existentes.

Você pode usar os Serviços de Implantação do Windows em qualquer
organização que esteja interessada em simplificar as implantações
e aumentar a consistência de seus computadores baseados em
Windows. O público-alvo inclui:

• Planejadores ou designers de TI corporativos

• Especialistas em implantação interessados em implantar
imagens em computadores sem sistemas operacionais

Os seguintes requisitos devem ser atendidos antes de instalar a
função Serviços de Implantação do Windows:


255

• Serviços de Domínio do Active Directory. Um servidor com
Serviços de Implantação do Windows deve ser membro de um
domínio do Active Directory ou ser um controlador de
domínio para um domínio do Active Directory. As versões do
domínio e da floresta do Active Directory são irrelevantes;
todas as configurações de domínio e floresta suportam os
Serviços de Implantação do Windows.

• DHCP. Você deve ter um servidor de Protocolo de
Configuração Dinâmica de Host (DHCP) em funcionamento com
um escopo ativo na rede, pois os Serviços de Implantação do
Windows usam o Ambiente de Pre-Boot Execution (PXE), que
por sua vez usa o DHCP.

• DNS. Um servidor de Sistema de Nomes de Domínio em
funcionamento na rede é necessário para executar os
Serviços de Implantação do Windows.

• Um volume de NTFS no servidor de Serviços de Implantação do
Windows. O servidor que está executando os Serviços de
Implantação do Windows requer um volume de sistema de
arquivos NTFS para o armazenamento de imagem.

• Credenciais administrativas. A instalação dos Serviços de
Implantação do Windows requer que o administrador seja um
membro do grupo de Administradores Locais no servidor de
Serviços de Implantação do Windows. Para iniciar o cliente
de Serviços de Implantação do Windows, você deve ser um
membro do grupo de Usuários do Domínio.

Esses Serviços incluem o snap-in do MMC de Serviços de
Implantação do Windows, que fornece gerenciamento rico de todos
os recursos dos Serviços de Implantação do Windows. Os Serviços
de Implantação do Windows também oferecem vários aperfeiçoamentos
feitos no conjunto de recursos dos Serviços de Instalação Remota
(RIS). Esses aperfeiçoamentos suportam a implantação dos sistemas
operacionais Windows Vista e Windows Server “Longhorn”. Com os
Serviços de Implantação do Windows você pode:

• Criar uma imagem de captura. Imagens de captura são usadas
para capturar imagens do Windows preparadas com Sysprep.exe
para implantação como imagens de instalação.

• Criar uma imagem de instalação. Imagens de instalação são
as imagens que você implanta no computador cliente.

• Associar arquivos de instalação autônoma a uma imagem.

• Criar uma imagem de descoberta. Imagens de descoberta são
usadas para implantar o sistema operacional Windows em
computadores que não suportam a inicialização PXE.


256

• Ativar transmissão multicast de uma imagem. Quando você
ativa uma transmissão multicast para uma imagem, os dados
são enviados pela rede apenas uma vez.

Criar uma Imagem de Captura
Você pode capturar imagens dos sistemas operacionais Windows que
foram preparadas com o Sysprep, e depois implantá-las como
imagens de instalação. Imagens de captura são imagens de
inicialização que iniciam o Assistente de Captura de Imagens.
Imagens de captura são salvas primeiro em um arquivo e depois
adicionadas ao armazenamento de imagens.

Para criar uma imagem de captura, faça o seguinte:

1. Abra o Server Manager.

2. Abra o snap-in do MMC de Windows Deployment Services.

3. Expanda a pasta Boot Image folder.

4. Clique com o botão direito na imagem a ser usada como
imagem de captura.

5. Clique em Create Capture Boot Image.

6. Siga as instruções no assistente, e quando ele terminar,
clique em Finish.

7. Clique com o botão direito na pasta da imagem de
inicialização.

8. Clique em Add Boot Image.

9. Procure e selecione a nova imagem de captura, e então
clique em Next.

10. Siga as instruções no assistente.

Antes a imagem de captura era um procedimento complexo de linha
de comando. O Assistente de Captura de Imagens abre a captura de
imagens para administradores de nível mais baixo que talvez não
estejam familiarizados com o trabalho em um aviso de comando.

Criar uma Imagem de Instalação
Você pode construir imagens de instalação a partir de instalações
de referência do sistema operacional Windows e implantá-las nos
computadores cliente. Uma instalação de referência pode ser uma
instalação padrão do Windows ou uma instalação do Windows que foi
configurada para um ambiente ou usuário específico antes da
criação da imagem.


257

Para capturar uma imagem de instalação usando o Assistente de
Captura de Imagens, faça o seguinte:

1. Realize uma instalação de referência em um computador que
será usado como referência.

2. Em uma janela de Aviso de Comando no computador de
referência, mova as pastas para WindowsSystem32Sysprep
ou a pasta que contém Sysprep.exe e Setupcl.exe.

Nota

Essa estrutura de pastas é válida somente para o Windows
Server “Longhorn” e o Windows Vista. Para o Windows Server
2003 e o Windows XP, use a versão apropriada do Sysprep a
partir do Deploy.cab.

3. Digite sysprep /OOBE /generalize /reboot

Nota

Essa sintaxe é válida somente para o Windows Server
“Longhorn” e o Windows Vista. Para verificar a sintaxe para
outra versão do Windows, digite sysprep /?

4. Quando o computador de referência reiniciar, aperte F12.

5. No Gerenciador de Inicialização do Windows, role para a
imagem de captura que você criou anteriormente.

6. Na página do Image Capture Wizard (Assistente de Captura de
Imagens), clique em Next.

7. Na página de Image Capture Source, use o controle de
seleção Volume to Capture para escolher o volume
apropriado, e então forneça um nome e uma descrição para a
imagem. Clique em Next para continuar.

8. Na página Image Capture Destination, clique em Browse e
navegue para o local em que quer armazenar a imagem
capturada.

9. Na caixa de texto File name, digite um nome para a imagem
usando a extensão de nome de arquivo .wim, e então clique
em Save.

10. Clique em Upload image to WDS server.

11. Digite o nome do servidor de Serviços de Implantação
do Windows, e então clique em Connect.

12. Se for alertado sobre credenciais, forneça um nome e
uma senha de usuário para uma conta com privilégio

258

suficiente para conectar-se ao servidor de Serviços de
Implantação do Windows.

13. Na lista de Grupo de Imagens, escolha o grupo de
imagens no qual quer armazenar a imagem.

14. Clique em Finish.

Você pode usar o Assistente de Captura de Imagens em vez de
ferramentas de linha de comando, eliminando a necessidade de
suportar e gerenciar utilitários de linha de comando sensíveis à
versão. Usando o Assistente de Captura de Imagens você pode
inicializar um computador para capturar uma imagem de sistema
operacional do mesmo modo que faria para instalar um sistema
operacional.

Associar um Arquivo de Instalação Autônoma a uma Imagem
Os Serviços de Implantação do Windows permitem que você
automatize o cliente de Serviços de Implantação do Windows e os
últimos estágios da Instalação do Windows. Essa abordagem de dois
estágios é realizada através de dois arquivos diferentes de
instalação autônoma.

• Arquivo autônomo do cliente de Serviços de Implantação do
Windows. Esse arquivo usa o formato Unattend.xml e é
armazenado no servidor de Serviços de Implantação do
Windows na pasta WDSClientUnattend. Ele é usado para
automatizar as telas da interface de usuário do cliente de
Serviços de Implantação do Windows (tais como a inserção de
credenciais, a escolha de uma imagem de instalação e a
configuração do disco).

• Arquivo autônomo de imagem. Esse arquivo usa o Unattend.xml
ou o Sysprep.inf, dependendo da versão do sistema
operacional na imagem. Ele é usado para configurar opções
de instalação autônoma durante a Instalação do Windows e é
armazenado em uma subpasta (estrutura $OEM$ ou Unattend)
na pasta por imagem. É usado para automatizar as fases
remanescentes de instalação (por exemplo, serviços off-
line, especialização do Sysprep e mini-instalação).

Para automatizar qualquer um dos estágios, crie um arquivo
Unattend.xml, copie-o para o local apropriado e atribua-o para
uso. Você pode atribuí-lo no nível do servidor ou do cliente. A
atribuição no nível do servidor pode depois ser quebrada pela
arquitetura, permitindo que você tenha configurações diferentes
para clientes baseados em x86 e x64. A atribuição no nível do
cliente ignora as configurações do nível do servidor.

Você pode configurar a instalação autônoma usando os seguintes
passos:


259

1. Crie um arquivo autônomo apropriado, de acordo com o que
você está configurando – o cliente de Serviços de
Implantação do Windows ou a Instalação do Windows.
Recomendamos que você use o Gerenciador de Imagens de
Sistema do Windows (incluído como parte do Kit de
Instalação Automatizada do Windows (AIK)) para a autoria
dos arquivos de instalação autônoma.

2. Associe o arquivo de instalação autônoma a um tipo de
imagem ou computador.

Configurando Arquivo Autônomo para Cliente de Serviços de Implantação do
Windows
Para associar um arquivo autônomo de cliente pela arquitetura,
faça o seguinte:

1. Crie um arquivo Unattend.xml com configurações aplicáveis
ao cliente de Serviços de Implantação do Windows.

2. Copie o arquivo Unattend.xml para
RemoteInstallWDSClientUnattend.

3. Abra o snap-in do MMC de Serviços de Implantação do
Windows.

4. Expanda a lista no painel esquerdo para expor a lista de
Servers.

5. Clique com o botão direito no servidor de Serviços de
Implantação do Windows que contém a imagem do Windows Vista
ou Windows Server “Longhorn” à qual você quer associar o
arquivo autônomo, e clique em Properties.

6. Na guia Cliente, selecione Enable unattended installation,
navegue para o arquivo autônomo apropriado, e então clique
em Open.

7. Clique em OK duas vezes para fechar a página de
propriedades.

Para associar um arquivo autônomo de cliente por computador

1. Em uma janela de Aviso de Comando, digite o seguinte, em
que <relative path> é o caminho da pasta compartilhada
REMINST à pasta que contém WdsClientUnattend.xml:

WDSUTIL /set-device /device:<computername> /ID:<GUID or MAC
address> /WdsClientUnattend:<relative path>

Configurando a Instalação Autônoma na Instalação do Windows
Para associar um arquivo autônomo de imagem a uma imagem, faça
o seguinte:

260

1. A partir do snap-in do MMC de Serviços de Implantação do
Windows, clique para expandir o grupo de imagens que contém
imagens do Windows Vista ou Windows Server “Longhorn”.

2. Clique com o botão direito na imagem à qual quer associar o
arquivo autônomo, e então clique em Properties.

3. Clique em Allow image to install in unattend mode.

4. Clique em Select File.

5. Insira o nome e o caminho, ou navegue para escolher o
arquivo autônomo, e então clique em OK.

6. Para fechar Image Properties, clique em OK.

Para associar o Sysprep.inf a uma imagem do Windows XP ou
Windows Server 2003, faça o seguinte:

1. Em uma janela de Aviso de Comando, mova as pastas para o
grupo de imagens que contém uma imagem do Windows XP ou
Windows Server 2003.

2. No grupo de imagens que contém a imagem do Windows XP, crie
uma pasta com o mesmo nome da imagem à qual você quer
associar o arquivo Sysprep.inf. Por exemplo:

md C:RemoteInstallImagesimagegroupnameimagename

3. Copie um arquivo Sysprep.inf que seja apropriado para a
imagem para a pasta $OEM$. Por exemplo:

copy C:Sysprep.inf
C:RemoteInstallImagesimagegroupnameimagename$OEM$

4. Adicione arquivos (por exemplo um diretório de ferramentas)
e faça outras alterações conforme o necessário (por
exemplo, modifique o registro usando um script), seguindo
as convenções de $OEM$.

5. Após aplicar a imagem a um novo computador usando os
Serviços de Implantação do Windows, toda a pasta $OEM$ é
copiada a uma unidade no novo computador, e os conteúdos
são aplicados à imagem.

Nota

Para mais informações sobre o Sysprep.inf e a pasta $OEM$,
veja Projetando Tarefas de Instalação Automatizada em

Os arquivos autônomos permitem que você automatize tarefas de
instalação comuns e padronize configurações para sua organização.

261

Os Serviços de Implantação do Windows fornecem várias opções para
associar arquivos autônomos a imagens de inicialização e
instalação.

Associar um Pacote de Idiomas a uma Imagem de Instalação
Você pode associar múltiplos pacotes de idiomas a uma única
imagem, reduzindo o número de imagens que precisa manter. Para
usar um pacote de idiomas, crie a estrutura de pastas apropriada
e copie o pacote de idiomas. O seguinte procedimento descreve
como associar um pacote de idiomas a uma imagem do Windows.

Nota

Pacotes de idiomas são suportados apenas nos sistemas
operacionais Windows Vista e Windows Server “Longhorn”.

Para associar um pacote de idiomas a uma imagem, faça o
seguinte:

1. Na pasta do grupo de imagens que contém a imagem, crie uma
pasta com o mesmo nome do arquivo de imagem.

2. Nessa pasta, crie uma pasta chamada langpacks. Por exemplo,
se o grupo de imagens se chama Vista e a imagem se chama
Install, digite:

md c:remoteinstallimagesvistainstalllangpacks

3. Na pasta langpacks, crie uma pasta para cada pacote de
idiomas que você quer instalar. Para criar uma pasta
langpacks para a língua japonesa, digite:

md c:remoteinstallimagesvistainstalllangpacksja-jp

4. Copie o pacote de idioma Japonês para:
C:Remoteinstallimagesvistainstalllangpacksja-jp.

Você pode associar um pacote de idiomas a uma imagem em vez de
criar imagens únicas para cada língua. Se sua organização suporta
várias línguas, os pacotes de idiomas vão poupar tempo na criação
e atualização de imagens. Por exemplo, se você suporta atualmente
13 línguas por imagem, pode agora construir uma imagem e associar
13 pacotes de idiomas à imagem.

Criar uma Imagem de Descoberta
Imagens de descoberta são usadas para implantar o sistema
operacional Windows em computadores que não suportam a
inicialização PXE. Imagens de descoberta são imagens de
inicialização que iniciam o Assistente de Descoberta dos Serviços
de Implantação do Windows. As imagens de descoberta são salvas em
um arquivo, convertidas para um formato ISO, e então copiadas
para um CD ou DVD.

262

Para associar um pacote de idiomas a uma imagem, faça o
seguinte:

1. Abra o snap-in do MMC de Serviços de Implantação do
Windows.

2. Expanda a pasta Imagem de Inicialização.

3. Clique com o botão direito na imagem a ser usada como
imagem de descoberta.

4. Clique em Create Discover Boot Image.

5. Escolha um nome e uma descrição para a imagem de
descoberta.

6. Escolha um local e um nome para o novo arquivo, usando a
extensão de nome de arquivo .wim.

7. Clique em Next para criar a imagem de captura.

8. Clique em Finish.

Para criar mídia inicializável, faça o seguinte:

1. Em uma janela de Aviso de Comando, digite os seguintes
comandos:

Md c:WinpeBoot

Md c:WinpeSources

2. Para copiar a imagem de descoberta criada no procedimento
anterior, digite:

Copy c:boot.wim c:WinpeSources

3. Para copiar arquivos de inicialização do Windows AIK,
digite:

Xcopy c:Program FilesWindows
AIKtools<architecture>boot c:WinPEboot

4. Mova a pasta para C:Program filesWindows
AIKtools<architecture>.

5. Para criar a imagem ISO inicializável, digite:

Oscdimg -n -bc:winpeISObootetfsboot.com c:winpeISO
c:winpe.iso

6. Use uma ferramenta de cópia em CD que pode criar um CD ou
DVD para transferir a imagem ISO à mídia apropriada.

263

Você pode usar uma imagem de descoberta de um computador que não
suporta a inicialização PXE para iniciar a instalação a partir de
um servidor de Serviços de Implantação do Windows. Sem um disco
de descoberta, os computadores que não suportam a inicialização
PXE não podem acessar os recursos dos Serviços de Implantação do
Windows.

Ativar Transmissão Multicast de uma Imagem
O multicasting permite que você implante uma imagem em um grande
número de computadores cliente sem sobrecarregar a rede. O
multicasting fica desativado por padrão. Você tem duas opções
para criar uma transmissão multicast:

• Clique com o botão direito no nó Multicast Transmission, e
então clique em Create Multicast Transmission.

• Clique com o botão direito em uma imagem, e então clique em
Create Multicast Transmission.

Quando você cria uma transmissão, tem duas opções para o tipo de
multicast:

• Auto-Cast. Essa opção indica que o multicasting está sempre
ligado. Quando você seleciona essa opção, assim que um
cliente aplicável solicita uma imagem de instalação, uma
transmissão multicast da imagem selecionada inicia. Então,
conforme outros clientes solicitam a mesma imagem, eles
também são vinculados à transmissão que já iniciou.

Nota

Os conteúdos apenas são transferidos pela rede se os
clientes estiverem solicitando dados. Se nenhum cliente
estiver conectado (isto é, a transmissão está inativa), os
dados não serão enviados pela rede.

• Cast Agendado. Essa opção estabelece os critérios de início
para a transmissão, com base no número de clientes que
estão solicitando uma imagem e/ou um dia e horário
específicos. Se você não selecionar um desses quadros de
seleção, tem que iniciar manualmente a transmissão. Note
que além desses critérios, você pode iniciar uma
transmissão manualmente a qualquer momento, clicando com o
botão direito na transmissão e depois em Iniciar.

Quando você cria uma transmissão multicast para uma imagem, os
dados são enviados pela rede apenas uma vez, o que pode reduzir
drasticamente a largura de banda da rede que é usada.


264

Implantação
O modo como você implanta os Serviços de Implantação do Windows
depende de um fator - se você já tem servidores de RIS instalados
em seu ambiente:

• Se você tem servidores de RIS já existentes ou servidores
do Windows Server 2003 com a atualização dos Serviços de
Implantação do Windows, pode atualizar esses servidores
diretamente para o Windows Server “Longhorn”.

• Se você está implantando novos servidores de Serviços de
Implantação do Windows com o Windows Server “Longhorn”,
precisa instalar a função de servidor Serviços de
Implantação do Windows.

Nota

Os servidores de Serviços de Implantação do Windows com
Windows Server “Longhorn” não são capazes de implantar
imagens de RIS mais antigas (RISETUP ou RIPREP). Você
precisará converter suas imagens atuais para o formato WIM.

Se você tem uma infra-estrutura de RIS existente, precisa
converter suas imagens atuais para o formato WIM. Os Serviços de
Implantação do Windows no Windows Server “Longhorn” não suportam
imagens RIPREP ou RISETUP criadas por ferramentas de RIS. Além
disso, as telas de RIS OSChooser não são suportadas. Em vez
disso, você usará uma combinação de imagens, opções de instalação
autônoma, e pacotes de idiomas para personalizar instalações
individuais.

Para preservar sua infra-estrutura de RIS existente enquanto
utiliza os Serviços de Implantação do Windows para implantar o
Windows Vista e o Windows Server “Longhorn”, você pode seguir um
destes passos em seus servidores de RIS existentes:

• Instalar a atualização dos Serviços de Implantação do
Windows a partir do Windows AIKt

• Aplicar o Windows Server 2003 SP2, e depois instalar o
componente opcional em Adicionar/Remover Componentes do
Windows.

Recursos Adicionais
Os seguintes recursos oferecem informações adicionais sobre os
Serviços de Implantação do Windows:

• Para informações mais detalhadas sobre os Serviços de
Implantação do Windows, vá à Visão Geral dos Serviços de
Implantação do Windows(http://go.microsoft.com/fwlink/?LinkId=81031).

265

• Para o Guia Passo a Passo dos Serviços de Implantação do
Windows, veja o site da Microsoft

• Se você precisa de suporte ao produto, visite o site do
Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).

• Para acessar grupos de notícias para os Serviços de
Implantação do Windows, siga as instruções fornecidas no
Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=50067).

• Se você é um beta tester e membro do programa beta chamado
Programa de Adoção de Tecnologia (TAP), pode entrar em
contato com o membro da equipe de desenvolvimento da
Microsoft que designou para obter assistência.

• Para mais informações sobre o Windows AIK, veja o Guia do
Usuário sobre o Kit de Instalação Automatizada do Windows
para Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53552).


266

Seção 8: Alta Disponibilidade


267

8.01 Introdução à Alta Disponibilidade

Fornecer serviços altamente disponíveis para aplicações e
serviços críticos é fundamental para qualquer departamento de TI.
Este cenário enfoca alta disponibilidade: Melhorias em Clustering
Failover que estarão disponíveis para aplicações implantadas no
Windows Server® “Longhorn”.
Como parte do Windows Server “Longhorn”, o Clustering Failover
fornece um recurso fácil de ser usado em serviços e aplicações de
missão crítica.

O Clustering Failover no Windows Server “Longhorn” fornece novos
recursos que podem ser usados por uma organização para
implementar uma estratégia de alta disponibilidade ao tornar os
servidores de cluster uma opção inteligente de negócios para a
corporação. As principais propostas de valor que a alta
disponibilidade oferece são:
• Com a nova interface de gerenciamento, a complexidade é
reduzida, proporcionando ao usuário uma interface mais
simples para criação, gerenciamento e utilização dos
servidores clusterizados.
• Ao minimizar os problemas iniciais de configuração através
das novas ferramentas, os custos de suporte e o tempo para
implementação também foram reduzidos.
• A nova funcionalidade possibilita a implementação em
ambientes geograficamente dispersos, permitindo que a
tecnologia se adapte ao ambiente do cliente.

O hardware deve estar na Lista de Compatibilidade de Hardware.


268

8.02 Clustering Failover

No Microsoft® Windows Server “Longhorn,” as melhorias dos clusters
failover (antes chamados de clusters de servidores) têm como
objetivos simplificar os clusters, tornando-os mais seguros e
aprimorando a estabilidade. A configuração e o gerenciamento de
clusters tornaram-se mais fáceis. A segurança e a rede de
clusters foram aprimoradas, assim como a forma como um Cluster
Failover se comunica com um armazenamento.
Um Cluster Failover é um grupo independente de computadores que
trabalha em conjunto para aumentar a disponibilidade de
aplicações e serviços. Os servidores clusterizados (chamados de
nós) são conectados por cabos físicos e por software. Se um nó de
cluster falhar, outro nó passa a oferecer o serviço (um processo
chamado de failover). Os usuários vivenciam interrupções mínimas
no serviço.
Os Clusters Failover são usados por profissonais de TI que
precisam oferecer alta disponibilidade para serviços ou
aplicações.

A Microsoft apenas suporta uma solução de cluster se todos os
componentes de hardware da solução estiverem com o logotipo de
compatibilidade “Designed for Windows Server ‘Longhorn’”. Além
disso, a configuração completa (servidores, rede, e
armazenamento) deve passar por todos os testes do assistente
Validate a Configuration (Validar uma Configuração), que está
incluído no software de gerenciamento de Cluster Failover.

Novo Assistente de Validação
Ao usar o novo assistente de validação nos Clusters Failover,
você pode executar testes para determinar se sua configuração do
sistema, do armazenamento e da rede é adequada para um cluster. O
assistente inclui os seguintes tipos de testes:
• Testes de nós. Estes testes analisam se os servidores
selecionados atendem a requisitos específicos que
estabelecem, por exemplo, que os servidores devem executar
a mesma versão do sistema operacional e as atualizações de
software.
• Testes de rede. Estes testes analisam se as redes de
clusters planejadas atendem a requisitos específicos que
estabelecem, por exemplo, que deve haver pelo menos duas
sub-redes separadas para a redundância de rede.
• Testes de armazenamento. Estes testes analisam se o
armazenamento atende a requisitos específicos que
estabelecem, por exemplo, se o armazenamento suporta


269

corretamente os comandos SCSI necessários e se ele lida
corretamente com as ações de clusters simuladas.

Suporte para Discos GPT no Armazenamento de Clusters
Os discos da tabela de partição GUID (GPT) são suportados no
armazenamento de Clusters Failover. Os discos de GPT fornecem
maior robustez e tamanho de disco. Especificamente, os discos GPT
podem ter partições maiores do que 2 terabytes e possuem
redundância nativa na forma como a informação é armazenada nas
partições, diferentemente dos discos de registro mestre de
inicialização (MBR). Com os Clusters Failover, você pode usar os
dois tipos de discos.

Melhorias na Configuração e Migração
Os Clusters Failover no Windows Server “Longhorn” permitem que
você execute tarefas de configuração e migração mais facilmente
do que nos clusters de servidor das versões anteriores.
• Configure um cluster. O assistente de Configuração de
Cluster foi simplificado para que você possa fazer a
configuração em um só passo. A configuração do cluster
também pode ser feita totalmente através de scripts para
que você possa automatizar sua implantação.
• Migre as informações de configuração de um cluster para
outro. As configurações do grupo de recursos podem ser
capturadas de um cluster que esteja executando o Windows
Server 2003, e depois elas são aplicadas a um cluster
executando o Windows Server “Longhorn”.

Melhorias nas Interfaces de Gerenciamento
você execute tarefas de gerenciamento e operações mais facilmente
do que nos clusters de servidor das versões anteriores.
• Adicione rapidamente recursos clusterizados à sua
configuração. A interface para administrar um cluster é
mais simples e intuitiva, facilitando o desempenho de
tarefas como a criação de uma pasta compartilhada altamente
disponível. Você pode enfocar o gerenciamento de suas
aplicações, e não de seu cluster.
• Use a linha de comando ou o WMI para trabalhar com um
cluster. Você pode usar a linha de comando ou o Windows®
Management Instrumentation (WMI) para executar mais tarefas
do que nas versões anteriores.
• Solucione problemas em um cluster. Em vez de trabalhar com
o log do cluster, você pode usar o Rastreamento de Eventos
do Windows para agregar, gerenciar e relatar informações
sobre a seqüência de eventos que ocorreram no cluster.


270

• Use o Serviço de Cópia de Volume de Sombra para capturar
backups. A integração completa com o Serviço de Cópia de
Volume de Sombra facilita o backup e a restauração da
configuração de seu cluster.
• Controle a forma como você visualiza as pastas
compartilhadas que foram clusterizadas. Você pode controlar
ou “definir o escopo” de sua vizualização das pastas
compartilhadas para que fique mais fácil saber quais pastas
foram clusterizadas e em qual cluster uma pasta
compartilhada está disponível.

Melhorias na Estabilidade e na Segurança para Maior
Disponibilidade
Com os Clusters Failover no Windows Server “Longhorn,” as
melhorias na infra-estrutura de clusters o ajudam maximizar a
disponibilidade dos serviços que você disponibiliza para os
usuários. Podem fazer o seguinte:
• Configure seu cluster para que o recurso de quorum não seja
um ponto de falha único. Com as melhorias nos Clusters
Failover, você pode usar dois modelos de clusters que já
existiam antes – o modelo de recursos de quorum e o modelo
de conjunto de nós principais – ou ainda, um híbrido dos
dois modelos. Por exemplo, em um cluster de dois nós, você
pode especificar que caso o quorum se torne indisponível, o
cluster continuará em execução enquanto as cópias do banco
de dados de configuração do cluster nos dois nós
permanecerem disponíveis.
• Alcance maior confiabilidade e disponibilidade graças às
melhorias na infra-estrutura do cluster. A infra-estrutura
do cluster foi aprimorada para ajudá-lo a alcançar maior
confiabilidade e disponibilidade com os Clusters Failover.
Por exemplo, a infra-estrutura de software que lida com os
recursos clusterizados vai isolar as bibliotecas de
vínculos dinâmicos (DLLs) que executam ações
incorretamente, minimizando o impacto sobre o cluster.
Outro exemplo: o cluster irá usar métodos aprimorados para
garantir a consistência entre as cópias do banco de dados
de configuração do cluster.

Melhorias na Forma como um Cluster Trabalha com o
Armazenamento
você alcance melhor desempenho com seu armazenamento do que nos
clusters de servidor das versões anteriores. Podem fazer o
seguinte:
• Disponibilize discos adicionais para o cluster enquanto as
aplicações estiverem online. Você pode modificar as
dependências dos recursos enquanto eles estiverem online, o

271

que significa que você pode disponibilizar um disco
adicional sem interromper o acesso à aplicação que irá
utilizá-lo.
• Obtenha melhor desempenho e estabilidade com o seu
armazenamento. Quando um Cluster Failover se comunica com o
seu SAN ou DAS, ele utiliza os comandos que menos
atrapalham (evitando reconfigurações no barramento SCSI).
Os discos nunca são deixados em um estado desprotegido, o
que significa que o risco de corrupção em volume é
reduzido. Os Clusters Failover também suportam métodos
aprimorados de descoberta e recuperação de disco.
Os Clusters Failover suportam três tipos de conexões de
armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre
Channel.
• Execute tarefas de manutenção de disco mais facilmente. O
“modo de manutenção” foi aprimorado para que você possa
executar ferramentas para verificar, corrigir, fazer o
backup ou a restauração de discos mais facilmente, com
menos interrupções para o cluster.

Melhorias na Rede e na Segurança
Com os Clusters Failover no Windows Server “Longhorn”, o
desempenho da rede e da segurança foi aprimorado em relação aos
lançamentos anteriores. Podem fazer o seguinte:
• Use o IPv6, que é totalmente integrado com os Clusters
Failover. Os Clusters Failover suportam totalmente o IPv6
tanto na comunicação de nó para nó, quanto na comunicação
de nó para cliente.
• Use o DNS sem as dependências do NetBIOS do legado. Isto
simplifica o transporte do tráfego SMB (Server Message
Block) e significa que você não tem as transmissões de
resolução de nome do Windows Internet Name Service (WINS) e
NetBIOS.
• Alcance maior confiabilidade através de outras melhorias na
rede. Por exemplo, você pode ajudar as dependências entre
um nome da rede e os endereços de IP associados para que o
nome da rede esteja disponível se um dos endereços de IP (e
não ambos) estiver disponível. Além disso, quando os nós
transmitem e recebem “pulsações” para confirmar que cada nó
ainda está disponível, eles utilizam o protocolo TCP
(Transmission Control Protocol) em vez do protocolo UDP
(User Datagram Protocol), que é menos confiável.
• Alcance maior segurança através das melhorias na segurança
e da auditoria do acesso ao cluster. As melhorias na
segurança nos Clusters Failover aprimoram os processos de
autenticação e criptografia. Além disso, você pode usar a
auditoria para capturar informações sobre quem acessou seu
cluster e quando ele foi acessado.

272

Compatibilidade
Se você possui uma aplicação que era executada em um cluster de
servidor com o Windows Server 2003, e a aplicação depende da
conta do serviço de Cluster obrigatória para clusters de
servidores, talvez seja necessário trocar a aplicação para que
ela não dependa mais da conta. Os Clusters Failover que executam
o Windows Server “Longhorn” não utilizam uma conta de serviço de
Cluster separada.

Implantação
Analise cuidadosamente o hardware no qual você planeja implantar
um Cluster Failover para garantir que ele seja compatível com o
Windows Server “Longhorn”. Isto será necessário principalmente se
você estiver usando este hardware atualmente para um cluster de
servidor executando o Windows Server 2003. O hardware que suporta
um cluster de servidor executando o Windows Server 2003 não
necessariamente suportará um Cluster Failover executando o
Observe que
Você não pode executar a atualização de um cluster de
servidor que esteja executando o Windows Server 2003 para
um Cluster Failover executando o Windows Server “Longhorn”.
No entanto, após ter criado um Cluster Failover executando
o Windows Server “Longhorn”, você poderá usar um assistente
para migrar algumas configurações de recursos para um
cluster de servidor executando o Windows Server 2003.


273

8.03 Balanceamento de Carga de Rede
No Microsoft Windows Server “Longhorn”, as melhorias no
Balanceamento de Carga de Rede (NLB - Network Load Balancing)
incluem suporte para Protocolo IP Versão 6 (IPv6) e NDIS 6.0
(especificação da interface do driver de rede , melhorias no
Windows Management Instrumentation (WMI) e funcionalidade
aprimorada com o Microsoft Internet Security and Acceleration (ISA)
Server.
O NLB é um recurso que distribui a carga para as aplicações
cliente/servidor em rede por diversos servidores de cluster. Faz
parte da funcionalidade de escalabilidade horizontal do Windows e é
uma das três tecnologias do Windows Clustering.
O NLB é usado por profissionais de TI que precisam distribuir
solicitações em um conjunto de servidores. O NLB é
particularmente útil para garantir que aplicações sem
monitoramento de estado, como um servidor Web executando IIS,
possam ser escalonadas horizontalmente através da adição de
outros servidores conforme ocorre um aumento da carga. O NLB
oferece escalabilidade ao permitir que você substitua facilmente
um servidor defeituoso ou adicione um novo servidor.
Você deve ser membro do grupo de Administradores no host que você
está configurando para usar o NLB, ou deve ter a autoridade
apropriada para isso.
O NLB inclui as seguintes melhorias:
• Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas
as comunicações.
• Suporte para NDIS 6.0. O driver NLB foi completamente
reescrito para usar o novo modelo de filtro leve do NDIS 6.0.
O NDIS 6.0 retém compatibilidade reversa com versões
anteriores do NDIS. As melhorias no design do NDIS 6.0
incluem maior escalabilidade, desempenho aprimorado e modelo
de driver NDIS simplificado.
• Melhorias no WMI. As melhorias no WMI para o namespace
MicrosoftNLB são para o Ipv6 e para suporte a múltiplos
endereços de IP dedicados.
o As classes no namespace MicrosoftNLB suportam endereço
IPv6 (além dos endereços IPv4).
o A classe MicrosoftNLB_NodeSetting suporta múltiplos
endereços de IP dedicados ao especificá-los em
DedicatedIPAddresses e DedicatedNetMasks.
• Funcionalidade aprimorada com o ISA Server. O ISA Server pode
configurar múltiplos endereços de IP dedicados para cada nó
NLB em cenários onde os clientes consistem em tráfego IPv4 e
IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar
determinado ISA Server para gerenciar o tráfego. O ISA também

274

pode fornecer NLB com notificações de timer e ataque SYN
(estes cenários geralmente ocorrem quando um computador é
sobrecarregado ou infectado por um vírus da Internet).
• Suporte para múltiplos endereços dedicados de IP por nó. O
NLB suporta totalmente a definição de mais de um endereço
dedicado de IP por nó. (Anteriormente, apenas um endereço
dedicado de IP por nó era suportado).


275

Seção 9: Windows Server e
Windows Vista - Melhores juntos


276

9.01 Melhores Juntos — Windows Server “Longhorn” e
Windows Vista

Os sistemas operacinais Windows Server® “Longhorn” e Windows
Vista™ oferecem vários recursos novos e aprimorados ao serem
instalados separadamente, além de benefícios para os negócios.
Contudo, quando os dois sistemas são instalados no mesmo
ambiente, as empresas podem notar benefícios extras, como o
gerenciamento mais eficiente, a maior disponibilidade e
comunicações mais rápidas.
Originalmente, o desenvolvimento do Windows Server “Longhorn” e o
Windows Vista era um único projeto, chamado “Longhorn”. Os dois
possuem um número significativos de tecnologias em comum na
plataforma. Seus sistemas operacionais apresentam diversos
avanços na rede, armazenamento, segurança e gerenciamento. Embora
muitos destes aprimoramentos se apliquem tanto ao Windows Server
“Longhorn” quanto ao Windows Vista, quando as empresas implantam
os dois sistemas operacionais, percebem que a estrutura cliente-
servidor combinada apresenta ainda mais mais benefícios. As
empresas que implantarem o Windows Vista hoje, perceberão
benefícios imediatos, os quais se combinarão aos benefícios
extras com a implantação do Windows Server “Longhorn” assim que
este estiver disponível.

Gerenciamento Mais Eficiente
Os profissionais de TI que administram a infraestrutura do
Windows Vista e do Windows Server “Longhorn” notarão diversos
aprimoramentos na forma de gerenciar e controlar seu ambiente.
• A manutenção será simplificada de maneira significativa
através do uso de um modelo único para autalizações e
pacotes de serviço de clientes e servidores. No futuro, os
administradores de TI poderão utilizar um única atualização
para o cliente e para o servidor de linguagens e múltiplas
plataformas.
• Os computadores do cliente podem monitorar eventos
específicos e os remeter ao Windows Server “Longhorn” para
obtenção de um relatório e monitoramento centralizados e
vice-versa. A subscrição de eventos permite que os
administradores de TI sejam alertados sobre a ocorrência de
determinados eventos para dessa forma tomarem medidas
corretivas imediatas. O recurso da subscrição de eventos
também permite a transmissão de eventos entre as estações
de trabalho do Windows Vista sem a presença do Windows
Server “Longhorn”.
• Os Serviços de Implantação do Windows® fornecem uma rápida e
confiável instalação do sistema operacional com o uso do
novo Windows Image Format (WIM)e da ferramenta disk-


277

imaging, o ImageX. Os adminsitradores de TI poderão
utilizar-se de práticas e técnicas similares e de
excelência para a implatação tanto do sistema operacional
do servidor, quando do cliente, utilizando a nova técnica
de criação de imagens. A instalação com base na imagem
permitirá que uma única imagem seja utilizada em quase
todos os hardware, sem qualquer restrição de localidade. O
fato reduzirá a quantidade imagens a serem mantidas na
memória. É possível até mesmo adicionar drivers,
componentes e atualizações à imagens, sem ter que iniciar o
sistema operacional imaged. O componente Serviços de
Implantação do Windows® é parte do Windows Server “Longhorn”
e uma atualização dos Serviços de Implantação do Windows®
também está disponível para Microsoft® Windows Server 2003
SP2.
• Os recursos do Proteção Contra Acesso à Rede (NAP) do
Windows Server “Longhorn” ajudam a assegurar que os
clientes Windows Vista conectados à rede, estão obedecendo
às politicas de segurança, e que aqueles que não as estão
seguindo tenham seu acesso limitado. A NAP fornece uma
validação das diretivas de integridade, as limitações de
acesso a rede, reparo automático, e aquiescência
permanente, com os componentes do cliente já construídos
dentro do Windows Vista e os componentes do servidor
integrados dentro do Windows Server “Longhorn”.
• O Internet Information Services 7.0 (IIS7) fornece aos
programadores a habilidade de criar aplicações da Web novas
e potentes em um desktop com base Windows Vista e ao
concluir, os enviar para o servidor do Windows Server
“Longhorn”, desde que a mesma versão do IIS7 esteja
operando no cliente e no servidor.

Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da
infra-estrutura do cliente e do servidor estão bastantes
ampliadas por aprimoramentos feitos tanto no Windows Vista quanto
no Windows Server “Longhorn.”
• O Windows Vista pode tornar trabalhos de impressão
acessíveis localmente antes de os enviar aos serrvidores de
impressão, para dessa forma reduzir a carga de trabalho do
servidor de impressão, tornando-o mais acessível. Os dados
são enviados aos servidores de impressão pelo formato de
impressão não processada: EMF. O nível de disponibilidade
será maior porque mais processamentos é realizado no
cliente. A carga de trabalho da rede de filiais sem um
servidor de impressão local também será reduzida. No
entanto, esta capacidade requer que as impressoras possuam
drivers compatíveis. Porém, quando unido a entrega de
tabalhos de impressão do lado do cliente do Windows Server


278

“Longhorn”, os problemas relacionados a incompatibilidade
dos drivers são reduzidos.
• As capacidade de caching do lado do cliente do Windows
Vista estão muito mais acentuadas e trabalham tanto com o
Windows Server “Longhorn” quanto com versões anteriores do
Windows Server. Os recursos do servidor estão armazenados
(cached) localmente, por isso estão acessíveis mesmo no
caso de o servidor não estar acessível. Além disso, as
cópias são atualizadas automaticamente quando o servidor e
o clientes são reconectados. Entre os aprimoramentos do
caching do lado-clientes esta a transição de estado
facilitada, o que faz com que não seja necessária
intervenção por parte do usuário, pois mudanças realizadas
off-line são sincronizadas no plano de fundo de maneira
silenciosa. Além disso, um modo de link low (lento) permite
que os pedidos do usuário sejam satisfeitos do cache local,
assim as conexões com o servidor acontecem somente quando
requeridas. Igualmente, Windows Vista utiliza uma
sincronização rápida e transferência diferenciadas, assim
somente modificações modified nos arquivos são transmitidas
entre cliente e servidor, em vez do arquivo inteiro, não
importando o tipo de aplicativo. As capacidades de caching
do lado-cliente do Windows Vista acumulam benefícios extras
quando trabalham com o Windows Server “Longhorn” devido aos
aprimoramentos de rede subjacente discutidos na
seção“comunicação mais rápida” .
• Os aplicativos ou scripts que precisam operar tanto no
cliente quanto no servidor podem se beneficiar com o
Transactional File System, na redução do risco de erro
durante as operações de arquivo e de registro. Além disso,
poderá retornar a um estado conhecido como bom, no caso de
falha ou cancelamento.
• É possível criar diretivas que assegurem uma maior
qualidade de serviço para certos aplicativos ou serviços,
que requeiram atribuição de prioridades da largura de banda
de rede entre clientes e servidor. Através do uso da
Diretiva de Grupo os administradores também podem
restringir a quantidade de largura de banda que um
aplicativo pode utilizar e determinar valores de code point
de serviços diferenciados (DSCP) através da implementação
dos padrões de indústria de RFCs.

Comunicações Mais Rápidas
Os clientes Windows Vista que estiverem conectados à redes nas
quais o Windows Server “Longhorn” tenha sido implantado podem
perceber uma enorme melhora na rapidez e na confiabilidade da
comunicação.
• A procura por servidores do Windows Server “Longhorn” a
partir do cliente Windows Vista, torna acessíveis aos dois


279

as tecnologias aprimoradas de indexação e de caching,
fornecendo enormes ganhos de desempenho a toda a empresa.
• O suporte ao Native IPv6 por todos os clientes e serviços
do servidor cria uma rede mais escalonável e confiável; ao
mesmo tempo, a plataforma de rede de última geração,
somente disponível na pilha do Windows Vista e do Windows
Server “Longhorn”, torna a comunicação de rede muito mais
rápida e eficiente. Novas tecnologias como o Receive Side
Scaling e o Receive Window Auto-Tuning permitem uma
comunicação mais rápida quando os clintes Windows Vista
estão realizando o download de arquivos dos arquivos
compartilhados do Windows Server “Longhorn” .
• O novo protocolo do Server Message Block (SMB) 2.0 fornece
vários aprimoramentos de comunicação, entre eles um melhor
desempenho ao conectar-se com os arquivos compartilhados
através de links de latência alta e maior segurança com o
uso de autenticação conjunta e assinatura de mensagens.
• Os Serviços de Terminal do Windows Server “Longhorn”
apresentam muitos aprimoramentos; entre eles, fornecer aos
clientes Windows Vista, o acesso remoto a recursos
internos, através de um portal http e aplicativos que
operam como sendo de um desktop local.

Serviços de Implantação do Windows
Depois que seus os engenheiros de sistema criarem a plataforma do
cliente, é preciso buscar uma forma de implantar o aplicativo em
todos os computadores. Nas versões anteriores do Windows, a
maioria das empresas utilizou a técnica chamada imaging
(tratamento de imagens), através da qual um sistema operacional e
aplicativos são implantados nos computadores como um único
arquivo. Com o Windows Server “Longhorn”, todos usarão o imaging,
mesmo se você decidir instalá-los um de cada vez, indo até cada
computador com CD-ROM na mão. No entanto, você não vai precisar
fazer isto porque o Windows Server “Longhorn” torna fáceis as
implantações automáticas e as migrations.
Primeiro, o Windows Imaging Format facilita a tarefa de criação
de imagens se comparada a ferramentas de outras empresas de TI
que você tenha utilizado no passado. Será possível utilizar uma
única imagem em praticamente todos os hardwares sem qualquer
restrição local. Com isso, não será necessário manter tantas
imagens, o que implicará em um enorme ganho de tempo. Você poderá
inclusive adicionar drivers, componentes e atualizações às
imagens sem iniciar o sistema operacional imaged, isto fará com
que você poupe horas a cada atualização.

Proteção contra Acesso à Rede
O Windows Vista inclui o agente NAP (Network Access Protection),
o qual oferece informações sobre o estado de integridade de um
cliente e configurações de acesso à rede de servidores ou ponto a

280

ponto. Os clientes que não possuam atualizações de segurança ou
assinaturas de vírus atuais; ou ainda, aqueles que falham com o
cumprimento dos requisitos de integridade do mandato corporativo,
terão o acesso à rede restrito, até que possam ser reconfigurados
e atualizados de acordo com os requisitos. A infra-estrutura
NAP, presente Windows Server “Longhorn”, estabelece a concessão
do acesso à rede privada ou à rede restrita ao cliente, com base
na aquiescência deste às diretivas de integridade estabelecidas.
Uma vez na rede restrita, o cliente pode ter concedido o acesso a
serviços de reparação para conseguir patches (correções),
assinaturas de anti-vírus entre outras ações necessárias para a
observância aos requisitos das diretivas de integridade. A NAP
também pode ser usada para proteger a sua rede contra o acesso
remoto de clientes insalubres, bem como clientes de LAN
insalubres, através do uso de conexões com ou sem fio 802.1X
autenticadas.

Qualidade do Serviço baseada em Diretivas
A QoS baseada em diretivas, dos sistemas operacionais do Windows
Vista e do Windows Server “Longhorn”, diminui o congestionamento
da rede permitindo o gerenciamento central da largura de banda
host. Por exemplo, caso seja concedida alta prioridade ao tráfego
de um aplicativo ERP para filial sobre o link WAN; então, um
gerente de vendas da filial, ao acessar ou introduzir dados do
ERP, pode obter benefícios de um tempo de resposta
invariavelmente rápido, mesmo quando o link WAN estiver carregado
com outros tráfegos.
Historicamente, o tráfego de rede não tem sido fácil de priorizar
e gerenciar. O tráfego sensível a latência e o tráfego de tarefa
crítica, tiveram que competir por uma largura de banda com
tráfego de prioridade baixa e tolerante a latência, como por
exemplo, a transferência de dados em massa. Ao mesmo tempo,
usuários e computadores com necessidades de desempenho de rede
específicos, exigiram níveis de serviço diferenciados. Assim,o
desafio de fornecer níveis de desempenho de rede previsíveis,
apareceram primerio, com frequência, nas conexões WAN ou nos
aplicativos sensíveis a latência, como Voz sobre IP (VoIP) e o
vídeo. Contudo, o objetivo de fornecer níveis de serviço de rede
previsíveis se aplica a qualquer ambiente de rede e vai além dos
aplicativos VOIP: inclui qualquer aplicativo tradicional de linha
de negócios. Com o QoS baseada em diretivas, o departamento de TI
pode definir diretivas de QoS flexíveis para priorizar ou
controlar o tráfego de saída de rede sem que seja necessário
efetuar modificações nos aplicativos. Estas diretivas de QoS se
aplicam ao tráfego de saída com base em algum ou todos os
seguintes triggers (sinais): o envio de aplicativos, a
implantação através de Diretivas de Grupo (como por exemplo, um
grupo de usuários ou computadores), endereços de IP da fonte ou
destino, porta da fonte ou destino e protocolo.


281

SMB 2.0
O SMB (Server Message Block), também conhecido como Sistema de
Arquivo de Internet (CIFS), trata-se de um protocolo de
compartilhamento de arquivos, utilizado por padrão em
computadores com base Windows. No Windows Vista, o SMB suporta a
nova versão SMB 2.0, a qual foi recriada para os ambientes de
rede atuais e as necessidades dos servidores de arquivo de última
geração. O SMB 2.0 apresenta aprimoramentos que reduzem o número
de pacotes necessários para os comandos SMB e permitem maiores
buffers e mais arquivos abertos a escalabilidade. Os computadores
que operam o Windows Vista suportam tanto o SMB 1.0 (para versões
anteriores do Windows) como os SMB 2.0 (para Windows Vista e
Windows Server “Longhorn”).

Acesso Remoto Simplificado
O Recurso de Conexão Remota com o Windows Vista facilita o acesso
remoto a qualquer recurso ou aplicativo que tenha sido
disponibilizado à você por sua emprsa. Por exemplo, se você for
um vendedor necessitando realizar um acesso remoto a um
aplicativo financeiro ou a um aplicativo CRM, o Windows Vista
possibilita ao gerente de TI corporativo colocar um ícone para
este aplicativo no seu desktop. Dessa forma, basta clicar no
ícone para que uma conexão automática ao Programa Remoto de
Serviços do Terminal seja feita à empresa pela internet e ao
Servidor Terminal do Windows Server “Longhorn,” , sem a
necessidade de uma rede privada virtual (VPN).
O Gateway de Serviços do Terminal do Windows Server “Longhorn”
fornece recursos extras para os computadores domésticos
utilizados no acesso à redes corporativas. Se você acessar do
computador da sua casa, basta entrar no Website da empresa
através da internet e em seguida clicar nos links que o levarão
aos recursos corporativos que você necessita.

Recuperação e Solução de Problemas
Todo o operador de centro de suporte já foi, em algum momento,
obrigado a terminar seu trabalho bem mais tarde do que de
costume, devida a problemas com o computador de um executivo, os
quais precisavam ser solucionados naquele mesmo dia. O Windows
Server “Longhorn” não tornará os executivos menos exigentes, mas
o auxiliará a resolver os problemas de maneira mais rápida ou até
mesmo os resolver antes que o assistente do executivo peça sua
assistência.
Os arquivos de ajuda do Windows Server “Longhorn” são muito mais
aproveitáveis e quase todos os usuários poderão entendê-los,
inclusive os executivos. É possível adicionar seu próprio
conteúdo ao Centro de Suporte e Ajuda, assim os usuários podem
ser assistidos por recursos da rede interna, bem como aplicativos
tradicionais. As ferramentas de resolução de problemas podem ser
personalizadas e você poderá escalar os problemas não


282

solucionados direto do seu centro de suporte interno. As
mensagens de erro do Windows Server “Longhorn” são muito mais
significativas do que as de versões anteriores do Windows e
auxiliarão os usuários a resolver problemas por conta própria, em
vez de pedir a eles que o chamem.
O Windows Server “Longhorn” foi criado para solucionar de maneira
automática alguns dos problemas mais sérios. Por exemplo, caso os
arquivos do sistema se corrompam, o Windows XP pode simplesmente
se recusar a proceder a inicialização. No entanto, o Windows
Server “Longhorn,” poderá ir automaticamente para um
compartimento de recuperação. Em seguida, o Windows Server
“Longhorn” oferece ao usuários o Startup Repair StR), uma
recuperação no modo passo a passo, para a solução de problemas
com base em diagnósticos. O StR analisa as conexões startup para
determinar a causa da falha, resolvendo muitas delas
automaticamente. Caso o StR não consiga resolver o problema, uma
administrador pode optar por fazer com que o sistema retorne a
seu último estado operante. Se o StR não for capaz de recuperar o
sistema, ele fornecerá ao usuário informações para o diagnóstico,
bem como opções de suporte para facilitar a resolução de
problemas.


283

Seção 10: Diversos


284

10.01 Requisitos do Sistema

Requisitos do Sistema para o Windows Server® “Longhorn” Beta 3
• Processador
– Mínimo: 1 GHz
– Recomendado: 2 GHz
– Ideal: 3 GHz ou mais rápido
• Memoria
– Mínimo: 512 MB RAM
– Recomendado: 1 GB RAM
– Ideal: 2 GB RAM (Instalação Completa) ou 1 GB RAM
(Instalação no Núcleo do Servidor) ou mais
– Máximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM
(sistemas 64 bits)
• Espaço Disponível no Disco
– Mínimo: 8 GB
– Recomendado: 40 GB (Instalação Completa) ou 10 GB
(Instalação no Núcleo do Servidor) ou mais
Observe que
Os computadores com mais de 16 GB de RAM necessitarão de
mais espaço no disco para paginação, hibernação e despejo
de memória.
• Unidade de DVD-ROM
• Super VGA
– monitor com 800x600 pixels ou superior
• Teclado
– Teclado Microsoft ou compatível
• Mouse
– Mouse Microsoft uu dispositivo apontador compatível
* Os requisitos atuais variarão de acordo com a configuração do
seu sistema, bem como os aplicativos que você optou por instalar.
Talvez mais espaço disponível no disco rígido seja necessário
caso você esteja instalando em uma rede. Obtenha mais informações
no site http://www.microsoft.com/brasil/windowsserver/longhorn.
Observe que
Este produto requer uma chave do produto válida para sua
ativação. É possível instalar o produto sem ativação; porém, se


285

você não ativar o protudo com uma chave do produto válida 30 dias
após a instalação, o software deixará de funcionar. Durante a
instalação, você deverá selecionar qual a edição do Windows
Server “Longhorn” Beta 3 deseja instalar. Tenha certeza de
escolher a mesma edição do Windows Server “Longhorn” Beta 3 da
chave do produto que você possui, caso contrário, você não
conseguirá ativá-lo.

Instalação Completa Versus Instalação no Núcleo do Servidor
Algumas edições do Windows Server “Longhorn” Beta 3 podem ser
configuradas como instalação complete ou utilizando a nova opção
de instalação no Núcleo do Servidor. As instalações feitas no
Núcleo do Servidor podem ser administradas localmente, apenas com
as ferramentas da linha de comando. A administração das
instalações da Base do Servidor, utilizando as ferramentas de
gerenciamento gráfico, devem ser efetuadas à distância, com o uso
de um software que suporte a administração remota do Windows
Server “Longhorn” Beta 3. Repare que uma vez que a instalação
complete tenha sido feita, não será possível modificar a opção de
instalação de Base do Servidor para Completa, ou vice-versa, sem
reinstalar o software.

.


286

10.02 Tabela Detalhada de Conteúdo
Sobre o documento ...............................................1
Conteúdo ......................................................1

Seção 1: Introdução ao Windows Server “Longhorn” 3
1.02 Maior Controle ...............................................8
1.04 Maior Proteção..............................................14

Seção 2: Virtualização do Servidor 18

Seção 3: Acesso Centralizado a Aplicações 34

Seção 4: Escritórios Remotos 83

Seção 5: Aplicação de Diretivas e Segurança 100

Seção 6: Plataforma de Aplicações e da Web 199

Seção 7: Gerenciamento de Servidores 219


287

7.03 Server Manager ............................................224

Seção 8: Alta Disponibilidade 266

Seção 9: Windows Server e Windows Vista - Melhores juntos 275

Seção 10: Diversos 283


Windows Server 2008pdf

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Windows Server 2008pdf

Windows Server 2008pdf