Professional Documents
Culture Documents
Sobre o documento
Seção 1: Introdução ao
Windows Server “Longhorn”
1.01 Introdução ao Windows Server “Longhorn”...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade ............................................11
1.04 Maior Proteção..............................................14
Seção 2: Virtualização do
Servidor
2.01 Introdução à Virtualização de Servidor .............................19
2.02 Virtualização do Windows Server.................................20
2.03 Núcleo do Servidor ...........................................33
Benefícios da Virtualização
Organizações de TI hoje estão sob uma pressão incrível para
fornecer mais valor a seus clientes comerciais – e tipicamente
com pouco ou nenhum aumento no orçamento. Otimizar o uso de
ativos físicos de TI se torna imperativo à medida que os centros
de dados atingem sua capacidade de potência e espaço. A Microsoft
reconhece que o problema se intensifica para empresas cujos
servidores trabalham com utilização muito baixa. Taxas de
utilização de servidor de menos de 5 por cento não são incomuns,
e as taxas de utilização de muitos clientes caem dentro da faixa
de 10- a 15 por cento. Muitos desses desafios, compartilhados
entre administradores de servidor e desenvolvedores, podem ser
tratados com a ajuda das soluções de virtualização da Microsoft.
A tecnologia de virtualização de máquina é usada para consolidar
várias máquinas físicas em uma única máquina física. A
virtualização também pode ser usada para re-hospedar ambientes de
legado, especialmente conforme o hardware de geração mais antiga
se torna mais difícil e dispendioso para manter. E como o
software é separado do hardware, a virtualização é uma boa
solução para ambientes de recuperação de desastres, também.
Como uma parte essencial de qualquer estratégia de consolidação
de servidor, as soluções de virtualização da Microsoft aumentam a
utilização do hardware e permitem que as organizações configurem
e implantem rapidamente novos servidores com os seguintes
importantes benefícios:
• Uso eficiente de recursos de hardware. O isolamento e
gerenciamento de recursos de máquina virtual possibilitam a
coexistência de várias cargas de trabalho em menos
servidores, permitindo que as organizações façam um uso
mais eficiente de seus recursos de hardware. A
Guia do Revisor do Windows Server “Longhorn” Beta 3
22
Cenários de Uso
O Virtual Server 2005 R2 oferece eficiência de hardware melhorada
oferecendo uma ótima solução para isolamento e gerenciamento de
recursos, o que possibilita a coexistência de múltiplas cargas de
trabalho em menos servidores. O Virtual Server pode ser usado
Guia do Revisor do Windows Server “Longhorn” Beta 3
24
Principais Recursos
A virtualização facilita ampla compatibilidade de dispositivos e
suporte completo para ambientes de servidor Windows.
• Isolamento de máquina virtual. O isolamento de máquina
virtual garante que se uma máquina virtual cair ou travar,
não tenha impacto sobre nenhuma outra máquina virtual ou
sobre o sistema host. A compatibilidade máxima da aplicação
é alcançada através do isolamento. Isso permite que os
clientes potencializem ainda mais suas infra-estruturas
existentes de armazenamento, rede e segurança.
• Ampla compatibilidade de dispositivos. O Virtual Server é
executado no Windows Server 2003, que suporta a maioria dos
dispositivos do Catálogo do Windows Server, oferecendo
compatibilidade com uma ampla gama de hardwares de sistemas
de host.
• VMM multithread. O Monitor de Máquina Virtual do Virtual
Server fornece a
infra-estrutura
de software para
criar, gerenciar
e interagir com
máquinas
virtuais em
hardware
multiprocessado.
• Ampla
compatibilidade
com sistema
operacional x86
guest. O Virtual
Server pode
executar todos
Virtual Server 2005 R2: Administration Website
os principais
Guia do Revisor do Windows Server “Longhorn” Beta 3
26
Cenários de Uso
A Virtualização do Windows Server é integrada como a função de
virtualização no Windows Server “Longhorn” e oferece um ambiente
virtual mais dinâmico para consolidar cargas de trabalho. Ela
fornece uma plataforma de virtualização que permite eficiência
operacional aprimorada para consolidação de cargas de trabalho,
gerenciamento de continuidade de negócios, automatizar e
consolidar ambientes de testes de software, e criar um centro de
dados dinâmico.
• Consolidação de servidor de produção. Organizações procuram
servidores de produção em seus centros de dados e encontram
níveis de utilização geral de hardware entre 5 e 15 por
cento da capacidade do servidor. Além disso, limitações
físicas como espaço e potência as estão impedindo de
expandir seus centros de dados. Consolidar vários
servidores de produção com a Virtualização do Windows
Server pode ajudar as empresas a se beneficiarem da
utilização aumentada do hardware e do custo total de
propriedade geral reduzido.
• Gerenciamento de continuidade de negócios. Os
administradores de TI estão sempre tentando encontrar
maneiras de reduzir ou eliminar o tempo de inatividade de
seu ambiente. A Virtualização do Windows Server oferecerá
recursos para recuperação eficiente de desastres para
minimizar o tempo de inatividade. O ambiente de
virtualização robusto e flexível criado pela Virtualização
do Windows Server minimiza o impacto de tempos de
inatividade programados e não programados.
• Teste e desenvolvimento de software. Uma das maiores áreas
onde a tecnologia de virtualização continuará sendo
relevante é a de teste e desenvolvimento de software para
criar ambientes automatizados e consolidados que sejam
ágeis o suficiente para acomodar as exigências em constante
mudança. A Virtualização do Windows Server ajuda a
minimizar o hardware de teste, melhora o gerenciamento de
ciclo de vida e melhora a cobertura dos testes.
• Centro de dados dinâmico. O rico conjunto de recursos da
Virtualização do Windows Server combinado com os novos
recursos de gerenciamento estendidos pelo Gerenciador de
Máquina Virtual permite que as organizações criem uma
infra-estrutura mais ágil. Os administradores serão capazes
de adicionar recursos dinamicamente a máquinas virtuais e
movê-las através de máquinas físicas de maneira
transparente sem causar impacto nos usuários.
Principais Recursos
Há vários novos recursos na Virtualização do Windows Server que
ajudam a criar uma plataforma de virtualização escalonável,
segura e altamente disponível como parte do Windows Server
“Longhorn.” Os seguintes são alguns dos principais componentes e
recursos da Virtualização do Windows Server.
• Monitor Windows. É uma camada finíssima de software que
utiliza o suporte a driver e a tecnologia de virtualização
assistida por hardware do Windows Server. A base de código
mínimo sem nenhum código ou driver de terceiros ajuda a
criar uma base mais segura e robusta para soluções de
virtualização.
• Gerenciamento dinâmico de recursos. A Virtualização do
Windows Server oferece a capacidade de incluir a quente
recursos como CPU, memória, redes e armazenamento às
máquinas virtuais sem tempo de inatividade. Combinado com
os recursos de conexão a quente do Windows Server
“Longhorn”, isso permite que os administradores gerenciem
seus recursos de hardware sem impacto sobre seus
compromissos de SLA.
• Suporte a guest (convidado) de 64 bits. Um novo recurso
importante
da
plataforma
de
Virtuali-
zação do
Windows
Server é
guests de
64 bits.
Isso
permite que
organiza-
ções
virtualizem Windows Server Virtualization: User Interface and multi-proc support
mais
aplicações
que são exigentes em termos de memória e se beneficiem do
pool de memória aumentado acessível em um ambiente de 64
bits.
• Suporte a multiprocessador guest (convidado). A
Virtualização do Windows Server agora oferece a capacidade
de alocar múltiplos recursos de CPU a uma única máquina
virtual e permite a virtualização de aplicações
multithread. Este recurso, combinado com o suporte a guests
de 64 bits, torna a Virtualização do Windows Server uma
plataforma escalonável para virtualização.
Cenários de Uso
O System Center Virtual Machine Manager oferece suporte simples e
completo para consolidar hardware em infra-estrutura virtual e
otimizar a utilização. Ele também proporciona rápido
aprovisionamento de máquinas virtuais a partir de máquinas
físicas ou modelos na biblioteca de imagens ou por usuários
finais.
• Consolidação de servidor de produção. À medida que as
organizações buscam consolidar seus servidores de produção,
o System Center Virtual Machine Manager oferece uma maneira
de transferir o conhecimento sobre o sistema e o ambiente
através do processo de virtualização e ajuda a manter a
continuidade do conhecimento. Pela consolidação de vários
servidores de produção com o Virtual Server 2005 R2 ou
Virtualização do Windows Server, as empresas reduzem o
Principais Recursos
O System Center Virtual Machine Manager se concentra em
requisitos únicos de máquinas virtuais e é projetado para
permitir utilização aumentada de servidor físico, gerenciamento
centralizado de infra-estrutura de máquina virtual e rápido
aprovisionamento de novas máquinas virtuais. Os seguintes são
alguns dos recursos principais do System Center Virtual Machine
Manager.
• Identificação de candidato a consolidação. O primeiro passo
na migração de um centro de dados físico com um modelo de
uma carga de trabalho por servidor é identificar as cargas
de trabalho físicas apropriadas para consolidação no
hardware virtual. Os fatores de decisão para determinar os
candidatos adequados se baseiam em vários fatores, como
desempenho histórico, características de pico de carga e
padrões de acesso. O System Center Virtual Machine Manager
utiliza os dados históricos de desempenho existentes no
banco de dados do System Center Operations Manager para
listar os candidatos a consolidação em ordem de
classificação.
Nota
Nota
redirectposdevices:i:<value>
desktopwidth:i:<value>
desktopheight:i:<value>
Nota
Abrangência do Monitor
A abrangência de monitores permite que você exiba sua sessão de
área de trabalho remota através de vários monitores.
Os monitores usados para a abrangência de monitores devem
satisfazer os seguintes requisitos:
• Todos os monitores devem usar a mesma resolução. Por
exemplo, dois monitores usando resolução 1024x768 podem ser
Guia do Revisor do Windows Server “Longhorn” Beta 3
43
Span:i:<value>
mstsc.exe /span
Experiência Desktop
O software de Conexão de Área de trabalho Remota 6.0 (Remote
Desktop Connection 6.0) reproduz a área de trabalho que existe no
computador remoto no computador cliente do usuário. Para fazer o
computador remoto se parecer com a Experiência Desktop do Windows
Vista local do usuário, você pode instalar o recurso de
Experiência Desktop em seu servidor de terminal do Windows Server
“Longhorn”. A Experiência Desktop instala recursos do Windows
Vista, como o Windows Media® Player 11, temas de área de trabalho,
e gerenciamento de fotos.
Para implementar o Microsoft POS for .NET 1.1 em seu servidor
de terminal, faça o seguinte:
2. Configure o tema:
b. Configurações de Exibição
c. Facilidade de Acesso
9. Clique em Save.
Configuração de Cliente
Para tornar a composição de área de trabalho disponível para uma
conexão de área de trabalho remota, siga este procedimento.
Para tornar uma composição de área de trabalho disponível,
faça o seguinte:
Suavização de Fonte
O Windows Server “Longhorn” suporta ClearType®, que é uma
tecnologia para exibir fintes de computador de modo que elas
Logon Único
O logon único é um método de autenticação que permite a um
usuário com uma conta de domínio efetuar o logon uma única vez,
usando uma senha ou smart card, e então obter acesso a servidores
remotos sem precisar apresentar suas credenciais novamente.
Os principais cenários para o logon único são esses:
• Implantação de aplicações de gestão de negócios (LOB)
• Implantação centralizada de aplicação
Devido a custos mais baixos de manutenção, muitas companhias
preferem instalar suas aplicações de gestão de negócios em um
servidor de terminal e tornar essas aplicações disponíveis
através do RemoteApps ou da Área de trabalho Remota. O logon
único possibilita dar aos usuários uma melhor experiência
eliminando a necessidade de eles digitarem suas credenciais
sempre que iniciarem uma sessão remota.
TS CAPs
As diretivas de autorização de conexão dos Serviços e Terminal
(TS CAPs) permitem que você especifique grupos de usuários, e
opcionalmente, grupos de computadores, que podem acessar um
servidor de TS Gateway. Você pode criar um TS CAP usando o
Gerenciador de TS Gateway.
As TS CAPs simplificam a administração e aumentam a segurança
oferecendo um maior nível de controle sobre o acesso a
computadores remotos em sua rede corporativa.
As TS CAPs permitem que você especifique quem pode ser conectar a
um servidor de TS Gateway. Você pode especificar um grupo de
usuários que existe no servidor de TS Gateway local ou nos
Serviços de Domínio do Active Directory. Você também pode
especificar outras condições que os usuários devem satisfazer
para acessar um servidor de TS Gateway. Pode listar condições
específicas em cada TS CAP. Por exemplo, você pode exigir que um
usuário use um smart card para se conectar através do TS Gateway.
Os usuários recebem acesso a um servidor de TS Gateway se
atenderem as condições especificadas na TS CAP.
Importante
Você também deve criar uma diretiva de autorização de
recurso de Serviços de Terminal (TS RAP). Uma TS RAP
permite que você especifique os recursos de rede aos quais
os usuários podem se conectar através do TS Gateway. Até
você criar uma TS CAP e uma TS RAP, os usuários não podem
se conectar a recursos de rede através desse servidor de TS
Gateway.
TS RAPs
As TS RAPs permitem que você especifique os recursos de rede aos
quais os usuários podem se conectar através de um servidor de TS
Gateway. Quando você cria uma TS RAP, pode criar um grupo de
computadores e associá-lo com a TS RAP.
Usuários conectando-se à rede através do TS Gateway recebem
acesso a computadores remotos na rede corporativa se satisfizerem
as condições especificadas em pelo menos uma TS CAP e uma TS RAP.
Nota
Usuários de clientes podem especificar um nome de NetBIOS
ou um nome de domínio completamente qualificado (FQDN -
fully qualified domain name) para o computador remoto que
querem acessar através do servidor de TS Gateway. Para
suportar tanto nomes de NetBIOS ou FQDN, crie uma TS RAP
para cada nome de computador possível.
Juntas, as TS CAPs e TS RAPs oferecem dois níveis diferentes de
autorização para dar a você a capacidade de configurar um nível
mais específico de controle de acesso a recursos de redes
corporativas.
Capacidades de Monitoramento
Você pode usar o Gerenciador de TS Gateway para visualizar
informações sobre conexões ativas de clientes de Serviços de
Referências Adicionais
Para mais informações sobre o TS RemoteApp, consulte o Guia Passo
a Passo do TS RemoteApp. Para acessar esse guia, visite o
TechCenter do Windows Server “Longhorn” TS RemoteApp e TS Web
Access (http://go.microsoft.com/fwlink/?LinkId=79609).
Implantação
Se você quer implantar o TS Web Access, pode se preparar analisando
o tópico Terminal Services RemoteApp (TS RemoteApp) neste documento
para informações sobre o novo recurso TS RemoteApp. Informações
mais detalhadas de implantação estão disponíveis no Guia Passo a
Passo do TS RemoteApp. Para acessar esse guia, visite o TechCenter
Windows Server “Longhorn” TS RemoteApp e TS Web Access TechCenter
(http://go.microsoft.com/fwlink/?LinkId=79609). Você também pode querer analisar
as informações sobre o IIS 7.0.
Se quiser usar o TS Web Access para tornar RemoteApps disponíveis a
computadores através da Internet, deve analisar o tópico Gateway de
Serviços de Terminal (TS Gateway) neste documento. O TS Gateway
ajuda você a proteger conexões remotas a servidores de terminal em
sua rede corporativa.
Nota
Para configurar um servidor para participar do
balanceamento de carga do TS Session Broker, e para
atribuir um valor de peso a um servidor, você pode usar a
ferramenta Configuração de Serviços de Terminal.
Além disso, é fornecido um novo mecanismo que possibilita que
você permita ou recuse novas conexões de usuário ao servidor de
terminal. Esse mecanismo fornece a capacidade de se colocar um
servidor offline para manutenção sem interromper a experiência do
usuário. Se novas conexões forem recusadas em um servidor de
terminal na farm, o TS Session Broker redirecionará as sessões de
usuários para servidores de terminal configurados para permitir
novas conexões.
Nota
A configuração que você pode usar para permitir ou recusar
novas conexões de usuários está localizada na guia Geral da
conexão RDP-Tcp na ferramenta Configuração de Serviços de
Terminal.
Se você quiser usar o recurso de balanceamento de carga do TS
Session Broker, tanto o servidor do TS Session Broker como os
servidores de terminal na mesma farm devem estar executando o
Windows Server “Longhorn” Beta 3.
você deve registrar o endereço IP de todos os servidores de terminal
em uma única entrada do DNS para a farm. Se preferir, pode usar
rodízio de DNS ou um balanceador de carga de hardware para espalhar
a carga de conexão e autenticação inicial entre múltiplos servidores
de terminal na farm.
2. Instale o WSRM.
Instalando o WSRM
Para instalar o serviço de função de Servidor de Terminal e
configurá-lo para hospedar programas, faça o seguinte:
Desempenho de Monitoramento
Você deve coletar dados sobre o desempenho de seu servidor de
terminal antes e depois de implementar a diretiva de alocação de
recursos Igual_Por_Sessão (ou de fazer qualquer outra alteração
de configuração relacionada ao WSRM). Você pode usar o Monitor de
Recursos do snap-in Gerenciador de Recursos de Sistema do Windows
para coletar e visualizar dados sobre o uso de recursos de
hardware e a atividade de serviços de sistema no computador.
Replicação Unidirecional
Nenhuma mudança é gravada diretamente no RODC, pois nenhuma
mudança se origina no RODC. Como resultado, os controladores de
domínio gravável, que são parceiros na replicação, não precisam
extrair mudanças do RODC. Isto reduz a carga de trabalho dos
servidores bridgehead no hub e o esforço necessário para
monitorar a replicação.
A replicação unidirecional do RODC se aplica tanto aos Serviços
de Domínio do Active Directory® como à Replicação do Sistema de
Arquivos Distribuído (DFS). O RODC desempenha a replicação normal
Caching de Credenciais
Caching de credenciais é o armazenamento de credenciais do
usuário ou do computador. As credenciais consistem em um pequeno
conjunto de aproximadamente 10 senhas que estão associadas aos
diretores de segurança. Por padrão, um RODC não armazena as
credenciais do usuário ou do computador. As exceções são a conta
de computador do RODC e uma conta krbtgt especial existente em
cada RODC. É necessário conceder permissão explícita a qualquer
outro caching de credencial explicitamente em um RODC.
O RODC é anunciado como o Principal Centro de Distribuição (KDC –
Key Distribution Center) para a filial. O RODC utiliza uma conta
krbtgt e senha diferente do KDC em um controlador de domínio
gravável, quando este assina ou criptografa pedidos TGT (ticket-
granting ticket).
Após uma conta ser devidamente autenticada, o RODC tenta contatar
um controlador de domínio gravável no site hub e pede uma cópia
das credenciais apropriadas. O controlador de domínio gravável
reconhece que o pedido se origina de um RODC e consulta a
Diretiva de Replicação de Senhas em vigor para aquele RODC.
A Diretiva de Replicação de Senhas determina se podem ser
replicadas as credenciais de um usuário ou de um computador do
controlador de domínio gravável para o RODC. Se a Diretiva de
Replicação de Senhas permitir, o controlador de domínio gravável
replica as credenciais para o RODC, que faz o caching.
Depois de fazer o caching das credenciais, o RODC pode atender
diretamente os pedidos de registro do usuário até o momento de
troca de credenciais. (Quando um TGT é assinado com a conta
krbtgt do RODC, este reconhece que existe uma cópia cache das
credenciais. Caso outro controlador de domínio assine o TGT, o
RODC envia os pedidos ao controlador de domínio gravável.)
Ao limitar o caching de credenciais somente aos usuários
certificados com o RODC, a exposição potencial de credenciais do
RODC também é limitada. De maneira geral, apenas um pequeno grupo
de usuários do domínio possui o caching das credenciais em
qualquer RODC. Portanto, no caso de o RODC ser roubado, somente
as credenciais cacheadas podem potencialmente ser quebradas.
O ato de deixar o caching de credenciais desabilitado pode mais
adiante limitar a exposição, mas faz com que todos os pedidos de
autenticação sejam encaminhados para um controlador de domínio
gravável. Um administrador pode modificar a Diretiva de
Replicação de Senhas para permitir o caching de credenciais dos
usuários no RODC.
Implantação
Os pré-requisitos para a implantação de um RODC são os seguintes:
• O controlador de domínio que contém a função de mestre de
operações do emulador PDC (controlador de domínio primário)
precisa executar o Windows Server “Longhorn”. Isto é
necessário para a criação da nova conta krbtgt para o RODC
e suas operações.
• O RODC precisa encaminhar pedidos de autenticação para um
controlador de domínio gravável que tenha instalado o
Windows Server “Longhorn.” A Diretiva de Replicação de
Senhas é instalada neste controlador de domínio para
determinar que as credenciais sejam replicadas para a
filial, em um pedido encaminhado pelo RODC.
• O nível funcional do domínio deve ser Windows Server 2003
ou superior, em que esteja disponível uma delegação
limitada por kerberos. Uma delegação limitada é utilizada
(http://go.microsoft.com/fwlink/?LinkId=72757).
O BitLocker exige que a partição ativa (também chamada de
partição de sistema) não seja criptografada. O sistema
operacional Windows é instalado em uma segunda partição, a qual é
criptografada pelo BitLocker.
Ao trabalhar com a criptografia de dados, especialmente em um
ambiente corporativo, é necessário ter em mente como estes dados
poderão ser recuperados no caso de uma falha de hardware, de
mudanças no quadro de funcionários, ou outras situações em que há
perda das chaves de criptografia. O BitLocker suporta um cenário
robusto de recuperação, o qual será descrito neste artigo mais
adiante.
Os principais recursos do BitLocker incluem criptografia de
unidade de disco, verificação da integridade dos primeiros
componentes de inicialização e o mecanismo de recuperação.
Verificação de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos
primeiros componentes da inicialização, para ajudar na prevenção
contra ataques offline adicionais, como por exemplo, tentativas
de inserir códigos maliciosos nesses componentes.
Na primeira etapa do processo de inicialização, os componentes
não podem estar criptografados, para que o computador possa
iniciar. Por esta razão, um agressor pode efetuar mudança de
código nos primeiros componentes da inicialização, tendo acesso
ao computador, mesmo que os dados do disco estejam
criptografados. Assim, se o agressor conseguir acesso às
informações confidenciais, como as chaves do BitLocker ou senhas
do usuário, o BitLocker, bem como outras proteções de segurança
do Windows, podem ser burladas.
Cada vez que um computador equipado com TPM inicia, cada um dos
primeiros componentes de inicialização (como BIOS, MBR, setor de
partida e código de gerenciamento de inicialização) examina o
código a ser executado, calcula um valor de seqüência e armazena
este valor no TPM. Uma vez instalado no TPM, esse valor não pode
ser mudado até que o sistema reinicialize. Uma combinação destes
valores é gravada e usada para proteger as chaves de
criptografia.
Os computadores que incorporam um TPM podem criar uma chave
vinculada a estes valores. Quando este tipo de chave é criada,
ela é criptografada pelo TPM, e somente o TPM pode
descriptografá-la. Cada vez que o computador inicia, o TPM
compara os valores produzidos durante a inicialização atual com
os valores que existiam no momento da criação da chave. Ele
somente criptografa a chave se os valores combinarem. Este
processo é chamado “lacrar” e “deslacrar” a chave.
O BitLocker examina e lacra as chaves nas dimensões do CRTM (Core
Root of Trust), do BIOS e de qualquer extensão de plataforma,
opção de código memória somente leitura (ROM), código MBR, setor
de partida e gerenciador de partida. Isto significa que, no caso
de ocorrer alguma mudança inesperada em qualquer desses ítens, o
BitLocker travará a unidade e impedirá que ela seja acessada ou
descriptografada.
O Bitlocker é configurado para buscar e utilizar um TPM. Você
pode empregar a Diretiva de Grupo para permitir que o BitLocker
opere sem um TPM e armazene as chaves em uma unidade externa USB;
entretanto, o BitLocker não pode então verificar os primeiros
componentes da inicialização.
Guia do Revisor do Windows Server “Longhorn” Beta 3
94
Opções de Recuperação
O BitLocker suporta uma grande série de opções de recuperação, de
modo a garantir a disponibilidade dos dados aos seus usuários
legítimos.
É fundamental que os dados de uma empresa possam ser
descriptografados, mesmo que estejam disponíveis as chaves de
descriptorafia mais amplamente utilizadas. A capacidade de
recuperação está inserida no BitLocker, sem “back doors”. Porém,
as empresas podem facilmente assegurar-se de que seus dados estão
protegidos e disponíveis.
Quando o BitLocker é ativado, o usuário recebe uma solicitação
para armazenar uma “senha de recuperação”, a qual será utilizada
para destravar um volume BitLocker que estiver travado. O
assistente de instalação do BitLocker exige que pelo menos uma
cópia da senha de recuperação seja salva.
Porém, em muitos ambientes, não é possível confiar a usuários a
guarda e proteção das senhas de recuperação. Assim sendo, você
pode configurar o BitLocker para salvar as informações de
recuperação no Active Directory ou nos Serviços de Domínio do
Active Directory.
Nós recomendamos que as senhas de recuperação sejam salvas no
Active Directory em ambientes corporativos.
As configurações da Diretiva de Grupo podem ser usadas para
configurar o BitLocker, de forma a exigir ou proibir diferentes
tipos de armazenamento de senhas de recuperação, ou torná-las
opcionais.
As configurações da Diretiva de Grupo também podem ser usadas
para evitar a desativação do BitLocker, caso não seja possível o
backup das chaves no Active Directory.
Para mais informações sobre como configurar o Active Directory
para suportar as opções de recuperação, veja: Configuring Active
Directory to Back up Windows Criptografia de Unidade de Disco
BitLocker e Trusted Platform Module Recovery Information
(http://go.microsoft.com/fwlink/?LinkId=82827).
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto através do Windows
Management Instrumentation (WMI) ou de uma interface de comando
por linha.
Em um ambiente com muitos computadores ou computadores em
escritórios remotos e filiais, fica difícil ou impossível
gerenciar recursos e configurações de forma individual.
Os recursos do BitLocker estão dispostos no subsistema WMI, que é
uma implementação das estruturas e funções do WBEM (Web-Based
Enterprise Management). Por essa razão, os administradores podem
usar qualquer software WBEM compatível com WMI para gerenciar o
BitLocker em computadores locais ou remotos.
Para mais informações sobre BitLocker e WMI, veja: Criptografia
de Unidade de Disco BitLocker Provider
(http://go.microsoft.com/fwlink/?LinkId=82828)
O Windows também adiciona ao BitLocker uma interface de comando
por linha, implementada como um script chamado manage-
bde.wsf.Você pode usar o manage-bde.wsf para controlar todos os
aspectos do BitLocker em um computador local ou remoto. Para
obter uma lista completa da sintaxe e dos comandos do of manage-
bde, digite o seguinte em um prompt de comando:
manage-bde.wsf /?
O gerenciamento remoto do BitLocker é um componente opcional que
pode ser instalado no Windows Server “Longhorn”, para permitir
que você gerencie outros computadores sem ativar o BitLocker no
servidor que você esteja usando.
O componente opcional para o gerenciamento remoto do BitLocker é
chamado BitLocker-RemoteAdminTool. Este pacote de componente
opcional contém o manage-bde.wsf e o arquivo associado .ini. Para
instalar somente o componente de gerenciamento remoto, você deve
digitar no prompt de comando:
start /w pkgmgr /iu:BitLocker-RemoteAdminTool
Implantação
O BitLocker é um componente opcional em todas as edições do
Windows Server “Longhorn.”
O BitLocker está disponível no Windows Vista Enterprise e no
Windows Vista Ultimate, e pode ser muito útil na proteção de
dados armazenados em computadores clientes, especialmente nos
móveis.
Antes de ativar o BitLocker, você deve levar em consideração:
• Requisitos de Hardware. Se o hardware existente não tiver
potência suficiente para realizar a criptografia, considere
fazer uma atualização. Para utilizar a totalidade de
recursos do sistema, como será descrito adiante, a
plataforma de hardware deve estar equipada com um TPM
versão 1.2.
• Diretivas corporativas. Avalie suas diretivas relacionadas
à retenção de dados, criptografia e compatibilidade.
Certifique-se de ter um plano para recuperação de dados,
como será discutido na próxima seção.
Informações Adicionais
• Para informações adicionais sobre o BitLocker, visite:
Criptografia de Unidade de Disco BitLocker: Visão Geral
Técnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a-
Passo Windows Criptografia de Unidade de Disco BitLocker
(http://go.microsoft.com/fwlink/?LinkID=53779).
• Artigos e recursos adicionais sobre o BitLocker estão
disponíveis no TechCenter do Microsoft Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=82914).
Recursos Adicionais
Para saber mais sobre os Serviços de Acesso e Diretiva de Rede,
abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de
exibir a Ajuda:
• Snap-in MMC NPS
• Snap-in MMC Routing and Remote Access.
• Snap-in MMC HRA
• Snap-in MMC Group Policy Object Editor
Validação de Diretivas
Os SHVs (System health validators – validadores de integridade do
sistema) são utilizados pelo NPS para analisar o status de
integridade dos computadores cliente. OS SHVs são incorporados às
diretivas de rede que determinam as ações a serem realizadas com
base no status da integridade do cliente, como conceder acesso
total à rede ou restringir o acesso à rede. O status da
integridade é monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents – agentes de
integridade do sistema). O NAP utiliza os SHAs e os SHVs para
monitorar, reforçar e remediar configurações de computadores
cliente.
O Windows Security Health Agent e o Windows Security Health
Validator estão incluídos nos sistemas operacionais Windows Server
“Longhorn” e Windows Vista e reforçam as seguintes configurações
para computadores ativados para o NAP:
• O computador cliente deve possuir software de firewall
instalado e ativado.
• O computador cliente deve possuir software antivírus
instalado e em execução.
• O computador cliente deve possuir atualizações de antivírus
atuais instaladas.
• O computador cliente deve possuir software anti-spyware
instalado e em execução.
• O computador cliente deve possuir atualizações de anti-
spywares atuais instaladas.
• O Microsoft Update Services deve estar ativado no computador
cliente.
Além disso, se computadores clientes ativados para o NAP estiverem
executando o Windows Update Agent e estiverem registrados com um
servidor WSUS (Windows Server Update Service), o NAP poderá
verificar se a maioria das atualizações de segurança de software
está instalada, com base em um dos quatro valores possíveis que
correspondem à classificação de severidade de segurança do
MSRC(Microsoft Security Response Center).
Remediação
Os computadores cliente não-conformes que são colocados em uma rede
restrita podem ser submetidos à remediação. Remediação é o
processo de atualizar um computador cliente de forma que ele passe
a atender aos requisitos atuais de integridade. Por exemplo, uma
rede restrita pode conter um servidor FTP (File Transfer Protocol)
que fornece assinaturas atuais de vírus de forma que os
computadores cliente em não-conformidade possam atualizar suas
assinaturas.
É possível utilizar as configurações do NAP nas diretivas de
integridade NPS para configurar a remediação automática, de forma
que os componentes do cliente NAP tentem, automaticamente,
atualizar o computador cliente quando este estiver em não-
conformidade com os requisitos de integridade de rede. Você pode
utilizar a seguinte configuração de diretiva para configurar a
remediação automática:
• Atualizações de computador. Se a opção Update noncompliant
computers automatically estiver selecionada, a remediação
automática estará ativada, e os computadores ativados para o
que não estiverem em conformidade com os requisitos de
integridade tentarão, automaticamente, fazer a atualização.
Abordagens Combinadas
Cada um desses métodos de reforço NAP possui diferentes vantagens.
Combinando os métodos de reforço, será possível combinar as
vantagens desses métodos. Entretanto, ao implantar múltiplos
métodos de reforço NAP, você poderá fazer com que sua implementação
NAP seja mais complexa de ser gerenciada.
O framework do NAP também fornece um conjunto de APIs que permite
que outras empresas que não sejam a Microsoft integrem seus
softwares com a NAP. Utilizando as APIs do NAP, fornecedores e
desenvolvedores de software poderão fornecer soluções de fim a fim
que validem o funcionamento e façam a remediação de clientes em
não-conformidade.
Implantação
SHVs e envia essas respostas ao NPS para que este faça uma
avaliação.
SHVs (System health validators - validadores de integridade do
sistema). Os SHVs são cópias de software de servidor para os SHAs.
Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs
verificam o SoH feito por seu SHA correspondente no computador
cliente.
Os SHAs e os SHVs são associados um ao outro, juntamente com um
servidor de diretivas correspondente (se exigido) e, talvez, a um
servidor de remediação.
Um SHV também pode detectar que nenhum SoH foi recebido (por
exemplo, se o SHA nunca tiver sido instalado, se tiver sido
danificado ou removido). Se o SoH atender ou não à diretiva
definida, o SHV enviará uma mensagem SoHR (statement of health
response - declaração de resposta de integridade) para o servidor
de administração NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o
servidor NPS deverá coordenar a saída de todos os SHVs e determinar
se deve ser limitado o acesso de um computador em não-conformidade.
Isso exige um planejamento cuidadoso ao definir diretivas de
integridade para o seu ambiente e avaliar na diferente forma com
que os SHVs interagem.
NAP enforcement server (servidor de reforço NAP). O NAP ES é
associado a um NAP EC correspondente para o método de reforço NAP
que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,
passando-os para que o NPS faça uma avaliação. Com base na
resposta, é fornecido acesso limitado ou ilimitado à rede para o
cliente ativado para o NAP. Dependendo do tipo de reforço NAP, o
NAP ES pode ser uma autoridade de certificação (reforço IPsec), um
switch de autenticação ou um ponto de acesso sem fio (reforço
802.1x), um servidor Roteamento e Acesso Remoto(reforço VPN) ou um
servidor DHCP (reforço DHCP).
Servidor de diretivas. Um servidor de diretivas é um componente de
software que se comunica com um SHV a fim de fornecer as
informações utilizadas na avaliação dos requisitos para a
integridade do sistema. Por exemplo, um servidor de diretivas, como
um servidor de assinaturas antivírus, pode fornecer a versão do
arquivo atual de assinaturas para a validação de um SoH antivírus
cliente. Os servidores de diretivas são associados aos SHVs, mas
nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um
SHV pode simplesmente ordenar que clientes ativados para o NAP
verifiquem as configurações locais de sistema a fim de assegurar
que um firewall baseado em host esteja ativado.
Servidor de remediação. Um servidor de remediação hospeda as
atualizações que podem ser utilizadas pelos SHAs para fazer com que
computadores cliente em não-conformidade passem a estar em
conformidade. Por exemplo, um servidor de remediação pode hospedar
atualizações de software. Se a diretiva de integridade exigir que
Informações Adicionais
Para mais informações sobre o NAP, acesse o site sobre Network
Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a
velocidade do processamento do receptor, o CTCP (Compound TCP) na
Pilha TCP/IP de última geração otimiza a velocidade do
processamento do emissor. Trabalhando juntos, eles podem aumentar
a utilização de links e produzir ganhos substanciais de
desempenho para grandes conexões de produto de atraso de largura
de banda.
O CTCP é utilizado para conexões TCP com um grande tamanho de
janela de recebimento e um grande produto de atraso de largura de
banda (a largura de banda de uma conexão multiplicada pelo seu
atraso). Ele aumenta, de forma significativa, a quantidade de
dados enviados por vez e ajuda a garantir que seu comportamento
não cause impactos negativos em outras conexões TCP.
Por exemplo, em testes realizados internamente na Microsoft, os
horários de backup para arquivos extensos foram reduzidos em
quase metade para uma conexão de 1 gigabit por segundo com um RTT
(round-trip time) de 50 milésimos de segundo. Conexões com um
produto de atraso de largura de banda maior podem ter um melhor
desempenho.
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do tráfego entre
interfaces para configurações VPN, a Pilha TCP/IP de última
geração dá suporte aos compartimentos de roteamento. Um
compartimento de roteamento é a combinação de um conjunto de
interfaces com uma sessão de login que possui suas próprias
tabelas de roteamento IP. Um computador pode possuir múltiplos
compartimentos de roteamento isolados uns dos outros. Cada
interface pode pertencer somente a um único compartimento.
Por exemplo, quando um usuário inicia uma conexão VPN pela
Internet com a implementação TCP/IP no Windows XP, o computador
do usuário terá conectividade parcial tanto para a Internet
quanto para a intranet particular, manipulando entradas na tabela
de roteamento IPv4. Em algumas situações, é possível que o
tráfego da Internet seja encaminhado pela conexão VPN para a
intranet particular. Para clientes VPN com suporte para
compartimentos de roteamento, a Pilha TCP/IP de última geração
isola a conectividade da Internet da conectividade da intranet
particular por meio de tabelas de roteamento IP separadas.
Melhorias no IPv6
A Pilha TCP/IP de última geração dá suporte às seguintes
melhorias no IPv6:
• IPv6 ativado por padrão
• Pilha IP dupla
• Configuração baseada em GUI
• Melhorias no Teredo
• Suporte IPsec integrado
• Multicast Listener Discovery versão 2
Guia do Revisor do Windows Server “Longhorn” Beta 3
126
Pilha IP Dupla
A Pilha TCP/IP de última geração dá suporte à arquitetura de
camadas IP dupla, na qual as implementações do IPv4 e IPv6
compartilham camadas comuns de frame e transporte (TCP e UDP). A
Pilha TCP/IP de última geração possui o IPv4 e o IPv6 ativados
por padrão. Não é necessário instalar um componente separado para
obter o suporte ao IPv6.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos
ativados para o IPv6, fornecendo globalmente o endereçamento IPv6
exclusivo e permitindo o tráfego IPv6 para atravessar os NATs.
Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
tráfego de entrada não solicitado e o endereçamento global, como
aplicativos entre iguais, funcionarão pelo NAT. Esses mesmos
tipos de aplicativos, se utilizassem o tráfego IPv4, ou exigiriam
a configuração manual do NAT, ou não funcionariam sem a
modificação do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrás
de um ou mais NATs simétricos. Um NAT simétrico mapeia o mesmo
endereço (privado) e o mesmo número de porta internos para
diferentes endereços e portas (públicos) externos, dependendo do
endereço externo de destino (para o tráfego de saída). Este novo
comportamento permite que o Teredo funcione entre um conjunto
maior de hosts conectados à Internet.
Suporte DHCPv6
Guia do Revisor do Windows Server “Longhorn” Beta 3
128
Referências Adicionais
Os recursos a seguir fornecem informações adicionais sobre o
Windows Firewall with Advanced Security e o IPsec:
• Para mais informações sobre o Windows Firewall with Advanced
Security, veja “Windows Firewall”
(http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft
TechNet.
• Para mais informações sobre o IPsec, veja IPsec
(http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft
TechNet.
• Para mais informações sobre os cenários de isolamento de
servidor e domínio, veja Isolamento de Domínio e Servidor
(http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft
TechNet.
• Para mais informações sobre o Network Access Protection, veja
Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no
site da Web Microsoft TechNet.
• Para mais informações sobre como criar aplicativos que estejam
cientes dos tipos de local de rede, consulte o Network
Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e
Network Location Awareness Service Provider
(http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft
MSDN®.
Implantação
Não implante certificados com algoritmos Suite B antes de
verificar os seguintes requisitos:
• Antes de emitir certificados que utilizem algoritmos, tais
como o ECC, verifique se suas CAs e seu sistema operacional
dão suporte a esses algoritmos.
• Verifique se os aplicativos ativados para a PKI de sua
organização podem utilizar certificados que confiam em
provedores de criptografia CNG.
• Caso sua organização utilize certificados para suportar o
logon de smart card, entre em contato com o fornecedor de
seu smart card e veja se os smart cards que ele fornece
podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server “Longhorn”, os seguintes
aplicativos ativados para certificados podem lidar com
certificados que utilizam algoritmos de criptografia registrados
no provedor CNG.
Implantando Certificados
Os certificados de usuário e computador podem ser implantados,
usando-se diversos mecanismos, incluindo o registro automático, o
Assistente para Requisição de Certificado e o registro na Web.
Mas implantar outros tipos de certificados em uma grande
quantidade de computadores pode ser algo desafiador. No Windows
Server 2003, era possível distribuir um certificado CA de raiz
confiável e certificados corporativos de confiança usando a
Diretiva de Grupo. No Windows Server “Longhorn”, todos os tipos
de certificados que seguem podem ser distribuídos, quando são
armazenados adequadamente na Diretiva de Grupo:
• Certificados CA de raiz confiáveis
• Certificados corporativos de confiança
• Certificados CA Intermediários
• Certificados confiáveis do editor
• Certificados não-confiáveis
• Pessoas confiáveis (para os certificados de confiança)
A variedade crescente dos certificados e a sua utilização exige
que os administradores tenham meios eficientes para distribuí-los
a usuários e computadores em suas organizações.
um certificado, ou quando a
requisição não inclui uma utilização
estendida da chave.
Estados de integridade do CA
Indicador Estado do CA
Ponto de Interrogação Avaliação do estado de integridade
do CA
Indicador verde CA sem nenhum problema
Indicador amarelo CA com problema não-crítico
Indicador vermelho CA com problema crítico
Cruz vermelha sobre o CA está offline
ícone do CA
Online Responder
Um Online Responder é um computador em que o serviço do Online
Responder é executado. Um computador que hospeda um CA também
pode ser configurado como um Online Responder, mas recomenda-se
manter os CAs e os Online Responders em computadores separados.
Um único Online Responder pode fornecer informações de status de
revogação para certificados emitidos por um único CA ou diversos.
As informações de revogação de CA podem ser distribuídas usando
mais de um Online Responder.
As aplicações que dependem de certificados X.509, como S/MIME,
SSL, EFS e smart cards precisam validar o status dos certificados
sempre que são usados para realizar autenticação, assinatura ou
criptografia. A verificação de revogação e status do certificado
analisa a validade dos certificados com base em:
• Tempo. Os certificados são emitidos em um período de tempo
fixo e considerado válido, contanto que não se atinja a
data de vencimento do certificado e que ele não seja
cancelado antes da data.
• Status da revogação. Os certificados podem ser cancelados
antes da sua data de vencimento, por uma série de motivos,
como a suspensão ou comprometimento da chave.
As listas de revogação do certificado contêm os números de série
de todos os certificados emitidos por um CA que tenha sido
cancelado. Para um cliente verificar o status de revogação de um
certificado, ele deve fazer o download de um CRL que contenha
informações sobre todos os certificados que tenham sido
cancelados pelo CA.
Há duas principais desvantagens nisso: Com o tempo, os CRLs podem
se tornar extremamente grandes, o que pode exigir recursos
significativos de rede e armazenamento para o CA, além da parte
Guia do Revisor do Windows Server “Longhorn” Beta 3
155
Matrizes do Responder
Múltiplos Online Responders podem ser ligados a uma Matriz do
Online Responder. Os Online Responders, em uma Matriz, são
referidos como membros da Matriz. Um membro da Matriz pode ser
designado o Controlador da Matriz. Embora cada Online Responder
em uma Matriz possa ser configurado de forma independente, no
caso de conflitos, as informações de configuração do Controlador
da Matriz irão superar as opções definidas em outros membros da
Matriz.
Uma Matriz de Online Responder pode ser criada e outros Online
Responders podem ser adicionados por uma série de razões,
incluindo tolerância a falhas no caso de um Online Responder
individual se tornar indisponível, por considerações geográficas,
escalabilidade ou estrutura da rede.
Por exemplo, as filiais remotas podem não ter conexões
consistentes com suas matrizes, onde o CA está localizado.
Portanto, nem sempre é possível contatar o CA ou um Online
Responder remoto para processar uma requisição do status de
revogação.
Como os membros de uma Matriz do Online Responder podem ser
remotos e estar sujeitos a condições de rede insatisfatórias,
cada membro da matriz pode ser monitorado e gerenciado de forma
independente.
Configurar uma Matriz do Online Responder requer bons
conhecimentos de planejamento baseado em:
• Número e local dos CAs que estão sendo atendidos pela
matriz
Diretiva de Grupo
Diversas configurações da Diretiva de Grupo foram adicionadas
para aprimorar o gerenciamento do OCSP e uso dos dados do CRL.
Por exemplo, os CRLs possuem datas de vencimento, como os
certificados, e, se essa data passar antes de uma atualização ser
publicada ou disponibilizada, a validação da cadeia de
certificados pode falhar, mesmo com a presença de um Online
Responder. Isso acontece, pois o Online Responder conta com os
dados de uma CRL expirada. Em situações em que as condições de
rede podem atrasar a publicação adequada e o recebimento das CRLs
atualizadas, os administradores podem usar essas configurações da
Diretiva de Grupo para estender o tempo de validade de um CRL
existente ou resposta do OCSP.
Você pode estender o período dos CRLs e respostas do OCSP, indo à
guia revogação nas configurações de Validação (Configuração do
Computador, Configurações do Windows, Configurações de Segurança
e Diretivas da Chave Pública). Para configurar essas opções, faça
o seguinte:
• Clique em Definir essas configurações de segurança.
• Clique em Permitir que todos os CRLs e respostas do OCSP
sejam válidas por mais tempo.
• Selecione Tempo padrão em que o período de validade pode
ser estendido, e informe o valor desejado de tempo (em
horas).
Uma opção separada da guia revogação permite que você sobrescreva
as respostas do OCSP com informações contidas nos CRLs. Assim, um
certificado que tenha sido cancelado, adicionando-o a um CRL
local, pode ser verificado como válido, se um cliente tiver um
CRL que não inclua seu status de revogação. Embora esta opção não
seja recomendada, pode ser útil em casos em que as alterações de
revogação feitas por um administrador local não sejam finais até
que um administrador de CA verifique a mudança.
Implantação
Como os Online Responders são feitos para atender requisições
individuais de status do certificado, uma Matriz de Online
Responder geralmente requer múltiplos Online Responders,
geograficamente dispersos, para equilibrar a carga. Como cada
resposta do status é assinada, cada Online Responder deve ser
instalado em um servidor confiável.
Os Online Responders do Windows Server “Longhorn” podem ser
instalados nas seguintes configurações matrizes:
• Online Responder Único para múltiplos CAs. O Online
Responder requer uma chave e um certificado assinado para
cada CA suportado. Um Online Responder deve ser emitido com
um certificado assinado a partir do CA emitido. Um Online
Responder não pode fornecer o status de um certificado
maior na cadeia do que um CA que tenha emitido o
certificado assinado.
• Online Responders Múltiplos para um Único CA. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado. Esse suporte vem por meio de
clustering. A lógica do clustering se responsabiliza por
conduzir o cliente a requisições de um Online Responder
específico.
• Múltiplos Online Responders para múltiplos CAs. Cada Online
Responder possui uma chave de assinatura e certificado a
partir do CA suportado.
Você pode se preparar para implantar o Online Responders fazendo
o seguinte:
• Avaliar os benefícios potenciais de suplementar CRLs usando
Online Responders para gerenciar a verificação de revogação
na sua organização
• Identificar os locais possíveis onde o Online Responders
possa ser útil
• Dependendo do número de CAs e locais que você está
suportando, o volume de requisições de validação do
certificado que você antecipar e as condições de rede entre
os CAs e os locais, identificar a configuração da
instalação a partir de uma lista precedente que melhor se
adapte à sua organização
SACL
O SACL é a parte de um descritor de segurança do objeto que
especifica as operações a serem auditadas para princípio de
segurança. O SACL do objeto ainda é a autoridade principal para
determinar se uma verificação de acesso deve ou não ser auditada.
O conteúdo do SACL é controlado pelos administradores de
segurança do sistema local. Os administradores de segurança são
usuários atribuídos aos privilégio de Gerenciar Log de Auditoria
e Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é
atribuído ao grupo de Administradores integrado.
Se não houver entrada de controle de acesso (ACE) no SACL que
requer o registro das modificações do atributo, mesmo que a sub-
categoria de Directory Service Changes esteja ativada, nenhum
evento de auditoria de alteração é registrado. Por exemplo, se
não houver ACE no SACL que requer acesso à Propriedade de Escrita
no atributo do número de telefone de um objeto de usuário a ser
auditado, nenhum evento de auditoria é gerado quando esse
atributo é modificado, mesmo que a sub-categoria Directory
Service Changes esteja ativada.
Esquema
Para evitar a possibilidade de um número excessivo de eventos que
estão sendo gerados, existe um controle adicional no esquema, que
pode ser usado para criar exceções ao que é auditado.
Por exemplo, se você deseja ver alterações a todas as
modificações de atributo em um objeto de usuário — exceto a um ou
dois atributos — você pode definir uma indicação no esquema para
atributos que não deseja auditar. A propriedade searchFlags de
cada atributo define se ele é indexado, replicado ao catálogo
global ou algum outro tipo de comportamento. Existem sete bits
atualmente definidos para a propriedade searchFlags.
Se o bit 9 (valor 256) for definido para um atributo, os Serviços
de Domínio do Active Directory não registrará eventos de
alteração quando as modificações forem feitas. Isso se aplica a
todos os objetos que contêm aquele atributo.
Configurações do Registro
Os seguintes valores de chave do registro são usados para
configurar a auditoria dos Serviços de Domínio do Active
Directory.
RSOP
Um usuário ou objeto de grupo pode ter múltiplos PSOs vinculados
a ele, tanto porque os membros, em múltiplos grupos, têm, cada
um, PSOs diferentes vinculados a eles, como porque múltiplos PSOs
são aplicados diretamente ao objeto. No entanto, apenas um PSO
pode ser aplicado como diretiva efetiva de senha. Apenas as
configurações daquele PSO podem afetar o usuário ou grupo. As
configurações de outros PSOs, que estão ligados ao usuário ou
grupo, não podem ser mescladas de maneira alguma.
O RSOP pode apenas ser calculado para um objeto do usuário. O PSO
pode ser aplicado ao objeto de usuário nas duas maneiras que
seguem:
• Diretamente. O PSO é vinculado ao usuário
Segurança e Delegação
Por padrão, apenas membros do grupo de Administradores de Domínio
podem criar PSOs. Apenas membros deste grupo possuem as
permissões Criar Filho e Excluir Filho, no objeto Password
Settings Container. Além disso, apenas membros do grupo de
Administradores de Domínio têm permissões de Propriedade de
Escrita no PSO, por padrão. Portanto, apenas membros deste grupo
podem aplicar um PSO a um grupo ou usuário. Você pode delegar
essa permissão a outros grupos ou usuários.
Você não precisa de permissões sobre o objeto do grupo ou usuário
para poder aplicar um PSO a ele. Ter permissões de Escrita no
usuário ou objeto de grupo não fornece a você a capacidade de
vincular um PSO a um usuário ou grupo. O proprietário de um grupo
não possui permissões de vincular um PSO ao grupo, pois o link de
encaminhamento está no PSO. O poder de vincular um PSO ao grupo
ou usuário é dado ao proprietário do PSO.
As configurações no PSO podem ser consideradas confidenciais;
portanto, por padrão, os Usuários Autenticados não têm permissões
de Propriedade de Leitura para um PSO. Por padrão, apenas membros
do grupo de Administradores de Domínio possuem permissões da
Propriedade de Leitura no descritor de segurança padrão do objeto
PSO no esquema.
Você pode delegar essas permissões a qualquer grupo (como o help
desk ou aplicação de gerenciamento) no domínio ou floresta. Isso
também pode prevenir um usuário de ver suas configurações de
senha no diretório. O usuário pode ler os atributos ResultantPSO
ou PSOApplied, mas eles exibem apenas o nome distinto do PSO que
se aplica ao usuário. O usuário não pode ver as configurações
dentro do PSO.
Antes de adicionar um controlador de domínio que execute no
Windows Server “Longhorn” a um domínio existente do Active
Directory, você deve executar o adprep /domainprep. Ao executar o
adprep /domainprep, o esquema do Active Directory é estendido
para incluir novas classes de objetos que as diretivas de senhas
granuladas requerem.
Serviços de Domínio do
Active Directory: Exibição
em Instantâneo
A Exibição em Telas dos Serviços de
Domínio do Active Directory é um novo
recurso do Windows Server “Longhorn.”
Ele o ajuda a identificar objetos que
foram acidentalmente excluídos ao expor
informações sobre os objetos, em
imagens (instantâneos) dos Serviços de
Domínio do Active Directory obtidas com
o tempo. Esses instantâneos podem ser
visualizados em um controlador de
domínio, sem iniciar o controlador de
domínio no Modo de Restauração do
Directory Services. Comparando os
diversos estados dos objetos assim que eles aparecem nos
instantâneos, será possível decidir mais facilmente qual backup
dos Serviços de Domínio do Active Directory utilizar para
restaurar os objetos excluídos.
Ao usar a Exposição de Telas dos Serviços de Domínio do Active
Directory, você pode examinar todas as alterações feitas aos
dados armazenados nos Serviços de Domínio do Active Directory.
Por exemplo, se um objeto da Diretiva de Grupo é acidentalmente
modificado, você pode usar a Exposição de Telas dos Serviços de
Instalação Aprimorada.
Os Serviços Federados do Active Directory no Windows Server
“Longhorn” traz diversas melhorias à experiência de instalação.
Para instalar os Serviços Federados do Active Directory no
Windows Server 2003 R2, você deve ir até Adicionar/Remover
Programas para encontrar e instalar o componente dos Serviços
Federados do Active Directory. No entanto, no Windows Server
“Longhorn,” você pode instalar os Serviços Federados do Active
Directory como uma função de servidor que utiliza o Server
Manager.
Você pode usar o assistente de configuração aprimorado dos
Serviços Federados do Active Directory para realizar as
Novas Configurações
Você configura as configurações do Web Agent baseado no token do
Windows NT com o snap-in do IIS Manager. Para suportar as novas
funcionalidades fornecidas com o IIS 7.0, os Serviços Federados
do Active Directory do Windows Server “Longhorn” inclui
atualizações na UI para o serviço de função do Web Agent dos
Serviços Federados do Active Directory. A tabela que segue lista
os diferentes locais no IIS Manager para o IIS 6.0 ou IIS 7.0
Nota
Não existem diferenças significativas de UI entre o snap-in
dos Serviços Federados do Active Directory no Windows
Server “Longhorn” e o dos Serviços Federados do Active
Directory no Windows Server 2003 R2.
Nota
Este tópico concentra-se nos recursos específicos dos Serviços
de Gerenciamento de Direitos do Active Directory que estão
sendo lançados com o Windows Server “Longhorn.” As versões
anteriores do RMS estão disponíveis em um download separado.
Para mais informações sobre os recursos que eram disponíveis
no RMS, confira o Windows Server 2003 Rights Management
Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637).
Os Serviços de Gerenciamento de Direitos do Active Directory, uma
tecnologia agnóstica de formato e aplicação, fornece serviços que
ativam a criação de soluções de proteção às informações. Ele
funcionará com qualquer aplicação ativada pelos Serviços de
Gerenciamento de Direitos do Active Directory a fim de fornecer
diretivas persistentes de utilização de informações sensíveis. O
conteúdo pode ser protegido, usando os Serviços de Gerenciamento
de Direitos do Active Directory, que inclui sites da intranet,
mensagens de e-mail e documentos. Os Serviços de Gerenciamento de
Direitos do Active Directory inclui uma série de funções centrais
que permitem aos desenvolvedores adicionar proteção às
informações nas funcionalidades de aplicações existentes.
Um sistema dos Serviços de Gerenciamento de Direitos do Active
Directory, que inclui componentes de cliente e servidor, realiza
os seguintes processos:
• Licenciamento de informações protegidas por direitos. Um
sistema dos Serviços de Gerenciamento de Direitos do Active
Directory emite certificados de contas de direitos, que
Seção 6: Plataforma de
Aplicações e da Web
6.01 Introdução à Plataforma de Aplicações e da Web ....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicação ........................................212
6.05 NTFS Transacional..........................................217
Administração Delegada
O IIS 7.0 permite àqueles que hospedam ou administram sites da
Web ou serviços WCF delegar controle administrativo aos
desenvolvedores ou donos do conteúdo, reduzindo assim o custo de
propriedade e os encargos administrativos para o administrador.
Novas ferramentas de administração são fornecidas para suportar
esses recursos de delegação.
Edições
O IIS 7.0 está disponível em todas as edições do Windows Server.
Não há diferença de funcionalidade entre as edições. O IIS 7.0
está disponível em plataformas de 32 bits e 64 bits.
Configuração
O IIS 7.0 apresenta algumas importantes melhorias na maneira como
os dados de configuração são armazenados e acessados. Um dos
principais objetivos do lançamento do IIS 7.0 é possibilitar a
Guia do Revisor do Windows Server “Longhorn” Beta 3
204
Ferramentas de Administração
O IIS 7.0 apresenta as seguintes ferramentas de administração,
novas e completamente reescritas, para o gerenciamento do IIS:
• GUI (Interface Gráfica do Usuário), IIS Manager
• Ferramenta de linha de comando, appcmd.exe
• Armazenamento de configuração, baseado no armazenamento de
configuração do .NET Framework 2.0, que suporta a edição
direta de configurações
• Provedor WMI que pode ler ou alterar configurações no
armazenamento de configuração
• Interface gerenciada, Microsoft.Web.Administration, que
expõe as mesmas informações exibidas pelo provedor WMI
Além disso, o snap-in MMC do IIS 6.0 também é fornecido com o
Windows Server “Longhorn” para suportar administração remota e
administrar sites FTP.
É possível instalar as ferramentas de administração e os
componentes de servidor Web separadamente.
O IIS 7.0 também inclui um novo provedor WMI que amplia o acesso
a scripts para todas as configurações do IIS e do ASP.NET.
A interface Microsoft.Web.Administration fornece uma interface
gerenciada fortemente tipificada para recuperar os mesmos dados
exibidos pelos scripts WMI.
Os scripts de linha de comando do IIS 6.0 também foram
substituídos por uma nova e poderosa ferramenta de linha de
comando, a appcmd.exe.
As novas ferramentas de administração suportam integralmente a
configuração distribuída e a delegação da responsabilidade
administrativa. A delegação pode ser muito específica, permitindo
ao administrador decidir exatamente quais funções delegar, caso a
caso.
As novas ferramentas de administração suportam integralmente a
nova configuração distribuída do IIS 7.0. Elas suportam o o
acesso delegado (não administrativo) para configuração de sites e
aplicações individuais. As ferramentas de administração suportam
Diagnóstico
O IIS 7.0 inclui duas principais melhorias que ajudam no
diagnóstico e na resolução de problemas de sites e aplicações da
Web.
As mudanças no diagnóstico e na resolução de problemas no IIS 7.0
permitem que o desenvolvedor ou o administrador visualize, em
tempo real, as solicitações que estão sendo executadas no
servidor. Agora é possível filtrar condições de erro difíceis de
reproduzir e interromper automaticamente o erro com um registro
de rastreamento detalhado.
O IIS 7.0 inclui uma nova API de Controle e Estado do Tempo de
Execução, que proporciona informações, em tempo real, sobre o
estado de pools de aplicações, processos de trabalho, sites,
domínios de aplicações e ainda sobre solicitações que estão sendo
executadas.
Tais informações são exibidas por meio de uma API COM nativa. A
própria API é agrupada e exibida através do novo provedor WMI do
IIS, o appcmd.exe, e do IIS Manager. Isso permite que os usuários
verifiquem o status do servidor Web de forma mais rápida e fácil,
qualquer que seja o ambiente de gerenciamento utilizado.
O IIS 7.0 também inclui eventos de rastreamento detalhados
durante o caminho de solicitação e resposta, permitindo aos
desenvolvedores rastrear uma solicitação à medida que ela abre
caminho para o IIS, através do pipeline de requisição de processo
do IIS, em qualquer código de nível de página existente, e
retornar para a resposta. Tais eventos de rastreamento detalhados
permitem que os desenvolvedores tenham conhecimento não apenas do
caminho da solicitação e de quaisquer informações de erro que
surjam em decorrência de uma solicitação, como também do tempo
decorrido e de outras informações depuradas, para ajudar na
resolução de todos os tipos de erros e quando um sistema pára de
responder.
Para permitir a coleta desses eventos de rastreamento, o IIS 7.0
pode ser configurado para capturar automaticamente todos os
registros de rastreamento para uma determinada solicitação, com
base no tempo decorrido ou nos códigos de resposta de erros.
Recursos Adicionais
Para mais informações sobre o IIS, consulte o Internet
Information Services no site da Microsoft:
(http://go.microsoft.com/fwlink/?LinkId=66138).
Para mais informações sobre APIs de extensibilidade do IIS,
consulte o SDK do Internet Information Services 7.0 no site da
Microsoft:(http://go.microsoft.com/fwlink/?LinkId=52351).
O Windows Media Services pode ser usado por qualquer pessoa que
deseja fornecer conteúdo de mídia digital para clientes através
de redes (tanto a Internet quanto uma intranet). Os seguintes
tipos de organização consideram o Windows Media Services
especialmente útil:
• Empresas de hospedagem que fornecem uma experiência de
fluxo contínuo rápido aos usuários - seja em casa ou no
escritório
• Empresas nas áreas comercial, educacional ou governo que
gerenciam recursos de rede e fornecem comunicações valiosas
para transmissões corporativas, além de aprendizado,
marketing e vendas on-line
• Empresas com tecnologia sem fio que fornecem serviços de
entretenimento de banda larga sem fio, usando os
escalonáveis e confiáveis servidores Windows Media
• Difusoras da Internet que fornecem conteúdo para rádio,
televisão, cabo ou satélite
• Distribuidoras de filmes e música que fornecem conteúdo de
áudio e vídeo de maneira segura, sem excesso de
armazenamento em buffer ou congestionamento da rede
• Profissionais de IPTV que fornecem uma experiência de IPTV
de alta qualidade em LANs
Como nos lançamentos anteriores, alguns recursos do Windows Media
Services não estão disponíveis em determinadas edições do Windows
Server “Longhorn”. Se a implantação do servidor Windows Media
requerer um recurso específico (por exemplo, o fornecimento de
conteúdo para clientes como o fluxo contínuo multicast), consulte
Guia do Revisor do Windows Server “Longhorn” Beta 3
209
Gerenciamento de Cache/Proxy
O Administrador do Windows Media Services contém um novo plug-in
de Gerenciamento de Cache/Proxy que controla a capacidade do
servidor Windows Media de executar funções de cache e proxy. O
plug-in Cache Proxy do WMS pode ser usado para configurar um
servidor Windows Media como um servidor de cache/proxy que mantém
a largura de banda, reduz a latência imposta pela rede e diminui
a carga sobre o servidor de origem. Esses três fatores reduzem os
custos operacionais e criam uma melhor experiência de
visualização para seus clientes.
Configuração do Firewall
Não é mais necessário adicionar o programa Windows Media Services
(Wmserver.exe) como uma exceção no Firewall do Windows para abrir
as portas de entrada padrão para fluxo contínuo unicast. Quando a
função Serviços de Mídia de Fluxo Contínuo é instalada no Windows
Server “Longhorn”, o programa Windows Media Services é
automaticamente adicionado como uma exceção no Firewall do
Windows.
Qualidade de Serviço
O Windows Media Services foi atualizado para usar as diretivas de
Qualidade de Serviço (QoS) no Windows Server “Longhorn” para
gerenciar o tráfego de saída de rede, em vez de usar o Tipo de
Serviço (ToS) para fornecer fluxo contínuo unicast. Para mais
informações, consulte: Qualidade de Serviço
(http://go.microsoft.com/fwlink/?LinkId=82892).
Implantação
As aplicações projetadas para trabalhar com o Windows Media
Services nos sistemas operacionais Windows anteriores não
requerem mudanças para trabalhar com o Windows Media Services no
Windows Server “Longhorn”.
Em comparação com a versão anterior, o Windows Media Services não
requer nenhuma melhoria especial na rede ou na infra-estrutura de
Guia do Revisor do Windows Server “Longhorn” Beta 3
212
Servidor Web
Essa opção instala o IIS versão 7.0, o servidor Web construído no
Windows Server “Longhorn“. O IIS fornece os seguintes benefícios:
• Ativa o Servidor de Aplicação para hospedar sites ou
serviços internos e externos com conteúdo fixo ou dinâmico.
• Fornece suporte para a execução de aplicações ASP.NET
acessadas de um navegador da Web.
• Fornece suporte para a execução de serviços da Web
construídos com o Microsoft ASP.NET ou o WCF.
Transações Distribuídas
Essa opção ativa as transações distribuídas, que ajudam a
assegurar transações completas e bem-sucedidas em múltiplos
bancos de dados hospedados em diversos computadores em uma rede.
Seção 7: Gerenciamento de
Servidores
Funções
Embora a adição e remoção de funções e recursos de servidor não
representem algo novo, o Server Manager unifica a funcionalidade
de múltiplas ferramentas anteriores em uma única interface de
usuário, simples e baseada em MMC.
Funções e recursos instalados com o Server Manager são ativados
por padrão, para maior segurança. Os administradores não precisam
executar o Assistente de Configuração de Segurança após a
instalação ou remoção de funções, a menos que queiram alterar
configurações padrão.
O Server Manager fornece um único ponto de acesso a snap-ins de
gerenciamento para todas as funções instaladas. Adicionar uma
função automaticamente cria
uma página inicial de
console de gerenciamento no
Server Manager para essa
função, que exibe eventos e
estado de todos os serviços
que fazem parte da função.
Serviços ou sub-componentes
de uma função são listados em uma seção desta página. Os
administradores podem abrir assistentes para adicionar ou remover
serviços de função usando comandos desta página inicial.
e administração delegada.
Serviços de Você pode usar os Serviços de Implantação do Windows para
Implantação do instalar e configurar os sistemas operacionais do Microsoft
Windows Windows remotamente em computadores com ROMs de inicialização
do Ambiente de Pre-boot Execution (PXE). O overhead de
administração é reduzido através da implementação do snap-in
WdsMgmt MMC, que gerencia todos os aspectos dos Serviços de
Implantação do Windows. Os Serviços de Implantação do Windows
também fornecem aos usuários finais uma experiência consistente
com a Instalação do Windows.
Windows A função Windows SharePoint Services ajuda as organizações a
SharePoint aumentar a produtividade criando sites em que os usuários podem
Services colaborar com documentos, tarefas e eventos, e compartilhar
facilmente contatos e outras informações. O ambiente foi
projetado para implantação, desenvolvimento de aplicações e
administração flexíveis.
Recursos
Recursos, de modo geral, não descrevem a função primária de um
servidor. Eles fornecem funções auxiliares ou de suporte aos
servidores. Normalmente, os administradores adicionam recursos
não como a função primária de um servidor, mas para aumentar a
funcionalidade das funções instaladas.
Por exemplo, o Clustering Failover é um recurso que os
administradores podem instalar após a instalação de certas
funções de servidor, como os Serviços de Arquivo, para adicionar
• Sumário do Servidor
A seção Sumário do Servidor inclui duas subseções:
Informações do Sistema e Sumário de Segurança. A subseção
Informações do Sistema exibe o nome do computador, o
domínio, o nome de conta do administrador local, conexões
de rede e o ID de produto do sistema operacional. Os
comandos dessa subseção permitem que você edite essas
informações.
A subseção Sumário de Segurança mostra se o Windows Update
e o Firewall do Windows estão ativados. Os comandos dessa
subseção permitem que você edite essas configurações ou
visualize opções avançadas.
• Sumário de Funções
A seção Sumário de Funções contém uma tabela indicando
quais funções estão instaladas no servidor. Os comandos
desta seção permitem que você adicione ou remova funções,
ou vá a um console mais detalhado no qual poderá gerenciar
uma função específica.
• Sumário de Recursos
Configurações de Registro
As seguintes configurações de registro se aplicam ao Server
Manager e às Tarefas de Configuração Inicial em todas as
variações disponíveis do Windows Server “Longhorn”.
As configurações de registro da seguinte tabela controlam o
comportamento padrão de abertura do Server Manager e das janelas
de Tarefas de Configuração Inicial.
Configurações de Registro
Nome da Localização Valor Valores
Configuração Padrão Possíveis
Não abrir o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server 0 0 para
Server Manager desativar e
Manager no abrir a
logon janela
normalmente;
1 para ativar
e impedir a
abertura da
janela
Não abrir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Initial 0 0 para
Tarefas de Configuration Tasks desativar e
Configuração abrir a
Inicial no janela
logon normalmente;
1 para ativar
e impedir a
abertura da
janela.
Recursos Adicionais
Para mais informações sobre o Server Manager, veja o TechCenter
do Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541). Você também
pode aprender a realizar operações específicas no Server Manager
com a Ajuda do Server Manager, disponível ao apertar F1 em uma
janela aberta do Console do Server Manager.
Nota
A nova ferramenta Backup não usa dispositivos de
armazenamento em fita – o uso de discos externos e
internos, DVDs e pastas compartilhadas são suportados. No
entanto, o suporte de drivers para fita ainda está incluído
no Windows Server “Longhorn”.
Se você é atualmente usuário do Backup do Windows (Ntbackup.exe)
e planeja mudar para o novo Backup do Windows Server, pode ser
surpreendido pelas seguintes questões e alterações:
• As configurações do Backup não serão atualizadas quando
você mudar para o Windows Server “Longhorn”. Você terá que
reconfigurar as configurações.
• Você precisará de um disco separado e dedicado para
executar backups agendados.
• Não pode mais fazer backups em fita.
• Não pode recuperar backups que criou com o Backup do
Windows usando o Backup do Windows Server. O Backup do
Windows está disponível como um download para os usuários
do Windows Server “Longhorn” que querem recuperar dados de
backups feitos com o NTBackup. No entanto a versão para
download do Backup do Windows não pode ser usada para criar
backups no Windows Server “Longhorn”. Para fazer o download
do Backup do Windows (Ntbackup.exe), veja
http://go.microsoft.com/fwlink/?LinkId=82917.
Nota
O Monitor de
Confiabilidade e
Desempenho do Windows é
um snap-in do MMC que
combina a funcionalidade
de ferramentas
independentes
anteriores, incluindo os
Registros e Alertas de Desempenho, o Consultor de Desempenho do
Servidor, e o Monitor de Sistema. Ele oferece uma interface
gráfica para personalizar a coleção de dados do desempenho e as
Sessões de Acompanhamento de Eventos.
O Monitor de
Confiabilidade e
Desempenho do Windows
também inclui modelos
padrão de Conjunto de
Coletores de Dados
para ajudar os
administradores de
sistema a começar a
coletar dados de
desempenho
específicos de uma
Função de Servidor ou
cenário de
monitoramento
imediatamente.
Visualização de Recursos
A página inicial do Monitor de Confiabilidade e Desempenho do
Windows é a nova tela de Visualização de Recursos, que fornece
uma visão geral gráfica em tempo real da CPU, disco, rede e uso
da memória. Expandido cada um desses elementos monitorados, os
administradores de sistema podem identificar quais processos
estão usando quais recursos. Em versões anteriores do Windows,
Monitor de Confiabilidade
O Monitor de
Confiabilidade calcula o
Índice de Estabilidade do
Sistema, que reflete se
problemas inesperados
reduziram a confiabilidade
do sistema. Um gráfico do
Índice de Estabilidade em
um período de tempo
identifica rapidamente as
datas em que os problemas
começaram a ocorrer. O
Relatório de Estabilidade
do Sistema que acompanha o
Índice fornece detalhes para ajudar a resolver a causa raiz da
redução de confiabilidade. Visualizando as alterações do sistema
(instalação ou remoção de aplicações, atualizações no sistema
operacional, adição ou modificação de drivers) lado a lado com as
falhas (de aplicação, de sistema operacional ou de hardware), uma
estratégia para lidar com os problemas pode ser desenvolvida
rapidamente.
Nota
Nota
md C:\RemoteInstall\Images\imagegroupname\imagename
copy C:\Sysprep.inf
C:\RemoteInstall\Images\imagegroupname\imagename\$OEM$
Nota
Nota
md c:\remoteinstall\images\vista\install\langpacks
md c:\remoteinstall\images\vista\install\langpacks\ja-jp
8. Clique em Finish.
Md c:\Winpe\Boot
Md c:\Winpe\Sources
Quando você cria uma transmissão, tem duas opções para o tipo de
multicast:
Nota
Implantação
O modo como você implanta os Serviços de Implantação do Windows
depende de um fator - se você já tem servidores de RIS instalados
em seu ambiente:
Nota
Recursos Adicionais
Os seguintes recursos oferecem informações adicionais sobre os
Serviços de Implantação do Windows:
Compatibilidade
Se você possui uma aplicação que era executada em um cluster de
servidor com o Windows Server 2003, e a aplicação depende da
conta do serviço de Cluster obrigatória para clusters de
servidores, talvez seja necessário trocar a aplicação para que
ela não dependa mais da conta. Os Clusters Failover que executam
o Windows Server “Longhorn” não utilizam uma conta de serviço de
Cluster separada.
Implantação
Analise cuidadosamente o hardware no qual você planeja implantar
um Cluster Failover para garantir que ele seja compatível com o
Windows Server “Longhorn”. Isto será necessário principalmente se
você estiver usando este hardware atualmente para um cluster de
servidor executando o Windows Server 2003. O hardware que suporta
um cluster de servidor executando o Windows Server 2003 não
necessariamente suportará um Cluster Failover executando o
Windows Server “Longhorn”.
Observe que
Você não pode executar a atualização de um cluster de
servidor que esteja executando o Windows Server 2003 para
um Cluster Failover executando o Windows Server “Longhorn”.
No entanto, após ter criado um Cluster Failover executando
o Windows Server “Longhorn”, você poderá usar um assistente
para migrar algumas configurações de recursos para um
cluster de servidor executando o Windows Server 2003.
Maior Disponibilidade
A confiabilidade, a escalabilidade e a receptividade global da
infra-estrutura do cliente e do servidor estão bastantes
ampliadas por aprimoramentos feitos tanto no Windows Vista quanto
no Windows Server “Longhorn.”
• O Windows Vista pode tornar trabalhos de impressão
acessíveis localmente antes de os enviar aos serrvidores de
impressão, para dessa forma reduzir a carga de trabalho do
servidor de impressão, tornando-o mais acessível. Os dados
são enviados aos servidores de impressão pelo formato de
impressão não processada: EMF. O nível de disponibilidade
será maior porque mais processamentos é realizado no
cliente. A carga de trabalho da rede de filiais sem um
servidor de impressão local também será reduzida. No
entanto, esta capacidade requer que as impressoras possuam
drivers compatíveis. Porém, quando unido a entrega de
tabalhos de impressão do lado do cliente do Windows Server
SMB 2.0
O SMB (Server Message Block), também conhecido como Sistema de
Arquivo de Internet (CIFS), trata-se de um protocolo de
compartilhamento de arquivos, utilizado por padrão em
computadores com base Windows. No Windows Vista, o SMB suporta a
nova versão SMB 2.0, a qual foi recriada para os ambientes de
rede atuais e as necessidades dos servidores de arquivo de última
geração. O SMB 2.0 apresenta aprimoramentos que reduzem o número
de pacotes necessários para os comandos SMB e permitem maiores
buffers e mais arquivos abertos a escalabilidade. Os computadores
que operam o Windows Vista suportam tanto o SMB 1.0 (para versões
anteriores do Windows) como os SMB 2.0 (para Windows Vista e
Windows Server “Longhorn”).
você não ativar o protudo com uma chave do produto válida 30 dias
após a instalação, o software deixará de funcionar. Durante a
instalação, você deverá selecionar qual a edição do Windows
Server “Longhorn” Beta 3 deseja instalar. Tenha certeza de
escolher a mesma edição do Windows Server “Longhorn” Beta 3 da
chave do produto que você possui, caso contrário, você não
conseguirá ativá-lo.